Udostępnij za pośrednictwem


Informacje na temat bram sieci wirtualnej usługi ExpressRoute

Aby połączyć sieć wirtualną platformy Azure (sieć wirtualną) i sieć lokalną przy użyciu usługi Azure ExpressRoute, musisz najpierw utworzyć bramę sieci wirtualnej. Brama sieci wirtualnej służy dwóm celom: wymiany tras IP między sieciami i kierowania ruchu sieciowego.

W tym artykule opisano różne typy bram, jednostki SKU bramy i szacowaną wydajność według jednostki SKU. W tym artykule wyjaśniono również funkcję ExpressRoute FastPath, która umożliwia ruch sieciowy z sieci lokalnej w celu obejścia bramy sieci wirtualnej w celu zwiększenia wydajności.

Typy bramek

Podczas tworzenia bramy sieci wirtualnej należy określić kilka ustawień. Jedno z wymaganych ustawień, -GatewayType, określa, czy brama jest używana dla ruchu usługi ExpressRoute czy sieci VPN. Istnieją dwa typy bram:

  • Vpn: Aby wysyłać zaszyfrowany ruch przez publiczny internet, użyj Vpn dla -GatewayType (nazywanej również bramą sieci VPN). Połączenia typu lokacja-lokacja, punkt-lokacja i połączenia między sieciami wirtualnymi używają bramy sieci VPN.

  • ExpressRoute: Aby wysyłać ruch sieciowy w połączeniu prywatnym, użyj ExpressRoute dla -GatewayType (również nazywanego bramą ExpressRoute). Ten typ bramy jest używany podczas konfigurowania usługi ExpressRoute.

Każda sieć wirtualna może mieć tylko jedną bramę sieci wirtualnej na typ bramy. Można na przykład mieć jedną bramę sieci wirtualnej, która używa Vpn dla -GatewayType, oraz jedną, która używa ExpressRoute dla -GatewayType.

Gateway SKU

Podczas tworzenia bramy sieci wirtualnej musisz wybrać odpowiedni SKU dla bramy. Po wybraniu wyższego SKU bramy, do bramy zostanie przydzielona większa liczba procesorów i przepustowości sieci. W związku z tym brama może obsługiwać większą przepływność sieci do sieci wirtualnej.

Bramy sieci wirtualnej usługi ExpressRoute mogą używać następujących jednostek SKU:

  • ERGwScale (wersja zapoznawcza)
  • Standard
  • Wysoka wydajność (HighPerformance)
  • UltraPerformance
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

Możesz zaktualizować swoją bramę do jednostki SKU o wyższej pojemności w ramach tej samej rodziny jednostek SKU, zarówno bez obsługi modułu Az, jak i z obsługą modułu Az.

Można na przykład uaktualnić następujące elementy:

  • Z jednej jednostki SKU bez obsługi modułu Az do innej jednostki SKU bez obsługi modułu Az
  • Z jednej jednostki SKU obsługującej moduł Az do innej jednostki SKU obsługującej moduł Az

W przypadku wszystkich innych scenariuszy degradacji należy usunąć i ponownie utworzyć bramę, co powoduje przerwę.

Tworzenie podsieci bramy sieciowej

Przed utworzeniem bramy ExpressRoute należy utworzyć podsieć bramy. Maszyny wirtualne i usługi bramy sieci wirtualnej używają adresów IP zawartych w podsieci bramy.

Gdy tworzysz bramę sieci wirtualnej, maszyny wirtualne bramy są wdrażane w podsieci bramy sieciowej i konfigurowane z użyciem wymaganych ustawień bramy ExpressRoute. Nigdy nie wdrażaj żadnych innych komponentów w podsieci bramy. Podsieć bramy musi być nazwana "GatewaySubnet", aby działała prawidłowo, ponieważ to informuje platformę Azure o tym, gdzie wdrożyć maszyny wirtualne i usługi bramy sieci wirtualnej w tej podsieci.

Uwaga

  • Trasy zdefiniowane przez użytkownika z lokalizacją docelową 0.0.0.0/0 oraz sieciowymi grupami zabezpieczeń (NSG) na podsieci bramy nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP (Border Gateway Protocol) powinna być włączona w podsieci bramy, aby zapewnić dostępność bramy. Jeśli propagacja tras protokołu BGP jest wyłączona, brama nie będzie działać.

  • Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.

  • Nie zalecamy wdrażania Prywatnej usługi rozpoznawania nazw Azure DNS w sieci wirtualnej, która posiada bramę ExpressRoute i ustanawia reguły wieloznaczne, aby przekierować całe rozpoznawanie nazw do określonego serwera DNS. Taka konfiguracja może powodować problemy z łącznością zarządzania.

Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane maszynom wirtualnym oraz usługom tej bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.

Podczas planowania wielkości podsieci bramowej, zapoznaj się z dokumentacją dotyczącą konfiguracji, którą planujesz utworzyć. Na przykład, konfiguracja współistnienia bram ExpressRoute/VPN wymaga, aby podsieć była większa niż w przypadku większości innych konfiguracji. Ponadto warto upewnić się, że podsieć bramy zawiera wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.

Zalecamy utworzenie podsieci bramy sieciowej /27 lub większej. Jeśli planujesz połączyć 16 łączy ExpressRoute z bramą sieciową, musisz utworzyć podsieć bramy o rozmiarze /26 lub większym. Jeśli tworzysz podsieć bramy z podwójnym stosem, zalecamy użycie zakresu adresów IPv6 o prefiksie /64 lub większym. Ten zestaw pomieści większość konfiguracji.

Poniższy przykład PowerShell dla usługi Azure Resource Manager przedstawia podsieć bramy o nazwie GatewaySubnet. Widać, że notacja routingu międzydomenowego bezklasowego (CIDR) określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Ważne

Sieciowe Grupy Zabezpieczeń (NSG) w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (bramy VPN i ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.

Ograniczenia i wydajność bramy sieci wirtualnej

Obsługa funkcji przy użyciu SKU bramy

W poniższej tabeli przedstawiono funkcje obsługiwane przez każdy typ bramy oraz maksymalną liczbę połączeń obwodu usługi ExpressRoute, które obsługuje każda jednostka SKU bramy.

Bramowy SKU Współistnienie bramy sieci VPN i usługi ExpressRoute FastPath Maksymalna liczba połączeń obwodu
Standardowa jednostka SKU/ERGw1Az Tak Nie. 4
Wysoki wydajnościowy SKU/ERGw2Az Tak Nie. 8
Ultra wydajność SKU/ErGw3Az Tak Tak 16
ErGwScale (wersja zapoznawcza) Tak Tak — co najmniej 10 jednostek skalowania 4 — minimum 1 jednostka skalowania
8 — co najmniej 2 jednostki skalowania
16 — co najmniej 10 jednostek skalowania

Uwaga

Maksymalna liczba łączy usługi ExpressRoute z tej samej lokalizacji punktu równorzędności, która może łączyć się z tą samą siecią wirtualną, jest ograniczona do 4 dla wszystkich bram.

Szacowane wydajności bramy według SKU

Poniższe tabele zawierają omówienie różnych typów bram, ich odpowiednich ograniczeń i oczekiwanych metryk wydajności.

Maksymalne obsługiwane limity

Ta tabela dotyczy zarówno modeli wdrażania klasycznego, jak i usługi Azure Resource Manager.

Bramowy SKU Megabity na sekundę Pakiety na sekundę Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej 1 Limit liczby przepływów Liczba tras nauczonych przez gateway
Standardowa/ERGw1Az 1000 100 000 2000 200,000 4000
Wysoka wydajność/ERGw2Az 2000 200,000 4500 400 000 9 500
Ultra Performance/ErGw3Az 10 000 1 000 000 11 000 1 000 000 9 500
ErGwScale (na jednostkę skalowania 1–10) 1000 na jednostkę skalowania 100 000 na jednostkę skalowania 2000 na jednostkę skali 100 000 na jednostkę skalowania 60 000 łącznie na bramę
ErGwScale (na jednostkę skalowania 11–40) 1000 na jednostkę skalowania 200 000 na jednostkę skalowania 1000 na jednostkę skalowania 100 000 na jednostkę skalowania 60 000 łącznie na bramę

1 Wartości w tabeli są szacowane i różnią się w zależności od użycia procesora bramy. Jeśli wykorzystanie procesora jest wysokie i liczba obsługiwanych maszyn wirtualnych zostanie przekroczona, brama zacznie usuwać pakiety.

Uwaga

Usługa ExpressRoute może obsługiwać do 11 000 tras, które obejmują przestrzenie adresowe sieci wirtualnej, sieci lokalne i wszystkie istotne połączenia sieci rówieśniczej. Aby zapewnić stabilność połączenia usługi ExpressRoute, powstrzymaj się od reklamowania ponad 11 000 tras do usługi ExpressRoute. Maksymalna liczba tras ogłaszanych przez bramę to 1000 tras.

Ważne

  • Wydajność aplikacji zależy od wielu czynników, takich jak opóźnienie end-to-end i liczba strumieni danych otwieranych przez aplikację. Liczby w tabeli reprezentują górny limit, który aplikacja może teoretycznie osiągnąć w idealnym środowisku. Ponadto przeprowadzamy rutynową konserwację hosta i systemu operacyjnego w bramie sieci wirtualnej usługi ExpressRoute, aby zachować niezawodność usługi. W okresie konserwacji przepustowość płaszczyzny sterowania i ścieżki danych bramy jest zmniejszona.
  • W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
  • Usługa ExpressRoute obsługuje maksymalny rozmiar pakietów TCP i UDP wynoszący 1400 bajtów. Rozmiary pakietów większe niż 1400 bajtów zostaną pofragmentowane.
  • Usługa Azure Route Server może obsługiwać maksymalnie 4000 maszyn wirtualnych. Ten limit obejmuje maszyny wirtualne w sieciach wirtualnych, które są połączone. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi Azure Route Server.
  • Wartości w powyższej tabeli oznaczają limity dla każdej SKU modelu bramy.

Hosted-On-Behalf-Of (HOBO) Publiczny adres IP

Funkcja publicznego adresu IP hostowanego naBehalf-Of (HOBO) upraszcza wdrażanie bramy usługi ExpressRoute, umożliwiając firmie Microsoft zarządzanie wymaganym publicznym adresem IP w Twoim imieniu. W przypadku programu PowerShell/CLI nie musisz już tworzyć ani obsługiwać oddzielnego zasobu publicznego adresu IP dla bramy.

Najważniejsze korzyści:

  • Ulepszone zabezpieczenia: Publiczny adres IP jest zarządzany wewnętrznie przez firmę Microsoft i nie jest bezpośrednio dostępny dla Ciebie, co zmniejsza ryzyko związane z otwartymi portami zarządzania.
  • Zmniejszona złożoność: Nie musisz aprowizować zasobu publicznego adresu IP ani zarządzać nim.
  • Uproszczone wdrażanie: Azure PowerShell i CLI nie wymagają już podania publicznego adresu IP podczas tworzenia bramy.

Jak to działa:
Podczas tworzenia bramy usługi ExpressRoute firma Microsoft automatycznie przydziela i zarządza publicznym adresem IP w bezpiecznej subskrypcji w tle. Ten adres IP jest hermetyzowany w ramach zasobu bramy, umożliwiając firmie Microsoft wymuszanie zasad, takich jak limity szybkości danych i zwiększanie możliwości inspekcji.

Dostępność:
Publiczny adres IP HOBO nie jest dostępny dla wdrożeń usługi Virtual WAN (vWAN) ani stref rozszerzonych.

Łączność między sieciami wirtualnymi oraz z sieci wirtualnej do wirtualnej sieci WAN

Domyślnie łączność VNet-do-VNet oraz VNet-do-wirtualnej sieci WAN jest wyłączona za pośrednictwem obwodu usługi ExpressRoute dla wszystkich SKU dla bramy. Aby włączyć tę łączność, należy skonfigurować bramę sieci wirtualnej usługi ExpressRoute, aby zezwolić na ten ruch. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące łączności sieci wirtualnej za pośrednictwem usługi ExpressRoute. Aby włączyć ten ruch, zobacz Włączanie łączności między sieciami VNet a sieciami VNet lub sieciami VNet a wirtualnymi sieciami WAN za pośrednictwem usługi ExpressRoute.

FastPath

Brama sieci wirtualnej usługi ExpressRoute jest przeznaczona do wymiany tras sieciowych i kierowania ruchu sieciowego. Funkcja FastPath jest zaprojektowana do zwiększania wydajności ścieżki danych między siecią lokalną a siecią wirtualną. Gdy funkcja FastPath jest włączona, wysyła ruch sieciowy bezpośrednio do maszyn wirtualnych w sieci wirtualnej, pomijając bramę.

Aby uzyskać więcej informacji na temat funkcji FastPath, w tym ograniczeń i wymagań, zobacz About FastPath (Informacje o programie FastPath).

Łączność z prywatnymi punktami końcowymi

Brama sieci wirtualnej usługi ExpressRoute ułatwia łączność z prywatnymi punktami końcowymi wdrożonymi w tej samej sieci wirtualnej, co brama sieci wirtualnej, oraz między równorzędnymi sieciami wirtualnymi.

Ważne

  • Przepustowość i pojemność płaszczyzny sterowania dla łączności z zasobami prywatnego punktu końcowego mogą być zmniejszone o połowę w porównaniu z łącznością z zasobami niebędącymi prywatnymi punktami końcowymi.
  • W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
  • Należy zapewnić, że konfiguracja lokalna, w tym ustawienia routera i zapory, jest poprawnie przygotowana, aby pakiety dla pięcioelementowego ciągu IP korzystały z pojedynczego następnego przeskoku (router Microsoft Enterprise Edge), chyba że wystąpi zdarzenie konserwacyjne. Jeśli konfiguracja lokalnego firewalla lub routera powoduje częste przełączanie się tego samego 5-elementowego zestawu IP na kolejne przeskoki, mogą wystąpić problemy z łącznością.

Łączność z prywatnym punktem końcowym i zaplanowane zdarzenia konserwacyjne

Łączność prywatnego punktu końcowego jest stanowa. Po nawiązaniu połączenia z prywatnym punktem końcowym przez prywatny peering usługi ExpressRoute, połączenia przychodzące i wychodzące są kierowane przez jedno z instancji zaplecza infrastruktury bramy. Podczas zdarzenia konserwacji wystąpienia infrastruktury zaplecza bramy sieci wirtualnej są ponownie uruchamiane pojedynczo, co może prowadzić do sporadycznych problemów z łącznością.

Aby uniknąć lub zminimalizować problemy z łącznością z prywatnymi punktami końcowymi podczas działań konserwacyjnych, zalecamy ustawienie wartości limitu czasu protokołu TCP w zakresie od 15 do 30 sekund w aplikacjach lokalnych. Przetestuj i skonfiguruj optymalną wartość na podstawie wymagań aplikacji.

Interfejsy API REST i polecenia cmdlet programu PowerShell

Zapoznaj się z następującymi stronami, aby uzyskać więcej zasobów technicznych i określonych wymagań składniowych podczas korzystania z interfejsów API REST i poleceń cmdlet programu PowerShell dla konfiguracji bramy sieci wirtualnej:

Klasyczny Menedżer zasobów
PowerShell PowerShell
API REST API REST

Łączność typu VNet do VNet

Domyślnie łączność między sieciami wirtualnymi jest włączona po połączeniu wielu sieci wirtualnych z tym samym obwodem usługi ExpressRoute. Nie zalecamy używania obwodu ExpressRoute do komunikacji pomiędzy sieciami wirtualnymi. Zamiast tego zalecamy używanie peeringu sieci wirtualnych. Aby uzyskać więcej informacji na temat tego, dlaczego łączność między sieciami wirtualnymi nie jest zalecana za pośrednictwem usługi ExpressRoute, zobacz Łączność między sieciami wirtualnymi za pośrednictwem usługi ExpressRoute.

Peering sieci wirtualnych

Sieć wirtualna z bramą usługi ExpressRoute może mieć połączenie równorzędne z maksymalnie 500 innymi sieciami wirtualnymi. Komunikacja równorzędna sieci wirtualnych bez bramy usługi ExpressRoute może napotkać większe ograniczenia połączeń równorzędnych.