Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para conectar sua rede virtual do Azure (VNet) e sua rede local usando a Rota Expressa do Azure, você deve primeiro criar um gateway de rede virtual. Um gateway de rede virtual serve duas finalidades: trocar rotas IP entre redes e rotear o tráfego de rede.
Este artigo explica diferentes tipos de gateway, SKUs de gateway e o desempenho estimado por cada SKU. Este artigo também explica o ExpressRoute FastPath, um recurso que permite que o tráfego de rede da sua rede local ignore o gateway de rede virtual para melhorar o desempenho.
Tipos de gateway
Ao criar um gateway de rede virtual, você precisa especificar várias configurações. Uma das configurações necessárias, -GatewayType, especifica se o gateway é usado para tráfego de Rota Expressa ou VPN. Os dois tipos de gateway são:
Vpn: Para enviar tráfego criptografado pela Internet pública, useVpnpara-GatewayType(também chamado de gateway VPN). As conexões site-to-site, point-to-site e VNet-to-VNet todas utilizam um gateway VPN.ExpressRoute: Para enviar tráfego de rede numa ligação privada, useExpressRoutepara-GatewayType(também chamado de gateway de ExpressRoute). Esse tipo de gateway é usado quando você está configurando a Rota Expressa.
Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, você pode ter um gateway de rede virtual que usa Vpn para -GatewayType, e outro que usa ExpressRoute para -GatewayType.
SKUs de Gateway
Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Quando seleciona um SKU de gateway mais alto, mais CPUs e largura de banda de rede são alocadas ao gateway. Como resultado, o gateway pode suportar uma taxa de transferência de rede mais alta para a rede virtual.
Os gateways de rede virtual ExpressRoute podem usar as seguintes SKUs:
- ERGwScale (pré-visualização)
- Padrão
- Alto Desempenho
- Ultradesempenho
- ErGw1Az
- ErGw2Az
- ErGw3Az
Você pode atualizar seu gateway para um SKU de maior capacidade dentro da mesma família de SKU, que é um gateway não habilitado para AZ ou habilitado para Az.
Por exemplo, você pode atualizar:
- De uma SKU não habilitada para AZ para outra SKU não habilitada para AZ
- De uma SKU habilitada para Az para outra SKU habilitada para Az
Para todos os outros cenários de downgrade, necessita excluir e recriar o gateway, o que resultará em tempo de inatividade.
Criar uma sub-rede de gateway
Antes de criar um gateway de ExpressRoute, deve-se criar uma sub-rede de gateway. As máquinas virtuais (VMs) e os serviços do gateway de rede virtual usam endereços IP contidos na sub-rede do gateway.
Quando crias o teu gateway de rede virtual, as VMs do gateway são implantadas na sub-rede do gateway e configuradas com as configurações do gateway do ExpressRoute necessárias. Nunca implante mais nada na sub-rede do gateway. A sub-rede do gateway deve ser denominada "GatewaySubnet" para funcionar corretamente, porque isso permite que o Azure saiba implantar as VMs e os serviços do gateway de rede virtual nessa sub-rede.
Nota
Rotas definidas pelo utilizador com destino 0.0.0.0/0 e grupos de segurança de rede (NSGs) na sub-rede do gateway não são suportadas. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP (Border Gateway Protocol) deve ser habilitada na sub-rede do gateway para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver desativada, o gateway não funcionará.
O diagnóstico, o caminho de dados e o caminho de controlo podem ser afectados se uma rota definida pelo utilizador se sobrepuser ao intervalo de sub-redes da gateway ou ao intervalo de IP público da gateway.
- Não recomendamos implementar o Azure DNS Private Resolver numa rede virtual que tenha um gateway de rede virtual de ExpressRoute e definir regras universais para direcionar toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços do gateway. Algumas configurações requerem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência do gateway ExpressRoute/VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, convém certificar-se de que a sub-rede do gateway contém endereços IP suficientes para acomodar possíveis configurações futuras.
Recomendamos que você crie uma sub-rede de gateway de /27 ou maior. Se pretender ligar 16 circuitos ExpressRoute ao seu gateway, tem de criar uma sub-rede de gateway de /26 ou maior. Se estiver a criar uma sub-rede de gateway de pilha dupla, recomendamos que utilize também um intervalo IPv6 de /64 ou superior. Esta configuração acomoda a maioria das configurações.
O exemplo do PowerShell do Azure Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR (Roteamento entre Domínios sem Classe) especifica um /27, que permite endereços IP suficientes para a maioria das configurações existentes atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
As NSGs na sub-rede de gateway não têm suporte. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
Limitações e desempenho do gateway de rede virtual
Suporte de recursos por gateway SKU
A tabela a seguir mostra as funcionalidades que cada tipo de gateway suporta e o número máximo de conexões de circuito ExpressRoute que cada SKU de gateway suporta.
| Gateway Código de Stock | Gateway de VPN e coexistência do ExpressRoute | FastPath | Número máximo de conexões de circuito |
|---|---|---|---|
| Padrão SKU/ERGw1Az | Sim | Não | 4 |
| Alta Performance SKU/ERGw2Az | Sim | Não | 8 |
| Ultra Performance SKU/ErGw3Az | Sim | Sim | 16 |
| ErGwScale (Pré-visualização) | Sim | Sim - mínimo 10 unidades de escala | 4 - mínimo 1 unidade de escala 8 - mínimo de 2 unidades de escala 16 - mínimo de 10 unidades de escala |
Nota
O número máximo de circuitos ExpressRoute do mesmo local de emparelhamento que podem conectar-se à mesma rede virtual é limitado a 4 em todos os gateways.
Desempenho estimado por SKU do Gateway
As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respetivas limitações e suas métricas de desempenho esperado.
Limites máximos suportados
Esta tabela aplica-se ao Azure Resource Manager e aos modelos de implementação clássicos.
| Gateway Código de Stock | Megabits por segundo | Pacotes por segundo | Número suportado de VMs na rede virtual 1 | Limite de contagem de fluxos | Número de rotas aprendidas pelo gateway |
|---|---|---|---|---|---|
| Padrão/ERGw1Az | 1,000 | 100.000 | 2.000 | 200,000 | 4,000 |
| Alto Desempenho/ERGw2Az | 2.000 | 200,000 | 4500 | 400,000 | 9500 |
| Ultra Desempenho/ErGw3Az | 10.000 | 1 000 000 | 11 000 | 1 000 000 | 9500 |
| ErGwScale (por unidade de escala 1-10) | 1.000 por unidade de escala | 100.000 por unidade de escala | 2.000 por unidade de escala | 100.000 por unidade de escala | Total de 60.000 por portal |
| ErGwScale (por unidade de escala 11-40) | 1.000 por unidade de escala | 200.000 por unidade de escala | 1.000 por unidade de escala | 100.000 por unidade de escala | Total de 60.000 por portal |
1 Os valores na tabela são estimativas e variam dependendo da utilização da CPU do gateway. Se a utilização da CPU for alta e o número de VMs suportadas for excedido, o gateway começará a descartar pacotes.
Nota
O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de redes virtuais, redes no local e quaisquer conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute. O número máximo de rotas anunciadas por gateway é de 1.000 rotas.
Importante
- O desempenho do aplicativo depende de vários fatores, como latência de ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que a aplicação pode teoricamente alcançar em um ambiente ideal. Além disso, realizamos manutenção rotineira de host e sistema operacional no gateway de rede virtual ExpressRoute, para manter a confiabilidade do serviço. Durante um período de manutenção, a capacidade do plano de controle e do trajeto de dados do gateway é reduzida.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- O ExpressRoute suporta um tamanho máximo de pacotes TCP e UDP de 1.400 bytes. Tamanhos de pacotes maiores que 1.400 bytes serão fragmentados.
- O Azure Route Server pode suportar até 4.000 VMs. Este limite inclui VMs em redes virtuais que estão em peering. Para obter mais informações, consulte Limitações do Azure Route Server.
- Os valores na tabela acima representam os limites em cada SKU de Gateway.
SKUs de gateway com redundância zonal
Você também pode implantar gateways do ExpressRoute em zonas de disponibilidade do Azure. Separar física e logicamente os gateways em zonas de disponibilidade ajuda a proteger sua conectividade de rede local com o Azure contra falhas no nível da zona.
Os gateways com redundância de zona utilizam novas SKUs específicas de gateway para gateways ExpressRoute.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (pré-visualização)
Gateway escalável do ExpressRoute (visualização)
O SKU do gateway de rede virtual ErGwScale permite que você obtenha conectividade de 40 Gbps para VMs e pontos de extremidade privados na rede virtual. Essa SKU permite definir uma unidade de escala mínima e máxima para a infraestrutura de gateway de rede virtual, que é dimensionada automaticamente com base na largura de banda ativa ou na contagem de fluxo. Você também pode definir uma unidade de escala fixa para manter uma conectividade constante em um valor de largura de banda desejado. O ErGwScale será redundante por zona por padrão nas Regiões do Azure que dão suporte a zonas de disponibilidade.
ErGwScale está disponível em pré-visualização nas seguintes regiões:
- Leste da Austrália
- Sul do Brasil
- Canadá Central
- Leste dos E.U.A.
- Ásia Leste
- França Central
- Alemanha Centro-Oeste
- Índia Central
- Norte da Itália
- Europa do Norte
- Leste da Noruega
- Suécia Central
- Emirados Árabes Unidos Norte
- Sul do Reino Unido
- E.U.A. Oeste 2
- Oeste dos EUA 3
Dimensionamento automático vs. unidade de escala fixa
A infraestrutura do gateway de rede virtual é dimensionada automaticamente entre a unidade de escala mínima e máxima que configura, com base na utilização da largura de banda ou no número de fluxos. As operações de dimensionamento podem levar até 30 minutos para serem concluídas. Se você quiser obter uma conectividade fixa em um valor de largura de banda específico, poderá configurar uma unidade de escala fixa definindo a unidade de escala mínima e a unidade de escala máxima para o mesmo valor.
Limitações
- IP Básico: o ErGwScale não suporta o SKU IP Básico. Você precisa usar um SKU IP padrão para configurar o ErGwScale.
- Unidades de escala mínima e máxima: Você pode configurar a unidade de escala para ErGwScale entre 1 e 40. A unidade de escala mínima não pode ser inferior a 1 e a unidade de escala máxima não pode ser superior a 40.
- Cenários de migração: não é possível migrar de Standard/ErGw1Az ou HighPerf/ErGw2Az/UltraPerf/ErGw3Az para ErGwScale na visualização.
Preços
O ErGwScale é gratuito durante a pré-visualização. Para obter informações sobre os preços da Rota Expressa, consulte Preços da Rota Expressa do Azure.
Desempenho suportado por unidade de escala
| Unidade de escala | Largura de banda (Gbps) | Pacotes por segundo | Ligações por segundo | Máximo de conexões de VM 1 | Número máximo de fluxos |
|---|---|---|---|---|---|
| 1-10 | 1 | 100.000 | 7000 | 2.000 | 100.000 |
| 11-40 | 1 | 200,000 | 7000 | 1,000 | 100.000 |
Desempenho de amostra com unidade de escala
| Unidade de escala | Largura de banda (Gbps) | Pacotes por segundo | Ligações por segundo | Máximo de conexões de VM 1 | Número máximo de fluxos |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70,000 | 20.000 | 1 000 000 |
| 20 | 20 | 2,000,000 | 140,000 | 30 000 | 2,000,000 |
| 40 | 40 | 8,000,000 | 280,000 | 50 000 | 4.000.000 |
1 A escala máxima de conexões VM aumenta diferentemente após 10 unidades de escala. As primeiras 10 unidades de escala fornecem capacidade para 2.000 VMs por unidade de escala. As unidades de escala 11 e superiores fornecem mais 1.000 capacidade de VM por unidade de escala.
Conectividade de VNet para VNet e de VNet para WAN virtual
Por predefinição, a conectividade de VNet-para-VNet e VNet-para-WAN-virtual está desativada através de um circuito ExpressRoute para todos os SKU de gateway. Para habilitar essa conectividade, você deve configurar o gateway de rede virtual ExpressRoute para permitir esse tráfego. Para obter mais informações, consulte as orientações sobre conectividade de rede virtual pela Rota Expressa. Para habilitar esse tráfego, consulte Habilitar a conectividade VNet-to-VNet ou VNet-to-virtual-WAN por meio da Rota Expressa.
FastPath
O gateway de rede virtual ExpressRoute foi projetado para trocar rotas de rede e rotear o tráfego de rede. O FastPath foi concebido para melhorar o desempenho do caminho de dados entre a rede no local e a rede virtual. Quando o FastPath está habilitado, ele envia tráfego de rede diretamente para máquinas virtuais na rede virtual, ignorando o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.
Conectividade com terminais privados
O gateway de rede virtual ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual que o gateway de rede virtual e entre pares de redes virtuais.
Importante
- A capacidade do plano de comutação e controlo para a conectividade com recursos de ponto de extremidade privados pode ser diminuída para metade em comparação com a conectividade com recursos de ponto de extremidade não privados.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- É necessário garantir que a configuração local, incluindo as definições de router e firewall, estejam corretamente configuradas para que os pacotes do IP 5-tuple utilizem um único salto seguinte (router Microsoft Enterprise Edge), a menos que haja um evento de manutenção. Se a configuração do firewall ou roteador local estiver fazendo com que a mesma tupla IP 5 alterne frequentemente os próximos saltos, você terá problemas de conectividade.
Conectividade de ponto final privado e eventos de manutenção planejada
A conectividade de ponto final privado é com estado. Quando uma conexão com um ponto de extremidade privado é estabelecida por meio do peering privado do ExpressRoute, as conexões de entrada e saída são roteadas através de uma das instâncias back-end da infraestrutura de gateway. Durante um evento de manutenção, as instâncias de back-end da infraestrutura de gateway de rede virtual são reinicializadas uma de cada vez, o que pode levar a problemas intermitentes de conectividade.
Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, recomendamos definir o valor de tempo limite de TCP para cair entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base nos requisitos do seu aplicativo.
APIs REST e os cmdlets do PowerShell
Consulte as páginas a seguir para obter mais recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST e cmdlets do PowerShell para configurações de gateway de rede virtual:
| Clássico | Gerente de Recursos |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
Conectividade entre VNets (VNet-to-VNet)
Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito de Rota Expressa. Não recomendamos o uso do circuito ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que utilize peering de rede virtual. Para obter mais informações sobre por que a conectividade VNet-to-VNet não é recomendada na Rota Expressa, consulte Conectividade entre redes virtuais pela Rota Expressa.
Conexão de rede virtual
Uma rede virtual com um gateway ExpressRoute pode ter emparelhamento com até 500 outras redes virtuais. O emparelhamento de rede virtual sem um gateway ExpressRoute pode ter uma limitação maior de emparelhamento.
Conteúdos relacionados
Para obter mais informações sobre as configurações de conexão disponíveis, consulte Visão geral da Rota Expressa.
Para obter mais informações sobre como criar gateways de Rota Expressa, consulte Criar um gateway de rede virtual para a Rota Expressa.
Para obter mais informações sobre como implantar o ErGwScale, consulte Configurar um gateway de rede virtual para a Rota Expressa usando o portal do Azure.
Para obter mais informações sobre como configurar gateways com redundância de zona, consulte Criar um gateway de rede virtual com redundância de zona.
Para obter mais informações sobre o FastPath, consulte Sobre o FastPath.