Den här artikeln jämför två sätt att ansluta virtuella nätverk i Azure: peering för virtuella nätverk och VPN-gatewayer.
Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Som standard kan trafik inte dirigeras mellan två virtuella nätverk. Det är dock möjligt att ansluta virtuella nätverk, antingen inom en enda region eller mellan två regioner, så att trafiken kan dirigeras mellan dem.
Anslutningstyper för virtuellt nätverk
Peering för virtuella nätverk. Peering för virtuella nätverk ansluter två virtuella Azure-nätverk. När de virtuella nätverken har peer-kopplats visas de som ett nätverk för anslutningsändamål. Trafik mellan virtuella datorer i peer-baserade virtuella nätverk dirigeras via Microsofts stamnätsinfrastruktur, endast via privata IP-adresser. Inget offentligt Internet är inblandat. Du kan också peer-hantera virtuella nätverk i Azure-regioner (global peering).
VPN-gatewayer. En VPN-gateway är en specifik typ av virtuell nätverksgateway som används för att skicka trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella Azure-nätverk. Varje virtuellt nätverk kan ha högst en VPN-gateway.
Peering för virtuella nätverk ger en anslutning med korta svarstider och hög bandbredd. Det finns ingen gateway i sökvägen, så det finns inga extra hopp, vilket garanterar anslutningar med låg latens. Det är användbart i scenarier som datareplikering mellan regioner och databas redundans. Eftersom trafiken är privat och finns kvar i Microsofts stamnät bör du även överväga peering för virtuella nätverk om du har strikta dataprinciper och vill undvika att skicka trafik via Internet.
VPN-gatewayer ger en begränsad bandbreddsanslutning och är användbara i scenarier där du behöver kryptering men kan tolerera bandbreddsbegränsningar. I dessa scenarier är kunderna inte heller lika svarstidskänsliga.
Gatewayöverföring
Peering för virtuella nätverk och VPN-gatewayer kan också samexistera via gateway-överföring
Med gateway-överföring kan du använda en peer-ansluten virtuell nätverksgateway för att ansluta till en lokal plats, i stället för att skapa en ny gateway för anslutning. När du ökar dina arbetsbelastningar i Azure måste du skala dina nätverk över regioner och virtuella nätverk för att hålla koll på tillväxten. Med gateway-överföring kan du dela en ExpressRoute- eller VPN-gateway med alla peerkopplade virtuella nätverk och hantera anslutningen på ett och samma ställe. Delning möjliggör kostnadsbesparingar och lägre hanteringskostnader.
När gateway-överföring är aktiverat för peering för virtuella nätverk kan du skapa ett virtuellt överföringsnätverk som innehåller din VPN-gateway, den virtuella nätverksinstallationen och andra delade tjänster. Allt eftersom din organisation växer med nya program eller affärsenheter och när du knyter nya virtuella nätverk kan du ansluta till ditt virtuella transitnätverk med hjälp av peering. Detta förhindrar att nätverket blir mer komplext och minskar hanteringsomkostnaderna för att hantera flera gatewayer och andra installationer.
Konfigurera anslutningar
Både peering för virtuella nätverk och VPN-gatewayer stöder följande anslutningstyper:
- Virtuella nätverk i olika regioner.
- Virtuella nätverk i Azure Active Directory klientorganisation.
- Virtuella nätverk i olika Azure-prenumerationer.
- Virtuella nätverk som använder en blandning av Azure-distributionsmodeller (Resource Manager och klassiska).
Mer information finns i följande artiklar:
- Skapa en peering för virtuella nätverk – Resource Manager, olika prenumerationer
- Skapa en peering för virtuella nätverk – olika distributionsmodeller, samma prenumeration
- Konfigurera en VPN-gatewayanslutning mellan virtuella nätverk med hjälp av Azure-portalen
- Anslut virtuella nätverk från olika distributionsmodeller med hjälp av portalen
- Vanliga frågor och svar om VPN Gateway
Jämförelse av peering och VPN Gateway
| Objekt | Virtuell nätverkspeering | VPN Gateway |
|---|---|---|
| Gränser | Upp till 500 peering-program för virtuella nätverk per virtuellt nätverk (se Nätverksgränser). | En VPN-gateway per virtuellt nätverk. Det maximala antalet tunnlar per gateway beror på gateway-SKU:n. |
| Prismodell | Ingress/Egress | Varje timme + Egress |
| Kryptering | Kryptering på programvarunivå rekommenderas. | Anpassad IPsec-/IKE-princip kan tillämpas på nya eller befintliga anslutningar. Se Om kryptografiska krav och Azure VPN-gatewayer. |
| Begränsningar av bandbredden | Inga bandbreddsbegränsningar. | Varierar beroende på SKU. Se Gateway-SKU:er efter tunnel, anslutning och dataflöde. |
| Privat? | Ja. Dirigeras via Microsofts stamnät och privat. Inget offentligt Internet är inblandat. | Offentlig IP-adress. |
| Transitiv relation | Peering-anslutningar är icke-transitiva. Transitiva nätverk kan uppnås med hjälp av NVA:er eller gatewayer i det virtuella hubbnätverket. Ett exempel finns i Nätverkstopologi av hub-spoke-ekrar. | Om virtuella nätverk är anslutna via VPN-gatewayer och BGP är aktiverat i de virtuella nätverksanslutningarna fungerar transitiviteten. |
| Inledande installationstid | Snabb | ~30 minuter |
| Vanliga scenarier | Datareplikering, databas redundans och andra scenarier som behöver säkerhetskopiering av stora data. | Krypteringsspecifika scenarier som inte är svarstidskänsliga och som inte behöver vara så höga. |