W tym artykule porównaliśmy dwa sposoby łączenia sieci wirtualnych na platformie Azure: komunikacja równorzędna sieci wirtualnych i bramy sieci VPN.
Sieć wirtualna to wirtualna, izolowana część sieci publicznej platformy Azure. Domyślnie ruch nie może być kierowany między dwiema sieciami wirtualnymi. Istnieje jednak możliwość połączenia sieci wirtualnych w jednym regionie lub w dwóch regionach, dzięki czemu ruch może być kierowany między nimi.
Typy połączeń sieci wirtualnej
Komunikacja równorzędna sieci wirtualnych. Komunikacja równorzędna sieci wirtualnych łączy dwie sieci wirtualne platformy Azure. Po nawiązaniu połączenia równorzędnego sieci wirtualne są traktowane jako jedna sieć. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany przez infrastrukturę szkieletową firmy Microsoft tylko za pośrednictwem prywatnych adresów IP. Nie jest zaangażowany publiczny internet. Możesz również łączyć równorzędne sieci wirtualne w różnych regionach platformy Azure (globalna komunikacja równorzędna).
Bramy sieci VPN. Brama sieci VPN to określony typ bramy sieci wirtualnej używany do wysyłania ruchu między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Możesz również użyć bramy sieci VPN do wysyłania ruchu między sieciami wirtualnymi platformy Azure. Każda sieć wirtualna może mieć co najwyżej jedną bramę sieci VPN. Należy włączyć usługę Azure DDOS Protection w dowolnej sieci wirtualnej obwodowej.
Komunikacja równorzędna sieci wirtualnych zapewnia połączenie o małych opóźnieniach i wysokiej przepustowości. W ścieżce nie ma bramy, więc nie ma dodatkowych przeskoków, zapewniając połączenia o małych opóźnieniach. Jest to przydatne w scenariuszach, takich jak replikacja danych między regionami i tryb failover bazy danych. Ponieważ ruch jest prywatny i pozostaje w sieci szkieletowej firmy Microsoft, należy również rozważyć komunikację równorzędną sieci wirtualnych, jeśli masz ścisłe zasady dotyczące danych i chcesz uniknąć wysyłania dowolnego ruchu przez Internet.
Bramy sieci VPN zapewniają ograniczone połączenie przepustowości i są przydatne w scenariuszach, w których potrzebujesz szyfrowania, ale mogą tolerować ograniczenia przepustowości. W tych scenariuszach klienci nie są również tak wrażliwi na opóźnienia.
Tranzyt przez bramę
Komunikacja równorzędna sieci wirtualnych i bramy sieci VPN mogą również współistnieć za pośrednictwem przesyłania bramy
Tranzyt bramy umożliwia używanie bramy równorzędnej sieci wirtualnej do nawiązywania połączenia ze środowiskiem lokalnym zamiast tworzenia nowej bramy na potrzeby łączności. Gdy zwiększa się liczba obciążeń na platformie Azure, konieczne jest skalowanie sieci między regionami i sieciami wirtualnymi, aby sprostać temu wzrostowi. Tranzyt bramy umożliwia udostępnianie bramy usługi ExpressRoute lub bramy sieci VPN wszystkim równorzędnym sieciom wirtualnym i umożliwia zarządzanie łącznością w jednym miejscu. Udostępnianie umożliwia oszczędność kosztów i zmniejszenie nakładu pracy związanego z zarządzaniem.
Dzięki włączeniu tranzytu bramy w komunikacji równorzędnej sieci wirtualnych można utworzyć tranzytową sieć wirtualną zawierającą bramę sieci VPN, wirtualne urządzenie sieciowe i inne usługi udostępnione. Wraz ze wzrostem liczby nowych aplikacji lub jednostek biznesowych oraz uruchamiania nowych sieci wirtualnych możesz łączyć się z tranzytem sieci wirtualnej przy użyciu komunikacji równorzędnej. Zapobiega to dodawaniu złożoności do sieci i zmniejsza obciążenie związane z zarządzaniem wieloma bramami i innymi urządzeniami.
Konfigurowanie połączeń
Komunikacja równorzędna sieci wirtualnych i bramy sieci VPN obsługują następujące typy połączeń:
- Sieci wirtualne w różnych regionach.
- Sieci wirtualne w różnych dzierżawach firmy Microsoft.
- Sieci wirtualne w różnych subskrypcjach platformy Azure.
- Sieci wirtualne korzystające z różnych modeli wdrażania platformy Azure (model usługi Resource Manager i model klasyczny).
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Tworzenie komunikacji równorzędnej sieci wirtualnej — Resource Manager, różne subskrypcje
- Tworzenie komunikacji równorzędnej sieci wirtualnych — różne modele wdrażania, ta sama subskrypcja
- Konfigurowanie połączenia bramy sieci VPN między sieciami wirtualnymi przy użyciu witryny Azure Portal
- Połączenie sieci wirtualnych z różnych modeli wdrażania przy użyciu portalu
- VPN Gateway — często zadawane pytania
Porównanie komunikacji równorzędnej sieci wirtualnych i bramy sieci VPN
Towar | Komunikacja równorzędna sieci wirtualnej | VPN Gateway |
---|---|---|
Limity | Maksymalnie 500 wirtualnych sieci równorzędnych na sieć wirtualną (zobacz Limity sieci). | Jedna brama sieci VPN na sieć wirtualną. Maksymalna liczba tuneli na bramę zależy od jednostki SKU bramy. |
Model cen | Ruch przychodzący/wychodzący | Godzinowy + ruch wychodzący |
Szyfrowanie | Usługę Azure Virtual Network Encryption można wykorzystać. | Niestandardowe zasady protokołu IPsec/IKE można stosować do nowych lub istniejących połączeń. Zobacz Informacje o wymaganiach kryptograficznych i bramach sieci VPN platformy Azure. |
Ograniczenia przepustowości | Brak ograniczeń przepustowości. | Różni się w zależności od jednostki SKU. Zobacz Jednostki SKU bramy według tunelu, połączenia i przepływności. |
Prywatny? | Tak. Kierowane przez sieć szkieletową i prywatną firmy Microsoft. Nie jest zaangażowany publiczny internet. | Zaangażowany publiczny adres IP, ale kierowany za pośrednictwem sieci szkieletowej firmy Microsoft, jeśli włączono globalną sieć firmy Microsoft. |
Relacja przechodnia | Połączenia komunikacji równorzędnej nie są przechodnie. Przechodnie sieci można osiągnąć przy użyciu urządzeń WUS lub bram w sieci wirtualnej koncentratora. Zobacz topologię sieci piasty i szprych, aby zapoznać się z przykładem. | Jeśli sieci wirtualne są połączone za pośrednictwem bram sieci VPN, a protokół BGP jest włączony w połączeniach sieci wirtualnej, przechodniość działa. |
Czas instalacji początkowej | Szybkie przetwarzanie | ~30 minut |
Typowe scenariusze | Replikacja danych, tryb failover bazy danych i inne scenariusze wymagające częstych kopii zapasowych dużych danych. | Scenariusze specyficzne dla szyfrowania, które nie są wrażliwe na opóźnienia i nie wymagają wysokiej wydajności. |
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Anavi Nahar | Główny menedżer PDM