Che cos'è Gateway VPN di Azure?
Azure Gateway VPN è un servizio che usa un tipo specifico di gateway di rete virtuale per inviare traffico crittografato tra una rete virtuale di Azure e le posizioni locali tramite Internet pubblico. È anche possibile usare Gateway VPN per inviare traffico crittografato tra reti virtuali di Azure tramite la rete Microsoft. È possibile creare più connessioni allo stesso gateway VPN. Quando si creano più connessioni, tutti i tunnel VPN condividono la larghezza di banda disponibile per il gateway.
Informazioni sui gateway VPN
Un gateway VPN è un tipo di gateway di rete virtuale, Un gateway di rete virtuale è costituito da due o più macchine virtuali gestite da Azure configurate e distribuite automaticamente in una subnet specifica creata denominata GatewaySubnet. Le macchine virtuali di un gateway contengono tabelle di routing ed eseguono servizi gateway specifici.
Una delle impostazioni specificate durante la creazione di un gateway di rete virtuale è il "tipo di gateway". Il tipo di gateway determina come verrà usato il gateway di rete virtuale e le azioni che dovrà eseguire. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Il tipo di gateway "Vpn" specifica che il tipo di gateway di rete virtuale creato è un gateway VPN. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso. Per altre informazioni, vedere Tipi di gateway.
Quando si crea un gateway VPN, le macchine virtuali del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni specificate. Il completamento di questo processo può richiedere 45 minuti o più, a seconda dello SKU del gateway selezionato. Dopo aver creato un gateway VPN, è possibile configurare le connessioni. Ad esempio, è possibile creare una connessione tunnel VPN IPsec/IKE tra il gateway VPN e un altro gateway VPN (da rete virtuale a rete virtuale) oppure creare una connessione tunnel VPN IPsec/IKE cross-premise tra il gateway VPN e un dispositivo VPN locale (da sito a sito). È anche possibile creare una connessione VPN da punto a sito (VPN su OpenVPN, IKEv2 o SSTP), che consente di connettersi alla rete virtuale da una posizione remota, ad esempio in una conferenza o da casa.
Configurazione di Gateway VPN
Una connessione gateway VPN si basa su più risorse configurate con impostazioni specifiche. La maggior parte delle risorse può essere configurata separatamente, anche se alcune risorse devono essere configurate in un determinato ordine.
Connettività
Poiché è possibile creare più configurazioni di connessione usando Gateway VPN, è necessario determinare la configurazione più adatta alle proprie esigenze. Le connessioni Da punto a sito, da sito a sito e expressroute/da sito a sito coesistono hanno tutte istruzioni e requisiti di configurazione diversi. Per i diagrammi di connessione e i collegamenti corrispondenti ai passaggi di configurazione, vedere Gateway VPN progettazione.
- Connessioni VPN da sito a sito
- Connessioni VPN da punto a sito
- Connessioni VPN da rete virtuale a rete virtuale
Tabella di pianificazione
La tabella seguente può aiutare nella scelta della migliore opzione di connettività per la soluzione. Si noti che ExpressRoute non fa parte di Gateway VPN, ma è incluso nella tabella.
Da punto a sito | Da sito a sito | ExpressRoute | |
---|---|---|---|
Servizi supportati di Azure | Servizi cloud e Macchine virtuali | Servizi cloud e Macchine virtuali | Elenco dei servizi |
Larghezze di banda tipiche | Basate sullo SKU del gateway | Aggregazione di 10 Gbps in genere < | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps |
Protocolli supportati | SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec | IPsec | Connessione diretta su VLAN, tecnologie VPN del provider (MPLS, VPLS, ecc.) |
Routing | RouteBased (dinamico) | Sono supportati il routing PolicyBased (routing statico) e il routing RouteBased (VPN routing dinamico) | BGP |
Resilienza della connessione | attiva-passiva | attiva-passiva o attiva-attiva | attiva-attiva |
Caso d'uso tipico | Proteggere l'accesso alle reti virtuali di Azure per gli utenti remoti | Scenari di sviluppo/test/laboratorio e carichi di lavoro di produzione su piccola e media scala per servizi cloud e macchine virtuali | Accesso a tutti i servizi di Azure (elenco convalidato), carichi di lavoro aziendali e di importanza strategica, backup, Big Data, Azure come sito di ripristino di emergenza |
Contratto di servizio | Contratto di servizio | Contratto di servizio | Contratto di servizio |
Prezzi | Prezzi | Prezzi | Prezzi |
Documentazione tecnica | Gateway VPN | Gateway VPN | ExpressRoute |
Domande frequenti | Domande frequenti sul gateway VPN | Domande frequenti sul gateway VPN | Domande frequenti su ExpressRoute |
Impostazioni
Le impostazioni scelte per ogni risorsa sono fondamentali per creare una connessione corretta. Per informazioni sulle singole risorse e le impostazioni per il gateway VPN, vedere Informazioni sulle impostazioni del gateway VPN. L'articolo contiene informazioni su tipi di gateway, SKU dei gateway, tipi di VPN, tipi di connessione, subnet dei gateway, gateway di rete locale e diverse altre impostazioni delle risorse che potrebbero risultare utili.
Strumenti di distribuzione
È possibile iniziare a creare e configurare le risorse usando uno strumento di configurazione, ad esempio il portale di Azure, e successivamente decidere di passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o eventualmente modificare quelle esistenti. Attualmente, non è possibile configurare tutte le risorse e le relative impostazioni nel portale di Azure. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.
SKU del gateway
Quando si crea un gateway di rete virtuale, specificare lo SKU del gateway da usare. Selezionare lo SKU che soddisfa i requisiti relativi a tipi di carichi di lavoro, velocità effettive, funzionalità e contratti di servizio.
- Per altre informazioni sugli SKU del gateway, tra cui funzionalità supportate, produzione, sviluppo e test e procedure di configurazione, vedere la sezione SKU del gateway dell'articolo sulle impostazioni del gateway VPN.
- Per informazioni sugli SKU legacy, vedere l'articolo sull'uso di SKU legacy.
- Lo SKU Basic non supporta IPv6.
SKU del gateway per tunnel, connessione e velocità effettiva
Connessione Gateway Generazione |
SKU | S2S/Da rete virtuale a rete virtuale Tunnel |
Da punto a sito Connessioni SSTP |
Da punto a sito Connessioni IKEv2/OpenVPN |
Aggregazione Benchmark velocità effettiva |
BGP | Zone-redundant |
---|---|---|---|---|---|---|---|
Generation1 | Base | Max. 10 | Max. 128 | Non supportato | 100 Mbps | Non supportato | No |
Generation1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supportato | No |
Generation1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supportato | No |
Generation1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supportato | No |
Generation1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supportato | Sì |
Generation1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supportato | Sì |
Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supportato | Sì |
Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supportato | No |
Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Supportato | No |
Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supportato | No |
Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supportato | No |
Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supportato | Sì |
Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Supportato | Sì |
Generation2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supportato | Sì |
Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supportato | Sì |
(*) Usare rete WAN virtuale se sono necessari più di 100 tunnel VPN S2S.
Il ridimensionamento degli SKU VpnGw è consentito all'interno della stessa generazione, eccetto il ridimensionamento dello SKU Basic. Lo SKU Basic è uno SKU legacy e presenta alcune limitazioni in termini di funzionalità. Per passare da Basic a un altro SKU, è necessario eliminare il gateway VPN SKU di base e creare un nuovo gateway con la combinazione di dimensioni di generazione e SKU desiderate. Vedere Uso degli SKU legacy.
Questi limiti di connessione sono separati. Ad esempio, è possibile avere 128 connessioni SSTP e anche 250 connessioni IKEv2 in uno SKU VpnGw1.
Le informazioni sui prezzi sono disponibili nella pagina Prezzi .
Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).
Se si dispone di molte connessioni P2S, può influire negativamente sulle connessioni S2S. I benchmark di velocità effettiva aggregati sono stati testati ottimizzando una combinazione di connessioni S2S e P2S. Una singola connessione P2S o S2S può avere una velocità effettiva molto inferiore.
Si noti che tutti i benchmark non sono garantiti a causa delle condizioni di traffico Internet e dei comportamenti dell'applicazione
Per aiutare i clienti a comprendere le prestazioni relative degli SKU usando algoritmi diversi, sono stati usati strumenti iPerf e CTSTraffic disponibili pubblicamente per misurare le prestazioni per le connessioni da sito a sito. La tabella seguente elenca i risultati dei test delle prestazioni per SKU VpnGw. È possibile notare come si ottengano le prestazioni migliori quando viene usato l'algoritmo GCMAES256 per la crittografia e l'integrità IPsec. Quando viene usato AES256 per la crittografia IPsec e SHA256 per l'integrità, si ottengono prestazioni medie. Quando infine viene usato DES3 per la crittografia IPsec e SHA256 per l'integrità, si ottengono le prestazioni più basse.
Un tunnel VPN si connette a un'istanza del gateway VPN. Ogni velocità effettiva dell'istanza è menzionata nella tabella di velocità effettiva precedente ed è disponibile aggregata in tutti i tunnel che si connettono a tale istanza.
La tabella seguente mostra la larghezza di banda e i pacchetti osservati al secondo per ogni tunnel per gli SKU del gateway diversi. Tutti i test sono stati eseguiti tra gateway (endpoint) in Azure in aree diverse con 100 connessioni e in condizioni di carico standard.
Generazione | SKU | Algoritmi Utilizzato |
Velocità effettiva osservato per tunnel |
Pacchetti al secondo per tunnel Osservato |
---|---|---|---|---|
Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120.000 66,000 13,000 |
Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120.000 66,000 13,000 |
Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120.000 52,000 12,000 |
Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120.000 52,000 12,000 |
Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Zone di disponibilità
I gateway VPN possono essere distribuiti nelle zone di disponibilità di Azure. In questo modo, i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Vedere Informazioni sui gateway di rete virtuale con ridondanza della zona in Azure zone di disponibilità.
Prezzi
Si pagano due cose: i costi di calcolo orari per il gateway di rete virtuale e il trasferimento dei dati in uscita dal gateway di rete virtuale. Le informazioni sui prezzi sono disponibili nella pagina Prezzi . Per informazioni sui prezzi degli SKU di gateway legacy, vedere la pagina dei prezzi di ExpressRoute e scorrere fino alla sezione Gateway di rete virtuale.
Costi di calcolo per il gateway di rete virtuale
Ogni gateway di rete virtuale ha un costo di calcolo orario. Il prezzo dipende dallo SKU del gateway specificato quando si crea un gateway di rete virtuale. Il costo è relativo al gateway in sé e va aggiunto al trasferimento dei dati che passano dal gateway. Il costo delle configurazioni attiva/attiva e attiva-passiva è equivalente.
Costi di trasferimento dati
I costi per il trasferimento dei dati vengono calcolati in base al traffico in uscita dal gateway di rete virtuale di origine.
- Se si invia il traffico al dispositivo VPN locale, verrà addebitato il costo della velocità di trasferimento dei dati in uscita Internet.
- Se si invia il traffico tra reti virtuali in aree diverse, i prezzi si basano sull'area.
- Se si invia il traffico solo tra reti virtuali che si trovano nella stessa area, non sono previsti costi di dati. Il traffico tra reti virtuali nella stessa area è gratuito.
Per informazioni sugli SKU del gateway VPN, vedere SKU del gateway.
Domande frequenti
Per le domande frequenti sul gateway VPN, vedere le Domande frequenti su Gateway VPN.
Novità
Sottoscrivere il feed RSS e visualizzare gli aggiornamenti più recenti delle funzionalità di Gateway VPN nella pagina Aggiornamenti di Azure.