Was ist Azure VPN Gateway?
Azure VPN Gateway ist ein Dienst, der eine spezielle Art von Gateway für virtuelle Netzwerke verwendet, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und lokalen Standorten über das öffentliche Internet zu senden. Ein VPN-Gateway kann aber auch verwendet werden, um verschlüsselten Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk zu senden. Sie können mehrere Verbindungen mit dem gleichen VPN Gateway herstellen. Wenn Sie mehrere Verbindungen herstellen, wird die für das Gateway zur Verfügung stehende Bandbreite auf alle VPN-Tunnel aufgeteilt.
Informationen zu VPN-Gateways
Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway. Ein Gateway für virtuelle Netzwerke besteht aus mindestens zwei von Azure verwalteten VMs, die automatisch konfiguriert und in einem von Ihnen erstellten speziellen Subnetz bereitgestellt werden, das als Gatewaysubnetz bezeichnet wird. Die Gateway-VMs enthalten Routingtabellen und führen bestimmte Gatewaydienste aus.
Eine der Einstellungen, die Sie beim Erstellen eines Gateways für virtuelle Netzwerke angeben, ist der „Gatewaytyp“. Der Gatewaytyp bestimmt, wie das Gateway für virtuelle Netzwerke verwendet wird und welche Aktionen es ausführt. Ein virtuelles Netzwerk kann zwei virtuelle Netzwerkgateways besitzen, ein VPN-Gateway und ein ExpressRoute-Gateway. Der Gatewaytyp „VPN“ gibt an, dass es sich beim Typ des erstellten Gateways des virtuellen Netzwerks um ein VPN Gateway handelt. Dadurch unterscheidet es sich von einem ExpressRoute-Gateway, das einen anderen Gatewaytyp verwendet. Weitere Informationen finden Sie unter Gatewaytypen.
Wenn Sie ein VPN-Gateway erstellen, werden Gateway-VMs im Gatewaysubnetz bereitgestellt und mit den von Ihnen angegebenen Einstellungen konfiguriert. Dieser Prozess kann je nach gewählter Gateway-SKU 45 Minuten oder länger dauern. Nachdem Sie ein VPN-Gateway erstellt haben, können Sie Verbindungen konfigurieren. Sie können z. B. eine IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN Gateway und einem anderen VPN Gateway (VNet-to-VNet) oder eine standortübergreifende IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN Gateway und einem lokalen VPN-Gerät ( Site-to-Site) erstellen. Sie können auch eine Point-to-Site-VPN-Verbindung (VPN über OpenVPN, IKEv2 oder SSTP) erstellen und so von einem Remotestandort aus (beispielsweise in einer Konferenz oder zu Hause) eine Verbindung mit Ihrem virtuellen Netzwerk herstellen.
Konfigurieren eines VPN Gateways
Eine VPN Gateway-Verbindung basiert auf mehreren, mit spezifischen Einstellungen konfigurierten Ressourcen. Die meisten der Ressourcen können separat konfiguriert werden. Bei manchen ist allerdings eine bestimmte Reihenfolge zu beachten.
Konnektivität
Da Sie mehrere Verbindungskonfigurationen mit dem VPN-Gateway erstellen können, müssen Sie ermitteln, welche Konfiguration Ihren Anforderungen am besten entspricht. Point-to-Site, Site-to-Site und parallel bestehende ExpressRoute-/Site-to-Site-Verbindungen weisen alle unterschiedliche Anweisungen und Konfigurationsanforderungen auf. Verbindungsdiagramme und entsprechende Links zu Den Konfigurationsschritten finden Sie unter Entwerfen von VPN-Gateways.
Planen der Tabelle
Die folgende Tabelle kann Ihnen dabei helfen, die beste Verbindungsoption für Ihre Lösung zu finden. Beachten Sie, dass ExpressRoute kein Teil des VPN-Gateways ist, aber in der Tabelle enthalten ist.
| Punkt-zu-Standort | Standort-zu-Standort | ExpressRoute | |
|---|---|---|---|
| Von Azure unterstützte Dienste | Cloud Services und Virtual Machines | Cloud Services und Virtual Machines | Dienstliste |
| Typische Bandbreiten | Basiert auf der Gateway-SKU | In der Regel < 10 GBit/s (aggregiert) | 50 MBit/s, 100 MBit/s, 200 MBit/s, 500 MBit/s, 1 GBit/s, 2 GBit/s, 5 GBit/s, 10 GBit/s, 100 GBit/s |
| Unterstützte Protokolle | Secure Sockets Tunneling Protocol (SSTP), OpenVPN und IPsec | IPsec | Direkte Verbindung über VLANs, VPN-Technologien des NSP (MPLS, VPLS ...) |
| Routing | RouteBased (dynamisch) | Wir unterstützen PolicyBased-VPNs (statisches Routing) und RouteBased-VPNs (dynamisches Routing) | BGP |
| Verbindungsstabilität | Aktiv-passiv | Aktiv-passiv oder aktiv-aktiv | Aktiv-aktiv |
| Typisches Anwendungsbeispiel | Schützen des Zugriffs auf virtuelle Azure-Netzwerke für Remotebenutzer | Entwicklungs-, Test- und Laborszenarien und kleinere bis mittlere Produktionsworkloads für Clouddienste und virtuelle Computer | Zugriff auf alle Azure-Dienste (überprüfte Liste), unternehmensbezogene und wichtige Workloads, Sicherung, Big Data, Azure als DR-Standort |
| SLA | SLA | SLA | SLA |
| Preise | Preise | Preise | Preise |
| Technische Dokumentation | VPN Gateway | VPN Gateway | ExpressRoute |
| Häufig gestellte Fragen | Häufig gestellte Fragen zum VPN-Gateway | Häufig gestellte Fragen zum VPN-Gateway | ExpressRoute – FAQ |
Einstellungen
Die Einstellungen, die Sie für die einzelnen Ressourcen auswählen, sind für eine erfolgreiche Verbindungserstellung entscheidend. Informationen zu einzelnen Ressourcen und Einstellungen für VPN Gateway finden Sie unter Informationen zu VPN Gateway-Einstellungen. Dieser Artikel enthält Informationen zu Gatewaytypen, Gateway-SKUs, VPN-Typen, Verbindungstypen, Gatewaysubnetzen, lokalen Netzwerkgateways und verschiedenen anderen Ressourceneinstellungen, die Sie ggf. berücksichtigen sollten.
Bereitstellungstools
Sie können zunächst mit einem Konfigurationstool wie dem Azure-Portal Ressourcen erstellen und konfigurieren. Später können Sie mit einem anderen Tool (beispielsweise PowerShell) zusätzliche Ressourcen konfigurieren oder ggf. vorhandene Ressourcen ändern. Derzeit können nicht alle Ressourcen und Ressourceneinstellungen über das Azure-Portal konfiguriert werden. Sollte ein bestimmtes Konfigurationstool benötigt werden, ist dies in den Anleitungen der Artikel zu den einzelnen Verbindungstopologien angegeben.
Gateway-SKUs
Beim Erstellen eines Gateways des virtuellen Netzwerks geben Sie die gewünschte Gateway-SKU an. Wählen Sie die SKU aus, die Ihre Anforderungen im Bezug auf Workloadtypen, Durchsätze, Funktionen und SLAs erfüllt.
- Weitere Informationen zu Gateway-SKUs (einschließlich unterstützter Funktionen, Produktions- und Dev-Test-Workloads sowie Konfigurationsschritte) finden Sie im Artikel „Informationen zu VPN Gateway-Einstellungen“ unter Gateway-SKUs.
- Informationen zu Legacy-SKUs finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (Legacy-SKUs).
- IPv6 wird in der Basic-SKU nicht unterstützt.
Gateway-SKUs nach Tunnel, Verbindung und Durchsatz
| VPN Gateway Generation |
SKU | S2S/VNet-zu-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregat aggregierten Durchsatz |
BGP | Zonenredundant |
|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Ja |
(*) Verwenden Sie Virtual WAN, wenn Sie mehr als 100 S2S-VPN-Tunnel benötigen.
Größenänderungen für VpnGw-SKUs sind innerhalb der gleichen Generation möglich. Dies gilt jedoch nicht für die Basic-SKU. Die Basic-SKU ist eine Legacy-SKU und unterliegt Featureeinschränkungen. Wenn Sie von der Basic-SKU zu einer anderen SKU wechseln möchten, müssen Sie das VPN-Gateway der Basic-SKU löschen und ein neues Gateway mit der gewünschten Generation und SKU-Größe erstellen (siehe Arbeiten mit Legacy-SKUs).
Diese Verbindungsgrenzwerte sind voneinander getrennt. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.
Informationen zu den Preisen finden Sie auf der Seite Preise .
Informationen zum SLA (Vereinbarung zum Servicelevel) finden Sie auf der SLA-Seite.
Wenn Sie über viele P2S-Verbindungen verfügen, kann dies negative Auswirkungen auf Ihre S2S-Verbindungen haben. Die Benchmarkwerte für den aggregierten Durchsatz wurden anhand einer Kombination aus S2S- und P2S-Verbindungen getestet. Eine einzelne P2S- oder S2S-Verbindung kann einen deutlich niedrigeren Durchsatz aufweisen.
Beachten Sie, dass die Benchmarkwerte nicht garantiert werden können, da sie von den Internetdatenverkehr und dem Verhalten Ihrer Anwendung abhängen
Damit unsere Kunden die relative Leistung von SKUs mit unterschiedlichen Algorithmen besser nachvollziehen können, haben wir für die Leistungsermittlung von S2S-Verbindungen die öffentlich verfügbaren Tools iPerf und CTSTraffic verwendet. Die folgende Tabelle enthält die Ergebnisse von Leistungstests für VpnGw-SKUs. Wie Sie sehen, wird die beste Leistung erzielt, wenn sowohl für die IPSec-Verschlüsselung als auch für die Integrität der GCMAES256-Algorithmus verwendet wird. Bei Verwendung von AES256 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde eine durchschnittliche Leistung erzielt. Bei Verwendung von DES3 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde die geringste Leistung erzielt.
Ein VPN-Tunnel stellt eine Verbindung mit einer VPN-Gatewayinstanz her. Jeder Instanzdurchsatz wird in der obigen Durchsatztabelle erwähnt und steht aggregiert über alle Tunnel zur Verfügung, die eine Verbindung mit dieser Instanz herstellen.
Die folgende Tabelle veranschaulicht die beobachtete Bandbreite und den Durchsatz in Paketen pro Sekunde pro Tunnel für die verschiedenen Gateway-SKUs. Alle Tests wurden zwischen Gateways (Endpunkten) in Azure in verschiedenen Regionen mit 100 Verbindungen unter Standardlastbedingungen durchgeführt.
| Generation | SKU | Algorithmen used |
Durchsatz pro Tunnel |
Beobachtete Pakete pro Sekunde und Tunnel |
|---|---|---|---|---|
| Generation 1 | VpnGw1 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
650 MBit/s 500 MBit/s 130 MBit/s |
62.000 47.000 12.000 |
| Generation 1 | VpnGw2 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,2 GBit/s 650 MBit/s 140 MBit/s |
100.000 61.000 13.000 |
| Generation 1 | VpnGw3 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 700 MBit/s 140 MBit/s |
120.000 66.000 13.000 |
| Generation 1 | VpnGw1AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
650 MBit/s 500 MBit/s 130 MBit/s |
62.000 47.000 12.000 |
| Generation 1 | VpnGw2AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,2 GBit/s 650 MBit/s 140 MBit/s |
110.000 61.000 13.000 |
| Generation 1 | VpnGw3AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 700 MBit/s 140 MBit/s |
120.000 66.000 13.000 |
| Generation 2 | VpnGw2 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 550 MBit/s 130 MBit/s |
120.000 52.000 12.000 |
| Generation 2 | VpnGw3 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,5 GBit/s 700 MBit/s 140 MBit/s |
140.000 66.000 13.000 |
| Generation 2 | VpnGw4 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw5 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw2AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 550 MBit/s 130 MBit/s |
120.000 52.000 12.000 |
| Generation 2 | VpnGw3AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,5 GBit/s 700 MBit/s 140 MBit/s |
140.000 66.000 13.000 |
| Generation 2 | VpnGw4AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw5AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
Verfügbarkeitszonen
VPN-Gateways können in Azure-Verfügbarkeitszonen bereitgestellt werden. So erzielen Sie Stabilität, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt. Unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen erfahren Sie mehr dazu.
Preise
Sie bezahlen für zwei Dinge: die stündlichen Computekosten für das Gateway des virtuellen Netzwerks und die Übertragung der Ausgangsdaten vom Gateway des virtuellen Netzwerks. Informationen zu den Preisen finden Sie auf der Seite Preise . Preise für ältere Gateway-SKUs finden Sie auf der ExpressRoute-Preisseite im Abschnitt Gateways für virtuelle Netzwerke.
Computekosten für virtuelles Netzwerkgateway
Für jedes Gateway des virtuellen Netzwerks fallen stündliche Computekosten an. Der Preis basiert auf der Gateway-SKU, die Sie beim Erstellen des Gateways des virtuellen Netzwerks angeben. Die Kosten für das eigentliche Gateway fallen zusätzlich zur Datenübertragung an, die über das Gateway durchgeführt wird. Die Kosten eines aktiv-aktiven Setups sind gleich wie für aktiv-passiv.
Datenübertragungskosten
Datenübertragungskosten werden basierend auf ausgehendem Datenverkehr vom Gateway des virtuellen Quellnetzwerks berechnet.
- Wenn Sie Datenübertragungen an Ihr lokales VPN-Gerät senden, wird dafür die Internetrate für die Übertragung von Ausgangsdaten berechnet.
- Wenn Sie Datenverkehr zwischen virtuellen Netzwerken in unterschiedlichen Regionen senden, richtet sich der Preis nach der Region.
- Wenn Sie Datenverkehr nur zwischen virtuellen Netzwerken senden, die sich in derselben Region befinden, fallen keine Kosten für die Datenübertragung an. Der Datenverkehr zwischen VNets in derselben Region ist kostenlos.
Weitere Informationen zu Gateway-SKUs für VPN Gateway finden Sie unter Gateway-SKUs.
Häufig gestellte Fragen
Häufig gestellte Fragen zu VPN-Gateways finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.
Neuigkeiten
Abonnieren Sie den RSS-Feed, und zeigen Sie die neuesten VPN Gateway-Featureupdates auf der Seite Azure-Updates an.