Co to jest usługa Azure VPN Gateway?
Azure VPN Gateway to usługa, która może służyć do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure i lokalizacjami lokalnymi za pośrednictwem publicznego Internetu. Za pomocą usługi VPN Gateway można również wysyłać zaszyfrowany ruch między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. Usługa VPN Gateway używa określonego typu bramy sieci wirtualnej platformy Azure nazywanej bramą sieci VPN. Do tej samej bramy sieci VPN można utworzyć wiele połączeń. W przypadku utworzenia wielu połączeń wszystkie tunele VPN współdzielą dostępną przepustowość bramy.
Dlaczego warto używać usługi VPN Gateway?
Poniżej przedstawiono niektóre kluczowe scenariusze dla usługi VPN Gateway:
Wysyłaj zaszyfrowany ruch między siecią wirtualną platformy Azure i lokalizacjami lokalnymi za pośrednictwem publicznego Internetu. Można to zrobić przy użyciu następujących typów połączeń:
Połączenie typu lokacja-lokacja: połączenie tunelu vpn IPsec/IKE między bramą sieci VPN a lokalnym urządzeniem sieci VPN.
Połączenie typu punkt-lokacja: sieć VPN za pośrednictwem protokołu OpenVPN, protokołu IKEv2 lub SSTP. Ten typ połączenia umożliwia nawiązywanie połączenia z siecią wirtualną z lokalizacji zdalnej, na przykład z konferencji lub z domu.
Wysyłanie zaszyfrowanego ruchu między sieciami wirtualnymi. Można to zrobić przy użyciu następujących typów połączeń:
Sieć wirtualna-sieć wirtualna: połączenie tunelu vpn IPsec/IKE między bramą sieci VPN a inną bramą sieci VPN platformy Azure, która używa typu połączenia sieć wirtualna-sieć wirtualna . Ten typ połączenia jest przeznaczony specjalnie dla połączeń między sieciami wirtualnymi.
Połączenie typu lokacja-lokacja: połączenie tunelu VPN IPsec/IKE między bramą sieci VPN a inną bramą sieci VPN platformy Azure. Ten typ połączenia, w przypadku użycia w architekturze sieć wirtualna-sieć wirtualna, używa typu połączenia lokacja-lokacja (IPsec ), który umożliwia połączenia międzylokacyjne z bramą, a także połączenia między bramami sieci VPN.
Skonfiguruj sieć VPN typu lokacja-lokacja jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute. Można to zrobić przy użyciu:
- ExpressRoute + VPN Gateway: połączenie połączeń usługi ExpressRoute i bramy SIECI VPN (współistniejących połączeń).
Użyj sieci VPN typu lokacja-lokacja, aby połączyć się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute. Możesz to zrobić za pomocą:
- ExpressRoute + VPN Gateway: połączenie połączeń usługi ExpressRoute i bramy SIECI VPN (współistniejących połączeń).
Planowanie i projektowanie
Ponieważ można utworzyć wiele konfiguracji połączeń przy użyciu usługi VPN Gateway, musisz określić, która konfiguracja najlepiej odpowiada Twoim potrzebom. Połączenia typu punkt-lokacja, lokacja-lokacja i współistniejące połączenia usługi ExpressRoute/lokacja-lokacja mają różne instrukcje i wymagania dotyczące konfiguracji zasobów.
Zapoznaj się z artykułem dotyczącym topologii i projektowania usługi VPN Gateway, aby uzyskać topologie projektu i linki do instrukcji dotyczących konfiguracji. W poniższych sekcjach artykułu opisano niektóre topologie projektowania, które są najczęściej używane.
- Połączenia sieci VPN typu lokacja-lokacja
- Połączenia sieci VPN typu punkt-lokacja
- Połączenia sieci VPN między sieciami wirtualnymi
Tabela planowania
W poniższej tabeli znajdują się informacje pomocne podczas podejmowania decyzji co do najlepszej opcji łączności dla rozwiązania.
| Punkt-lokacja | Lokacja-lokacja | |
|---|---|---|
| Usługi obsługiwane przez platformę Azure | Usługa Cloud Services i usługa Virtual Machines | Usługa Cloud Services i usługa Virtual Machines |
| Typowe przepustowości | Na podstawie jednostki SKU bramy | < Zazwyczaj agregacja 10 Gb/s |
| Obsługiwane protokoły | Protokół SSTP (Secure Sockets Tunneling Protocol), OpenVPN i IPsec | IPsec |
| Routing | RouteBased (dynamiczny) | Firma Microsoft obsługuje routing typu PolicyBased (statyczny) i RouteBased (dynamiczny VPN) |
| Odporność połączenia | aktywne/pasywne | aktywne/pasywne lub aktywne/aktywne |
| Typowy przypadek użycia | Bezpieczny dostęp do sieci wirtualnych platformy Azure dla użytkowników zdalnych | Scenariusze tworzenia, testowania i laboratorium oraz małe i średnie obciążenia produkcyjne dla usług w chmurze i maszyn wirtualnych |
| Umowa SLA | Umowa SLA | Umowa SLA |
| Cennik | Cennik | Cennik |
| Dokumentacja techniczna | VPN Gateway | VPN Gateway |
| Często zadawane pytania | VPN Gateway — często zadawane pytania | VPN Gateway — często zadawane pytania |
Strefy dostępności
Bramy sieci VPN można wdrożyć w usłudze Azure Strefy dostępności. Zapewni to elastyczność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie dzieli bramy w danym regionie, chroniąc jednocześnie lokalną łączność sieci z platformą Azure przed błędami na poziomie strefy. Zobacz Informacje o strefowo nadmiarowych bramach sieci wirtualnych w usłudze Azure Strefy dostępności.
Konfigurowanie bramy VPN Gateway
Połączenie bramy sieci VPN bazuje na wielu zasobach konfigurowanych przy użyciu konkretnych ustawień. W niektórych przypadkach zasoby muszą być skonfigurowane w określonej kolejności. Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla utworzenia prawidłowego połączenia.
Aby uzyskać informacje o poszczególnych zasobach i ustawieniach usługi VPN Gateway, zobacz About VPN Gateway settings (Informacje o ustawieniach bramy VPN Gateway) i About gateway SKUUs (Informacje o jednostkach SKU bramy). Te artykuły zawierają informacje ułatwiające zrozumienie typów bram, jednostek SKU bramy, typów sieci VPN, typów połączeń, podsieci bramy, bram sieci lokalnej i różnych innych ustawień zasobów, które warto wziąć pod uwagę.
Aby uzyskać diagramy projektowe i linki do artykułów dotyczących konfiguracji, zobacz artykuł Topologia i projektowanie usługi VPN Gateway.
Jednostki SKU bramy
Podczas tworzenia bramy sieci wirtualnej określa się jednostkę SKU bramy do użycia. Wybierz jednostkę SKU spełniającą Twoje wymagania na podstawie typów obciążeń, przepustowości, funkcji i umów SLA. Aby uzyskać więcej informacji na temat jednostek SKU bramy, w tym obsługiwanych funkcji, tabel wydajności, kroków konfiguracji i obciążeń produkcyjnych a obciążeń testowych, zobacz About gateway SKUUs (Informacje o jednostkach SKU bramy).
| VPN Brama Generacji |
SKU | Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna Tunele |
P2S Połączenie protokołu SSTP |
P2S Połączenie IKEv2/OpenVPN |
Agregacji Test porównawczy przepływności |
BGP | Strefowo nadmiarowy | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej |
|---|---|---|---|---|---|---|---|---|
| Generacja1 | Podstawowa | Maks. 10 | Maks. 128 | Nieobsługiwany | 100 Mb/s | Nieobsługiwany | Nie. | 200 |
| Generacja1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Nie. | 450 |
| Generacja1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Nie. | 1300 |
| Generacja1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Nie. | 4000 |
| Generacja1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Tak | 1000 |
| Generacja1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
| Generacja 2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Nie. | 685 |
| Generacja 2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Nie. | 2240 |
| Generacja 2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Nie. | 5300 |
| Generacja 2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Nie. | 6700 |
| Generacja 2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja 2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
| Generacja 2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
| Generacja 2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Tak | 9000 |
(*) Jeśli potrzebujesz więcej niż 100 tuneli sieci VPN typu lokacja-lokacja, użyj usługi Virtual WAN zamiast usługi VPN Gateway.
Cennik
Płatność dotyczy dwóch składników: kosztu godzin obliczeniowych bramy sieci wirtualnej i transferu danych wychodzących z bramy sieci wirtualnej. Informacje o cenach znajdują się na stronie Cennik. Aby uzyskać cennik jednostki SKU starszej wersji bramy, zobacz stronę cennika usługi ExpressRoute i przewiń do sekcji Bramy sieci wirtualnej.
Koszty obliczeniowe bramy sieci wirtualnej
Każda brama sieci wirtualnej ma koszt godziny obliczeniowej. Cena zależy od jednostki SKU bramy, która została określona podczas tworzenia bramy sieci wirtualnej. Koszt dotyczy samej bramy i jest dodawany do kosztu transferu danych, który przepływa przez bramę. Koszt konfiguracji aktywna-aktywna jest taka sam jak konfiguracji aktywna-pasywna. Więcej informacji o jednostkach SKU bramy dla usługi VPN Gateway zawiera artykuł Gateway SKUs (Jednostki SKU bramy).
Koszty transferu danych
Koszty transferu danych są obliczane na podstawie ruchu wychodzącego ze źródłowej bramy sieci wirtualnej.
- Jeśli wysyłasz ruch do lokalnego urządzenia sieci VPN, zostanie naliczona opłata za szybkość transferu danych wychodzących z Internetu.
- Jeśli wysyłasz ruch między sieciami wirtualnymi w różnych regionach, cennik jest oparty na regionie.
- Jeśli wysyłasz ruch tylko między sieciami wirtualnymi, które znajdują się w tym samym regionie, nie ma żadnych kosztów danych. Ruch między sieciami wirtualnymi w tym samym regionie jest bezpłatny.
Co nowego?
Usługa Azure VPN Gateway jest regularnie aktualizowana. Aby być na bieżąco z najnowszymi ogłoszeniami, zobacz artykuł Co nowego? Artykuł wyróżnia następujące punkty orientacyjne:
- Najnowsze wersje
- Wersje zapoznawcze są w toku ze znanymi ograniczeniami (jeśli dotyczy)
- Znane problemy
- Przestarzałe funkcje (jeśli dotyczy)
Możesz również zasubskrybować kanał informacyjny RSS i wyświetlić najnowsze aktualizacje funkcji usługi VPN Gateway na stronie usługi Azure Aktualizacje.
Często zadawane pytania
Aby zapoznać się z często zadawanymi pytaniami dotyczącymi bramy sieci VPN, zobacz Brama VPN Gateway — często zadawane pytania.
Następne kroki
- Samouczek: tworzenie bramy SIECI VPN i zarządzanie nią.
- Learn module: Introduction to Azure VPN Gateway (Wprowadzenie do usługi Azure VPN Gateway).
- Moduł szkoleniowy: Połączenie sieci lokalnej na platformę Azure przy użyciu usługi VPN Gateway.
- Limity subskrypcji i usług.