Co to jest usługa VPN Gateway?

VPN Gateway wysyła zaszyfrowany ruch między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Za pomocą VPN Gateway można również wysyłać zaszyfrowany ruch między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. Brama sieci VPN jest określonym typem bramy sieci wirtualnej. Każda sieć wirtualna może mieć tylko jedną bramę sieci VPN. Możesz jednak utworzyć wiele połączeń do tej samej bramy sieci VPN. W przypadku utworzenia wielu połączeń do tej samej bramy sieci VPN wszystkie tunele VPN współdzielą dostępną przepustowość bramy.

Co to jest brama sieci wirtualnej?

Brama sieci wirtualnej składa się z co najmniej dwóch maszyn wirtualnych, które są automatycznie konfigurowane i wdrażane w określonej podsieci utworzonej jako podsieć bramy. Maszyny wirtualne bramy zawierają tabele routingu i uruchamiają określone usługi bramy. Nie można bezpośrednio skonfigurować maszyn wirtualnych będących częścią bramy sieci wirtualnej, chociaż ustawienia wybrane podczas konfigurowania bramy wpływają na utworzone maszyny wirtualne bramy.

Co to jest brama VPN?

Podczas konfigurowania bramy sieci wirtualnej należy skonfigurować ustawienie określające typ bramy. Typ bramy określa sposób użycia bramy sieci wirtualnej oraz akcje podejmowane przez bramę. Typ bramy "Vpn" określa, że typ utworzonej bramy sieci wirtualnej to "brama sieci VPN". Odróżnia ją od bramy usługi ExpressRoute, która używa innego typu bramy. Sieć wirtualna może mieć dwie bramy sieci wirtualnej; jedna brama sieci VPN i jedna brama usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Gateway types (Typy bram).

Podczas tworzenia bramy sieci VPN maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu określonych ustawień. Ten proces może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy. Po utworzeniu bramy sieci VPN możesz utworzyć połączenie tunelu VPN IPsec/IKE między bramą sieci VPN a inną bramą sieci VPN (sieć wirtualna-sieć wirtualna) lub utworzyć połączenie tunelu VPN IPsec/IKE obejmujące wiele lokalizacji między bramą sieci VPN a lokalnym urządzeniem sieci VPN (lokacja-lokacja). Możesz również utworzyć połączenie sieci VPN typu punkt-lokacja (vpn za pośrednictwem protokołu OpenVPN, IKEv2 lub SSTP), które umożliwia nawiązanie połączenia z siecią wirtualną z lokalizacji zdalnej, na przykład z konferencji lub z domu.

Konfigurowanie bramy sieci VPN

Połączenie bramy sieci VPN bazuje na wielu zasobach konfigurowanych przy użyciu konkretnych ustawień. Większość zasobów można skonfigurować osobno, choć niektóre z nich należy skonfigurować w określonej kolejności.

Łączność

Ponieważ można utworzyć wiele konfiguracji połączeń przy użyciu VPN Gateway, musisz określić, która konfiguracja najlepiej odpowiada Twoim potrzebom. Połączenia typu punkt-lokacja, lokacja-lokacja i współistniejące połączenia usługi ExpressRoute/lokacja-lokacja mają różne instrukcje i wymagania dotyczące konfiguracji. Aby uzyskać diagramy połączeń i odpowiednie linki do kroków konfiguracji, zobacz VPN Gateway projektu.

Tabela planowania

W poniższej tabeli znajdują się informacje pomocne podczas podejmowania decyzji co do najlepszej opcji łączności dla rozwiązania. Pamiętaj, że usługa ExpressRoute nie jest częścią VPN Gateway, ale jest zawarta w tabeli.

Punkt-lokacja Lokacja-lokacja ExpressRoute
Obsługiwane usługi platformy Azure Usługi Cloud Services i Virtual Machines Usługi Cloud Services i Virtual Machines Lista usług
Typowe przepustowości Na podstawie jednostki SKU bramy < Zazwyczaj agregacja 10 Gb/s 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s, 2 Gb/s, 5 Gb/s, 10 Gb/s, 100 Gb/s
Obsługiwane protokoły Secure Sockets Tunneling Protocol (SSTP), OpenVPN i IPsec IPsec Bezpośrednie połączenie za pośrednictwem sieci VLAN, technologie VPN NSP (MPLS, VPLS itp.)
Routing RouteBased (dynamiczny) Firma Microsoft obsługuje routing typu PolicyBased (statyczny) i RouteBased (dynamiczny VPN) BGP
Odporność połączenia aktywne-pasywne aktywne/pasywne lub aktywne/aktywne aktywne-aktywne
Typowy przypadek użycia Zabezpieczanie dostępu do sieci wirtualnych platformy Azure dla użytkowników zdalnych Scenariusze tworzenia i testowania/laboratorium oraz obciążenia produkcyjne na małą i średnią skalę dla usług w chmurze i maszyn wirtualnych Dostęp do wszystkich usług Azure (zatwierdzona lista), obciążenia o znaczeniu krytycznym oraz klasy korporacyjnej, Backup, dane big data, platforma Azure jako lokacja DR
Umowa SLA Umowa SLA Umowa SLA Umowa SLA
Cennik Cennik Cennik Cennik
Dokumentacja techniczna VPN Gateway VPN Gateway ExpressRoute
Często zadawane pytania Brama sieci VPN — często zadawane pytania Brama sieci VPN — często zadawane pytania Usługa ExpressRoute — często zadawane pytania

Ustawienia

Ustawienia wybrane dla każdego zasobu mają kluczowe znaczenie dla utworzenia prawidłowego połączenia. Aby uzyskać informacje na temat poszczególnych zasobów i ustawień dla bramy sieci VPN, zobacz Ustawienia bramy sieci VPN — informacje. Ten artykuł zawiera informacje ułatwiające poznanie typów bram, jednostek SKU bram typów sieci VPN, typów połączeń, podsieci bram, bram sieci lokalnych i innych ustawień zasobów, które warto wziąć pod uwagę.

Narzędzia wdrażania

Możesz rozpocząć tworzenie i konfigurowanie zasobów za pomocą jednego narzędzia konfiguracji, takiego jak witryna Azure Portal. Później możesz zdecydować się zmienić narzędzie na inne, np. program PowerShell, w celu skonfigurowania dodatkowych zasobów lub zmodyfikowania istniejących zasobów, jeśli jest to wymagane. Obecnie nie wszystkie zasoby i ustawienia zasobów można skonfigurować w witrynie Azure Portal. Instrukcje w artykułach dotyczących poszczególnych topologii połączeń określają, kiedy potrzebne jest konkretne narzędzie konfiguracji.

Jednostki SKU bramy

Podczas tworzenia bramy sieci wirtualnej określa się jednostkę SKU bramy do użycia. Wybierz jednostkę SKU spełniającą Twoje wymagania na podstawie typów obciążeń, przepustowości, funkcji i umów SLA.

Jednostki SKU bramy według tunelowania, połączenia i przepływności

VPN
Brama
Generowanie
SKU Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna
Tunele
P2s
Połączenia SSTP
P2s
Połączenia IKEv2/OpenVPN
Agregacja
Test porównawczy przepływności
BGP Strefowo nadmiarowy
Generacja1 Podstawowa Maksymalnie z 10 Maksymalnie z 128 Nieobsługiwane 100 Mb/s Nieobsługiwane Nie
Generacja1 VpnGw1 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 250 650 Mb/s Obsługiwane Nie
Generacja1 VpnGw2 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1 Gb/s Obsługiwane Nie
Generacja1 VpnGw3 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 1,25 Gb/s Obsługiwane Nie
Generacja1 VpnGw1AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 250 650 Mb/s Obsługiwane Tak
Generacja1 VpnGw2AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1 Gb/s Obsługiwane Tak
Generacja1 VpnGw3AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 1,25 Gb/s Obsługiwane Tak
Generacja 2 VpnGw2 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1,25 Gb/s Obsługiwane Nie
Generacja 2 VpnGw3 Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 2,5 Gb/s Obsługiwane Nie
Generacja 2 VpnGw4 Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 5000 5 Gb/s Obsługiwane Nie
Generacja 2 VpnGw5 Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 10 000 10 Gb/s Obsługiwane Nie
Generacja 2 VpnGw2AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 500 1,25 Gb/s Obsługiwane Tak
Generacja 2 VpnGw3AZ Maksymalnie z 30 Maksymalnie z 128 Maksymalnie z 1000 2,5 Gb/s Obsługiwane Tak
Generacja 2 VpnGw4AZ Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 5000 5 Gb/s Obsługiwane Tak
Generacja 2 VpnGw5AZ Maksymalnie z 100* Maksymalnie z 128 Maksymalnie z 10 000 10 Gb/s Obsługiwane Tak

(*) Użyj Virtual WAN, jeśli potrzebujesz więcej niż 100 tuneli sieci VPN S2S.

  • Zmiana rozmiaru jednostek SKU VpnGw jest dozwolona w ramach tej samej generacji, z wyjątkiem zmiany rozmiaru jednostki SKU w warstwie Podstawowa. Podstawowa jednostka SKU jest starszą wersją jednostki SKU i ma ograniczenia funkcji. Aby przejść z warstwy Podstawowa do innej jednostki SKU, należy usunąć bramę sieci VPN w warstwie Podstawowa i utworzyć nową bramę z kombinacją rozmiaru generacji i jednostki SKU. (zobacz Praca ze starszymi jednostkami SKU).

  • Te limity połączeń są niezależne. Przykładowo dla jednostki SKU VpnGw1 można mieć 128 połączeń SSTP, a oprócz tego 250 połączeń IKEv2.

  • Informacje o cenach znajdują się na stronie Cennik.

  • Informacje na temat umowy SLA (Service Level Agreement) można znaleźć na stronie SLA.

  • Jeśli masz wiele połączeń typu punkt-lokacja, może to mieć negatywny wpływ na połączenia typu lokacja-lokacja. Testy porównawcze zagregowanej przepływności zostały przetestowane przez maksymalizację kombinacji połączeń typu lokacja-lokacja i punkt-lokacja. Jedno połączenie punkt-lokacja lub lokacja-lokacja może mieć znacznie niższą przepływność.

  • Należy pamiętać, że wszystkie testy porównawcze nie są gwarantowane ze względu na warunki ruchu internetowego i zachowania aplikacji

Aby pomóc naszym klientom zrozumieć względną wydajność jednostek SKU przy użyciu różnych algorytmów, użyliśmy publicznie dostępnych narzędzi iPerf i CTSTraffic do mierzenia wydajności połączeń typu lokacja-lokacja. W poniższej tabeli przedstawiono wyniki testów wydajnościowych dla jednostek SKU VpnGw. Jak widać, najlepsza wydajność jest uzyskiwana, gdy użyliśmy algorytmu GCMAES256 zarówno dla szyfrowania IPsec, jak i integralności. Uzyskaliśmy średnią wydajność podczas używania algorytmu AES256 na potrzeby szyfrowania IPsec i algorytmu SHA256 na potrzeby integralności. W przypadku użycia des3 na potrzeby szyfrowania IPsec i algorytmu SHA256 dla integralności uzyskaliśmy najniższą wydajność.

Tunel VPN łączy się z wystąpieniem bramy sieci VPN. Każda przepływność wystąpienia jest wymieniona w powyższej tabeli przepływności i jest dostępna zagregowana we wszystkich tunelach łączących się z tym wystąpieniem.

W poniższej tabeli przedstawiono zaobserwowaną przepustowość i pakiety na sekundę przepływność na tunel dla różnych jednostek SKU bramy. Wszystkie testy zostały przeprowadzone między bramami (punktami końcowymi) na platformie Azure w różnych regionach z 100 połączeniami i w standardowych warunkach obciążenia.

Generowanie SKU Algorytmy
Używane
Przepływność
obserwowane dla tunelu
Pakiety na sekundę na tunel
Obserwowane
Generacja1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
130 Mb/s
62,000
47,000
12 000
Generacja1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mb/s
140 Mb/s
100 000
61,000
13,000
Generacja1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
700 Mb/s
140 Mb/s
120,000
66,000
13,000
Generacja1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
130 Mb/s
62,000
47,000
12 000
Generacja1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mb/s
140 Mb/s
110,000
61,000
13,000
Generacja1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
700 Mb/s
140 Mb/s
120,000
66,000
13,000
Generacja2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
130 Mb/s
120,000
52,000
12 000
Generacja2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mb/s
140 Mb/s
140,000
66,000
13,000
Generacja2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generacja2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generacja2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
130 Mb/s
120,000
52,000
12 000
Generacja2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mb/s
140 Mb/s
140,000
66,000
13,000
Generacja2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generacja2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000

Strefy dostępności

Bramy sieci VPN można wdrożyć w usłudze Azure Strefy dostępności. Zapewni to elastyczność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie dzieli bramy w danym regionie, chroniąc jednocześnie lokalną łączność sieci z platformą Azure przed błędami na poziomie strefy. Zobacz Informacje o strefowo nadmiarowych bramach sieci wirtualnych w usłudze Azure Strefy dostępności.

Cennik

Płatność dotyczy dwóch składników: kosztu godzin obliczeniowych bramy sieci wirtualnej i transferu danych wychodzących z bramy sieci wirtualnej. Informacje o cenach znajdują się na stronie Cennik. Aby uzyskać cennik jednostki SKU starszej wersji bramy, zobacz stronę cennika usługi ExpressRoute i przewiń do sekcji Virtual Network Gateways (Bramy usługi Virtual Network Gateway).

Koszty obliczeniowe bramy sieci wirtualnej
Każda brama sieci wirtualnej ma koszt godziny obliczeniowej. Cena zależy od jednostki SKU bramy, która została określona podczas tworzenia bramy sieci wirtualnej. Koszt dotyczy samej bramy i jest dodawany do kosztu transferu danych, który przepływa przez bramę. Koszt konfiguracji aktywna-aktywna jest taka sam jak konfiguracji aktywna-pasywna.

Koszty transferu danych
Koszty transferu danych są obliczane na podstawie ruchu wychodzącego ze źródłowej bramy sieci wirtualnej.

  • Jeśli wysyłasz ruch do lokalnego urządzenia sieci VPN, zostanie naliczona opłata za transfer danych wychodzących z Internetu.
  • Jeśli wysyłasz ruch między sieciami wirtualnymi w różnych regionach, ceny są oparte na regionie.
  • Jeśli wysyłasz ruch tylko między sieciami wirtualnymi, które znajdują się w tym samym regionie, nie ma żadnych kosztów danych. Ruch między sieciami wirtualnymi w tym samym regionie jest bezpłatny.

Więcej informacji o jednostkach SKU bramy dla usługi VPN Gateway zawiera artykuł Gateway SKUs (Jednostki SKU bramy).

Często zadawane pytania

Aby zapoznać się z często zadawanymi pytaniami dotyczącymi bramy sieci VPN, zobacz Brama VPN Gateway — często zadawane pytania.

Co nowego?

Zasubskrybuj kanał informacyjny RSS i wyświetl najnowsze aktualizacje funkcji VPN Gateway na stronie usługi Azure Aktualizacje.

Następne kroki