本文比较在 Azure 中连接虚拟网络的两种方式:虚拟网络对等互连和 VPN 网关。
虚拟网络是 Azure 公共网络的虚拟隔离部分。 默认情况下,无法在两个虚拟网络之间路由流量。 但是,可以在单个区域内部或者在两个区域之间连接虚拟网络,这样就可以在虚拟网络之间路由流量。
虚拟网络连接类型
虚拟网络对等互连。 虚拟网络对等互连连接两个 Azure 虚拟网络。 建立对等互连后,出于连接目的,两个虚拟网络会显示为一个。 对等互连的虚拟网络中的虚拟机之间的流量只会通过专用 IP 地址和 Microsoft 主干网络基础结构路由。 不涉及公共 Internet。 还可以跨 Azure 区域将虚拟网络对等互连(全局对等互连)。
VPN 网关。 VPN 网关是特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送流量。 还可使用 VPN 网关在 Azure 虚拟网络之间发送流量。 每个虚拟网络最多只能有一个 VPN 网关。 应在任何外围虚拟网络上启用 Azure DDOS 防护。
虚拟网络对等互连提供低延迟、高带宽的连接。 路径中没有网关,因此没有额外的跃点,这可以确保建立低延迟连接。 它在跨区域数据复制和数据库故障转移等方案中很有用。 由于流量是私密的并保留在 Microsoft 主干网络上,如果你有严格的数据策略并希望避免通过 Internet 发送任何流量,也可以考虑使用虚拟网络对等互连。
VPN 网关提供带宽受限的连接,在需要加密但可以容忍带宽受限的方案中很有用。 在这些方案中,客户对延迟也不敏感。
网关传输
虚拟网络对等互连和 VPN 网关也可以通过网关传输共存
网关传输让你可以使用对等互连的虚拟网络的网关连接到本地,而无需创建新网关用于连接。 随着 Azure 中工作负载的增加,需要跨区域和虚拟网络扩展网络以跟上增长的步伐。 网关传输允许与所有对等互连的虚拟网络共享 ExpressRoute 或 VPN 网关,并允许在一个位置管理连接。 共享可以节省成本并降低管理开销。
在虚拟网络对等互连上启用网关传输后,可以创建一个包含 VPN 网关、网络虚拟设备和其他共享服务的传输虚拟网络。 随着组织的发展、新应用程序或业务单位的不断增多,以及运转新的虚拟网络,可以使用对等互连连接到传输虚拟网络。 这可以避免增大网络复杂性,并降低管理多个网关和其他设备所产生的开销。
配置连接
虚拟网络对等互连和 VPN 网关都支持以下连接类型:
- 不同区域中的虚拟网络。
- 不同 Microsoft Entra 租户中的虚拟网络。
- 不同 Azure 订阅中的虚拟网络。
- 使用混合 Azure 部署模型(资源管理器和经典)的虚拟网络。
有关详细信息,请参阅以下文章:
- 创建虚拟网络对等互连 - 资源管理器,不同的订阅
- 创建虚拟网络对等互连 - 不同的部署模型,相同的订阅
- 使用 Azure 门户配置 VNet 到 VNet VPN 网关连接
- 通过门户从不同部署模型中连接虚拟网络
- VPN 网关常见问题
虚拟网络对等互连和 VPN 网关的比较
| 项 | 虚拟网络对等互连 | VPN 网关 |
|---|---|---|
| 限制 | 每个虚拟网络最多有 500 个虚拟网络对等互连(请参阅网络限制)。 | 每个虚拟网络有一个 VPN 网关。 每个网关的最大隧道数取决于网关 SKU。 |
| 定价模型 | 入口/出口 | 每小时 + 出口 |
| 加密 | 建议使用软件级加密。 | 自定义 IPsec/IKE 策略可应用于新的或现有的连接。 请参阅关于加密要求和 Azure VPN 网关。 |
| 带宽限制 | 没有带宽限制。 | 因 SKU 而异。 请参阅按隧道、连接和吞吐量列出的网关 SKU。 |
| 专用? | 是的。 通过 Microsoft 主干网络和专用网络路由。 不涉及公共 Internet。 | 包含公共 IP,但如果启用了 Microsoft 全局网络,则通过 Microsoft 主干网路由。 |
| 传递关系 | 对等连接不可传递。 可以使用中心虚拟网络中的 NVA 或网关来实现可传递网络。 有关示例,请参阅中心辐射型网络拓扑。 | 如果虚拟网络是通过 VPN 网关连接的,并且在虚拟网络连接中启用了 BGP,则可以正常传递。 |
| 初始设置时间 | 快速 | 大约 30 分钟 |
| 典型方案 | 需要频繁备份大型数据的数据复制、数据库故障转移和其他方案。 | 对延迟不敏感且不需要高吞吐量的加密特定方案。 |
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
首席作者:
- Anavi Nahar | 首席软件开发经理