Выберите между виртуальными сетями пиринга и VPN-шлюзами в AzureChoose between virtual network peering and VPN gateways in Azure

В этой статье сравниваются два способа подключения виртуальных сетей в Azure: виртуальная сеть пиринга и VPN шлюзы.This article compares two ways to connect virtual networks in Azure: virtual network peering and VPN gateways.

Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure.A virtual network is a virtual, isolated portion of the Azure public network. По умолчанию трафик не может быть направлен между двумя виртуальными сетями.By default, traffic cannot be routed between two virtual networks. Однако можно подключить виртуальные сети в пределах одного региона или в двух регионах, так что трафик может быть перенаправлен между ними.However, it's possible to connect virtual networks, either within a single region or across two regions, so that traffic can be routed between them.

ОбзорOverview

Виртуальная сеть пиринга.Virtual network peering. Виртуальная сеть пиринга соединяет две виртуальные сети Azure.Virtual network peering connects two Azure virtual networks. После создания пиринговой связи две виртуальные сети выглядят как одна сеть при подключении.Once peered, the virtual networks appear as one for connectivity purposes. Трафик между виртуальными машинами в заглянувных виртуальных сетях направляется через магистральной инфраструктуры Microsoft только через частные IP-адреса.Traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, through private IP addresses only. Никакой общественный интернет не участвует.No public internet is involved. Можно также сращють виртуальные сети в регионах Azure (глобальное пиринг).You can also peer virtual networks across Azure regions (global peering).

VPN шлюзы.VPN gateways. VPN шлюз — это определенный тип виртуального сетевого шлюза, который используется для отправки трафика между виртуальной сетью Azure и локальным местоположением через общедоступный Интернет.A VPN gateway is a specific type of virtual network gateway that is used to send traffic between an Azure virtual network and an on-premises location over the public internet. Вы также можете использовать VPN шлюз для отправки трафика между виртуальными сетями Azure.You can also use a VPN gateway to send traffic between Azure virtual networks. Каждая виртуальная сеть может иметь не более одного VPN шлюза.Each virtual network can have at most one VPN gateway.

Виртуальная сеть пиринг обеспечивает низкую задержку, с высокой пропускной способностью соединения.Virtual network peering provides a low-latency, high-bandwidth connection. В пути нет шлюза, поэтому нет дополнительных переходов, обеспечивающих соединения с низкой задержкой.There is no gateway in the path, so there are no extra hops, ensuring low latency connections. Это полезно в таких сценариях, как репликация межрегионных данных и сбой в перегоне данных.It's useful in scenarios such as cross-region data replication and database failover. Поскольку трафик является частным и остается на основе Microsoft, также рассмотреть виртуальную сеть пиринг, если у вас есть строгие политики данных и хотите, чтобы избежать отправки любого трафика через Интернет.Because traffic is private and remains on the Microsoft backbone, also consider virtual network peering if you have strict data policies and want to avoid sending any traffic over the internet.

VPN шлюзы обеспечивают ограниченное соединение пропускной способности и полезны в сценариях, где вам нужно шифрование, но может терпеть ограничения пропускной способности.VPN gateways provide a limited bandwidth connection and are useful in scenarios where you need encryption but can tolerate bandwidth restrictions. В этих сценариях клиенты также не столь чувствительны к задержкам.In these scenarios, customers are also not as latency-sensitive.

Транзит через шлюзGateway transit

Виртуальная сеть пиринга и VPN шлюзы также могут сосуществовать через шлюз транзитаVirtual network peering and VPN Gateways can also coexist via gateway transit

Транзит шлюза позволяет использовать вглядываемый шлюз виртуальной сети для подключения к находящимся, вместо создания нового шлюза для подключения.Gateway transit enables you to use a peered virtual network's gateway for connecting to on-premises, instead of creating a new gateway for connectivity. При увеличении рабочих нагрузок в Azure необходимо масштабировать сети в разных регионах и виртуальных сетях, чтобы не отставать от роста.As you increase your workloads in Azure, you need to scale your networks across regions and virtual networks to keep up with the growth. Шлюз транзита позволяет обмениваться ExpressRoute или VPN шлюз со всеми заглянул виртуальных сетей и позволяет управлять подключением в одном месте.Gateway transit allows you to share an ExpressRoute or VPN gateway with all peered virtual networks and lets you manage the connectivity in one place. Совместное использование позволяет экономить средства и сокращать накладные расходы на управление.Sharing enables cost-savings and reduction in management overhead.

С включенным шлюзом в виртуальной сети с пирингом можно создать транзитную виртуальную сеть, которая содержит ваш VPN шлюз, сетевой виртуальный прибор и другие общие службы.With gateway transit enabled on virtual network peering, you can create a transit virtual network that contains your VPN gateway, Network Virtual Appliance, and other shared services. По мере роста вашей организации с новыми приложениями или бизнес-подразделениями и по мере создания новых виртуальных сетей вы можете подключиться к транзитной виртуальной сети с помощью пиринга.As your organization grows with new applications or business units and as you spin up new virtual networks, you can connect to your transit virtual network using peering. Это предотвращает сложность вашей сети и уменьшает накладные расходы на управление несколькими шлюзами и другими приборами.This prevents adding complexity to your network and reduces management overhead of managing multiple gateways and other appliances.

Настройка соединенийConfiguring connections

Виртуальные сетевые пиринговые и VPN шлюзы поддерживают следующие типы соединений:Virtual network peering and VPN gateways both support the following connection types:

  • Виртуальные сети в разных регионах.Virtual networks in different regions.
  • Виртуальные сети в разных клиентах Active Directory Azure.Virtual networks in different Azure Active Directory tenants.
  • Виртуальные сети в различных подписках Azure.Virtual networks in different Azure subscriptions.
  • Виртуальные сети, которые используют сочетание моделей развертывания Azure (менеджер ресурсов и классический).Virtual networks that use a mix of Azure deployment models (Resource Manager and classic).

Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Сравнение виртуальной сети пиринга и VPN шлюзаComparison of virtual network peering and VPN Gateway

ЭлементItem Пиринг между виртуальными сетямиVirtual network peering VPN-шлюзVPN Gateway
ОграниченияLimits До 500 виртуальных сетевых пирингов на виртуальную сеть (см. ограничения сети).Up to 500 virtual network peerings per virtual network (see Networking limits). Один VPN шлюз для виртуальной сети.One VPN gateway per virtual network. Максимальное количество туннелей на шлюз зависит от шлюза SKU.The maximum number of tunnels per gateway depends on the gateway SKU.
Модель ценообразованияPricing model Вход/ЭгрессIngress/Egress Почасовой и выходHourly + Egress
ШифрованиеEncryption Рекомендуется шифрование на уровне программного обеспечения.Software-level encryption is recommended. Пользовательская политика IPsec/IKE может быть применена к новым или существующим соединениям.Custom IPsec/IKE policy can be applied to new or existing connections. Смотрите о криптографических требованиях и VPN шлюзах Azure.See About cryptographic requirements and Azure VPN gateways.
Ограничения пропускной способностиBandwidth limitations Нет ограничений пропускной способности.No bandwidth limitations. Варианты на основе SKU.Varies based on SKU. Смотрите Шлюзы SKUs по туннелю, соединению и пропускной связи.See Gateway SKUs by tunnel, connection, and throughput.
Частная?Private? Да.Yes. Маршрутизуемый через microsoft позвоночника и частных.Routed through Microsoft backbone and private. Никакого общественного интернета.No public internet involved. Общественная ИС участие.Public IP involved.
Транзитные отношенияTransitive relationship Вглядывающиеся соединения не являются транзитными.Peering connections are non-transitive. Транзитные сети могут быть достигнуты с помощью NVAs или шлюзов в концентраторе виртуальной сети.Transitive networking can be achieved using NVAs or gateways in the hub virtual network. Например, можно осмотреть топологию сети Hub-spoke.See Hub-spoke network topology for an example. Если виртуальные сети подключаются через VPN шлюзы и BGP включен в виртуальных сетевых соединений, транзитивность работает.If virtual networks are connected via VPN gateways and BGP is enabled in the virtual network connections, transitivity works.
Время начальной настройкиInitial setup time БыстрыйFast 30 минут~30 minutes
Типичные сценарииTypical scenarios Репликация данных, сбой в сбоях в базе данных и другие сценарии, нуждающиеся в частом резервном копировании больших данных.Data replication, database failover, and other scenarios needing frequent backups of large data. Сценарии шифрования, которые не чувствительны к задержкам и не нуждаются в высокой во всем.Encryption-specific scenarios that are not latency sensitive and do not need high throughout.

Следующие шагиNext steps