Создание VPN-шлюзов для Azure Stack Hub
Шлюз виртуальной сети — это программное VPN-устройство (VPN-шлюз) для виртуальной сети Azure Stack Hub. Используйте его с подключением или подключениями, чтобы настроить VPN-подключение типа "сеть — сеть" или "сеть — сеть" между виртуальной сетью Azure Stack Hub и локальной сетью или VPN-подключение "виртуальная сеть — виртуальная сеть" между двумя виртуальными сетями, созданными на разных метках Azure Stack Hub.
При создании шлюза виртуальной сети нужно указать тип шлюза, который вы хотите использовать. Azure Stack Hub поддерживает только тип VPN .
В каждой виртуальной сети может существовать только один шлюз виртуальной сети. В зависимости от выбранного параметра можно создать несколько подключений в одном шлюзе виртуальной сети. Примером такого типа установки является конфигурация топологии типа "сеть — несколько сайтов".
Прежде чем создавать и настраивать ресурсы шлюза виртуальной сети для Azure Stack Hub, ознакомьтесь с рекомендациями по работе с сетями Azure Stack Hub , чтобы узнать, чем конфигурации для Azure Stack Hub отличаются от Azure.
Примечание
В Azure пропускная способность для выбранного номера SKU шлюза виртуальной сети должна быть разделена на все подключения, подключенные к шлюзу. Однако в Azure Stack Hub значение пропускной способности для SKU шлюза виртуальной сети применяется к каждому ресурсу подключения, подключенного к шлюзу.
Пример:
- В Azure базовый номер SKU шлюза виртуальной сети может вместить примерно 100 Мбит/с совокупной пропускной способности. Если вы создаете два подключения к шлюзу виртуальной сети и одно из них использует пропускную способность 50 Мбит/с, то для другого подключения будет доступно 50 Мбит/с.
- В Azure Stack Hub каждому подключению к базовому SKU шлюза виртуальной сети выделяется пропускная способность 100 Мбит/с.
Настройка VPN-шлюзов
VPN-шлюз использует несколько ресурсов, настроенных с определенными параметрами. Большинство этих ресурсов можно настроить по отдельности, но в некоторых случаях их следует настраивать в определенном порядке.
Настройки
Параметры, выбранные для каждого ресурса, являются критически важными для успешного создания подключения.
Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Настройка параметров VPN-шлюза для Azure Stack Hub.
Средства развертывания
Вы можете создавать и настраивать ресурсы с помощью одного средства настройки, например портала Azure Stack Hub. Затем с помощью другого инструмента, например PowerShell, можно настроить дополнительные ресурсы или при необходимости изменить существующие.
В настоящее время вы не можете настроить все ресурсы и параметры ресурсов на портале Azure Stack Hub. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.
Схемы топологий подключения
Существуют различные конфигурации, доступные для VPN-шлюзов. Определите, какая из конфигураций наилучшим образом соответствует вашим требованиям. В следующих разделах можно просмотреть сведения и схемы топологии о следующих сценариях VPN-шлюза:
- Подключения типа "сеть — сеть"
- Подключения типа "сеть — несколько сайтов"
- Подключения типа "сеть — сеть" или "сеть — сеть" между метками Azure Stack Hub
Представленные в следующих разделах схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.
Подключения типа "сеть — сеть"
Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес. Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций.
Подключения типа "сеть — несколько сайтов"
Топология типа "сеть — несколько сайтов " является разновидностью топологии типа "сеть — сеть". Вы создаете несколько VPN-подключений из шлюза виртуальной сети, обычно подключаясь к нескольким локальным сайтам.
Подключения типа "сеть — сеть" или "сеть — сеть" между метками Azure Stack Hub
Вы можете создать только одно VPN-подключение типа "сеть — сеть" между двумя развертываниями Azure Stack Hub. Это связано с ограничением платформы, в соответствии с которым разрешается создавать только одно VPN-подключение с использованием одного и того же IP-адреса. Так как Azure Stack Hub использует мультитенантный шлюз, который, в свою очередь, использует один общедоступный IP-адрес для всех VPN-шлюзов в системе Azure Stack Hub, там можно создать только одно VPN-подключение между двумя системами Azure Stack Hub. Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес. В Azure Stack Hub нельзя создать несколько локальных ресурсов сетевого шлюза с использованием одного и того же IP-адреса.
На следующей схеме показано, как подключить несколько меток Azure Stack Hub, если необходимо создать топологию сетки между метками.
В этом сценарии существует 3 метки Azure Stack Hub, каждый из которых имеет 1 шлюз виртуальной сети с 2 подключениями и 2 шлюза локальной сети. С помощью новых номеров SKU пользователи могут подключать сети и рабочие нагрузки между метками с пропускной способностью VPN-подключения до 1250 Мбит/С Tx/Rx, выделяя 50 % емкости пула шлюза для каждой метки. Оставшуюся емкость для каждой метки можно использовать для дополнительных VPN-подключений, необходимых для других вариантов использования:
Артикулы шлюзов
При создании шлюза виртуальной сети для Azure Stack Hub нужно указать номер SKU шлюза, который необходимо использовать. Поддерживаются следующие виртуальная сеть SKU шлюзов:
- Базовый — 100 Мбит/с Tx/Rx
- Стандартный — 100 Мбит/с Tx/Rx
- Высокая производительность — 200 Мбит/с Tx/Rx
Новые номера SKU шлюза виртуальная сеть в общедоступной предварительной версии
В выпуске Azure Stack Hub 2209 корпорация Майкрософт объявляет о выпуске общедоступной предварительной версии новой функции быстрого пути VPN, которая увеличивает общую максимальную пропускную способность метки Azure Stack Hub с 2 Гбит/с до 5 Гбит/с, а также предоставляет 3 новых номера SKU.
- VpnGw1 — 650 Мбит/с Tx/Rx
- VpnGw2 — 1000 Мбит/с Tx/Rx
- VpnGw3 — 1250 Мбит/с Tx/Rx
Azure Stack Hub не поддерживает номер SKU сверхпроизводительного шлюза, который используется исключительно с ExpressRoute.
При выборе номера SKU учитывайте следующие факторы.
- Azure Stack Hub не поддерживает шлюзы на основе политик.
- Протокол BGP не поддерживается в SKU "Базовый".
- В Azure Stack Hub не поддерживается одновременное использование конфигураций VPN-шлюзов и ExpressRoute.
Доступность шлюза
В отличие от облака Azure, которое обеспечивает доступность в конфигурации "активный — активный" и "активный — пассивный", Azure Stack Hub поддерживает только конфигурации "активный — пассивный".