Ereignisse
29. Apr., 14 Uhr - 30. Apr., 19 Uhr
Nehmen Sie am ultimativen virtuellen Windows Server-Ereignis vom 29. bis 30. April teil, um technische Deep-Dive-Sitzungen und Live-Q&A mit Microsoft-Technikern zu erhalten.
Jetzt registrierenDieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge aus, um die neuesten Funktionen, Sicherheitsupdates und technischen Support zu nutzen.
In Windows Server 2016 war die Bandbreite der einzelnen Tunnel für IPsec, GRE und L3 ein Anteil der Gesamtkapazität eines Gateways. Daher stellten Kunden die Gatewaykapazität ausgehend von der TCP-Standardbandbreite bereit, die von der Gateway-VM erwartet wurde.
Darüber hinaus war die maximale IPsec-Tunnelbandbreite auf dem Gateway auf (3/20) * der vom Kunden bereitgestellten Gatewaykapazität eingeschränkt. Wenn Sie also beispielsweise die Gatewaykapazität auf 1.000 MBit/s festlegten, betrug die IPsec-Tunnelkapazität 150 MBit/s. Die entsprechenden Anteile für GRE- und L3-Tunnel betragen 1/5 bzw. 1/2.
Zwar funktionierte dies bei den meisten Bereitstellungen, das Modell mit festen Anteilen war jedoch für Umgebungen mit hohem Durchsatz nicht geeignet. Selbst wenn die Datenübertragungsraten hoch waren (z. B. höher als 40 GBit/s), war der maximale Durchsatz von SDN-Gatewaytunneln aufgrund interner Faktoren begrenzt.
In Windows Server 2019 ist der maximale Durchsatz für einen Tunneltyp festgelegt. Selbst wenn Ihr Gatewayhost/Ihre VM NICs mit viel höherem Durchsatz unterstützt, ist der maximale verfügbare Tunneldurchsatz festgelegt. Ein weiteres Problem, das dadurch behoben wird, ist die unbegründete Überbereitstellung von Gateways, die eintritt, wenn eine sehr hohe Gatewaykapazität bereitgestellt wird.
Der maximal verfügbare Durchsatz für verschiedene Tunneltypen ist:
IPsec = 5 GBit/s
GRE = 15 GBit/s
L3 = 5 GBit/s
Hinweis
Standardmäßig arbeitet die IPsec-Bandbreitenzuweisung mit Windows Server 2016-Verhalten, das weiter unten in diesem Artikel beschrieben wird. Führen Sie die folgenden Schritte für jede Gateway-VM aus, um den maximalen Durchsatz (5 GBit/s) zu erzielen:
Führen Sie den folgenden Befehl aus, um den Gatewaydienst zu aktivieren:
Set-Service gatewayservice -StartupType Automatic -Status Running
Führen Sie einen Neustart des virtuellen Gatewaycomputers aus.
Im Idealfall legen Sie die Durchsatzkapazität des Gateways auf den für die Gateway-VM verfügbaren Durchsatz fest. Wenn Sie also beispielsweise über eine einzelne Gateway-VM verfügen und der NIC-Durchsatz des zugrunde liegenden Hosts bei 25 GBit/s liegt, kann der Gatewaydurchsatz ebenfalls auf 25 GBit/s festgelegt werden.
Wenn Sie ein Gateway nur für IPsec-Verbindungen verwenden, beträgt die maximale verfügbare feste Kapazität 5 GBit/s. Wenn Sie also beispielsweise IPsec-Verbindungen auf dem Gateway bereitstellen, können Sie nur bis zu einer aggregierten Bandbreite (eingehende und ausgehende Bandbreite) von 5 GBit/s bereitstellen.
Wenn Sie das Gateway sowohl für IPsec- als auch für GRE-Konnektivität verwenden, können Sie maximal 5 GBit/s IPsec-Durchsatz oder maximal 15 GBit/s GRE-Durchsatz bereitstellen. Wenn Sie also beispielsweise 2 GBit/s IPsec-Durchsatz bereitstellen, verbleiben 3 GBit/s IPsec-Durchsatz oder 9 GBit/s GRE-Durchsatz zur Bereitstellung auf dem Gateway.
Um dies in eher mathematischen Begriffen zu fassen:
Gesamtkapazität des Gateways = 25 GBit/s
Verfügbare IPsec-Gesamtkapazität = 5 GBit/s (fest)
Verfügbare GRE-Gesamtkapazität = 15 GBit/s (fest)
IPsec-Durchsatzanteil für dieses Gateway = 25/5 = 5 Gbit/s
GRE-Durchsatzanteil für dieses Gateway = 25/15 = 5/3 Gbit/s
Wenn Sie beispielsweise einem Kunden 2 GBit/s IPsec-Durchsatz zuweisen:
Verbleibende verfügbare Kapazität auf dem Gateway = Gesamtkapazität des Gateways – IPsec-Durchsatzanteil*Zugewiesener IPsec-Durchsatz (verwendete Kapazität)
25–5*2 = 15 GBit/s
Verbleibender IPsec-Durchsatz, den Sie auf dem Gateway zuweisen können
5-2 = 3 GBit/s
Verbleibender GRE-Durchsatz, den Sie auf dem Gateway zuordnen können = Verbleibende Kapazität des Gateways/GRE-Durchsatzanteil
15*3/5 = 9 GBit/s
Der Durchsatzanteil ändert sich abhängig von der Gesamtkapazität des Gateways. Beachten Sie unter anderem, dass Sie die Gesamtkapazität auf die TCP-Bandbreite festlegen sollten, die für die Gateway-VM verfügbar ist. Wenn mehrere VMs auf dem Gateway gehostet werden, müssen Sie die Gesamtkapazität des Gateways entsprechend anpassen.
Ferner wird, wenn die Gatewaykapazität kleiner als die insgesamt verfügbare Tunnelkapazität ist, die gesamte verfügbare Tunnelkapazität auf die Gatewaykapazität festgelegt. Wenn Sie beispielsweise die Gatewaykapazität auf 4 GBit/s festlegen, wird die insgesamt verfügbare Kapazität für IPsec, L3 und GRE auf 4 GBit/s festgelegt, sodass der Durchsatzanteil für jeden Tunnel bei 1 GBit/s verbleibt.
Der Algorithmus zur Berechnung der Gatewaykapazität für Windows Server 2016 bleibt unverändert. In Windows Server 2016 war die maximale IPsec-Tunnelbandbreite für ein Gateway auf (3/20)*Gatewaykapazität beschränkt. Die entsprechenden Anteile für GRE- und L3-Tunnel betragen 1/5 bzw. 1/2.
Bei einem Upgrade von Windows Server 2016 auf Windows Server 2019:
GRE- und L3-Tunnel: Die Windows Server 2019-Zuweisungslogik wird wirksam, sobald die Netzwerkcontrollerknoten auf Windows Server 2019 aktualisiert werden.
IPSec-Tunnel: Die Windows Server 2016-Gatewayzuweisungslogik funktioniert weiterhin, bis alle Gateways im Gatewaypool auf Windows Server 2019 aktualisiert wurden. Für alle Gateways im Gatewaypool müssen Sie den Azure-Gatewaydienst auf Automatisch festlegen.
Hinweis
Es ist möglich, dass nach dem Upgrade auf Windows Server 2019 ein Gateway überlastet wird (da sich die Zuweisungslogik von Windows Server 2016 zu Windows Server 2019 geändert hat). In diesem Fall bestehen die vorhandenen Verbindungen auf dem Gateway weiterhin. Die REST-Ressource für das Gateway gibt eine Warnung aus, dass eine Überbereitstellung des Gateways erfolgt ist. In diesem Fall sollten Sie einige Verbindungen zu einem anderen Gateway verschieben.
Ereignisse
29. Apr., 14 Uhr - 30. Apr., 19 Uhr
Nehmen Sie am ultimativen virtuellen Windows Server-Ereignis vom 29. bis 30. April teil, um technische Deep-Dive-Sitzungen und Live-Q&A mit Microsoft-Technikern zu erhalten.
Jetzt registrierenSchulung
Modul
針對 Microsoft Azure 中的 VPN 閘道進行疑難排解 - Training
網路設定和使用虛擬私人網路 (VPN) 是共同作業成功不可或缺的一部分。 在本課程模組中,我們將探討如何監視和疑難排解站對站和點對站 VPN。 AZ720 AZ-720 az-720 網路
Zertifizierung
Microsoft Certified: Azure Network Engineer Associate - Certifications
示範 Azure 網路基礎結構的設計、實作和維護、負載平衡流量、網路路由等等。