Redigera

Dela via


Välj mellan peering för virtuella nätverk och VPN-gatewayer

Microsoft Entra ID
Azure Virtual Network
Azure VPN Gateway

Den här artikeln jämför två sätt att ansluta virtuella nätverk i Azure: peering för virtuella nätverk och VPN-gatewayer.

Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Som standard kan trafik inte dirigeras mellan två virtuella nätverk. Det är dock möjligt att ansluta virtuella nätverk, antingen inom en enda region eller mellan två regioner, så att trafiken kan dirigeras mellan dem.

Anslutningstyper för virtuellt nätverk

Peering för virtuella nätverk. Peering för virtuella nätverk ansluter två virtuella Azure-nätverk. När de virtuella nätverken har peer-kopplats visas de som ett nätverk för anslutningsändamål. Trafik mellan virtuella datorer i peer-kopplade virtuella nätverk dirigeras via Microsofts staminfrastruktur, endast via privata IP-adresser. Inget offentligt internet är inblandat. Du kan också peer-koppla virtuella nätverk mellan Azure-regioner (global peering).

VPN-gatewayer. En VPN-gateway är en specifik typ av virtuell nätverksgateway som används för att skicka trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella Azure-nätverk. Varje virtuellt nätverk kan ha högst en VPN-gateway. Du bör aktivera Azure DDOS Protection i alla virtuella perimeternätverk.

Peering för virtuella nätverk ger en anslutning med låg svarstid och hög bandbredd. Det finns ingen gateway i sökvägen, så det finns inga extra hopp, vilket säkerställer anslutningar med låg svarstid. Det är användbart i scenarier som datareplikering mellan regioner och databasredundans. Eftersom trafiken är privat och förblir på Microsofts stamnät bör du även överväga peering för virtuella nätverk om du har strikta dataprinciper och vill undvika att skicka trafik via Internet.

VPN-gatewayer ger en begränsad bandbreddsanslutning och är användbara i scenarier där du behöver kryptering men kan tolerera bandbreddsbegränsningar. I dessa scenarier är kunderna inte heller lika svarstidskänsliga.

Gatewayöverföring

Peering för virtuella nätverk och VPN-gatewayer kan också samexistera via gatewayöverföring

Med gatewayöverföring kan du använda en peer-ansluten virtuell nätverksgateway för att ansluta till en lokal plats, i stället för att skapa en ny gateway för anslutning. När du ökar antalet arbetsbelastningar i Azure måste du skala dina nätverk i andra regioner och virtuella nätverk för att hantera tillväxten. Med gatewayöverföring kan du dela en ExpressRoute- eller VPN-gateway med alla peer-kopplade virtuella nätverk och du kan hantera anslutningen på ett och samma ställe. Delning möjliggör kostnadsbesparingar och minskade hanteringskostnader.

Med gatewayöverföring aktiverat på peering för virtuella nätverk kan du skapa ett virtuellt transitnätverk som innehåller din VPN-gateway, den virtuella nätverksinstallationen och andra delade tjänster. När din organisation växer med nya program eller affärsenheter och när du startar nya virtuella nätverk kan du ansluta till ditt virtuella transitnätverk med hjälp av peering. Detta förhindrar att du lägger till komplexitet i nätverket och minskar hanteringskostnaderna för att hantera flera gatewayer och andra enheter.

Konfigurera anslutningar

Peering för virtuella nätverk och VPN-gatewayer stöder båda följande anslutningstyper:

  • Virtuella nätverk i olika regioner.
  • Virtuella nätverk i olika Microsoft Entra-klienter.
  • Virtuella nätverk i olika Azure-prenumerationer.
  • Virtuella nätverk som använder en blandning av Azure-distributionsmodeller (Resource Manager och klassisk).

Mer information finns i följande artiklar:

Jämförelse av peering för virtuella nätverk och VPN Gateway

Artikel Virtuell nätverkspeering VPN Gateway
Gränser Upp till 500 peerings för virtuella nätverk per virtuellt nätverk (se Nätverksgränser). En VPN-gateway per virtuellt nätverk. Det maximala antalet tunnlar per gateway beror på gateway-SKU :n.
Prismodell Ingress/utgående Timvis + utgående
Kryptering Azure Virtual Network Encryption kan utnyttjas. Anpassad IPsec/IKE-princip kan tillämpas på nya eller befintliga anslutningar. Se Om kryptografiska krav och Azure VPN-gatewayer.
Begränsningar av bandbredden Inga bandbreddsbegränsningar. Varierar beroende på SKU. Se Gateway-SKU :er efter tunnel, anslutning och dataflöde.
Privat? Ja. Dirigeras via Microsofts stamnät och privat. Inget offentligt Internet är inblandat. Offentlig IP-adress är inblandad, men dirigeras via Microsofts stamnät om Microsofts globala nätverk är aktiverat.
Transitiv relation Peering-anslutningar är icke-transitiva. Transitiva nätverk kan uppnås med hjälp av NVA:er eller gatewayer i det virtuella hubbnätverket. Ett exempel finns i Nätverkstopologi för Hub-spoke. Om virtuella nätverk är anslutna via VPN-gatewayer och BGP är aktiverat i de virtuella nätverksanslutningarna fungerar transitiviteten.
Inledande installationstid Snabbt ~30 minuter
Vanliga scenarier Datareplikering, databasredundans och andra scenarier som behöver frekventa säkerhetskopieringar av stora data. Krypteringsspecifika scenarier som inte är svarstidskänsliga och inte behöver hög hela.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

  • Anavi Nahar | Huvudansvarig PDM-hanterare

Nästa steg