В этой статье сравниваются два способа подключения виртуальных сетей в Azure: пиринг между виртуальными сетями и VPN-шлюзами.
Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. По умолчанию трафик нельзя направлять между двумя виртуальными сетями. Однако можно подключить виртуальные сети в одном регионе или между двумя регионами, чтобы трафик можно было перенаправить между ними.
Типы подключений к виртуальной сети
Пиринг между виртуальными сетями. Пиринг между виртуальными сетями подключает две виртуальные сети Azure. После однорангового подключения виртуальные сети отображаются как одна сеть для целей подключения. Трафик между виртуальными машинами в одноранговых виртуальных сетях направляется через магистральную инфраструктуру Майкрософт только через частные IP-адреса. Нет общедоступного интернета. Вы также можете объединять виртуальные сети через регионы Azure, что называется глобальным пирингом.
VPN-шлюзы. VPN-шлюз — это определенный тип шлюза виртуальной сети, который используется для отправки трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки трафика между виртуальными сетями Azure. Каждая виртуальная сеть может иметь не более одного VPN-шлюза. Вы должны включить защиту от DDoS-атак Azure в любой виртуальной периметральной сети.
Пиринг между виртуальными сетями обеспечивает подключение с низкой задержкой и высокой пропускной способностью. В пути нет шлюза, поэтому нет дополнительных переходов, что обеспечивает низкую задержку подключений. Это полезно в таких сценариях, как репликация данных между регионами и автоматическое переключение на резервную базу данных. Так как трафик является частным и остается в магистрали Майкрософт, также рассмотрите пиринг между виртуальными сетями, если у вас есть строгие политики данных и хотите избежать отправки трафика через Интернет.
VPN-шлюзы обеспечивают ограниченную пропускную способность и полезны в сценариях, где требуется шифрование, но можно допускать ограничения пропускной способности. В этих сценариях клиенты также не так чувствительны к задержкам.
Транзит через шлюз
Пиринг виртуальных сетей и VPN-шлюзы также могут сосуществовать через транзит шлюза.
Транзит шлюза позволяет использовать шлюз одноранговой виртуальной сети для подключения к локальной среде вместо создания нового шлюза для подключения. По мере увеличения рабочих нагрузок в Azure необходимо масштабировать сети в разных регионах и виртуальных сетях, чтобы обеспечить рост. Транзитный шлюз позволяет использовать ExpressRoute или VPN-шлюз совместно со всеми одноранговыми виртуальными сетями и управлять подключениями в одном месте. Совместное использование позволяет сократить затраты и уменьшить накладные расходы на управление.
Когда активно транзитное подключение шлюза в пиринге виртуальных сетей, можно создать транзитную виртуальную сеть, содержащую ваш VPN-шлюз, сетевое виртуальное устройство и другие общие службы. По мере роста вашей организации с новыми приложениями или бизнес-подразделениями и по мере развёртывания новых виртуальных сетей вы можете подключиться к вашей транзитной виртуальной сети с помощью пиринга. Это предотвращает добавление сложности в сеть и снижает затраты на управление несколькими шлюзами и другими устройствами.
Настройка подключений
Пиринг виртуальных сетей и VPN-шлюзы поддерживают следующие типы подключений:
- Виртуальные сети в разных регионах.
- Виртуальные сети в разных арендаторах Microsoft Entra.
- Виртуальные сети в разных подписках Azure.
- Виртуальные сети, использующие сочетание моделей развертывания Azure (Resource Manager и классическая модель).
Дополнительные сведения см. в следующих статьях:
- Создание пиринга виртуальной сети — Resource Manager, разные подписки
- Создание пиринга виртуальной сети — разные модели развертывания, одна и та же подписка
- Настройка vpn-шлюза виртуальной сети с помощью портала Azure
- Подключение виртуальных сетей из разных моделей развертывания с помощью портала
- VPN-шлюз: вопросы и ответы
Сравнение соединения виртуальной сети и VPN шлюза
| Товар | Пиринг между виртуальными сетями | VPN-шлюз |
|---|---|---|
| Ограничения | До 500 пирингов виртуальных сетей на виртуальную сеть (см. ограничения сети). | Один VPN-шлюз для каждой виртуальной сети. Максимальное количество туннелей на шлюз зависит от номера SKU шлюза. |
| Модель ценообразования | Ingress/Egress | Почасовая + исходящий трафик |
| Шифрование | Шифрование виртуальной сети Azure можно использовать. | Настраиваемая политика IPsec/IKE может применяться к новым или существующим подключениям. Дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure. |
| Ограничения пропускной способности | Ограничения пропускной способности отсутствуют. | Зависит от номера SKU. См. номера SKU шлюза по туннелям, подключению и пропускной способности. |
| Частный? | Да. Маршрутизируется через основную сеть и частные инфраструктуры Microsoft. Вовлеченность общественного интернета отсутствует. | Общедоступный IP-адрес, но перенаправлен через магистраль Майкрософт, если глобальная сеть Майкрософт включена. |
| Транзитивная связь | Пиринговые подключения являются не транзитивными. Транзитивная сеть может быть достигнута с помощью NVAs или шлюзов в центральной виртуальной сети. Пример см. в топологии центральной сети . | Если виртуальные сети подключены через VPN-шлюзы и BGP включены в подключениях виртуальной сети, транзитивность работает. |
| Время начальной установки | Быстрый | ~30 минут |
| Типичные сценарии | Репликация данных, отказоустойчивость базы данных и другие сценарии, требующие частого резервного копирования больших объемов данных. | Сценарии, связанные с шифрованием, не чувствительные к задержке и не требующие высокой пропускной способности. |
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.
Основной автор:
- Анави Нахар | Диспетчер PDM субъекта