Chemin rapide VPN Azure Stack Hub pour les opérateurs
Qu’est-ce que la fonctionnalité De chemin rapide VPN Azure Stack Hub ?
Azure Stack Hub présente les trois nouvelles références SKU décrites dans cet article dans le cadre de la fonctionnalité VPN Fast Path. Auparavant, les tunnels S2S étaient limités à une bande passante maximale de 200 Mbits/s à l’aide de la référence SKU HighPerformance. Les nouvelles références SKU permettent aux clients de scénarios dans lesquels un débit réseau plus élevé est nécessaire. Les valeurs de débit de chaque référence SKU sont des valeurs unidirectionnelles, ce qui signifie qu’elle prend en charge le débit donné sur l’un ou l’autre du trafic d’envoi ou de réception.
Nouvelles références SKU de passerelle de réseau virtuel de chemin d’accès rapide VPN
Avec l’introduction de la fonctionnalité de chemin rapide VPN dans Azure Stack Hub, les utilisateurs du locataire peuvent créer des connexions VPN à l’aide de 3 nouvelles références SKU :
- De base
- Standard
- Hautes performances
- VpnGw1 (nouveau)
- VpnGw2 (nouveau)
- VpnGw3 (nouveau)
Considérations importantes avant d’activer le chemin rapide VPN Azure Stack Hub
Pour que tout processus de mise à jour soit aussi fluide que possible afin qu’il y ait un impact minimal sur vos utilisateurs, il est important de préparer votre tampon Azure Stack Hub.
En tant qu’opérateur Azure Stack Hub activant vpn Fast Path, nous vous recommandons de coordonner avec les utilisateurs du locataire pour planifier une fenêtre de maintenance pendant laquelle le changement peut se produire. Informez vos utilisateurs des pannes possibles du service de connexion VPN, puis suivez les étapes ci-dessous pour préparer votre tampon pour la mise à jour.
Le chemin d’accès rapide VPN nécessite NAT-T sur des appareils VPN distants
Azure Stack Hub VPN Fast Path s’appuie sur le nouveau service de passerelle SDN, et il est fourni avec une nouvelle exigence lors de la planification.
Planifier avec des utilisateurs clients avant d’activer le chemin rapide VPN
- Liste des paramètres de ressources de passerelle de réseau virtuel existants.
- Liste des paramètres de ressources de connexions existants.
- Liste des stratégies et paramètres IPSec utilisés sur leurs connexions existantes.
- Cette étape garantit que vos utilisateurs disposent de stratégies configurées qui fonctionnent avec leur appareil, notamment des stratégies IPSec personnalisées.
- Répertorier les paramètres de passerelle de réseau local. Les utilisateurs clients peuvent réutiliser les ressources et configurations de passerelle de réseau local. Toutefois, nous vous recommandons également d’enregistrer la configuration existante en cas de recréation.
- Une fois le chemin d’accès rapide VPN activé, les locataires doivent recréer leurs passerelles de réseau virtuel et leurs connexions si elles souhaitent utiliser les nouvelles références SKU.
Avec la version de VPN Fast Path, il existe une nouvelle commande PowerShell que les opérateurs peuvent appeler pour répertorier toutes les connexions existantes créées par leurs locataires. Cette applet de commande peut aider l’opérateur à gérer la capacité et à contacter les administrateurs de locataires s’ils doivent recréer leurs passerelles Réseau virtuel :
Get-AzsVirtualNetworkGatewayConnection
Pour plus d’informations, consultez Get-AzsVirtualNetworkGatewayConnection.
Comment activer le chemin rapide VPN Azure Stack Hub
Avec vpn Fast Path, les opérateurs peuvent activer la nouvelle fonctionnalité à l’aide des commandes PowerShell suivantes. Une fois que la fonctionnalité atteint la disponibilité générale, les opérateurs peuvent également activer la fonctionnalité à l’aide du portail d’administration Azure Stack Hub.
Vous pouvez ajuster les configurations existantes en recréant la passerelle de réseau virtuel et ses connexions avec l’une des nouvelles références SKU.
Activer le chemin rapide VPN Azure Stack Hub à l’aide de PowerShell
À partir du point de terminaison privilégié Azure Stack Hub, vous pouvez exécuter la commande PowerShell suivante pour activer la fonctionnalité de chemin rapide VPN :
Pour plus d’informations sur le point de terminaison privilégié Azure Stack Hub, consultez Point de terminaison privilégié d’accès.
Set-AzSVPNFastPath -Enable
Valider que le chemin rapide VPN Azure Stack Hub est activé à l’aide de PowerShell
Une fois la fonctionnalité de chemin rapide VPN activée, vous pouvez valider l’état actuel des machines virtuelles de passerelle et la capacité utilisée à l’aide de la commande PowerShell suivante :
Get-AzSVPNFastPath
Désactiver le chemin rapide VPN Azure Stack Hub à l’aide de PowerShell
Set-AzSVPNFastPath -Disable
Si vous devez désactiver le chemin d’accès rapide VPN, vous devez d’abord utiliser votre locataire pour supprimer et recréer toutes leurs passerelles Réseau virtuel à l’aide des références SKU vpn Fast Path. Étant donné que la capacité VPN de tampon augmente lorsque le chemin rapide VPN est activé, vous ne pouvez pas désactiver le chemin d’accès rapide VPN si la capacité globale en cours d’utilisation dépasse la capacité totale lorsque Azure Stack Hub n’utilise pas le chemin d’accès rapide VPN.
Architecture du pool de passerelles Azure Stack Hub
Azure Stack Hub contient trois machines virtuelles d’infrastructure de passerelle mutualisée. Deux de ces machines virtuelles sont en mode actif et la troisième est en mode redondant. Les machines virtuelles actives permettent la création de connexions VPN et la machine virtuelle redondante accepte uniquement les connexions VPN en cas de basculement. Si une machine virtuelle de passerelle active n’est plus disponible, la connexion VPN bascule vers la machine virtuelle redondante quelques instants (quelques secondes) après la perte de la connexion.
Les basculements de connexion de passerelle sont attendus pendant une mise à jour OEM ou Azure Stack Hub, car les machines virtuelles sont corrigées et migrées en direct. Ce basculement peut entraîner une déconnexion temporaire des tunnels.
Nouvelle capacité totale du pool de passerelles
La capacité globale du pool de passerelles d’un tampon Azure Stack Hub est de 4 Gbits/s. Cette capacité est divisée entre les deux machines virtuelles de passerelle active, chaque machine virtuelle de passerelle prenant en charge jusqu’à 2 Gbits/s de débit. Lorsqu’une ressource de connexion est créée, deux fois sa référence SKU est réservée sur la machine virtuelle de passerelle. Cette conception garantit que le débit maximal de la référence SKU (mesuré dans une direction) peut être atteint avec le trafic Tx ou Rx, en fonction des exigences de la charge de travail de l’utilisateur.
Par exemple, une référence SKU HighPerformance réserve 400 Mbits/s sur une machine virtuelle de passerelle (200 pour Tx, 200 pour Rx). Cela signifie que sur le moteur existant, une connexion HighPerformance réserve un dixième de la capacité globale du pool de passerelles.
Le tableau suivant présente les types de passerelle et le débit agrégé estimé pour chaque tunnel/connexion par référence SKU de passerelle lorsque le chemin rapide VPN est désactivé :
Référence (SKU) | Débit maximal de connexion VPN (1) | Nombre maximal de connexions VPN par machine virtuelle GW active | Nombre maximal de connexions VPN par empreinte (2) |
---|---|---|---|
De base (3) | 100 Mbits/s Tx/Rx | 10 | 20 |
Standard | 100 Mbits/s Tx/Rx | 10 | 20 |
Hautes performances | 200 Mbits/s Tx/Rx | 5 | 10 |
(1) - Le débit du tunnel n’est pas un débit garanti pour les connexions intersite sur Internet ; il s’agit de la mesure maximale possible du débit. L’agrégat total dans une direction est de 2 Gbits/s.
(2) Le nombre maximal de tunnels est le total par déploiement Azure Stack Hub pour tous les abonnements.
(3) - Le routage BGP n’est pas pris en charge pour la référence SKU de base.
Débit estimé du tunnel agrégé par référence SKU avec le chemin rapide VPN activé
Une fois que l’opérateur active le chemin rapide VPN sur le tampon Azure Stack Hub, la capacité globale du pool de passerelles est augmentée à 10 Gbits/s. Étant donné que la capacité est divisée entre les deux machines virtuelles de passerelle actives, chaque machine virtuelle de passerelle a une capacité de 5 Gbits/s. La quantité de capacité réservée pour chaque connexion est identique à celle décrite dans la section précédente. Par conséquent, une référence SKU VpnGw3 (1250 Mbits/s) réserve 2500 Mbits/s de capacité sur une machine virtuelle de passerelle :
Référence (SKU) | Débit maximal de connexion VPN (1) | Nombre maximal de connexions VPN par machine virtuelle GW active | Nombre maximal de connexions VPN par empreinte (2) |
---|---|---|---|
De base (3) | 100 Mbits/s Tx/Rx | 25 | 50 |
Standard | 100 Mbits/s Tx/Rx | 25 | 50 |
Hautes performances | 200 Mbits/s Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mbits/s Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mbits/s Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mbits/s Tx/Rx | 2 | 4 |
(1) - Le débit du tunnel n’est pas un débit garanti pour les connexions intersite sur Internet ; il s’agit de la mesure maximale possible du débit. L’agrégat total dans une direction est de 5 Gbits/s.
(2) Le nombre maximal de tunnels est le total par déploiement Azure Stack Hub pour tous les abonnements.
(3) - Le routage BGP n’est pas pris en charge pour la référence SKU de base.