In dit artikel worden twee manieren vergeleken om virtuele netwerken in Azure te verbinden: peering van virtuele netwerken en VPN-gateways.
Een virtueel netwerk is een virtueel, geïsoleerd gedeelte van het openbare Azure-netwerk. Standaard kan verkeer niet worden gerouteerd tussen twee virtuele netwerken. Het is echter mogelijk om virtuele netwerken te verbinden, binnen één regio of tussen twee regio's, zodat verkeer tussen deze netwerken kan worden gerouteerd.
Verbindingstypen voor virtuele netwerken
Peering van virtuele netwerken. Peering van virtuele netwerken verbindt twee virtuele Azure-netwerken. Nadat de virtuele netwerken zijn gekoppeld via peering, worden ze voor verbindingsdoeleinden als één netwerk weergegeven. Verkeer tussen virtuele machines in de gekoppelde virtuele netwerken wordt alleen gerouteerd via de Microsoft-backbone-infrastructuur via privé-IP-adressen. Er is geen openbaar internet betrokken. U kunt ook virtuele netwerken peeren tussen Azure-regio's (wereldwijde peering).
VPN-gateways. Een VPN-gateway is een specifiek type virtuele netwerkgateway dat wordt gebruikt voor het verzenden van verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. U kunt ook een VPN-gateway gebruiken om verkeer tussen virtuele Azure-netwerken te verzenden. Elk virtueel netwerk kan maximaal één VPN-gateway hebben. Schakel Azure DDOS Protection in voor elk virtueel perimeternetwerk.
Peering van virtuele netwerken biedt een verbinding met lage latentie en hoge bandbreedte. Er is geen gateway in het pad, dus er zijn geen extra hops, waardoor verbindingen met lage latentie worden gegarandeerd. Dit is handig in scenario's zoals replicatie van gegevens in meerdere regio's en failover van databases. Omdat verkeer privé is en op de Microsoft-backbone blijft, kunt u ook peering van virtuele netwerken overwegen als u strikt gegevensbeleid hebt en wilt voorkomen dat verkeer via internet wordt verzonden.
VPN-gateways bieden een beperkte bandbreedteverbinding en zijn handig in scenario's waarin u versleuteling nodig hebt, maar bandbreedtebeperkingen kunnen verdragen. In deze scenario's zijn klanten ook niet als latentiegevoelig.
Gatewaydoorvoer
Peering van virtuele netwerken en VPN-gateways kunnen ook naast elkaar bestaan via gatewayoverdracht
Met gatewayoverdracht kunt u de gateway van een virtueel peernetwerk gebruiken om verbinding te maken met on-premises, in plaats van een nieuwe gateway te maken voor connectiviteit. Wanneer u uw workloads in Azure uitbreidt, moet u uw netwerken schalen in regio's en virtuele netwerken om de groei bij te blijven. Met gatewayoverdracht kunt u een ExpressRoute- of VPN-gateway delen met alle gekoppelde virtuele netwerken en kunt u de connectiviteit op één plaats beheren. Delen maakt kostenbesparingen en vermindering van beheeroverhead mogelijk.
Als gatewayoverdracht is ingeschakeld voor peering van virtuele netwerken, kunt u een virtueel doorvoernetwerk maken dat uw VPN-gateway, virtueel netwerkapparaat en andere gedeelde services bevat. Naarmate uw organisatie groeit met nieuwe toepassingen of bedrijfseenheden en wanneer u nieuwe virtuele netwerken maakt, kunt u verbinding maken met uw virtuele transitnetwerk met behulp van peering. Dit voorkomt het toevoegen van complexiteit aan uw netwerk en vermindert de beheeroverhead van het beheren van meerdere gateways en andere apparaten.
Verbindingen configureren
Peering van virtuele netwerken en VPN-gateways ondersteunen beide de volgende verbindingstypen:
- Virtuele netwerken in verschillende regio's.
- Virtuele netwerken in verschillende Microsoft Entra-tenants.
- Virtuele netwerken in verschillende Azure-abonnementen.
- Virtuele netwerken die gebruikmaken van een combinatie van Azure-implementatiemodellen (Resource Manager en klassiek).
Raadpleeg voor meer informatie de volgende artikelen:
- Een peering voor een virtueel netwerk maken - Resource Manager, verschillende abonnementen
- Een peering voor een virtueel netwerk maken - verschillende implementatiemodellen, hetzelfde abonnement
- Een VPN-gatewayverbinding tussen VNets configureren met behulp van Azure Portal
- virtuele netwerken van verschillende implementatiemodellen Verbinding maken met behulp van de portal
- Veelgestelde vragen VPN Gateway
Vergelijking van peering van virtuele netwerken en VPN Gateway
| Artikel | Peering op virtueel netwerk | VPN Gateway |
|---|---|---|
| Limieten | Maximaal 500 peerings voor virtuele netwerken per virtueel netwerk (zie netwerklimieten). | Eén VPN-gateway per virtueel netwerk. Het maximum aantal tunnels per gateway is afhankelijk van de gateway-SKU. |
| Prijsmodel | Inkomend/uitgaand verkeer | Uur + uitgaand verkeer |
| Versleuteling | Versleuteling op softwareniveau wordt aanbevolen. | Aangepast IPsec-/IKE-beleid kan worden toegepast op nieuwe of bestaande verbindingen. Zie Over cryptografische vereisten en Azure VPN-gateways. |
| Bandbreedtebeperkingen | Geen bandbreedtebeperkingen. | Varieert op basis van SKU. Zie gateway-SKU's per tunnel, verbinding en doorvoer. |
| Privé? | Ja. Gerouteerd via Microsoft-backbone en privé. Er is geen openbaar internet betrokken. | Openbaar IP-adres, maar gerouteerd via Microsoft backbone als het wereldwijde Microsoft-netwerk is ingeschakeld. |
| Transitieve relatie | Peeringverbindingen zijn niet transitief. Transitieve netwerken kunnen worden bereikt met NVA's of gateways in het virtuele hubnetwerk. Zie hub-spoke-netwerktopologie voor een voorbeeld. | Als virtuele netwerken zijn verbonden via VPN-gateways en BGP is ingeschakeld in de virtuele netwerkverbindingen, werkt transitiviteit. |
| Initiële installatietijd | Snel | ~30 minuten |
| Typische scenario's | Gegevensreplicatie, databasefailover en andere scenario's die regelmatig back-ups van grote gegevens nodig hebben. | Versleutelingsspecifieke scenario's die geen latentiegevoelig zijn en die overal niet hoog nodig zijn. |
Medewerkers
Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.
Hoofdauteur:
- Anavi Nahar | Principal PDM Manager