Azure Stack Hub VPN Fast Path voor tenantgebruikers
Wat is de functie Vpn Fast Path van Azure Stack Hub?
Azure Stack Hub introduceert de drie nieuwe SKU's die in dit artikel worden beschreven als onderdeel van de functie VPN Fast Path. Voorheen waren S2S-tunnels beperkt tot een maximale bandbreedte van 200 Mbps met behulp van de HighPerformance-SKU. De nieuwe SKU's maken klantscenario's mogelijk waarin een hogere netwerkdoorvoer nodig is. De doorvoerwaarden voor elke SKU zijn unidirectionele waarden, wat betekent dat deze de opgegeven doorvoer ondersteunt bij het verzenden of ontvangen van verkeer.
Wanneer de Azure Stack-operator de functie VPN Fast Path inschakelt op een Azure Stack Hub-stempel, kunnen tenantgebruikers virtuele netwerkgateways maken met behulp van de nieuwe SKU's. U kunt bestaande instellingen aanpassen door de virtuele netwerkgateway en de bijbehorende verbindingen opnieuw te maken met een van de nieuwe SKU's.
Nieuwe SKU's voor virtuele netwerkgateways beschikbaar wanneer VPN Fast Path is ingeschakeld
Naast de 3 nieuwe SKU's neemt de totale VPN-capaciteit van Azure Stack Hub toe, waardoor meer VPN-verbindingen mogelijk zijn.
In de volgende tabel ziet u de nieuwe doorvoer voor elke SKU wanneer VPN Fast Path is ingeschakeld:
SKU | Maximale doorvoer van VPN-verbinding |
---|---|
Basic | 100 Mbps Tx/Rx |
Standard | 100 Mbps Tx/Rx |
Hoge prestaties | 200 Mbps Tx/Rx |
VpnGwy1 | 650 Mbps Tx/Rx |
VpnGwy2 | 1000 Mbps Tx/Rx |
VpnGwy3 | 1250 Mbps Tx/Rx |
Virtuele netwerkgateways maken voor het gebruik van de nieuwe SKU's
Met VPN Fast Path kunnen tenantgebruikers virtuele netwerkgateways maken met de nieuwe SKU's met behulp van de Azure Stack Hub-portal of PowerShell.
Virtuele netwerkgateways maken met nieuwe SKU's met behulp van de Azure Stack Hub-portal
Als u de Azure Stack Hub-portal gebruikt om een virtuele netwerkgateway te maken, kunt u de SKU selecteren met behulp van de vervolgkeuzelijst. De nieuwe VPN Fast Path-SKU's (VpnGwy1, VpnGwy2, VpnGwy3) zijn alleen zichtbaar na het toevoegen van de queryparameter '?azurestacknewvpnskus=true' aan de URL en het vernieuwen.
In het volgende URL-voorbeeld worden de nieuwe virtuele netwerkgateway-SKU's zichtbaar in de Azure Stack Hub-gebruikersportal:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Voordat de operator deze resources maakt, moet deze VPN Fast Path inschakelen op de Azure Stack Hub-stempel:
Virtuele netwerkgateways maken met nieuwe SKU's met behulp van PowerShell
In het volgende voorbeeld worden de AzureRM-modules gebruikt:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Verouderde virtuele netwerkgateways upgraden
U kunt de SKU niet bijwerken zonder de gateway van het virtuele netwerk opnieuw te maken. Hiervoor moet u alle verbindingen verwijderen die zijn gekoppeld aan de gateway van het virtuele netwerk. U kunt de resources van de lokale netwerkgateway opnieuw gebruiken nadat u een virtuele netwerkgateway hebt gemaakt met de nieuwe SKU. De resource van de lokale netwerkgateway definieert de adresruimte en het IP-adres van uw on-premises apparaat en behoudt die configuratie.
Volg deze stappen om de gateway-SKU's van het virtuele netwerk te upgraden:
- Verwijder alle verbindingen op de bestaande virtuele netwerkgateway: noteer de vooraf gedeelde sleutel en of de BGP-vlag is ingesteld op ingeschakeld.
- Verwijder de bestaande virtuele netwerkgateway met behulp van de verouderde SKU: het is niet mogelijk om twee virtuele netwerkgateways in hetzelfde virtuele netwerk te maken, dus u moet het bestaande netwerk verwijderen.
- Maak een nieuwe virtuele netwerkgatewayresource met de nieuwe SKU: u kunt een van de nieuwe SKU's selecteren die zijn ingeschakeld met VPN Fast Path.
- Maak een nieuwe verbinding tussen de nieuwe virtuele netwerkgateway en de bestaande lokale netwerkgateway: als u een aangepast IP-sec-beleid gebruikt, maakt u de verbinding via PowerShell. Gebruik de vooraf gedeelde sleutel en de BGP-vlag die u in stap 1 hebt genoteerd.
- Herhaal stap 4 voor andere verbindingen die u wilt verplaatsen naar de nieuwe SKU: deze stap is relevant voor scenario's met meerdere sites.
Topologieën voor VPN-verbindingen
Er zijn verschillende configuraties beschikbaar voor VPN-gateways. Bepaal welke configuratie het beste bij uw behoeften past. In de volgende secties kunt u informatie en topologiediagrammen weergeven over de volgende VPN-gatewayscenario's:
- Site-naar-site-verbindingen
- Site-naar-multi-site-verbindingen
- Site-naar-site- of site-naar-multi-site-verbindingen tussen Azure Stack Hub-stempels
De diagrammen en beschrijvingen in de volgende secties kunnen u helpen bij het selecteren van een verbindingstopologie die aan uw vereisten voldoet. De diagrammen tonen de belangrijkste basislijntopologieën, maar het is mogelijk om complexere configuraties te maken met behulp van de diagrammen als richtlijn.
Site-naar-site-verbindingen
Een site-naar-site-VPN-gatewayverbinding (S2S) is een verbinding via een VPN-tunnel via IPsec/IKE (IKEv2). Voor dit type verbinding is een VPN-apparaat vereist dat zich on-premises bevindt en waaraan een openbaar IP-adres is toegewezen.
Site-naar-multi-site-verbindingen
Een site-naar-meerdere-site-topologie is een variant van de site-naar-site-topologie. U maakt meer dan één VPN-verbinding vanaf uw virtuele netwerkgateway, meestal met verschillende on-premises sites.
Site-naar-site- of site-naar-multi-site-verbindingen tussen Azure Stack Hub-stempels
U kunt slechts één site-naar-site-VPN-verbinding maken tussen twee Azure Stack Hub-implementaties. Deze beperking wordt veroorzaakt door een beperking in het platform waardoor slechts één VPN-verbinding met hetzelfde IP-adres is toegestaan. Omdat Azure Stack Hub gebruikmaakt van de gateway met meerdere tenants, die één openbaar IP-adres heeft voor alle VPN-gateways in het Azure Stack Hub-systeem, kan er slechts één VPN-verbinding zijn tussen twee Azure Stack Hub-systemen. Deze beperking is ook van toepassing op het verbinden van meer dan één site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres. Azure Stack Hub staat niet toe dat er meer dan één lokale netwerkgatewayresource wordt gemaakt met hetzelfde IP-adres.
In het volgende diagram ziet u hoe u meerdere Azure Stack Hub-stempels kunt verbinden als u een mesh-topologie tussen stempels wilt maken. In dit scenario zijn er drie Azure Stack Hub-stempels, en elk ervan heeft 1 virtuele netwerkgateway met 2 verbindingen en 2 lokale netwerkgateways. Met de nieuwe SKU's kunnen de gebruikers netwerken en workloads verbinden tussen stempels met VPN-verbindingen doorvoer tot 1250 Mbps Tx/Rx, waarbij 50% van de capaciteit van de gatewaygroep van elke zegel wordt toegewezen. Resterende capaciteit op elke zegel kan worden gebruikt voor meer VPN-verbindingen die nodig zijn voor andere use cases: