Wählen Zwischen virtuellem Netzwerkpeering und VPN-Gateways

Microsoft Entra ID

Azure Virtual Network

Azure VPN Gateway

In diesem Artikel werden zwei Möglichkeiten zum Verbinden virtueller Netzwerke in Azure verglichen: virtuelles Netzwerkpeering und VPN-Gateways.

Ein virtuelles Netzwerk ist ein virtueller, isolierter Teil des öffentlichen Azure-Netzwerks. Standardmäßig kann der Datenverkehr nicht zwischen zwei virtuellen Netzwerken weitergeleitet werden. Es ist jedoch möglich, virtuelle Netzwerke entweder innerhalb einer einzelnen Region oder in zwei Regionen zu verbinden, damit der Datenverkehr zwischen ihnen weitergeleitet werden kann.

Virtuelle Netzwerkverbindungstypen

Peering virtueller Netzwerke. Virtuelles Netzwerk-Peering verbindet zwei virtuelle Azure-Netzwerke. Nachdem die virtuellen Netzwerke miteinander verbunden wurden, erscheinen sie zu Verbindungszwecken als ein einziges Netzwerk. Der Datenverkehr zwischen virtuellen Computern in den virtuellen Peernetzwerken wird nur über die Microsoft-Backbone-Infrastruktur weitergeleitet, nur über private IP-Adressen. Es ist kein öffentliches Internet beteiligt. Sie können auch virtuelle Netzwerke über verschiedene Azure-Regionen hinweg (globales Peering) verknüpfen.

VPN-Gateways. Ein VPN-Gateway ist ein bestimmter Typ des virtuellen Netzwerkgateways, der verwendet wird, um Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Sie können auch ein VPN-Gateway verwenden, um Datenverkehr zwischen virtuellen Azure-Netzwerken zu senden. Jedes virtuelle Netzwerk kann höchstens über ein VPN-Gateway verfügen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Virtuelles Netzwerk-Peering bietet eine Verbindung mit geringer Latenz und hoher Bandbreite. Es gibt kein Gateway im Pfad, sodass keine zusätzlichen Hops vorhanden sind, wodurch Verbindungen mit geringer Latenz sichergestellt werden. Es ist nützlich in Szenarien wie der regionsübergreifenden Datenreplikation und datenbankübergreifendem Failover. Da Datenverkehr privat ist und auf dem Microsoft-Backbone verbleibt, sollten Sie auch virtuelles Netzwerk-Peering in Betracht ziehen, wenn Sie strenge Datenrichtlinien haben und verhindern möchten, dass Datenverkehr über das Internet gesendet wird.

VPN-Gateways bieten eine eingeschränkte Bandbreitenverbindung und sind in Szenarien hilfreich, in denen Sie Verschlüsselung benötigen, aber Bandbreiteneinschränkungen tolerieren können. In diesen Szenarien sind Kunden auch nicht so latenzempfindlich.

Gatewaytransit

Virtuelles Netzwerkpeering und VPN-Gateways können auch über die Gatewaytransit vorhanden sein

Gateway-Transit ermöglicht es Ihnen, das Gateway eines verbundenen virtuellen Netzwerks für die Verbindung mit dem lokalen Netzwerk zu verwenden, anstatt ein neues Gateway für die Konnektivität zu erstellen. Wenn Sie Ihre Workloads in Azure erhöhen, müssen Sie Ihre Netzwerke über Regionen und virtuelle Netzwerke skalieren, um mit dem Wachstum schritt zu halten. Mit dem Gateway-Transit können Sie ein ExpressRoute- oder VPN-Gateway mit allen verbundenen virtuellen Netzwerken teilen und die Konnektivität an einem zentralen Ort verwalten. Das Teilen ermöglicht Kosteneinsparungen und eine Verringerung des Verwaltungsaufwands.

Mit aktiviertem Gateway-Transit für virtuelles Netzwerk-Peering können Sie ein virtuelles Transitnetzwerk erstellen, das Ihr VPN-Gateway, die virtuelle Netzwerk-Appliance und andere gemeinsame Dienste enthält. Wenn Ihre Organisation mit neuen Anwendungen oder Geschäftseinheiten wächst und Sie neue virtuelle Netzwerke einrichten, können Sie mithilfe von Peering eine Verbindung mit Ihrem virtuellen Transitnetzwerk herstellen. Dadurch wird das Hinzufügen von Komplexität zu Ihrem Netzwerk verhindert und der Verwaltungsaufwand für die Verwaltung mehrerer Gateways und anderer Appliances reduziert.

Konfigurieren von Verbindungen

Virtuelle Netzwerkpeering- und VPN-Gateways unterstützen beide die folgenden Verbindungstypen:

• Virtuelle Netzwerke in verschiedenen Regionen.
• Virtuelle Netzwerke in verschiedenen Microsoft Entra-Mandanten.
• Virtuelle Netzwerke in verschiedenen Azure-Abonnements.
• Virtuelle Netzwerke, die eine Mischung aus Azure-Bereitstellungsmodellen verwenden (Ressourcen-Manager und klassisch).

Weitere Informationen finden Sie in den folgenden Artikeln:

• Erstellen eines virtuellen Netzwerk-Peerings – Ressourcen-Manager, verschiedene Abonnements
• Erstellen eines Peerings virtueller Netzwerke mithilfe verschiedener Bereitstellungsmodelle im selben Abonnement
• Konfigurieren einer VNet-zu-VNet-VPN-Gatewayverbindung mithilfe des Azure-Portals
• Verbinden virtueller Netzwerke aus verschiedenen Bereitstellungsmodellen mithilfe des Portals
• Häufig gestellte Fragen zum VPN-Gateway

Vergleich von virtuellem Netzwerkpeering und VPN-Gateway

Gegenstand	Peering in virtuellen Netzwerken	VPN-Gateway
Grenzen	Bis zu 500 virtuelle Netzwerk-Peerings pro virtuellem Netzwerk (siehe Netzwerkgrenzwerte).	Ein VPN-Gateway pro virtuellem Netzwerk. Die maximale Anzahl von Tunneln pro Gateway hängt von der Gateway-SKU ab.
Preismodell	Eingangs-/Ausgang	Stündlich + Ausgang
Verschlüsselung	Azure Virtual Network Encryption kann genutzt werden.	Benutzerdefinierte IPsec/IKE-Richtlinie kann auf neue oder vorhandene Verbindungen angewendet werden. Informationen zu kryptografischen Anforderungen und Azure VPN-Gateways.
Bandbreitenbeschränkungen	Keine Bandbreiteneinschränkungen.	Variiert je nach SKU. Siehe Gateway-SKUs nach Tunnel, Verbindung und Durchsatz.
Privat?	Ja. Weitergeleitet durch das Microsoft-Backbone und ein privates Netzwerk. Kein öffentliches Internet im Einsatz.	Öffentliche IP-Adresse beteiligt, wird jedoch über das Microsoft-Backbone geleitet, wenn das globale Microsoft-Netzwerk aktiviert ist.
Transitive Beziehung	Peeringverbindungen sind nicht transitiv. Transitive Netzwerke können mithilfe von NVAs oder Gateways im virtuellen Hubnetzwerk erreicht werden. Ein Beispiel finden Sie in der Hub-Spoke-Netzwerktopologie .	Wenn virtuelle Netzwerke über VPN-Gateways verbunden sind und BGP in den virtuellen Netzwerkverbindungen aktiviert ist, funktioniert die Transitivität.
Anfängliche Einrichtungszeit	Schnell	~30 Minuten
Typische Szenarien	Datenreplikation, Datenbankfailover und andere Szenarien erfordern häufige Sicherungen großer Daten.	Verschlüsselungsspezifische Szenarien, die nicht latenzempfindlich sind und keinen hohen Durchsatz benötigen.

Beitragende

Dieser Artikel wird von Microsoft verwaltet. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.

Hauptautor:

• Anavi Nahar | Haupt-PDM-Manager

Nächste Schritte

• Planen virtueller Netzwerke
• Wählen Sie eine Lösung für die Verbindung eines lokalen Netzwerks mit Azure aus.

In diesem Artikel werden zwei Möglichkeiten zum Verbinden virtueller Netzwerke in Azure verglichen: virtuelles Netzwerkpeering und VPN-Gateways.

Ein virtuelles Netzwerk ist ein virtueller, isolierter Teil des öffentlichen Azure-Netzwerks. Standardmäßig kann der Datenverkehr nicht zwischen zwei virtuellen Netzwerken weitergeleitet werden. Es ist jedoch möglich, virtuelle Netzwerke entweder innerhalb einer einzelnen Region oder in zwei Regionen zu verbinden, damit der Datenverkehr zwischen ihnen weitergeleitet werden kann.

Virtuelle Netzwerkverbindungstypen

Peering virtueller Netzwerke. Virtuelles Netzwerk-Peering verbindet zwei virtuelle Azure-Netzwerke. Nachdem die virtuellen Netzwerke miteinander verbunden wurden, erscheinen sie zu Verbindungszwecken als ein einziges Netzwerk. Der Datenverkehr zwischen virtuellen Computern in den virtuellen Peernetzwerken wird nur über die Microsoft-Backbone-Infrastruktur weitergeleitet, nur über private IP-Adressen. Es ist kein öffentliches Internet beteiligt. Sie können auch virtuelle Netzwerke über verschiedene Azure-Regionen hinweg (globales Peering) verknüpfen.

VPN-Gateways. Ein VPN-Gateway ist ein bestimmter Typ des virtuellen Netzwerkgateways, der verwendet wird, um Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Sie können auch ein VPN-Gateway verwenden, um Datenverkehr zwischen virtuellen Azure-Netzwerken zu senden. Jedes virtuelle Netzwerk kann höchstens über ein VPN-Gateway verfügen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Virtuelles Netzwerk-Peering bietet eine Verbindung mit geringer Latenz und hoher Bandbreite. Es gibt kein Gateway im Pfad, sodass keine zusätzlichen Hops vorhanden sind, wodurch Verbindungen mit geringer Latenz sichergestellt werden. Es ist nützlich in Szenarien wie der regionsübergreifenden Datenreplikation und datenbankübergreifendem Failover. Da Datenverkehr privat ist und auf dem Microsoft-Backbone verbleibt, sollten Sie auch virtuelles Netzwerk-Peering in Betracht ziehen, wenn Sie strenge Datenrichtlinien haben und verhindern möchten, dass Datenverkehr über das Internet gesendet wird.

VPN-Gateways bieten eine eingeschränkte Bandbreitenverbindung und sind in Szenarien hilfreich, in denen Sie Verschlüsselung benötigen, aber Bandbreiteneinschränkungen tolerieren können. In diesen Szenarien sind Kunden auch nicht so latenzempfindlich.

Gatewaytransit

Virtuelles Netzwerkpeering und VPN-Gateways können auch über die Gatewaytransit vorhanden sein

Gateway-Transit ermöglicht es Ihnen, das Gateway eines verbundenen virtuellen Netzwerks für die Verbindung mit dem lokalen Netzwerk zu verwenden, anstatt ein neues Gateway für die Konnektivität zu erstellen. Wenn Sie Ihre Workloads in Azure erhöhen, müssen Sie Ihre Netzwerke über Regionen und virtuelle Netzwerke skalieren, um mit dem Wachstum schritt zu halten. Mit dem Gateway-Transit können Sie ein ExpressRoute- oder VPN-Gateway mit allen verbundenen virtuellen Netzwerken teilen und die Konnektivität an einem zentralen Ort verwalten. Das Teilen ermöglicht Kosteneinsparungen und eine Verringerung des Verwaltungsaufwands.

Mit aktiviertem Gateway-Transit für virtuelles Netzwerk-Peering können Sie ein virtuelles Transitnetzwerk erstellen, das Ihr VPN-Gateway, die virtuelle Netzwerk-Appliance und andere gemeinsame Dienste enthält. Wenn Ihre Organisation mit neuen Anwendungen oder Geschäftseinheiten wächst und Sie neue virtuelle Netzwerke einrichten, können Sie mithilfe von Peering eine Verbindung mit Ihrem virtuellen Transitnetzwerk herstellen. Dadurch wird das Hinzufügen von Komplexität zu Ihrem Netzwerk verhindert und der Verwaltungsaufwand für die Verwaltung mehrerer Gateways und anderer Appliances reduziert.

Konfigurieren von Verbindungen

Virtuelle Netzwerkpeering- und VPN-Gateways unterstützen beide die folgenden Verbindungstypen:

• Virtuelle Netzwerke in verschiedenen Regionen.
• Virtuelle Netzwerke in verschiedenen Microsoft Entra-Mandanten.
• Virtuelle Netzwerke in verschiedenen Azure-Abonnements.
• Virtuelle Netzwerke, die eine Mischung aus Azure-Bereitstellungsmodellen verwenden (Ressourcen-Manager und klassisch).

Weitere Informationen finden Sie in den folgenden Artikeln:

• Erstellen eines virtuellen Netzwerk-Peerings – Ressourcen-Manager, verschiedene Abonnements
• Erstellen eines Peerings virtueller Netzwerke mithilfe verschiedener Bereitstellungsmodelle im selben Abonnement
• Konfigurieren einer VNet-zu-VNet-VPN-Gatewayverbindung mithilfe des Azure-Portals
• Verbinden virtueller Netzwerke aus verschiedenen Bereitstellungsmodellen mithilfe des Portals
• Häufig gestellte Fragen zum VPN-Gateway

Vergleich von virtuellem Netzwerkpeering und VPN-Gateway

Gegenstand	Peering in virtuellen Netzwerken	VPN-Gateway
Grenzen	Bis zu 500 virtuelle Netzwerk-Peerings pro virtuellem Netzwerk (siehe Netzwerkgrenzwerte).	Ein VPN-Gateway pro virtuellem Netzwerk. Die maximale Anzahl von Tunneln pro Gateway hängt von der Gateway-SKU ab.
Preismodell	Eingangs-/Ausgang	Stündlich + Ausgang
Verschlüsselung	Azure Virtual Network Encryption kann genutzt werden.	Benutzerdefinierte IPsec/IKE-Richtlinie kann auf neue oder vorhandene Verbindungen angewendet werden. Informationen zu kryptografischen Anforderungen und Azure VPN-Gateways.
Bandbreitenbeschränkungen	Keine Bandbreiteneinschränkungen.	Variiert je nach SKU. Siehe Gateway-SKUs nach Tunnel, Verbindung und Durchsatz.
Privat?	Ja. Weitergeleitet durch das Microsoft-Backbone und ein privates Netzwerk. Kein öffentliches Internet im Einsatz.	Öffentliche IP-Adresse beteiligt, wird jedoch über das Microsoft-Backbone geleitet, wenn das globale Microsoft-Netzwerk aktiviert ist.
Transitive Beziehung	Peeringverbindungen sind nicht transitiv. Transitive Netzwerke können mithilfe von NVAs oder Gateways im virtuellen Hubnetzwerk erreicht werden. Ein Beispiel finden Sie in der Hub-Spoke-Netzwerktopologie .	Wenn virtuelle Netzwerke über VPN-Gateways verbunden sind und BGP in den virtuellen Netzwerkverbindungen aktiviert ist, funktioniert die Transitivität.
Anfängliche Einrichtungszeit	Schnell	~30 Minuten
Typische Szenarien	Datenreplikation, Datenbankfailover und andere Szenarien erfordern häufige Sicherungen großer Daten.	Verschlüsselungsspezifische Szenarien, die nicht latenzempfindlich sind und keinen hohen Durchsatz benötigen.

Beitragende

Dieser Artikel wird von Microsoft verwaltet. Sie wurde ursprünglich von den folgenden Mitwirkenden verfasst.

Hauptautor:

• Anavi Nahar | Haupt-PDM-Manager

Nächste Schritte

• Planen virtueller Netzwerke
• Wählen Sie eine Lösung für die Verbindung eines lokalen Netzwerks mit Azure aus.