Ruta rápida de VPN de Azure Stack Hub para usuarios de inquilinos
¿Qué es la característica De ruta rápida de VPN de Azure Stack Hub?
Azure Stack Hub presenta las tres SKU nuevas que se describen en este artículo como parte de la característica De ruta rápida de VPN. Anteriormente, los túneles S2S se limitaban a un ancho de banda máximo de 200 Mbps mediante la SKU HighPerformance. Las nuevas SKU permiten escenarios de cliente en los que se necesita un mayor rendimiento de red. Los valores de rendimiento de cada SKU son valores unidireccionales, lo que significa que admite el rendimiento dado en el tráfico de envío o recepción.
Cuando el operador de Azure Stack habilita la característica ruta de acceso rápido de VPN en una marca de Azure Stack Hub, los usuarios de inquilinos pueden crear puertas de enlace de red virtual mediante las nuevas SKU. Para ajustar las configuraciones existentes, vuelva a crear la puerta de enlace de red virtual y sus conexiones con una de las nuevas SKU.
Nuevas SKU de puertas de enlace de red virtual disponibles cuando se habilita vpn Fast Path
Además de las 3 nuevas SKU, aumenta la capacidad general de VPN de Azure Stack Hub, lo que permite más conexiones VPN.
En la tabla siguiente se muestra el nuevo rendimiento de cada SKU cuando está habilitada la ruta de acceso rápida de VPN:
| SKU | Rendimiento máximo de la conexión VPN |
|---|---|
| Basic | 100 Mbps Tx/Rx |
| Estándar | 100 Mbps Tx/Rx |
| Alto rendimiento | Tx/Rx de 200 Mbps |
| VpnGwy1 | 650 Mbps Tx/Rx |
| VpnGwy2 | 1000 Mbps Tx/Rx |
| VpnGwy3 | 1250 Mbps Tx/Rx |
Creación de puertas de enlace de red virtual para usar las nuevas SKU
Con VPN Fast Path, los usuarios de inquilinos pueden crear puertas de enlace de red virtual con las nuevas SKU mediante el portal de Azure Stack Hub o PowerShell.
Creación de puertas de enlace de red virtual con nuevas SKU mediante el portal de Azure Stack Hub
Si usa el portal de Azure Stack Hub para crear una puerta de enlace de red virtual, puede seleccionar la SKU mediante la lista desplegable. Las nuevas SKU de ruta rápida de VPN (VpnGwy1, VpnGwy2, VpnGwy3) solo son visibles después de agregar el parámetro de consulta "?azurestacknewvpnskus=true" a la dirección URL y actualizar.
En el ejemplo de dirección URL siguiente se hacen visibles las nuevas SKU de puerta de enlace de red virtual en el portal de usuarios de Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes de que el operador cree estos recursos, deben habilitar la ruta de acceso rápida de VPN en la marca de Azure Stack Hub:
Creación de puertas de enlace de red virtual con nuevas SKU mediante PowerShell
En el ejemplo siguiente se usan los módulos AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Actualización de puertas de enlace de red virtual heredadas
No se puede actualizar la SKU sin volver a crear la puerta de enlace de red virtual, lo que requiere que elimine todas las conexiones asociadas a la puerta de enlace de red virtual. Puede volver a usar los recursos de puerta de enlace de red local después de crear una puerta de enlace de red virtual con la nueva SKU. El recurso de puerta de enlace de red local define el espacio de direcciones y la dirección IP del dispositivo local y conserva esa configuración.
Siga estos pasos para actualizar las SKU de puerta de enlace de red virtual:
- Elimine todas las conexiones de la puerta de enlace de red virtual existente: anote la clave precompartida y si la marca BGP está establecida en habilitada.
- Elimine la puerta de enlace de red virtual existente mediante la SKU heredada: no es posible crear dos puertas de enlace de red virtual en la misma red virtual, por lo que debe eliminar la existente.
- Cree un nuevo recurso de puerta de enlace de red virtual con la nueva SKU: puede seleccionar una de las nuevas SKU habilitadas con vpn Fast Path.
- Cree una nueva conexión entre la nueva puerta de enlace de red virtual y la puerta de enlace de red local existente: si usa una directiva de segundo ip personalizada, cree la conexión a través de PowerShell. Use la clave precompartida y la marca BGP indicadas en el paso 1.
- Repita el paso 4 para cualquier otra conexión que quiera mover a la nueva SKU: este paso es relevante para escenarios de varios sitios.
Topologías de conexión VPN
Hay diferentes configuraciones disponibles para las puertas de enlace de VPN. Es preciso determinar qué configuración es la que mejor se adapta a sus necesidades. En las secciones siguientes, puede ver los diagramas de información y topología sobre los siguientes escenarios de VPN Gateway:
- Conexiones de sitio a sitio
- Conexiones de sitio a varios sitios
- Conexiones de sitio a sitio o de sitio a multisitio entre stamps de Azure Stack Hub
Los diagramas y las descripciones de las siguientes secciones pueden ayudarle a seleccionar la topología de conexión que mejor se ajuste a sus requisitos. Los diagramas muestran las principales topologías de referencia, pero también se pueden crear configuraciones más complejas con los diagramas como guía.
Conexiones de sitio a sitio
Una conexión de puerta de enlace de VPN de sitio a sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv2). Este tipo de conexión requiere un dispositivo VPN que esté ubicado en el entorno local y tenga asignada una dirección IP pública.
Conexiones de sitio a varios sitios
Una topología de sitio a varios sitios es una variación de la topología de sitio a sitio. Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales.
Conexiones de sitio a sitio o de sitio a sitio entre stamps de Azure Stack Hub
Solo puede crear una conexión VPN de sitio a sitio entre dos implementaciones de Azure Stack Hub. Esta restricción se debe a una limitación en la plataforma que solo permite una única conexión VPN a la misma dirección IP. Dado que Azure Stack Hub usa la puerta de enlace multiinquilino, que tiene una única dirección IP pública para todas las puertas de enlace de VPN en el sistema de Azure Stack Hub, solo puede haber una conexión VPN entre dos sistemas de Azure Stack Hub. Esta limitación se aplica también a la existencia de más de una conexión VPN de sitio a sitio a cualquier puerta de enlace de VPN que use una única dirección IP. Azure Stack Hub no permitirá que se cree más de un recurso de puerta de enlace de red local con la misma dirección IP.
En el diagrama siguiente se muestra cómo puede interconectar varios stamps de Azure Stack Hub si necesita crear una topología de malla entre stamps. En este escenario, hay 3 sellos de Azure Stack Hub y cada uno de ellos tiene 1 puerta de enlace de red virtual con 2 conexiones y 2 puertas de enlace de red local. Con las nuevas SKU, los usuarios pueden conectar redes y cargas de trabajo entre stamps con rendimiento de conexiones VPN de hasta 1250 Mbps Tx/Rx, asignando el 50 % de la capacidad del grupo de puertas de enlace de cada stamp. La capacidad restante en cada stamp se puede usar para más conexiones VPN necesarias para otros casos de uso:
