Tento článek porovnává dva způsoby připojení virtuálních sítí v Azure: partnerské vztahy virtuálních sítí a brány VPN.
Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Ve výchozím nastavení nelze provoz směrovat mezi dvěma virtuálními sítěmi. Je ale možné propojit virtuální sítě v rámci jedné oblasti nebo mezi dvěma oblastmi, aby mezi nimi bylo možné směrovat provoz.
Typy připojení virtuální sítě
Partnerský vztah virtuálních sítí Partnerský vztah virtuálních sítí propojuje dvě virtuální sítě Azure. Po navázání partnerského vztahu se virtuální sítě pro účely připojení jeví jako jedna síť. Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu Microsoftu, pouze prostřednictvím privátních IP adres. Není zapojen žádný veřejný internet. Můžete také peerovat virtuální sítě napříč oblastmi Azure (globální partnerský vztah).
Brány VPN. Brána VPN je konkrétní typ brány virtuální sítě, která se používá k odesílání provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet. Bránu VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi Azure. Každá virtuální síť může mít maximálně jednu bránu VPN. Službu Azure DDOS Protection byste měli povolit v jakékoli hraniční virtuální síti.
Partnerský vztah virtuálních sítí poskytuje připojení s nízkou latencí a velkou šířkou pásma. V cestě není žádná brána, takže neexistují žádné další segmenty směrování, což zajišťuje připojení s nízkou latencí. Je užitečná ve scénářích, jako je replikace dat mezi oblastmi a převzetí služeb při selhání databáze. Vzhledem k tomu, že provoz je privátní a zůstává v páteřní síti Microsoftu, zvažte také partnerské vztahy virtuálních sítí, pokud máte přísné zásady dat a chcete se vyhnout odesílání provozu přes internet.
Brány VPN poskytují připojení s omezenou šířkou pásma a jsou užitečné ve scénářích, kde potřebujete šifrování, ale může tolerovat omezení šířky pásma. V těchto scénářích zákazníci také nejsou tak citliví na latenci.
Průchod bránou
Partnerský vztah virtuálních sítí a brány VPN Gateway můžou existovat také prostřednictvím průchodu bránou.
Průchod bránou umožňuje místo vytvoření nové brány pro připojení použít bránu partnerské virtuální sítě pro připojení k místnímu prostředí. Jak se zvětšuje objem vašich úloh v Azure, musíte škálovat vaše sítě napříč oblastmi a virtuální sítě, abyste s tímto nárůstem udrželi krok. Průchod bránou umožňuje sdílet bránu ExpressRoute nebo VPN se všemi partnerskými virtuálními sítěmi a umožňuje spravovat připojení na jednom místě. Sdílení umožňuje úspory nákladů a snížení režie na správu.
S povoleným průchodem bránou v partnerském vztahu virtuálních sítí můžete vytvořit tranzitní virtuální síť, která obsahuje bránu VPN, síťové virtuální zařízení a další sdílené služby. S tím, jak vaše organizace roste s novými aplikacemi nebo obchodními jednotkami a při vytváření nových virtuálních sítí, se můžete připojit k tranzitní virtuální síti pomocí partnerského vztahu. Tím se zabrání přidání složitosti sítě a sníží se režijní náklady na správu více bran a dalších zařízení.
Konfigurace připojení
Partnerské vztahy virtuálních sítí i brány VPN podporují následující typy připojení:
- Virtuální sítě v různých oblastech
- Virtuální sítě v různých tenantech Microsoft Entra
- Virtuální sítě v různých předplatných Azure
- Virtuální sítě, které používají kombinaci modelů nasazení Azure (Resource Manager a Classic).
Další informace najdete v následujících článcích:
- Vytvoření partnerského vztahu virtuálních sítí – Resource Manager, různá předplatná
- Vytvoření partnerského vztahu virtuálních sítí – různé modely nasazení, stejné předplatné
- Konfigurace připojení brány VPN typu VNet-to-VNet pomocí webu Azure Portal
- Připojení virtuální sítě z různých modelů nasazení pomocí portálu
- VPN Gateway – nejčastější dotazy
Porovnání partnerských vztahů virtuálních sítí a služby VPN Gateway
| Položka | Peering virtuálních sítí | VPN Gateway |
|---|---|---|
| Omezení | Až 500 partnerských vztahů virtuálních sítí na virtuální síť (viz Omezení sítí). | Jedna brána VPN na virtuální síť. Maximální počettunelch |
| Cenový model | Příchozí nebo výchozí přenos dat | Hourly + Egress |
| Šifrování | Doporučuje se šifrování na úrovni softwaru. | Vlastní zásady IPsec/IKE je možné použít pro nová nebo existující připojení. Přečtěte si informace o kryptografických požadavcích a branách Azure VPN. |
| Limity šířky pásma | Žádná omezení šířky pásma. | Liší se podle skladové položky. Viz skladové položky brány podle tunelu, připojení a propustnosti. |
| Soukromé? | Ano. Směrováno prostřednictvím páteřní a privátní sítě Microsoftu. Není zapojen žádný veřejný internet. | Veřejná IP adresa, která se týká, ale směrována přes páteřní síť Microsoftu, pokud je povolená globální síť Microsoftu. |
| Tranzitivní relace | Připojení peeringu jsou nepřenosná. Přenosnou síť je možné dosáhnout pomocí síťových virtuálních zařízení nebo bran v centrální virtuální síti. Příklad najdete v hvězdicové síťové topologii . | Pokud jsou virtuální sítě připojené přes brány VPN a protokol BGP je v připojeních virtuální sítě povolený, funguje průchodnost. |
| Počáteční čas nastavení | Rychlé | ~30 minut |
| Typické scénáře | Replikace dat, převzetí služeb při selhání databáze a další scénáře, které vyžadují časté zálohování velkých dat. | Scénáře specifické pro šifrování, které nejsou citlivé na latenci a nevyžadují vysokou latenci v celém prostředí. |
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Anavi Nahar | Správce hlavního primárního řadiče domény