Creare gateway VPN per l'hub di Azure Stack

Prima di poter inviare il traffico di rete tra la rete virtuale di Azure e il sito locale, è necessario creare un gateway di rete virtuale (VPN) per la rete virtuale.

Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tramite una connessione pubblica. È possibile usare i gateway VPN per inviare il traffico in modo sicuro tra una rete virtuale nell'hub di Azure Stack e una rete virtuale in Azure. È anche possibile inviare il traffico in modo sicuro tra una rete virtuale e un'altra rete connessa a un dispositivo VPN.

Quando si crea un gateway di rete virtuale, si specifica il tipo di gateway che si vuole creare. L'hub di Azure Stack supporta un tipo di gateway di rete virtuale: il tipo vpn .

Ogni rete virtuale può avere due gateway di rete virtuale, ma solo uno per ogni tipo. A seconda delle impostazioni scelte, è possibile creare più connessioni a un singolo gateway VPN. Un esempio di questo tipo di configurazione è una configurazione di connessione multisito.

Prima di creare e configurare i gateway VPN per l'hub di Azure Stack, esaminare le considerazioni sulla rete dell'hub di Azure Stack per informazioni sulle differenze tra le configurazioni per l'hub di Azure Stack.

Nota

In Azure, la velocità effettiva della larghezza di banda per lo SKU del gateway VPN scelta deve essere divisa tra tutte le connessioni connesse al gateway. Nell'hub di Azure Stack, tuttavia, il valore della larghezza di banda per lo SKU del gateway VPN viene applicato a ogni risorsa di connessione connessa al gateway.

Ad esempio:

  • In Azure, lo SKU del gateway VPN di base può contenere circa 100 Mbps di velocità effettiva aggregata. Se si creano due connessioni al gateway VPN e una connessione usa 50 Mbps di larghezza di banda, 50 Mbps è disponibile per l'altra connessione.
  • Nell'hub di Azure Stack ogni connessione allo SKU del gateway VPN di base viene allocata a 100 Mbps di velocità effettiva.

Configurazione di un gateway VPN

Una connessione gateway VPN si basa su diverse risorse configurate con impostazioni specifiche. La maggior parte di queste risorse può essere configurata separatamente, ma in alcuni casi deve essere configurata in un ordine specifico.

Impostazioni

Le impostazioni scelte per ogni risorsa sono fondamentali per la creazione di una connessione riuscita.

Per informazioni sulle singole risorse e impostazioni per un gateway VPN, vedere Informazioni sulle impostazioni del gateway VPN per l'hub di Azure Stack. Questo articolo consente di comprendere quanto segue:

  • Tipi di gateway, tipi di VPN e tipi di connessione.
  • Subnet del gateway, gateway di rete locali e altre impostazioni delle risorse che è possibile prendere in considerazione.

Strumenti di distribuzione

È possibile creare e configurare risorse usando uno strumento di configurazione, ad esempio il portale di Azure. In seguito, è possibile passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o modificare le risorse esistenti, se applicabile. Attualmente non è possibile configurare ogni impostazione di risorsa e risorsa nel portale di Azure. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.

Diagrammi delle topologie di connessione

Sono disponibili configurazioni diverse per le connessioni gateway VPN. Determinare la configurazione più adatta alle proprie esigenze. Nelle sezioni seguenti è possibile visualizzare informazioni e diagrammi di topologia sulle connessioni gateway VPN seguenti:

  • Modello di distribuzione disponibile
  • Strumenti di configurazione disponibili
  • Collegamenti che visualizzano direttamente un articolo, se disponibile

I diagrammi e le descrizioni delle sezioni seguenti consentono di selezionare una topologia di connessione in base alle esigenze. I diagrammi mostrano le topologie di base principali, ma è possibile creare configurazioni più complesse usando i diagrammi come guida.

Da sito a sito e multisito (tunnel VPN IPsec/IKE)

Da sito a sito

Una connessione gateway VPN da sito a sito (S2S) è una connessione tramite tunnel VPN IPsec/IKE (IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale e a cui viene assegnato un indirizzo IP pubblico. Questo dispositivo non può trovarsi dietro un NAT. Le connessioni S2S possono essere usate per le configurazioni cross-premise e ibride.

Site-to-site VPN connection configuration example

multisito

Una connessione multisito è una variante della connessione da sito a sito. È possibile creare più di una connessione VPN dal gateway di rete virtuale, che in genere connette a più siti locali. Quando si usano più connessioni, è necessario usare un tipo VPN basato su route (noto come gateway dinamico quando si usano reti virtuali classiche). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni che usano il gateway condividono la larghezza di banda disponibile.

Azure VPN Gateway Multi-Site connection example

SKU del gateway

Quando si crea un gateway di rete virtuale per l'hub di Azure Stack, si specifica lo SKU del gateway che si vuole usare. Sono supportati gli SKU del gateway VPN seguenti:

  • Basic
  • Standard
  • Prestazioni elevate

Quando si seleziona uno SKU gateway superiore, ad esempio Standard su Basic o High Performance over Standard o Basic, al gateway vengono allocate più CPU e larghezza di banda di rete. Di conseguenza, il gateway può supportare una velocità effettiva di rete superiore alla rete virtuale.

L'hub di Azure Stack non supporta lo SKU del gateway Ultra Performance, che viene usato esclusivamente con ExpressRoute.

Quando si seleziona lo SKU, tenere presente quanto segue:

  • L'hub di Azure Stack non supporta i gateway basati su criteri.
  • Border Gateway Protocol (BGP) non è supportato nello SKU Basic.
  • Le configurazioni coesistenti del gateway EXPRESSRoute-VPN non sono supportate nell'hub di Azure Stack.

Disponibilità del gateway

Gli scenari di disponibilità elevata possono essere configurati solo nello SKU di connessione del gateway ad alte prestazioni . A differenza di Azure, che offre disponibilità tramite configurazioni attive/attive e attive/passive, l'hub di Azure Stack supporta solo la configurazione attiva/passiva.

Failover

Nell'hub di Azure Stack sono presenti tre macchine virtuali dell'infrastruttura del gateway multi-tenant. Due di queste macchine virtuali sono in modalità attiva e la terza è in modalità ridondante. Le macchine virtuali attive consentono la creazione di connessioni VPN e la macchina virtuale ridondante accetta solo connessioni VPN se si verifica un failover. Se una macchina virtuale gateway attiva non è più disponibile, la connessione VPN esegue il failover alla macchina virtuale ridondante dopo un breve periodo (pochi secondi) di perdita di connessione.

I failover del gateway sono previsti durante un aggiornamento oem o dell'hub di Azure Stack, perché le macchine virtuali vengono applicate patch e migrate in tempo reale. Ciò può comportare una disconnessione temporanea dei tunnel.

Velocità effettiva stimata del tunnel di aggregazione per SKU

La tabella seguente illustra i tipi di gateway e la velocità effettiva aggregata stimata per ogni tunnel/connessione tramite SKU del gateway:

velocità effettiva Tunnel (1) Tunnel IPsec massimi del gateway VPN (2)
SKU Basic(3) 100 Mbps 20
SKU Standard 100 Mbps 20
SKU con prestazioni elevate 200 Mbps 10

Note sulla tabella

(1) - Tunnel velocità effettiva non è una velocità effettiva garantita per le connessioni cross-premise in Internet. È la misura massima possibile per la velocità effettiva. L'aggregazione totale è di 2 Gbps.
(2) - Il numero massimo di tunnel è il totale per ogni distribuzione dell'hub di Azure Stack per tutte le sottoscrizioni.
(3) - Il routing BGP non è supportato per lo SKU Basic.

Nota

È possibile creare una sola connessione VPN da sito a sito tra due distribuzioni dell'hub di Azure Stack. Ciò è dovuto a una limitazione nella piattaforma che consente solo una singola connessione VPN allo stesso indirizzo IP. Poiché l'hub di Azure Stack sfrutta il gateway multi-tenant, che usa un singolo indirizzo IP pubblico per tutti i gateway VPN nel sistema hub di Azure Stack, può essere disponibile una sola connessione VPN tra due sistemi hub di Azure Stack. Questa limitazione si applica anche alla connessione di più di una connessione VPN da sito a sito a qualsiasi gateway VPN che usa un singolo indirizzo IP. L'hub di Azure Stack non consente la creazione di più risorse del gateway di rete locale usando lo stesso indirizzo IP.

Passaggi successivi