Поделиться через


Быстрый путь VPN Azure Stack Hub для операторов

Что такое функция быстрого пути VPN в Azure Stack Hub?

Azure Stack Hub представляет три новых номера SKU, описанных в этой статье в рамках функции быстрого пути VPN. Ранее туннели S2S были ограничены максимальной пропускной способностью 200 Мбит/с с с помощью номера SKU HighPerformance. Новые номера SKU позволяют клиентским сценариям, в которых необходима более высокая пропускная способность сети. Значения пропускной способности для каждого номера SKU являются однонаправленными значениями, что означает, что она поддерживает указанную пропускную способность для отправки или получения трафика.

Новые номера SKU шлюза виртуальной сети vpn Fast Path

С помощью функции быстрого пути VPN в Azure Stack Hub пользователи клиентов могут создавать VPN-подключения с помощью 3 новых номеров SKU:

  • Basic
  • Standard
  • высокопроизводительная
  • VpnGw1 (новое)
  • VpnGw2 (новая версия)
  • VpnGw3 (новое)

Важные рекомендации перед включением быстрого пути VPN Azure Stack Hub

Чтобы сделать любой процесс обновления максимально гладким, чтобы обеспечить минимальное влияние на пользователей, важно подготовить метку Azure Stack Hub.

Как оператор Azure Stack Hub, обеспечивающий быстрый путь VPN, рекомендуется координировать работу с пользователями клиента, чтобы запланировать период обслуживания, в течение которого может произойти изменение. Уведомите пользователей о возможных сбоях службы VPN-подключений, а затем выполните действия, описанные здесь, чтобы подготовить метку к обновлению.

Для быстрого пути VPN требуется NAT-T на удаленных VPN-устройствах

Azure Stack Hub VPN Fast Path зависит от новой службы шлюза SDN, и она поставляется с новым требованием при планировании.

Планирование с пользователями клиента перед включением быстрого пути VPN

  • Список существующих параметров ресурсов шлюза виртуальной сети.
  • Список существующих параметров ресурсов подключений.
  • Список политик и параметров IPSec, используемых для существующих подключений.
    • Этот шаг гарантирует, что у пользователей есть политики, настроенные для работы с устройством, включая пользовательские политики IPSec.
  • Список параметров шлюза локальной сети. Пользователи клиента могут повторно использовать ресурсы и конфигурации шлюза локальной сети. Однако мы также рекомендуем сохранить существующую конфигурацию в случае их повторного создания.
  • После включения быстрого пути VPN клиенты должны повторно создать шлюзы и подключения виртуальной сети, если они хотят использовать новые номера SKU.

В выпуске VPN Fast Path существует новая команда PowerShell, которая может вызывать все существующие подключения, созданные их клиентами. Этот командлет может помочь оператору управлять емкостью и обращаться к администраторам клиента, если им нужно повторно создать шлюзы виртуальная сеть:

Get-AzsVirtualNetworkGatewayConnection

Дополнительные сведения см. в разделе Get-AzsVirtualNetworkGatewayConnection.

Как включить быстрый путь VPN Azure Stack Hub

С помощью быстрого пути VPN операторы могут включить новую функцию с помощью следующих команд PowerShell. После достижения общедоступной доступности операторы также могут включить эту функцию с помощью портала администрирования Azure Stack Hub.

Вы можете настроить существующие настройки, повторно создав шлюз виртуальной сети и его подключения с одним из новых номеров SKU.

Включение быстрого пути VPN Azure Stack Hub с помощью PowerShell

Из привилегированной конечной точки Azure Stack Hub можно выполнить следующую команду PowerShell, чтобы включить функцию быстрого пути VPN:

Дополнительные сведения о PEP Azure Stack Hub см. в статье "Привилегированная конечная точка Access".

Set-AzSVPNFastPath -Enable

Снимок экрана: команды PowerShell для включения быстрого пути.

Проверка быстрого пути VPN Azure Stack Hub с помощью PowerShell

После включения функции быстрого пути VPN можно проверить текущее состояние виртуальных машин шлюза и используемой емкости с помощью следующей команды PowerShell:

Get-AzSVPNFastPath

Снимок экрана: проверка PowerShell.

Отключение быстрого пути VPN Azure Stack Hub с помощью PowerShell

Set-AzSVPNFastPath -Disable

Если необходимо отключить быстрый путь VPN, необходимо сначала работать с клиентом для удаления и повторного создания всех виртуальная сеть шлюзов с помощью номеров SKU быстрого пути VPN. Так как емкость VPN с меткой увеличивается, если включен быстрый путь VPN, вы не можете отключить VPN Fast Path, если общая емкость в использовании превышает общую емкость, если Azure Stack Hub не использует VPN Fast Path.

Архитектура пула шлюзов Azure Stack Hub

В Azure Stack Hub доступны три виртуальные машины инфраструктуры мультитенантного шлюза. Две из этих виртуальных машин работают в активном режиме, а третья — в избыточном. Активные виртуальные машины позволяют создавать на них VPN-подключения, а избыточная виртуальная машина принимает VPN-подключения только в случае отработки отказа. Если активная виртуальная машина шлюза становится недоступной, VPN-подключение через некоторое время после утраты связи (несколько секунд) выполняет отработку отказа на избыточную виртуальную машину.

При отработке отказа подключения шлюза ожидается во время обновления OEM или Azure Stack Hub, так как виртуальные машины обновляются и переносятся в режиме реального времени. Отработка отказа может привести к временному отключению туннелей.

Концептуальная схема, показывающая отработку отказа VPN Fast Path.

Общая емкость нового пула шлюзов

Общая емкость пула шлюзов метки Azure Stack Hub составляет 4 Гбит/с. Эта емкость делится между двумя виртуальными машинами Active Gateway с каждой виртуальной машиной шлюза, поддерживающей до 2 Гбит/с пропускной способности. При создании ресурса подключения на виртуальной машине шлюза резервируется дважды его номер SKU. Эта конструкция гарантирует, что максимальная пропускная способность номера SKU (измеряется в одном направлении) может быть достигнута с помощью трафика Tx или Rx в зависимости от требований рабочей нагрузки пользователя.

Например, номер SKU HighPerformance резервирует 400 Мбит/с на виртуальной машине шлюза (200 для Tx, 200 для Rx). Это означает, что на существующем подсистеме подключение HighPerformance резервирует одну десятую из общей емкости пула шлюзов.

В следующей таблице показаны типы шлюзов и оценка статистической пропускной способности для каждого туннеля или подключения по номеру SKU шлюза при отключении быстрого пути VPN:

Номер SKU Максимальная пропускная способность VPN-подключения (1) Максимальное число VPN-подключений на активную виртуальную машину GW Максимальное число VPN-подключений на метку (2)
Базовый (3) 100 Мбит/с Tx/Rx 10 20
Стандартные 100 Мбит/с Tx/Rx 10 20
Высокая производительность 200 Мбит/с Tx/Rx 5 10

(1) — пропускная способность туннеля не является гарантированной пропускной способностью для локальных подключений через Интернет. Это максимально возможное измерение пропускной способности. Общий агрегат в одном направлении составляет 2 Гбит/с.
(2) Максимальное количество туннелей на каждое развертывание Azure Stack Hub для всех подписок.
(3) — маршрутизация BGP не поддерживается для номера SKU уровня "Базовый".

Концептуальная схема, показывающая отключенный быстрый путь VPN.

Предполагаемая агрегированная пропускная способность туннеля по SKU с включенной скоростью VPN

После включения VPN Fast Path на метке Azure Stack Hub общая емкость пула шлюзов увеличивается до 10 Гбит/с. Так как емкость делится между двумя активными виртуальными машинами шлюза, каждая виртуальная машина шлюза имеет емкость 5 Гбит/с. Объем емкости, зарезервированной для каждого подключения, совпадает с указанным в предыдущем разделе. Поэтому номер SKU VPNGw3 (1250 Мбит/с) резервирует емкость 2500 Мбит/с на виртуальной машине шлюза:

Номер SKU Максимальная пропускная способность VPN-подключения (1) Максимальное число VPN-подключений на активную виртуальную машину GW Максимальное число VPN-подключений на метку (2)
Базовый (3) 100 Мбит/с Tx/Rx 25 50
Стандартные 100 Мбит/с Tx/Rx 25 50
Высокая производительность 200 Мбит/с Tx/Rx 12 24
VPNGw1 650 Мбит/с Tx/Rx 3 6
VPNGw2 1000 Мбит/с Tx/Rx 2 4
VPNGw3 1250 Мбит/с Tx/Rx 2 4

(1) — пропускная способность туннеля не является гарантированной пропускной способностью для локальных подключений через Интернет. Это максимально возможное измерение пропускной способности. Общий агрегат в одном направлении составляет 5 Гбит/с.
(2) Максимальное количество туннелей на каждое развертывание Azure Stack Hub для всех подписок.
(3) — маршрутизация BGP не поддерживается для номера SKU уровня "Базовый".

Концептуальная схема, показывающая включенный БЫСТРЫЙ путь VPN.

Следующие шаги