O que é o Gateway de VPN do Azure?

O Gateway de VPN do Azure é um serviço que usa um tipo específico de gateway de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública. Também é possível usar um Gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft. Várias conexões podem ser criadas com o mesmo gateway de VPN. Quando você cria várias conexões, todos os túneis de VPN compartilham a largura de banda de gateway disponível.

Sobre gateways de VPN

Um gateway de VPN é um tipo de gateway de rede virtual. Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure configuradas automaticamente e implantadas em uma sub-rede específica chamada de sub-rede de gateway. As VMs de gateway são configuradas para conter tabelas de roteamento e executar serviços de gateway específicos.

Uma das configurações especificadas ao criar um gateway de rede virtual é o "tipo de gateway". O tipo de gateway determina como o gateway de rede virtual será usado e as ações que o gateway realiza. Uma rede virtual pode ter dois gateways de rede virtual: um gateway de VPN e um gateway de ExpressRoute. O tipo de gateway 'VPN' especifica que o tipo de gateway de rede virtual criado é um gateway de VPN. Isso o distingue de um gateway de ExpressRoute, que usa um tipo de gateway diferente. Para obter mais informações, consulte Tipos de gateway.

Quando você cria um gateway de VPN, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações que você especificou. Esse processo pode levar 45 minutos ou mais para ser concluído, dependendo do SKU de gateway selecionado. Após criar um gateway de VPN, você poderá configurar conexões. Por exemplo, você pode criar uma conexão de túnel de VPN IPsec/IKE entre o gateway de VPN e o outro gateway de VPN (rede virtual a rede virtual), ou criar uma conexão de túnel de VPN IPsec/IKE entre locais, entre o gateway de VPN e um dispositivo VPN local (Site a Site). Você também pode criar uma conexão VPN Ponto a Site (VPN sobre OpenVPN, IKEv2 ou SSTP), que permite a você se conectar à sua rede virtual de um local remoto, como de uma conferência ou em casa.

Configurando o Gateway de VPN

Uma conexão de gateway VPN conta com vários recursos que são configurados com definições específicas. A maioria dos recursos pode ser configurada separadamente, embora alguns deles devam ser configurados em determinada ordem.

Conectividade

Como você pode criar várias configurações de conexão usando o Gateway de VPN, você precisa determinar qual configuração se encaixa melhor às suas necessidades. As conexões ponto a site, site a site e de ExpressRoute/site a site coexistentes têm diferentes instruções e requisitos de configuração. Para ver diagramas de conexão e links correspondentes para etapas de configuração, consulte Projeto de Gateway de VPN.

Tabela de planejamento

A tabela a seguir pode ajudá-lo a decidir a melhor opção de conectividade para sua solução. Observe que o ExpressRoute não faz parte do Gateway de VPN, mas está incluído na tabela.

Ponto a Site Site a site ExpressRoute
Serviços com Suporte no Azure Serviços de Nuvem e Máquinas Virtuais Serviços de Nuvem e Máquinas Virtuais Lista de serviços
Larguras de Banda Típicas Com base na SKU do gateway Normalmente < 10 Gbps agregado 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps
Protocolos com Suporte SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec IPsec Conexão direta pelas tecnologias VLANs e VPN do NSP (MPLS, VPLS...)
Roteamento RouteBased (dinâmico) Damos suporte a PolicyBased (roteamento estático) e RouteBased (VPN de roteamento dinâmico) BGP
Resiliência de conexão ativo-passivo ativo-passivo ou ativo-ativo ativo-ativo
Caso de uso típico Proteger o acesso às redes virtuais do Azure para usuários remotos Cenários de desenvolvimento/teste/laboratório e cargas de trabalho de produção em pequena e média escala para serviços de nuvem e máquinas virtuais Acesso a todos os serviços do Azure (lista validada), cargas de trabalho essenciais e em nível Empresarial, Backup, Big Data e Azure como um site de DR
SLA SLA SLA SLA
Preços Preços Preços Preços
Documentação Técnica Gateway de VPN Gateway de VPN ExpressRoute
perguntas frequentes Perguntas frequentes de gateway de VPN Perguntas frequentes de gateway de VPN Perguntas Frequentes sobre ExpressRoute

Configurações

As configurações que você escolheu para cada recurso são essenciais para a criação de uma conexão bem-sucedida. Para obter informações sobre os recursos individuais e as configurações do Gateway de VPN, consulte Sobre as configurações do Gateway de VPN. Este artigo contém informações para ajudar você a entender tipos de gateway, SKUs de gateway, tipos de VPN, tipos de conexão, sub-redes de gateway, gateways de rede local e várias outras configurações de recursos que você possa considerar.

Ferramentas de implantação

Você pode começar criando e configurando os recursos usando uma ferramenta de configuração, como o portal do Azure. Você pode decidir trocar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes, quando aplicável. Atualmente, não é possível configurar cada recurso e definição de recursos no portal do Azure. As instruções nos artigos para cada topologia de conexão especificam quando uma ferramenta de configuração específica é necessária.

SKUs de gateway

Ao criar um gateway de rede virtual, especifique a SKU do gateway que você deseja usar. Selecione as SKUs que atendem às suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, recursos e SLAs.

SKUs de gateway pelo túnel, a conexão e a taxa de transferência

VPN
Gateway
Geração
SKU S2S/VNet para VNet
Túneis
P2S
Conexões SSTP
P2S
Conexões IKEv2/OpenVPN
Agregado
Benchmark de taxa de transferência
BGP Com redundância de zona
Geração1 Basic Máx. 10 Máx. 128 Sem suporte 100 Mbps Sem suporte Não
Geração1 VpnGw1 Máx. 30 Máx. 128 Máx. 250 650 Mbps Com suporte Não
Geração1 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1 Gbps Com suporte Não
Geração1 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Com suporte Não
Geração1 VpnGw1AZ Máx. 30 Máx. 128 Máx. 250 650 Mbps Com suporte Sim
Geração1 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1 Gbps Com suporte Sim
Geração1 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Com suporte Sim
Geração2 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Com suporte Não
Geração2 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Com suporte Não
Geração2 VpnGw4 Máx. 100* Máx. 128 Máx. 5.000 5 Gbps Com suporte Não
Geração2 VpnGw5 Máx. 100* Máx. 128 Máx. 10000 10 Gbps Com suporte Não
Geração2 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Com suporte Sim
Geração2 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Com suporte Sim
Geração2 VpnGw4AZ Máx. 100* Máx. 128 Máx. 5.000 5 Gbps Com suporte Sim
Geração2 VpnGw5AZ Máx. 100* Máx. 128 Máx. 10000 10 Gbps Com suporte Sim

(*) Use WAN Virtual se precisar de mais de 100 túneis de VPN S2S.

  • O redimensionamento de SKUs VpnGw é permitido dentro da mesma geração, com exceção do redimensionamento de SKU Basic. O SKU Basic é um SKU herdado e tem limitações de recursos. Para avançar da versão Básica para outro SKU, você deve excluir o gateway de VPN do SKU Basic e criar um novo gateway com a combinação de tamanho de SKU e Geração desejada. (confira Como trabalhar com SKUs herdados).

  • Esses limites de conexão são separados. Por exemplo, você pode ter 128 conexões SSTP e 250 conexões IKEv2 em uma SKU VpnGw1.

  • Encontre informações sobre preços na página Preços .

  • As informações de SLA (contrato de nível de serviço) podem ser encontradas na página SLA.

  • Se você tiver muitas conexões P2S, isso poderá afetar negativamente suas conexões site a site. Os Parâmetros de Comparação de Taxa de Transferência Agregada foram testados maximizando uma combinação de conexões S2S e P2S. Uma conexão ponto a site ou site a site pode ter uma taxa de transferência muito menor.

  • Observe que todos os parâmetros de comparação não são garantidos devido às condições de tráfego da Internet e aos comportamentos do aplicativo

Para ajudar nossos clientes a entender o desempenho relativo dos SKUs que usam algoritmos diferentes, usamos ferramentas iPerf e CTSTraffic disponíveis publicamente para medir o desempenho de conexões site a site. A tabela abaixo lista os resultados dos testes de desempenho para os SKUs VpnGw. Como você pode ver, o melhor desempenho foi obtido quando usamos o algoritmo GCMAES256 para Criptografia e Integridade de IPsec. Obtivemos o desempenho médio quando usamos AES256 para Criptografia de IPsec e SHA256 para Integridade. Quando usamos DES3 para Criptografia de IPsec e SHA256 para Integridade, o desempenho foi menor.

Um túnel VPN se conecta a uma instância de gateway VPN. A taxa de transferência de cada instância é mencionada na tabela de taxas de transferência acima e está disponível agregada em todos os túneis que se conectam a essa instância.

A tabela abaixo mostra a largura de banda observada e a taxa de transferência de pacotes por segundo por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos de extremidade) no Azure em diferentes regiões com 100 conexões e em condições de carga padrão.

Generation SKU Algoritmos
usados
Produtividade
observado por túnel
Pacotes por segundo por túnel
observados
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61.000
13.000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Geração1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110.000
61.000
13.000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Geração2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Geração2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Geração2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Geração2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Geração2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000

Zonas de Disponibilidade

É possível implantar gateways de VPN em Zonas de Disponibilidade do Azure. Isso traz resiliência, escalabilidade e maior disponibilidade para gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure contra falhas no nível da zona. Confira Sobre os gateways de rede virtual com redundância de zona nas Zonas de Disponibilidade do Azure.

Preços

Você paga por duas coisas: os custos de computação por hora para o gateway de rede virtual, e transferência de dados de saída do gateway de rede virtual. Encontre informações sobre preços na página Preços . Para obter os preços do SKU de gateway herdado, confira a página de preços do ExpressRoute e role a página até a seção Gateways de rede virtual.

Custos de computação do gateway de rede virtual
Cada gateway de rede virtual tem um custo de computação por hora. O preço tem base no SKU do gateway que você especifica ao criar um gateway de rede virtual. O custo é para o próprio gateway e complementa a transferência de dados que fluem através do gateway. O custo de uma configuração ativa-ativa é a mesma que ativa-passiva.

Custos de transferência de dados
Os custos de transferência de dados são calculados com base no tráfego de saída do gateway de rede virtual de origem.

  • Se você estiver enviando o tráfego para o seu dispositivo VPN local, ele será cobrado com a taxa de transferência de dados de saída da Internet.
  • Se você estiver enviando tráfego entre redes virtuais em regiões diferentes, os preços terão base na região.
  • Se você estiver enviando o tráfego somente entre redes virtuais que estão na mesma região, não haverá custo de dados. O tráfego entre VNets na mesma região é gratuito.

Para saber mais sobre as SKUs de gateway para Gateway de VPN, veja SKUs de Gateway.

Perguntas frequentes

Para perguntas frequentes sobre o gateway de VPN, consulte Perguntas frequentes sobre o gateway de VPN.

Novidades

Assine o RSS feed e veja as atualizações mais recentes dos recursos do Gateway de VPN na página Atualizações do Azure.

Próximas etapas