Azure Stack Hub VPN Fast Path para operadores
O que é o recurso Azure Stack Hub VPN Fast Path?
O Azure Stack Hub está apresentando as três novas SKUs descritas neste artigo como parte do recurso VPN Fast Path. Anteriormente, os túneis S2S eram limitados a uma largura de banda máxima de 200 Mbps usando o HighPerformance SKU. As novas SKUs permitem cenários de clientes nos quais uma taxa de transferência de rede mais alta é necessária. Os valores de taxa de transferência para cada SKU são valores unidirecionais, o que significa que ele suporta a taxa de transferência dada no tráfego de envio ou recebimento.
Novos SKUs de gateway de rede virtual VPN Fast Path
Com a introdução do recurso VPN Fast Path no Azure Stack Hub, os usuários locatários podem criar conexões VPN usando 3 novas SKUs:
- Básica
- Standard
- Elevado Desempenho
- VpnGw1 (novo)
- VpnGw2 (novo)
- VpnGw3 (novo)
Considerações importantes antes de habilitar o Caminho Rápido da VPN do Azure Stack Hub
Para que qualquer processo de atualização ocorra da forma mais suave possível para que haja um impacto mínimo em seus usuários, é importante preparar seu carimbo do Azure Stack Hub.
Como operador do Azure Stack Hub que habilita o VPN Fast Path, recomendamos que você coordene com os usuários locatários para agendar uma janela de manutenção durante a qual a mudança pode acontecer. Notifique seus usuários sobre possíveis interrupções do serviço de conexão VPN e siga as etapas aqui para preparar seu carimbo para a atualização.
VPN Fast Path requer NAT-T em dispositivos VPN remotos
O Azure Stack Hub VPN Fast Path depende do novo serviço SDN Gateway e vem com um novo requisito ao planejar.
Planeje com usuários locatários antes de ativar o VPN Fast Path
- Lista de configurações de recursos de gateway de rede virtual existentes.
- Lista de configurações de recursos de conexões existentes.
- Lista de políticas e configurações IPSec usadas em suas conexões existentes.
- Esta etapa garante que os usuários tenham políticas configuradas que funcionem com seus dispositivos, incluindo políticas IPSec personalizadas.
- Liste as configurações do gateway de rede local. Os usuários locatários podem reutilizar recursos e configurações do gateway de rede local. No entanto, também recomendamos que você salve a configuração existente caso ela precise ser recriada.
- Depois que o VPN Fast Path estiver habilitado, os locatários devem recriar seus gateways de rede virtual e conexões conforme apropriado se quiserem usar as novas SKUs.
Com o lançamento do VPN Fast Path, há um novo comando do PowerShell que os operadores podem chamar para listar todas as conexões existentes criadas por seus locatários. Este cmdlet pode ajudar o operador a gerenciar a capacidade e entrar em contato com os administradores de locatários se eles precisarem recriar seus gateways de Rede Virtual:
Get-AzsVirtualNetworkGatewayConnection
Para obter mais informações, consulte Get-AzsVirtualNetworkGatewayConnection.
Como habilitar o Caminho Rápido da VPN do Azure Stack Hub
Com o VPN Fast Path, os operadores podem habilitar o novo recurso usando os seguintes comandos do PowerShell. Quando o recurso atingir a disponibilidade geral, os operadores também poderão habilitá-lo usando o portal do administrador do Azure Stack Hub.
Você pode ajustar as configurações existentes recriando o gateway de rede virtual e suas conexões com uma das novas SKUs.
Habilitar o caminho rápido da VPN do Azure Stack Hub usando o PowerShell
No ponto de extremidade privilegiado do Azure Stack Hub, você pode executar o seguinte comando do PowerShell para habilitar o recurso VPN Fast Path:
Para obter mais informações sobre o Azure Stack Hub PEP, consulte Access privileged endpoint.
Set-AzSVPNFastPath -Enable
Validar que o Caminho Rápido VPN do Hub de Pilha do Azure está habilitado usando o PowerShell
Depois que o recurso VPN Fast Path estiver habilitado, você poderá validar o estado atual das VMs de Gateway e a capacidade usada usando o seguinte comando do PowerShell:
Get-AzSVPNFastPath
Desabilitar o Caminho Rápido VPN do Hub de Pilha do Azure usando o PowerShell
Set-AzSVPNFastPath -Disable
Se você precisar desabilitar o VPN Fast Path, primeiro deverá trabalhar com seu locatário para excluir e recriar todos os seus Gateways de Rede Virtual usando SKUs VPN Fast Path. Como a capacidade de carimbo de VPN aumenta quando o Caminho Rápido de VPN está habilitado, você não pode desabilitar o Caminho Rápido de VPN se a capacidade geral em uso exceder a capacidade total quando o Hub de Pilha do Azure não estiver usando o Caminho Rápido de VPN.
Arquitetura do Pool de Gateway do Hub de Pilha do Azure
Há três VMs de infraestrutura de gateway multilocatário no Azure Stack Hub. Duas dessas VMs estão no modo ativo e a terceira está no modo redundante. As VMs ativas permitem a criação de conexões VPN nelas, e a VM redundante só aceita conexões VPN se ocorrer um failover. Se uma VM de gateway ativa ficar indisponível, a conexão VPN fará failover para a VM redundante após um curto período (alguns segundos) de perda de conexão.
Os failovers de conexão de gateway são esperados durante uma atualização OEM ou do Azure Stack Hub, à medida que as VMs são corrigidas e migradas ao vivo. Esse failover pode resultar em uma desconexão temporária dos túneis.
Capacidade total do novo pool de gateways
A capacidade geral do Pool de Gateways de um carimbo do Azure Stack Hub é de 4 Gbps. Essa capacidade é dividida entre as duas VMs de Gateway Ativo, com cada VM de Gateway suportando até 2 Gbps de taxa de transferência. Quando um recurso de conexão é criado, duas vezes sua SKU é reservada na VM do Gateway. Esse design garante que a taxa de transferência máxima do SKU (medida em uma direção) possa ser alcançada com tráfego Tx ou Rx, dependendo dos requisitos da carga de trabalho do usuário.
Por exemplo, uma SKU de alto desempenho reserva 400 Mbps em uma VM de gateway (200 para Tx, 200 para Rx). Isso significa que, no mecanismo existente, uma conexão de Alto Desempenho reserva um décimo da capacidade total do Pool de Gateways.
A tabela a seguir mostra os tipos de gateway e a taxa de transferência agregada estimada para cada túnel/conexão por SKU de gateway quando o VPN Fast Path está desativado:
SKU | Taxa de transferência máxima da conexão VPN (1) | Máximo # de conexões VPN por VM GW ativa | Max # de conexões VPN por carimbo (2) |
---|---|---|---|
Básico (3) | 100 Mbps Tx/Rx | 10 | 20 |
Standard | 100 Mbps Tx/Rx | 10 | 20 |
Alto desempenho | 200 Mbps Tx/Rx | 5 | 10 |
(1) - A taxa de transferência do túnel não é uma taxa de transferência garantida para conexões entre locais através da Internet, é a medição de taxa de transferência máxima possível. O agregado total em uma direção é de 2 Gbps.
(2) - Max tunnels é o total por implantação do Azure Stack Hub para todas as assinaturas.
(3) - O roteamento BGP não é suportado para o SKU Básico.
Taxa de transferência agregada estimada do túnel por SKU com VPN Fast Path ativado
Depois que o operador habilita o Caminho Rápido VPN no selo do Hub de Pilha do Azure, a capacidade geral do Pool de Gateways é aumentada para 10 Gbps. Como a capacidade é dividida entre as duas VMs de gateway ativas, cada VM de gateway tem uma capacidade de 5 Gbps. A quantidade de capacidade reservada para cada conexão é a mesma descrita na seção anterior. Portanto, um SKU VpnGw3 (1250 Mbps) reserva 2500 Mbps de capacidade em uma VM de gateway:
SKU | Taxa de transferência máxima da conexão VPN (1) | Máximo # de conexões VPN por VM GW ativa | Max # de conexões VPN por carimbo (2) |
---|---|---|---|
Básico (3) | 100 Mbps Tx/Rx | 25 | 50 |
Standard | 100 Mbps Tx/Rx | 25 | 50 |
Alto desempenho | 200 Mbps Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
(1) - A taxa de transferência do túnel não é uma taxa de transferência garantida para conexões entre locais através da Internet, é a medição de taxa de transferência máxima possível. O agregado total em uma direção é de 5 Gbps.
(2) - Max tunnels é o total por implantação do Azure Stack Hub para todas as assinaturas.
(3) - O roteamento BGP não é suportado para o SKU Básico.