Ruta de acceso rápido de VPN de Azure Stack Hub para operadores
¿Qué es la característica Ruta de acceso rápido de VPN de Azure Stack Hub?
Azure Stack Hub presenta las tres SKU nuevas que se describen en este artículo como parte de la característica Ruta de acceso rápido de VPN. Anteriormente, los túneles S2S estaban limitados a un ancho de banda máximo de 200 Mbps mediante la SKU HighPerformance. Las nuevas SKU permiten escenarios de cliente en los que se necesita un mayor rendimiento de red. Los valores de rendimiento de cada SKU son valores unidireccionales, lo que significa que admite el rendimiento dado en cualquiera de los tráficos de envío o recepción.
Nuevas SKU de puerta de enlace de red virtual de VPN Fast Path
Con la introducción de la característica VPN Fast Path en Azure Stack Hub, los usuarios de inquilinos pueden crear conexiones VPN mediante 3 nuevas SKU:
- Básico
- Estándar
- Alto rendimiento
- VpnGw1 (nuevo)
- VpnGw2 (nuevo)
- VpnGw3 (nuevo)
Consideraciones importantes antes de habilitar la ruta de acceso rápido de VPN de Azure Stack Hub
Para que cualquier proceso de actualización pase lo más fluidamente posible para que haya un impacto mínimo en los usuarios, es importante preparar la marca de Azure Stack Hub.
Como operador de Azure Stack Hub que habilita VPN Fast Path, se recomienda que se coordine con los usuarios del inquilino para programar una ventana de mantenimiento durante la cual se pueda producir la conmutación por cambio. Notifique a los usuarios cualquier posible interrupción del servicio de conexión VPN y siga estos pasos para preparar la marca de la actualización.
Vpn Fast Path requiere NAT-T en dispositivos VPN remotos
La ruta de acceso rápido de VPN de Azure Stack Hub se basa en el nuevo servicio de puerta de enlace de SDN y viene con un nuevo requisito al planear.
Planeamiento con usuarios de inquilinos antes de habilitar VPN Fast Path
- Lista de la configuración de recursos de puerta de enlace de red virtual existente.
- Lista de la configuración de recursos de conexiones existentes.
- Lista de directivas y configuraciones de IPSec que se usan en sus conexiones existentes.
- Este paso garantiza que los usuarios tienen directivas configuradas que funcionan con su dispositivo, incluidas las directivas IPSec personalizadas.
- Enumerar la configuración de la puerta de enlace de red local. Los usuarios inquilinos pueden volver a usar los recursos y las configuraciones de la puerta de enlace de red local. Sin embargo, también se recomienda guardar la configuración existente en caso de que necesiten volver a crearse.
- Una vez habilitada la ruta de acceso rápido de VPN, los inquilinos deben volver a crear sus puertas de enlace y conexiones de red virtual según corresponda si quieren usar las nuevas SKU.
Con el lanzamiento de VPN Fast Path, hay un nuevo comando de PowerShell al que los operadores pueden llamar para enumerar todas las conexiones existentes creadas por sus inquilinos. Este cmdlet puede ayudar al operador a administrar la capacidad y ponerse en contacto con los administradores de inquilinos si necesitan volver a crear sus puertas de enlace de red virtual:
Get-AzsVirtualNetworkGatewayConnection
Para obtener más información, consulte Get-AzsVirtualNetworkGatewayConnection.
Habilitación de la ruta de acceso rápido de VPN de Azure Stack Hub
Con VPN Fast Path, los operadores pueden habilitar la nueva característica mediante los siguientes comandos de PowerShell. Una vez que la característica alcance la disponibilidad general, los operadores también pueden habilitar la característica mediante el portal de administración de Azure Stack Hub.
Para ajustar las configuraciones existentes, vuelva a crear la puerta de enlace de red virtual y sus conexiones con una de las nuevas SKU.
Habilitación de la ruta de acceso rápido de VPN de Azure Stack Hub mediante PowerShell
Desde el punto de conexión con privilegios de Azure Stack Hub, puede ejecutar el siguiente comando de PowerShell para habilitar la característica Ruta de acceso rápido de VPN:
Para más información sobre el PEP de Azure Stack Hub, consulte Acceso al punto de conexión con privilegios.
Set-AzSVPNFastPath -Enable
Validación de que la ruta de acceso rápida de VPN de Azure Stack Hub está habilitada mediante PowerShell
Una vez habilitada la característica Vpn Fast Path, puede validar el estado actual de las máquinas virtuales de puerta de enlace y la capacidad usada mediante el siguiente comando de PowerShell:
Get-AzSVPNFastPath
Deshabilitación de la ruta rápida de VPN de Azure Stack Hub mediante PowerShell
Set-AzSVPNFastPath -Disable
Si necesita deshabilitar VPN Fast Path, primero debe trabajar con el inquilino para eliminar y volver a crear todas sus puertas de enlace de red virtual mediante SKU de ruta rápida de VPN. Dado que la capacidad de VPN de marca aumenta cuando la ruta de acceso rápido de VPN está habilitada, no puede deshabilitar la ruta de acceso rápida de VPN si la capacidad total en uso supera la capacidad total cuando Azure Stack Hub no usa VPN Fast Path.
Arquitectura del grupo de puertas de enlace de Azure Stack Hub
Hay tres máquinas virtuales de infraestructura de puerta de enlace multiinquilino en Azure Stack Hub. Dos de estas VM están en modo activo y la tercera está en modo redundante. Las VM activas permite la creación de conexiones VPN en ellas y la VM redundante solo acepta conexiones VPN en el caso de una conmutación por error. Si una VM de puerta de enlace activa no está disponible, la conexión VPN conmuta por error a la VM redundante tras un breve período (unos segundos) de pérdida de conexión.
Se esperan conmutaciones por error de conexión de puerta de enlace durante un OEM o una actualización de Azure Stack Hub, ya que las máquinas virtuales se revisan y se migran en vivo. Esta conmutación por error puede dar lugar a una desconexión temporal de los túneles.
Nueva capacidad total del grupo de puertas de enlace
La capacidad general del grupo de puertas de enlace de una marca de Azure Stack Hub es de 4 Gbps. Esta capacidad se divide entre las dos máquinas virtuales de Puerta de enlace activa, con cada máquina virtual de puerta de enlace que admite hasta 2 Gbps de rendimiento. Cuando se crea un recurso de conexión, se reserva la SKU dos veces en la máquina virtual de puerta de enlace. Este diseño garantiza que se pueda alcanzar el rendimiento máximo de la SKU (medida en una dirección) con el tráfico Tx o Rx, en función de los requisitos de la carga de trabajo del usuario.
Por ejemplo, una SKU HighPerformance reserva 400 Mbps en una máquina virtual de puerta de enlace (200 para Tx, 200 para Rx). Esto significa que, en el motor existente, una conexión HighPerformance reserva una décima parte de la capacidad total del grupo de puertas de enlace.
En la tabla siguiente se muestran los tipos de puerta de enlace y el rendimiento agregado estimado para cada túnel o conexión por SKU de puerta de enlace cuando se deshabilita vpn Fast Path:
SKU | Rendimiento máximo de la conexión VPN (1) | Número máximo de conexiones VPN por máquina virtual de PUERTA de enlace activa | Número máximo de conexiones VPN por marca (2) |
---|---|---|---|
Básico (3) | 100 Mbps Tx/Rx | 10 | 20 |
Estándar | 100 Mbps Tx/Rx | 10 | 20 |
Alto rendimiento | 200 Mbps Tx/Rx | 5 | 10 |
(1) - El rendimiento del túnel no es un rendimiento garantizado para las conexiones entre locales a través de Internet; es la medida de rendimiento máxima posible. El agregado total en una dirección es de 2 Gbps.
(2) El número de túneles máximo es el total por cada implementación de Azure Stack Hub para todas las suscripciones.
(3) - El enrutamiento de BGP no es compatible con la SKU básica.
Rendimiento estimado del túnel agregado por SKU con VPN Fast Path habilitado
Una vez que el operador habilita vpn Fast Path en la marca de Azure Stack Hub, la capacidad general del grupo de puertas de enlace aumenta a 10 Gbps. Dado que la capacidad se divide entre las dos máquinas virtuales de puerta de enlace activas, cada máquina virtual de puerta de enlace tiene una capacidad de 5 Gbps. La cantidad de capacidad reservada para cada conexión es la misma que se describe en la sección anterior. Por lo tanto, una SKU vpnGw3 (1250 Mbps) reserva 2500 Mbps de capacidad en una máquina virtual de puerta de enlace:
SKU | Rendimiento máximo de la conexión VPN (1) | Número máximo de conexiones VPN por máquina virtual de PUERTA de enlace activa | Número máximo de conexiones VPN por marca (2) |
---|---|---|---|
Básico (3) | 100 Mbps Tx/Rx | 25 | 50 |
Estándar | 100 Mbps Tx/Rx | 25 | 50 |
Alto rendimiento | 200 Mbps Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
(1) - El rendimiento del túnel no es un rendimiento garantizado para las conexiones entre locales a través de Internet; es la medida de rendimiento máxima posible. El agregado total en una dirección es de 5 Gbps.
(2) El número de túneles máximo es el total por cada implementación de Azure Stack Hub para todas las suscripciones.
(3) - El enrutamiento de BGP no es compatible con la SKU básica.