O que é o Gateway de VPN do Azure?
O Gateway de VPN do Azure é um serviço que usa um tipo específico de gateway de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública. Também é possível usar um Gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft. Várias conexões podem ser criadas com o mesmo gateway de VPN. Quando você cria várias conexões, todos os túneis de VPN compartilham a largura de banda de gateway disponível.
Sobre gateways de VPN
Um gateway de VPN é um tipo de gateway de rede virtual. Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure configuradas automaticamente e implantadas em uma sub-rede específica chamada de sub-rede de gateway. As VMs de gateway são configuradas para conter tabelas de roteamento e executar serviços de gateway específicos.
Uma das configurações especificadas ao criar um gateway de rede virtual é o "tipo de gateway". O tipo de gateway determina como o gateway de rede virtual será usado e as ações que o gateway realiza. Uma rede virtual pode ter dois gateways de rede virtual: um gateway de VPN e um gateway de ExpressRoute. O tipo de gateway 'VPN' especifica que o tipo de gateway de rede virtual criado é um gateway de VPN. Isso o distingue de um gateway de ExpressRoute, que usa um tipo de gateway diferente. Para obter mais informações, consulte Tipos de gateway.
Quando você cria um gateway de VPN, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações que você especificou. Esse processo pode levar 45 minutos ou mais para ser concluído, dependendo do SKU de gateway selecionado. Após criar um gateway de VPN, você poderá configurar conexões. Por exemplo, você pode criar uma conexão de túnel de VPN IPsec/IKE entre o gateway de VPN e o outro gateway de VPN (rede virtual a rede virtual), ou criar uma conexão de túnel de VPN IPsec/IKE entre locais, entre o gateway de VPN e um dispositivo VPN local (Site a Site). Você também pode criar uma conexão VPN Ponto a Site (VPN sobre OpenVPN, IKEv2 ou SSTP), que permite a você se conectar à sua rede virtual de um local remoto, como de uma conferência ou em casa.
Configurando o Gateway de VPN
Uma conexão de gateway VPN conta com vários recursos que são configurados com definições específicas. A maioria dos recursos pode ser configurada separadamente, embora alguns deles devam ser configurados em determinada ordem.
Conectividade
Como você pode criar várias configurações de conexão usando o Gateway de VPN, você precisa determinar qual configuração se encaixa melhor às suas necessidades. As conexões ponto a site, site a site e de ExpressRoute/site a site coexistentes têm diferentes instruções e requisitos de configuração. Para ver diagramas de conexão e links correspondentes para etapas de configuração, consulte Projeto de Gateway de VPN.
Tabela de planejamento
A tabela a seguir pode ajudá-lo a decidir a melhor opção de conectividade para sua solução. Observe que o ExpressRoute não faz parte do Gateway de VPN, mas está incluído na tabela.
| Ponto a Site | Site a site | ExpressRoute | |
|---|---|---|---|
| Serviços com Suporte no Azure | Serviços de Nuvem e Máquinas Virtuais | Serviços de Nuvem e Máquinas Virtuais | Lista de serviços |
| Larguras de Banda Típicas | Com base na SKU do gateway | Normalmente < 10 Gbps agregado | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps |
| Protocolos com Suporte | SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec | IPsec | Conexão direta pelas tecnologias VLANs e VPN do NSP (MPLS, VPLS...) |
| Roteamento | RouteBased (dinâmico) | Damos suporte a PolicyBased (roteamento estático) e RouteBased (VPN de roteamento dinâmico) | BGP |
| Resiliência de conexão | ativo-passivo | ativo-passivo ou ativo-ativo | ativo-ativo |
| Caso de uso típico | Proteger o acesso às redes virtuais do Azure para usuários remotos | Cenários de desenvolvimento/teste/laboratório e cargas de trabalho de produção em pequena e média escala para serviços de nuvem e máquinas virtuais | Acesso a todos os serviços do Azure (lista validada), cargas de trabalho essenciais e em nível Empresarial, Backup, Big Data e Azure como um site de DR |
| SLA | SLA | SLA | SLA |
| Preços | Preços | Preços | Preços |
| Documentação Técnica | Gateway de VPN | Gateway de VPN | ExpressRoute |
| perguntas frequentes | Perguntas frequentes de gateway de VPN | Perguntas frequentes de gateway de VPN | Perguntas Frequentes sobre ExpressRoute |
Configurações
As configurações que você escolheu para cada recurso são essenciais para a criação de uma conexão bem-sucedida. Para obter informações sobre os recursos individuais e as configurações do Gateway de VPN, consulte Sobre as configurações do Gateway de VPN. Este artigo contém informações para ajudar você a entender tipos de gateway, SKUs de gateway, tipos de VPN, tipos de conexão, sub-redes de gateway, gateways de rede local e várias outras configurações de recursos que você possa considerar.
Ferramentas de implantação
Você pode começar criando e configurando os recursos usando uma ferramenta de configuração, como o portal do Azure. Você pode decidir trocar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes, quando aplicável. Atualmente, não é possível configurar cada recurso e definição de recursos no portal do Azure. As instruções nos artigos para cada topologia de conexão especificam quando uma ferramenta de configuração específica é necessária.
SKUs de gateway
Ao criar um gateway de rede virtual, especifique a SKU do gateway que você deseja usar. Selecione as SKUs que atendem às suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, recursos e SLAs.
- Para obter mais informações sobre as SKUs do gateway, incluindo recursos compatíveis, produção e teste de desenvolvimento e etapas de configuração, confira o artigo Configurações do Gateway de VPN – SKUs do Gateway.
- Para obter informações sobre a SKU herdada, confira Como trabalhar com SKUs herdadas.
- A SKU Básica não tem suporte para IPv6.
SKUs de gateway pelo túnel, a conexão e a taxa de transferência
| VPN Gateway Geração |
SKU | S2S/VNet para VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Com redundância de zona |
|---|---|---|---|---|---|---|---|
| Geração1 | Basic | Máx. 10 | Máx. 128 | Sem suporte | 100 Mbps | Sem suporte | Não |
| Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Não |
| Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Não |
| Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Não |
| Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Sim |
| Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Sim |
| Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Sim |
| Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Não |
| Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Não |
| Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Não |
| Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Não |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Sim |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Sim |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Sim |
| Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Sim |
(*) Use WAN Virtual se precisar de mais de 100 túneis de VPN S2S.
O redimensionamento de SKUs VpnGw é permitido dentro da mesma geração, com exceção do redimensionamento de SKU Basic. O SKU Basic é um SKU herdado e tem limitações de recursos. Para avançar da versão Básica para outro SKU, você deve excluir o gateway de VPN do SKU Basic e criar um novo gateway com a combinação de tamanho de SKU e Geração desejada. (confira Como trabalhar com SKUs herdados).
Esses limites de conexão são separados. Por exemplo, você pode ter 128 conexões SSTP e 250 conexões IKEv2 em uma SKU VpnGw1.
Encontre informações sobre preços na página Preços .
As informações de SLA (contrato de nível de serviço) podem ser encontradas na página SLA.
Se você tiver muitas conexões P2S, isso poderá afetar negativamente suas conexões site a site. Os Parâmetros de Comparação de Taxa de Transferência Agregada foram testados maximizando uma combinação de conexões S2S e P2S. Uma conexão ponto a site ou site a site pode ter uma taxa de transferência muito menor.
Observe que todos os parâmetros de comparação não são garantidos devido às condições de tráfego da Internet e aos comportamentos do aplicativo
Para ajudar nossos clientes a entender o desempenho relativo dos SKUs que usam algoritmos diferentes, usamos ferramentas iPerf e CTSTraffic disponíveis publicamente para medir o desempenho de conexões site a site. A tabela abaixo lista os resultados dos testes de desempenho para os SKUs VpnGw. Como você pode ver, o melhor desempenho foi obtido quando usamos o algoritmo GCMAES256 para Criptografia e Integridade de IPsec. Obtivemos o desempenho médio quando usamos AES256 para Criptografia de IPsec e SHA256 para Integridade. Quando usamos DES3 para Criptografia de IPsec e SHA256 para Integridade, o desempenho foi menor.
Um túnel VPN se conecta a uma instância de gateway VPN. A taxa de transferência de cada instância é mencionada na tabela de taxas de transferência acima e está disponível agregada em todos os túneis que se conectam a essa instância.
A tabela abaixo mostra a largura de banda observada e a taxa de transferência de pacotes por segundo por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos de extremidade) no Azure em diferentes regiões com 100 conexões e em condições de carga padrão.
| Generation | SKU | Algoritmos usados |
Produtividade observado por túnel |
Pacotes por segundo por túnel observados |
|---|---|---|---|---|
| Geração1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62.000 47.000 12.000 |
| Geração1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
100.000 61.000 13.000 |
| Geração1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120.000 66.000 13.000 |
| Geração1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62.000 47.000 12.000 |
| Geração1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
110.000 61.000 13.000 |
| Geração1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120.000 66.000 13.000 |
| Geração2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120.000 52.000 12.000 |
| Geração2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140.000 66.000 13.000 |
| Geração2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220.000 66.000 13.000 |
| Geração2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220.000 66.000 13.000 |
| Geração2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120.000 52.000 12.000 |
| Geração2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140.000 66.000 13.000 |
| Geração2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220.000 66.000 13.000 |
| Geração2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbps 700 Mbps 140 Mbps |
220.000 66.000 13.000 |
Zonas de Disponibilidade
É possível implantar gateways de VPN em Zonas de Disponibilidade do Azure. Isso traz resiliência, escalabilidade e maior disponibilidade para gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure contra falhas no nível da zona. Confira Sobre os gateways de rede virtual com redundância de zona nas Zonas de Disponibilidade do Azure.
Preços
Você paga por duas coisas: os custos de computação por hora para o gateway de rede virtual, e transferência de dados de saída do gateway de rede virtual. Encontre informações sobre preços na página Preços . Para obter os preços do SKU de gateway herdado, confira a página de preços do ExpressRoute e role a página até a seção Gateways de rede virtual.
Custos de computação do gateway de rede virtual
Cada gateway de rede virtual tem um custo de computação por hora. O preço tem base no SKU do gateway que você especifica ao criar um gateway de rede virtual. O custo é para o próprio gateway e complementa a transferência de dados que fluem através do gateway. O custo de uma configuração ativa-ativa é a mesma que ativa-passiva.
Custos de transferência de dados
Os custos de transferência de dados são calculados com base no tráfego de saída do gateway de rede virtual de origem.
- Se você estiver enviando o tráfego para o seu dispositivo VPN local, ele será cobrado com a taxa de transferência de dados de saída da Internet.
- Se você estiver enviando tráfego entre redes virtuais em regiões diferentes, os preços terão base na região.
- Se você estiver enviando o tráfego somente entre redes virtuais que estão na mesma região, não haverá custo de dados. O tráfego entre VNets na mesma região é gratuito.
Para saber mais sobre as SKUs de gateway para Gateway de VPN, veja SKUs de Gateway.
Perguntas frequentes
Para perguntas frequentes sobre o gateway de VPN, consulte Perguntas frequentes sobre o gateway de VPN.
Novidades
Assine o RSS feed e veja as atualizações mais recentes dos recursos do Gateway de VPN na página Atualizações do Azure.