Rychlá cesta VPN služby Azure Stack Hub pro uživatele tenanta
Co je funkce Azure Stack Hub VPN Fast Path?
Azure Stack Hub představuje tři nové skladové položky popsané v tomto článku jako součást funkce VPN Fast Path. Dříve byly tunely S2S omezené na maximální šířku pásma 200 Mb/s pomocí SKU HighPerformance. Nové skladové položky umožňují zákazníkům scénáře, ve kterých je potřeba vyšší propustnost sítě. Hodnoty propustnosti pro jednotlivé skladové položky jsou jednosměrné, což znamená, že podporuje danou propustnost při odesílání nebo příjmu provozu.
Když operátor služby Azure Stack povolí funkci VPN Fast Path na razítku služby Azure Stack Hub, uživatelé tenanta můžou vytvářet brány virtuální sítě pomocí nových skladových položek. Existující nastavení můžete upravit opětovným vytvořením brány virtuální sítě a jejích připojení pomocí některé z nových skladových položek.
Nové skladové položky bran virtuální sítě dostupné, když je povolená rychlá cesta VPN
Kromě 3 nových skladových položek se celková kapacita sítě VPN služby Azure Stack Hub zvýší, což umožní více připojení VPN.
Následující tabulka ukazuje novou propustnost pro jednotlivé skladové položky, když je povolená rychlá cesta VPN:
Skladová jednotka (SKU) | Maximální propustnost připojení VPN |
---|---|
Basic | 100 Mb/s Tx/Rx |
Standard | 100 Mb/s Tx/Rx |
High Performance | 200 Mb/s Tx/Rx |
VpnGwy1 | 650 Mb/s Tx/Rx |
VpnGwy2 | 1000 Mb/s Tx/Rx |
VpnGwy3 | 1250 Mb/s Tx/Rx |
Vytvoření bran virtuální sítě pro použití nových skladových položek
Díky rychlé cestě VPN můžou uživatelé tenanta vytvářet brány virtuální sítě s novými skladovými jednotkami pomocí portálu Azure Stack Hub nebo PowerShellu.
Vytváření bran virtuálních sítí s novými skladovými jednotkami pomocí portálu Azure Stack Hub
Pokud k vytvoření brány virtuální sítě používáte portál Azure Stack Hub, můžete vybrat skladovou položku pomocí rozevíracího seznamu. Nové skladové položky VPN Fast Path (VpnGwy1, VpnGwy2, VpnGwy3) se zobrazí až po přidání parametru dotazu "?azurestacknewvpnskus=true" do adresy URL a aktualizaci.
Následující příklad adresy URL zviditelní nové skladové položky brány virtuální sítě na uživatelském portálu služby Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Než operátor vytvoří tyto prostředky, musí na razítku služby Azure Stack Hub povolit rychlou cestu VPN:
Vytváření bran virtuální sítě s novými skladovými jednotkami pomocí PowerShellu
Následující příklad používá moduly AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Upgrade starších verzí bran virtuální sítě
Skladovou položku nemůžete aktualizovat bez opětovného vytvoření brány virtuální sítě, což vyžaduje odstranění všech připojení přidružených k bráně virtuální sítě. Po vytvoření brány virtuální sítě s novou skladovou položkou můžete prostředky brány místní sítě znovu použít. Prostředek brány místní sítě definuje adresní prostor a IP adresu vašeho místního zařízení a zachová si konfiguraci.
Pomocí následujícího postupu upgradujte skladové položky brány virtuální sítě:
- Odstraňte všechna připojení ke stávající bráně virtuální sítě: Poznamenejte si předsdílený klíč a to, jestli je příznak protokolu BGP nastavený na povoleno.
- Odstraňte existující bránu virtuální sítě pomocí starší skladové položky: Ve stejné virtuální síti není možné vytvořit dvě brány virtuální sítě, takže musíte odstranit stávající bránu.
- Vytvořte nový prostředek brány virtuální sítě s novou skladovou položkou: Můžete vybrat jednu z nových skladových položek s povolenou cestou VPN Fast Path.
- Vytvořte nové připojení mezi novou bránou virtuální sítě a stávající bránou místní sítě: Pokud používáte vlastní zásady IP sec, vytvořte připojení přes PowerShell. Použijte předsdílený klíč a příznak protokolu BGP, které jste si poznamenali v kroku 1.
- Opakujte krok 4 pro všechna další připojení, která chcete přesunout na novou skladovou položku: Tento krok je relevantní pro scénáře s více lokalitami.
Topologie připojení VPN
Pro brány VPN jsou k dispozici různé konfigurace. Určete, která konfigurace nejlépe vyhovuje vašim potřebám. V následujících částech můžete zobrazit informace a diagramy topologie týkající se následujících scénářů brány VPN:
- Připojení typu Site-to-Site
- Připojení site-to-multi-site
- Připojení site-to-site nebo site-to-multi-site mezi razítky služby Azure Stack Hub
Diagramy a popisy v následujících částech vám můžou pomoct vybrat topologii připojení tak, aby odpovídala vašim požadavkům. Diagramy znázorňují hlavní základní topologie, ale pomocí diagramů jako vodítka je možné vytvořit složitější konfigurace.
Připojení typu Site-to-Site
Připojení brány VPN typu site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv2). Tento typ připojení vyžaduje zařízení VPN, které je umístěné místně a má přiřazenou veřejnou IP adresu.
Připojení site-to-multi-site
Topologie site-to-multi-site je variantou topologie site-to-site. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám.
Připojení site-to-site nebo site-to-multi-site mezi razítky služby Azure Stack Hub
Mezi dvěma nasazeními služby Azure Stack Hub můžete vytvořit pouze jedno připojení site-to-site VPN. Toto omezení je způsobeno omezením na platformě, které umožňuje pouze jedno připojení VPN ke stejné IP adrese. Vzhledem k tomu, že Azure Stack Hub používá bránu s více tenanty, která má jednu veřejnou IP adresu pro všechny brány VPN v systému Azure Stack Hub, může mezi dvěma systémy Azure Stack Hub existovat pouze jedno připojení VPN. Toto omezení platí také pro připojení více připojení site-to-site VPN k jakékoli bráně VPN, která používá jednu IP adresu. Azure Stack Hub neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.
Následující diagram znázorňuje, jak můžete propojit několik razítek služby Azure Stack Hub, pokud potřebujete vytvořit síťovou topologii mezi razítky. V tomto scénáři existují 3 razítka služby Azure Stack Hub a každý z nich má 1 bránu virtuální sítě se 2 připojeními a 2 brány místní sítě. S novými skladovými jednotkami můžou uživatelé propojit sítě a úlohy mezi kolky s propustností připojení VPN až 1250 Mb/s Tx/Rx, přičemž každé razítko přidělí 50 % kapacity fondu bran. Zbývající kapacitu na každém razítku je možné použít pro další připojení VPN vyžadovaná pro jiné případy použití: