オペレーター向けの Azure Stack Hub VPN ファースト パス

  • [アーティクル]

Azure Stack Hub VPN 高速機能とは

Azure Stack Hub では、VPN 高速機能の一部として、この記事で説明されている 3 つの新しい SKU が導入されています。 以前は、S2S トンネルは HighPerformance SKU を使用して最大帯域幅 200 Mbps に制限されていました。 新しい SKU を使用すると、より高いネットワーク スループットが必要な顧客シナリオが可能になります。 各 SKU のスループット値は一方向の値です。つまり、送受信トラフィックのいずれかで指定されたスループットがサポートされます。

新しい VPN 高速機能仮想ネットワーク ゲートウェイ SKU

Azure Stack Hub の VPN 高速機能の導入により、テナント ユーザーは 3 つの新しい SKU を使用して VPN 接続を作成できます。

  • Basic
  • Standard
  • 高性能
  • VpnGw1 (新規)
  • VpnGw2 (新規)
  • VpnGw3 (新規)

Azure Stack Hub VPN ファースト パスを有効にする前の重要な考慮事項

更新プロセスを可能な限りスムーズに進め、ユーザーへの影響を最小限に抑えるためには、Azure Stack Hub スタンプを準備することが重要です。

VPN 高速機能を有効にする Azure Stack Hub オペレーターは、テナント ユーザーと調整して、変更が発生する可能性のあるメンテナンス期間をスケジュールすることをお勧めします。 VPN 接続サービスの停止の可能性をユーザーに通知し、こちらの手順に従って、スタンプを更新用に準備します。

VPN 高速機能には、リモート VPN デバイス上の NAT-T が必要です

Azure Stack Hub VPN Fast Path は、新しい SDN ゲートウェイ サービスに依存しており、計画時に新しい要件が付属しています。

VPN 高速機能を有効にする前にテナント ユーザーを使用して計画する

  • 既存の仮想ネットワーク ゲートウェイ リソース設定の一覧。
  • 既存の接続リソース設定の一覧。
  • 既存の接続で使用される IPSec ポリシーと設定の一覧。
    • この手順により、ユーザーは、カスタム IPSec ポリシーを含め、デバイスで動作するポリシーが構成されます。
  • ローカル ネットワーク ゲートウェイの設定を一覧表示します。 テナント ユーザーは、ローカル ネットワーク ゲートウェイのリソースと構成を再利用できます。 ただし、再作成する必要がある場合に備えて、既存の構成を保存することもお勧めします。
  • VPN 高速機能が有効になったら、新しい SKU を使用する場合は、必要に応じて仮想ネットワーク ゲートウェイと接続を再作成する必要があります。

VPN 高速機能のリリースでは、オペレーターが を呼び出して、テナントによって作成されたすべての既存の接続を一覧表示できる新しい PowerShell コマンドがあります。 このコマンドレットは、オペレーターが容量を管理し、Virtual Network ゲートウェイを再作成する必要がある場合にテナント管理者に連絡するのに役立ちます。

Get-AzsVirtualNetworkGatewayConnection

詳細については、「 Get-AzsVirtualNetworkGatewayConnection」を参照してください。

Azure Stack Hub VPN ファースト パスを有効にする方法

VPN 高速機能を使用すると、オペレーターは次の PowerShell コマンドを使用して新機能を有効にすることができます。 機能が一般提供に達すると、オペレーターは Azure Stack Hub 管理者ポータルを使用して機能を有効にすることもできます。

仮想ネットワーク ゲートウェイとその接続を新しい SKU の 1 つで再作成することで、既存のセットアップを調整できます。

PowerShell を使用して Azure Stack Hub VPN ファースト パスを有効にする

Azure Stack Hub 特権エンドポイントから、次の PowerShell コマンドを実行して VPN 高速機能を有効にすることができます。

Azure Stack Hub PEP の詳細については、「 アクセス特権エンドポイント」を参照してください。

Set-AzSVPNFastPath -Enable

高速機能を有効にするための PowerShell コマンドを示すスクリーンショット。

PowerShell を使用して Azure Stack Hub VPN 高速機能が有効になっていることを検証する

VPN 高速機能を有効にすると、次の PowerShell コマンドを使用して、ゲートウェイ VM の現在の状態と使用された容量を検証できます。

Get-AzSVPNFastPath

PowerShell 検証を示すスクリーンショット。

PowerShell を使用して Azure Stack Hub VPN ファースト パスを無効にする

Set-AzSVPNFastPath -Disable

VPN 高速機能を無効にする必要がある場合は、まずテナントと連携して、VPN 高速機能 SKU を使用してすべてのVirtual Network ゲートウェイを削除して再作成する必要があります。 VPN 高速機能を有効にするとスタンプ VPN 容量が増えるので、Azure Stack Hub で VPN 高速機能を使用していない場合、使用中の容量全体が合計容量を超える場合、VPN 高速機能を無効にすることはできません。

Azure Stack Hub ゲートウェイ プールのアーキテクチャ

Azure Stack Hub には 3 つのマルチテナント ゲートウェイ インフラストラクチャ VM があります。 これらの VM のうち 2 つはアクティブ モードで、3 つ目は冗長モードです。 アクティブな VM ではその上に VPN 接続を作成でき、冗長 VM ではフェールオーバーが発生した場合に VPN 接続のみを受け入れます。 アクティブなゲートウェイ VM が使用できなくなった場合、短い時間 (数秒) 接続が失われた後に、VPN 接続が冗長 VM にフェールオーバーします。

VM にパッチが適用され、ライブ マイグレーションされるため、ゲートウェイ接続フェールオーバーは OEM または Azure Stack Hub の更新中に想定されます。 このフェールオーバーにより、トンネルが一時的に切断される可能性があります。

VPN 高速機能のフェールオーバーを示す概念図。

新しいゲートウェイ プールの合計容量

Azure Stack Hub スタンプのゲートウェイ プールの全体的な容量は 4 Gbps です。 この容量は 2 つの Active Gateway VM に分割され、各ゲートウェイ VM で最大 2 Gbps のスループットがサポートされます。 接続リソースが作成されると、その SKU がゲートウェイ VM に 2 回予約されます。 この設計により、ユーザー ワークロードの要件に応じて、TX または Rx トラフィックで SKU の最大スループット (1 方向で測定) に到達できるようになります。

たとえば、 HighPerformance SKU では、ゲートウェイ VM に 400 Mbps が予約されます (Tx の場合は 200、Rx の場合は 200)。 つまり、既存のエンジンでは、 HighPerformance 接続によってゲートウェイ プールの容量全体の 1/10 が予約されます。

次の表は、VPN 高速機能が無効になっている場合のゲートウェイ SKU ごとの各トンネル/接続のゲートウェイの種類と推定される集計スループットを示しています。

SKU 最大 VPN 接続スループット (1) アクティブな GW VM あたりの VPN Connectionsの最大数 スタンプあたりの VPN Connectionsの最大数 (2)
Basic(3) 100 Mbps Tx/Rx 10 20
Standard 100 Mbps Tx/Rx 10 20
高パフォーマンス 200 Mbps Tx/Rx 5 10

(1) - トンネル スループットは、インターネット経由のクロスプレミス接続の保証されたスループットではありません。これは、可能な最大スループット測定です。 一方向の集計の合計は 2 Gbps です。
(2) - トンネルの最大数は、すべてのサブスクリプションの Azure Stack Hub デプロイごとの合計です。
(3) - Basic SKU に対しては BGP ルーティングはサポートされません。

VPN 高速パスが無効であることを示す概念図。

VPN 高速機能が有効になっている SKU ごとの推定集計トンネル スループット

オペレーターが Azure Stack Hub スタンプで VPN ファースト パスを有効にすると、ゲートウェイ プールの全体的な容量が 10 Gbps に増加します。 容量は 2 つのアクティブなゲートウェイ VM 間で分割されるため、各ゲートウェイ VM の容量は 5 Gbps です。 各接続に予約されている容量の量は、前のセクションで説明した容量と同じです。 そのため、VpnGw3 SKU (1250 Mbps) では、ゲートウェイ VM に 2500 Mbps の容量が予約されます。

SKU 最大 VPN 接続スループット (1) アクティブな GW VM あたりの VPN Connectionsの最大数 スタンプあたりの VPN Connectionsの最大数 (2)
Basic(3) 100 Mbps Tx/Rx 25 50
Standard 100 Mbps Tx/Rx 25 50
高パフォーマンス 200 Mbps Tx/Rx 12 24
VPNGw1 650 Mbps Tx/Rx 3 6
VPNGw2 1000 Mbps Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

(1) - トンネル スループットは、インターネット経由のクロスプレミス接続の保証されたスループットではありません。これは、可能な最大スループット測定です。 一方向の集計の合計は 5 Gbps です。
(2) - トンネルの最大数は、すべてのサブスクリプションの Azure Stack Hub デプロイごとの合計です。
(3) - Basic SKU に対しては BGP ルーティングはサポートされません。

VPN 高速機能が有効になっていることを示す概念図。

次のステップ