Планируйте и реализуйте пиринг виртуальной сети или шлюз.
Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. По умолчанию трафик нельзя направлять между двумя виртуальными сетями. Однако можно подключить виртуальные сети в одном регионе или между двумя регионами, чтобы трафик можно было перенаправить между ними.
Типы подключений к виртуальной сети
Пиринг между виртуальными сетями. Пиринг между виртуальными сетями подключает две виртуальные сети Azure. После однорангового подключения виртуальные сети отображаются как одна сеть для целей подключения. Трафик между виртуальными машинами в одноранговых виртуальных сетях направляется через магистральную инфраструктуру Майкрософт только через частные IP-адреса. Нет общедоступного интернета. Вы также можете объединять виртуальные сети через регионы Azure, что называется глобальным пирингом.
VPN-шлюзы. VPN-шлюз — это определенный тип шлюза виртуальной сети, который используется для отправки трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки трафика между виртуальными сетями Azure. Каждая виртуальная сеть может иметь не более одного VPN-шлюза. Для любой периферийной виртуальной сети следует активировать стандарт защиты Azure от атак DDoS.
Пиринг между виртуальными сетями обеспечивает подключение с низкой задержкой и высокой пропускной способностью. В пути нет шлюза, поэтому нет дополнительных переходов, что обеспечивает низкую задержку подключений. Это полезно в таких сценариях, как репликация данных между регионами и автоматическое переключение на резервную базу данных. Так как трафик является частным и остается в магистрали Майкрософт, также рассмотрите пиринг между виртуальными сетями, если у вас есть строгие политики данных и хотите избежать отправки трафика через Интернет.
VPN-шлюзы обеспечивают ограниченную пропускную способность и полезны в сценариях, где требуется шифрование, но можно допускать ограничения пропускной способности. В этих сценариях клиенты также не так чувствительны к задержкам.
Транзит через шлюз
Пиринг виртуальных сетей и VPN-шлюзы также могут сосуществовать через транзит шлюза.
Транзит шлюза позволяет использовать шлюз одноранговой виртуальной сети для подключения к локальной среде вместо создания нового шлюза для подключения. По мере увеличения рабочих нагрузок в Azure необходимо масштабировать сети в разных регионах и виртуальных сетях, чтобы обеспечить рост. Транзитный шлюз позволяет использовать ExpressRoute или VPN-шлюз совместно со всеми одноранговыми виртуальными сетями и управлять подключениями в одном месте. Совместное использование позволяет сократить затраты и уменьшить накладные расходы на управление.
Когда активно транзитное подключение шлюза в пиринге виртуальных сетей, можно создать транзитную виртуальную сеть, содержащую ваш VPN-шлюз, сетевое виртуальное устройство и другие общие службы. По мере роста вашей организации с новыми приложениями или бизнес-подразделениями и по мере развёртывания новых виртуальных сетей вы можете подключиться к вашей транзитной виртуальной сети с помощью пиринга. Это предотвращает добавление сложности в сеть и снижает затраты на управление несколькими шлюзами и другими устройствами.
Настройка подключений
Пиринг виртуальных сетей и VPN-шлюзы поддерживают следующие типы подключений:
- Виртуальные сети в разных регионах.
- Виртуальные сети в разных арендаторах Microsoft Entra.
- Виртуальные сети в разных подписках Azure.
- Виртуальные сети, использующие сочетание моделей развертывания Azure (Resource Manager и классическая модель).
Сравнение соединения виртуальной сети и VPN шлюза
| элемент | пиринг между виртуальными сетями | VPN-шлюз |
|---|---|---|
| Ограничения | До 500 пирингов виртуальных сетей для каждой виртуальной сети | Один VPN-шлюз для каждой виртуальной сети. Максимальное количество туннелей на шлюз зависит от номера SKU шлюза. |
| Модель ценообразования | Вход/Выход | Почасовой и исходящий трафик |
| Шифрование | Рекомендуется использовать шифрование на уровне программного обеспечения. | Настраиваемая политика IPsec/IKE может применяться к новым или существующим подключениям. |
| Ограничения пропускной способности | Ограничения пропускной способности отсутствуют. | Зависит от номера SKU. |
| Частный? | Да. Маршрутизируется через основную сеть и частные инфраструктуры Microsoft. Вовлеченность общественного интернета отсутствует. | Используется общедоступный IP-адрес, но маршрутизируется через основную сеть Майкрософт, если включена глобальная сеть Майкрософт. |
| Транзитивная связь | Пиринговые подключения являются не транзитивными. Транзитивная сеть может быть достигнута с помощью NVAs или шлюзов в центральной виртуальной сети. | Если виртуальные сети подключены через VPN-шлюзы и BGP включены в подключениях виртуальной сети, транзитивность работает. |
| Время начальной установки | Быстрый | ~30 минут |
| Типичные сценарии | Репликация данных, отказоустойчивость базы данных и другие сценарии, требующие частого резервного копирования больших объемов данных. | Сценарии, связанные с шифрованием, не чувствительные к задержке и не требующие высокой пропускной способности. |