Plan en implementeer de peering van virtuele netwerken of een gateway.
Een virtueel netwerk is een virtueel, geïsoleerd gedeelte van het openbare Azure-netwerk. Standaard kan verkeer niet worden gerouteerd tussen twee virtuele netwerken. Het is echter mogelijk om virtuele netwerken te verbinden, binnen één regio of tussen twee regio's, zodat verkeer tussen deze netwerken kan worden gerouteerd.
Verbindingstypen voor virtuele netwerken
Virtuele netwerkpeering. Peering van virtuele netwerken verbindt twee virtuele Azure-netwerken. Zodra de peering is uitgevoerd, worden de virtuele netwerken weergegeven als één voor connectiviteitsdoeleinden. Verkeer tussen virtuele machines in de gekoppelde virtuele netwerken wordt gerouteerd via de Microsoft-backbone-infrastructuur en maakt daarbij uitsluitend gebruik van privé-IP-adressen. Er is geen openbaar internet betrokken. U kunt ook virtuele netwerken peeren tussen Azure-regio's (wereldwijde peering).
VPN-gateways. Een VPN-gateway is een specifiek type virtuele netwerkgateway dat wordt gebruikt voor het verzenden van verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. U kunt ook een VPN-gateway gebruiken om verkeer tussen virtuele Azure-netwerken te verzenden. Elk virtueel netwerk kan maximaal één VPN-gateway hebben. U moet Azure Distributed Denial of Service (DDoS) Protection Standard inschakelen op elk virtueel perimeternetwerk.
Peering van virtuele netwerken biedt een verbinding met lage latentie en hoge bandbreedte. Er is geen gateway in het pad, dus er zijn geen extra hops, waardoor verbindingen met lage latentie worden gegarandeerd. Dit is handig in scenario's zoals replicatie van gegevens in meerdere regio's en failover van databases. Omdat verkeer privé is en op de Microsoft-backbone blijft, kunt u ook peering van virtuele netwerken overwegen als u strikt gegevensbeleid hebt en wilt voorkomen dat verkeer via internet wordt verzonden.
VPN-gateways bieden een beperkte bandbreedteverbinding en zijn handig in scenario's waarin u versleuteling nodig hebt, maar bandbreedtebeperkingen kunnen verdragen. In deze scenario's zijn klanten ook niet zo gevoelig voor latentie.
Doorvoer via gateway
Peering van virtuele netwerken en VPN-gateways kunnen ook naast elkaar bestaan via gatewayoverdracht.
Met gateway-transit kunt u de gateway van een virtueel peernetwerk gebruiken om een verbinding te maken met lokale netwerken, in plaats van een nieuwe gateway te maken voor verbinding. Wanneer u uw workloads in Azure verhoogt, moet u uw netwerken schalen tussen regio's en virtuele netwerken om de groei bij te houden. Met gatewayoverdracht kunt u een ExpressRoute- of VPN-gateway delen met alle gekoppelde virtuele netwerken en kunt u de connectiviteit op één plaats beheren. Delen maakt kostenbesparingen en vermindering van beheeroverhead mogelijk.
Als gatewayoverdracht is ingeschakeld voor peering van virtuele netwerken, kunt u een virtueel doorvoernetwerk maken dat uw VPN-gateway, virtueel netwerkapparaat en andere gedeelde services bevat. Naarmate uw organisatie groeit met nieuwe toepassingen of bedrijfseenheden en wanneer u nieuwe virtuele netwerken maakt, kunt u verbinding maken met uw virtuele transitnetwerk met behulp van peering. Dit voorkomt het toevoegen van complexiteit aan uw netwerk en vermindert de beheeroverhead van het beheren van meerdere gateways en andere apparaten.
Verbindingen configureren
Peering van virtuele netwerken en VPN-gateways ondersteunen beide de volgende verbindingstypen:
- Virtuele netwerken in verschillende regio's.
- Virtuele netwerken in verschillende Microsoft Entra-tenants.
- Virtuele netwerken in verschillende Azure-abonnementen.
- Virtuele netwerken die gebruikmaken van een combinatie van Azure-implementatiemodellen (Resource Manager en klassiek).
Vergelijking van peering van virtuele netwerken en VPN Gateway
| Artikel | Peering op virtueel netwerk | VPN-toegangspoort |
|---|---|---|
| Grenzen | Maximaal 500 virtuele netwerkpeerings per virtueel netwerk | Eén VPN-gateway per virtueel netwerk. Het maximum aantal tunnels per gateway is afhankelijk van de gateway-SKU. |
| Prijsmodel | toegang/afvoer | Uur + uitgaand verkeer |
| Encryptie | Versleuteling op softwareniveau wordt aanbevolen. | Aangepast IPsec-/IKE-beleid kan worden toegepast op nieuwe of bestaande verbindingen. |
| Bandbreedtebeperkingen | Geen bandbreedtebeperkingen. | Varieert op basis van SKU. |
| Privé? | Ja. Gerouteerd via Microsoft-backbone en privé. Er is geen openbaar internet betrokken. | Publiek IP-adres betrokken, maar gerouteerd via de Microsoft-backbone als het wereldwijde Microsoft-netwerk is ingeschakeld. |
| Transitieve relatie | Peeringverbindingen zijn niet transitief. Transitieve netwerken kun je bereiken met NVA's of gateways in het virtuele hubnetwerk. | Als virtuele netwerken zijn verbonden via VPN-gateways en BGP is ingeschakeld in de virtuele netwerkverbindingen, werkt transitiviteit. |
| Initiële installatietijd | Snel | ~30 minuten |
| Typische scenario's | Gegevensreplicatie, databasefailover en andere scenario's die regelmatig back-ups van grote gegevens nodig hebben. | Versleutelingsspecifieke scenario's die geen latentiegevoelig zijn en die overal niet hoog nodig zijn. |