Azure Stack Hub VPN Fast Path für Mandantenbenutzer
Was ist das Azure Stack Hub VPN Fast Path-Feature?
Azure Stack Hub führt die drei neuen SKUs ein, die in diesem Artikel als Teil des VPN-Fast Path-Features beschrieben werden. Zuvor waren S2S-Tunnel mit der HighPerformance-SKU auf eine maximale Bandbreite von 200 MBit/s beschränkt. Die neuen SKUs ermöglichen Kundenszenarien, in denen ein höherer Netzwerkdurchsatz erforderlich ist. Die Durchsatzwerte für jede SKU sind unidirektionale Werte, d. h. sie unterstützt den angegebenen Durchsatz für Sende- oder Empfangsdatenverkehr.
Wenn der Azure Stack-Operator das VPN-Fast Path-Feature für einen Azure Stack Hub-Stempel aktiviert, können Mandantenbenutzer virtuelle Netzwerkgateways mit den neuen SKUs erstellen. Sie können vorhandene Setups anpassen, indem Sie das Gateway für virtuelle Netzwerke und seine Verbindungen mit einer der neuen SKUs neu erstellen.
Neue SKUs für virtuelle Netzwerkgateways verfügbar, wenn VPN Fast Path aktiviert ist
Zusätzlich zu den 3 neuen SKUs erhöht sich die gesamte Azure Stack Hub-VPN-Kapazität, sodass mehr VPN-Verbindungen möglich sind.
Die folgende Tabelle zeigt den neuen Durchsatz für jede SKU, wenn VPN Fast Path aktiviert ist:
SKU | Maximaler VPN-Verbindungsdurchsatz |
---|---|
Grundlegend | Tx/Rx mit 100 MBit/s |
Standard | Tx/Rx mit 100 MBit/s |
Hohe Leistung | Tx/Rx mit 200 MBit/s |
VpnGwy1 | Tx/Rx mit 650 Mbit/s |
VpnGwy2 | Tx/Rx mit 1000 Mbit/s |
VpnGwy3 | Tx/Rx mit 1250 Mbit/s |
Erstellen von Gateways für virtuelle Netzwerke zur Verwendung der neuen SKUs
Mit VPN Fast Path können Mandantenbenutzer virtuelle Netzwerkgateways mit den neuen SKUs über das Azure Stack Hub-Portal oder PowerShell erstellen.
Erstellen von Gateways für virtuelle Netzwerke mit neuen SKUs über das Azure Stack Hub-Portal
Wenn Sie das Azure Stack Hub-Portal verwenden, um ein Gateway für virtuelle Netzwerke zu erstellen, können Sie die SKU in der Dropdownliste auswählen. Die neuen VPN-Fast Path-SKUs (VpnGwy1, VpnGwy2, VpnGwy3) sind erst sichtbar, nachdem der Abfrageparameter "?azurestacknewvpnskus=true" zur URL hinzugefügt und aktualisiert wurde.
Mit dem folgenden URL-Beispiel werden die neuen Gateway-SKUs für virtuelle Netzwerke im Azure Stack Hub-Benutzerportal angezeigt:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Bevor der Operator diese Ressourcen erstellt, muss er VPN Fast Path für den Azure Stack Hub-Stempel aktivieren:
Erstellen von Gateways für virtuelle Netzwerke mit neuen SKUs mithilfe von PowerShell
Im folgenden Beispiel werden die AzureRM-Module verwendet:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Upgrade von Legacy-Gateways für virtuelle Netzwerke
Sie können die SKU nicht aktualisieren, ohne das Gateway für virtuelle Netzwerke neu zu erstellen. Daher müssen Sie alle Verbindungen löschen, die dem Gateway des virtuellen Netzwerks zugeordnet sind. Sie können die lokalen Netzwerkgatewayressourcen wiederverwenden, nachdem Sie ein Gateway für virtuelle Netzwerke mit der neuen SKU erstellt haben. Die lokale Netzwerkgatewayressource definiert den Adressraum und die IP-Adresse Ihres lokalen Geräts und behält diese Konfiguration bei.
Führen Sie die folgenden Schritte aus, um gateway-SKUs für virtuelle Netzwerke zu aktualisieren:
- Löschen Sie alle Verbindungen auf dem vorhandenen Gateway für virtuelle Netzwerke: Notieren Sie sich den vorab freigegebenen Schlüssel und die Einstellung des BGP-Flags auf aktiviert.
- Löschen Sie das vorhandene Virtuelle Netzwerkgateway mithilfe der Legacy-SKU. Es ist nicht möglich, zwei Gateways für virtuelle Netzwerke im selben virtuellen Netzwerk zu erstellen. Daher müssen Sie das vorhandene Netzwerk löschen.
- Erstellen Sie eine neue Gatewayressource für virtuelle Netzwerke mit der neuen SKU: Sie können eine der neuen SKUs auswählen, die mit VPN Fast Path aktiviert sind.
- Erstellen Sie eine neue Verbindung zwischen dem neuen Gateway für virtuelle Netzwerke und dem vorhandenen lokalen Netzwerkgateway: Wenn Sie eine benutzerdefinierte IP-Sec-Richtlinie verwenden, erstellen Sie die Verbindung über PowerShell. Verwenden Sie den vorab freigegebenen Schlüssel und das BGP-Flag, das in Schritt 1 notiert wurde.
- Wiederholen Sie Schritt 4 für alle anderen Verbindungen, die Sie zur neuen SKU verschieben möchten: Dieser Schritt ist für Szenarien mit mehreren Standorten relevant.
VPN-Verbindungstopologien
Für VPN-Gateways stehen verschiedene Konfigurationen zur Verfügung. Ermitteln Sie, welche Konfiguration am besten zu Ihren Anforderungen passt. In den folgenden Abschnitten können Sie Informationen und Topologiediagramme zu den folgenden VPN-Gatewayszenarien anzeigen:
- Site-to-Site-Verbindungen
- Site-to-Multi-Site-Verbindungen
- Site-to-Site- oder Site-to-Multi-Site-Verbindungen zwischen Azure Stack Hub-Stempeln
Orientieren Sie sich bei der Wahl einer geeigneten Verbindungstopologie an den Diagrammen und Beschreibungen in den folgenden Abschnitten. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.
Site-to-Site-Verbindungen
Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen IPsec-/IKE-VPN-Tunnel (IKEv2). Dieser Verbindungstyp erfordert ein lokales VPN-Gerät, das einer öffentlichen IP-Adresse zugewiesen ist.
Site-to-Multi-Site-Verbindungen
Eine Site-to-Multi-Site-Topologie ist eine Variante der Site-to-Site-Topologie. Sie erstellen mehrere VPN-Verbindungen über Ihr Gateway für virtuelle Netzwerke, durch die in der Regel mehrere lokale Standorte verbunden werden.
Site-to-Site- oder Site-to-Multi-Site-Verbindungen zwischen Azure Stack Hub-Stempeln
Sie können nur eine Site-to-Site-VPN-Verbindung zwischen zwei Azure Stack Hub-Bereitstellungen erstellen. Diese Einschränkung ist auf eine Einschränkung der Plattform zurückzuführen, die nur eine einzelne VPN-Verbindung mit derselben IP-Adresse zulässt. Da Azure Stack Hub das mehrinstanzenfähige Gateway verwendet, das über eine einzige öffentliche IP-Adresse für alle VPN-Gateways im Azure Stack Hub-System verfügt, kann es nur eine VPN-Verbindung zwischen zwei Azure Stack Hub-Systemen geben. Diese Einschränkung gilt auch für das Herstellen mehrerer Site-to-Site-VPN-Verbindungen mit einem beliebigen VPN-Gateway, das eine einzige IP-Adresse nutzt. Azure Stack Hub lässt nicht zu, dass mehrere Ressourcen des lokalen Netzwerkgateways mit der gleichen IP-Adresse erstellt werden.
Das folgende Diagramm zeigt, wie Sie mehrere Azure Stack Hub-Stempel miteinander verbinden können, wenn Sie eine Gittertopologie zwischen Stempeln erstellen müssen. In diesem Szenario gibt es 3 Azure Stack Hub-Stempel, und jeder von ihnen verfügt über 1 Gateway für virtuelle Netzwerke mit 2 Verbindungen und 2 lokale Netzwerkgateways. Mit den neuen SKUs können die Benutzer Netzwerke und Workloads zwischen Stempeln mit einem VPN-Verbindungsdurchsatz von bis zu 1250 Mbit/s Tx/Rx verbinden, wobei 50 % der Gatewaypoolkapazität jedes Stempels zugewiesen werden. Die verbleibende Kapazität auf jedem Stempel kann für weitere VPN-Verbindungen verwendet werden, die für andere Anwendungsfälle erforderlich sind: