Planen und Implementieren von Peering virtueller Netzwerke oder VPN-Gateway
Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks. Standardmäßig kann Datenverkehr nicht zwischen zwei virtuellen Netzwerken weitergeleitet werden. Es ist jedoch möglich, virtuelle Netzwerke innerhalb einer einzelnen Region oder über zwei Regionen hinweg miteinander zu verbinden, sodass Datenverkehr zwischen ihnen weitergeleitet werden kann.
Virtuelle Netzwerkverbindungstypen
Peering virtueller Netzwerke. Das Peering virtueller Netzwerke dient zur Verbindung zweier virtueller Azure-Netzwerke. Nach dem Peering werden die virtuellen Netzwerke für Verbindungszwecke als einzelnes Element angezeigt. Datenverkehr zwischen virtuellen Computern in den mittels Peering verknüpften virtuellen Netzwerken wird über die Microsoft-Backbone-Infrastruktur geleitet. Dabei werden nur private IP-Adressen verwendet. Das öffentliche Internet wird nicht genutzt. Virtuelle Netzwerke können auch zwischen verschiedenen Azure-Regionen mittels Peering verknüpft werden (globales Peering).
VPN-Gateways: Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Über ein VPN-Gateway kann auch Datenverkehr zwischen virtuellen Azure-Netzwerken gesendet werden. Jedes virtuelle Netzwerk kann maximal über ein einzelnes VPN-Gateway verfügen. Sie sollten Azure Distributed Denial of Service (DDoS) Protection Standard für jedes virtuelle Umkreisnetzwerk aktivieren.
Das Peering virtueller Netzwerke bietet eine Verbindung mit geringer Wartezeit und hoher Bandbreite. Da der Pfad kein Gateway enthält, sind keine zusätzlichen Hops erforderlich, was Verbindungen mit geringer Wartezeit ermöglicht. Dies ist hilfreich in Szenarien mit regionsübergreifender Datenreplikation oder regionsübergreifendem Datenbankfailover. Da der Datenverkehr privat ist und vollständig über den Microsoft-Backbone abgewickelt wird, eignet sich das Peering virtueller Netzwerke auch, wenn Sie über strenge Datenrichtlinien verfügen und das Senden von Datenverkehr über das Internet vermeiden möchten.
VPN-Gateways bieten eine Verbindung mit eingeschränkter Bandbreite und sind hilfreich in Szenarien, in denen eine Verschlüsselung erforderlich ist und Einschränkungen bei der Bandbreite akzeptabel sind. In Szenarien dieser Art haben Kunden auch eine höhere Toleranz gegenüber Wartezeiten.
Gatewaytransit
Peering virtueller Netzwerke und VPN-Gateways können mit Gatewaytransit parallel verwendet werden.
Dank Gatewaytransit können Sie unter Verwendung des Gateways eines mittels Peering verknüpften virtuellen Netzwerks eine Verbindung mit der lokalen Umgebung herstellen, anstatt ein neues Gateway für die Konnektivität zu erstellen. Wenn Ihre Workloads in Azure zunehmen, müssen Sie Ihre Netzwerke über Regionen und virtuelle Netzwerke hinweg skalieren, um mit dem Wachstum Schritt zu halten. Mithilfe des Gatewaytransits können Sie ein ExpressRoute- oder VPN-Gateway für alle mittels Peering verknüpften virtuellen Netzwerke verwenden und die Konnektivität an einem zentralen Ort verwalten. Die gemeinsame Nutzung ermöglicht Kosteneinsparungen sowie eine effizientere Verwaltung.
Wenn Gatewaytransit für das Peering virtueller Netzwerke aktiviert ist, können Sie ein virtuelles Transitnetzwerk erstellen, das Ihr VPN-Gateway, Ihr virtuelles Netzwerkgerät und andere gemeinsam genutzte Dienste enthält. Wenn in Ihrer Organisation neue Anwendungen oder Unternehmenseinheiten hinzukommen und Sie neue virtuelle Netzwerke einrichten, können Sie mittels Peering eine Verbindung mit Ihrem virtuellen Transitnetzwerk herstellen. Dadurch bleibt Ihr Netzwerk überschaubar, und der Aufwand für die Verwaltung mehrerer Gateways und anderer Appliances verringert sich.
Konfigurieren von Verbindungen
Vom Peering virtueller Netzwerke sowie von VPN-Gateways werden folgende Verbindungstypen unterstützt:
- Virtuelle Netzwerke in unterschiedlichen Regionen
- Virtuelle Netzwerke in verschiedenen Microsoft Entra-Mandanten.
- Virtuelle Netzwerke in unterschiedlichen Azure-Abonnements
- Virtuelle Netzwerke mit einer Kombination aus verschiedenen Azure-Bereitstellungsmodellen (Resource Manager und klassisch)
Vergleich von Peering virtueller Netzwerke und VPN-Gateway
| Element | Peering in virtuellen Netzwerken | VPN Gateway |
|---|---|---|
| Einschränkungen | BIs zu 500 Peerings virtueller Netzwerke pro virtuellem Netzwerk | Ein einzelnes VPN-Gateway pro virtuelles Netzwerk. Die maximale Anzahl von Tunneln pro Gateway hängt von der Gateway-SKU ab. |
| Preismodell | Ein-/Ausgehende Datenübertragung | Stündlich + ausgehende Datenübertragung |
| Verschlüsselung | Verschlüsselung auf Softwareebene wird empfohlen. | Eine benutzerdefinierte IPsec-/IKE-Richtlinie kann auf neue oder vorhandene Verbindungen angewendet werden. |
| Bandbreiteneinschränkungen | Keine Bandbreiteneinschränkungen. | Abhängig von der SKU. |
| Privat? | Ja. Weiterleitung über den Microsoft-Backbone und privat. Keine Verwendung des öffentlichen Internets. | Verwendung einer öffentlichen IP-Adresse, aber Weiterleitung über den Microsoft-Backbone, wenn das globale Microsoft-Netzwerk aktiviert ist. |
| Transitive Beziehung | Peeringverbindungen sind nicht transitiv. Transitive Netzwerkverbindungen können mithilfe von NVAs oder Gateways im virtuellen Hubnetzwerk erreicht werden. | Wenn virtuelle Netzwerke über VPN-Gateways verbunden werden und BGP für die VNET-Verbindungen aktiviert ist, funktioniert die Transitivität. |
| Für Anfangskonfiguration benötigte Zeit | Schnell | Ca. 30 Minuten |
| Typische Szenarien | Datenreplikation, Datenbankfailover und andere Szenarien mit häufiger Sicherung umfangreicher Daten. | Verschlüsselungsspezifische Szenarien, in denen Wartezeiten akzeptabel sind und kein hoher Durchsatz erforderlich ist. |