Acerca dos gateways de rede virtual do ExpressRoute
Para ligar a rede virtual do Azure e a rede no local com o ExpressRoute, primeiro tem de criar um gateway de rede virtual. Um gateway de rede virtual tem duas finalidades: trocar rotas IP entre as redes e encaminhar o tráfego de rede. Este artigo explica diferentes tipos de gateway, SKUs de gateway e desempenho estimado por SKU. Este artigo também explica o ExpressRoute FastPath, uma funcionalidade que permite que o tráfego de rede da sua rede no local ignore o gateway de rede virtual para melhorar o desempenho.
Tipos de gateway
Quando cria um gateway de rede virtual, tem de especificar várias definições. Uma das definições necessárias, -GatewayType, especifica se o gateway é utilizado para o ExpressRoute ou para o tráfego de VPN. Os dois tipos de gateway são:
Vpn – para enviar tráfego encriptado através da Internet pública, utilize o tipo de gateway "Vpn". Este tipo de gateway também é referido como um gateway de VPN. As ligações Sites para Site, Ponto para site e VNet para VNet utilizam todas um gateway de VPN.
ExpressRoute – para enviar tráfego de rede numa ligação privada, utilize o tipo de gateway "ExpressRoute". Este tipo de gateway também é conhecido como um gateway do ExpressRoute e é utilizado ao configurar o ExpressRoute.
Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, pode ter um gateway de rede virtual que utiliza -GatewayType Vpn e um que utiliza -GatewayType o ExpressRoute.
SKUs de Gateway
Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Quando seleciona um SKU de gateway superior, são alocadas mais CPUs e largura de banda ao gateway e, como resultado, este consegue suportar um débito de rede mais alto para a rede virtual.
Os gateways de rede virtual do ExpressRoute podem utilizar os seguintes SKUs:
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Se quiser atualizar o gateway para um SKU de gateway de maior capacidade, pode utilizar o cmdlet do Resize-AzVirtualNetworkGateway PowerShell ou efetuar a atualização diretamente na página de configuração do gateway de rede virtual do ExpressRoute no portal do Azure. São suportadas as seguintes atualizações:
- Desempenho Padrão a Alto
- Desempenho Padrão para Ultra
- Desempenho Elevado para Desempenho Ultra
- ErGw1Az to ErGw2Az
- ErGw1Az to ErGw3Az
- ErGw2Az to ErGw3Az
- Predefinição para Standard
Além disso, pode mudar o SKU do gateway de rede virtual para uma versão anterior. São suportadas as seguintes versões anteriores:
- Elevado Desempenho para Standard
- ErGw2Az to ErGw1Az
Para todos os outros cenários de mudança para uma versão anterior, terá de eliminar e recriar o gateway. Recriar um gateway implica tempo de inatividade.
Suporte de funcionalidades por SKU de gateway
A tabela seguinte mostra as funcionalidades suportadas em cada tipo de gateway.
| Gateway SKU | Gateway de VPN e coexistência do ExpressRoute | FastPath | Número Máximo de Ligações de Circuito |
|---|---|---|---|
| SKU Standard/ERGw1Az | Yes | No | 4 |
| SKU de Desempenho Elevado/ERGw2Az | Yes | No | 8 |
| SKU de Desempenho Ultra/ErGw3Az | Yes | Yes | 16 |
Nota
O número máximo de circuitos do ExpressRoute a partir da mesma localização de peering que se pode ligar à mesma rede virtual é 4 para todos os gateways.
Desempenhos estimados por SKU do gateway
A tabela seguinte mostra os tipos de gateway e os números de escala de desempenho estimados. Estes números são derivados das seguintes condições de teste e representam os limites máximos de suporte. O desempenho real pode variar, dependendo da proximidade com que o tráfego replica estas condições de teste.
Condições de teste
| Gateway SKU | Tráfego enviado a partir do local | Número de rotas anunciadas pelo gateway | Número de rotas aprendidas pelo gateway |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| Elevado Desempenho/ERGw2Az | 2 Gbps | 500 | 9,500 |
| Desempenho Ultra/ErGw3Az | 10 Gbps | 500 | 9,500 |
Resultados de desempenho
Esta tabela aplica-se aos modelos de implementação clássica e Resource Manager.
| Gateway SKU | Ligações por segundo | Mega-Bits por segundo | Pacotes por segundo | Número suportado de VMs no Rede Virtual |
|---|---|---|---|---|
| Standard/ERGw1Az | 7,000 | 1,000 | 100.000 | 2.000 |
| Elevado Desempenho/ERGw2Az | 14,000 | 2.000 | 250,000 | 4500 |
| Desempenho Ultra/ErGw3Az | 16 000 | 10,000 | 1 000 000 | 11,000 |
Importante
- O desempenho da aplicação depende de vários fatores, como a latência ponto a ponto, e do número de fluxos de tráfego que a aplicação abre. Os números na tabela representam o limite superior que a aplicação pode, teoricamente, alcançar num ambiente ideal. Além disso, a Microsoft efetua a manutenção de sistemas operativos e anfitriões de rotina no Gateway de Rede Virtual do ExpressRoute, para manter a fiabilidade do serviço. Durante um período de manutenção, o plano de controlo e a capacidade do caminho de dados do gateway são reduzidos.
- Durante um período de manutenção, pode deparar-se com problemas intermitentes de conectividade a recursos de pontos finais privados.
Sub-rede de gateway
Antes de criar um gateway do ExpressRoute, tem de criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs e os serviços do gateway de rede virtual utilizam. Quando cria o gateway de rede virtual, as VMs do gateway são implementadas na sub-rede do gateway e configuradas com as definições de gateway do ExpressRoute necessárias. Nunca implemente mais nada na sub-rede do gateway. A sub-rede do gateway tem de ter o nome "GatewaySubnet" para funcionar corretamente. Atribuir o nome "GatewaySubnet" à sub-rede do gateway permite que o Azure saiba como implementar as VMs e os serviços do gateway de rede virtual nesta sub-rede.
Nota
As rotas definidas pelo utilizador com um destino 0.0.0.0/0 e NSGs na GatewaySubnet não são suportadas. Os gateways criados com esta configuração serão bloqueados de criação. Os gateways requerem acesso aos controladores de gestão para funcionarem corretamente. A Propagação de Rotas BGP deve ser definida como "Ativada" na GatewaySubnet para garantir a disponibilidade do gateway. Se for definida como Desativada, o gateway não funcionará.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados às VMs do gateway e aos serviços de gateway. Algumas configurações requerem mais endereços IP do que outras.
Quando estiver a planear o tamanho da sub-rede do gateway, veja a documentação da configuração que está a planear criar. Por exemplo, a configuração coexistida do ExpressRoute/Gateway de VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, poderá querer certificar-se de que a sub-rede do gateway contém endereços IP suficientes para acomodar possíveis configurações futuras. Embora possa criar uma sub-rede de gateway tão pequena como /29, recomendamos que crie uma sub-rede de gateway de /27 ou superior (/27, /26, etc.). Se planear ligar 16 circuitos do ExpressRoute ao gateway, tem de criar uma sub-rede de gateway de /26 ou superior. Se estiver a criar uma sub-rede de gateway de pilha dupla, recomendamos que utilize também um intervalo IPv6 de /64 ou superior. Esta configuração irá acomodar a maioria das configurações.
O seguinte Resource Manager exemplo do PowerShell mostra uma sub-rede de gateway denominada GatewaySubnet. Pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o gateway de rede virtual (gateways de VPN e ExpressRoute) deixe de funcionar conforme esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
SKUs de gateway com redundância entre zonas
Também pode implementar gateways do ExpressRoute no Azure Zonas de Disponibilidade. Esta configuração separa-os física e logicamente em diferentes Zonas de Disponibilidade, protegendo a conectividade de rede no local ao Azure contra falhas ao nível da zona.
Os gateways com redundância entre zonas utilizam SKUs de gateway novos específicos para o gateway do ExpressRoute.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
Os novos SKUs de gateway também suportam outras opções de implementação para corresponder melhor às suas necessidades. Ao criar um gateway de rede virtual com os novos SKUs de gateway, pode implementar o gateway numa zona específica. Este tipo de gateway é referido como um gateway zonal. Quando implementa um gateway zonal, todas as instâncias do gateway são implementadas na mesma Zona de Disponibilidade.
FastPath
O Gateway de rede virtual do ExpressRoute foi concebido para trocar rotas de rede e encaminhar o tráfego de rede. O FastPath foi concebido para melhorar o desempenho do caminho de dados entre a rede no local e a rede virtual. Quando ativado, o FastPath envia o tráfego de rede diretamente para as máquinas virtuais na rede virtual, ao ignorar o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, veja Acerca do FastPath.
Conectividade a Pontos Finais Privados
O gateway de rede virtual do ExpressRoute facilita a conectividade a pontos finais privados implementados na mesma rede virtual que o gateway de rede virtual e em elementos de rede virtual.
Importante
- A capacidade do plano de débito e controlo pode ser metade em comparação com a conectividade a recursos de ponto final não privado.
- Durante um período de manutenção, pode deparar-se com problemas intermitentes de conectividade a recursos de pontos finais privados.
Route Server
Quando cria ou elimina um Azure Route Server de uma rede virtual que contém um Gateway de Rede Virtual (ExpressRoute ou VPN), espere um período de indisponibilidade até que a operação seja concluída.
APIs REST e cmdlets do PowerShell
Para obter mais recursos técnicos e requisitos de sintaxe específicos ao utilizar APIs REST e cmdlets do PowerShell para configurações de gateways de rede virtual, veja as seguintes páginas:
| Clássico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
Conectividade VNet a VNet
Por predefinição, a conectividade entre redes virtuais é ativada quando liga várias redes virtuais ao mesmo circuito do ExpressRoute. No entanto, a Microsoft aconselha a não utilizar o circuito do ExpressRoute para comunicação entre redes virtuais e, em vez disso, utiliza o VNet peering. Para obter mais informações sobre o motivo pelo qual a conectividade VNet a VNet não é recomendada através do ExpressRoute, veja Conectividade entre redes virtuais através do ExpressRoute.
Peering de rede virtual
Uma rede virtual com um gateway do ExpressRoute pode ter peering de rede virtual com até 500 outras redes virtuais. O peering de rede virtual sem um gateway do ExpressRoute pode ter uma limitação de peering superior.
Passos seguintes
Para obter mais informações sobre as configurações de ligação disponíveis, veja Descrição Geral do ExpressRoute.
Para obter mais informações sobre como criar gateways do ExpressRoute, veja Criar um gateway de rede virtual para o ExpressRoute.
Para obter mais informações sobre como configurar gateways com redundância entre zonas, veja Criar um gateway de rede virtual com redundância entre zonas.
Para obter mais informações sobre o FastPath, consulte Acerca do FastPath.