Сведения о шлюзах виртуальных сетей ExpressRoute
Чтобы подключить виртуальную сеть Azure и локальную сеть с помощью ExpressRoute, необходимо сначала создать шлюз виртуальной сети. Шлюз виртуальной сети служит двум целям: связь IP-маршрутов между сетями и маршрутизация сетевого трафика. В этой статье описываются различные типы шлюзов, номера SKU шлюза и оценка производительности по номеру SKU. В этой статье также описана функция ExpressRoute FastPath, которая позволяет сетевому трафику из локальной сети обходить шлюз виртуальной сети для повышения производительности.
Типы шлюзов
При создании шлюза виртуальной сети нужно указать несколько параметров. Один из обязательных параметров (-GatewayType) указывает, будет ли шлюз использоваться для трафика ExpressRoute или VPN. Существуют два типа шлюзов:
VPN. Сетевой трафик направляется в зашифрованном виде через общедоступный Интернет (при использовании типа шлюза VPN). Этот тип шлюза также называется VPN-шлюзом. При подключениях типа "сеть — сеть", "точка — сеть" и "виртуальная сеть — виртуальная сеть" используется VPN-шлюз.
ExpressRoute. Сетевой трафик направляется через частное подключение (при использовании типа шлюза ExpressRoute). Этот тип шлюза также называется шлюзом ExpressRoute и используется при настройке ExpressRoute.
В виртуальной сети каждому типу шлюза может соответствовать только один шлюз виртуальной сети. Например, у вас может быть только один шлюз виртуальной сети, использующий -GatewayType VPN, и другой, использующий -GatewayType ExpressRoute.
SKU шлюза
Во время создания шлюза виртуальной сети нужно указать SKU шлюза, который вы хотите использовать. Если выбрать более высокий SKU шлюза, то шлюз получит больше ЦП и большую пропускную способность сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Для шлюзов виртуальной сети ExpressRoute можно использовать следующие значения SKU.
- ERGwScale (предварительная версия)
- Стандартные
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Если вы хотите обновить шлюз до номера SKU шлюза с более высокой емкостью, можно использовать средство простой миграции шлюза в портал Azure или PowerShell. Поддерживаются следующие обновления:
- Номер SKU, отличный от Az, на базовом IP-адресе для SKU с поддержкой Non Az в стандартном IP-адресе.
- SKU без поддержки Az в базовом IP-адресе для SKU с поддержкой Az на стандартном IP-адресе.
- Номер SKU без поддержки Az на стандартном IP-адресе в SKU с поддержкой Az на стандартном IP-адресе.
Дополнительные сведения см. в статье "Миграция на шлюз с поддержкой зоны доступности".
Для всех других сценариев понижения необходимо удалить и повторно создать шлюз. Повторное создание шлюза вызовет простой.
Подсеть шлюза
Прежде чем создавать шлюз ExpressRoute, необходимо создать подсеть для него. Подсеть шлюза содержит IP-адреса, которые используют виртуальные машины и службы шлюза виртуальной сети. При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры шлюза ExpressRoute. Никогда не развертывать ничего другого в подсети шлюза. Чтобы подсеть шлюза работала правильно, ее нужно назвать GatewaySubnet. Именование подсети шлюза GatewaySubnet позволяет Azure знать, как развернуть виртуальные машины и службы шлюза виртуальной сети в этой подсети.
Примечание.
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группы NSG в GatewaySubnet не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов BGP должно иметь значение "Включено" в ШлюзеSubnet, чтобы обеспечить доступность шлюза. Если для распространения маршрутов BGP установлено "Отключено", шлюз функционировать не будет.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
- Не рекомендуется развертывать частный сопоставитель Azure DNS в виртуальной сети с шлюзом виртуальной сети ExpressRoute и задавать правила подстановочного знака, чтобы направлять все разрешения имен на конкретный DNS-сервер. Такая конфигурация может вызвать проблемы с подключением к управлению.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза обратитесь к документации по конфигурации, которую собираетесь создать. Например, для конфигурации с сосуществованием ExpressRoute и VPN-шлюза требуется более крупная подсеть шлюза, чем для большинства других конфигураций. Кроме того, может потребоваться убедиться, что подсеть шлюза содержит достаточно IP-адресов для размещения возможных будущих конфигураций. Рекомендуется создать подсеть шлюза (/27 или больше) (/27, /26 и т. д.). Если вы планируете подключить 16 каналов ExpressRoute к шлюзу, необходимо создать подсеть шлюза размером /26 или больше. Если вы создаете подсеть шлюза с двумя стеками, рекомендуется также использовать диапазон IPv6 в диапазоне /64 или больше. Эта настройка подходит для большинства конфигураций.
В примере PowerShell для Resource Manager ниже показана подсеть шлюза GatewaySubnet. Здесь приведена нотация CIDR, указывающая размер /27, при котором можно использовать достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Внимание
Группы безопасности сети (NSG) в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Группа безопасности сети.
Ограничения и производительность шлюза виртуальной сети
Поддержка функций в SKU шлюза
В следующей таблице показаны функции, поддерживаемые для каждого типа шлюза и максимальное количество подключений канала ExpressRoute, поддерживаемых каждым номером SKU шлюза.
| Gateway SKU | Сосуществование VPN-шлюза и ExpressRoute | FastPath | Максимальное число подключений к каналу |
|---|---|---|---|
| Номер SKU цен. категории "Стандартный", ErGw1AZ | Да | Нет | 4 |
| Номер SKU с высокой производительностью, ERGw2Az | Да | Нет | 8 |
| Номер SKU с ультравысокой производительностью, ErGw3Az | Да | Да | 16 |
| ErGwScale (предварительная версия) | Да | Да — минимум 10 единиц масштабирования | 4 — минимум 1 единицы масштабирования 8 — не менее 2 единиц масштабирования 16 — минимум 10 единиц масштабирования |
Примечание.
Максимальное количество каналов ExpressRoute из одного расположения пиринга, которые могут быть подключены к одной виртуальной сети, составляет 4 для всех шлюзов.
Приблизительная производительность в зависимости от номера SKU шлюза
В следующих таблицах представлен обзор различных типов шлюзов, их соответствующих ограничений и ожидаемых метрик производительности. Показатели в таблице получены в приведенных ниже условиях тестирования и представляют собой максимальные поддерживаемые ограничения. Фактическая производительность может отличаться в зависимости от того, насколько тесно трафик реплицирует эти условия тестирования.
Условия тестирования
| Gateway SKU | Трафик, отправленный из локальной среды | Количество маршрутов, объявленных шлюзом | Количество маршрутов, полученных шлюзом |
|---|---|---|---|
| Цен. категория "Стандартный", ERGw1Az | 1 Гбит/с | 500 | 4000 |
| Высокая производительность, ERGw2Az | 2 Гбит/с | 500 | 9500 |
| Ультравысокая производительность, ErGw3Az | 10 Гбит/с | 500 | 9500 |
| ErGwScale (на единицу масштабирования) | 1 Гбит/с | 500 | 4000 |
Примечание.
ExpressRoute может упростить до 11 000 маршрутов, охватывающих адресные пространства виртуальной сети, локальную сеть и любые соответствующие подключения к пирингу виртуальной сети. Чтобы обеспечить стабильность подключения ExpressRoute, воздерживайтесь от рекламы более 11000 маршрутов в ExpressRoute.
Результаты производительности
Эта таблица относится как к моделям Azure Resource Manager, так и к классическим моделям развертывания.
| Gateway SKU | Мегабит в секунду | Пакетов в секунду | Поддерживаемо число виртуальных машин в виртуальной сети 1 | Ограничение количества потоков |
|---|---|---|---|---|
| Цен. категория "Стандартный", ERGw1Az | 1,000 | 100 000 | 2 000 | 200 000 |
| Высокая производительность, ERGw2Az | 2 000 | 200 000 | 4 500 | 400 000 |
| Ультравысокая производительность, ErGw3Az | 10 000 | 1 000 000 | 11 000 | 1 000 000 |
| ErGwScale (на единицу масштабирования) | 1,000 | 100 000 | 2 000 | 100 000 на единицу масштабирования |
1 Значения в таблице оцениваются и зависят от использования ЦП шлюза. Если загрузка ЦП высока, а количество поддерживаемых виртуальных машин превышается, шлюз начнет удалять пакеты.
Внимание
- Производительность приложения зависит от нескольких факторов, таких как сквозная задержка, и количество потоков трафика, которые открывает приложение. Числа в таблице представляют собой верхний предел, которого приложение может теоретически достичь в идеальных условиях. Кроме того, корпорация Майкрософт выполняет регулярное обслуживание узлов и ОС шлюза виртуальной сети ExpressRoute для обеспечения надежности службы. В течение периода обслуживания снижается пропускная способность уровня управления и пути передачи данных шлюза.
- Во время обслуживания периодически могут возникать проблемы подключения к ресурсам частных конечных точек.
- ExpressRoute поддерживает максимальный размер пакета TCP и UDP размером 1400 байт. Размер пакета размером более 1400 байт будет фрагментирован.
- Сервер маршрутизации Azure может поддерживать до 4000 виртуальных машин. Это ограничение включает виртуальные машины в одноранговых виртуальных сетях. Дополнительные сведения см. в разделе об ограничениях сервера маршрутизации Azure.
SKU шлюза, избыточного между зонами
Вы также можете развернуть шлюзы ExpressRoute в компоненте "Зоны доступности Azure". Эта конфигурация физически и логически отделяет их от разных Зоны доступности, защищая локальное сетевое подключение к Azure от сбоев на уровне зоны.
Избыточные между зонами шлюзы используют определенные новые номера SKU шлюза ExpressRoute.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (предварительная версия)
Новые номера SKU шлюза также поддерживают другие варианты развертывания в соответствии с вашими потребностями. При создании шлюза виртуальной сети с помощью новых номеров SKU шлюза можно развернуть шлюз в определенной зоне. Этот тип шлюза называется зональным шлюзом. При развертывании зонального шлюза все его экземпляры развертываются в одной зоне доступности.
Дополнительные сведения о переносе шлюза ExpressRoute см. в статье о миграции шлюза.
Масштабируемый шлюз ExpressRoute (предварительная версия)
SKU шлюза виртуальной сети ErGwScale позволяет достичь подключения 40 Гбит/с к виртуальным машинам и частным конечным точкам в виртуальной сети. Этот номер SKU позволяет задать минимальную и максимальную единицу масштабирования для инфраструктуры шлюза виртуальной сети, которая автоматически масштабируется на основе активной пропускной способности или количества потоков. Можно также задать фиксированный масштабируемый модуль для поддержания постоянного подключения по требуемому значению пропускной способности.
Развертывание зоны доступности и региональное доступность
ErGwScale поддерживает как зональные, так и зональные избыточные развертывания в зонах доступности Azure. Дополнительные сведения об этих понятиях см. в документации по зональным и зональным службам , избыточным между зонами.
ErGwScale доступен в предварительной версии в следующих регионах:
- Восточная Австралия
- Южная Бразилия
- Центральная Канада
- Восточная часть США
- Восточная Азия
- Центральная Франция
- Центрально-Западная Германия
- Центральная Индия
- Северная Италия
- Северная Европа
- Восточная Норвегия;
- Центральная Швеция
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- западная часть США 2
- Западная часть США — 3
Автомасштабирование и фиксированная единица масштабирования
Инфраструктура шлюза виртуальной сети автоматически масштабируется между минимальной и максимальной единицей масштабирования, настроенной на основе использования пропускной способности или количества потоков. Выполнение операций масштабирования может занять до 30 минут. Если вы хотите достичь фиксированного подключения по определенному значению пропускной способности, можно настроить фиксированный масштабируемый модуль, задав минимальное единицу масштабирования и максимальное значение единицы масштабирования.
Ограничения
- Базовый IP-адрес: ErGwScale не поддерживает номер SKU базового IP-адреса. Чтобы настроить ErGwScale, необходимо использовать номер SKU стандартного IP-адреса.
- Минимальные и максимальные единицы масштабирования: можно настроить единицу масштабирования для ErGwScale в диапазоне от 1 до 40. Минимальная единица масштабирования не может быть меньше 1 , а максимальное число единиц масштабирования не может превышать 40.
- Сценарии миграции. Вы не можете выполнить миграцию из Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az в ErGwScale в общедоступной предварительной версии.
Цены
ErGwScale предоставляется бесплатно во время общедоступной предварительной версии. Сведения о ценах ExpressRoute см. в разделе о ценах На Azure ExpressRoute.
Оценка производительности на единицу масштабирования
Поддерживаемая производительность на единицу масштабирования
| Единица масштабирования | Пропускная способность (Гбит/с) | Пакетов в секунду | Подключений в секунду | Максимальное количество подключений к виртуальной машине 1 | Максимальное количество потоков |
|---|---|---|---|---|---|
| 1–10 | 1 | 100,000 | 7000 | 2 000 | 100,000 |
| 11-40 | 1 | 100,000 | 7000 | 1000 | 100 000 |
Пример производительности с единицей масштабирования
| Единица масштабирования | Пропускная способность (Гбит/с) | Пакетов в секунду | Подключений в секунду | Максимальное количество подключений к виртуальной машине 1 | Максимальное количество потоков |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70 000 | 20,000 | 1 000 000 |
| 20 | 20 | 2 000 000 | 140,000 | 30,000 | 2 000 000 |
| 40 | 40 | 4 000 000 | 280,000 | 50,000 | 4 000 000 |
1 Максимальное масштабирование подключений к виртуальной машине превышает 10 единиц масштабирования. Первые 10 единиц масштабирования обеспечивают емкость для 2000 виртуальных машин на единицу масштабирования. Единицы масштабирования 11 и выше предоставляют 1000 больше емкости виртуальных машин на единицу масштабирования.
Подключение виртуальной сети к виртуальной сети и виртуальной сети для Виртуальная глобальная сеть
По умолчанию виртуальная сеть к виртуальной сети и виртуальной сети для Виртуальная глобальная сеть подключения отключена через канал ExpressRoute для всех номеров SKU шлюза. Чтобы включить это подключение, необходимо настроить шлюз виртуальной сети ExpressRoute, чтобы разрешить этот трафик. Дополнительные сведения см. в руководстве по подключению к виртуальной сети через ExpressRoute. Чтобы включить этот трафик, ознакомьтесь с разделом "Включение виртуальной сети в виртуальную сеть" или "виртуальная сеть" для Виртуальная глобальная сеть подключения через ExpressRoute.
FastPath
Шлюз виртуальной сети ExpressRoute предназначен для межсетевой связи маршрутов и маршрутизации сетевого трафика. Функция FastPath позволяет повысить производительность пути к данным между локальной сетью и вашей виртуальной сетью. Если она включена, FastPath отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, минуя шлюз.
Дополнительные сведения о FastPath, включая ограничения и требования, см. в разделе "О FastPath".
Подключение к частным конечным точкам
Шлюз виртуальной сети ExpressRoute упрощает подключение к частным конечным точкам, развернутых в той же виртуальной сети, что и шлюз виртуальной сети и одноранговые узлы виртуальной сети.
Внимание
- Емкость пропускной способности и уровня управления для подключения к ресурсам частной конечной точки может сократиться наполовину по сравнению с подключением к ресурсам, не являющихся частными конечными точками.
- Во время обслуживания периодически могут возникать проблемы подключения к ресурсам частных конечных точек.
- Необходимо убедиться, что локальная конфигурация, включая параметры маршрутизатора и брандмауэра, правильно настроена, чтобы гарантировать, что пакеты для транзитов IP-5 кортежей используют один следующий прыжок (маршрутизатор Microsoft Enterprise Edge — MSEE), если не существует события обслуживания. Если локальная конфигурация брандмауэра или маршрутизатора приводит к тому, что один и тот же IP-5-кортеж часто переключается на следующие прыжки, возникают проблемы с подключением.
Подключение к частной конечной точке и запланированные события обслуживания
Подключение к частной конечной точке является отслеживанием состояния. Когда подключение к частной конечной точке устанавливается через частный пиринг ExpressRoute, входящий и исходящий подключения направляются через один из внутренних экземпляров инфраструктуры шлюза. Во время события обслуживания внутренние экземпляры инфраструктуры шлюза виртуальной сети перезагружаются по одному за раз, что может привести к периодическим проблемам с подключением.
Чтобы избежать или свести к минимуму проблемы с подключением к частным конечным точкам во время обслуживания, рекомендуется задать значение времени ожидания TCP в диапазоне от 15 до 30 секунд в локальных приложениях. Проверьте и настройте оптимальное значение на основе требований приложения.
Интерфейсы REST API и командлеты PowerShell
Дополнительные технические ресурсы и конкретные требования к синтаксису при использовании REST API и командлетов PowerShell для конфигураций шлюза виртуальной сети см. на следующих страницах:
| Классическое | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Подключение "виртуальная сеть – виртуальная сеть"
По умолчанию подключение между виртуальными сетями включается при связывании нескольких виртуальных сетей с одинаковым каналом ExpressRoute. Корпорация Майкрософт рекомендует не использовать канал ExpressRoute для обмена данными между виртуальными сетями. Вместо этого рекомендуется использовать пиринг между виртуальными сетями. Дополнительные сведения о том, почему подключение между виртуальными сетями не рекомендуется для ExpressRoute, см. в статье о подключении между виртуальными сетями через ExpressRoute.
Пиринг между виртуальными сетями
Виртуальная сеть с шлюзом ExpressRoute может иметь пиринг между виртуальными сетями до 500 других виртуальных сетей. Пиринг между виртуальными сетями без шлюза ExpressRoute может иметь более высокое ограничение пиринга.
Следующие шаги
Дополнительные сведения о доступных конфигурациях подключений см. в статье Технический обзор ExpressRoute.
В статье Создание шлюза виртуальной сети для ExpressRoute доступны дополнительные сведения о создании шлюзов ExpressRoute.
Дополнительные сведения о развертывании ErGwScale см. в статье "Настройка шлюза виртуальной сети для ExpressRoute" с помощью портал Azure.
Дополнительные сведения о настройке избыточных между зонами шлюзов см. в статье Создание избыточного между зонами шлюза виртуальной сети.
Дополнительные сведения о FastPath см. в статье о FastPath.