Che cos'è Gateway VPN di Azure?

Azure Gateway VPN è un servizio che usa un tipo specifico di gateway di rete virtuale per inviare traffico crittografato tra una rete virtuale di Azure e le posizioni locali tramite Internet pubblico. È anche possibile usare Gateway VPN per inviare traffico crittografato tra reti virtuali di Azure tramite la rete Microsoft. È possibile creare più connessioni allo stesso gateway VPN. Quando si creano più connessioni, tutti i tunnel VPN condividono la larghezza di banda disponibile per il gateway.

Informazioni sui gateway VPN

Un gateway VPN è un tipo di gateway di rete virtuale, Un gateway di rete virtuale è costituito da due o più macchine virtuali gestite da Azure configurate e distribuite automaticamente in una subnet specifica creata denominata GatewaySubnet. Le macchine virtuali di un gateway contengono tabelle di routing ed eseguono servizi gateway specifici.

Una delle impostazioni specificate durante la creazione di un gateway di rete virtuale è il "tipo di gateway". Il tipo di gateway determina come verrà usato il gateway di rete virtuale e le azioni che dovrà eseguire. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Il tipo di gateway "Vpn" specifica che il tipo di gateway di rete virtuale creato è un gateway VPN. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso. Per altre informazioni, vedere Tipi di gateway.

Quando si crea un gateway VPN, le macchine virtuali del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni specificate. Il completamento di questo processo può richiedere 45 minuti o più, a seconda dello SKU del gateway selezionato. Dopo aver creato un gateway VPN, è possibile configurare le connessioni. Ad esempio, è possibile creare una connessione tunnel VPN IPsec/IKE tra il gateway VPN e un altro gateway VPN (da rete virtuale a rete virtuale) oppure creare una connessione tunnel VPN IPsec/IKE cross-premise tra il gateway VPN e un dispositivo VPN locale (da sito a sito). È anche possibile creare una connessione VPN da punto a sito (VPN su OpenVPN, IKEv2 o SSTP), che consente di connettersi alla rete virtuale da una posizione remota, ad esempio in una conferenza o da casa.

Configurazione di Gateway VPN

Una connessione gateway VPN si basa su più risorse configurate con impostazioni specifiche. La maggior parte delle risorse può essere configurata separatamente, anche se alcune risorse devono essere configurate in un determinato ordine.

Connettività

Poiché è possibile creare più configurazioni di connessione usando Gateway VPN, è necessario determinare la configurazione più adatta alle proprie esigenze. Le connessioni Da punto a sito, da sito a sito e expressroute/da sito a sito coesistono hanno tutte istruzioni e requisiti di configurazione diversi. Per i diagrammi di connessione e i collegamenti corrispondenti ai passaggi di configurazione, vedere Gateway VPN progettazione.

Tabella di pianificazione

La tabella seguente può aiutare nella scelta della migliore opzione di connettività per la soluzione. Si noti che ExpressRoute non fa parte di Gateway VPN, ma è incluso nella tabella.

Da punto a sito Da sito a sito ExpressRoute
Servizi supportati di Azure Servizi cloud e Macchine virtuali Servizi cloud e Macchine virtuali Elenco dei servizi
Larghezze di banda tipiche Basate sullo SKU del gateway Aggregazione di 10 Gbps in genere < 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps
Protocolli supportati SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec IPsec Connessione diretta su VLAN, tecnologie VPN del provider (MPLS, VPLS, ecc.)
Routing RouteBased (dinamico) Sono supportati il routing PolicyBased (routing statico) e il routing RouteBased (VPN routing dinamico) BGP
Resilienza della connessione attiva-passiva attiva-passiva o attiva-attiva attiva-attiva
Caso d'uso tipico Proteggere l'accesso alle reti virtuali di Azure per gli utenti remoti Scenari di sviluppo/test/laboratorio e carichi di lavoro di produzione su piccola e media scala per servizi cloud e macchine virtuali Accesso a tutti i servizi di Azure (elenco convalidato), carichi di lavoro aziendali e di importanza strategica, backup, Big Data, Azure come sito di ripristino di emergenza
Contratto di servizio Contratto di servizio Contratto di servizio Contratto di servizio
Prezzi Prezzi Prezzi Prezzi
Documentazione tecnica Gateway VPN Gateway VPN ExpressRoute
Domande frequenti Domande frequenti sul gateway VPN Domande frequenti sul gateway VPN Domande frequenti su ExpressRoute

Impostazioni

Le impostazioni scelte per ogni risorsa sono fondamentali per creare una connessione corretta. Per informazioni sulle singole risorse e le impostazioni per il gateway VPN, vedere Informazioni sulle impostazioni del gateway VPN. L'articolo contiene informazioni su tipi di gateway, SKU dei gateway, tipi di VPN, tipi di connessione, subnet dei gateway, gateway di rete locale e diverse altre impostazioni delle risorse che potrebbero risultare utili.

Strumenti di distribuzione

È possibile iniziare a creare e configurare le risorse usando uno strumento di configurazione, ad esempio il portale di Azure, e successivamente decidere di passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o eventualmente modificare quelle esistenti. Attualmente, non è possibile configurare tutte le risorse e le relative impostazioni nel portale di Azure. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.

SKU del gateway

Quando si crea un gateway di rete virtuale, specificare lo SKU del gateway da usare. Selezionare lo SKU che soddisfa i requisiti relativi a tipi di carichi di lavoro, velocità effettive, funzionalità e contratti di servizio.

SKU del gateway per tunnel, connessione e velocità effettiva

Connessione
Gateway
Generazione
SKU S2S/Da rete virtuale a rete virtuale
Tunnel
Da punto a sito
Connessioni SSTP
Da punto a sito
Connessioni IKEv2/OpenVPN
Aggregazione
Benchmark velocità effettiva
BGP Zone-redundant
Generation1 Base Max. 10 Max. 128 Non supportato 100 Mbps Non supportato No
Generation1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbps Supportato No
Generation1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbps Supportato No
Generation1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbps Supportato No
Generation1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mbps Supportato
Generation1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbps Supportato
Generation1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbps Supportato
Generation2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbps Supportato No
Generation2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbps Supportato No
Generation2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbps Supportato No
Generation2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbps Supportato No
Generation2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbps Supportato
Generation2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbps Supportato
Generation2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbps Supportato
Generation2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbps Supportato

(*) Usare rete WAN virtuale se sono necessari più di 100 tunnel VPN S2S.

  • Il ridimensionamento degli SKU VpnGw è consentito all'interno della stessa generazione, eccetto il ridimensionamento dello SKU Basic. Lo SKU Basic è uno SKU legacy e presenta alcune limitazioni in termini di funzionalità. Per passare da Basic a un altro SKU, è necessario eliminare il gateway VPN SKU di base e creare un nuovo gateway con la combinazione di dimensioni di generazione e SKU desiderate. Vedere Uso degli SKU legacy.

  • Questi limiti di connessione sono separati. Ad esempio, è possibile avere 128 connessioni SSTP e anche 250 connessioni IKEv2 in uno SKU VpnGw1.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).

  • Se si dispone di molte connessioni P2S, può influire negativamente sulle connessioni S2S. I benchmark di velocità effettiva aggregati sono stati testati ottimizzando una combinazione di connessioni S2S e P2S. Una singola connessione P2S o S2S può avere una velocità effettiva molto inferiore.

  • Si noti che tutti i benchmark non sono garantiti a causa delle condizioni di traffico Internet e dei comportamenti dell'applicazione

Per aiutare i clienti a comprendere le prestazioni relative degli SKU usando algoritmi diversi, sono stati usati strumenti iPerf e CTSTraffic disponibili pubblicamente per misurare le prestazioni per le connessioni da sito a sito. La tabella seguente elenca i risultati dei test delle prestazioni per SKU VpnGw. È possibile notare come si ottengano le prestazioni migliori quando viene usato l'algoritmo GCMAES256 per la crittografia e l'integrità IPsec. Quando viene usato AES256 per la crittografia IPsec e SHA256 per l'integrità, si ottengono prestazioni medie. Quando infine viene usato DES3 per la crittografia IPsec e SHA256 per l'integrità, si ottengono le prestazioni più basse.

Un tunnel VPN si connette a un'istanza del gateway VPN. Ogni velocità effettiva dell'istanza è menzionata nella tabella di velocità effettiva precedente ed è disponibile aggregata in tutti i tunnel che si connettono a tale istanza.

La tabella seguente mostra la larghezza di banda e i pacchetti osservati al secondo per ogni tunnel per gli SKU del gateway diversi. Tutti i test sono stati eseguiti tra gateway (endpoint) in Azure in aree diverse con 100 connessioni e in condizioni di carico standard.

Generazione SKU Algoritmi
Utilizzato
Velocità effettiva
osservato per tunnel
Pacchetti al secondo per tunnel
Osservato
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
Generation1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66,000
13,000
Generation1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Generation1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66,000
13,000
Generation2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52,000
12,000
Generation2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52,000
12,000
Generation2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Zone di disponibilità

I gateway VPN possono essere distribuiti nelle zone di disponibilità di Azure. In questo modo, i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Vedere Informazioni sui gateway di rete virtuale con ridondanza della zona in Azure zone di disponibilità.

Prezzi

Si pagano due cose: i costi di calcolo orari per il gateway di rete virtuale e il trasferimento dei dati in uscita dal gateway di rete virtuale. Le informazioni sui prezzi sono disponibili nella pagina Prezzi . Per informazioni sui prezzi degli SKU di gateway legacy, vedere la pagina dei prezzi di ExpressRoute e scorrere fino alla sezione Gateway di rete virtuale.

Costi di calcolo per il gateway di rete virtuale
Ogni gateway di rete virtuale ha un costo di calcolo orario. Il prezzo dipende dallo SKU del gateway specificato quando si crea un gateway di rete virtuale. Il costo è relativo al gateway in sé e va aggiunto al trasferimento dei dati che passano dal gateway. Il costo delle configurazioni attiva/attiva e attiva-passiva è equivalente.

Costi di trasferimento dati
I costi per il trasferimento dei dati vengono calcolati in base al traffico in uscita dal gateway di rete virtuale di origine.

  • Se si invia il traffico al dispositivo VPN locale, verrà addebitato il costo della velocità di trasferimento dei dati in uscita Internet.
  • Se si invia il traffico tra reti virtuali in aree diverse, i prezzi si basano sull'area.
  • Se si invia il traffico solo tra reti virtuali che si trovano nella stessa area, non sono previsti costi di dati. Il traffico tra reti virtuali nella stessa area è gratuito.

Per informazioni sugli SKU del gateway VPN, vedere SKU del gateway.

Domande frequenti

Per le domande frequenti sul gateway VPN, vedere le Domande frequenti su Gateway VPN.

Novità

Sottoscrivere il feed RSS e visualizzare gli aggiornamenti più recenti delle funzionalità di Gateway VPN nella pagina Aggiornamenti di Azure.

Passaggi successivi