Compartilhar via


Caminho rápido da VPN do Hub de Pilha do Azure para operadores

O que é o recurso Caminho Rápido da VPN do Hub de Pilha do Azure?

O Azure Stack Hub está apresentando as três novas SKUs descritas neste artigo como parte do recurso Caminho Rápido da VPN. Anteriormente, os túneis S2S eram limitados a uma largura de banda máxima de 200 Mbps usando o SKU de alto desempenho. As novas SKUs permitem cenários de cliente nos quais é necessária uma taxa de transferência de rede mais alta. Os valores de taxa de transferência para cada SKU são valores unidirecionais, o que significa que ele oferece suporte à taxa de transferência fornecida em qualquer um dos tráfegos de envio ou recebimento.

Novos SKUs de gateway de rede virtual VPN Fast Path

Com a introdução do recurso Caminho Rápido de VPN no Hub de Pilha do Azure, os usuários locatários podem criar conexões VPN usando 3 novos SKUs:

  • Basic
  • Standard
  • Alto Desempenho
  • VpnGw1 (novo)
  • VpnGw2 (novo)
  • VpnGw3 (novo)

Considerações importantes antes de habilitar o Caminho Rápido da VPN do Hub de Pilha do Azure

Para que qualquer processo de atualização ocorra da forma mais suave possível, para que haja um impacto mínimo sobre seus usuários, é importante preparar seu carimbo do Azure Stack Hub.

Como operador do Azure Stack Hub habilitando o Caminho Rápido da VPN, recomendamos que você se coordene com os usuários locatários para agendar uma janela de manutenção durante a qual a mudança pode acontecer. Notifique seus usuários sobre possíveis interrupções do serviço de conexão VPN e siga as etapas aqui para preparar seu carimbo para a atualização.

VPN Fast Path requer NAT-T em dispositivos VPN remotos

O Caminho Rápido da VPN do Hub de Pilha do Azure depende do novo serviço Gateway SDN e vem com um novo requisito durante o planejamento.

Planeje com usuários locatários antes de habilitar o VPN Fast Path

  • Lista de configurações de recursos de gateway de rede virtual existentes.
  • Lista de configurações de recursos de conexões existentes.
  • Lista de diretivas e configurações IPSec usadas em suas conexões existentes.
    • Esta etapa garante que os usuários tenham políticas configuradas que funcionem com seus dispositivos, incluindo diretivas IPSec personalizadas.
  • Listar configurações de gateway de rede local. Os usuários locatários podem reutilizar recursos e configurações de gateway de rede local. No entanto, também recomendamos que você salve a configuração existente caso eles precisem ser recriados.
  • Depois que o VPN Fast Path estiver habilitado, os locatários deverão recriar seus gateways e conexões de rede virtual, conforme apropriado, se quiserem usar os novos SKUs.

Com o lançamento do VPN Fast Path, há um novo comando do PowerShell que os operadores podem chamar para listar todas as conexões existentes criadas por seus locatários. Este cmdlet pode ajudar o operador a gerenciar a capacidade e entrar em contato com os administradores de locatários se eles precisarem recriar seus gateways de Rede Virtual:

Get-AzsVirtualNetworkGatewayConnection

Para obter mais informações, consulte Get-AzsVirtualNetworkGatewayConnection.

Como habilitar o Caminho Rápido da VPN do Hub de Pilha do Azure

Com o VPN Fast Path, os operadores podem habilitar o novo recurso usando os seguintes comandos do PowerShell. Quando o recurso atingir a disponibilidade geral, os operadores também poderão habilitá-lo usando o portal do administrador do Azure Stack Hub.

Você pode ajustar as configurações existentes recriando o gateway de rede virtual e suas conexões com um dos novos SKUs.

Habilitar o Caminho Rápido de VPN do Hub de Pilha do Azure usando o PowerShell

No ponto de extremidade privilegiado do Azure Stack Hub, você pode executar o seguinte comando do PowerShell para habilitar o recurso Caminho Rápido da VPN:

Para obter mais informações sobre o PEP do Hub de Pilha do Azure, consulte Acessar ponto de extremidade privilegiado.

Set-AzSVPNFastPath -Enable

Captura de tela mostrando os comandos do PowerShell para habilitar o Caminho Rápido.

Validar o Caminho Rápido da VPN do Hub de Pilha do Azure está habilitado usando o PowerShell

Depois que o recurso VPN Fast Path estiver habilitado, você poderá validar o estado atual das VMs de gateway e a capacidade usada usando o seguinte comando do PowerShell:

Get-AzSVPNFastPath

Captura de tela mostrando a validação do PowerShell.

Desabilitar o Caminho Rápido da VPN do Hub de Pilha do Azure usando o PowerShell

Set-AzSVPNFastPath -Disable

Se você precisar desabilitar o VPN Fast Path, primeiro deverá trabalhar com seu locatário para excluir e recriar todos os seus Gateways de Rede Virtual usando SKUs VPN Fast Path. Como a capacidade de VPN de carimbo aumenta quando o Caminho Rápido de VPN está habilitado, você não pode desabilitar o Caminho Rápido de VPN se a capacidade geral em uso exceder a capacidade total quando o Hub de Pilha do Azure não estiver usando o Caminho Rápido de VPN.

Arquitetura do Pool de Gateway de Hub do Azure Stack

Há três VMs de infraestrutura de gateway multilocatário no Hub de Pilha do Azure. Duas dessas VMs estão no modo ativo e a terceira está no modo redundante. As VMs ativas permitem a criação de conexões VPN nelas, e a VM redundante só aceita conexões VPN se ocorrer um failover. Se uma VM de gateway ativa ficar indisponível, a conexão VPN fará failover para a VM redundante após um curto período (alguns segundos) de perda de conexão.

Os failovers de conexão de gateway são esperados durante uma atualização do OEM ou do Hub de Pilha do Azure, à medida que as VMs são corrigidas e migradas ao vivo. Esse failover pode resultar em uma desconexão temporária dos túneis.

Diagrama conceitual mostrando o failover do VPN Fast Path.

Nova capacidade total do pool de gateway

A capacidade geral do Pool de Gateway de um carimbo do Azure Stack Hub é de 4 Gbps. Essa capacidade é dividida entre as duas VMs do Active Gateway, com cada VM do Gateway suportando até 2 Gbps de taxa de transferência. Quando um recurso de conexão é criado, duas vezes sua SKU é reservada na VM do Gateway. Esse design garante que a taxa de transferência máxima da SKU (medida em uma direção) possa ser alcançada com tráfego Tx ou Rx, dependendo dos requisitos da carga de trabalho do usuário.

Por exemplo, um SKU de alto desempenho reserva 400 Mbps em uma VM de gateway (200 para Tx, 200 para Rx). Isso significa que, no mecanismo existente, uma conexão de alto desempenho reserva um décimo da capacidade total do pool de gateways.

A tabela a seguir mostra os tipos de gateway e a taxa de transferência agregada estimada para cada túnel/conexão por SKU de gateway quando o VPN Fast Path está desabilitado:

SKU Taxa de transferência máxima da conexão VPN (1) Máximo # de conexões VPN por GW VM ativa Max # de conexões VPN por carimbo (2)
Básico (3) 100 Mbps Tx/Rx 10 20
Standard 100 Mbps Tx/Rx 10 20
Alta Performance 200 Mbps Tx/Rx 5 10

(1) - A taxa de transferência do túnel não é uma taxa de transferência garantida para conexões entre locais através da internet, é a medição máxima possível da taxa de transferência. O agregado total em uma direção é de 2 Gbps.
(2) - Máximo de túneis é o total por implantação do Hub de Pilha do Azure para todas as assinaturas.
(3) - O roteamento BGP não é suportado para o SKU Básico.

Diagrama conceitual mostrando o VPN Fast Path desativado.

Taxa de transferência de túnel agregado estimada por SKU com VPN Fast Path ativado

Depois que o operador habilita o Caminho Rápido da VPN no carimbo do Hub de Pilha do Azure, a capacidade geral do Pool de Gateway é aumentada para 10 Gbps. Como a capacidade é dividida entre as duas VMs de gateway ativas, cada VM de gateway tem uma capacidade de 5 Gbps. A quantidade de capacidade reservada para cada conexão é a mesma descrita na seção anterior. Portanto, um SKU VpnGw3 (1250 Mbps) reserva 2500 Mbps de capacidade em uma VM de gateway:

SKU Taxa de transferência máxima da conexão VPN (1) Máximo # de conexões VPN por GW VM ativa Max # de conexões VPN por carimbo (2)
Básico (3) 100 Mbps Tx/Rx 25 50
Standard 100 Mbps Tx/Rx 25 50
Alta Performance 200 Mbps Tx/Rx 12 24
VPNGw1 650 Mbps Tx/Rx 3 6
VPNGw2 1000 Mbps Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

(1) - A taxa de transferência do túnel não é uma taxa de transferência garantida para conexões entre locais através da internet, é a medição máxima possível da taxa de transferência. O agregado total em uma direção é de 5 Gbps.
(2) - Máximo de túneis é o total por implantação do Hub de Pilha do Azure para todas as assinaturas.
(3) - O roteamento BGP não é suportado para o SKU Básico.

Diagrama conceitual mostrando o VPN Fast Path habilitado.

Próximas etapas