O que é um Gateway de VPN?

Gateway de VPN envia tráfego encriptado entre uma rede virtual Azure e uma localização no local através da Internet pública. Também pode utilizar Gateway de VPN para enviar tráfego encriptado entre redes virtuais Azure pela rede Microsoft. Um gateway VPN é um tipo específico de porta de entrada de rede virtual. Cada rede virtual pode ter apenas um gateway de VPN. No entanto, pode criar várias ligações para o mesmo gateway de VPN. Quando cria várias ligações para o mesmo gateway de VPN, todos os túneis de VPN partilham a largura de banda do gateway disponível.

O que é um gateway de rede virtual?

Um gateway de rede virtual é composto por dois ou mais VMs que são configurados automaticamente e implantados numa sub-rede específica que crias chamada sub-rede gateway. Os VMs de gateway contêm tabelas de encaminhamento e executam serviços de gateway específicos. Não é possível configurar diretamente os VMs que fazem parte do gateway de rede virtual, embora as definições que seleciona ao configurar o impacto do gateway impactam os VMs gateway que são criados.

O que é um gateway de VPN?

Ao configurar um gateway de rede virtual, configura uma definição que especifica o tipo gateway. O tipo de gateway determina como o gateway de rede virtual será usado e as ações que o gateway toma. O tipo de gateway 'Vpn' especifica que o tipo de gateway de rede virtual criado é um 'gateway VPN'. Isto distingue-o de um gateway ExpressRoute, que usa um tipo de gateway diferente. Uma rede virtual pode ter dois gateways de rede virtuais; uma porta de entrada VPN e uma porta de entrada ExpressRoute. Para mais informações, consulte os tipos gateway.

Quando cria um gateway VPN, os VMs de gateway são implantados na sub-rede gateway e configurados com as definições especificadas. Este processo pode demorar 45 minutos ou mais a ser concluído, dependendo do gateway SKU que selecionou. Depois de criar um gateway de VPN, pode criar uma ligação de túnel de VPN IPsec/IKE entre esse gateway de VPN e outro gateway de VPN (VNet a VNet) ou criar uma ligação de túnel de VPN IPsec/IKE entre vários locais entre o gateway de VPN e um dispositivo VPN no local (Site a Site). Também pode criar uma ligação VPN ponto-a-local (VPN sobre OpenVPN, IKEv2 ou SSTP), que permite ligar-se à sua rede virtual a partir de um local remoto, como a partir de uma conferência ou de casa.

Configurar um Gateway de VPN

Uma ligação de gateway de VPN depende de vários recursos que estão configurados com definições específicas. A maior parte dos recursos pode ser configurada em separado, embora alguns recursos tenham de ser configurados numa determinada ordem.

Conectividade

Como pode criar várias configurações de ligação utilizando Gateway de VPN, tem de determinar qual a configuração que melhor se adequa às suas necessidades. Ligações ponto-a-local, site-to-site e conexões expressRoute/Site-to-Site têm diferentes requisitos de instruções e configuração. Para os diagramas de ligação e os links correspondentes aos passos de configuração, consulte Gateway de VPN design.

Tabela de planeamento

A tabela seguinte pode ajudá-lo a decidir a melhor opção de conectividade para a sua solução. Note que o ExpressRoute não faz parte do Gateway de VPN, mas está incluído na tabela.

Ponto a Local Site-a-Site ExpressRoute
Serviços apoiados pela Azure Cloud Services e Virtual Machines Cloud Services e Virtual Machines Lista de serviços
Larguras de Banda Típicas Com base no SKU de gateway Tipicamente < 10 Gbps agregado 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps
Protocolos Suportados Protocolo de Túnel de Tomadas Seguras (SSTP), OpenVPN e IPsec IPsec Ligação direta por VLANs, tecnologias VPN do NSP (MPLS, VPLS,...)
Encaminhamento RouteBased (dinâmico) Suportamos o roteamento PolicyBased (encaminhamento estático) e RouteBased (VPN de encaminhamento dinâmico) BGP
Resiliência de ligação ativa-passiva ativa-passiva ou ativa-ativa ativa-ativa
Caso de utilização típica Acesso seguro a redes virtuais Azure para utilizadores remotos Dev / test/ cenários de laboratório e cargas de trabalho de produção de pequena a média escala para serviços em nuvem e máquinas virtuais Acesso a todos os serviços do Azure (lista validada), Cargas de trabalho de classe empresarial fundamentais, Cópia de segurança, Macrodados, Azure como um site de DR
SLA SLA SLA SLA
Preços Preços Preços Preços
Documentação Técnica Gateway de VPN Gateway de VPN ExpressRoute
FAQ FAQ do VPN Gateway FAQ do VPN Gateway FAQ do ExpressRoute

Definições

As definições que escolheu para cada recurso são essenciais para a criação de uma ligação com êxito. Para obter informações sobre recursos individuais e sobre definições para o Gateway de VPN, consulte definições sobre o Gateway de VPN. O artigo contém informações para ajudar a compreender os tipos de gateway, os SKUs de gateway, os tipos de VPN, os tipos de ligação, as sub-redes de gateway, os gateways de rede local e várias outras definições de recursos que poderá querer considerar.

Ferramentas de implementação

Pode começar por criar e configurar recursos utilizando uma ferramenta de configuração, como o portal do Azure. Mais tarde, pode decidir mudar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes, quando aplicável. Atualmente, não pode configurar todos os recursos e definições de recursos no portal do Azure. As instruções nos artigos para cada topologia de ligação especificam quando uma ferramenta de configuração especifica é necessária.

SKUs de Gateway

Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Selecione o SKU que atende as suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, funcionalidades e SLA.

  • Para obter mais informações sobre os SKUs de gateway, incluindo funcionalidades suportadas, produção e teste dev, e etapas de configuração, consulte o artigo Gateway de VPN Settings - Gateway SKUs.
  • Para obter informações sobre o Legacy SKU, consulte Working with Legacy SKUs.
  • O SKU Básico não suporta o IPv6.

SKUs de Gateway por túnel, ligação e débito

VPN
Gateway
Geração
SKU S2S/VNet-to-VNet
Túneis
P2S
Conexões SSTP
P2S
Ligações IKEv2/OpenVPN
Agregado
Referência de produção
BGP Zona redundante
Geração1 Básica Um máximo de 10 Um máximo de 128 Não suportado 100 Mbps Não suportado No
Geração1 VpnGw1 Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado No
Geração1 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado No
Geração1 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado No
Geração1 VpnGw1AZ Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado Yes
Geração1 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado Yes
Geração1 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado Yes
Geração2 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado No
Geração2 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado No
Geração2 VpnGw4 Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado No
Geração2 VpnGw5 Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado No
Geração2 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado Yes
Geração2 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado Yes
Geração2 VpnGw4AZ Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado Yes
Geração2 VpnGw5AZ Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado Yes

(*) Utilize WAN Virtual se precisar de mais de 100 túneis VPN S2S.

  • A redimensionamento de SKUs VPNGw é permitida dentro da mesma geração, exceto a redimensionamento do SKU Básico. O SKU Básico é um SKU legado e tem limitações de recursos. Para passar de Basic para outro SKU, você deve eliminar o gateway Basic SKU VPN e criar uma nova porta de entrada com a combinação de tamanhos de Geração e SKU desejado. (ver Trabalhar com SKUs legado).

  • Esses limites de ligação são separados. Por exemplo, pode ter 128 ligações SSTP e também 250 ligações IKEv2 num SKU VpnGw1.

  • As informações sobre os preços estão disponíveis na página Preços.

  • Pode encontrar informações sobre SLA (contrato de nível de serviço) na página do SLA.

  • Se tiver muitas ligações P2S, pode ter um impacto negativo nas suas ligações S2S. Os Índices de Referência de Produção Agregada foram testados maximizando uma combinação de ligações S2S e P2S. Uma única ligação P2S ou S2S pode ter uma produção muito mais baixa.

  • Note que todos os critérios de referência não estão garantidos devido às condições de tráfego da Internet e aos seus comportamentos de aplicação

Para ajudar os nossos clientes a compreender o desempenho relativo dos SKUs utilizando diferentes algoritmos, utilizamos ferramentas iPerf e CTSTraffic publicamente disponíveis para medir desempenhos para ligações site-to-site. A tabela abaixo lista os resultados dos testes de desempenho para SKUs VPNGw. Como pode ver, o melhor desempenho é obtido quando usamos algoritmo GCMAES256 para encriptação e integridade do IPsec. Obtivemos um desempenho médio quando usamos AES256 para encriptação IPsec e SHA256 para Integridade. Quando usamos DES3 para encriptação IPsec e SHA256 para Integridade, obtivemos o menor desempenho.

Um túnel VPN liga-se a uma instância de gateway VPN. Cada produção de instância é mencionada no quadro de produção acima e está disponível agregada em todos os túneis que se ligam a esse caso.

A tabela abaixo mostra a largura de banda observada e os pacotes por segundo de produção por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos finais) em Azure em diferentes regiões com 100 ligações e em condições de carga padrão.

Geração SKU Algoritmos
usado
Débito
observado por túnel
Pacotes por segundo por túnel
observado
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61,000
13,000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Zonas de Disponibilidade

As portas VPN podem ser implantadas em Azure Zonas de Disponibilidade. Isto traz resiliência, escalabilidade e uma maior disponibilidade para os gateways de redes virtuais. Implementar gateways nas Zonas de Disponibilidade do Azure separa física e logicamente os gateways numa região, enquanto protege a sua conectividade de rede no local para o Azure contra falhas ao nível das zonas. Consulte as portas de rede virtuais redundantes em Azure Zonas de Disponibilidade.

Preços

Vai pagar por duas coisas -- os custos de computação à hora do gateway de rede virtual e a transferência de dados de saída a partir do gateway de rede virtual. As informações sobre os preços estão disponíveis na página Preços. Para obter preços de gateway legado SKU, consulte a página de preços ExpressRoute e percorra para a secção gateways Rede Virtual.

Custos de computação do gateway de rede virtual
Cada gateway ea rede virtual tem um custo de computação à hora. O preço é baseado no SKU de gateway que especificar quando cria um gateway de rede virtual. O custo está relacionado com o próprio gateway e acresce à transferência de dados que flui através do mesmo. O custo de uma configuração ativa é o mesmo que active-passiva.

Custos da transferência de dados
Os custos da transferência de dados são calculados com base no tráfego de saída a partir do gateway de rede virtual de origem.

  • Se estiver a enviar tráfego para o seu dispositivo VPN no local, será carregado com a taxa de transferência de dados da Internet.
  • Se está a enviar tráfego entre redes virtuais em diferentes regiões, o preço é baseado na região.
  • Se estiver a enviar tráfego apenas entre redes virtuais que estão na mesma região, não há custos de dados. O tráfego entre VNets na mesma região é gratuito.

Para obter mais informações sobre os SKUs de gateway para o Gateway de VPN, veja SKUs de Gateway.

FAQ

Para perguntas mais frequentes sobre o Gateway de Aplicação, veja as FAQ do Gateway de VPN.

Novidades?

Subscreva o feed RSS e veja as últimas atualizações de funcionalidades Gateway de VPN na página Azure Atualizações.

Passos seguintes