Info over virtuele ExpressRoute-netwerkgateways voor meer informatie over de virtuele ExpressRoute-netwerkgateway
Als u uw virtuele Azure-netwerk en uw on-premises netwerk wilt verbinden met behulp van ExpressRoute, moet u eerst een virtuele netwerkgateway maken. Een virtuele netwerkgateway dient twee doeleinden: IP-routes uitwisselen tussen de netwerken en netwerkverkeer routeren. In dit artikel worden verschillende gatewaytypen, gateway-SKU's en geschatte prestaties per SKU uitgelegd. In dit artikel wordt ook ExpressRoute FastPath uitgelegd, een functie waarmee het netwerkverkeer van uw on-premises netwerk de virtuele netwerkgateway kan omzeilen om de prestaties te verbeteren.
Gatewaytypen
Wanneer u een gateway voor een virtueel netwerk maakt, moet u verschillende instellingen opgeven. Een van de vereiste instellingen, -GatewayType
geeft aan of de gateway wordt gebruikt voor ExpressRoute of VPN-verkeer. De twee gatewaytypen zijn:
Vpn : als u versleuteld verkeer via het openbare internet wilt verzenden, gebruikt u het gatewaytype Vpn. Dit type gateway wordt ook wel een VPN-gateway genoemd. Site-naar-site-, punt-naar-site- en VNet-naar-VNet-verbindingen gebruiken allemaal een VPN-gateway.
ExpressRoute : als u netwerkverkeer wilt verzenden op een privéverbinding, gebruikt u het gatewaytype ExpressRoute. Dit type gateway wordt ook wel een ExpressRoute-gateway genoemd en wordt gebruikt bij het configureren van ExpressRoute.
Elk virtueel netwerk kan maar één virtuele netwerkgateway per type gateway hebben. U kunt bijvoorbeeld één virtuele netwerkgateway hebben die gebruikmaakt van -GatewayType
Vpn en een gateway die Gebruikmaakt van -GatewayType
ExpressRoute.
Gateway-SKU's
Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Wanneer u een hogere gateway-SKU selecteert, wordt meer CPU en bandbreedte van het netwerk toegewezen aan de gateway. Daardoor kan de gateway hogere netwerkdoorvoer aan het virtuele netwerk ondersteunen.
Virtuele ExpressRoute-netwerkgateways kunnen de volgende SKU's gebruiken:
- ERGwScale (preview)
- Standaard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Als u uw gateway wilt upgraden naar een gateway-SKU met een hogere capaciteit, kunt u het hulpprogramma naadloze gatewaymigratie gebruiken in Azure Portal of PowerShell. De volgende upgrades worden ondersteund:
- Niet-Az ingeschakelde SKU op basis-IP naar niet-ingeschakelde SKU's voor Az op standaard-IP.
- Niet-Az ingeschakelde SKU op basis-IP naar az-SKU op standaard-IP.
- Niet-Az ingeschakelde SKU op standaard-IP-adres naar az-SKU op standaard-IP.
Zie Migreren naar een gateway met beschikbaarheidszone voor meer informatie.
Voor alle andere downgradescenario's moet u de gateway verwijderen en opnieuw maken. Als u een gateway opnieuw maakt, is er sprake van downtime.
Gatewaysubnet
Voordat u een ExpressRoute-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die de virtuele netwerkgateway-VM's en -services gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste ExpressRoute-gatewayinstellingen. Implementeer nooit iets anders in het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet 'GatewaySubnet' noemt, weet Azure dat de virtuele netwerkgateway-VM's en -services in dit subnet moeten worden geïmplementeerd.
Notitie
Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways met deze configuratie mogen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-routes moet worden ingesteld op Ingeschakeld op gatewaysubnet om de beschikbaarheid van de gateway te garanderen. Als de doorgifte van BGP-routes is uitgeschakeld, werkt de gateway niet.
Diagnostiek, gegevenspad en controlepad kunnen worden beïnvloed als een door de gebruiker gedefinieerde route overlapt met het gateway-subnetbereik of het openbare IP-bereik van de gateway.
- Het is niet raadzaam om azure DNS Private Resolver te implementeren in een virtueel netwerk met een gateway voor een virtueel ExpressRoute-netwerk en jokertekenregels in te stellen om alle naamomzetting naar een specifieke DNS-server te leiden. Een dergelijke configuratie kan problemen met de beheerconnectiviteit veroorzaken.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De co-existentieconfiguratie voor ExpressRoute/VPN Gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Verder wilt u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om mogelijke toekomstige configuraties mogelijk te maken. U wordt aangeraden een gatewaysubnet van /27 of groter te maken (/27, /26 enzovoort). Als u van plan bent om 16 ExpressRoute-circuits te verbinden met uw gateway, moet u een gatewaysubnet van /26 of groter maken. Als u een gatewaysubnet met dubbele stack maakt, raden we u aan ook een IPv6-bereik van /64 of groter te gebruiken. Deze configuratie is geschikt voor de meeste configuraties.
In het volgende PowerShell-voorbeeld van Resource Manager ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie een /27 opgeeft, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
Netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Raadpleeg voor meer informatie over netwerkbeveiligingsgroepen Wat is een netwerkbeveiligingsgroep?
Beperkingen en prestaties van virtuele netwerkgateway
Functieondersteuning door gateway-SKU
In de volgende tabel ziet u de functies die worden ondersteund voor elke gatewaytypen en het maximum aantal ExpressRoute-circuitverbindingen dat wordt ondersteund door elke gateway-SKU.
Gateway-SKU | Co-existentie van VPN Gateway en ExpressRoute | FastPath | Maximum aantal circuitverbindingen |
---|---|---|---|
Standard SKU/ERGw1Az | Ja | Nr. | 4 |
High Perf SKU/ERGw2Az | Ja | Nr. | 8 |
Ultra Performance SKU/ErGw3Az | Ja | Ja | 16 |
ErGwScale (preview) | Ja | Ja - minimaal 10 schaaleenheden | 4 - minimaal 1 van de schaaleenheid 8 - minimaal 2 schaaleenheden 16 - minimaal 10 schaaleenheden |
Notitie
Het maximum aantal ExpressRoute-circuits vanaf dezelfde peeringlocatie dat verbinding kan maken met hetzelfde virtuele netwerk is 4 voor alle gateways.
Geschatte prestaties per gateway-SKU
De volgende tabellen bieden een overzicht van de verschillende typen gateways, hun respectieve beperkingen en de verwachte prestatiemetrieken. Deze getallen zijn afgeleid van de volgende testvoorwaarden en vertegenwoordigen de maximale ondersteuningslimieten. De werkelijke prestaties kunnen variëren, afhankelijk van de mate waarin verkeer deze testvoorwaarden repliceert.
Testvoorwaarden
Gateway-SKU | Verkeer dat vanaf on-premises wordt verzonden | Aantal routes dat wordt geadverteerd door de gateway | Aantal routes dat is geleerd door gateway |
---|---|---|---|
Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
High Performance/ERGw2Az | 2 Gbps | 500 | 9\.500 |
Ultra Performance/ErGw3Az | 10 Gbps | 500 | 9\.500 |
ErGwScale (per schaaleenheid) | 1 Gbps | 500 | 4000 |
Notitie
ExpressRoute kan maximaal 11.000 routes mogelijk maken die adresruimten van virtuele netwerken, on-premises netwerken en relevante peeringverbindingen voor virtuele netwerken omvatten. Om de stabiliteit van uw ExpressRoute-verbinding te waarborgen, moet u zich onthouden van het adverteren van meer dan 11.000 routes naar ExpressRoute.
Prestatieresultaten
Deze tabel is van toepassing op zowel de Azure Resource Manager- als de klassieke implementatiemodellen.
Gateway-SKU | Megabits per seconde | Pakketten per seconde | Ondersteund aantal virtuele machines in het virtuele netwerk 1 | Limiet voor aantal stromen |
---|---|---|---|---|
Standard/ERGw1Az | 1.000 | 100.000 | 2.000 | 200.000 |
High Performance/ERGw2Az | 2.000 | 200.000 | 4.500 | 400,000 |
Ultra Performance/ErGw3Az | 10.000 | 1.000.000 | 11.000 | 1.000.000 |
ErGwScale (per schaaleenheid) | 1.000 | 100.000 | 2.000 | 100.000 per schaaleenheid |
1 De waarden in de tabel zijn schattingen en variëren, afhankelijk van het CPU-gebruik van de gateway. Als het CPU-gebruik hoog is en het aantal ondersteunde VM's wordt overschreden, begint de gateway pakketten te verwijderen.
Belangrijk
- Toepassingsprestaties zijn afhankelijk van meerdere factoren, zoals end-to-end latentie en het aantal verkeersstromen dat de toepassing opent. De getallen in de tabel vertegenwoordigen de bovengrens die de toepassing theoretisch in een ideale omgeving kan bereiken. Daarnaast voert Microsoft routine-host- en besturingssysteemonderhoud uit op de ExpressRoute Virtual Network Gateway om de betrouwbaarheid van de service te behouden. Tijdens een onderhoudsperiode wordt het besturingsvlak en de capaciteit van het gegevenspad van de gateway verminderd.
- Tijdens een onderhoudsperiode kunt u af en toe verbindingsproblemen ondervinden met resources van privé-eindpunten.
- ExpressRoute ondersteunt een maximale TCP- en UDP-pakketgrootte van 1400 bytes. Pakketgrootte groter dan 1400 bytes wordt gefragmenteerd.
- Azure Route Server kan maximaal 4000 VM's ondersteunen. Deze limiet omvat VM's in virtuele netwerken die zijn gekoppeld. Zie Azure Route Server-beperkingen voor meer informatie.
Zone-redundante gateway-SKU's
U kunt ook ExpressRoute-gateways implementeren in Azure Beschikbaarheidszones. Met deze configuratie worden deze fysiek en logisch gescheiden in verschillende Beschikbaarheidszones, waardoor uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen fouten op zoneniveau.
Zone-redundante gateways maken gebruik van specifieke nieuwe gateway-SKU's voor ExpressRoute-gateway.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (preview)
De nieuwe gateway-SKU's ondersteunen ook andere implementatieopties die het beste aansluiten bij uw behoeften. Wanneer u een virtuele netwerkgateway maakt met behulp van de nieuwe gateway-SKU's, kunt u de gateway in een specifieke zone implementeren. Dit type gateway wordt een zonegebonden gateway genoemd. Wanneer u een zonegebonden gateway implementeert, worden alle exemplaren van de gateway geïmplementeerd in dezelfde beschikbaarheidszone.
Zie Gatewaymigratie voor meer informatie over het migreren van een ExpressRoute-gateway.
Schaalbare ExpressRoute-gateway (preview)
Met de Gateway-SKU van het virtuele Netwerk ErGwScale kunt u een connectiviteit van 40 Gbps met VM's en privé-eindpunten in het virtuele netwerk bereiken. Met deze SKU kunt u een minimale en maximale schaaleenheid instellen voor de gatewayinfrastructuur van het virtuele netwerk, die automatisch wordt geschaald op basis van de actieve bandbreedte of het aantal stromen. U kunt ook een vaste schaaleenheid instellen om een constante connectiviteit met een gewenste bandbreedtewaarde te behouden.
Implementatie van beschikbaarheidszone en regionale beschikbaarheid
ErGwScale ondersteunt zowel zonegebonden als zonegebonden redundante implementaties in Azure-beschikbaarheidszones. Raadpleeg de documentatie over zone-redundante en zone-redundante services voor meer informatie over deze concepten.
ErGwScale is beschikbaar in preview in de volgende regio's:
- Australië - oost
- Brazilië - zuid
- Canada - midden
- VS - oost
- Azië - oost
- Frankrijk - centraal
- Duitsland - west-centraal
- India - centraal
- Italië - noord
- Europa - noord
- Noorwegen - oost
- Zweden - centraal
- VAE - noord
- Verenigd Koninkrijk Zuid
- VS - west 2
- US - west 3
Automatisch schalen versus vaste schaaleenheid
De infrastructuur van de virtuele netwerkgateway wordt automatisch geschaald tussen de minimale en maximale schaaleenheid die u configureert, op basis van het bandbreedte- of stroomaantal. Het kan tot 30 minuten duren voordat de schaalbewerkingen zijn voltooid. Als u een vaste verbinding met een specifieke bandbreedtewaarde wilt bereiken, kunt u een vaste schaaleenheid configureren door de minimale schaaleenheid en de maximale schaaleenheid in te stellen op dezelfde waarde.
Beperkingen
- Basis-IP: ErGwScale biedt geen ondersteuning voor de Basic IP-SKU. U moet een Standard IP-SKU gebruiken om ErGwScale te configureren.
- Minimum- en maximumschaaleenheden: u kunt de schaaleenheid voor ErGwScale tussen 1 en 40 configureren. De minimale schaaleenheid mag niet lager zijn dan 1 en de maximale schaaleenheid mag niet hoger zijn dan 40.
- Migratiescenario's: u kunt niet migreren van Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az naar ErGwScale in de openbare preview.
Prijzen
ErGwScale is gratis tijdens de openbare preview. Zie prijzen voor Azure ExpressRoute voor meer informatie over prijzen voor ExpressRoute.
Geschatte prestaties per schaaleenheid
Ondersteunde prestaties per schaaleenheid
Schaaleenheid | Bandbreedte (Gbps) | Pakketten per seconde | Verbindingen per seconde | Maximum aantal VM-verbindingen 1 | Maximum aantal stromen |
---|---|---|---|---|---|
1-10 | 1 | 100.000 | 7\.000 | 2.000 | 100.000 |
11-40 | 1 | 100.000 | 7\.000 | 1000 | 100.000 |
Voorbeeldprestaties met schaaleenheid
Schaaleenheid | Bandbreedte (Gbps) | Pakketten per seconde | Verbindingen per seconde | Maximum aantal VM-verbindingen 1 | Maximum aantal stromen |
---|---|---|---|---|---|
10 | 10 | 1.000.000 | 70,000 | 20,000 | 1.000.000 |
20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 Maximale VM-verbindingen worden anders geschaald dan 10 schaaleenheden. De eerste 10 schaaleenheden bieden capaciteit voor 2000 VM's per schaaleenheid. Schaaleenheden 11 en hoger bieden 1000 meer VM-capaciteit per schaaleenheid.
VNet naar VNet en VNet naar Virtual WAN-connectiviteit
VNet naar VNet en VNet naar Virtual WAN-connectiviteit is standaard uitgeschakeld via een ExpressRoute-circuit voor alle gateway-SKU's. Als u deze connectiviteit wilt inschakelen, moet u de gateway van het virtuele ExpressRoute-netwerk configureren om dit verkeer toe te staan. Zie de richtlijnen voor virtuele netwerkconnectiviteit via ExpressRoute voor meer informatie. Zie VNet naar VNet of VNet naar Virtual WAN-connectiviteit via ExpressRoute inschakelen om dit verkeer in te schakelen.
FastPath
De virtuele ExpressRoute-netwerkgateway is ontworpen om netwerkroutes uit te wisselen en netwerkverkeer te routeren. FastPath is bedoeld om de prestaties van gegevenspaden tussen het on-premises netwerk en het virtuele netwerk te verbeteren. Wanneer FastPath is ingeschakeld, wordt netwerkverkeer rechtstreeks verzonden naar virtuele machines in het virtuele netwerk, waardoor de gateway wordt omzeild.
Zie Over FastPath voor meer informatie over FastPath, inclusief beperkingen en vereisten.
Connectiviteit met privé-eindpunten
De gateway van het virtuele ExpressRoute-netwerk vereenvoudigt de connectiviteit met privé-eindpunten die zijn geïmplementeerd in hetzelfde virtuele netwerk als de gateway van het virtuele netwerk en tussen peers van virtuele netwerken.
Belangrijk
- De doorvoer- en besturingsvlakcapaciteit voor connectiviteit met privé-eindpuntresources kan met de helft worden verminderd in vergelijking met connectiviteit met niet-privé-eindpuntresources.
- Tijdens een onderhoudsperiode kunt u af en toe verbindingsproblemen ondervinden met resources van privé-eindpunten.
- U moet ervoor zorgen dat hun on-premises configuratie, inclusief router- en firewallinstellingen, correct zijn ingesteld om ervoor te zorgen dat pakketten voor de IP 5-tuple-transits één volgende hop (Microsoft Enterprise Edge-router - MSEE) gebruiken, tenzij er een onderhoudsgebeurtenis is. Als uw on-premises firewall of routerconfiguratie dezelfde IP 5-tuple veroorzaakt om regelmatig te schakelen tussen volgende hops, ondervindt u verbindingsproblemen.
Privé-eindpuntconnectiviteit en gepland onderhoud
De connectiviteit van privé-eindpunten is stateful. Wanneer een verbinding met een privé-eindpunt tot stand wordt gebracht via persoonlijke ExpressRoute-peering, binnenkomende en uitgaande verbindingen, worden gerouteerd via een van de back-endexemplaren van de gatewayinfrastructuur. Tijdens een onderhoudsgebeurtenis worden back-endinstanties van de gatewayinfrastructuur van het virtuele netwerk één voor één opnieuw opgestart, wat kan leiden tot onregelmatige verbindingsproblemen.
Als u connectiviteitsproblemen met privé-eindpunten tijdens onderhoudsactiviteiten wilt voorkomen of minimaliseren, raden we u aan om de TIME-outwaarde van TCP tussen 15 en 30 seconden in uw on-premises toepassingen in te stellen. Test en configureer de optimale waarde op basis van uw toepassingsvereisten.
REST API's en PowerShell-cmdlets
Zie de volgende pagina's voor meer technische bronnen en specifieke syntaxisvereisten bij het gebruik van REST API's en PowerShell-cmdlets voor configuraties van virtuele netwerkgateways:
Klassiek | Resource Manager |
---|---|
Powershell | Powershell |
REST API | REST API |
VNet-naar-VNet-connectiviteit
Standaard is connectiviteit tussen virtuele netwerken ingeschakeld wanneer u meerdere virtuele netwerken koppelt aan hetzelfde ExpressRoute-circuit. Microsoft raadt u aan uw ExpressRoute-circuit niet te gebruiken voor communicatie tussen virtuele netwerken. In plaats daarvan raden we u aan peering van virtuele netwerken te gebruiken. Zie de connectiviteit tussen virtuele netwerken via ExpressRoute voor meer informatie over waarom VNet-naar-VNet-connectiviteit niet wordt aanbevolen via ExpressRoute.
Peering op virtueel netwerk
Een virtueel netwerk met een ExpressRoute-gateway kan peering van virtuele netwerken hebben met maximaal 500 andere virtuele netwerken. Peering van virtuele netwerken zonder een ExpressRoute-gateway heeft mogelijk een hogere peeringbeperking.
Volgende stappen
Zie Overzicht van ExpressRoute voor meer informatie over beschikbare verbindingsconfiguraties.
Zie Een virtuele netwerkgateway maken voor ExpressRoute voor meer informatie over het maken van ExpressRoute-gateways.
Zie Een virtuele netwerkgateway configureren voor ExpressRoute met behulp van Azure Portal voor meer informatie over het implementeren van ErGwScale.
Zie Een zone-redundante virtuele netwerkgateway maken voor meer informatie over het configureren van zone-redundante gateways.