Den här artikeln jämför två sätt att ansluta virtuella nätverk i Azure: peering för virtuella nätverk och VPN-gatewayer.
Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Som standard kan trafik inte dirigeras mellan två virtuella nätverk. Det är dock möjligt att ansluta virtuella nätverk, antingen inom en enda region eller mellan två regioner, så att trafiken kan dirigeras mellan dem.
Anslutningstyper för virtuellt nätverk
Peering för virtuella nätverk. Peering för virtuella nätverk ansluter två virtuella Azure-nätverk. När de virtuella nätverken har peer-kopplats visas de som ett nätverk för anslutningsändamål. Trafik mellan virtuella datorer i peer-kopplade virtuella nätverk dirigeras via Microsofts staminfrastruktur, endast via privata IP-adresser. Inget offentligt internet är inblandat. Du kan också peer-koppla virtuella nätverk mellan Azure-regioner (global peering).
VPN-gatewayer. En VPN-gateway är en specifik typ av virtuell nätverksgateway som används för att skicka trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella Azure-nätverk. Varje virtuellt nätverk kan ha högst en VPN-gateway. Du bör aktivera Azure DDOS Protection i alla virtuella perimeternätverk.
Peering för virtuella nätverk ger en anslutning med låg svarstid och hög bandbredd. Det finns ingen gateway i sökvägen, så det finns inga extra hopp, vilket säkerställer anslutningar med låg svarstid. Det är användbart i scenarier som datareplikering mellan regioner och databasredundans. Eftersom trafiken är privat och förblir på Microsofts stamnät bör du även överväga peering för virtuella nätverk om du har strikta dataprinciper och vill undvika att skicka trafik via Internet.
VPN-gatewayer ger en begränsad bandbreddsanslutning och är användbara i scenarier där du behöver kryptering men kan tolerera bandbreddsbegränsningar. I dessa scenarier är kunderna inte heller lika svarstidskänsliga.
Gatewayöverföring
Peering för virtuella nätverk och VPN-gatewayer kan också samexistera via gatewayöverföring
Med gatewayöverföring kan du använda en peer-ansluten virtuell nätverksgateway för att ansluta till en lokal plats, i stället för att skapa en ny gateway för anslutning. När du ökar antalet arbetsbelastningar i Azure måste du skala dina nätverk i andra regioner och virtuella nätverk för att hantera tillväxten. Med gatewayöverföring kan du dela en ExpressRoute- eller VPN-gateway med alla peer-kopplade virtuella nätverk och du kan hantera anslutningen på ett och samma ställe. Delning möjliggör kostnadsbesparingar och minskade hanteringskostnader.
Med gatewayöverföring aktiverat på peering för virtuella nätverk kan du skapa ett virtuellt transitnätverk som innehåller din VPN-gateway, den virtuella nätverksinstallationen och andra delade tjänster. När din organisation växer med nya program eller affärsenheter och när du startar nya virtuella nätverk kan du ansluta till ditt virtuella transitnätverk med hjälp av peering. Detta förhindrar att du lägger till komplexitet i nätverket och minskar hanteringskostnaderna för att hantera flera gatewayer och andra enheter.
Konfigurera anslutningar
Peering för virtuella nätverk och VPN-gatewayer stöder båda följande anslutningstyper:
- Virtuella nätverk i olika regioner.
- Virtuella nätverk i olika Microsoft Entra-klienter.
- Virtuella nätverk i olika Azure-prenumerationer.
- Virtuella nätverk som använder en blandning av Azure-distributionsmodeller (Resource Manager och klassisk).
Mer information finns i följande artiklar:
- Skapa en peering för virtuellt nätverk – Resource Manager, olika prenumerationer
- Skapa en peering för virtuella nätverk – olika distributionsmodeller, samma prenumeration
- Konfigurera en VPN-gatewayanslutning mellan virtuella nätverk med hjälp av Azure-portalen
- Anslut virtuella nätverk från olika distributionsmodeller med hjälp av portalen
- Vanliga frågor och svar om VPN Gateway
Jämförelse av peering för virtuella nätverk och VPN Gateway
| Artikel | Virtuell nätverkspeering | VPN Gateway |
|---|---|---|
| Gränser | Upp till 500 peerings för virtuella nätverk per virtuellt nätverk (se Nätverksgränser). | En VPN-gateway per virtuellt nätverk. Det maximala antalet tunnlar per gateway beror på gateway-SKU :n. |
| Prismodell | Ingress/utgående | Timvis + utgående |
| Kryptering | Kryptering på programvarunivå rekommenderas. | Anpassad IPsec/IKE-princip kan tillämpas på nya eller befintliga anslutningar. Se Om kryptografiska krav och Azure VPN-gatewayer. |
| Begränsningar av bandbredden | Inga bandbreddsbegränsningar. | Varierar beroende på SKU. Se Gateway-SKU :er efter tunnel, anslutning och dataflöde. |
| Privat? | Ja. Dirigeras via Microsofts stamnät och privat. Inget offentligt Internet är inblandat. | Offentlig IP-adress är inblandad, men dirigeras via Microsofts stamnät om Microsofts globala nätverk är aktiverat. |
| Transitiv relation | Peering-anslutningar är icke-transitiva. Transitiva nätverk kan uppnås med hjälp av NVA:er eller gatewayer i det virtuella hubbnätverket. Ett exempel finns i Nätverkstopologi för Hub-spoke. | Om virtuella nätverk är anslutna via VPN-gatewayer och BGP är aktiverat i de virtuella nätverksanslutningarna fungerar transitiviteten. |
| Inledande installationstid | Snabbt | ~30 minuter |
| Vanliga scenarier | Datareplikering, databasredundans och andra scenarier som behöver frekventa säkerhetskopieringar av stora data. | Krypteringsspecifika scenarier som inte är svarstidskänsliga och inte behöver hög hela. |
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Anavi Nahar | Huvudansvarig PDM-hanterare