计划和实现虚拟网络对等互连或网关
虚拟网络是 Azure 公共网络的虚拟隔离部分。 默认情况下,无法在两个虚拟网络之间路由流量。 但是,可以在单个区域内部或者在两个区域之间连接虚拟网络,这样就可以在虚拟网络之间路由流量。
虚拟网络连接类型
虚拟网络对等互连。 虚拟网络对等互连连接两个 Azure 虚拟网络。 建立对等互连后,出于连接目的,两个虚拟网络会显示为一个。 对等互连的虚拟网络中的虚拟机之间的流量只会通过专用 IP 地址和 Microsoft 主干网络基础结构路由。 不涉及公共 Internet。 还可以跨 Azure 区域将虚拟网络对等互连(全局对等互连)。
VPN 网关。 VPN 网关是特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送流量。 还可使用 VPN 网关在 Azure 虚拟网络之间发送流量。 每个虚拟网络最多只能有一个 VPN 网关。 应当在任何外围虚拟网络上启用 Azure 分布式拒绝服务 (DDoS) 防护标准。
虚拟网络对等互连提供低延迟、高带宽的连接。 路径中没有网关,因此没有额外的跃点,这可以确保建立低延迟连接。 它在跨区域数据复制和数据库故障转移等方案中很有用。 由于流量是私密的并保留在 Microsoft 主干网络上,如果你有严格的数据策略并希望避免通过 Internet 发送任何流量,也可以考虑使用虚拟网络对等互连。
VPN 网关提供带宽受限的连接,在需要加密但可以容忍带宽受限的方案中很有用。 在这些方案中,客户对延迟也不敏感。
网关传输
虚拟网络对等互连和 VPN 网关也可以通过网关传输共存。
网关传输让你可以使用对等互连的虚拟网络的网关连接到本地,而无需创建新网关用于连接。 随着 Azure 中工作负载的增加,需要跨区域和虚拟网络扩展网络以跟上增长的步伐。 网关传输允许与所有对等互连的虚拟网络共享 ExpressRoute 或 VPN 网关,并允许在一个位置管理连接。 共享可以节省成本并降低管理开销。
在虚拟网络对等互连上启用网关传输后,可以创建一个包含 VPN 网关、网络虚拟设备和其他共享服务的传输虚拟网络。 随着组织的发展、新应用程序或业务单位的不断增多,以及运转新的虚拟网络,可以使用对等互连连接到传输虚拟网络。 这可以避免增大网络复杂性,并降低管理多个网关和其他设备所产生的开销。
配置连接
虚拟网络对等互连和 VPN 网关都支持以下连接类型:
- 不同区域中的虚拟网络。
- 不同 Microsoft Entra 租户中的虚拟网络。
- 不同 Azure 订阅中的虚拟网络。
- 使用混合 Azure 部署模型(资源管理器和经典)的虚拟网络。
虚拟网络对等互连和 VPN 网关的比较
| 项目 | 虚拟网络对等 | VPN 网关 |
|---|---|---|
| 限制 | 每个虚拟网络的虚拟网络对等互连数可多达 500 个 | 每个虚拟网络有一个 VPN 网关。 每个网关的最大隧道数取决于网关 SKU。 |
| 定价模型 | 入口/出口 | 每小时 + 出口 |
| 加密 | 建议使用软件级加密。 | 自定义 IPsec/IKE 策略可应用于新的或现有的连接。 |
| 带宽限制 | 没有带宽限制。 | 因 SKU 而异。 |
| 专用? | 是的。 通过 Microsoft 主干网络和专用网络路由。 不涉及公共 Internet。 | 包含公共 IP,但如果启用了 Microsoft 全局网络,则通过 Microsoft 主干网路由。 |
| 传递关系 | 对等连接不可传递。 可以使用中心虚拟网络中的 NVA 或网关来实现可传递网络。 | 如果虚拟网络是通过 VPN 网关连接的,并且在虚拟网络连接中启用了 BGP,则可以正常传递。 |
| 初始设置时间 | 快速 | 大约 30 分钟 |
| 典型方案 | 需要频繁备份大型数据的数据复制、数据库故障转移和其他方案。 | 对延迟不敏感且不需要高吞吐量的加密特定方案。 |