Tworzenie bram sieci VPN dla usługi Azure Stack Hub

  • Artykuł

Brama sieci wirtualnej to programowe urządzenie sieci VPN (brama sieci VPN) dla sieci wirtualnej usługi Azure Stack Hub. Użyj tego polecenia z połączeniem lub połączeniami, aby skonfigurować połączenie sieci VPN typu lokacja-lokacja lub sieć VPN typu lokacja-lokacja między siecią wirtualną usługi Azure Stack Hub a siecią lokalną lub połączenie sieci VPN typu sieć wirtualna-sieć wirtualna między dwiema sieciami wirtualnymi utworzonymi na różnych sygnaturach usługi Azure Stack Hub.

Podczas tworzenia bramy sieci wirtualnej musisz wybrać typ bramy do utworzenia. Usługa Azure Stack Hub obsługuje tylko typ sieci VPN .

Każda sieć wirtualna może mieć tylko jedną bramę sieci wirtualnej. W zależności od wybranych ustawień można utworzyć wiele połączeń w jednej bramie sieci wirtualnej. Przykładem takiej konfiguracji jest konfiguracja topologii typu lokacja-lokacja.

Przed utworzeniem i skonfigurowaniem zasobów bramy sieci wirtualnej dla usługi Azure Stack Hub zapoznaj się z zagadnieniami dotyczącymi sieci usługi Azure Stack Hub , aby dowiedzieć się, jak konfiguracje usługi Azure Stack Hub różnią się od platformy Azure.

Uwaga

Na platformie Azure wybrana jednostka SKU bramy sieci wirtualnej musi być podzielona na wszystkie połączenia połączone z bramą. Jednak w usłudze Azure Stack Hub wartość przepustowości dla jednostki SKU bramy sieci wirtualnej jest stosowana do każdego zasobu połączenia połączonego z bramą.

Na przykład:

  • Na platformie Azure podstawowa jednostka SKU bramy sieci wirtualnej może pomieścić około 100 Mb/s zagregowanej przepływności. Jeśli tworzysz dwa połączenia z bramą sieci wirtualnej, a jedno połączenie używa przepustowości 50 Mb/s, to 50 Mb/s jest dostępne dla drugiego połączenia.
  • W usłudze Azure Stack Hub każde połączenie z podstawową jednostkę SKU bramy sieci wirtualnej jest przydzielane 100 Mb/s przepływności.

Konfigurowanie bram sieci VPN

Brama sieci VPN opiera się na kilku zasobach skonfigurowanych przy użyciu określonych ustawień. Większość z tych zasobów można skonfigurować oddzielnie, ale w niektórych przypadkach należy je skonfigurować w określonej kolejności.

Ustawienia

Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla utworzenia pomyślnego połączenia.

Aby uzyskać informacje o poszczególnych zasobach i ustawieniach bramy sieci VPN, zobacz About VPN gateway settings for Azure Stack Hub (Informacje o ustawieniach bramy sieci VPN dla usługi Azure Stack Hub).

Narzędzia wdrażania

Zasoby można tworzyć i konfigurować przy użyciu jednego narzędzia konfiguracji, takiego jak portal usługi Azure Stack Hub. Później możesz przełączyć się do innego narzędzia, takiego jak program PowerShell, aby skonfigurować dodatkowe zasoby lub zmodyfikować istniejące zasoby, jeśli ma to zastosowanie.

Obecnie nie można skonfigurować każdego ustawienia zasobu i zasobu w portalu usługi Azure Stack Hub. Instrukcje w artykułach dotyczących poszczególnych topologii połączeń określają, kiedy potrzebne jest konkretne narzędzie konfiguracji.

Diagramy topologii połączeń

Dla bram sieci VPN są dostępne różne konfiguracje. Określ, która konfiguracja najlepiej odpowiada Twoim potrzebom. W poniższych sekcjach można wyświetlić informacje i diagramy topologii dotyczące następujących scenariuszy bramy sieci VPN:

  • Połączenia typu lokacja-lokacja
  • Połączenia typu lokacja-lokacja
  • Połączenia lokacja-lokacja lub lokacja-lokacja między sygnaturami usługi Azure Stack Hub

Diagramy i opisy w poniższych sekcjach mogą pomóc w wybraniu topologii połączenia, aby spełnić wymagania. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość tworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako przewodnika.

Połączenia typu lokacja-lokacja

Połączenie bramy sieci VPN typu lokacja-lokacja (S2S) jest połączeniem za pośrednictwem tunelu sieci VPN protokołu IPsec/IKE (IKEv2). Ten typ połączenia wymaga urządzenia sieci VPN, które znajduje się lokalnie i ma przypisany publiczny adres IP. Z połączeń typu lokacja-lokacja (S2S) można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji.

Przykład połączenia lokacja-lokacja bramy sieci VPN platformy Azure

Połączenia typu lokacja-lokacja

Topologia lokacja-lokacja to odmiana topologii lokacja-lokacja. Tworzysz więcej niż jedno połączenie sieci VPN z bramy sieci wirtualnej, zazwyczaj łącząc się z wieloma lokacjami lokalnymi.

Przykład połączeń typu lokacja-lokacja bramy sieci VPN platformy Azure

Połączenia lokacja-lokacja lub lokacja-lokacja między sygnaturami usługi Azure Stack Hub

Między dwoma wdrożeniami usługi Azure Stack Hub można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja. Jest to spowodowane ograniczeniem platformy, które zezwala tylko na pojedyncze połączenie sieci VPN z tym samym adresem IP. Ponieważ usługa Azure Stack Hub korzysta z bramy z wieloma dzierżawami, która używa jednego publicznego adresu IP dla wszystkich bram sieci VPN w systemie Azure Stack Hub, może istnieć tylko jedno połączenie sieci VPN między dwoma systemami usługi Azure Stack Hub. To ograniczenie dotyczy również łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN, która używa jednego adresu IP. Usługa Azure Stack Hub nie zezwala na utworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP.

Na poniższym diagramie pokazano, jak połączyć wiele sygnatur usługi Azure Stack Hub, jeśli musisz utworzyć topologię siatki między sygnaturami.

W tym scenariuszu istnieje 3 sygnatury usługi Azure Stack Hub, a każda z nich ma 1 bramę sieci wirtualnej z 2 połączeniami i 2 bramami sieci lokalnej. Dzięki nowym jednostkom SKU użytkownicy mogą łączyć sieci i obciążenia między sygnaturami z przepływnością połączenia sieci VPN do 1250 Mb/s Tx/Rx, alokując 50% pojemności puli bramy każdej sygnatury. Możesz użyć pozostałej pojemności na każdej sygnaturze, aby uzyskać dodatkowe połączenia sieci VPN wymagane w innych przypadkach użycia:

Połączenia usługi Azure VPN Gateway między sygnaturami

Jednostki SKU bramy

Podczas tworzenia bramy sieci wirtualnej dla usługi Azure Stack Hub należy określić jednostkę SKU bramy, której chcesz użyć. Obsługiwane są następujące jednostki SKU bramy Virtual Network:

  • Podstawowa — 100 Mb/s Tx/Rx
  • Standardowa — 100 Mb/s Tx/Rx
  • Wysoka wydajność — 200 Mb/s Tx/Rx

Nowe jednostki SKU bramy Virtual Network w publicznej wersji zapoznawczej

W wersji 2209 usługi Azure Stack Hub firma Microsoft ogłasza publiczną wersję zapoznawcza nowej funkcji szybkiej ścieżki sieci VPN, która zwiększa łączną maksymalną przepływność sygnatury usługi Azure Stack Hub z 2 Gb/s do 5 Gb/s, a także wprowadza 3 nowe jednostki SKU

  • VpnGw1 - 650 Mb/s Tx/Rx
  • VpnGw2 - 1000 Mb/s Tx/Rx
  • VpnGw3 – 1250 Mb/s Tx/Rx

Usługa Azure Stack Hub nie obsługuje jednostki SKU bramy Ultra Performance, która jest używana wyłącznie z usługą Express Route.

Podczas wybierania jednostki SKU należy wziąć pod uwagę następujące kwestie:

  • Usługa Azure Stack Hub nie obsługuje bram opartych na zasadach.
  • Protokół BGP (Border Gateway Protocol) nie jest obsługiwany w jednostce SKU w warstwie Podstawowa.
  • Współistniejące konfiguracje bramy expressRoute-VPN nie są obsługiwane w usłudze Azure Stack Hub.

Dostępność bramy

W przeciwieństwie do platformy Azure, która zapewnia dostępność zarówno za pośrednictwem konfiguracji aktywne/aktywne, jak i aktywne/pasywne, usługa Azure Stack Hub obsługuje tylko konfigurację aktywną/pasywną.

Następne kroki