Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure-beli virtuális hálózat (virtuális hálózat) és a helyszíni hálózat Azure ExpressRoute-tal való csatlakoztatásához először létre kell hoznia egy virtuális hálózati átjárót. A virtuális hálózati átjáró két célt szolgál: az IP-útvonalak hálózatok közötti cseréjét és a hálózati forgalom irányítását.
Ez a cikk ismerteti a különböző átjárótípusokat, az átjáró termékváltozatokat és a termékváltozatok becsült teljesítményét. Ez a cikk az ExpressRoute FastPath szolgáltatást is ismerteti, amely lehetővé teszi, hogy a helyszíni hálózat hálózati forgalma megkerülje a virtuális hálózati átjárót a teljesítmény javítása érdekében.
Átjárótípusok
Virtuális hálózati átjáró létrehozásakor több beállítást kell megadnia. Az egyik szükséges beállítás azt határozza meg, -GatewayTypehogy az átjáró az ExpressRoute-hoz vagy a VPN-forgalomhoz van-e használva. A két átjárótípus a következő:
Vpn: A nyilvános interneten keresztüli titkosított forgalom küldéséhez használja aVpna-GatewayType(más néven VPN-átjáró). A helyek közötti, a pont–hely és a virtuális hálózatok közötti kapcsolatok mindegyike VPN-átjárót használ.ExpressRoute: Ha privát kapcsolaton szeretne hálózati forgalmat küldeni, használja aExpressRouteaz-GatewayType(más néven ExpressRoute átjáró) számára. Ezt az átjárótípust az ExpressRoute konfigurálásakor használja a rendszer.
Mindegyik virtuális hálózat csak egy virtuális hálózati átjáróval rendelkezhet átjárótípusonként. Létrehozhat például egy virtuális hálózati átjárót, amely a Vpn-t használja a -GatewayType számára, és egy másikat, amely a ExpressRoute-t használja a -GatewayType számára.
Átjáró-termékváltozatok
Egy virtuális hálózati átjáró létrehozásakor meg kell adni a használni kívánt termékváltozatot. Ha magasabb átjáró-termékváltozatot választ, a rendszer több processzort és hálózati sávszélességet rendel az átjáróhoz. Ennek eredményeképpen az átjáró támogatja a virtuális hálózat nagyobb hálózati átviteli sebességét.
Az ExpressRoute virtuális hálózati átjárói a következő termékváltozatokat használhatják:
- ERGwScale (előzetes verzió)
- Standard
- Nagy teljesítmény
- Ultraperformancia
- ErGw1Az
- ErGw2Az
- ErGw3Az
Az átjárót frissítheti egy nagyobb kapacitású SKU-ra ugyanabban az SKU családban, amely lehet nem Az-kompatibilis vagy Az-kompatibilis átjáró.
Frissíthet például:
- Egy Nem-Az-kompatibilis termékváltozatból egy másik Nem-Az-kompatibilis termékváltozatba
- Egy Az-kompatibilis termékváltozattól egy másik Az-kompatibilis termékváltozatig
Az összes többi leminősítési forgatókönyv esetében törölnie kell és újra létre kell hoznia az átjárót, ami leállást okoz.
Átjáró alhálózatának létrehozása
Az ExpressRoute-átjáró létrehozása előtt létre kell hoznia egy átjáróalhálózatot. A virtuális hálózati átjáró virtuális gépei és szolgáltatásai az átjáró alhálózatában található IP-címeket használják.
A virtuális hálózati átjáró létrehozásakor az átjáró virtuális gépei az átjáró alhálózatán lesznek üzembe helyezve, és a szükséges ExpressRoute-átjáróbeállításokkal vannak konfigurálva. Soha ne telepítsen semmit az átjáró alhálózatába. Az átjáró alhálózatának "GatewaySubnet" néven kell lennie a megfelelő működéshez, mivel így az Azure-nak tudnia kell a virtuális hálózati átjáró virtuális gépeinek és szolgáltatásainak az alhálózaton való üzembe helyezéséről.
Feljegyzés
Az átjáró alhálózatán a 0.0.0.0/0 cél- és hálózati biztonsági csoportokkal (NSG-kkel) rendelkező felhasználó által megadott útvonalak nem támogatottak. Az ilyen konfigurációjú átjárók létrehozása blokkolva van. Az átjáróknak a megfelelő működéshez hozzáférésre van szükségük a kezelővezérlőkhöz. A Border Gateway Protocol (BGP) útvonalpropagálását engedélyezni kell az átjáró alhálózatán az átjáró rendelkezésre állásának biztosítása érdekében. Ha a BGP-útvonal propagálása le van tiltva, az átjáró nem fog működni.
A diagnosztikát, az adatútvonalat és a vezérlési útvonalat befolyásolhatja, ha egy felhasználó által meghatározott útvonal átfedésben van az átjáró alhálózati tartományával vagy az átjáró nyilvános IP-tartományával.
- Nem javasoljuk az Azure DNS Private Resolver üzembe helyezését olyan virtuális hálózaton, amely rendelkezik ExpressRoute virtuális hálózati átjáróval, és helyettesítő szabályokat állít be, hogy az összes névfeloldást egy adott DNS-kiszolgálóra irányítsa. Az ilyen konfiguráció felügyeleti kapcsolati problémákat okozhat.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáró alhálózatának IP-címei az átjáró virtuális gépeihez és átjárószolgáltatásaihoz vannak lefoglalva. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük.
Amikor az átjáró alhálózatának méretét tervezi, tekintse meg a létrehozni kívánt konfiguráció dokumentációját. Az ExpressRoute/VPN-átjáró egyidejűségi konfigurációja például nagyobb átjáróalhálózatot igényel, mint a legtöbb más konfiguráció. Emellett érdemes lehet gondoskodni arról, hogy az átjáróalhálózat elegendő IP-címet tartalmazjon a lehetséges jövőbeli konfigurációkhoz.
Javasoljuk, hogy hozzon létre egy /27 vagy nagyobb átjáróalhálózatot. Ha 16 ExpressRoute-kapcsolatcsoportot szeretne csatlakoztatni az átjáróhoz, létre kell hoznia egy /26 vagy nagyobb átjáróalhálózatot. Ha kettős stack átjáró alhálózatot hoz létre, javasoljuk, hogy használjon egy IPv6-tartományt is, amely legalább /64-es vagy nagyobb. Ez a beállítás a legtöbb konfigurációt kielégíti.
Az alábbi Azure Resource Manager PowerShell-példa egy GatewaySubnet nevű átjáróalhálózatot mutat be. Látható, hogy az osztály nélküli tartományközi útválasztás (CIDR) jelölése egy /27-et ad meg, amely elegendő IP-címet biztosít a legtöbb jelenleg létező konfigurációhoz.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Fontos
Az átjáró alhálózatán lévő NSG-ket nem támogatjuk. Ha hálózati biztonsági csoportot társít ehhez az alhálózathoz, a virtuális hálózati átjáró (VPN- és ExpressRoute-átjárók) működése a várt módon leállhat. A hálózati biztonsági csoportokkal kapcsolatos további információkért lásd: Mi az a hálózati biztonsági csoport?
A virtuális hálózati átjáró korlátozásai és teljesítménye
Az átjáró cikkszáma szerinti funkciótámogatás
Az alábbi táblázat az egyes átjárótípusok által támogatott funkciókat és az egyes átjáró-termékváltozatok által támogatott ExpressRoute-kapcsolatcsoportok maximális számát mutatja.
| Átjáró termékkód | VPN-átjáró és ExpressRoute egyidejű használata | GyorsÚt | Áramkörök kapcsolódásainak maximális száma |
|---|---|---|---|
| Standard termékváltozat/ERGw1Az | Igen | Nem | 4 |
| Magas teljesítményű SKU/ERGw2Az | Igen | Nem | 8 |
| Ultrateljesítményű termékváltozat/ErGw3Az | Igen | Igen | 16 |
| ErGwScale (előzetes verzió) | Igen | Igen – legalább 10 skálázási egység | 4 – minimum 1 skálaegység 8 – legalább 2 skálázási egység 16 – legalább 10 méretezési egység |
Feljegyzés
Az azonos társviszony-létesítési helyről származó ExpressRoute-kapcsolatcsoportok maximális száma, amely ugyanahhoz a virtuális hálózathoz csatlakozhat, az összes átjáró esetében 4.
Becsült teljesítmény az átjáró SKU szerint
Az alábbi táblázatok áttekintést nyújtanak az átjárók különböző típusairól, azok korlátairól és várható teljesítménymetrikáiról.
Támogatott korlátok maximális száma
Ez a táblázat az Azure Resource Managerre és a klasszikus üzemi modellekre is vonatkozik.
| Átjáró termékkód | Megabit másodpercenként | Csomagok másodpercenként | Támogatott virtuális gépek száma a virtuális hálózaton 1 | Folyamatszám korlátja | Az átjáró által megismert útvonalak száma |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1000 | 100 000 | 2000 | 200,000 | 4 000 |
| Nagy teljesítményű/ERGw2Az | 2000 | 200,000 | 4 500 | 400,000 | 9500 |
| Ultranagy teljesítményű/ErGw3Az | 10,000. | 1,000,000 | 11000 | 1,000,000 | 9500 |
| ErGwScale (skálázási egységenként 1-10) | 1000 skálázási egységenként | 100 000 skálázási egységenként | 2000 per skálázási egység | 100 000 skálázási egységenként | Átjárónként összesen 60 000 |
| ErGwScale (skálázási egységenként 11-40) | 1000 skálázási egységenként | 200 000 skálázási egységenként | 1000 skálázási egységenként | 100 000 skálázási egységenként | Átjárónként összesen 60 000 |
1 A táblázatban szereplő értékek becslések, és az átjáró processzorhasználatától függően változnak. Ha a CPU-kihasználtság magas, és a virtuális gépek száma túllépi a támogatott számot, az átjáró elkezdi eldobni a csomagokat.
Feljegyzés
Az ExpressRoute akár 11 000 útvonalat is képes megkönnyíteni, amelyek kiterjednek a virtuális hálózati címterekre, a helyszíni hálózatokra és a kapcsolódó virtuális hálózatok társviszony-létesítési kapcsolataira. Az ExpressRoute-kapcsolat stabilitásának biztosítása érdekében ne reklámozzanak több mint 11 000 útvonalat az ExpressRoute-ba. Az átjáró által meghirdetett útvonalak maximális száma 1000 útvonal.
Fontos
- Az alkalmazás teljesítménye több tényezőtől függ, például a végpontok közötti késéstől és az alkalmazás által megnyíló forgalom számától. A táblázatban szereplő számok azt a felső korlátot jelölik, amelyet az alkalmazás elméletileg ideális környezetben érhet el. Emellett rutin gazdagép- és operációsrendszer-karbantartást végzünk az ExpressRoute virtuális hálózati átjárón a szolgáltatás megbízhatóságának fenntartása érdekében. Karbantartási időszak alatt az átjáró vezérlősíkja és adatútvonal-kapacitása csökken.
- A karbantartási időszak alatt előfordulhat, hogy időszakos csatlakozási problémákat tapasztal a privát végpont erőforrásaival.
- Az ExpressRoute legfeljebb 1400 bájtos TCP- és UDP-csomagméretet támogat. Az 1400 bájtnál nagyobb csomagméretek töredezettek lesznek.
- Az Azure Route Server legfeljebb 4000 virtuális gépet támogat. Ez a korlát a hálósított virtuális hálózatokban lévő virtuális gépeket is magában foglalja. További információkért tekintse meg az Azure Route Server korlátait.
- A fenti táblázatban szereplő értékek az egyes átjáró-termékváltozatok korlátait jelölik.
ÜzemeltetettBehalf-Of (HOBO) nyilvános IP-címe
A Hosted-On-Behalf-Of (HOBO) nyilvános IP-szolgáltatás leegyszerűsíti az ExpressRoute-átjáró üzembe helyezését azáltal, hogy lehetővé teszi a Microsoft számára, hogy az Ön nevében kezelje a szükséges nyilvános IP-címet. A PowerShell/CLI esetében már nem kell külön nyilvános IP-erőforrást létrehoznia vagy fenntartania az átjáróhoz.
Főbb előnyök:
- Továbbfejlesztett biztonság: A nyilvános IP-címet a Microsoft belsőleg kezeli, és nem teszi elérhetővé Ön számára, csökkentve a nyílt felügyeleti portokkal kapcsolatos kockázatokat.
- Csökkentett összetettség: Nem kell nyilvános IP-erőforrást kiépítenie vagy kezelnie.
- Egyszerűsített üzembe helyezés: Az Azure PowerShell és a parancssori felület már nem kér nyilvános IP-címet az átjáró létrehozása során.
Hogyan működik:
ExpressRoute-átjáró létrehozásakor a Microsoft automatikusan kiépíti és kezeli a nyilvános IP-címet egy biztonságos, háttérbeli előfizetésben. Ez az IP-cím az átjáróerőforrásba van ágyazva, így a Microsoft kényszerítheti a szabályzatokat, például az adatsebességkorlátokat, és javíthatja az auditálhatóságot.
Elérhetőség:
A HOBO nyilvános IP-címe nem érhető el a Virtuális WAN (vWAN) vagy a kiterjesztett zóna telepítéseknél.
Virtuális hálózatok közötti kapcsolódás és a virtuális hálózatról a virtuális WAN-ra történő kapcsolódás
Alapértelmezés szerint az összes átjáró SKU számára le van tiltva az ExpressRoute kapcsolaton keresztüli VNet–VNet és VNet–virtuális WAN kapcsolat. A kapcsolat engedélyezéséhez konfigurálnia kell az ExpressRoute virtuális hálózati átjárót a forgalom engedélyezéséhez. További információkért tekintse meg az ExpressRoute-on keresztüli virtuális hálózati kapcsolattal kapcsolatos útmutatást. A forgalom engedélyezéséhez lásd: Virtuális hálózatról virtuális hálózatra vagy VNet-virtuális-WAN kapcsolatok engedélyezése az ExpressRoute-on keresztül.
GyorsÚt
Az ExpressRoute virtuális hálózati átjáró a hálózati útvonalak cseréjére és a hálózati forgalom irányítására szolgál. A FastPath-t arra tervezték, hogy javítsa a helyszíni hálózat és a virtuális hálózat közötti adatútvonal-teljesítményt. Ha a FastPath engedélyezve van, közvetlenül a virtuális hálózat virtuális gépeire küld hálózati forgalmat, megkerülve az átjárót.
A FastPath szolgáltatással kapcsolatos további információkért, beleértve a korlátozásokat és a követelményeket, olvassa el a FastPathról szóló témakört.
Csatlakozás privát végpontokhoz
Az ExpressRoute virtuális hálózati átjáró megkönnyíti a virtuális hálózati átjáróval és a virtuális hálózati társokkal azonos virtuális hálózaton üzembe helyezett privát végpontokhoz való kapcsolódást.
Fontos
- A magánvégpont-erőforrásokhoz való kapcsolódás átviteli sebessége és vezérlősík-kapacitása a nem privát végponti erőforrásokhoz való csatlakozáshoz képest felére csökkenhet.
- A karbantartási időszak alatt előfordulhat, hogy időszakos csatlakozási problémákat tapasztal a privát végpont erőforrásaival.
- Gondoskodnia kell arról, hogy a helyszíni konfigurációk, beleértve az útválasztó és a tűzfal beállításait, megfelelően legyenek beállítva, hogy az 5-tupoláris IP-forgalom csomagjai egy következő ugrást (Microsoft Enterprise Edge útválasztó) használjanak, hacsak nincs karbantartási esemény. Ha a helyszíni tűzfal vagy útválasztó konfigurációja azt eredményezi, hogy ugyanaz az IP 5-tuple gyakran váltja a következő csomópontokat, csatlakozási problémákat fog tapasztalni.
Privát végpontkapcsolat és tervezett karbantartási események
A privát végpont kapcsolata állapotalapú. Ha az ExpressRoute privát társviszony-létesítésen keresztül létesít kapcsolatot egy privát végponttal, a bejövő és kimenő kapcsolatok az átjáróinfrastruktúra egyik háttérpéldányán keresztül lesznek irányítva. Karbantartási esemény során a virtuális hálózati átjáró infrastruktúrájának háttérpéldányai egyenként újraindulnak, ami időszakos csatlakozási problémákhoz vezethet.
A karbantartási tevékenységek során a privát végpontokkal kapcsolatos csatlakozási problémák elkerülése vagy minimalizálása érdekében javasoljuk, hogy a TCP időtúllépési értéke 15 és 30 másodperc közé csökkenjen a helyszíni alkalmazásokban. Tesztelje és konfigurálja az optimális értéket az alkalmazás követelményeinek megfelelően.
REST API-k és PowerShell-parancsmagok
A virtuális hálózati átjáró konfigurációihoz REST API-k és PowerShell-parancsmagok használata esetén további technikai erőforrásokat és konkrét szintaxisi követelményeket talál az alábbi oldalakon:
| Klasszikus | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet-ek közötti kapcsolat
Alapértelmezés szerint a virtuális hálózatok közötti kapcsolat akkor engedélyezve van, ha több virtuális hálózatot csatlakoztat ugyanahhoz az ExpressRoute-kapcsolatcsoporthoz. Nem javasoljuk az ExpressRoute-kapcsolatcsoport használatát a virtuális hálózatok közötti kommunikációhoz. Ehelyett javasoljuk, hogy használjon virtuális hálózati összekapcsolást. Ha többet szeretne tudni arról, hogy miért nem ajánlott a virtuális hálózatok közötti kapcsolat az ExpressRoute-on keresztül, tekintse meg a virtuális hálózatok ExpressRoute-on keresztüli kapcsolatát ismertető témakört.
Virtuális hálózati összekapcsolódás
Az ExpressRoute-átjáróval rendelkező virtuális hálózatok legfeljebb 500 másik virtuális hálózattal létesíthetnek virtuális társviszonyt. Virtuális hálózat-peerelés az ExpressRoute átjáró nélkül nagyobb peerelési korlátozásokkal járhat.
Kapcsolódó tartalom
Az elérhető kapcsolatkonfigurációkkal kapcsolatos további információkért tekintse meg az ExpressRoute áttekintését.
Az ExpressRoute-átjárók létrehozásáról további információt az ExpressRoute-hoz készült virtuális hálózati átjáró létrehozása című témakörben talál.
Az ErGwScale telepítésével kapcsolatos további információkért lásd : Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz az Azure Portal használatával.
További információ a zónaredundáns átjárók konfigurálásáról: Zónaredundáns virtuális hálózati átjáró létrehozása.
A FastPathról további információt a FastPathról szóló cikkben talál.