Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u uw virtuele Azure-netwerk (virtueel netwerk) en uw on-premises netwerk wilt verbinden met behulp van Azure ExpressRoute, moet u eerst een virtuele netwerkgateway maken. Een virtuele netwerkgateway dient twee doeleinden: IP-routes tussen netwerken uitwisselen en netwerkverkeer routeren.
In dit artikel worden verschillende gatewaytypen, gateway-SKU's en geschatte prestaties per SKU uitgelegd. In dit artikel wordt ook ExpressRoute FastPath uitgelegd, een functie waarmee het netwerkverkeer van uw on-premises netwerk de virtuele netwerkgateway kan omzeilen om de prestaties te verbeteren.
Gatewaytypen
Wanneer u een gateway voor een virtueel netwerk maakt, moet u verschillende instellingen opgeven. Een van de vereiste instellingen, -GatewayTypegeeft aan of de gateway wordt gebruikt voor ExpressRoute- of VPN-verkeer. De twee gatewaytypen zijn:
Vpn: Als u versleuteld verkeer via het openbare internet wilt verzenden, gebruiktVpnu hiervoor-GatewayType(ook wel een VPN-gateway genoemd). Site-naar-site-, punt-naar-site- en VNet-naar-VNet-verbindingen maken allemaal gebruik van een VPN-gateway.ExpressRoute: Als u netwerkverkeer wilt verzenden op een privéverbinding, gebruikt uExpressRoutevoor-GatewayType(ook wel een ExpressRoute-gateway genoemd). Dit type gateway wordt gebruikt wanneer u ExpressRoute configureert.
Elk virtueel netwerk kan maar één virtuele netwerkgateway per type gateway hebben. U kunt bijvoorbeeld één virtuele netwerkgateway hebben die Vpn gebruikt voor -GatewayType, en één die ExpressRoute gebruikt voor -GatewayType.
Gateway-SKUs
Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Wanneer u een hogere gateway-SKU selecteert, worden er meer CPU's en netwerkbandbreedte toegewezen aan de gateway. Hierdoor kan de gateway een hogere netwerkdoorvoer naar het virtuele netwerk ondersteunen.
Virtuele ExpressRoute-netwerkgateways kunnen de volgende SKU's gebruiken:
- ERGwScale (voorbeeld)
- Standaard
- HogePrestaties
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
U kunt uw gateway upgraden naar een SKU met een hogere capaciteit binnen dezelfde SKU-familie, ongeacht of het een niet-Az-geactiveerde of een Az-geactiveerde gateway is.
U kunt bijvoorbeeld upgraden:
- Van de ene niet-AZ-enabled SKU naar een andere niet-AZ-enabled SKU
- Van de ene Az-SKU naar een andere Az-SKU
Voor alle andere downgradescenario's moet u de gateway verwijderen en opnieuw maken, wat downtime met zich meebrengt.
Aanmaken van gatewaysubnet.
Voordat u een ExpressRoute-gateway maakt, moet u een gatewaysubnet maken. De virtuele machines (VM's) en services van de virtuele netwerkgateway gebruiken IP-adressen die zich in het gatewaysubnet bevinden.
Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste ExpressRoute-gatewayinstellingen. Implementeer nooit iets anders in het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken, omdat Azure hiermee weet dat de vm's en services van de virtuele netwerkgateway in dit subnet moeten worden geïmplementeerd.
Notitie
Door de gebruiker gedefinieerde routes met een doel van 0.0.0.0/0 en netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Gateways met deze configuratie mogen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-route (Border Gateway Protocol) moet zijn ingeschakeld op het gatewaysubnet om de beschikbaarheid van de gateway te garanderen. Als doorgifte van BGP-routes is uitgeschakeld, werkt de gateway niet.
Diagnostiek, gegevenspad en controlepad kunnen worden beïnvloed als een door de gebruiker gedefinieerde route overlapt met het gateway-subnetbereik of het openbare IP van de gateway.
- Het is niet raadzaam om azure DNS Private Resolver te implementeren in een virtueel netwerk met een gateway voor een virtueel ExpressRoute-netwerk en jokertekenregels in te stellen om alle naamomzetting naar een specifieke DNS-server te leiden. Een dergelijke configuratie kan problemen met de beheerconnectiviteit veroorzaken.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De co-existentieconfiguratie van de ExpressRoute-/VPN-gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Bovendien wilt u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om mogelijke toekomstige configuraties mogelijk te maken.
U wordt aangeraden een gatewaysubnet van /27 of groter te maken. Als u van plan bent om 16 ExpressRoute-circuits te verbinden met uw gateway, moet u een gatewaysubnet van /26 of groter maken. Als u een gatewaysubnet met dubbele stack maakt, raden we u aan ook een IPv6-bereik van /64 of groter te gebruiken. Deze installatie is geschikt voor de meeste configuraties.
In het volgende Azure Resource Manager PowerShell-voorbeeld ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie (Classless Interdomain Routing) een /27 opgeeft, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
NSG's in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.
Beperkingen en prestaties van virtuele netwerkgateway
Functieondersteuning per gateway-SKU
In de volgende tabel ziet u de functies die elk gatewaytype ondersteunt en het maximum aantal ExpressRoute-circuitverbindingen dat elke gateway-SKU ondersteunt.
| Gateway-SKU | Co-existentie van VPN-gateway en ExpressRoute | FastPath | Maximum aantal circuitverbindingen |
|---|---|---|---|
| Standard SKU/ERGw1Az | Ja | Nee | 4 |
| Hoogwaardige prestaties SKU/ERGw2Az | Ja | Nee | 8 |
| Ultra Performance SKU/ErGw3Az | Ja | Ja | 16 |
| ErGwScale (preview) | Ja | Ja - minimaal 10 schaaleenheden | 4 - minimaal 1 schaaleenheid 8 - minimaal 2 schaaleenheden 16 - minimaal 10 schaaleenheden |
Notitie
Het maximum aantal ExpressRoute-circuits vanaf dezelfde peeringlocatie dat verbinding kan maken met hetzelfde virtuele netwerk is 4 voor alle gateways.
Geschatte prestaties per SKU van de gateway
De volgende tabellen bieden een overzicht van de verschillende typen gateways, hun respectieve beperkingen en de verwachte prestatiemetrieken.
Maximum aantal ondersteunde limieten
Deze tabel is van toepassing op zowel de Azure Resource Manager- als de klassieke implementatiemodellen.
| Gateway-SKU | Megabits per seconde | Pakketten per seconde | Ondersteund aantal virtuele machines in het virtuele netwerk 1 | Limiet voor aantal stromen | Aantal routes geleerd door de gateway |
|---|---|---|---|---|---|
| Standaard/ERGw1Az | 1.000 | 100.000 | 2.000 | 200.000 | 4000 |
| Hoge prestaties/ERGw2Az | 2.000 | 200.000 | 4.500 | 400,000 | 9\.500 |
| Ultra Performance/ErGw3Az | 10.000 | 1.000.000 | 11.000 | 1.000.000 | 9\.500 |
| ErGwScale (per schaaleenheid 1-10) | 1000 per schaaleenheid | 100.000 per schaaleenheid | 2000 per schaaleenheid | 100.000 per schaaleenheid | 60.000 in totaal per gateway |
| ErGwScale (per schaaleenheid 11-40) | 1000 per schaaleenheid | 200.000 per schaaleenheid | 1000 per schaaleenheid | 100.000 per schaaleenheid | 60.000 in totaal per gateway |
1 De waarden in de tabel zijn schattingen en variëren, afhankelijk van het CPU-gebruik van de gateway. Als het CPU-gebruik hoog is en het aantal ondersteunde VM's wordt overschreden, begint de gateway pakketten te verwijderen.
Notitie
ExpressRoute kan maximaal 11.000 routes mogelijk maken die adresruimten van virtuele netwerken, on-premises netwerken en relevante peeringverbindingen voor virtuele netwerken omvatten. Om de stabiliteit van uw ExpressRoute-verbinding te waarborgen, moet u zich onthouden van het adverteren van meer dan 11.000 routes naar ExpressRoute. Het maximum aantal routes dat door de gateway wordt geadverteerd, is 1000 routes.
Belangrijk
- Toepassingsprestaties zijn afhankelijk van meerdere factoren, zoals end-to-end latentie en het aantal verkeersstromen dat de toepassing opent. De getallen in de tabel vertegenwoordigen de bovengrens die de toepassing theoretisch in een ideale omgeving kan bereiken. Daarnaast voeren we routine-host- en besturingssysteemonderhoud uit op de gateway van het virtuele ExpressRoute-netwerk om de betrouwbaarheid van de service te behouden. Tijdens een onderhoudsperiode wordt het besturingsvlak en de capaciteit van het gegevenspad van de gateway verminderd.
- Tijdens een onderhoudsperiode kunt u onregelmatige verbindingsproblemen ondervinden met privé-eindpuntbronnen.
- ExpressRoute ondersteunt een maximale TCP- en UDP-pakketgrootte van 1400 bytes. Pakketten groter dan 1400 bytes worden gefragmenteerd.
- Azure Route Server kan maximaal 4000 VM's ondersteunen. Deze limiet omvat VM's in virtuele netwerken die zijn gekoppeld. Zie Azure Route Server-beperkingen voor meer informatie.
- De waarden in de bovenstaande tabel vertegenwoordigen de limieten voor elke gateway-SKU.
Hosted-On-Behalf-Of (HOBO) Openbaar IP-adres
De functie Hosted-On-Behalf-Of (HOBO) Public IP vereenvoudigt de implementatie van expressRoute-gateways doordat Microsoft het vereiste openbare IP-adres namens u kan beheren. Voor PowerShell/CLI hoeft u geen afzonderlijke openbare IP-resource voor uw gateway te maken of te onderhouden.
Belangrijkste voordelen:
- Verbeterde beveiliging: Het openbare IP-adres wordt intern beheerd door Microsoft en wordt niet aan u blootgesteld, waardoor de risico's voor open beheerpoorten worden verminderd.
- Verminderde complexiteit: U hoeft geen openbare IP-resource in te richten of te beheren.
- Gestroomlijnde implementatie: De Azure PowerShell en CLI vragen niet langer om een openbaar IP-adres tijdens het maken van de gateway.
Hoe werkt het:
Wanneer u een ExpressRoute-gateway maakt, richt Microsoft het openbare IP-adres automatisch in en beheert het in een beveiligd back-endabonnement. Dit IP-adres wordt ingekapseld in de gatewayresource, waardoor Microsoft beleidsregels kan afdwingen, zoals limieten voor gegevensfrequenties en betere controlebaarheid.
Beschikbaarheid:
HOBO Public IP is niet beschikbaar voor virtual WAN-implementaties (vWAN) of uitgebreide zone-implementaties.
Connectiviteit van VNet naar VNet en van VNet naar virtual WAN
VNet-naar-VNet- en VNet-naar-virtual-WAN-connectiviteit is standaard uitgeschakeld via een ExpressRoute-circuit voor alle gateway-SKU's. Als u deze connectiviteit wilt inschakelen, moet u de gateway van het virtuele ExpressRoute-netwerk configureren om dit verkeer toe te staan. Zie de richtlijnen voor virtuele netwerkconnectiviteit via ExpressRoute voor meer informatie. Zie VNet-naar-VNet- of VNet-naar-virtual-WAN-connectiviteit via ExpressRoute inschakelen om dit verkeer in te schakelen.
FastPath
De virtuele ExpressRoute-netwerkgateway is ontworpen om netwerkroutes uit te wisselen en netwerkverkeer te routeren. FastPath is bedoeld om de prestaties van gegevenspaden tussen het on-premises netwerk en het virtuele netwerk te verbeteren. Wanneer FastPath is ingeschakeld, wordt netwerkverkeer rechtstreeks naar virtuele machines in het virtuele netwerk verzonden, waardoor de gateway wordt overgeslagen.
Zie Over FastPath voor meer informatie over FastPath, inclusief beperkingen en vereisten.
Connectiviteit met privé-eindpunten
De gateway van het virtuele ExpressRoute-netwerk vereenvoudigt de connectiviteit met privé-eindpunten die zijn geïmplementeerd in hetzelfde virtuele netwerk als de gateway van het virtuele netwerk en tussen peers van virtuele netwerken.
Belangrijk
- De doorvoer- en besturingsvlakcapaciteit voor connectiviteit met privé-eindpuntresources kan met de helft worden verminderd in vergelijking met connectiviteit met niet-privé-eindpuntresources.
- Tijdens een onderhoudsperiode kunt u onregelmatige verbindingsproblemen ondervinden met privé-eindpuntbronnen.
- U moet ervoor zorgen dat on-premises configuratie, inclusief router- en firewallinstellingen, correct zijn ingesteld om ervoor te zorgen dat pakketten voor de IP 5-tuple-transits één volgende hop (Microsoft Enterprise Edge-router) gebruiken, tenzij er een onderhoudsgebeurtenis is. Als de configuratie van uw on-premises firewall of router ervoor zorgt dat dezelfde "IP 5-tuple" vaak van volgende hop wisselt, zult u verbindingsproblemen ondervinden.
Privé-eindpuntconnectiviteit en gepland onderhoud
De connectiviteit van privé-eindpunten is statusafhankelijk. Wanneer een verbinding met een privé-eindpunt tot stand is gebracht via persoonlijke ExpressRoute-peering, worden binnenkomende en uitgaande verbindingen gerouteerd via een van de back-endexemplaren van de gatewayinfrastructuur. Tijdens een onderhoudsgebeurtenis worden back-endinstanties van de gatewayinfrastructuur van het virtuele netwerk één voor één opnieuw opgestart, wat kan leiden tot onregelmatige connectiviteitsproblemen.
Als u connectiviteitsproblemen met privé-eindpunten tijdens onderhoudsactiviteiten wilt voorkomen of minimaliseren, raden we u aan de TCP-time-outwaarde tussen 15 en 30 seconden in uw on-premises toepassingen in te stellen. Test en configureer de optimale waarde op basis van uw toepassingsvereisten.
REST API's en PowerShell-cmdlets
Zie de volgende pagina's voor meer technische resources en specifieke syntaxisvereisten wanneer u REST API's en PowerShell-cmdlets gebruikt voor configuraties van virtuele netwerkgateways:
| Klassiek | Resource Manager |
|---|---|
| Powershell | Powershell |
| REST API | REST API |
VNet-naar-VNet-connectiviteit
Standaard is connectiviteit tussen virtuele netwerken ingeschakeld wanneer u meerdere virtuele netwerken koppelt aan hetzelfde ExpressRoute-circuit. Het wordt afgeraden uw ExpressRoute-circuit te gebruiken voor communicatie tussen virtuele netwerken. In plaats daarvan raden we u aan virtuele netwerkpeering te gebruiken. Zie Connectiviteit tussen virtuele netwerken via ExpressRoute voor meer informatie over waarom VNet-naar-VNet-connectiviteit niet wordt aanbevolen via ExpressRoute.
Virtueel netwerkpeering
Een virtueel netwerk met een ExpressRoute-gateway kan peering van virtuele netwerken hebben met maximaal 500 andere virtuele netwerken. Peering van virtuele netwerken zonder een ExpressRoute-gateway heeft mogelijk een hogere peeringbeperking.
Gerelateerde inhoud
Zie Overzicht van ExpressRoute voor meer informatie over beschikbare verbindingsconfiguraties.
Zie Een virtuele netwerkgateway maken voor ExpressRoute voor meer informatie over het maken van ExpressRoute-gateways.
Zie Een virtuele netwerkgateway configureren voor ExpressRoute met behulp van Azure Portal voor meer informatie over het implementeren van ErGwScale.
Zie Een zone-redundante virtuele netwerkgateway maken voor meer informatie over het configureren van zone-redundante gateways.