本文比較兩種方式來連線 Azure 中的虛擬網路:虛擬網路對等互連和 VPN 閘道。
虛擬網路為 Azure 公用網路的虛擬、隔離部分。 根據預設,無法在兩個虛擬網路之間路由傳送流量。 不過,您可以在單一區域內或跨兩個區域連線虛擬網路,以便在其之間路由傳送流量。
虛擬網路連線類型
虛擬網路對等互連。 虛擬網路對等互連會連線兩個 Azure 虛擬網路。 經過對等互連後,所有虛擬網路就可以作為一個整體來進行連線。 在對等互連虛擬網路中的虛擬機器之間的流量,會透過 Microsoft 骨幹基礎結構 (只會透過私人 IP 位址) 路由傳送。 沒有涉及公用網際網路。 您也可以跨 Azure 區域對等互連虛擬網路 (全域對等互連)。
VPN 閘道。 VPN 閘道是特定的虛擬網路閘道類型,可透過公用網際網路在 Azure 虛擬網路與內部部署位置之間傳送流量。 您也可以使用 VPN 閘道,傳送 Azure 虛擬網路之間的流量。 每個虛擬網路最多可以有一個 VPN 閘道。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
虛擬網路對等互連提供低延遲、高頻寬連線。 路徑中沒有閘道,因此沒有額外的躍點,確保低延遲連線。 這在跨區域資料復寫和資料庫容錯移轉等案例中很有用。 由於流量是私人的,且會保留在 Microsoft 骨幹上,因此如果您的資料原則很嚴格,且想要避免透過網際網路傳送任何流量,也請考慮虛擬網路對等互連。
VPN 閘道提供有限的頻寬連線,且在您需要加密但可以容許頻寬限制的情況下很有用。 在這些案例中,客戶也不會區分延遲。
閘道傳輸
虛擬網路對等互連和 VPN 閘道 也可以透過閘道傳輸共存
閘道傳輸可讓您使用對等互連虛擬網路的閘道連線到內部部署,而不是建立連線的新閘道。 隨著您在 Azure 中工作負載的增加,您會需要跨區域調整網路及虛擬網路的規模,以跟上業務的成長。 閘道傳輸可讓您與所有對等互連的虛擬網路共用 ExpressRoute 或 VPN 閘道,並可讓您在一個地點管理連線。 共用可節省成本並降低管理額外負荷。
在虛擬網路對等互連上啟用閘道傳輸後,您可以建立包含 VPN 閘道、網路虛擬裝置和其他共用服務的傳輸虛擬網路。 當貴組織隨著新的應用程式或業務單位成長,以及當您啟動新的虛擬網路時,您可以使用對等互連來連線到傳輸虛擬網路。 這可防止對您的網路徒增複雜度,並減少管理多個閘道和其他設備的管理額外負荷。
設定連線
虛擬網路對等互連和 VPN 閘道都支援下列連線類型:
- 不同區域中的虛擬網路。
- 不同 Microsoft Entra 租用戶的虛擬網路。
- 不同 Azure 訂用帳戶中的虛擬網路。
- 使用混合 Azure 部署模型 (Resource Manager 和傳統) 的虛擬網路。
如需詳細資訊,請參閱下列文章:
- 建立虛擬網路對等互連 - Resource Manager、不同的訂用帳戶
- 建立虛擬網路對等互連 - 不同的部署模型、相同的訂用帳戶
- 使用 Azure 入口網站 設定 VNet 對 VNet VPN 網關聯機
- 使用入口網站從不同部署模型 連線 虛擬網路
- VPN 閘道常見問題集
虛擬網路對等互連和 VPN 閘道的比較
| 項目 | 虛擬網路對等互連 | VPN 閘道 |
|---|---|---|
| 限制 | 每個虛擬網路最多500個虛擬網路對等互連(請參閱 網路限制)。 | 每個虛擬網路一個 VPN 閘道。 每個閘道數目上限取決於閘道數目上限取決於 閘道 SKU。 |
| 計價模式 | 輸入/輸出 | 每小時 + 輸出 |
| 加密 | 您可以使用 Azure 虛擬網絡 加密。 | 自訂 IPsec/IKE 原則可以套用至新的或現有的連線。 請參閱 關於密碼編譯需求和 Azure VPN 閘道。 |
| 頻寬限制 | 沒有頻寬限制。 | 根據 SKU 而有所不同。 請參閱 依通道、連線和輸送量的閘道 SKU。 |
| 私人? | 是。 透過 Microsoft 骨幹和私人路由傳送。 沒有涉及公用網際網路。 | 涉及公用IP,但如果啟用 Microsoft 全球網路,則會透過 Microsoft 骨幹路由傳送。 |
| 可轉移關聯性 | 對等互連連線不可轉移。 您可以使用中樞虛擬網路中的 NVA 或閘道來達成可轉移的網路。 如需範例,請參閱 中樞輪輻網路拓撲 。 | 如果虛擬網路是透過 VPN 網關連線,且虛擬網路連線中已啟用 BGP,則傳輸性就有所作用。 |
| 初始設定時間 | 快速 | ~30 分鐘 |
| 典型案例 | 需要經常備份大型資料的資料復寫、資料庫容錯移轉和其他案例。 | 加密不區分延遲且不需要高輸送量的特定案例。 |
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- Anavi Nahar |主體 PDM 管理員