In diesem Artikel werden zwei Verbindungsarten für virtuelle Netzwerke in Azure miteinander verglichen: Peering virtueller Netzwerke und VPN-Gateways.
Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks. Standardmäßig kann Datenverkehr nicht zwischen zwei virtuellen Netzwerken weitergeleitet werden. Es ist jedoch möglich, virtuelle Netzwerke innerhalb einer einzelnen Region oder über zwei Regionen hinweg miteinander zu verbinden, sodass Datenverkehr zwischen ihnen weitergeleitet werden kann.
Virtuelle Netzwerkverbindungstypen
Peering virtueller Netzwerke. Das Peering virtueller Netzwerke dient zur Verbindung zweier virtueller Azure-Netzwerke. Nach dem Peering werden die virtuellen Netzwerke für Verbindungszwecke als einzelnes Element angezeigt. Datenverkehr zwischen virtuellen Computern in den mittels Peering verknüpften virtuellen Netzwerken wird über die Microsoft-Backbone-Infrastruktur geleitet. Dabei werden nur private IP-Adressen verwendet. Das öffentliche Internet wird nicht genutzt. Virtuelle Netzwerke können auch zwischen verschiedenen Azure-Regionen mittels Peering verknüpft werden (globales Peering).
VPN-Gateways: Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Über ein VPN-Gateway kann auch Datenverkehr zwischen virtuellen Azure-Netzwerken gesendet werden. Jedes virtuelle Netzwerk kann maximal über ein einzelnes VPN-Gateway verfügen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.
Das Peering virtueller Netzwerke bietet eine Verbindung mit geringer Wartezeit und hoher Bandbreite. Da der Pfad kein Gateway enthält, sind keine zusätzlichen Hops erforderlich, was Verbindungen mit geringer Wartezeit ermöglicht. Dies ist hilfreich in Szenarien mit regionsübergreifender Datenreplikation oder regionsübergreifendem Datenbankfailover. Da der Datenverkehr privat ist und vollständig über den Microsoft-Backbone abgewickelt wird, eignet sich das Peering virtueller Netzwerke auch, wenn Sie über strenge Datenrichtlinien verfügen und das Senden von Datenverkehr über das Internet vermeiden möchten.
VPN-Gateways bieten eine Verbindung mit eingeschränkter Bandbreite und sind hilfreich in Szenarien, in denen eine Verschlüsselung erforderlich ist und Einschränkungen bei der Bandbreite akzeptabel sind. In Szenarien dieser Art haben Kunden auch eine höhere Toleranz gegenüber Wartezeiten.
Gatewaytransit
Parallele Verwendung von Peering virtueller Netzwerke und VPN-Gateways mit Gatewaytransit
Dank Gatewaytransit können Sie unter Verwendung des Gateways eines mittels Peering verknüpften virtuellen Netzwerks eine Verbindung mit der lokalen Umgebung herstellen, anstatt ein neues Gateway für die Konnektivität zu erstellen. Wenn Ihre Workloads in Azure zunehmen, müssen Sie Ihre Netzwerke über Regionen und virtuelle Netzwerke hinweg skalieren, um mit dem Wachstum Schritt zu halten. Mithilfe des Gatewaytransits können Sie ein ExpressRoute- oder VPN-Gateway für alle mittels Peering verknüpften virtuellen Netzwerke verwenden und die Konnektivität an einem zentralen Ort verwalten. Die gemeinsame Nutzung ermöglicht Kosteneinsparungen sowie eine effizientere Verwaltung.
Wenn Gatewaytransit für das Peering virtueller Netzwerke aktiviert ist, können Sie ein virtuelles Transitnetzwerk erstellen, das Ihr VPN-Gateway, Ihr virtuelles Netzwerkgerät und andere gemeinsam genutzte Dienste enthält. Wenn in Ihrer Organisation neue Anwendungen oder Unternehmenseinheiten hinzukommen und Sie neue virtuelle Netzwerke einrichten, können Sie mittels Peering eine Verbindung mit Ihrem virtuellen Transitnetzwerk herstellen. Dadurch bleibt Ihr Netzwerk überschaubar, und der Aufwand für die Verwaltung mehrerer Gateways und anderer Appliances verringert sich.
Konfigurieren von Verbindungen
Vom Peering virtueller Netzwerke sowie von VPN-Gateways werden folgende Verbindungstypen unterstützt:
- Virtuelle Netzwerke in unterschiedlichen Regionen
- Virtuelle Netzwerke in verschiedenen Microsoft Entra-Mandanten.
- Virtuelle Netzwerke in unterschiedlichen Azure-Abonnements
- Virtuelle Netzwerke mit einer Kombination aus verschiedenen Azure-Bereitstellungsmodellen (Resource Manager und klassisch)
Weitere Informationen finden Sie in den folgenden Artikeln:
- Erstellen eines Peerings virtueller Netzwerke gemäß dem Ressourcen-Manager-Modell in verschiedenen Abonnements
- Erstellen eines Peerings virtueller Netzwerke mithilfe verschiedener Bereitstellungsmodelle im selben Abonnement
- Konfigurieren einer VNET-zu-VNET-VPN-Gatewayverbindung über das Azure-Portal
- Verbinden von virtuellen Netzwerken aus unterschiedlichen Bereitstellungsmodellen über das Portal
- Häufig gestellte Fragen zum VPN-Gateway
Vergleich von Peering virtueller Netzwerke und VPN-Gateway
| Element | Peering in virtuellen Netzwerken | VPN Gateway |
|---|---|---|
| Einschränkungen | Bis zu 500 VNET-Peerings pro virtuelles Netzwerk (siehe Grenzwerte für Netzwerke). | Ein einzelnes VPN-Gateway pro virtuelles Netzwerk. Die maximale Anzahl von Tunneln pro Gateway hängt von der Gateway-SKU ab. |
| Preismodell | Ein-/Ausgehende Datenübertragung | Stündlich + ausgehende Datenübertragung |
| Verschlüsselung | Verschlüsselung auf Softwareebene wird empfohlen. | Eine benutzerdefinierte IPsec-/IKE-Richtlinie kann auf neue oder vorhandene Verbindungen angewendet werden. Weitere Informationen finden Sie unter Kryptografische Anforderungen und Azure-VPN-Gateways. |
| Bandbreiteneinschränkungen | Keine Bandbreiteneinschränkungen. | Abhängig von der SKU. Weitere Informationen finden Sie unter Gateway-SKUs nach Tunnel, Verbindung und Durchsatz. |
| Privat? | Ja. Weiterleitung über den Microsoft-Backbone und privat. Keine Verwendung des öffentlichen Internets. | Verwendung einer öffentlichen IP-Adresse, aber Weiterleitung über den Microsoft-Backbone, wenn das globale Microsoft-Netzwerk aktiviert ist. |
| Transitive Beziehung | Peeringverbindungen sind nicht transitiv. Transitive Netzwerkverbindungen können mithilfe von NVAs oder Gateways im virtuellen Hubnetzwerk erreicht werden. Ein Beispiel finden Sie unter Hub-Spoke-Netzwerktopologie in Azure. | Wenn virtuelle Netzwerke über VPN-Gateways verbunden werden und BGP für die VNET-Verbindungen aktiviert ist, funktioniert die Transitivität. |
| Für Anfangskonfiguration benötigte Zeit | Schnell | Ca. 30 Minuten |
| Typische Szenarien | Datenreplikation, Datenbankfailover und andere Szenarien mit häufiger Sicherung umfangreicher Daten. | Verschlüsselungsspezifische Szenarien, in denen Wartezeiten akzeptabel sind und kein hoher Durchsatz erforderlich ist. |
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Anavi Nahar | Principal PDM Manager