Planera och implementera peering eller gateway för virtuellt nätverk
Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Som standard kan trafik inte dirigeras mellan två virtuella nätverk. Det är dock möjligt att ansluta virtuella nätverk, antingen inom en enda region eller mellan två regioner, så att trafiken kan dirigeras mellan dem.
Anslutningstyper för virtuellt nätverk
Peering för virtuella nätverk. Peering för virtuella nätverk ansluter två virtuella Azure-nätverk. När de virtuella nätverken har peer-kopplats, behandlas de som ett enda nätverk för anslutningar. Trafik mellan virtuella datorer i peer-kopplade virtuella nätverk dirigeras via Microsofts staminfrastruktur, endast via privata IP-adresser. Inget offentligt internet är inblandat. Du kan också koppla samman virtuella nätverk mellan Azure-regioner (global peering).
VPN-gateways. En VPN-gateway är en specifik typ av virtuell nätverksgateway som används för att skicka trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella Azure-nätverk. Varje virtuellt nätverk kan ha högst en VPN-gateway. Du bör aktivera Azure Distributed Denial of Service (DDoS) Protection Standard i alla virtuella perimeternätverk.
Peering för virtuella nätverk ger en anslutning med låg svarstid och hög bandbredd. Det finns ingen gateway i sökvägen, så det finns inga extra hopp, vilket säkerställer anslutningar med låg svarstid. Det är användbart i scenarier som datareplikering mellan regioner och databasredundans. Eftersom trafiken är privat och förblir på Microsofts stamnät bör du även överväga peering för virtuella nätverk om du har strikta dataprinciper och vill undvika att skicka trafik via Internet.
VPN-gatewayer ger en begränsad bandbreddsanslutning och är användbara i scenarier där du behöver kryptering men kan tolerera bandbreddsbegränsningar. I dessa scenarier är kunderna inte heller lika svarstidskänsliga.
Gatewaytransit
Peering för virtuella nätverk och VPN-gatewayer kan också samexistera via gateway-transit.
Med gateway-transitering kan du använda en peer-virtuell nätverksgateway för att ansluta till lokala system, istället för att skapa en ny gateway för anslutning. När du ökar dina arbetsbelastningar i Azure måste du skala dina nätverk mellan regioner och virtuella nätverk för att hänga med i tillväxten. Med gateway-transitering kan du dela en ExpressRoute- eller VPN-gateway med alla samkopplade virtuella nätverk och hantera anslutningarna på ett och samma ställe. Delning möjliggör kostnadsbesparingar och minskade hanteringskostnader.
När gatewayöverföring är aktiverad på peering för virtuella nätverk kan du skapa ett virtuellt transitnätverk som innehåller din VPN-gateway, nätverksvirtuellenhet och andra delade tjänster. När din organisation växer med nya program eller affärsenheter och när du startar nya virtuella nätverk kan du ansluta till ditt virtuella transitnätverk med hjälp av peering. Detta förhindrar att du lägger till komplexitet i nätverket och minskar hanteringskostnaderna för att hantera flera gatewayer och andra enheter.
Konfigurera anslutningar
Peering för virtuella nätverk och VPN-gatewayer stöder båda följande anslutningstyper:
- Virtuella nätverk i olika regioner.
- Virtuella nätverk i olika Microsoft Entra-klienter.
- Virtuella nätverk i olika Azure-prenumerationer.
- Virtuella nätverk som använder en blandning av Azure-distributionsmodeller (Resource Manager och klassisk).
Jämförelse av peering för virtuella nätverk och VPN-gateway
| objekt | Peering för virtuella nätverk | VPN Gateway |
|---|---|---|
| Gränser | Upp till 500 virtuella nätverksanslutningar per virtuellt nätverk | En VPN-gateway per virtuellt nätverk. Det maximala antalet tunnlar per gateway beror på gateway-SKU:n. |
| Prismodell | Ingress/utträde | Per timme + Utträde |
| Kryptering | Kryptering på programvarunivå rekommenderas. | Anpassad IPsec/IKE-princip kan tillämpas på nya eller befintliga anslutningar. |
| Bandbreddsbegränsningar | Inga bandbreddsbegränsningar. | Varierar beroende på SKU. |
| Privat? | Ja. Dirigeras via Microsofts stamnät och privata nätverk. Inget offentligt Internet är inblandat. | Offentlig IP-adress är inblandad, men dirigeras via Microsofts stamnät om Microsofts globala nätverk är aktiverat. |
| Transitiv relation | Peering-anslutningar är icke-transitiva. Transitiva nätverk kan uppnås med hjälp av NVA:er eller gatewayer i det virtuella hubbnätverket. | Om virtuella nätverk är anslutna via VPN-gatewayer och BGP är aktiverat i de virtuella nätverksanslutningarna fungerar transitiviteten. |
| Inledande installationstid | Snabb | ~30 minuter |
| Vanliga scenarier | Datareplikering, databasredundans och andra scenarier som behöver frekventa säkerhetskopieringar av stora data. | Krypteringsspecifika scenarier som inte är svarstidskänsliga och inte behöver hög kapacitet. |