Co to jest usługa Azure VPN Gateway?
Azure VPN Gateway to usługa, która używa określonego typu bramy sieci wirtualnej do wysyłania zaszyfrowanego ruchu między siecią wirtualną platformy Azure i lokalizacjami lokalnymi za pośrednictwem publicznego Internetu. Można również użyć VPN Gateway do wysyłania zaszyfrowanego ruchu między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. Do tej samej bramy sieci VPN można utworzyć wiele połączeń. W przypadku utworzenia wielu połączeń wszystkie tunele VPN współdzielą dostępną przepustowość bramy.
Informacje o bramach sieci VPN
Brama sieci VPN to typ bramy sieci wirtualnej. Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych zarządzanych przez platformę Azure, które są automatycznie konfigurowane i wdrażane w określonej podsieci utworzonej w podsieci GatewaySubnet. Maszyny wirtualne bramy zawierają tabele routingu i uruchamiają określone usługi bramy.
Jednym z ustawień, które określisz podczas tworzenia bramy sieci wirtualnej, jest "typ bramy". Typ bramy określa sposób użycia bramy sieci wirtualnej i akcji, które podejmuje brama. Sieć wirtualna może mieć dwie bramy sieci wirtualnej; jedna brama sieci VPN i jedna brama usługi ExpressRoute. Typ bramy "Vpn" określa, że typ utworzonej bramy sieci wirtualnej to brama sieci VPN. Różni się to od bramy usługi ExpressRoute, która używa innego typu bramy. Aby uzyskać więcej informacji, zobacz Gateway types (Typy bram).
Podczas tworzenia bramy sieci VPN maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu określonych ustawień. Ten proces może potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU bramy. Po utworzeniu bramy sieci VPN można skonfigurować połączenia. Możesz na przykład utworzyć połączenie tunelu vpn IPsec/IKE między bramą sieci VPN a inną bramą sieci VPN (sieć wirtualna-sieć wirtualna) lub utworzyć połączenie tunelu vpn IPsec/IKE między bramą sieci VPN a lokalnym urządzeniem sieci VPN (lokacja-lokacja). Możesz również utworzyć połączenie sieci VPN typu punkt-lokacja (vpn za pośrednictwem protokołu OpenVPN, IKEv2 lub SSTP), co umożliwia nawiązanie połączenia z siecią wirtualną z lokalizacji zdalnej, takiej jak z konferencji lub z domu.
Konfigurowanie VPN Gateway
Połączenie bramy sieci VPN bazuje na wielu zasobach konfigurowanych przy użyciu konkretnych ustawień. Większość zasobów można skonfigurować osobno, choć niektóre z nich należy skonfigurować w określonej kolejności.
Łączność
Ponieważ można utworzyć wiele konfiguracji połączeń przy użyciu VPN Gateway, należy określić, która konfiguracja najlepiej odpowiada Twoim potrzebom. Połączenia typu punkt-lokacja, lokacja-lokacja i współistniejące połączenia usługi ExpressRoute/lokacja mają różne instrukcje i wymagania dotyczące konfiguracji. Aby uzyskać diagramy połączeń i odpowiednie linki do kroków konfiguracji, zobacz VPN Gateway projektowania.
- Połączenia sieci VPN typu lokacja-lokacja
- Połączenia sieci VPN typu punkt-lokacja
- Połączenia sieci VPN między sieciami wirtualnymi
Tabela planowania
W poniższej tabeli znajdują się informacje pomocne podczas podejmowania decyzji co do najlepszej opcji łączności dla rozwiązania. Należy pamiętać, że usługa ExpressRoute nie jest częścią VPN Gateway, ale znajduje się w tabeli.
| Punkt-lokacja | Lokacja-lokacja | ExpressRoute | |
|---|---|---|---|
| Obsługiwane usługi platformy Azure | Usługi Cloud Services i Virtual Machines | Usługi Cloud Services i Virtual Machines | Lista usług |
| Typowe przepustowości | Na podstawie jednostki SKU bramy | < Zazwyczaj agregacja 10 Gb/s | 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s, 2 Gb/s, 5 Gb/s, 10 Gb/s, 100 Gb/s |
| Obsługiwane protokoły | Protokół SSTP (Secure Sockets Tunneling Protocol), OpenVPN i IPsec | IPsec | Bezpośrednie połączenie za pośrednictwem sieci VLAN, technologie VPN NSP (MPLS, VPLS itp.) |
| Routing | RouteBased (dynamiczny) | Firma Microsoft obsługuje routing typu PolicyBased (statyczny) i RouteBased (dynamiczny VPN) | BGP |
| Odporność połączenia | aktywne-pasywne | aktywne/pasywne lub aktywne/aktywne | aktywne-aktywne |
| Typowy przypadek użycia | Bezpieczny dostęp do sieci wirtualnych platformy Azure dla użytkowników zdalnych | Scenariusze tworzenia i testowania/ laboratorium oraz obciążenia produkcyjne o małej i średniej skali dla usług w chmurze i maszyn wirtualnych | Dostęp do wszystkich usług Azure (zatwierdzona lista), obciążenia o znaczeniu krytycznym oraz klasy korporacyjnej, Backup, dane big data, platforma Azure jako lokacja DR |
| Umowa SLA | Umowa SLA | Umowa SLA | Umowa SLA |
| Cennik | Cennik | Cennik | Cennik |
| Dokumentacja techniczna | VPN Gateway | VPN Gateway | ExpressRoute |
| Często zadawane pytania | Brama sieci VPN — często zadawane pytania | Brama sieci VPN — często zadawane pytania | Usługa ExpressRoute — często zadawane pytania |
Ustawienia
Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla utworzenia prawidłowego połączenia. Aby uzyskać informacje na temat poszczególnych zasobów i ustawień dla bramy sieci VPN, zobacz Ustawienia bramy sieci VPN — informacje. Ten artykuł zawiera informacje ułatwiające poznanie typów bram, jednostek SKU bram typów sieci VPN, typów połączeń, podsieci bram, bram sieci lokalnych i innych ustawień zasobów, które warto wziąć pod uwagę.
Narzędzia wdrażania
Możesz rozpocząć tworzenie i konfigurowanie zasobów za pomocą jednego narzędzia konfiguracji, takiego jak witryna Azure Portal. Później możesz zdecydować się zmienić narzędzie na inne, np. program PowerShell, w celu skonfigurowania dodatkowych zasobów lub zmodyfikowania istniejących zasobów, jeśli jest to wymagane. Obecnie nie wszystkie zasoby i ustawienia zasobów można skonfigurować w witrynie Azure Portal. Instrukcje w artykułach dotyczących poszczególnych topologii połączeń określają, kiedy potrzebne jest konkretne narzędzie konfiguracji.
Jednostki SKU bramy
Podczas tworzenia bramy sieci wirtualnej określa się jednostkę SKU bramy do użycia. Wybierz jednostkę SKU spełniającą Twoje wymagania na podstawie typów obciążeń, przepustowości, funkcji i umów SLA.
- Aby uzyskać więcej informacji na temat jednostek SKU bramy, w tym obsługiwanych funkcji, środowiska produkcyjnego i testowania deweloperskiego oraz kroków konfiguracji, zobacz artykuł VPN Gateway Settings — Gateway SKU (Ustawienia bramy — jednostki SKU bramy).
- Aby uzyskać informacje o starszej wersji jednostki SKU, zobacz Praca ze starszymi jednostkami SKU.
- Podstawowa jednostka SKU nie obsługuje protokołu IPv6.
Jednostki SKU bramy według tunelowania, połączenia i przepływności
| VPN Brama Generowanie |
SKU | S2S/VNet-to-VNet Tunele |
P2S Połączenia SSTP |
P2S Połączenia IKEv2/OpenVPN |
Agregacja Test porównawczy przepływności |
BGP | Strefowo nadmiarowy |
|---|---|---|---|---|---|---|---|
| Generacja1 | Podstawowa | Maksymalnie z 10 | Maksymalnie z 128 | Nieobsługiwane | 100 Mb/s | Nieobsługiwane | Nie |
| Generacja1 | VpnGw1 | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 250 | 650 Mb/s | Obsługiwane | Nie |
| Generacja1 | VpnGw2 | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 500 | 1 Gb/s | Obsługiwane | Nie |
| Generacja1 | VpnGw3 | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 1000 | 1,25 Gb/s | Obsługiwane | Nie |
| Generacja1 | VpnGw1AZ | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 250 | 650 Mb/s | Obsługiwane | Tak |
| Generacja1 | VpnGw2AZ | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 500 | 1 Gb/s | Obsługiwane | Tak |
| Generacja1 | VpnGw3AZ | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 1000 | 1,25 Gb/s | Obsługiwane | Tak |
| Generacja 2 | VpnGw2 | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 500 | 1,25 Gb/s | Obsługiwane | Nie |
| Generacja 2 | VpnGw3 | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 1000 | 2,5 Gb/s | Obsługiwane | Nie |
| Generacja 2 | VpnGw4 | Maksymalnie z 100* | Maksymalnie z 128 | Maksymalnie z 5000 | 5 Gb/s | Obsługiwane | Nie |
| Generacja 2 | VpnGw5 | Maksymalnie z 100* | Maksymalnie z 128 | Maksymalnie z 10 000 | 10 Gb/s | Obsługiwane | Nie |
| Generacja 2 | VpnGw2AZ | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 500 | 1,25 Gb/s | Obsługiwane | Tak |
| Generacja 2 | VpnGw3AZ | Maksymalnie z 30 | Maksymalnie z 128 | Maksymalnie z 1000 | 2,5 Gb/s | Obsługiwane | Tak |
| Generacja 2 | VpnGw4AZ | Maksymalnie z 100* | Maksymalnie z 128 | Maksymalnie z 5000 | 5 Gb/s | Obsługiwane | Tak |
| Generacja 2 | VpnGw5AZ | Maksymalnie z 100* | Maksymalnie z 128 | Maksymalnie z 10 000 | 10 Gb/s | Obsługiwane | Tak |
(*) Użyj Virtual WAN, jeśli potrzebujesz więcej niż 100 tuneli sieci VPN S2S.
Zmiana rozmiaru jednostek SKU VpnGw jest dozwolona w ramach tej samej generacji, z wyjątkiem zmiany rozmiaru jednostki SKU w warstwie Podstawowa. Podstawowa jednostka SKU jest starszą wersją jednostki SKU i ma ograniczenia funkcji. Aby przejść z warstwy Podstawowa do innej jednostki SKU, należy usunąć bramę sieci VPN w warstwie Podstawowa i utworzyć nową bramę z kombinacją rozmiaru generacji i jednostki SKU. (zobacz Praca ze starszymi jednostkami SKU).
Te limity połączeń są niezależne. Przykładowo dla jednostki SKU VpnGw1 można mieć 128 połączeń SSTP, a oprócz tego 250 połączeń IKEv2.
Informacje o cenach znajdują się na stronie Cennik.
Informacje na temat umowy SLA (Service Level Agreement) można znaleźć na stronie SLA.
Jeśli masz wiele połączeń typu punkt-lokacja, może to mieć negatywny wpływ na połączenia typu lokacja-lokacja. Testy porównawcze zagregowanej przepływności zostały przetestowane przez maksymalizację kombinacji połączeń typu lokacja-lokacja i punkt-lokacja. Jedno połączenie punkt-lokacja lub lokacja-lokacja może mieć znacznie niższą przepływność.
Należy pamiętać, że wszystkie testy porównawcze nie są gwarantowane ze względu na warunki ruchu internetowego i zachowania aplikacji
Aby pomóc naszym klientom zrozumieć względną wydajność jednostek SKU przy użyciu różnych algorytmów, użyliśmy publicznie dostępnych narzędzi iPerf i CTSTraffic do mierzenia wydajności połączeń typu lokacja-lokacja. W poniższej tabeli przedstawiono wyniki testów wydajnościowych dla jednostek SKU VpnGw. Jak widać, najlepsza wydajność jest uzyskiwana, gdy użyliśmy algorytmu GCMAES256 zarówno dla szyfrowania IPsec, jak i integralności. Uzyskaliśmy średnią wydajność podczas używania algorytmu AES256 na potrzeby szyfrowania IPsec i algorytmu SHA256 na potrzeby integralności. W przypadku użycia des3 na potrzeby szyfrowania IPsec i algorytmu SHA256 dla integralności uzyskaliśmy najniższą wydajność.
Tunel VPN łączy się z wystąpieniem bramy sieci VPN. Każda przepływność wystąpienia jest wymieniona w powyższej tabeli przepływności i jest dostępna zagregowana we wszystkich tunelach łączących się z tym wystąpieniem.
W poniższej tabeli przedstawiono zaobserwowaną przepustowość i pakiety na sekundę przepływność na tunel dla różnych jednostek SKU bramy. Wszystkie testy zostały przeprowadzone między bramami (punktami końcowymi) na platformie Azure w różnych regionach z 100 połączeniami i w standardowych warunkach obciążenia.
| Generowanie | SKU | Algorytmy Używane |
Przepustowość obserwowane na tunel |
Pakiety na sekundę na tunel Obserwowane |
|---|---|---|---|---|
| Generacja1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 130 Mb/s |
62,000 47,000 12 000 |
| Generacja1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mb/s 140 Mb/s |
100 000 61,000 13,000 |
| Generacja1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 700 Mb/s 140 Mb/s |
120,000 66,000 13,000 |
| Generacja1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 130 Mb/s |
62,000 47,000 12 000 |
| Generacja1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gb/s 650 Mb/s 140 Mb/s |
110,000 61,000 13,000 |
| Generacja1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 700 Mb/s 140 Mb/s |
120,000 66,000 13,000 |
| Generacja2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 130 Mb/s |
120,000 52,000 12 000 |
| Generacja2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mb/s 140 Mb/s |
140,000 66,000 13,000 |
| Generacja2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generacja2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generacja2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 130 Mb/s |
120,000 52,000 12 000 |
| Generacja2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gb/s 700 Mb/s 140 Mb/s |
140,000 66,000 13,000 |
| Generacja2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
| Generacja2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gb/s 700 Mb/s 140 Mb/s |
220,000 66,000 13,000 |
Strefy dostępności
Bramy sieci VPN można wdrożyć w usłudze Azure Strefy dostępności. Zapewni to elastyczność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie dzieli bramy w danym regionie, chroniąc jednocześnie lokalną łączność sieci z platformą Azure przed błędami na poziomie strefy. Zobacz Informacje o strefowo nadmiarowych bramach sieci wirtualnych w usłudze Azure Strefy dostępności.
Cennik
Płatność dotyczy dwóch składników: kosztu godzin obliczeniowych bramy sieci wirtualnej i transferu danych wychodzących z bramy sieci wirtualnej. Informacje o cenach znajdują się na stronie Cennik. Aby uzyskać cennik jednostki SKU starszej wersji bramy, zobacz stronę cennika usługi ExpressRoute i przewiń do sekcji Virtual Network Gateways (Bramy usługi Virtual Network Gateway).
Koszty obliczeniowe bramy sieci wirtualnej
Każda brama sieci wirtualnej ma koszt godziny obliczeniowej. Cena zależy od jednostki SKU bramy, która została określona podczas tworzenia bramy sieci wirtualnej. Koszt dotyczy samej bramy i jest dodawany do kosztu transferu danych, który przepływa przez bramę. Koszt konfiguracji aktywna-aktywna jest taka sam jak konfiguracji aktywna-pasywna.
Koszty transferu danych
Koszty transferu danych są obliczane na podstawie ruchu wychodzącego ze źródłowej bramy sieci wirtualnej.
- Jeśli wysyłasz ruch do lokalnego urządzenia sieci VPN, zostanie naliczona opłata za transfer danych wychodzących z Internetu.
- Jeśli wysyłasz ruch między sieciami wirtualnymi w różnych regionach, ceny są oparte na regionie.
- Jeśli wysyłasz ruch tylko między sieciami wirtualnymi, które znajdują się w tym samym regionie, nie ma żadnych kosztów danych. Ruch między sieciami wirtualnymi w tym samym regionie jest bezpłatny.
Więcej informacji o jednostkach SKU bramy dla usługi VPN Gateway zawiera artykuł Gateway SKUs (Jednostki SKU bramy).
Często zadawane pytania
Aby zapoznać się z często zadawanymi pytaniami dotyczącymi bramy sieci VPN, zobacz Brama VPN Gateway — często zadawane pytania.
Co nowego?
Zasubskrybuj kanał informacyjny RSS i wyświetl najnowsze aktualizacje funkcji VPN Gateway na stronie usługi Azure Aktualizacje.