Tento článek Porovnává dva způsoby, jak propojit virtuální sítě v Azure: partnerské vztahy virtuálních sítí a brány VPN.
Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Ve výchozím nastavení se přenosy mezi dvěma virtuálními sítěmi nedají směrovat. Je ale možné propojit virtuální sítě v rámci jedné nebo dvou oblastí, aby bylo možné mezi nimi směrovat provoz.
Typy připojení k virtuální síti
Partnerský vztah virtuální sítě. Partnerský vztah virtuálních sítí spojuje dvě virtuální sítě Azure. Po navázání partnerského vztahu se virtuální sítě pro účely připojení jeví jako jedna síť. Provoz mezi virtuálními počítači v partnerských virtuálních sítích je směrován přes páteřní infrastrukturu Microsoftu, a to pouze pomocí privátních IP adres. Není zapojen žádný veřejný Internet. Můžete také vytvořit partnerský vztah virtuálních sítí napříč oblastmi Azure (globální partnerské vztahy).
Brány VPN. Brána VPN je konkrétní typ brány virtuální sítě, která se používá k posílání provozu mezi virtuální sítí Azure a místním umístěním přes veřejný Internet. K posílání provozu mezi virtuálními sítěmi Azure můžete použít taky bránu VPN. Každá virtuální síť může mít maximálně jednu bránu sítě VPN.
Partnerský vztah virtuálních sítí poskytuje připojení s nízkou latencí a velkou šířkou pásma. V cestě není žádná brána, takže neexistují žádné další segmenty směrování, které zajišťují připojení s nízkou latencí. To je užitečné ve scénářích, jako je replikace dat mezi oblastmi a převzetí služeb při selhání databáze. Vzhledem k tomu, že provoz je privátní a zůstává v páteřní síti Microsoftu, zvažte také partnerský vztah virtuálních sítí, pokud máte přísné datové zásady a chcete se vyhnout posílání provozu přes Internet.
Brány VPN poskytují omezené připojení k šířce pásma a jsou užitečné ve scénářích, kdy potřebujete šifrování, ale můžete tolerovat omezení šířky pásma. V těchto scénářích se zákazníci také neshodují s citlivostí na latenci.
Průchod bránou
Partnerské vztahy virtuálních sítí a brány VPN se taky můžou nacházet současně prostřednictvím přenosu brány.
Při přenosu brány můžete použít bránu partnerské virtuální sítě pro připojení k místnímu prostředí a nemusíte vytvářet novou bránu pro připojení. Při zvyšování zátěže v Azure je třeba škálovat sítě napříč různými oblastmi a virtuálními sítěmi, aby se zajistilo nárůst. Přenos brány umožňuje sdílet ExpressRoute nebo VPN Gateway se všemi partnerskými virtuálními sítěmi a umožňuje vám spravovat připojení na jednom místě. Sdílení umožňuje úspory nákladů a snížení režijních nákladů na správu.
Díky povolení přenosu brány v partnerském vztahu virtuálních sítí můžete vytvořit tranzitní virtuální síť, která obsahuje vaši bránu sítě VPN, síťové virtuální zařízení a další sdílené služby. Jak vaše organizace roste s novými aplikacemi nebo obchodními jednotkami a když jste zapojíte nové virtuální sítě, můžete se připojit k tranzitní virtuální síti pomocí partnerského vztahu. To zabrání přidání složitosti do vaší sítě a snižuje nároky na správu správy více bran a dalších zařízení.
Konfigurace připojení
Partnerské vztahy virtuálních sítí a brány VPN podporují následující typy připojení:
- Virtuální sítě v různých oblastech.
- virtuální sítě v různých klientech Azure Active Directory.
- Virtuální sítě v různých předplatných Azure.
- Virtuální sítě, které využívají kombinaci modelů nasazení Azure (Správce prostředků a Classic).
Další informace najdete v následujících článcích:
- Vytvoření partnerského vztahu virtuální sítě – Správce prostředků různých předplatných
- Vytvoření partnerského vztahu virtuálních sítí – různé modely nasazení, stejné předplatné
- Konfigurace připojení brány VPN typu VNet-to-VNet pomocí Azure Portal
- Připojení virtuální sítě z různých modelů nasazení pomocí portálu
- Nejčastější dotazy k branám VPN
Porovnání partnerského vztahu virtuální sítě a VPN Gateway
| Položka | Peering virtuálních sítí | VPN Gateway |
|---|---|---|
| Omezení | Až 500 partnerských vztahů virtuálních sítí na virtuální síť (viz omezení sítě). | Jedna brána sítě VPN na jednu virtuální síť. Maximální počet tunelových propojení na bránu závisí na SKU brány. |
| Cenový model | Příchozí/Egress | Po hodinách a Egress |
| Šifrování | Doporučuje se šifrování na úrovni softwaru. | Vlastní zásady IPsec/IKE se dají použít pro nová nebo existující připojení. Podívejte se na informace o kryptografických požadavcích a branách Azure VPN Gateway. |
| Limity šířky pásma | Žádná omezení šířky pásma. | Liší se v závislosti na SKU. Viz SKU brány podle tunelu, připojení a propustnosti. |
| Hlášen? | Ano. Směrované přes páteřní a privátní Microsoft. Nejedná se o veřejnou internetovou službu. | Veřejná IP adresa je zapojená. |
| Tranzitivní vztah | Připojení partnerských vztahů nejsou tranzitivní. Přenosné sítě je možné dosáhnout pomocí síťová virtuální zařízení nebo bran ve virtuální síti rozbočovače. Příklad najdete v tématu Síťová topologie centra s paprsky . | Pokud jsou virtuální sítě připojené přes brány VPN a protokol BGP je povolený v připojeních k virtuální síti, přenositelnost funguje. |
| Čas prvotního nastavení | Rychlý | ~ 30 minut |
| Typické scénáře | Replikace dat, převzetí služeb při selhání databáze a další scénáře potřebují časté zálohování velkých objemů dat. | Scénáře specifické pro šifrování, které nejsou citlivé na latenci a nepotřebují vysokou dobu v celém rozsahu. |