本文比較兩種方式來連線 Azure 中的虛擬網路:虛擬網路對等互連和 VPN 閘道。
虛擬網路為 Azure 公用網路的虛擬、隔離部分。 根據預設,流量無法在兩個虛擬網路之間路由傳送。 不過,您可以在單一區域內或跨兩個區域連線虛擬網路,以便在它們之間路由傳送流量。
虛擬網路連線類型
虛擬網路對等互連。 虛擬網路對等互連會連線兩個 Azure 虛擬網路。 對等互連之後,虛擬網路會以連線目的顯示為其中一個。 在對等互連虛擬網路中的虛擬機器之間的流量,會透過 Microsoft 骨幹基礎結構 (只會透過私人 IP 位址) 路由傳送。 沒有涉及公用網際網路。 您也可以跨 Azure 區域對等互連虛擬網路(全域對等互連)。
VPN 閘道。 VPN 閘道是一種特定類型的虛擬網路閘道,可用來透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送流量。 您也可以使用 VPN 閘道在 Azure 虛擬網路之間傳送流量。 每個虛擬網路最多可以有一個 VPN 閘道。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
虛擬網路對等互連提供低延遲、高頻寬連線。 路徑中沒有閘道,因此沒有額外的躍點,可確保低延遲連線。 這在跨區域數據復寫和資料庫故障轉移等案例中很有用。 由於流量是私人的,而且會保留在 Microsoft 骨幹上,因此如果您有嚴格的數據原則,而且想要避免透過因特網傳送任何流量,也請考慮虛擬網路對等互連。
VPN 閘道提供有限的頻寬連線,而且在您需要加密但可以容許頻寬限制的情況下很有用。 在這些案例中,客戶也不會區分延遲。
閘道傳輸
虛擬網路對等互連和 VPN 閘道 也可以透過閘道傳輸共存
閘道傳輸可讓您使用對等互連虛擬網路的閘道來連線到內部部署,而不是建立連線的新閘道。 隨著您在 Azure 中工作負載的增加,您會需要跨區域調整網路及虛擬網路的規模,以跟上業務的成長。 閘道傳輸可讓您與所有對等互連的虛擬網路共用 ExpressRoute 或 VPN 閘道,並可讓您在一個地方管理連線。 共用可節省成本並降低管理額外負荷。
在虛擬網路對等互連上啟用閘道傳輸後,您可以建立包含 VPN 閘道、網路虛擬裝置和其他共用服務的傳輸虛擬網路。 隨著組織隨著新的應用程式或業務單位成長,以及當您啟動新的虛擬網路時,您可以使用對等互連連線到傳輸虛擬網路。 這可防止將複雜度新增至您的網路,並減少管理多個閘道和其他設備的管理額外負荷。
設定連線
虛擬網路對等互連和 VPN 閘道都支援下列連線類型:
- 不同區域中的虛擬網路。
- 不同 Microsoft Entra 租使用者的虛擬網路。
- 不同 Azure 訂用帳戶中的虛擬網路。
- 使用混合 Azure 部署模型的虛擬網路(Resource Manager 和傳統)。
如需詳細資訊,請參閱下列文章:
- 建立虛擬網路對等互連 - Resource Manager、不同的訂用帳戶
- 建立虛擬網路對等互連 - 不同的部署模型、相同的訂用帳戶
- 使用 Azure 入口網站 設定 VNet 對 VNet VPN 網關聯機
- 使用入口網站從不同部署模型 連線 虛擬網路
- VPN 閘道常見問題集
虛擬網路對等互連和 VPN 閘道的比較
| 項目 | 虛擬網路對等互連 | VPN 閘道 |
|---|---|---|
| 限制 | 每個虛擬網路最多500個虛擬網路對等互連(請參閱 網路限制)。 | 每個虛擬網路一個 VPN 閘道。 每個閘道數目上限取決於閘道數目上限取決於 閘道 SKU。 |
| 計價模式 | 輸入/輸出 | 每小時 + 輸出 |
| 加密 | 建議使用軟體層級加密。 | 自定義 IPsec/IKE 原則可以套用至新的或現有的連線。 請參閱 關於密碼編譯需求和 Azure VPN 閘道。 |
| 頻寬限制 | 沒有頻寬限制。 | 會根據 SKU 而有所不同。 請參閱 依通道、連線和輸送量的閘道 SKU。 |
| 私人? | 是。 透過 Microsoft 骨幹和私人路由傳送。 沒有涉及公用因特網。 | 涉及公用IP,但如果啟用 Microsoft 全球網路,則會透過 Microsoft 骨幹路由傳送。 |
| 可轉移關聯性 | 對等互連連線不可轉移。 您可以使用中樞虛擬網路中的 NVA 或閘道來達成可轉移的網路功能。 如需範例,請參閱 中樞輪輻網路拓撲 。 | 如果虛擬網路是透過 VPN 網關聯機,且虛擬網路連線中已啟用 BGP,傳輸性就會運作。 |
| 初始設定時間 | 快速 | ~30 分鐘 |
| 典型案例 | 需要經常備份大型數據的數據復寫、資料庫故障轉移和其他案例。 | 加密特定案例,不區分延遲,且不需要高。 |
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- Anavi Nahar |主體 PDM 管理員