Questo articolo confronta due modi per connettere reti virtuali in Azure: peering di rete virtuale e gateway VPN.
Una rete virtuale è una parte virtuale, isolata della rete pubblica di Azure. Per impostazione predefinita, il traffico non può essere instradato tra due reti virtuali. Tuttavia, è possibile connettere reti virtuali, all'interno di una singola area o tra due aree, in modo che il traffico possa essere instradato tra di essi.
Tipi di connessione di rete virtuale
Peering di reti virtuali. Il peering di rete virtuale connette due reti virtuali di Azure. Dopo avere eseguito il peering, le reti virtuali vengono visualizzate come una sola dal punto di vista della connettività. Il traffico tra macchine virtuali nelle reti virtuali con peering viene instradato attraverso l'infrastruttura backbone Microsoft, solo tramite indirizzi IP privati. Nessuna rete Internet pubblica è coinvolta. È anche possibile eseguire il peering di reti virtuali tra aree di Azure (peering globale).
Gateway VPN. Un gateway VPN è un tipo specifico di gateway di rete virtuale usato per inviare il traffico tra una rete virtuale di Azure e una posizione locale tramite La rete Internet pubblica. È anche possibile usare un gateway VPN per inviare traffico tra reti virtuali di Azure. Ogni rete virtuale può avere al massimo un gateway VPN. È consigliabile abilitare Protezione DDOS di Azure Standard in qualsiasi rete virtuale perimetrale.
Il peering di rete virtuale offre una connessione a bassa latenza e larghezza di banda elevata. Nel percorso non è presente alcun gateway, quindi non sono presenti hop aggiuntivi, garantendo connessioni a bassa latenza. È utile in scenari come la replica dei dati tra aree e il failover del database. Poiché il traffico è privato e rimane nel backbone Microsoft, prendere in considerazione anche il peering di rete virtuale se si dispone di criteri di dati rigorosi e si vuole evitare di inviare traffico tramite Internet.
I gateway VPN forniscono una connessione con larghezza di banda limitata e sono utili negli scenari in cui è necessaria la crittografia, ma possono tollerare restrizioni della larghezza di banda. In questi scenari, anche i clienti non sono sensibili alla latenza.
Transito gateway
Il peering di rete virtuale e i gateway VPN possono coesistere anche tramite il transito del gateway
Il transito gateway consente di usare il gateway di una rete virtuale con peering per la connessione a locale, anziché creare un nuovo gateway per la connettività. Man mano che si aumentano i carichi di lavoro in Azure, è necessario ridimensionare le reti tra aree e reti virtuali per mantenere il passo con la crescita. Il transito del gateway consente di condividere un gateway ExpressRoute o VPN con tutte le reti virtuali con peering e di gestire la connettività in un'unica posizione. La condivisione consente risparmi sui costi e riduzione del sovraccarico di gestione.
Con il transito del gateway abilitato nel peering di rete virtuale, è possibile creare una rete virtuale di transito che contiene il gateway VPN, l'appliance virtuale di rete e altri servizi condivisi. Man mano che l'organizzazione cresce con nuove applicazioni o business unit e man mano che si avviano nuove reti virtuali, è possibile connettersi alla rete virtuale di transito usando il peering. Ciò impedisce l'aggiunta di complessità alla rete e riduce il sovraccarico di gestione della gestione di più gateway e altre appliance.
Configurazione delle connessioni
Il peering di rete virtuale e i gateway VPN supportano entrambi i tipi di connessione seguenti:
- Reti virtuali in aree diverse.
- Reti virtuali in tenant di Azure Active Directory diversi.
- Reti virtuali in sottoscrizioni di Azure diverse.
- Reti virtuali che usano una combinazione di modelli di distribuzione di Azure (Resource Manager e versione classica).
Per altre informazioni, vedere gli articoli seguenti:
- Creare un peering di rete virtuale - Resource Manager, sottoscrizioni diverse
- Creare un peering di rete virtuale: diversi modelli di distribuzione, stessa sottoscrizione
- Configurare una connessione gateway VPN da rete virtuale a rete virtuale con il portale di Azure
- Connettere reti virtuali da modelli di distribuzione diversi usando il portale
- Domande frequenti sul gateway VPN
Confronto tra peering di reti virtuali e Gateway VPN
| Elemento | Peering di rete virtuale | Gateway VPN |
|---|---|---|
| Limiti | Fino a 500 peering di rete virtuale per rete virtuale (vedere Limiti di rete). | Un gateway VPN per rete virtuale. Il numero massimo di tunnel per gateway dipende dallo SKU del gateway. |
| Modello di prezzi | Entrata/uscita | Oraria + uscita |
| Crittografia | È consigliabile usare la crittografia a livello di software. | I criteri IPsec/IKE personalizzati possono essere applicati a connessioni nuove o esistenti. Vedere Informazioni sui requisiti di crittografia e sui gateway VPN di Azure. |
| Limitazioni della larghezza di banda | Nessuna limitazione della larghezza di banda. | Varia in base a SKU. Vedere SKU del gateway per tunnel, connessione e velocità effettiva. |
| Privato? | Sì. Instradato attraverso il backbone Microsoft e privato. Nessuna rete Internet pubblica coinvolta. | Ip pubblico interessato, ma instradato attraverso il backbone Microsoft se è abilitata la rete globale Microsoft . |
| Relazione transitiva | Le connessioni di peering non sono transitive. La rete transitiva può essere ottenuta usando appliance virtuali di rete o gateway nella rete virtuale hub. Per un esempio, vedere Topologia di rete Hub-spoke . | Se le reti virtuali sono connesse tramite gateway VPN e BGP è abilitato nelle connessioni di rete virtuale, funziona la transitività. |
| Tempo di configurazione iniziale | Veloce | ~30 minuti |
| Scenari tipici | Replica dei dati, failover del database e altri scenari che richiedono backup frequenti di dati di grandi dimensioni. | Scenari specifici della crittografia che non sono sensibili alla latenza e che non richiedono un'elevata frequenza. |
Autori di contributi
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai collaboratori seguenti.
Autore principale:
- Anavi Nahar | Principal PDM Manager