Bestimmen von Gatewaytransit und Konnektivität

  • 6 Minuten

Wenn virtuelle Netzwerke gekoppelt werden, können Sie das Azure VPN-Gateway im verbundenen virtuellen Netzwerk als Transitpunkt konfigurieren. In diesem Szenario verwendet ein virtuelles Peernetzwerk das Remote-VPN-Gateway, um Zugriff auf andere Ressourcen zu erhalten.

Transit- und Konnektivitätsverwendung

Nehmen Sie ein Szenario an, in dem drei virtuelle Netzwerke in derselben Region durch VNet-Peering verbunden sind. Das virtuelle Netzwerk A und das virtuelle Netzwerk B sind jeweils über Peering mit einem virtuellen Hubnetzwerk verbunden. Das virtuelle Hubnetzwerk enthält mehrere Ressourcen, darunter ein Gatewaysubnetz und ein Azure-VPN-Gateway. Das VPN-Gateway ist so konfiguriert, dass VPN-Gatewaytransit zugelassen wird. Das virtuelle Netzwerk B greift mithilfe eines Remote-VPN-Gateways auf Ressourcen im Hub zu, einschließlich des Gatewaysubnetzes.

Diagramm eines regionalen virtuellen Netzwerk-Peerings. Ein Netzwerk ermöglicht den VPN-Gateway-Transit und verwendet ein entferntes VPN-Gateway, um auf Ressourcen in einem virtuellen Hubnetzwerk zuzugreifen.

Das Azure-Portal erwähnt nicht ausdrücklich die Gatewaytransit und Konnektivität. Stattdessen haben Sie Auswahlmöglichkeiten zum Zulassen und Weiterleiten von Netzwerkdatenverkehr. Können Sie die Unterschiede bei der Auswahl erkennen?

Screenshot der Peeringoptionen im Portal.

Wissenswertes zu Azure VPN Gateway

Sehen wir uns genauer an, wie Azure VPN Gateway mit Azure Virtual Network-Peering implementiert wird.

  • Ein virtuelles Netzwerk kann nur über ein VPN-Gateway verfügen.

  • Der Gatewaytransit wird sowohl für das regionale als auch für das globale VNet-Peering unterstützt.

  • Wenn Sie den VPN-Gatewaytransit zulassen, kann das virtuelle Netzwerk mit Ressourcen außerhalb des Peerings kommunizieren. In unserer Beispieldarstellung kann das Gatewaysubnetzgateway innerhalb des virtuellen Hubnetzwerks Aufgaben wie beispielsweise folgende ausführen:

    • Verwenden eines Site-to-Site-VPN, um eine Verbindung mit einem lokalen Netzwerk herzustellen
    • Verwenden einer VNet-to-VNet-Verbindung mit einem anderen virtuellen Netzwerk
    • Verwenden eines Point-to-Site-VPN, um eine Verbindung mit einem Client herzustellen

  • Gatewaytransit ermöglicht miteinander verbundenen virtuellen Netzwerken die gemeinsame Nutzung des Gateways und den Zugriff auf externe Ressourcen. Bei dieser Implementierung müssen Sie kein VPN-Gateway im virtuellen Peernetzwerk bereitstellen.

  • Sie können Netzwerksicherheitsgruppen in einem virtuellen Netzwerk anwenden, um den Zugriff auf andere virtuelle Netzwerke oder Subnetze zu blockieren oder zu erlauben. Wenn Sie das VNet-Peering konfigurieren, können Sie die Regeln für Netzwerksicherheitsgruppen zwischen den virtuellen Netzwerken öffnen oder schließen.