Informationen zu ExpressRoute-Gateways für virtuelle Netzwerke

Wenn Sie Ihr virtuelles Azure-Netzwerk und Ihr lokales Netzwerk über ExpressRoute verbinden möchten, müssen Sie ein virtuelles Netzwerkgateway erstellen. Ein Gateway für virtuelle Netzwerke dient zwei Zwecken: dem Austausch von IP-Routen zwischen den Netzwerken und der Weiterleitung des Netzwerkdatenverkehrs. In diesem Artikel werden Gatewaytypen, Gateway-SKUs und die geschätzte Leistung nach SKU erläutert. In diesem Artikel wird auch ExpressRoute FastPath erläutert, ein Feature, das es dem Netzwerkdatenverkehr aus Ihrem lokalen Netzwerk ermöglicht, das virtuelle Netzwerkgateway zu umgehen, um die Leistung zu verbessern.

Gatewaytypen

Beim Erstellen eines Gateways für virtuelle Netzwerke müssen mehrere Einstellungen angegeben werden. Eine dieser erforderlichen Einstellungen, -GatewayType, gibt an, ob das Gateway für ExpressRoute- oder für VPN-Datenverkehr verwendet wird. Die zwei Gatewaytypen sind:

  • Vpn – Wenn verschlüsselter Netzwerkdatenverkehr über das öffentliche Internet gesendet wird, verwenden Sie den Gatewaytyp „Vpn“. Dies wird auch als VPN Gateway bezeichnet. Bei Site-to-Site-, Point-to-Site- und VNet-zu-VNet-Verbindungen wird jeweils VPN Gateway verwendet.

  • ExpressRoute – Verwenden Sie den Gatewaytyp „ExpressRoute“, wenn Netzwerkdatenverkehr über eine private Verbindung gesendet wird. Dies wird auch als ExpressRoute-Gateway bezeichnet und ist der Gatewaytyp, der auch zum Konfigurieren von ExpressRoute verwendet wird.

Ein virtuelles Netzwerk kann pro Gatewaytyp immer nur über ein einzelnes virtuelles Netzwerkgateway verfügen. So können Sie beispielsweise über ein Gateway für virtuelle Netzwerke mit dem Wert „Vpn“ für -GatewayType und über ein Gateway für virtuelle Netzwerke mit dem Wert „ExpressRoute“ für -GatewayType verfügen.

Gateway-SKUs

Beim Erstellen eines Gateways des virtuellen Netzwerks müssen Sie die gewünschte Gateway-SKU angeben. Wenn Sie eine höhere Gateway-SKU wählen, werden dem Gateway mehr CPUs und eine höhere Bandbreite zugewiesen. Infolgedessen unterstützt das Gateway einen höheren Netzwerkdurchsatz im virtuellen Netzwerk.

Virtuelle ExpressRoute-Netzwerkgateways können folgende SKUs verwenden:

  • Standard
  • HighPerformance
  • UltraPerformance
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

Wenn Sie für Ihr Gateway ein Upgrade auf eine leistungsfähigere Gateway-SKU durchführen möchten, können Sie das PowerShell-Cmdlet Resize-AzVirtualNetworkGateway verwenden oder das Upgrade direkt auf dem Konfigurationsblatt des virtuellen ExpressRoute-Netzwerkgateways im Azure-Portal vornehmen. Folgende Upgrades werden unterstützt:

  • Standard auf High Performance
  • Standard auf Ultra Performance
  • High Performance auf Ultra Performance
  • ErGw1Az auf ErGw2Az
  • ErGw1Az auf ErGw3Az
  • ErGw2Az auf ErGw3Az
  • Default auf Standard

Darüber hinaus können Sie auch ein Downgrade der SKU des virtuellen Netzwerkgateways vornehmen. Die folgenden Downgrades werden unterstützt:

  • High Performance auf Standard
  • ErGw2Az auf ErGw1Az

Für alle anderen Downgradeszenarien müssen Sie das Gateway löschen und neu erstellen. Das Neuerstellen eines Gateways führt zu Ausfällen.

Featureunterstützung nach Gateway-SKU

In der folgenden Tabelle sind die von den einzelnen Gatewaytypen unterstützten Features aufgeführt.

Gateway-SKU Koexistenz von VPN-Gateway und ExpressRoute FastPath Maximale Anzahl von Leitungsverbindungen
Standard-SKU/ERGw1Az Ja Nein 4
Hochleistungs-SKU/ERGw2Az Ja Nein 8
Höchstleistungs-SKU/ErGw3AZ Ja Ja 16

Geschätzte Leistungen nach Gateway-SKU

In der folgenden Tabelle sind die Gatewaytypen und die geschätzten Leistungsstufenwerte angegeben. Diese Werte sind von den folgenden Testbedingungen abgeleitet und stellen die maximalen Unterstützungsgrenzwerte dar. Die tatsächliche Leistung kann je nachdem variieren, wie genau der Datenverkehr die Testbedingungen repliziert.

Testbedingungen

Standard/ERGw1Az
  • Ausgehender Datenverkehr vom lokalen Standort: 1.000 MBit/s
  • Anzahl der vom Gateway angekündigten Routen: 500
  • Anzahl der erlernten Routen: 4.000
Hochleistung/ERGw2Az
  • Ausgehender Datenverkehr vom lokalen Standort: 2.000 MBit/s
  • Anzahl der vom Gateway angekündigten Routen: 500
  • Anzahl der erlernten Routen: 9.500
Höchstleistung/ErGw3Az
  • Ausgehender Datenverkehr vom lokalen Standort: 10.000 MBit/s
  • Anzahl der vom Gateway angekündigten Routen: 500
  • Anzahl der erlernten Routen: 9.500

Diese Tabelle betrifft sowohl das Resource Manager-Bereitstellungsmodell als auch das klassische Bereitstellungsmodell.

Gateway-SKU Verbindungen pro Sekunde Megabits pro Sekunde Pakete pro Sekunde Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk
Standard/ERGw1Az 7\.000 1\.000 100.000 2.000
Hochleistung/ERGw2Az 14.000 2\.000 250.000 4\.500
Höchstleistung/ErGw3Az 16.000 10.000 1\.000.000 11.000

Wichtig

  • Die Anwendungsleistung hängt von mehreren Faktoren ab, z.B. der End-to-End-Latenz und der Anzahl der Datenflüsse, die die Anwendung öffnet. Die Zahlen in der Tabelle stellen die Obergrenze dar, die die Anwendung theoretisch in einer idealen Umgebung erzielen kann. Darüber hinaus führt Microsoft routinemäßige Host- und Betriebssystemwartung auf dem ExpressRoute Virtual Network Gateway aus, um die Zuverlässigkeit des Diensts aufrechtzuerhalten. Während eines Wartungszeitraums wird die Steuerungsebene und die Datenpfadkapazität des Gateways reduziert.
  • Während eines Wartungszeitraums können Probleme mit der Verbindung mit privaten Endpunktressourcen auftreten.

Hinweis

Die maximale Anzahl von ExpressRoute-Verbindungen vom gleichen Peeringstandort, die eine Verbindung mit demselben virtuellen Netzwerk herstellen können, beträgt 4 für alle Gateways.

Gatewaysubnetz

Bevor Sie ein ExpressRoute-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den VMs und Diensten des virtuellen Netzwerkgateways verwendet werden. Bei der Erstellung des Gateways des virtuellen Netzwerks, werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den erforderlichen Einstellungen für das ExpressRoute-Gateway konfiguriert. Stellen Sie für das Gatewaysubnetz nie etwas anderes bereit (beispielsweise zusätzliche virtuelle Computer). Das Gatewaysubnetz muss den Namen „GatewaySubnet“ aufweisen, damit es einwandfrei funktioniert. Wenn Sie dem Gatewaysubnetz kann „GatewaySubnet“ gegeben haben, erkennt Azure, dass es sich dabei um das Subnetz handelt, an das die VMs und Dienste des virtuellen Gatewaynetzwerks bereitgestellt werden sollen.

Hinweis

Benutzerdefinierte Routen mit einem 0.0.0.0/0-Ziel und NSGs im Gatewaysubnetz werden nicht unterstützt. Die Erstellung von Gateways mit dieser Konfiguration wird blockiert. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. BGP-Routenverteilung sollte für das Gatewaysubnetz auf „Aktiviert“ festgelegt werden, um die Verfügbarkeit des Gateways zu gewährleisten. Ist diese Option deaktiviert, funktioniert das Gateway nicht.

Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere.

Beziehen Sie sich beim Planen der Größe Ihres Gatewaysubnetzes auf die Dokumentation für die Konfiguration, die Sie erstellen möchten. Beispielsweise erfordert die Konfiguration für die parallele Ausführung von ExpressRoute/VPN Gateway ein größeres Subnetz als die meisten anderen Konfigurationen. Stellen Sie zusätzlich sicher, dass Ihr Gatewaysubnetz über genügend IP-Adressen verfügt, und berücksichtigen Sie dabei auch mögliche zukünftige Konfigurationen. Sie können zwar ein Gatewaysubnetz mit einer Größe von so klein wie /29 erstellen, es wird jedoch empfohlen, ein Gatewaysubnetz mit der Größe /27 oder größer (/27, /26 usw.) zu erstellen, Wenn Sie 16 ExpressRoute-Leitungen mit Ihrem Gateway verbinden möchten, müssen Sie ein Gatewaysubnetz mit einer Größe von mindestens /26 erstellen. Wenn Sie ein Gatewaysubnetz für den dualen Stapel erstellen, empfiehlt es sich, auch einen IPv6-Bereich von /64 oder höher zu verwenden. Dies bietet Platz für die meisten Konfigurationen .

Im folgenden Resource Manager-PowerShell-Beispiel ist ein Gatewaysubnetz mit dem Namen GatewaySubnet zu sehen. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Wichtig

Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VNET-Gateway (VPN- und Express Route-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.

SKUs für zonenredundante Gateways

Sie können VPN- und ExpressRoute-Gateways auch in Azure-Verfügbarkeitszonen bereitstellen. Dadurch werden sie physisch und logisch in verschiedene Verfügbarkeitszonen unterteilt, wodurch Ihre lokale Netzwerkverbindung zu Azure vor Ausfällen auf Zonenebene geschützt wird.

Zonenredundante ExpressRoute-Gateway

Zonenredundante Gateways verwenden bestimmte neue Gateway-SKUs für ExpressRoute-Gateway.

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ

Die neuen Gateway-SKUs unterstützen zudem andere Bereitstellungsoptionen, die Ihre Anforderungen am besten zu erfüllen. Wenn Sie ein virtuelles Netzwerkgateway mit den neuen Gateway-SKUs erstellen, haben Sie auch die Möglichkeit, das Gateway in einer bestimmten Zone bereitzustellen. Dies wird als zonenbasiertes Gateway bezeichnet. Wenn Sie ein zonenbasiertes Gateway bereitstellen, werden alle Instanzen des Gateways in derselben Verfügbarkeitszone bereitgestellt.

FastPath

Das virtuelle Netzwerkgateway ExpressRoute wurde entwickelt, um Netzwerkrouten auszutauschen und den Netzwerkdatenverkehr zu steuern. FastPath wurde entwickelt, um die Datenpfadleistung zwischen Ihrem lokalen und dem virtuellen Netzwerk zu verbessern. Wenn aktiviert, sendet FastPath den Netzwerkdatenverkehr direkt an virtuelle Computer im virtuellen Netzwerk und umgeht dabei das Gateway.

Weitere Informationen zu FastPath, einschließlich Einschränkungen und Anforderungen, finden Sie unter Informationen zu FastPath.

Verbindung mit privaten Endpunkten

Das virtuelle ExpressRoute-Gateway erleichtert die Konnektivität mit privaten Endpunkten, die im gleichen virtuellen Netzwerk wie das virtuelle Netzwerkgateway und über virtuelle Netzwerk-Peers bereitgestellt werden.

Wichtig

  • Die Kapazität der Durchsatz- und Steuerungsebene kann halb so hoch sein, dass die Verbindung mit nicht privaten Endpunktressourcen besteht.
  • Während eines Wartungszeitraums können Probleme mit der Verbindung mit privaten Endpunktressourcen auftreten.

Route Server

Wenn Sie einen Azure Route Server aus einem virtuellen Netzwerk erstellen oder löschen, das ein Virtual Network Gateway (ExpressRoute oder VPN) enthält, erwarten Sie Ausfallzeiten, bis der Vorgang abgeschlossen wird.

REST-APIs und PowerShell-Cmdlets

Zusätzliche technische Ressourcen und spezielle Syntaxanforderungen bei der Verwendung von REST-APIs und PowerShell-Cmdlets für Gatewaykonfigurationen für virtuelle Netzwerke finden Sie auf den folgenden Seiten:

Klassisch Ressourcen-Manager
PowerShell PowerShell
REST-API REST-API

VNet-to-VNet-Konnektivität

Standardmäßig sind die Verbindungen zwischen virtuellen Netzwerken aktiviert, wenn Sie mehrere virtuelle Netzwerke mit demselben ExpressRoute-Schaltkreis verknüpfen. Microsoft empfiehlt jedoch, ihren ExpressRoute-Schaltkreis für die Kommunikation zwischen virtuellen Netzwerken zu verwenden und stattdessen VNet-Peering zu verwenden. Weitere Informationen dazu, warum die VNet-to-VNet-Konnektivität nicht über ExpressRoute empfohlen wird, finden Sie unter Konnektivität zwischen virtuellen Netzwerken über ExpressRoute.

Peering in virtuellen Netzwerken

Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway kann über ein virtuelles Netzwerk-Peering mit bis zu 500 anderen virtuellen Netzwerken verfügen. Virtuelles Netzwerk-Peering ohne ExpressRoute-Gateway kann eine höhere Peeringbeschränkung aufweisen.

Nächste Schritte

Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie in der ExpressRoute-Übersicht.

Weitere Informationen zum Erstellen von ExpressRoute-Gateways finden Sie unter Erstellen eines Gateways für ein virtuelles Netzwerk für ExpressRoute.

Weitere Informationen zum Konfigurieren zonenredundanter Gateways finden Sie unter Erstellen eines zonenredundanten Gateways für virtuelle Netzwerke.

Weitere Informationen zu FastPath finden Sie unter Informationen zu FastPath.