Bearbeiten

Freigeben über


Wählen zwischen Peering virtueller Netzwerke und VPN-Gateways

Microsoft Entra ID
Azure Virtual Network
Azure VPN Gateway

In diesem Artikel werden zwei Verbindungsarten für virtuelle Netzwerke in Azure miteinander verglichen: Peering virtueller Netzwerke und VPN-Gateways.

Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks. Standardmäßig kann Datenverkehr nicht zwischen zwei virtuellen Netzwerken weitergeleitet werden. Es ist jedoch möglich, virtuelle Netzwerke innerhalb einer einzelnen Region oder über zwei Regionen hinweg miteinander zu verbinden, sodass Datenverkehr zwischen ihnen weitergeleitet werden kann.

Virtuelle Netzwerkverbindungstypen

Peering virtueller Netzwerke. Das Peering virtueller Netzwerke dient zur Verbindung zweier virtueller Azure-Netzwerke. Nach dem Peering werden die virtuellen Netzwerke für Verbindungszwecke als einzelnes Element angezeigt. Datenverkehr zwischen virtuellen Computern in den mittels Peering verknüpften virtuellen Netzwerken wird über die Microsoft-Backbone-Infrastruktur geleitet. Dabei werden nur private IP-Adressen verwendet. Das öffentliche Internet wird nicht genutzt. Virtuelle Netzwerke können auch zwischen verschiedenen Azure-Regionen mittels Peering verknüpft werden (globales Peering).

VPN-Gateways: Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Über ein VPN-Gateway kann auch Datenverkehr zwischen virtuellen Azure-Netzwerken gesendet werden. Jedes virtuelle Netzwerk kann maximal über ein einzelnes VPN-Gateway verfügen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Das Peering virtueller Netzwerke bietet eine Verbindung mit geringer Wartezeit und hoher Bandbreite. Da der Pfad kein Gateway enthält, sind keine zusätzlichen Hops erforderlich, was Verbindungen mit geringer Wartezeit ermöglicht. Dies ist hilfreich in Szenarien mit regionsübergreifender Datenreplikation oder regionsübergreifendem Datenbankfailover. Da der Datenverkehr privat ist und vollständig über den Microsoft-Backbone abgewickelt wird, eignet sich das Peering virtueller Netzwerke auch, wenn Sie über strenge Datenrichtlinien verfügen und das Senden von Datenverkehr über das Internet vermeiden möchten.

VPN-Gateways bieten eine Verbindung mit eingeschränkter Bandbreite und sind hilfreich in Szenarien, in denen eine Verschlüsselung erforderlich ist und Einschränkungen bei der Bandbreite akzeptabel sind. In Szenarien dieser Art haben Kunden auch eine höhere Toleranz gegenüber Wartezeiten.

Gatewaytransit

Parallele Verwendung von Peering virtueller Netzwerke und VPN-Gateways mit Gatewaytransit

Dank Gatewaytransit können Sie unter Verwendung des Gateways eines mittels Peering verknüpften virtuellen Netzwerks eine Verbindung mit der lokalen Umgebung herstellen, anstatt ein neues Gateway für die Konnektivität zu erstellen. Wenn Ihre Workloads in Azure zunehmen, müssen Sie Ihre Netzwerke über Regionen und virtuelle Netzwerke hinweg skalieren, um mit dem Wachstum Schritt zu halten. Mithilfe des Gatewaytransits können Sie ein ExpressRoute- oder VPN-Gateway für alle mittels Peering verknüpften virtuellen Netzwerke verwenden und die Konnektivität an einem zentralen Ort verwalten. Die gemeinsame Nutzung ermöglicht Kosteneinsparungen sowie eine effizientere Verwaltung.

Wenn Gatewaytransit für das Peering virtueller Netzwerke aktiviert ist, können Sie ein virtuelles Transitnetzwerk erstellen, das Ihr VPN-Gateway, Ihr virtuelles Netzwerkgerät und andere gemeinsam genutzte Dienste enthält. Wenn in Ihrer Organisation neue Anwendungen oder Unternehmenseinheiten hinzukommen und Sie neue virtuelle Netzwerke einrichten, können Sie mittels Peering eine Verbindung mit Ihrem virtuellen Transitnetzwerk herstellen. Dadurch bleibt Ihr Netzwerk überschaubar, und der Aufwand für die Verwaltung mehrerer Gateways und anderer Appliances verringert sich.

Konfigurieren von Verbindungen

Vom Peering virtueller Netzwerke sowie von VPN-Gateways werden folgende Verbindungstypen unterstützt:

  • Virtuelle Netzwerke in unterschiedlichen Regionen
  • Virtuelle Netzwerke in verschiedenen Microsoft Entra-Mandanten.
  • Virtuelle Netzwerke in unterschiedlichen Azure-Abonnements
  • Virtuelle Netzwerke mit einer Kombination aus verschiedenen Azure-Bereitstellungsmodellen (Resource Manager und klassisch)

Weitere Informationen finden Sie in den folgenden Artikeln:

Vergleich von Peering virtueller Netzwerke und VPN-Gateway

Element Peering in virtuellen Netzwerken VPN Gateway
Einschränkungen Bis zu 500 VNET-Peerings pro virtuelles Netzwerk (siehe Grenzwerte für Netzwerke). Ein einzelnes VPN-Gateway pro virtuelles Netzwerk. Die maximale Anzahl von Tunneln pro Gateway hängt von der Gateway-SKU ab.
Preismodell Ein-/Ausgehende Datenübertragung Stündlich + ausgehende Datenübertragung
Verschlüsselung Die virtuelle Netzwerkverschlüsselung von Azure kann genutzt werden. Eine benutzerdefinierte IPsec-/IKE-Richtlinie kann auf neue oder vorhandene Verbindungen angewendet werden. Weitere Informationen finden Sie unter Kryptografische Anforderungen und Azure-VPN-Gateways.
Bandbreiteneinschränkungen Keine Bandbreiteneinschränkungen. Abhängig von der SKU. Weitere Informationen finden Sie unter Gateway-SKUs nach Tunnel, Verbindung und Durchsatz.
Privat? Ja. Weiterleitung über den Microsoft-Backbone und privat. Keine Verwendung des öffentlichen Internets. Verwendung einer öffentlichen IP-Adresse, aber Weiterleitung über den Microsoft-Backbone, wenn das globale Microsoft-Netzwerk aktiviert ist.
Transitive Beziehung Peeringverbindungen sind nicht transitiv. Transitive Netzwerkverbindungen können mithilfe von NVAs oder Gateways im virtuellen Hubnetzwerk erreicht werden. Ein Beispiel finden Sie unter Hub-Spoke-Netzwerktopologie in Azure. Wenn virtuelle Netzwerke über VPN-Gateways verbunden werden und BGP für die VNET-Verbindungen aktiviert ist, funktioniert die Transitivität.
Für Anfangskonfiguration benötigte Zeit Schnell Ca. 30 Minuten
Typische Szenarien Datenreplikation, Datenbankfailover und andere Szenarien mit häufiger Sicherung umfangreicher Daten. Verschlüsselungsspezifische Szenarien, in denen Wartezeiten akzeptabel sind und kein hoher Durchsatz erforderlich ist.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

  • Anavi Nahar | Principal PDM Manager

Nächste Schritte