In dit artikel worden twee manieren vergeleken om virtuele netwerken in Azure te verbinden: peering voor virtuele netwerken en VPN-gateways.
Een virtueel netwerk is een virtueel, geïsoleerd deel van het openbare Azure-netwerk. Verkeer kan standaard niet worden gerouteerd tussen twee virtuele netwerken. Het is echter mogelijk om virtuele netwerken te verbinden, binnen één regio of tussen twee regio's, zodat verkeer ertussen kan worden gerouteerd.
Verbindingstypen voor virtuele netwerken
Peering voor virtuele netwerken. Peering voor virtuele netwerken verbindt twee virtuele Azure-netwerken. Nadat de virtuele netwerken zijn gekoppeld via peering, worden ze voor verbindingsdoeleinden als één netwerk weergegeven. Verkeer tussen virtuele machines in de peered virtuele netwerken wordt alleen via de Microsoft-backbone-infrastructuur gerouteerd via privé-IP-adressen. Er is geen openbaar internet betrokken. U kunt virtuele netwerken ook peeren in Azure-regio's (wereldwijde peering).
VPN-gateways. Een VPN-gateway is een specifiek type virtuele netwerkgateway die wordt gebruikt voor het verzenden van verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. U kunt ook een VPN-gateway gebruiken om verkeer tussen virtuele Azure-netwerken te verzenden. Elk virtueel netwerk kan ten zeerste één VPN-gateway hebben.
Peering voor virtuele netwerken biedt een verbinding met lage latentie en hoge bandbreedte. Er is geen gateway in het pad, dus er zijn geen extra hops, waardoor verbindingen met lage latentie worden gewaarborgd. Dit is handig in scenario's zoals gegevensreplicatie tussen regio's en failover van databases. Omdat verkeer privé is en op de Microsoft-backbone blijft, kunt u ook peering voor virtuele netwerken overwegen als u strikt gegevensbeleid hebt en wilt voorkomen dat verkeer via internet wordt verzonden.
VPN-gateways bieden een verbinding met een beperkte bandbreedte en zijn handig in scenario's waarin u versleuteling nodig hebt, maar bandbreedtebeperkingen kunt tolereren. In deze scenario's zijn klanten ook niet zo latentiegevoelig.
Gatewaydoorvoer
Peering van virtuele netwerken en VPN-gateways kunnen ook naast elkaar bestaan via gateway-doorvoer
Met gateway-doorvoer kunt u de gateway van een virtueel peernetwerk gebruiken om verbinding te maken met on-premises, in plaats van een nieuwe gateway te maken voor connectiviteit. Naarmate u uw workloads in Azure verhoogt, moet u uw netwerken schalen tussen regio's en virtuele netwerken om de groei bij te houden. Met gateway-doorvoer kunt u een ExpressRoute- of VPN-gateway delen met alle virtuele peernetwerken en kunt u de connectiviteit op één plek beheren. Delen maakt kostenbesparingen en minder beheeroverhead mogelijk.
Als gateway-doorvoer is ingeschakeld op peering voor virtuele netwerken, kunt u een virtueel tussennetwerk maken dat uw VPN-gateway, virtueel netwerkapparaat en andere gedeelde services bevat. Naarmate uw organisatie groeit met nieuwe toepassingen of bedrijfseenheden en u nieuwe virtuele netwerken maakt, kunt u met behulp van peering verbinding maken met uw virtuele tussennetwerk. Dit voorkomt het toevoegen van complexiteit aan uw netwerk en vermindert de beheeroverhead van het beheren van meerdere gateways en andere apparaten.
Verbindingen configureren
Peering voor virtuele netwerken en VPN-gateways ondersteunen beide de volgende verbindingstypen:
- Virtuele netwerken in verschillende regio's.
- Virtuele netwerken in verschillende Azure Active Directory tenants.
- Virtuele netwerken in verschillende Azure-abonnementen.
- Virtuele netwerken die gebruikmaken van een combinatie van Azure-implementatiemodellen (Resource Manager en klassiek).
Raadpleeg voor meer informatie de volgende artikelen:
- Peering voor een virtueel netwerk maken - Resource Manager, verschillende abonnementen
- Een peering voor een virtueel netwerk maken: verschillende implementatiemodellen, hetzelfde abonnement
- Een VPN-gatewayverbinding tussen VNet's configureren met behulp van Azure Portal
- Verbinding maken netwerken van verschillende implementatiemodellen met behulp van de portal
- Veelgestelde vragen VPN-gateways
Vergelijking van peering voor virtuele netwerken en VPN Gateway
| Item | Peering op virtueel netwerk | VPN Gateway |
|---|---|---|
| Limieten | Maximaal 500 peerings voor virtuele netwerken per virtueel netwerk (zie Netwerklimieten). | Eén VPN-gateway per virtueel netwerk. Het maximum aantal tunnels per gateway is afhankelijk van de gateway-SKU. |
| Prijsmodel | Ingress/Egress | Elk uur + Egress |
| Versleuteling | Versleuteling op softwareniveau wordt aanbevolen. | Aangepast IPsec-/IKE-beleid kan worden toegepast op nieuwe of bestaande verbindingen. Zie Over cryptografische vereisten en Azure VPN-gateways. |
| Bandbreedtebeperkingen | Geen bandbreedtebeperkingen. | Varieert op basis van SKU. Zie Gateway-SKU's per tunnel, verbinding en doorvoer. |
| Privé? | Ja. Gerouteerd via Microsoft-backbone en privé. Er is geen openbaar internet bij betrokken. | Hierbij is een openbaar IP-adres betrokken. |
| Transitieve relatie | Peeringverbindingen zijn niet-transitief. Transitieve netwerken kunnen worden bereikt met behulp van NNA's of gateways in het virtuele hubnetwerk. Zie Hub-spoke-netwerktopologie voor een voorbeeld. | Als virtuele netwerken zijn verbonden via VPN-gateways en BGP is ingeschakeld in de virtuele netwerkverbindingen, werkt transitiviteit. |
| Initiële installatietijd | Snel | ~30 minuten |
| Typische scenario's | Gegevensreplicatie, database-failover en andere scenario's die regelmatige back-ups van grote gegevens nodig hebben. | Versleutelingsspecifieke scenario's die niet latentiegevoelig zijn en niet overal hoog nodig zijn. |