Szybka ścieżka sieci VPN usługi Azure Stack Hub dla operatorów
Co to jest funkcja szybkiej ścieżki sieci VPN usługi Azure Stack Hub?
Usługa Azure Stack Hub wprowadza trzy nowe jednostki SKU opisane w tym artykule w ramach funkcji szybkiej ścieżki sieci VPN. Wcześniej tunele S2S były ograniczone do maksymalnej przepustowości 200 Mb/s przy użyciu jednostki SKU HighPerformance. Nowe jednostki SKU umożliwiają scenariusze klienta, w których wymagana jest większa przepływność sieci. Wartości przepływności dla każdej jednostki SKU są wartościami jednokierunkowym, co oznacza, że obsługuje daną przepływność dla ruchu wysyłania lub odbierania.
Nowe jednostki SKU bramy sieci wirtualnej szybkiej ścieżki sieci VPN
Wraz z wprowadzeniem funkcji szybkiej ścieżki sieci VPN w usłudze Azure Stack Hub użytkownicy dzierżawy mogą tworzyć połączenia sieci VPN przy użyciu 3 nowych jednostek SKU:
- Podstawowa
- Standardowa (Standard)
- Wysoka wydajność
- VpnGw1 (nowy)
- VpnGw2 (nowy)
- VpnGw3 (nowy)
Ważne zagadnienia przed włączeniem szybkiej ścieżki sieci VPN usługi Azure Stack Hub
Aby proces aktualizacji przebiegał tak sprawnie, jak to możliwe, aby mieć minimalny wpływ na użytkowników, ważne jest przygotowanie sygnatury usługi Azure Stack Hub.
Jako operator usługi Azure Stack Hub włączający szybką ścieżkę sieci VPN zalecamy koordynowanie z użytkownikami dzierżawy w celu zaplanowana okna obsługi, w którym może nastąpić zmiana. Powiadom użytkowników o ewentualnych awariach usługi połączenia sieci VPN, a następnie wykonaj kroki opisane tutaj, aby przygotować sygnaturę do aktualizacji.
Szybka ścieżka sieci VPN wymaga translatora adresów sieciOWYCH na zdalnych urządzeniach sieci VPN
Szybka ścieżka sieci VPN usługi Azure Stack Hub opiera się na nowej usłudze bramy SDN i jest ona dostarczana z nowym wymaganiem podczas planowania.
Planowanie z użytkownikami dzierżawy przed włączeniem szybkiej ścieżki sieci VPN
- Lista istniejących ustawień zasobów bramy sieci wirtualnej.
- Lista istniejących ustawień zasobów połączeń.
- Lista zasad i ustawień protokołu IPSec używanych w istniejących połączeniach.
- Ten krok gwarantuje, że użytkownicy mają skonfigurowane zasady, które działają z ich urządzeniem, w tym niestandardowe zasady protokołu IPSec.
- Wyświetlanie listy ustawień bramy sieci lokalnej. Użytkownicy dzierżawy mogą ponownie używać zasobów i konfiguracji bramy sieci lokalnej. Zalecamy jednak również zapisanie istniejącej konfiguracji na wypadek konieczności ich ponownego utworzenia.
- Po włączeniu szybkiej ścieżki sieci VPN dzierżawcy muszą ponownie utworzyć bramy sieci wirtualnej i połączenia odpowiednio, jeśli chcą korzystać z nowych jednostek SKU.
Wraz z wydaniem szybkiej ścieżki sieci VPN istnieje nowe polecenie programu PowerShell, które operatory mogą wywołać, aby wyświetlić listę wszystkich istniejących połączeń utworzonych przez ich dzierżawy. To polecenie cmdlet może pomóc operatorowi zarządzać pojemnością i skontaktować się z administratorami dzierżawy, jeśli będą musieli ponownie utworzyć bramy sieci wirtualnej:
Get-AzsVirtualNetworkGatewayConnection
Aby uzyskać więcej informacji, zobacz Get-AzsVirtualNetworkGatewayConnection.
Jak włączyć szybką ścieżkę sieci VPN usługi Azure Stack Hub
W przypadku szybkiej ścieżki sieci VPN operatory mogą włączać nową funkcję przy użyciu następujących poleceń programu PowerShell. Gdy funkcja osiągnie ogólną dostępność, operatorzy mogą również włączyć tę funkcję przy użyciu portalu administratora usługi Azure Stack Hub.
Istniejące konfiguracje można dostosować, tworząc ponownie bramę sieci wirtualnej i jej połączenia z jedną z nowych jednostek SKU.
Włączanie szybkiej ścieżki sieci VPN usługi Azure Stack Hub przy użyciu programu PowerShell
W uprzywilejowanym punkcie końcowym usługi Azure Stack Hub możesz uruchomić następujące polecenie programu PowerShell, aby włączyć funkcję szybkiej ścieżki sieci VPN:
Aby uzyskać więcej informacji na temat pep usługi Azure Stack Hub, zobacz Access privileged endpoint (Uzyskiwanie dostępu do uprzywilejowanego punktu końcowego).
Set-AzSVPNFastPath -Enable
Sprawdzanie, czy szybka ścieżka sieci VPN usługi Azure Stack Hub jest włączona przy użyciu programu PowerShell
Po włączeniu funkcji szybka ścieżka sieci VPN można zweryfikować bieżący stan maszyn wirtualnych bramy i używaną pojemność przy użyciu następującego polecenia programu PowerShell:
Get-AzSVPNFastPath
Wyłączanie szybkiej ścieżki sieci VPN usługi Azure Stack Hub przy użyciu programu PowerShell
Set-AzSVPNFastPath -Disable
Jeśli musisz wyłączyć szybką ścieżkę sieci VPN, musisz najpierw pracować z dzierżawą, aby usunąć i ponownie utworzyć wszystkie bramy sieci wirtualnej przy użyciu jednostek SKU szybkiej ścieżki sieci VPN. Ponieważ pojemność sieci VPN sygnatury zwiększa się po włączeniu szybkiej ścieżki sieci VPN, nie można wyłączyć szybkiej ścieżki sieci VPN, jeśli ogólna pojemność w użyciu przekracza łączną pojemność, gdy usługa Azure Stack Hub nie korzysta z szybkiej ścieżki sieci VPN.
Architektura puli bram usługi Azure Stack Hub
W usłudze Azure Stack Hub istnieją trzy maszyny wirtualne infrastruktury bramy z wieloma dzierżawami. Dwie z tych maszyn wirtualnych są w trybie aktywnym, a trzeci jest w trybie nadmiarowym. Aktywne maszyny wirtualne umożliwiają tworzenie na nich połączeń sieci VPN, a nadmiarowa maszyna wirtualna akceptuje połączenia sieci VPN tylko w przypadku przejścia w tryb failover. Jeśli aktywna maszyna wirtualna bramy stanie się niedostępna, połączenie sieci VPN kończy się niepowodzeniem z nadmiarową maszyną wirtualną po krótkim (kilku sekundach) utraty połączenia.
Podczas aktualizacji producenta OEM lub usługi Azure Stack Hub oczekuje się przejścia w tryb failover połączenia bramy, ponieważ maszyny wirtualne są poprawiane i migrowane na żywo. Ten tryb failover może spowodować tymczasowe rozłączenie tuneli.
Łączna pojemność nowej puli bramy
Ogólna pojemność puli bramy sygnatury usługi Azure Stack Hub wynosi 4 Gb/s. Ta pojemność jest podzielona między dwie maszyny wirtualne bramy Active Gateway, a każda maszyna wirtualna bramy obsługuje do 2 Gb/s przepływności. Po utworzeniu zasobu połączenia dwukrotnie jego jednostka SKU jest zarezerwowana na maszynie wirtualnej bramy. Dzięki temu można osiągnąć maksymalną przepływność jednostki SKU (mierzoną w jednym kierunku) z ruchem Tx lub Rx w zależności od wymagań obciążenia użytkownika.
Na przykład jednostka SKU HighPerformance rezerwuje 400 Mb/s na maszynie wirtualnej bramy (200 dla tx, 200 dla Rx). Oznacza to, że w istniejącym aucie połączenie HighPerformance rezerwuje jedną dziesiątą ogólnej pojemności puli bramy.
W poniższej tabeli przedstawiono typy bram i szacowaną zagregowaną przepływność dla każdego tunelu/połączenia według jednostki SKU bramy, gdy szybka ścieżka sieci VPN jest wyłączona:
SKU | Maksymalna przepływność połączenia sieci VPN (1) | Maksymalna liczba połączeń sieci VPN na aktywną maszynę wirtualną bramy | Maksymalna liczba połączeń sieci VPN na sygnaturę (2) |
---|---|---|---|
Podstawowa (3) | 100 Mb/s Tx/Rx | 10 | 20 |
Standardowa | 100 Mb/s Tx/Rx | 10 | 20 |
Wysoka wydajność | 200 Mb/s Tx/Rx | 5 | 10 |
(1) — Przepływność tunelu nie jest gwarantowaną przepływnością dla połączeń obejmujących wiele lokalizacji w Internecie; jest to maksymalny możliwy pomiar przepływności. Łączna agregacja w jednym kierunku wynosi 2 Gb/s.
(2) — Maksymalna liczba tuneli to łączna liczba wdrożeń usługi Azure Stack Hub dla wszystkich subskrypcji.
(3) — routing BGP nie jest obsługiwany dla jednostki SKU w warstwie Podstawowa.
Szacowana zagregowana przepływność tunelu według jednostki SKU z włączoną szybką ścieżką sieci VPN
Gdy operator włączy szybką ścieżkę sieci VPN na sygnaturze usługi Azure Stack Hub, ogólna pojemność puli bramy zostanie zwiększona do 10 Gb/s. Ponieważ pojemność jest podzielona między dwie aktywne maszyny wirtualne bramy, każda maszyna wirtualna bramy ma pojemność 5 Gb/s. Ilość pojemności zarezerwowanej dla każdego połączenia jest taka sama jak w poprzedniej sekcji. W związku z tym jednostka SKU VpnGw3 (1250 Mb/s) rezerwuje 2500 Mb/s pojemności na maszynie wirtualnej bramy:
SKU | Maksymalna przepływność połączenia sieci VPN (1) | Maksymalna liczba połączeń sieci VPN na aktywną maszynę wirtualną bramy | Maksymalna liczba połączeń sieci VPN na sygnaturę (2) |
---|---|---|---|
Podstawowa (3) | 100 Mb/s Tx/Rx | 25 | 50 |
Standardowa | 100 Mb/s Tx/Rx | 25 | 50 |
Wysoka wydajność | 200 Mb/s Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mb/s Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mb/s Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mb/s Tx/Rx | 2 | 4 |
(1) — Przepływność tunelu nie jest gwarantowaną przepływnością dla połączeń obejmujących wiele lokalizacji w Internecie; jest to maksymalny możliwy pomiar przepływności. Łączna agregacja w jednym kierunku wynosi 5 Gb/s.
(2) — Maksymalna liczba tuneli to łączna liczba wdrożeń usługi Azure Stack Hub dla wszystkich subskrypcji.
(3) — routing BGP nie jest obsługiwany dla jednostki SKU w warstwie Podstawowa.