Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para conectar sua rede virtual do Azure (rede virtual) e sua rede local usando a Rota Expressa do Azure, você deve primeiro criar um gateway de rede virtual. Um gateway de rede virtual serve duas finalidades: trocar rotas IP entre redes e rotear o tráfego de rede.
Este artigo explica diferentes tipos de gateway, SKUs de gateway e o desempenho estimado por cada SKU. Este artigo também explica o ExpressRoute FastPath, um recurso que permite que o tráfego de rede da sua rede local ignore o gateway de rede virtual para melhorar o desempenho.
Tipos de gateway
Ao criar um gateway de rede virtual, você precisa especificar várias configurações. Uma das configurações necessárias, -GatewayType, especifica se o gateway é usado para tráfego de Rota Expressa ou VPN. Os dois tipos de gateway são:
Vpn: Para enviar tráfego criptografado pela Internet pública, useVpnpara-GatewayType(também chamado de gateway VPN). As conexões site-to-site, point-to-site e VNet-to-VNet todas utilizam um gateway VPN.ExpressRoute: Para enviar tráfego de rede numa ligação privada, useExpressRoutepara-GatewayType(também chamado de gateway de ExpressRoute). Esse tipo de gateway é usado quando você está configurando a Rota Expressa.
Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, você pode ter um gateway de rede virtual que usa Vpn para -GatewayType, e outro que usa ExpressRoute para -GatewayType.
SKUs de Gateway
Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Quando seleciona um SKU de gateway mais alto, mais CPUs e largura de banda de rede são alocadas ao gateway. Como resultado, o gateway pode suportar uma taxa de transferência de rede mais alta para a rede virtual.
Os gateways de rede virtual ExpressRoute podem usar as seguintes SKUs:
- ERGwScale (pré-visualização)
- Standard
- Alto Desempenho
- Ultradesempenho
- ErGw1Az
- ErGw2Az
- ErGw3Az
Você pode atualizar o seu gateway para uma SKU de maior capacidade dentro da mesma família de SKU, independentemente de ser habilitada para Az ou não.
Por exemplo, você pode atualizar:
- De uma SKU não habilitada para AZ para outra SKU não habilitada para AZ
- De uma SKU habilitada para Az para outra SKU habilitada para Az
Para todos os outros cenários de downgrade, necessita excluir e recriar o gateway, o que resultará em tempo de inatividade.
Criar uma sub-rede de gateway
Antes de criar um gateway de ExpressRoute, deve-se criar uma sub-rede de gateway. As máquinas virtuais (VMs) e os serviços do gateway de rede virtual usam endereços IP contidos na sub-rede do gateway.
Quando crias o teu gateway de rede virtual, as VMs do gateway são implantadas na sub-rede do gateway e configuradas com as configurações do gateway do ExpressRoute necessárias. Nunca implante mais nada na sub-rede do gateway. A sub-rede do gateway deve ser denominada "GatewaySubnet" para funcionar corretamente, porque isso permite que o Azure saiba implantar as VMs e os serviços do gateway de rede virtual nessa sub-rede.
Nota
Rotas definidas pelo utilizador com destino 0.0.0.0/0 e grupos de segurança de rede (NSGs) na sub-rede do gateway não são suportadas. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP (Border Gateway Protocol) deve ser habilitada na sub-rede do gateway para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver desativada, o gateway não funcionará.
O diagnóstico, o caminho de dados e o caminho de controlo podem ser afectados se uma rota definida pelo utilizador se sobrepuser ao intervalo de sub-redes da gateway ou ao intervalo de IP público da gateway.
- Não recomendamos implementar o Azure DNS Private Resolver numa rede virtual que tenha um gateway de rede virtual de ExpressRoute e definir regras universais para direcionar toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços do gateway. Algumas configurações requerem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência do gateway ExpressRoute/VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, convém certificar-se de que a sub-rede do gateway contém endereços IP suficientes para acomodar possíveis configurações futuras.
Recomendamos que você crie uma sub-rede de gateway de /27 ou maior. Se pretender ligar 16 circuitos ExpressRoute ao seu gateway, tem de criar uma sub-rede de gateway de /26 ou maior. Se estiver a criar uma sub-rede de gateway de pilha dupla, recomendamos que utilize também um intervalo IPv6 de /64 ou superior. Esta configuração acomoda a maioria das configurações.
O exemplo do PowerShell do Azure Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR (Roteamento entre Domínios sem Classe) especifica um /27, que permite endereços IP suficientes para a maioria das configurações existentes atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
As NSGs na sub-rede de gateway não têm suporte. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
Limitações e desempenho do gateway de rede virtual
Suporte de recursos por gateway SKU
A tabela a seguir mostra as funcionalidades que cada tipo de gateway suporta e o número máximo de conexões de circuito ExpressRoute que cada SKU de gateway suporta.
| Gateway Código de Stock | Gateway de VPN e coexistência do ExpressRoute | FastPath | Número máximo de conexões de circuito |
|---|---|---|---|
| Padrão SKU/ERGw1Az | Sim | Não | 4 |
| Alta Performance SKU/ERGw2Az | Sim | Não | 8 |
| Ultra Performance SKU/ErGw3Az | Sim | Sim | 16 |
| ErGwScale (Pré-visualização) | Sim | Sim - mínimo 10 unidades de escala | 4 - mínimo 1 unidade de escala 8 - mínimo de 2 unidades de escala 16 - mínimo de 10 unidades de escala |
Nota
O número máximo de circuitos ExpressRoute do mesmo local de emparelhamento que podem conectar-se à mesma rede virtual é limitado a 4 em todos os gateways.
Desempenho estimado por SKU do Gateway
As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respetivas limitações e suas métricas de desempenho esperado.
Limites máximos suportados
Esta tabela aplica-se ao Azure Resource Manager e aos modelos de implementação clássicos.
| Gateway Código de Stock | Megabits por segundo | Pacotes por segundo | Número suportado de VMs na rede virtual 1 | Limite de contagem de fluxos | Número de rotas aprendidas pelo gateway |
|---|---|---|---|---|---|
| Padrão/ERGw1Az | 1,000 | 100.000 | 2.000 | 200,000 | 4,000 |
| Alto Desempenho/ERGw2Az | 2.000 | 200,000 | 4500 | 400,000 | 9500 |
| Ultra Desempenho/ErGw3Az | 10.000 | 1 000 000 | 11 000 | 1 000 000 | 9500 |
| ErGwScale (por unidade de escala 1-10) | 1.000 por unidade de escala | 100.000 por unidade de escala | 2.000 por unidade de escala | 100.000 por unidade de escala | Total de 60.000 por portal |
| ErGwScale (por unidade de escala 11-40) | 1.000 por unidade de escala | 200.000 por unidade de escala | 1.000 por unidade de escala | 100.000 por unidade de escala | Total de 60.000 por portal |
1 Os valores na tabela são estimativas e variam dependendo da utilização da CPU do gateway. Se a utilização da CPU for alta e o número de VMs suportadas for excedido, o gateway começará a descartar pacotes.
Nota
O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de redes virtuais, redes no local e quaisquer conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute. O número máximo de rotas anunciadas por gateway é de 1.000 rotas.
Importante
- O desempenho do aplicativo depende de vários fatores, como latência de ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que a aplicação pode teoricamente alcançar em um ambiente ideal. Além disso, realizamos manutenção rotineira de host e sistema operacional no gateway de rede virtual ExpressRoute, para manter a confiabilidade do serviço. Durante um período de manutenção, a capacidade do plano de controle e do trajeto de dados do gateway é reduzida.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- O ExpressRoute suporta um tamanho máximo de pacotes TCP e UDP de 1.400 bytes. Tamanhos de pacotes maiores que 1.400 bytes serão fragmentados.
- O Azure Route Server pode suportar até 4.000 VMs. Este limite inclui VMs em redes virtuais que estão em peering. Para obter mais informações, consulte Limitações do Azure Route Server.
- Os valores na tabela acima representam os limites em cada SKU de Gateway.
IP público hospedado emBehalf-Of (HOBO)
O recurso de IP público HOBO (Hosted-On-Behalf-Of) simplifica a implantação do gateway da Rota Expressa, permitindo que a Microsoft gerencie o endereço IP público necessário em seu nome. Para PowerShell/CLI, não é mais necessário criar ou manter um recurso IP público separado para seu gateway.
Principais benefícios:
- Segurança melhorada: O IP público é gerenciado internamente pela Microsoft e não está exposto a você, reduzindo os riscos associados às portas de gerenciamento abertas.
- Complexidade reduzida: Não é necessário provisionar ou gerenciar um recurso IP público.
- Implantação simplificada: O Azure PowerShell e a CLI não solicitam mais um IP público durante a criação do gateway.
Como funciona:
Quando criar um gateway ExpressRoute, a Microsoft provisiona e gerencia automaticamente o endereço IP público numa subscrição segura de backend. Esse IP é encapsulado dentro do recurso de gateway, permitindo que a Microsoft imponha políticas como limites de taxa de dados e aprimore a auditabilidade.
Disponibilidade:
O IP público HOBO não está disponível para implantações de WAN Virtual (vWAN) ou Zona Estendida.
Conectividade de VNet para VNet e de VNet para WAN virtual
Por predefinição, a conectividade de VNet-para-VNet e VNet-para-WAN-virtual está desativada através de um circuito ExpressRoute para todos os SKU de gateway. Para habilitar essa conectividade, você deve configurar o gateway de rede virtual ExpressRoute para permitir esse tráfego. Para obter mais informações, consulte as orientações sobre conectividade de rede virtual pela Rota Expressa. Para habilitar esse tráfego, consulte Habilitar a conectividade VNet-to-VNet ou VNet-to-virtual-WAN por meio da Rota Expressa.
FastPath
O gateway de rede virtual ExpressRoute foi projetado para trocar rotas de rede e rotear o tráfego de rede. O FastPath foi concebido para melhorar o desempenho do caminho de dados entre a rede no local e a rede virtual. Quando o FastPath está habilitado, ele envia tráfego de rede diretamente para máquinas virtuais na rede virtual, ignorando o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.
Conectividade com terminais privados
O gateway de rede virtual ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual que o gateway de rede virtual e entre pares de redes virtuais.
Importante
- A capacidade do plano de comutação e controlo para a conectividade com recursos de ponto de extremidade privados pode ser diminuída para metade em comparação com a conectividade com recursos de ponto de extremidade não privados.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- É necessário garantir que a configuração local, incluindo as definições de router e firewall, estejam corretamente configuradas para que os pacotes do IP 5-tuple utilizem um único salto seguinte (router Microsoft Enterprise Edge), a menos que haja um evento de manutenção. Se a configuração do firewall ou roteador local estiver fazendo com que a mesma tupla IP 5 alterne frequentemente os próximos saltos, você terá problemas de conectividade.
Conectividade de ponto final privado e eventos de manutenção planejada
A conectividade de ponto final privado é com estado. Quando uma conexão com um ponto de extremidade privado é estabelecida por meio do peering privado do ExpressRoute, as conexões de entrada e saída são roteadas através de uma das instâncias back-end da infraestrutura de gateway. Durante um evento de manutenção, as instâncias de back-end da infraestrutura de gateway de rede virtual são reinicializadas uma de cada vez, o que pode levar a problemas intermitentes de conectividade.
Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, recomendamos definir o valor de tempo limite de TCP para cair entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base nos requisitos do seu aplicativo.
APIs REST e os cmdlets do PowerShell
Consulte as páginas a seguir para obter mais recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST e cmdlets do PowerShell para configurações de gateway de rede virtual:
| Clássico | Gerente de Recursos |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
Conectividade entre VNets (VNet-to-VNet)
Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito de Rota Expressa. Não recomendamos o uso do circuito ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que utilize peering de rede virtual. Para obter mais informações sobre por que a conectividade VNet-to-VNet não é recomendada na Rota Expressa, consulte Conectividade entre redes virtuais pela Rota Expressa.
Conexão de rede virtual
Uma rede virtual com um gateway ExpressRoute pode ter emparelhamento com até 500 outras redes virtuais. O emparelhamento de rede virtual sem um gateway ExpressRoute pode ter uma limitação maior de emparelhamento.
Conteúdos relacionados
Para obter mais informações sobre as configurações de conexão disponíveis, consulte Visão geral da Rota Expressa.
Para obter mais informações sobre como criar gateways de Rota Expressa, consulte Criar um gateway de rede virtual para a Rota Expressa.
Para obter mais informações sobre como implantar o ErGwScale, consulte Configurar um gateway de rede virtual para a Rota Expressa usando o portal do Azure.
Para obter mais informações sobre como configurar gateways com redundância de zona, consulte Criar um gateway de rede virtual com redundância de zona.
Para obter mais informações sobre o FastPath, consulte Sobre o FastPath.