Ruta rápida de VPN de Azure Stack Hub para operadores

¿Qué es la característica De ruta rápida de VPN de Azure Stack Hub?

Azure Stack Hub presenta las tres SKU nuevas que se describen en este artículo como parte de la característica De ruta rápida de VPN. Anteriormente, los túneles S2S se limitaban a un ancho de banda máximo de 200 Mbps mediante la SKU HighPerformance. Las nuevas SKU permiten escenarios de cliente en los que se necesita un mayor rendimiento de red. Los valores de rendimiento de cada SKU son valores unidireccionales, lo que significa que admite el rendimiento dado en cualquiera de los tráficos de envío o recepción.

Nuevas SKU de puerta de enlace de red virtual de VPN Fast Path

Con la introducción de la característica De ruta rápida de VPN en Azure Stack Hub, los usuarios de inquilinos pueden crear conexiones VPN con 3 nuevas SKU:

  • Básico
  • Estándar
  • Alto rendimiento
  • VpnGw1 (nuevo)
  • VpnGw2 (nuevo)
  • VpnGw3 (nuevo)

Consideraciones importantes antes de habilitar la ruta de acceso rápida de VPN de Azure Stack Hub

Para que cualquier proceso de actualización sea lo más sencillo posible para que haya un impacto mínimo en los usuarios, es importante preparar la marca de Azure Stack Hub.

Como operador de Azure Stack Hub que habilita la ruta de acceso rápida de VPN, se recomienda coordinar con los usuarios del inquilino para programar una ventana de mantenimiento durante la cual se puede producir la conmutación por cambio. Notifique a los usuarios cualquier posible interrupción del servicio de conexión VPN y siga estos pasos para preparar la marca para la actualización.

Vpn Fast Path requiere NAT-T en dispositivos VPN remotos

La ruta de acceso rápida de VPN de Azure Stack Hub se basa en el nuevo servicio de puerta de enlace de SDN y viene con un nuevo requisito al planear.

Planeamiento con usuarios de inquilinos antes de habilitar la ruta de acceso rápida de VPN

  • Lista de la configuración de recursos de puerta de enlace de red virtual existente.
  • Lista de la configuración de recursos de conexiones existentes.
  • Lista de directivas y configuraciones de IPSec usadas en sus conexiones existentes.
    • Este paso garantiza que los usuarios tengan directivas configuradas que funcionen con su dispositivo, incluidas las directivas IPSec personalizadas.
  • Enumerar la configuración de la puerta de enlace de red local. Los usuarios de inquilinos pueden volver a usar los recursos y las configuraciones de la puerta de enlace de red local. Sin embargo, también se recomienda guardar la configuración existente en caso de que deban volver a crearse.
  • Una vez habilitada la ruta de acceso rápida de VPN, los inquilinos deben volver a crear sus puertas de enlace y conexiones de red virtual según corresponda si quieren usar las nuevas SKU.

Con el lanzamiento de VPN Fast Path, hay un nuevo comando de PowerShell al que los operadores pueden llamar para enumerar todas las conexiones existentes creadas por sus inquilinos. Este cmdlet puede ayudar al operador a administrar la capacidad y ponerse en contacto con los administradores de inquilinos si necesitan volver a crear sus puertas de enlace de Virtual Network:

Get-AzsVirtualNetworkGatewayConnection

Para obtener más información, vea Get-AzsVirtualNetworkGatewayConnection.

Habilitación de la ruta de acceso rápida de VPN de Azure Stack Hub

Con vpn Fast Path, los operadores pueden habilitar la nueva característica mediante los siguientes comandos de PowerShell. Una vez que la característica alcanza la disponibilidad general, los operadores también pueden habilitar la característica mediante el portal de administración de Azure Stack Hub.

Para ajustar las configuraciones existentes, vuelva a crear la puerta de enlace de red virtual y sus conexiones con una de las nuevas SKU.

Habilitación de la ruta de acceso rápida de VPN de Azure Stack Hub mediante PowerShell

Desde el punto de conexión con privilegios de Azure Stack Hub, puede ejecutar el siguiente comando de PowerShell para habilitar la característica ruta rápida de VPN:

Para más información sobre el PEP de Azure Stack Hub, consulte Acceso al punto de conexión con privilegios.

Set-AzSVPNFastPath -Enable

Captura de pantalla que muestra los comandos de PowerShell para habilitar Fast Path.

Validación de que la ruta de acceso rápida de VPN de Azure Stack Hub está habilitada mediante PowerShell

Una vez habilitada la característica Vpn Fast Path, puede validar el estado actual de las máquinas virtuales de puerta de enlace y la capacidad usada mediante el siguiente comando de PowerShell:

Get-AzSVPNFastPath

Captura de pantalla que muestra la validación de PowerShell.

Deshabilitación de la ruta de acceso rápida de VPN de Azure Stack Hub mediante PowerShell

Set-AzSVPNFastPath -Disable

Si necesita deshabilitar la ruta de acceso rápida de VPN, primero debe trabajar con el inquilino para eliminar y volver a crear todas sus puertas de enlace de Virtual Network mediante SKU de ruta rápida de VPN. Dado que la capacidad de LA VPN de marca aumenta cuando la ruta de acceso rápida de VPN está habilitada, no puede deshabilitar la ruta de acceso rápida de VPN si la capacidad total en uso supera la capacidad total cuando Azure Stack Hub no usa la ruta de acceso rápida de VPN.

Arquitectura del grupo de puerta de enlace de Azure Stack Hub

Hay tres máquinas virtuales de infraestructura de puerta de enlace multiinquilino en Azure Stack Hub. Dos de estas VM están en modo activo y la tercera está en modo redundante. Las VM activas permite la creación de conexiones VPN en ellas y la VM redundante solo acepta conexiones VPN en el caso de una conmutación por error. Si una VM de puerta de enlace activa no está disponible, la conexión VPN conmuta por error a la VM redundante tras un breve período (unos segundos) de pérdida de conexión.

Se esperan conmutaciones por error de conexión de puerta de enlace durante un OEM o una actualización de Azure Stack Hub, ya que las máquinas virtuales se revisan y migran en vivo. Esta conmutación por error puede dar lugar a una desconexión temporal de los túneles.

Diagrama conceptual que muestra la conmutación por error de VPN Fast Path.

Nueva capacidad total del grupo de puertas de enlace

La capacidad general del grupo de puertas de enlace de una marca de Azure Stack Hub es de 4 Gbps. Esta capacidad se divide entre las dos máquinas virtuales de Puerta de enlace activa, con cada máquina virtual de puerta de enlace que admite hasta 2 Gbps de rendimiento. Cuando se crea un recurso de conexión, se reserva dos veces su SKU en la máquina virtual de puerta de enlace. Este diseño garantiza que se pueda alcanzar el rendimiento máximo de la SKU (medida en una dirección) con el tráfico Tx o Rx, en función de los requisitos de la carga de trabajo del usuario.

Por ejemplo, una SKU HighPerformance reserva 400 Mbps en una máquina virtual de puerta de enlace (200 para Tx, 200 para Rx). Esto significa que, en el motor existente, una conexión HighPerformance reserva una décima parte de la capacidad total del grupo de puertas de enlace.

En la tabla siguiente se muestran los tipos de puerta de enlace y el rendimiento agregado estimado para cada túnel o conexión por SKU de puerta de enlace cuando la ruta rápida de VPN está deshabilitada:

SKU Rendimiento máximo de la conexión VPN (1) Número máximo de Connections vpn por máquina virtual de PUERTA de enlace activa Número máximo de Connections vpn por sello (2)
Basic(3) 100 Mbps Tx/Rx 10 20
Estándar 100 Mbps Tx/Rx 10 20
Alto rendimiento Tx/Rx de 200 Mbps 5 10

(1) - El rendimiento del túnel no es un rendimiento garantizado para las conexiones entre locales a través de Internet; es la medida de rendimiento máxima posible. El agregado total en una dirección es de 2 Gbps.
(2) El número de túneles máximo es el total por cada implementación de Azure Stack Hub para todas las suscripciones.
(3) - El enrutamiento de BGP no es compatible con la SKU básica.

Diagrama conceptual que muestra la ruta de acceso rápida de VPN deshabilitada.

Rendimiento estimado del túnel agregado por SKU con VPN Fast Path habilitado

Una vez que el operador habilita vpn Fast Path en la marca de Azure Stack Hub, la capacidad general del grupo de puertas de enlace aumenta a 10 Gbps. Dado que la capacidad se divide entre las dos máquinas virtuales de puerta de enlace activas, cada máquina virtual de puerta de enlace tiene una capacidad de 5 Gbps. La cantidad de capacidad reservada para cada conexión es la misma que se describe en la sección anterior. Por lo tanto, una SKU vpnGw3 (1250 Mbps) reserva 2500 Mbps de capacidad en una máquina virtual de puerta de enlace:

SKU Rendimiento máximo de la conexión VPN (1) Número máximo de Connections vpn por máquina virtual de PUERTA de enlace activa Número máximo de Connections vpn por sello (2)
Basic(3) 100 Mbps Tx/Rx 25 50
Estándar 100 Mbps Tx/Rx 25 50
Alto rendimiento Tx/Rx de 200 Mbps 12 24
VPNGw1 650 Mbps Tx/Rx 3 6
VPNGw2 1000 Mbps Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

(1) - El rendimiento del túnel no es un rendimiento garantizado para las conexiones entre locales a través de Internet; es la medida de rendimiento máxima posible. El agregado total en una dirección es de 5 Gbps.
(2) El número de túneles máximo es el total por cada implementación de Azure Stack Hub para todas las suscripciones.
(3) - El enrutamiento de BGP no es compatible con la SKU básica.

Diagrama conceptual que muestra la ruta de acceso rápida de VPN habilitada.

Pasos siguientes