Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby połączyć sieć wirtualną platformy Azure (sieć wirtualną) i sieć lokalną przy użyciu usługi Azure ExpressRoute, musisz najpierw utworzyć bramę sieci wirtualnej. Brama sieci wirtualnej służy dwóm celom: wymiany tras IP między sieciami i kierowania ruchu sieciowego.
W tym artykule opisano różne typy bram, jednostki SKU bramy i szacowaną wydajność według jednostki SKU. W tym artykule wyjaśniono również funkcję ExpressRoute FastPath, która umożliwia ruch sieciowy z sieci lokalnej w celu obejścia bramy sieci wirtualnej w celu zwiększenia wydajności.
Gateway SKU
Podczas tworzenia bramy sieci wirtualnej musisz wybrać odpowiedni SKU dla bramy. Po wybraniu wyższego SKU bramy, do bramy zostanie przydzielona większa liczba procesorów i przepustowości sieci. W związku z tym brama może obsługiwać większą przepływność sieci do sieci wirtualnej.
Bramy sieci wirtualnej usługi ExpressRoute mogą używać następujących jednostek SKU:
- ErGwScale (wersja zapoznawcza): aby uzyskać więcej informacji, zobacz ExpressRoute Scalable Gateway (Skalowalna brama usługi ExpressRoute)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Możesz zaktualizować swoją bramę do jednostki SKU o wyższej pojemności w ramach tej samej rodziny jednostek SKU, zarówno bez obsługi modułu Az, jak i z obsługą modułu Az.
Można na przykład uaktualnić następujące elementy:
- Z jednej jednostki SKU bez obsługi modułu Az do innej jednostki SKU bez obsługi modułu Az
- Z jednej jednostki SKU obsługującej moduł Az do innej jednostki SKU obsługującej moduł Az
W przypadku wszystkich innych scenariuszy degradacji należy usunąć i ponownie utworzyć bramę, co powoduje przerwę.
Tworzenie podsieci bramy sieciowej
Przed utworzeniem bramy ExpressRoute należy utworzyć podsieć bramy. Maszyny wirtualne i usługi bramy sieci wirtualnej używają adresów IP zawartych w podsieci bramy.
Gdy tworzysz bramę sieci wirtualnej, maszyny wirtualne bramy są wdrażane w podsieci bramy sieciowej i konfigurowane z użyciem wymaganych ustawień bramy ExpressRoute. Nigdy nie wdrażaj żadnych innych komponentów w podsieci bramy. Podsieć bramy musi być nazwana "GatewaySubnet", aby działała prawidłowo, ponieważ to informuje platformę Azure o tym, gdzie wdrożyć maszyny wirtualne i usługi bramy sieci wirtualnej w tej podsieci.
Note
Trasy zdefiniowane przez użytkownika z lokalizacją docelową 0.0.0.0/0 oraz sieciowymi grupami zabezpieczeń (NSG) na podsieci bramy nie są obsługiwane. Trasy zdefiniowane przez użytkownika, zawierające przestrzeń adresową GatewaySubnet, z ustawionym na brak kolejnym przeskokiem lub z następnym przeskokiem ustawionym na NVA (które ma politykę odrzucania ruchu) nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP (Border Gateway Protocol) powinna być włączona w podsieci bramy, aby zapewnić dostępność bramy. Jeśli propagacja tras protokołu BGP jest wyłączona, brama nie będzie działać.
Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.
- Nie zalecamy wdrażania Prywatnej usługi rozpoznawania nazw Azure DNS w sieci wirtualnej, która posiada bramę ExpressRoute i ustanawia reguły wieloznaczne, aby przekierować całe rozpoznawanie nazw do określonego serwera DNS. Taka konfiguracja może powodować problemy z łącznością zarządzania.
Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane maszynom wirtualnym oraz usługom tej bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.
Podczas planowania wielkości podsieci bramowej, zapoznaj się z dokumentacją dotyczącą konfiguracji, którą planujesz utworzyć. Na przykład, konfiguracja współistnienia bram ExpressRoute/VPN wymaga, aby podsieć była większa niż w przypadku większości innych konfiguracji. Ponadto warto upewnić się, że podsieć bramy zawiera wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.
Zalecamy utworzenie podsieci bramy sieciowej /27 lub większej. Jeśli planujesz połączyć 16 łączy ExpressRoute z bramą sieciową, musisz utworzyć podsieć bramy o rozmiarze /26 lub większym. Jeśli tworzysz podsieć bramy z podwójnym stosem, zalecamy użycie zakresu adresów IPv6 o prefiksie /64 lub większym. Ten zestaw pomieści większość konfiguracji.
Poniższy przykład PowerShell dla usługi Azure Resource Manager przedstawia podsieć bramy o nazwie GatewaySubnet. Widać, że notacja routingu międzydomenowego bezklasowego (CIDR) określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
Sieciowe Grupy Zabezpieczeń (NSG) w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (bramy VPN i ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.
Ograniczenia i wydajność bramy sieci wirtualnej
Obsługa funkcji przy użyciu SKU bramy
W poniższej tabeli przedstawiono funkcje obsługiwane przez każdy typ bramy oraz maksymalną liczbę połączeń obwodu usługi ExpressRoute, które obsługuje każda jednostka SKU bramy.
| Jednostka SKU bramy | Współistnienie bramy sieci VPN i usługi ExpressRoute | FastPath | Maksymalna liczba połączeń obwodu |
|---|---|---|---|
| Standardowa jednostka SKU/ERGw1Az | Yes | No | 4 |
| Wysoki wydajnościowy SKU/ERGw2Az | Yes | No | 8 |
| Ultra wydajność SKU/ErGw3Az | Yes | Yes | 16 |
| ErGwScale (wersja zapoznawcza) | Yes | Tak — co najmniej 10 jednostek skalowania | 4 — minimum 1 jednostka skalowania 8 — co najmniej 2 jednostki skalowania 16 — co najmniej 10 jednostek skalowania |
Note
Maksymalna liczba łączy usługi ExpressRoute z tej samej lokalizacji punktu równorzędności, która może łączyć się z tą samą siecią wirtualną, jest ograniczona do 4 dla wszystkich bram.
Szacowane wydajności bramy według SKU
Poniższe tabele zawierają omówienie różnych typów bram, ich odpowiednich ograniczeń i oczekiwanych metryk wydajności.
Maksymalne obsługiwane limity
Ta tabela dotyczy zarówno modeli wdrażania klasycznego, jak i usługi Azure Resource Manager.
| Jednostka SKU bramy | Megabity na sekundę | Pakiety na sekundę | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej 1 | Limit liczby przepływów | Liczba tras nauczonych przez gateway |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Wysoka wydajność/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra Performance/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (na jednostkę skalowania 1–10) | 1000 na jednostkę skalowania | 100 000 na jednostkę skalowania | 2000 na jednostkę skali | 100 000 na jednostkę skalowania | 9500 łącznie na bramę |
| ErGwScale (na jednostkę skalowania 11–40) | 1000 na jednostkę skalowania | 200 000 na jednostkę skalowania | 1000 na jednostkę skalowania | 100 000 na jednostkę skalowania | 9500 łącznie na bramę |
1 Wartości w tabeli są szacunkowe i różnią się w zależności od obciążenia procesora bramy. Jeśli wykorzystanie procesora jest wysokie i liczba obsługiwanych maszyn wirtualnych zostanie przekroczona, brama zacznie usuwać pakiety.
Note
Usługa ExpressRoute może obsługiwać do 11 000 tras, które obejmują przestrzenie adresowe sieci wirtualnej, sieci lokalne i wszystkie istotne połączenia sieci rówieśniczej. Aby zapewnić stabilność połączenia usługi ExpressRoute, powstrzymaj się od reklamowania ponad 11 000 tras do usługi ExpressRoute. Maksymalna liczba tras ogłaszanych przez bramę to 1000 tras.
Important
- Wydajność aplikacji zależy od wielu czynników, takich jak opóźnienie end-to-end i liczba strumieni danych otwieranych przez aplikację. Liczby w tabeli reprezentują górny limit, który aplikacja może teoretycznie osiągnąć w idealnym środowisku. Ponadto przeprowadzamy rutynową konserwację hosta i systemu operacyjnego w bramie sieci wirtualnej usługi ExpressRoute, aby zachować niezawodność usługi. W okresie konserwacji przepustowość płaszczyzny sterowania i ścieżki danych bramy jest zmniejszona.
- W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
- Usługa ExpressRoute obsługuje maksymalny rozmiar pakietów TCP i UDP wynoszący 1400 bajtów. Pofragmentowane pakiety nie są obsługiwane przez bramy usługi ExpressRoute. Dostosuj aplikację, aby zapobiec fragmentacji adresów IP. Jeśli wymagana jest obsługa fragmentacji adresów IP, włącz funkcję ExpressRoute FastPath , aby pominąć bramę usługi ExpressRoute.
- Usługa Azure Route Server może obsługiwać maksymalnie 4000 maszyn wirtualnych. Ten limit obejmuje maszyny wirtualne w sieciach wirtualnych, które są połączone. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi Azure Route Server.
- Wartości w powyższej tabeli oznaczają limity dla każdej SKU modelu bramy.
Automatycznie przypisany publiczny adres IP
Funkcja automatycznego publicznego adresu IP upraszcza wdrażanie bramy usługi ExpressRoute, umożliwiając firmie Microsoft zarządzanie wymaganym publicznym adresem IP w Twoim imieniu. W przypadku programu PowerShell i interfejsu Command-Line (CLI) nie musisz już tworzyć ani obsługiwać oddzielnego zasobu publicznego adresu IP dla bramy.
Po włączeniu automatycznego przypisywanego publicznego adresu IP strona Przegląd bramy usługi ExpressRoute nie zawiera już pola Publiczny adres IP — oznacza to, że publiczny adres IP bramy jest automatycznie aprowizowany i zarządzany przez firmę Microsoft.
Najważniejsze korzyści:
- Ulepszone zabezpieczenia: Publiczny adres IP jest zarządzany wewnętrznie przez firmę Microsoft i nie jest bezpośrednio dostępny dla Ciebie, co zmniejsza ryzyko związane z otwartymi portami zarządzania.
- Zmniejszona złożoność: Nie musisz już aprowizować zasobu publicznego adresu IP ani zarządzać nim.
- Uproszczone wdrażanie: Azure PowerShell i CLI nie wymagają już podania publicznego adresu IP podczas tworzenia bramy.
Jak to działa:
Podczas tworzenia bramy usługi ExpressRoute firma Microsoft automatycznie przydziela i zarządza publicznym adresem IP w bezpiecznej subskrypcji w tle. Ten adres IP jest hermetyzowany w ramach zasobu bramy, umożliwiając firmie Microsoft wymuszanie zasad, takich jak limity szybkości danych i zwiększanie możliwości inspekcji. Wcześniej można było utworzyć zasób publicznego adresu IP jako zasób strefowy, który zapewnił, że wszystkie wystąpienia bramy w tej strefie współdzielą ten sam publiczny adres IP. Nowe zachowanie polega na tym, że brama jest zawsze strefowo nadmiarowa.
Availability:
Automatycznie przypisany publiczny adres IP nie jest dostępny dla wdrożeń usługi Virtual WAN (vWAN) ani stref rozszerzonych.
Łączność z jednej sieci wirtualnej do drugiej sieci wirtualnej oraz z sieci wirtualnej do wirtualnej sieci rozległej (WAN)
Domyślnie łączność między siecią wirtualną a siecią wirtualną oraz siecią wirtualną a siecią WAN w sieci wirtualnej jest wyłączona za pośrednictwem obwodu ExpressRoute dla wszystkich SKU bramek. Aby włączyć tę łączność, należy skonfigurować bramę sieci wirtualnej usługi ExpressRoute, aby zezwolić na ten ruch. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące łączności sieci wirtualnej za pośrednictwem usługi ExpressRoute. Aby umożliwić ten ruch, zobacz Włączanie łączności między sieciami wirtualnymi lub siecią wirtualną a wirtualną siecią WAN za pośrednictwem usługi ExpressRoute.
FastPath
Brama sieci wirtualnej usługi ExpressRoute jest przeznaczona do wymiany tras sieciowych i kierowania ruchu sieciowego. Funkcja FastPath jest zaprojektowana do zwiększania wydajności ścieżki danych między siecią lokalną a siecią wirtualną. Gdy funkcja FastPath jest włączona, wysyła ruch sieciowy bezpośrednio do maszyn wirtualnych w sieci wirtualnej, pomijając bramę.
Aby uzyskać więcej informacji na temat funkcji FastPath, w tym ograniczeń i wymagań, zobacz About FastPath (Informacje o programie FastPath).
Łączność z prywatnymi punktami końcowymi
Brama sieci wirtualnej usługi ExpressRoute ułatwia łączność z prywatnymi punktami końcowymi wdrożonymi w tej samej sieci wirtualnej, co brama sieci wirtualnej, oraz między równorzędnymi sieciami wirtualnymi.
Important
- Przepustowość i pojemność płaszczyzny sterowania dla łączności z zasobami prywatnego punktu końcowego mogą być zmniejszone o połowę w porównaniu z łącznością z zasobami niebędącymi prywatnymi punktami końcowymi.
- W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
- Należy zapewnić, że konfiguracja lokalna, w tym ustawienia routera i zapory, jest poprawnie przygotowana, aby pakiety dla pięcioelementowego ciągu IP korzystały z pojedynczego następnego przeskoku (router Microsoft Enterprise Edge), chyba że wystąpi zdarzenie konserwacyjne. Jeśli lokalna zapora lub konfiguracja routera powoduje częste przełączanie następnego przeskoku tego samego adresu IP 5, występują problemy z łącznością.
- Upewnij się, że w podsieciach, w których wdrożono prywatne punkty końcowe, upewnij się, że zasady sieciowe (co najmniej obsługa trasy zdefiniowanej przez użytkownika) są włączone
Łączność z prywatnym punktem końcowym i zaplanowane zdarzenia konserwacyjne
Łączność prywatnego punktu końcowego jest stanowa. Po nawiązaniu połączenia z prywatnym punktem końcowym przez prywatny peering usługi ExpressRoute, połączenia przychodzące i wychodzące są kierowane przez jedno z instancji zaplecza infrastruktury bramy. Podczas zdarzenia konserwacji wystąpienia infrastruktury zaplecza bramy sieci wirtualnej są ponownie uruchamiane pojedynczo, co może prowadzić do sporadycznych problemów z łącznością.
Aby uniknąć lub zminimalizować problemy z łącznością z prywatnymi punktami końcowymi podczas działań konserwacyjnych, ustaw wartość limitu czasu protokołu TCP w zakresie od 15 do 30 sekund w aplikacjach lokalnych. Przetestuj i skonfiguruj optymalną wartość na podstawie wymagań aplikacji.
Interfejsy API REST i polecenia cmdlet programu PowerShell
Zapoznaj się z następującymi stronami, aby uzyskać więcej zasobów technicznych i określonych wymagań składniowych podczas korzystania z interfejsów API REST i poleceń cmdlet programu PowerShell dla konfiguracji bramy sieci wirtualnej:
| Classic | Menedżer zasobów |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
Łączność między sieciami wirtualnymi
Domyślnie łączność między sieciami wirtualnymi jest włączona po połączeniu wielu sieci wirtualnych z tym samym obwodem usługi ExpressRoute. Nie zalecamy używania obwodu ExpressRoute do komunikacji pomiędzy sieciami wirtualnymi. Zamiast tego zalecamy używanie peeringu sieci wirtualnych. Aby uzyskać więcej informacji o tym, dlaczego łączność między sieciami wirtualnymi nie jest zalecana za pośrednictwem usługi ExpressRoute, zobacz Łączność między sieciami wirtualnymi za pośrednictwem usługi ExpressRoute.
Peering sieci wirtualnych
Sieć wirtualna z bramą usługi ExpressRoute może mieć połączenie równorzędne z maksymalnie 500 innymi sieciami wirtualnymi. Komunikacja równorzędna sieci wirtualnych bez bramy usługi ExpressRoute może napotkać większe ograniczenia połączeń równorzędnych.
Treści powiązane
Aby uzyskać więcej informacji na temat dostępnych konfiguracji połączeń, zobacz ExpressRoute Overview (Omówienie usługi ExpressRoute).
Aby uzyskać więcej informacji na temat tworzenia bram usługi ExpressRoute, zobacz Tworzenie bramy sieci wirtualnej dla usługi ExpressRoute.
Aby uzyskać więcej informacji na temat wdrażania usługi ErGwScale, zobacz Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu witryny Azure Portal.
Aby uzyskać więcej informacji na temat konfigurowania strefowo nadmiarowych bram, zobacz Tworzenie strefowo nadmiarowej bramy sieci wirtualnej.
Aby uzyskać więcej informacji o programie FastPath, zobacz About FastPath (Informacje o programie FastPath).