Szybka ścieżka sieci VPN usługi Azure Stack Hub dla użytkowników dzierżawy
Co to jest funkcja szybkiej ścieżki sieci VPN usługi Azure Stack Hub?
Usługa Azure Stack Hub wprowadza trzy nowe jednostki SKU opisane w tym artykule jako część funkcji szybkiej ścieżki sieci VPN. Wcześniej tunele typu lokacja-lokacja były ograniczone do maksymalnej przepustowości wynoszącej 200 Mb/s przy użyciu jednostki SKU HighPerformance. Nowe jednostki SKU umożliwiają scenariusze klienta, w których wymagana jest wyższa przepływność sieci. Wartości przepływności dla każdej jednostki SKU są wartościami jednokierunkową, co oznacza, że obsługuje daną przepływność dla ruchu wysyłania lub odbierania.
Gdy operator usługi Azure Stack włączy funkcję szybkiej ścieżki sieci VPN w sygnaturze usługi Azure Stack Hub, użytkownicy dzierżawy mogą tworzyć bramy sieci wirtualnej przy użyciu nowych jednostek SKU. Istniejące konfiguracje można dostosować, tworząc ponownie bramę sieci wirtualnej i jej połączenia z jedną z nowych jednostek SKU.
Nowe jednostki SKU sieci wirtualnej są dostępne po włączeniu szybkiej ścieżki sieci VPN
Oprócz 3 nowych jednostek SKU ogólna pojemność sieci VPN usługi Azure Stack Hub zwiększa się, umożliwiając więcej połączeń sieci VPN.
W poniższej tabeli przedstawiono nową przepływność dla każdej jednostki SKU po włączeniu szybkiej ścieżki sieci VPN:
SKU | Maksymalna przepływność połączenia sieci VPN |
---|---|
Podstawowa | 100 Mb/s Tx/Rx |
Standardowa | 100 Mb/s Tx/Rx |
Wysoka wydajność | 200 Mb/s Tx/Rx |
VpnGwy1 | 650 Mb/s Tx/Rx |
VpnGwy2 | 1000 Mb/s Tx/Rx |
VpnGwy3 | 1250 Mb/s Tx/Rx |
Tworzenie bram sieci wirtualnej do używania nowych jednostek SKU
Dzięki szybkiej ścieżce sieci VPN użytkownicy dzierżawy mogą tworzyć bramy sieci wirtualnej z nowymi jednostkami SKU przy użyciu portalu usługi Azure Stack Hub lub programu PowerShell.
Tworzenie bram sieci wirtualnej z nowymi jednostkami SKU przy użyciu portalu usługi Azure Stack Hub
Jeśli do utworzenia bramy sieci wirtualnej używasz portalu usługi Azure Stack Hub, możesz wybrać jednostkę SKU przy użyciu listy rozwijanej. Nowe jednostki SKU szybkiej ścieżki sieci VPN (VpnGwy1, VpnGwy2, VpnGwy3) są widoczne tylko po dodaniu parametru zapytania "?azurestacknewvpnskus=true" do adresu URL i odświeżania.
Poniższy przykład adresu URL sprawia, że nowe jednostki SKU bramy sieci wirtualnej są widoczne w portalu użytkowników usługi Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Zanim operator utworzy te zasoby, musi włączyć szybką ścieżkę sieci VPN w sygnaturze usługi Azure Stack Hub:
Tworzenie bram sieci wirtualnej z nowymi jednostkami SKU przy użyciu programu PowerShell
W poniższym przykładzie użyto modułów AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Uaktualnianie starszych bram sieci wirtualnej
Nie można zaktualizować jednostki SKU bez ponownego utworzenia bramy sieci wirtualnej, co wymaga usunięcia wszystkich połączeń skojarzonych z bramą sieci wirtualnej. Możesz ponownie użyć zasobów bramy sieci lokalnej po utworzeniu bramy sieci wirtualnej przy użyciu nowej jednostki SKU. Zasób bramy sieci lokalnej definiuje przestrzeń adresową i adres IP urządzenia lokalnego oraz zachowuje konfigurację.
Wykonaj następujące kroki, aby uaktualnić jednostki SKU bramy sieci wirtualnej:
- Usuń wszystkie połączenia w istniejącej bramie sieci wirtualnej: zanotuj klucz wstępny i informację, czy flaga protokołu BGP jest ustawiona na włączoną.
- Usuń istniejącą bramę sieci wirtualnej przy użyciu starszej jednostki SKU: nie można utworzyć dwóch bram sieci wirtualnej w tej samej sieci wirtualnej, więc musisz usunąć istniejącą.
- Utwórz nowy zasób bramy sieci wirtualnej przy użyciu nowej jednostki SKU: możesz wybrać jedną z nowych jednostek SKU z włączoną szybką ścieżką sieci VPN.
- Utwórz nowe połączenie między nową bramą sieci wirtualnej a istniejącą bramą sieci lokalnej: jeśli używasz niestandardowych zasad protokołu IP sec, utwórz połączenie za pomocą programu PowerShell. Użyj klucza wstępnego i flagi protokołu BGP zanotowanej w kroku 1.
- Powtórz krok 4 dla innych połączeń, które chcesz przenieść do nowej jednostki SKU: ten krok jest odpowiedni dla scenariuszy obejmujących wiele lokacji.
Topologie połączeń sieci VPN
Dla bram sieci VPN są dostępne różne konfiguracje. Określ, która konfiguracja najlepiej odpowiada Twoim potrzebom. W poniższych sekcjach można wyświetlić informacje i diagramy topologii dotyczące następujących scenariuszy bramy sieci VPN:
- Połączenia typu lokacja-lokacja
- Połączenia typu lokacja-lokacja
- Połączenia lokacja-lokacja lub lokacja-lokacja między sygnaturami usługi Azure Stack Hub
Diagramy i opisy w poniższych sekcjach mogą pomóc w wybraniu topologii połączenia, aby spełnić wymagania. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość tworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako przewodnika.
Połączenia typu lokacja-lokacja
Połączenie bramy sieci VPN typu lokacja-lokacja (S2S) jest połączeniem za pośrednictwem tunelu sieci VPN protokołu IPsec/IKE (IKEv2). Ten typ połączenia wymaga urządzenia sieci VPN, które znajduje się lokalnie i ma przypisany publiczny adres IP.
Połączenia typu lokacja-lokacja
Topologia lokacja-lokacja to odmiana topologii lokacja-lokacja. W tym przypadku tworzysz więcej niż jedno połączenie VPN z bramy sieci wirtualnej — zwykle do nawiązywania połączenia z wieloma lokacjami lokalnymi.
Połączenia lokacja-lokacja lub lokacja-lokacja między sygnaturami usługi Azure Stack Hub
Między dwoma wdrożeniami usługi Azure Stack Hub można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja. To ograniczenie jest spowodowane ograniczeniem platformy, które zezwala tylko na pojedyncze połączenie sieci VPN z tym samym adresem IP. Ponieważ usługa Azure Stack Hub używa bramy z wieloma dzierżawami, która ma jeden publiczny adres IP dla wszystkich bram sieci VPN w systemie Azure Stack Hub, może istnieć tylko jedno połączenie sieci VPN między dwoma systemami usługi Azure Stack Hub. To ograniczenie dotyczy również łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN, która używa jednego adresu IP. Usługa Azure Stack Hub nie zezwala na utworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP.
Na poniższym diagramie pokazano, jak połączyć wiele sygnatur usługi Azure Stack Hub, jeśli musisz utworzyć topologię siatki między sygnaturami. W tym scenariuszu istnieje 3 sygnatury usługi Azure Stack Hub, a każda z nich ma 1 bramę sieci wirtualnej z 2 połączeniami i 2 bramami sieci lokalnej. Dzięki nowym jednostkom SKU użytkownicy mogą łączyć sieci i obciążenia między sygnaturami z przepływnością połączeń sieci VPN do 1250 Mb/s Tx/Rx, alokując 50% pojemności puli bramy każdej sygnatury. Pozostała pojemność na każdej sygnaturze może służyć do obsługi większej liczby połączeń sieci VPN wymaganych w innych przypadkach użycia: