В этой статье сравниваются два способа подключения виртуальных сетей в Azure: пиринг между виртуальными сетями и VPN-шлюзами.
Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. По умолчанию трафик нельзя направлять между двумя виртуальными сетями. Однако можно подключить виртуальные сети в одном регионе или между двумя регионами, чтобы трафик можно было перенаправить между ними.
Типы подключений к виртуальной сети
Пиринг между виртуальными сетями. Пиринг между виртуальными сетями подключает две виртуальные сети Azure. После создания пиринговой связи две виртуальные сети выглядят как одна сеть при подключении. Трафик между виртуальными машинами в одноранговых виртуальных сетях направляется через магистральную инфраструктуру Майкрософт только через частные IP-адреса. Нет общедоступного интернета. Вы также можете одноранговые виртуальные сети между регионами Azure (глобальный пиринг).
VPN-шлюзы. VPN-шлюз — это определенный тип шлюза виртуальной сети, который используется для отправки трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки трафика между виртуальными сетями Azure. Каждая виртуальная сеть может иметь не более одного VPN-шлюза. Необходимо включить защиту от атак DDOS Azure в любой виртуальной сети периметра.
Пиринг между виртуальными сетями обеспечивает подключение с низкой задержкой и высокой пропускной способностью. В пути нет шлюза, поэтому нет дополнительных прыжков, обеспечивая низкие задержки подключений. Это полезно в таких сценариях, как реплика данных между регионами и отработка отказа базы данных. Так как трафик является частным и остается в магистрали Майкрософт, также рассмотрите пиринг между виртуальными сетями, если у вас есть строгие политики данных и хотите избежать отправки трафика через Интернет.
VPN-шлюзы обеспечивают ограниченное подключение к пропускной способности и полезны в сценариях, где требуется шифрование, но может допускать ограничения пропускной способности. В этих сценариях клиенты также не так чувствительны к задержкам.
Транзит через шлюз
Пиринг виртуальных сетей и VPN-шлюз также может сосуществовать через транзит шлюза.
Транзит шлюза позволяет использовать шлюз одноранговой виртуальной сети для подключения к локальной среде вместо создания нового шлюза для подключения. Когда рабочие нагрузки в Azure увеличиваются, нужно масштабировать сети в разных регионах и виртуальных сетях для поддержки растущих нагрузок. Транзит шлюза позволяет совместно использовать ExpressRoute или VPN-шлюз со всеми одноранговыми виртуальными сетями и управлять подключением в одном месте. Общий доступ позволяет сократить затраты и сократить затраты на управление.
С включенным транзитом шлюза в пиринге виртуальной сети можно создать транзитную виртуальную сеть, содержащую VPN-шлюз, сетевой виртуальный модуль и другие общие службы. По мере роста организации с новыми приложениями или бизнес-подразделениями и при создании новых виртуальных сетей вы можете подключиться к транзитной виртуальной сети с помощью пиринга. Это предотвращает добавление сложности в сеть и снижает затраты на управление несколькими шлюзами и другими (модуль).
Настройка подключений
Пиринг виртуальных сетей и VPN-шлюзы поддерживают следующие типы подключений:
- Виртуальные сети в разных регионах.
- Виртуальные сети в разных клиентах Microsoft Entra.
- Виртуальные сети в разных подписках Azure.
- Виртуальные сети, использующие сочетание моделей развертывания Azure (Resource Manager и классическая модель).
Дополнительные сведения см. в следующих статьях:
- Создание пиринга виртуальной сети — Resource Manager, разные подписки
- Создание пиринга виртуальной сети — разные модели развертывания, одна и та же подписка
- Настройка VPN-шлюза между виртуальными сетями с помощью портал Azure
- Подключение виртуальные сети из разных моделей развертывания с помощью портала
- VPN-шлюз: вопросы и ответы
Сравнение пиринга виртуальных сетей и VPN-шлюз
| Товар | Пиринг между виртуальными сетями | VPN-шлюз |
|---|---|---|
| Ограничения | До 500 пирингов виртуальных сетей на виртуальную сеть (см . ограничения сети). | Один VPN-шлюз для каждой виртуальной сети. Максимальное количество туннелей на шлюз зависит от номера SKU шлюза. |
| Модель ценообразования | Ingress/Egress | Почасовая + исходящий трафик |
| Шифрование | Рекомендуется использовать шифрование на уровне программного обеспечения. | Настраиваемая политика IPsec/IKE может применяться к новым или существующим подключениям. Дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure. |
| Ограничения пропускной способности | Ограничения пропускной способности отсутствуют. | Зависит от номера SKU. См . номера SKU шлюза по туннелям, подключению и пропускной способности. |
| Частная? | Да. Маршрутизируется через магистраль и частную платформу Майкрософт. Нет общедоступных интернет-участников. | Общедоступный IP-адрес, но перенаправлен через магистраль Майкрософт, если глобальная сеть Майкрософт включена. |
| Транзитивная связь | Пиринговые подключения являются не транзитивными. Транзитивная сеть может быть достигнута с помощью NVAs или шлюзов в центральной виртуальной сети. Пример см . в топологии центральной сети. | Если виртуальные сети подключены через VPN-шлюзы и BGP включены в подключениях виртуальной сети, транзитивность работает. |
| Время начальной настройки | Быстро | ~30 минут |
| Типичные сценарии | Данные реплика, отработка отказа базы данных и другие сценарии, требующие частого резервного копирования больших данных. | Сценарии, зависящие от шифрования, не чувствительные к задержке и не нуждающиеся во всем. |
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.
Автор субъекта:
- Анави Нахар | Диспетчер PDM субъекта