规划和实现虚拟网络对等连接或网关
虚拟网络是 Azure 公用网络的虚拟隔离部分。 默认情况下,不能在两个虚拟网络之间路由流量。 但是,可以在单个区域内或跨两个区域连接虚拟网络,以便可以在它们之间路由流量。
虚拟网络连接类型
虚拟网络对等互连。 虚拟网络对等互连连接两个 Azure 虚拟网络。 对等互连后,虚拟网络将显示为一个用于连接目的。 对等互连虚拟网络中的虚拟机之间的流量通过Microsoft主干基础结构(仅通过专用 IP 地址)进行路由。 没有涉及公共 Internet。 还可以在 Azure 区域之间进行虚拟网络的对等互连(全局对等互连)。
VPN 网关。 VPN 网关是一种特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送流量。 还可以使用 VPN 网关在 Azure 虚拟网络之间发送流量。 每个虚拟网络最多可以有一个 VPN 网关。 应在任何外围虚拟网络上启用 Azure 分布式拒绝服务(DDoS)保护标准。
虚拟网络对等互连提供一种低延迟、高带宽的连接。 路径中没有网关,因此没有额外的跳数,从而保证连接的低延迟。 它适用于跨区域数据复制和数据库故障转移等方案。 由于流量是专用的,并且保留在 Microsoft 主干网上,因此如果您有严格的数据策略,并希望避免通过互联网传输任何流量,还应考虑虚拟网络对等互连。
VPN 网关提供有限的带宽连接,在需要加密但可以容忍带宽限制的情况下非常有用。 在这些情况下,客户对延迟不太敏感。
网关中转
虚拟网络对等互连和 VPN 网关还可以通过网关传输共存。
网关传输使您能够使用对等虚拟网络的网关用于连接到本地环境,而不是为连接创建新的网关。 在 Azure 中增加工作负荷时,需要跨区域和虚拟网络缩放网络,以跟上增长。 网关传输功能可以让你与所有对等互连的虚拟网络共享 ExpressRoute 或 VPN 网关,并可集中管理连接。 共享可节省成本并降低管理开销。
在虚拟网络对等互连上启用网关中继传输后,您可以创建包含 VPN 网关、网络虚拟设备和其他共享服务的中继虚拟网络。 随着组织引入新的应用程序或业务部门并不断发展,以及启动新的虚拟网络时,可以使用对等互连连接到传输虚拟网络。 这可以防止向网络添加复杂性,并减少管理多个网关和其他设备的管理开销。
配置连接
虚拟网络对等互连和 VPN 网关都支持以下连接类型:
- 不同区域中的虚拟网络。
- 不同的 Microsoft Entra 租户中的虚拟网络。
- 不同 Azure 订阅中的虚拟网络。
- 使用混合 Azure 部署模型(资源管理器和经典)的虚拟网络。
虚拟网络对等互连和 VPN 网关的比较
| 项 | 虚拟网络对等互连 | VPN 网关 |
|---|---|---|
| 限制 | 每个虚拟网络最多 500 个虚拟网络对等互连 | 每个虚拟网络一个 VPN 网关。 每个网关的最大隧道数取决于网关 SKU。 |
| 定价模型 | 入口/出口 | 每小时 + 流出 |
| 加密 | 建议使用软件级加密。 | 自定义 IPsec/IKE 策略可以应用于新的或现有的连接。 |
| 带宽限制 | 没有带宽限制。 | 因 SKU 而异。 |
| 私人? | 是的。 通过微软的主干网络和专用线路传输。 没有涉及公共 Internet。 | 涉及公共 IP,但如果启用了Microsoft全局网络,则通过Microsoft主干路由。 |
| 可传递关系 | 对等连接不可传递。 可以使用中心虚拟网络中的 NVA 或网关实现传递式网络。 | 如果虚拟网络是通过 VPN 网关连接的,并且虚拟网络连接中启用了 BGP,则传递性有效。 |
| 初始设置时间 | 快速 | 约 30 分钟 |
| 典型方案 | 数据复制、数据库故障转移,以及其他需要频繁备份大数据的场景。 | 特定于加密的情景,对延迟不敏感且不需要高吞吐量的情境。 |