Informazioni sui gateway di rete virtuale per ExpressRoute
Per connettere la rete virtuale di Azure e la rete locale tramite ExpressRoute, è prima necessario creare un gateway di rete virtuale. Un gateway di rete virtuale svolge due scopi: scambiare route IP tra le reti e instradare il traffico di rete. Il presente articolo illustra diversi tipi di gateway, SKU di gateway e prestazioni stimate per SKU. Questo articolo illustra anche ExpressRoute FastPath, una funzionalità che consente al traffico di rete dalla rete locale di ignorare il gateway di rete virtuale per migliorare le prestazioni.
Tipi di gateway
Quando si crea un gateway di rete virtuale, è necessario specificare alcune impostazioni. Una delle impostazioni necessarie, -GatewayType, specifica se il gateway viene usato per ExpressRoute o per il traffico VPN. Ci sono due tipi di gateway:
Vpn: per inviare il traffico crittografato attraverso una rete Internet pubblica si usa il gateway di tipo "VPN", Questo tipo di gateway è noto anche come gateway VPN. Le connessioni da sito a sito, da punto a sito e da rete virtuale a rete virtuale usano tutte un gateway VPN.
ExpressRoute: per inviare il traffico di rete con una connessione privata si usa il tipo di gateway ExpressRoute. Questo tipo di gateway viene anche definito gateway ExpressRoute e viene usato durante la configurazione di ExpressRoute.
Ogni rete virtuale può avere un solo gateway di rete virtuale per tipo di gateway. Ad esempio, è possibile avere un gateway di rete virtuale che usa -GatewayType VPN e uno che utilizza -GatewayType ExpressRoute.
SKU del gateway
Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway da usare. Quando si seleziona uno SKU superiore, al gateway vengono allocati un maggior numero di CPU e una larghezza di banda superiore, di conseguenza il gateway può supportare una velocità effettiva di rete più elevata per la rete virtuale.
I gateway di rete virtuale ExpressRoute possono usare i seguenti SKU:
- ERGwScale (anteprima)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Se si vuole aggiornare il gateway a uno SKU del gateway con capacità superiore, è possibile usare lo strumento Di migrazione del gateway facile nel portale di Azure o in PowerShell. Sono consentiti gli aggiornamenti seguenti:
- Da SKU non abilitato per Az nell'indirizzo IP Basic a SKU non abilitato per Az nell'indirizzo IP Standard.
- SKU non abilitato per Az nell'indirizzo IP Basic con SKU abilitato per Az nell'IP Standard.
- SKU non abilitato per Az nell'indirizzo IP standard per SKU abilitato per Az in un IP Standard.
Per altre informazioni, vedere Eseguire la migrazione a un gateway abilitato per la zona di disponibilità.
Per tutti gli altri scenari di downgrade, è necessario eliminare e ricreare il gateway. La ricreazione di un gateway comporta tempi di inattività.
Subnet gateway
Prima di creare un gateway ExpressRoute, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le macchine virtuali del gateway vengono distribuite nella subnet gateway e configurate con le impostazioni del gateway ExpressRoute richieste. Non distribuire mai altri elementi nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". La denominazione della subnet del gateway "GatewaySubnet" consente ad Azure di distribuire le macchine virtuali e i servizi del gateway di rete virtuale in questa subnet.
Nota
Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. Per assicurare la disponibilità del gateway, l'opzione Propagazione route BGP deve essere impostata su "Abilitato" in GatewaySubnet. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.
- Non è consigliabile distribuire il sistema di resolver privato DNS di Azure in una rete virtuale con un gateway di rete virtuale ExpressRoute e impostare regole con caratteri jolly per indirizzare tutta la risoluzione dei nomi a un server DNS specifico. Una configurazione di questo tipo può causare problemi di connettività di gestione.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. È anche possibile assicurarsi che la subnet del gateway contenga una quantità di indirizzi IP sufficiente per supportare possibili configurazioni future. È consigliabile creare una subnet del gateway con un valore /27 o superiore (/27, /26 e così via). Se si prevede di connettere 16 circuiti ExpressRoute al gateway, è necessario creare una subnet del gateway di /26 o superiore. Se si sta creando una subnet del gateway dual stack, è consigliabile usare anche un intervallo IPv6 di /64 o superiore. Questa impostazione supporta la maggior parte delle configurazioni.
L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Limitazioni e prestazioni del gateway di rete virtuale
Supporto delle funzionalità per SKU del gateway
La tabella seguente illustra le funzionalità supportate in ogni tipo di gateway e il numero massimo di connessioni del circuito ExpressRoute supportate da ciascun SKU del gateway.
| SKU del gateway | Coesistenza Gateway VPN ed ExpressRoute | FastPath | Numero massimo di connessioni di circuito |
|---|---|---|---|
| SKU Standard/ERGw1Az | Sì | No | 4 |
| SKU con prestazioni elevate/ERGw2Az | Sì | No | 8 |
| SKU con prestazioni elevate/ErGw3Az | Sì | Sì | 16 |
| ErGwScale (anteprima) | Sì | Sì - minimo 10 unità di scala | 4 - minimo 1 di unità di scala 8 - Minimo 2 unità di scala 16 - Minimo 10 unità di scala |
Nota
Il numero massimo di circuiti ExpressRoute dallo stesso percorso di peering che può connettersi alla medesima rete virtuale è 4 per tutti i gateway.
Prestazioni stimate in base allo SKU del gateway
Le tabelle seguenti forniscono una panoramica dei diversi tipi di gateway, delle rispettive limitazioni e delle relative metriche delle prestazioni previste. Questi numeri derivano dalle seguenti condizioni di test e rappresentano i limiti massimi di supporto. Le prestazioni effettive possono variare, a seconda della modalità con cui il traffico replica queste condizioni di test.
Condizioni di test
| SKU del gateway | Traffico inviato dall'ambiente locale | Numero di route annunciate dal gateway | Numero di route apprese dal gateway |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| Prestazioni elevate/ERGw2Az | 2 Gbps | 500 | 9\.500 |
| Prestazioni Ultra/ErGw3Az | 10 Gbps | 500 | 9\.500 |
| ErGwScale (per unità di scala) | 1 Gbps | 500 | 4.000 |
Nota
ExpressRoute può facilitare fino a 11.000 route che si estendono su spazi di indirizzi di rete virtuale, rete locale e connessioni di peering di rete virtuale pertinenti. Per garantire la stabilità della connessione ExpressRoute, evitare di pubblicizzare più di 11.000 route a ExpressRoute.
Risultati delle prestazioni
Questa tabella si applica sia ai modelli di distribuzione di Azure Resource Manager che a quelli di distribuzione classica.
| SKU del gateway | Megabit al secondo | Pacchetti al secondo | Numero di macchine virtuali supportate nella rete virtuale 1 | Limite di numero di flussi |
|---|---|---|---|---|
| Standard/ERGw1Az | 1.000 | 100,000 | 2.000 | 200.000 |
| Prestazioni elevate/ERGw2Az | 2.000 | 200.000 | 4\.500 | 400.000 |
| Prestazioni Ultra/ErGw3Az | 10,000 | 1\.000.000 | 11.000 | 1\.000.000 |
| ErGwScale (per unità di scala) | 1.000 | 100,000 | 2.000 | 100.000 per unità di scala |
1 I valori nella tabella sono stime e variano a seconda dell'utilizzo della CPU del gateway. Se l'utilizzo della CPU è elevato e viene superato il numero di macchine virtuali supportate, il gateway inizierà a eliminare i pacchetti.
Importante
- Le prestazioni dell'applicazione dipendono da vari fattori, ad esempio la latenza end-to-end e il numero di flussi di traffico avviati dall'applicazione. I numeri nella tabella rappresentano il limite massimo che l'applicazione può raggiungere in teoria in un ambiente ideale. Inoltre, Microsoft esegue la manutenzione di routine dell'host e del sistema operativo nel gateway di Rete virtuale ExpressRoute per mantenere l'affidabilità del servizio. Durante un periodo di manutenzione la capacità del piano di controllo e del percorso dati del gateway è ridotta.
- Durante un periodo di manutenzione possono verificarsi problemi di connettività intermittenti alle risorse dell'endpoint privato.
- ExpressRoute supporta una dimensione massima di pacchetti TCP e UDP di 1400 byte. Le dimensioni dei pacchetti maggiori di 1400 byte verranno frammentate.
- Il server di route di Azure può supportare fino a 4000 macchine virtuali. Questo limite include le macchine virtuali nelle reti virtuali con peering. Per altre informazioni, vedere limitazioni del server di route di Azure.
SKU gateway con ridondanza della zona
È possibile distribuire gateway ExpressRoute anche in zone di disponibilità di Azure. Questa configurazione le separa in modo fisico e logico in diverse zone di disponibilità, proteggendo la connettività di rete locale di Azure da errori a livello di zona.
I gateway con ridondanza della zona usano nuovi SKU gateway specifici per il gateway ExpressRoute.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (anteprima)
I nuovi SKU gateway supportano anche altre opzioni di distribuzione per soddisfare meglio le esigenze. Quando si crea un gateway di rete virtuale usando i nuovi SKU del gateway, è possibile distribuire il gateway in una zona specifica. Questo tipo di gateway viene definito gateway a livello di zona. Quando si distribuisce un gateway a livello di zona, tutte le istanze del gateway vengono distribuite nella stessa zona di disponibilità.
Per informazioni sulla migrazione di un gateway ExpressRoute, vedere Migrazione del gateway.
Gateway scalabile ExpressRoute (anteprima)
Lo SKU del gateway di rete virtuale ErGwScale consente di ottenere la connettività a 40 Gbps per le macchine virtuali e gli endpoint privati nella rete virtuale. Questo SKU consente di impostare un'unità di scala minima e massima per l'infrastruttura del gateway di rete virtuale, che viene ridimensionata automaticamente, in base alla larghezza di banda o al numero di flussi attivi. È anche possibile impostare un'unità di scala fissa per mantenere una connettività costante a un valore di larghezza di banda desiderato.
Distribuzione della zona di disponibilità e disponibilità a livello di area
ErGwScale supporta distribuzioni sia di zona che con ridondanza della zona nelle zone di disponibilità di Azure. Per altre informazioni su questi concetti, vedere la documentazione relativa ai servizi con ridondanza della zona e della zona.
ErGwScale è disponibile in anteprima nelle aree seguenti:
- Australia orientale
- Brasile meridionale
- Canada centrale
- Stati Uniti orientali
- Asia orientale
- Francia centrale
- Germania centro-occidentale
- India centrale
- Italia settentrionale
- Europa settentrionale
- Norvegia orientale
- Svezia centrale
- Emirati Arabi Uniti settentrionali
- Regno Unito meridionale
- West US 2
- Stati Uniti occidentali 3
Scalabilità automatica e unità di scala fissa
L'infrastruttura del gateway di rete virtuale viene ridimensionata automaticamente tra l'unità di scala minima e massima configurata, in base all'utilizzo della larghezza di banda o del numero di flussi. Il completamento delle operazioni di scalabilità potrebbe richiedere fino a 30 minuti. Se si vuole ottenere una connettività fissa a un valore di larghezza di banda specifico, è possibile configurare un'unità di scala fissa impostando l'unità di scala minima e l'unità di scala massima sullo stesso valore.
Limiti
- IP di base: ErGwScale non supporta l'IP di base SKU. È necessario usare un IP Standard SKU per configurare ErGwScale.
- Unità di scala minima e massima: è possibile configurare l'unità di scala per ErGwScale tra 1 e 40. L'unità di scala minima non può essere inferiore a 1 e l'unità di scala massima non può essere superiore a 40.
- Scenari di migrazione: non è possibile eseguire la migrazione da Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az a ErGwScale nell'anteprima pubblica.
Prezzi
ErGwScale è gratuito durante l'anteprima pubblica. Per informazioni sui prezzi di ExpressRoute, vedere Prezzi di Azure ExpressRoute.
Prestazioni stimate per unità di scala
Prestazioni supportate per unità di scala
| Unità di scala | Larghezza di banda (Gbps) | Pacchetti al secondo | Connessioni al secondo | Numero massimo di connessioni alle macchine virtuali 1 | Numero massimo di flussi |
|---|---|---|---|---|---|
| 1-10 | 1 | 100,000 | 7.000 | 2.000 | 100,000 |
| 11-40 | 1 | 100,000 | 7.000 | 1\.000 | 100,000 |
Prestazioni di esempio con unità di scala
| Unità di scala | Larghezza di banda (Gbps) | Pacchetti al secondo | Connessioni al secondo | Numero massimo di connessioni alle macchine virtuali 1 | Numero massimo di flussi |
|---|---|---|---|---|---|
| 10 | 10 | 1\.000.000 | 70.000 | 20.000 | 1\.000.000 |
| 20 | 20 | 2.000.000 | 140.000 | 30.000 | 2.000.000 |
| 40 | 40 | 4.000.000 | 280.000 | 50,000 | 4.000.000 |
1 il numero massimo di connessioni alle macchine virtuali viene ridimensionato in modo diverso oltre le 10 unità di scala. Le prime 10 unità di scala forniscono capacità per 2.000 VM per unità di scala. Le unità di scala 11 e successive offrono 1.000 capacità di macchine virtuali per unità di scala.
Connettività da rete virtuale a rete virtuale e da rete virtuale a rete WAN virtuale
Per impostazione predefinita, la connettività da rete virtuale a rete virtuale e da rete virtuale a rete WAN virtuale è disabilitata tramite un circuito ExpressRoute per tutti gli SKU del gateway. Per abilitare questa connettività, è necessario configurare il gateway di rete virtuale ExpressRoute per consentire questo traffico. Per altre informazioni, vedere indicazioni sulla connettività di rete virtuale tramite ExpressRoute. Per abilitare questo traffico, vedere Abilitare la connettività da rete virtuale a rete virtuale o da rete virtuale alla rete WAN virtuale tramite ExpressRoute.
FastPath
Il gateway di rete virtuale di ExpressRoute è progettato per scambiare le route di rete e instradare il traffico di rete. FastPath è progettato per migliorare le prestazioni del percorso dei dati tra la rete locale e la rete virtuale. Se abilitato, FastPath invia il traffico di rete direttamente alle macchine virtuali nella rete virtuale, ignorando il gateway.
Per altre informazioni su FastPath, incluse limitazioni e requisiti, vedere Informazioni su FastPath.
Connettività agli endpoint privati
Il gateway di rete virtuale ExpressRoute facilita la connettività agli endpoint privati distribuiti nella stessa rete virtuale del gateway di rete virtuale e tra peer di rete virtuale.
Importante
- La capacità del piano di controllo e velocità effettiva per la connettività alle risorse dell'endpoint privato può essere ridotta di metà rispetto alla connettività alle risorse non private-endpoint.
- Durante un periodo di manutenzione possono verificarsi problemi di connettività intermittenti alle risorse dell'endpoint privato.
- È necessario assicurarsi che la configurazione locale, incluse le impostazioni del router e del firewall, sia effettuata correttamente per garantire che i pacchetti per l'IP a 5 tuple vengano inoltrati tramite un unico hop successivo (router Microsoft Enterprise Edge, MSEE) a meno che non si verifichi un evento di manutenzione. Se la configurazione del firewall o del router locale dell'utente causa spesso l'uso di un hop successivo diverso per lo stesso IP a 5 tuple, l'utente riscontrerà problemi di connettività.
Connettività dell'endpoint privato ed eventi di manutenzione pianificata
La connettività dell'endpoint privato è con stato. Quando viene stabilita una connessione a un endpoint privato tramite il peering privato di ExpressRoute, le connessioni in ingresso e in uscita vengono instradate tramite una delle istanze back-end dell'infrastruttura del gateway. Durante un evento di manutenzione, le istanze back-end dell'infrastruttura del gateway di rete virtuale vengono riavviate una alla volta, il che potrebbe causare problemi di connettività intermittenti.
Per evitare o ridurre al minimo i problemi di connettività con gli endpoint privati durante le attività di manutenzione, è consigliabile impostare il valore di timeout TCP affinché sia compreso tra 15 e 30 secondi nelle applicazioni locali. Testare e configurare il valore ottimale in base ai requisiti dell'applicazione.
API REST e cmdlet PowerShell
Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST e i cmdlet PowerShell per le configurazioni di gateway di rete virtuale, consultare le pagine seguenti:
| Classico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Configurare la connettività tra reti virtuali
Per impostazione predefinita, la connettività tra reti virtuali è abilitata quando si collegano più reti virtuali allo stesso circuito ExpressRoute. Microsoft consiglia di non usare il circuito ExpressRoute per la comunicazione tra reti virtuali. È invece consigliabile usare il peering di reti virtuali. Per altre informazioni sul motivo per cui la connettività da rete virtuale a rete virtuale non è consigliata tramite ExpressRoute, vedere Connettività tra reti virtuali tramite ExpressRoute.
Peering di rete virtuale
Una rete virtuale con un gateway ExpressRoute può avere un peering di reti virtuali con un massimo di 500 altre reti virtuali. Il peering di reti virtuali senza un gateway ExpressRoute potrebbe avere una limitazione del peering superiore.
Passaggi successivi
Per altre informazioni sulle configurazioni di connessione disponibili, vedere Panoramica di ExpressRoute.
Per altre informazioni sulla creazione di gateway ExpressRoute, vedere Creare un gateway di rete virtuale per ExpressRoute.
Per altre informazioni su come distribuire ErGwScale, vedere Configurare un gateway di rete virtuale per ExpressRoute usando il portale di Azure.
Per altre informazioni sulla configurazione dei gateway con ridondanza della zona, vedere Creare un gateway di rete virtuale con ridondanza della zona.
Per altre informazioni su FastPath, vedere Informazioni su FastPath.