Snel pad voor Azure Stack Hub VPN voor operators
Wat is de functie Fast Path van Azure Stack Hub VPN?
Azure Stack Hub introduceert de drie nieuwe SKU's die in dit artikel worden beschreven als onderdeel van de functie VPN Fast Path. Voorheen waren S2S-tunnels beperkt tot een maximale bandbreedte van 200 Mbps met behulp van de HighPerformance-SKU. De nieuwe SKU's maken klantscenario's mogelijk waarin hogere netwerkdoorvoer nodig is. De doorvoerwaarden voor elke SKU zijn unidirectionele waarden, wat betekent dat deze de opgegeven doorvoer ondersteunt voor het verzenden of ontvangen van verkeer.
Nieuwe VPN Fast Path-gateway-SKU's voor virtuele netwerkgateway
Met de introductie van de functie VPN Fast Path in Azure Stack Hub kunnen tenantgebruikers VPN-verbindingen maken met behulp van drie nieuwe SKU's:
- Basic
- Standaard
- Hoge prestaties
- VpnGw1 (nieuw)
- VpnGw2 (nieuw)
- VpnGw3 (nieuw)
Belangrijke overwegingen voordat u azure Stack Hub VPN Fast Path inschakelt
Om ervoor te zorgen dat elk updateproces zo soepel mogelijk verloopt, zodat er minimale impact op uw gebruikers is, is het belangrijk om uw Azure Stack Hub-stempel voor te bereiden.
Als azure Stack Hub-operator die VPN Fast Path inschakelt, raden we u aan om met tenantgebruikers een onderhoudsvenster te plannen waarin de overstap kan plaatsvinden. Informeer uw gebruikers over eventuele storingen in de VPN-verbindingsservice en volg de stappen hier om uw stempel voor te bereiden op de update.
Vpn Fast Path vereist NAT-T op externe VPN-apparaten
Azure Stack Hub VPN Fast Path is afhankelijk van de nieuwe SDN Gateway-service en wordt geleverd met een nieuwe vereiste bij het plannen.
Plan met tenantgebruikers voordat u VPN Fast Path inschakelt
- Lijst met bestaande instellingen voor gatewaybronnen voor virtuele netwerken.
- Lijst met bestaande instellingen voor verbindingsbronnen.
- Lijst met IPSec-beleidsregels en -instellingen die worden gebruikt voor hun bestaande verbindingen.
- Deze stap zorgt ervoor dat uw gebruikers beleidsregels hebben geconfigureerd die met hun apparaat werken, inclusief aangepast IPSec-beleid.
- Geef de instellingen van de lokale netwerkgateway weer. Tenantgebruikers kunnen lokale netwerkgatewayresources en -configuraties opnieuw gebruiken. We raden u echter ook aan de bestaande configuratie op te slaan voor het geval ze opnieuw moeten worden gemaakt.
- Zodra VPN Fast Path is ingeschakeld, moeten tenants hun virtuele netwerkgateways en verbindingen opnieuw maken als ze de nieuwe SKU's willen gebruiken.
Met de release van VPN Fast Path is er een nieuwe PowerShell-opdracht die operators kunnen aanroepen om alle bestaande verbindingen weer te geven die zijn gemaakt door hun tenants. Met deze cmdlet kan de operator capaciteit beheren en contact opnemen met de tenantbeheerders als ze hun virtuele netwerkgateways opnieuw moeten maken:
Get-AzsVirtualNetworkGatewayConnection
Zie Get-AzsVirtualNetworkGatewayConnection voor meer informatie.
Snel pad voor VPN van Azure Stack Hub inschakelen
Met VPN Fast Path kunnen operators de nieuwe functie inschakelen met behulp van de volgende PowerShell-opdrachten. Zodra de functie algemeen beschikbaar is, kunnen de operators de functie ook inschakelen met behulp van de Azure Stack Hub-beheerdersportal.
U kunt bestaande instellingen aanpassen door de gateway van het virtuele netwerk en de bijbehorende verbindingen met een van de nieuwe SKU's opnieuw te maken.
Snel pad azure Stack Hub VPN inschakelen met behulp van PowerShell
Vanaf het bevoegde eindpunt van Azure Stack Hub kunt u de volgende PowerShell-opdracht uitvoeren om de functie VPN Fast Path in te schakelen:
Zie Het bevoegde eindpunt voor toegang voor meer informatie over het PEP van Azure Stack Hub.
Set-AzSVPNFastPath -Enable
Valideren of Snel pad voor VPN van Azure Stack Hub is ingeschakeld met behulp van PowerShell
Zodra de functie VPN Fast Path is ingeschakeld, kunt u de huidige status van de gateway-VM's en de gebruikte capaciteit valideren met behulp van de volgende PowerShell-opdracht:
Get-AzSVPNFastPath
Azure Stack Hub VPN Fast Path uitschakelen met behulp van PowerShell
Set-AzSVPNFastPath -Disable
Als u VPN Fast Path wilt uitschakelen, moet u eerst met uw tenant werken om alle virtuele netwerkgateways te verwijderen en opnieuw te maken met behulp van VPN Fast Path-SKU's. Omdat de VPN-capaciteit toeneemt wanneer VPN Fast Path is ingeschakeld, kunt u VPN Fast Path niet uitschakelen als de totale capaciteit in gebruik de totale capaciteit overschrijdt wanneer Azure Stack Hub geen VPN Fast Path gebruikt.
Architectuur van Azure Stack Hub Gateway-pool
Er zijn drie vm's met een gatewayinfrastructuur met meerdere tenants in Azure Stack Hub. Twee van deze VM's bevinden zich in de actieve modus en de derde bevindt zich in de redundante modus. Actieve VM's maken het maken van VPN-verbindingen mogelijk en de redundante VM accepteert alleen VPN-verbindingen als er een failover plaatsvindt. Als een actieve gateway-VM niet meer beschikbaar is, voert de VPN-verbinding na een korte periode (een paar seconden) een failover uit naar de redundante VM.
Failovers van gatewayverbindingen worden verwacht tijdens een OEM- of azure Stack Hub-update, omdat de VM's worden gepatcht en live worden gemigreerd. Deze failover kan leiden tot een tijdelijke verbinding van de tunnels.
Totale capaciteit van nieuwe gatewaygroep
De totale capaciteit van een gatewaypool van een Azure Stack Hub-zegel is 4 Gbps. Deze capaciteit wordt verdeeld tussen de twee actieve gateway-VM's, waarbij elke gateway-VM maximaal 2 Gbps aan doorvoer ondersteunt. Wanneer een verbindingsresource wordt gemaakt, wordt tweemaal de SKU ervan gereserveerd op de gateway-VM. Dit ontwerp zorgt ervoor dat de maximale doorvoer van de SKU (gemeten in één richting) kan worden bereikt met Tx- of Rx-verkeer, afhankelijk van de vereisten van de gebruikersworkload.
Een HighPerformance-SKU reserveert bijvoorbeeld 400 Mbps op een gateway-VM (200 voor Tx, 200 voor Rx). Dit betekent dat voor de bestaande engine een HighPerformance-verbinding één tiende van de totale capaciteit van de gatewaygroep wordt gereserveerd.
In de volgende tabel ziet u de gatewaytypen en de geschatte geaggregeerde doorvoer voor elke tunnel/verbinding per gateway-SKU wanneer VPN Fast Path is uitgeschakeld:
SKU | Maximale doorvoer van VPN-verbinding (1) | Maximum aantal VPN-verbindingen per actieve GW-VM | Maximum aantal VPN-verbindingen per stempel (2) |
---|---|---|---|
Basic (3) | 100 Mbps Tx/Rx | 10 | 20 |
Standaard | 100 Mbps Tx/Rx | 10 | 20 |
Hoge prestaties | 200 Mbps Tx/Rx | 5 | 10 |
(1) - Tunneldoorvoer is geen gegarandeerde doorvoer voor cross-premises verbindingen via internet; dit is de maximaal mogelijke doorvoermeting. De totale aggregaties in één richting zijn 2 Gbps.
(2) - Maximum aantal tunnels is het totaal per Azure Stack Hub-implementatie voor alle abonnementen.
(3) - BGP-routering wordt niet ondersteund voor de Basic-SKU.
Geschatte geaggregeerde tunneldoorvoer per SKU met VPN Snel pad ingeschakeld
Zodra de operator VPN Fast Path op de Azure Stack Hub-zegel inschakelt, wordt de totale capaciteit van de gatewaypool verhoogd tot 10 Gbps. Omdat de capaciteit is verdeeld tussen de twee actieve gateway-VM's, heeft elke gateway-VM een capaciteit van 5 Gbps. De hoeveelheid capaciteit die is gereserveerd voor elke verbinding, is hetzelfde als in de vorige sectie. Daarom reserveert een VpnGw3-SKU (1250 Mbps) 2500 Mbps aan capaciteit op een gateway-VM:
SKU | Maximale doorvoer van VPN-verbinding (1) | Maximum aantal VPN-verbindingen per actieve GW-VM | Maximum aantal VPN-verbindingen per stempel (2) |
---|---|---|---|
Basic (3) | 100 Mbps Tx/Rx | 25 | 50 |
Standaard | 100 Mbps Tx/Rx | 25 | 50 |
Hoge prestaties | 200 Mbps Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
(1) - Tunneldoorvoer is geen gegarandeerde doorvoer voor cross-premises verbindingen via internet; dit is de maximaal mogelijke doorvoermeting. De totale aggregaties in één richting zijn 5 Gbps.
(2) - Maximum aantal tunnels is het totaal per Azure Stack Hub-implementatie voor alle abonnementen.
(3) - BGP-routering wordt niet ondersteund voor de Basic-SKU.