Este artigo compara duas maneiras de conectar redes virtuais no Azure: emparelhamento de rede virtual e gateways VPN.
Uma rede virtual é uma parte virtual e isolada da rede pública do Azure. Por padrão, o tráfego não pode ser roteado entre duas redes virtuais. No entanto, é possível conectar redes virtuais, dentro de uma única região ou entre duas regiões, para que o tráfego possa ser roteado entre elas.
Tipos de conexão de rede virtual
Emparelhamento de rede virtual. O emparelhamento de rede virtual conecta duas redes virtuais do Azure. Uma vez executado o peering, as redes virtuais aparecem como uma única, para fins de conectividade. O tráfego entre máquinas virtuais nas redes virtuais emparelhadas é roteado através da infraestrutura de backbone da Microsoft, apenas através de endereços IP privados. Não há internet pública envolvida. Você também pode emparelhar redes virtuais entre regiões do Azure (emparelhamento global).
Gateways VPN. Um gateway VPN é um tipo específico de gateway de rede virtual usado para enviar tráfego entre uma rede virtual do Azure e um local local pela Internet pública. Você também pode usar um gateway VPN para enviar tráfego entre redes virtuais do Azure. Cada rede virtual pode ter no máximo um gateway VPN. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.
O emparelhamento de rede virtual fornece uma conexão de baixa latência e alta largura de banda. Não há gateway no caminho, portanto, não há saltos extras, garantindo conexões de baixa latência. É útil em cenários como replicação de dados entre regiões e failover de banco de dados. Como o tráfego é privado e permanece no backbone da Microsoft, considere também o emparelhamento de rede virtual se você tiver políticas de dados rígidas e quiser evitar o envio de tráfego pela Internet.
Os gateways VPN fornecem uma conexão de largura de banda limitada e são úteis em cenários onde você precisa de criptografia, mas pode tolerar restrições de largura de banda. Nesses cenários, os clientes também não são tão sensíveis à latência.
Trânsito de gateway
Emparelhamento de rede virtual e gateways VPN também podem coexistir via trânsito de gateway
O trânsito de gateway permite que você use o gateway de uma rede virtual emparelhada para se conectar ao local, em vez de criar um novo gateway para conectividade. À medida que aumenta as cargas de trabalho no Azure, tem de dimensionar as suas redes nas regiões e redes virtuais para poder acompanhar o crescimento. O trânsito de gateway permite que você compartilhe uma Rota Expressa ou gateway VPN com todas as redes virtuais emparelhadas e permite gerenciar a conectividade em um só lugar. O compartilhamento permite economia de custos e redução nas despesas gerais de gerenciamento.
Com o trânsito de gateway habilitado no emparelhamento de rede virtual, você pode criar uma rede virtual de trânsito que contenha seu gateway VPN, Dispositivo Virtual de Rede e outros serviços compartilhados. À medida que sua organização cresce com novos aplicativos ou unidades de negócios e à medida que você cria novas redes virtuais, você pode se conectar à sua rede virtual de trânsito usando emparelhamento. Isso evita adicionar complexidade à sua rede e reduz a sobrecarga de gerenciamento do gerenciamento de vários gateways e outros dispositivos.
Configurando conexões
O emparelhamento de rede virtual e os gateways VPN suportam os seguintes tipos de conexão:
- Redes virtuais em diferentes regiões.
- Redes virtuais em diferentes locatários do Microsoft Entra.
- Redes virtuais em diferentes subscrições do Azure.
- Redes virtuais que usam uma combinação de modelos de implantação do Azure (Resource Manager e clássico).
Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:
- Criar um emparelhamento de rede virtual - Resource Manager, subscrições diferentes
- Criar um emparelhamento de rede virtual - diferentes modelos de implantação, mesma assinatura
- Configurar uma conexão de gateway VPN VNet-to-VNet usando o portal do Azure
- Conecte redes virtuais de diferentes modelos de implantação usando o portal
- FAQ do Gateway de VPN
Comparação de emparelhamento de rede virtual e VPN Gateway
| Item | Peering de rede virtual | Gateway de VPN |
|---|---|---|
| Limites | Até 500 emparelhamentos de rede virtual por rede virtual (consulte Limites de rede). | Um gateway VPN por rede virtual. O número máximo de túneis por gateway depende da SKU do gateway. |
| Modelo de preços | Ingresso/Saída | Horária + Saída |
| Encriptação | Recomenda-se a encriptação ao nível do software. | A política IPsec/IKE personalizada pode ser aplicada a conexões novas ou existentes. Consulte Sobre requisitos criptográficos e gateways de VPN do Azure. |
| Limitações de largura de banda | Sem limitações de largura de banda. | Varia de acordo com o SKU. Consulte SKUs de gateway por túnel, conexão e taxa de transferência. |
| Privado? | Sim. Roteado através do backbone e privado da Microsoft. Não há internet pública envolvida. | IP público envolvido, mas roteado através do backbone da Microsoft se a rede global da Microsoft estiver habilitada. |
| Relação transitiva | As conexões de emparelhamento não são transitivas. A rede transitiva pode ser obtida usando NVAs ou gateways na rede virtual do hub. Consulte Topologia de rede Hub-spoke para obter um exemplo. | Se as redes virtuais estiverem conectadas via gateways VPN e o BGP estiver habilitado nas conexões de rede virtual, a transitividade funcionará. |
| Tempo de configuração inicial | Rápido | ~30 minutos |
| Cenários típicos | Replicação de dados, failover de banco de dados e outros cenários que precisam de backups frequentes de dados grandes. | Cenários específicos de criptografia que não são sensíveis à latência e não precisam de alta totalidade. |
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Anavi Nahar - Brasil | Gestor Principal do PDM
Próximos passos
- Planejar redes virtuais
- Choose a solution for connecting an on-premises network to Azure (Escolher uma solução para ligar uma rede no local ao Azure)