Criar gateways de VPN para o Azure Stack Hub
Um gateway de rede virtual é o dispositivo VPN de software (gateway de VPN) para sua rede virtual do Azure Stack Hub. Use isso com uma conexão ou conexões para configurar uma conexão VPN site a site ou site a site entre uma rede virtual do Azure Stack Hub e sua rede local ou uma conexão VPN de VNet para VNet entre duas redes virtuais criadas em selos diferentes do Azure Stack Hub.
Ao criar um gateway de rede virtual, especifique o tipo de gateway que você deseja criar. O Azure Stack Hub dá suporte apenas ao tipo vpn .
Cada rede virtual pode ter apenas um gateway de rede virtual. Dependendo das configurações escolhidas, você pode criar várias conexões em um único gateway de rede virtual. Um exemplo desse tipo de configuração é uma configuração de topologia site a site.
Antes de criar e configurar recursos de gateway de rede virtual para o Azure Stack Hub, examine as considerações sobre a rede do Azure Stack Hub para saber como as configurações do Azure Stack Hub diferem do Azure.
Observação
No Azure, a taxa de transferência de largura de banda para a SKU do gateway de rede virtual escolhida deve ser dividida entre todas as conexões conectadas ao gateway. No Azure Stack Hub, no entanto, o valor de largura de banda para o SKU do gateway de rede virtual é aplicado a cada recurso de conexão conectado ao gateway.
Por exemplo:
- No Azure, o SKU de gateway de rede virtual básico pode acomodar aproximadamente 100 Mbps de taxa de transferência agregada. Se você criar duas conexões com esse gateway de rede virtual e uma conexão estiver usando 50 Mbps de largura de banda, 50 Mbps ficarão disponíveis para a outra conexão.
- No Azure Stack Hub, cada conexão com o SKU de gateway de rede virtual básica é alocada 100 Mbps de taxa de transferência.
Configurando gateways de VPN
Um gateway de VPN depende de vários recursos que são definidos com configurações específicas. A maioria desses recursos pode ser configurada separadamente, mas em alguns casos eles devem ser configurados em uma ordem específica.
Configurações
As configurações escolhidas para cada recurso são essenciais para a criação de uma conexão bem-sucedida.
Para obter informações sobre recursos individuais e configurações de um gateway de VPN, consulte Sobre as configurações de gateway de VPN para o Azure Stack Hub.
Ferramentas de implantação
Você pode criar e configurar recursos usando uma ferramenta de configuração, como o portal do Azure Stack Hub. Posteriormente, você poderá alternar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar recursos existentes quando aplicável.
Atualmente, você não pode definir todas as configurações de recursos e recursos no portal do Azure Stack Hub. As instruções nos artigos para cada topologia de conexão especificam quando uma ferramenta de configuração específica é necessária.
Diagramas de topologia de conexão
Há configurações diferentes disponíveis para gateways de VPN. Determine qual configuração melhor atende às suas necessidades. Nas seções a seguir, você pode exibir informações e diagramas de topologia sobre os seguintes cenários de gateway de VPN:
- Conexões site a site
- Conexões site a site
- Conexões site a site ou site a site entre selos do Azure Stack Hub
Os diagramas e descrições nas seções a seguir podem ajudá-lo a selecionar uma topologia de conexão para corresponder aos seus requisitos. Os diagramas mostram as topologias de linha de base main, mas é possível criar configurações mais complexas usando os diagramas como guia.
Conexões site a site
Uma conexão de gateway de VPN S2S ( site a site ) é uma conexão por túnel VPN IPsec/IKE (IKEv2). Esse tipo de conexão requer um dispositivo VPN localizado localmente e recebe um endereço IP público. As conexões S2S podem ser usadas para configurações entre instalações e híbridas.
Conexões site a site
Uma topologia site a site é uma variação da topologia site a site. Você cria mais de uma Conexão VPN do gateway de rede virtual, normalmente conectando-se a vários sites locais.
Conexões site a site ou site a site entre selos do Azure Stack Hub
Você só pode criar uma conexão VPN site a site entre duas implantações do Azure Stack Hub. Isso ocorre devido a uma limitação na plataforma que permite apenas uma única conexão VPN com o mesmo endereço IP. Como o Azure Stack Hub aproveita o gateway multilocatário, que usa um único IP público para todos os gateways de VPN no sistema do Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas do Azure Stack Hub. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway de VPN que use um único endereço IP. O Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.
O diagrama a seguir mostra como você pode interconectar vários selos do Azure Stack Hub se precisar criar uma topologia de malha entre selos.
Nesse cenário, há três selos do Azure Stack Hub e cada um deles tem 1 gateway de rede virtual com 2 conexões e 2 gateways de rede local. Com os novos SKUs, os usuários podem conectar redes e cargas de trabalho entre selos com taxa de transferência de conexão VPN de até 1250 Mbps Tx/Rx, alocando 50% da capacidade do pool de gateway de cada selo. Você pode usar a capacidade restante em cada selo para conexões VPN adicionais necessárias para outros casos de uso:
SKUs de gateway
Ao criar um gateway de rede virtual para o Azure Stack Hub, você especifica o SKU do gateway que deseja usar. Há suporte para as seguintes SKUs de gateway de Rede Virtual:
- Básico – Tx/Rx de 100 Mbps
- Standard - 100 Mbps Tx/Rx
- Alto desempenho – Tx/Rx de 200 Mbps
Novas SKUs de gateway de Rede Virtual em versão prévia pública
Na versão 2209 do Azure Stack Hub, a Microsoft está anunciando a Visualização Pública do novo recurso caminho rápido de VPN, que aumenta a taxa de transferência máxima total do selo do Azure Stack Hub de 2 Gbps para 5 Gbps e também apresenta três novas SKUs
- VpnGw1 - 650 Mbps Tx/Rx
- VpnGw2 - 1000 Mbps Tx/Rx
- VpnGw3 - 1250 Mbps Tx/Rx
O Azure Stack Hub não dá suporte ao SKU do gateway de Desempenho Ultra, que é usado exclusivamente com o Express Route.
Considere o seguinte ao selecionar o SKU:
- O Azure Stack Hub não dá suporte a gateways baseados em política.
- O BGP (Border Gateway Protocol) não tem suporte no SKU Básico.
- Não há suporte para configurações coexistentes do gateway expressRoute-VPN no Azure Stack Hub.
Disponibilidade do gateway
Ao contrário do Azure, que fornece disponibilidade por meio de configurações ativas/ativas e ativas/passivas, o Azure Stack Hub dá suporte apenas à configuração ativa/passiva.