Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба VPN-шлюза Azure может использоваться для отправки зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. Шлюз VPN использует специальный тип шлюза виртуальной сети Azure, называемый шлюзом VPN. Можно создать несколько подключений к одному и тому же шлюзу VPN. При создании нескольких подключений все VPN-туннели делят доступную пропускную способность шлюза.
Замечание
VPN-шлюз Azure — это одна из служб, составляющих категорию гибридного подключения в Azure. Другие службы в этой категории включают ExpressRoute и виртуальную глобальную сеть. Каждая служба имеет собственные уникальные возможности и варианты использования. Дополнительные сведения об этой категории служб см. в разделе "Гибридное подключение".
Зачем использовать VPN-шлюз?
Ниже приведены некоторые ключевые сценарии для VPN-шлюза:
Отправка зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет с помощью одного из следующих типов подключений:
Подключение типа «сеть — сеть»: Подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством.
Подключение типа "точка — сеть": VPN через OpenVPN, IKEv2 или SSTP. Этот тип подключения позволяет подключаться к виртуальной сети из удаленного расположения, например из конференции или из дома.
Отправка зашифрованного трафика между виртуальными сетями Azure с помощью следующих типов подключений:
VNet-to-VNet: IPsec/IKE VPN-туннельное соединение между VPN-шлюзом и другим VPN-шлюзом Azure, использующим тип соединения VNet-to-VNet. Этот тип подключения предназначен специально для подключений между виртуальными сетями.
Подключение типа "сеть — сеть": Vpn-туннель IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure. Этот тип подключения, при использовании в архитектуре VNet-to-VNet, использует тип подключения точка-точка (IPsec), который позволяет подключение между разными площадками к шлюзу, а также между VPN-шлюзами.
Настройте VPN сайт-то-сайт в качестве безопасного пути отказоустойчивости для ExpressRoute с помощью:
- ExpressRoute + VPN-шлюз: Сочетание подключений ExpressRoute + VPN-шлюза (сосуществующих подключений).
Используйте VPN 'узел-узел' для подключения к сайтам, которые не подключены через ExpressRoute, с помощью:
- ExpressRoute + VPN-шлюз: Сочетание подключений ExpressRoute + VPN-шлюза (сосуществующих подключений).
Планирование и проектирование
Так как можно создать несколько конфигураций подключения с помощью VPN-шлюза, необходимо определить, какая конфигурация лучше подходит для ваших потребностей. Подключения типа "точка-точка", "сеть-сеть" и совместные подключения ExpressRoute/сеть-сеть имеют разные инструкции и требования к конфигурации ресурсов.
См. статью топологии и проектирования VPN-шлюза для разработки топологий и ссылок на инструкции по настройке. В следующих разделах статьи рассматриваются некоторые топологии проектирования, которые чаще всего используются.
- Межсетевые VPN-подключения
- VPN-подключения типа "точка — сеть"
- VPN-подключения между виртуальными сетями
Таблица планирования
В следующей таблице вы можете выбрать оптимальный вариант подключения для решения.
| Точка — сеть | Межсетевое соединение | |
|---|---|---|
| Поддерживаемые службы Azure | Облачные службы и виртуальные машины | Облачные службы и виртуальные машины |
| Типичная пропускная способность | На основе номера SKU шлюза | Обычно общий < 10 Гбит/с |
| Поддерживаемые протоколы | Протокол безопасного туннелирования сокетов (SSTP), OpenVPN и IPsec | IPsec |
| Маршрутизация | RouteBased (динамическая) | Мы поддерживаем PolicyBased (статическую маршрутизацию) и RouteBased (динамическая маршрутизация VPN) |
| Устойчивость подключения | активно-пассивный или активно-активный | активно-пассивный или активно-активный |
| Типичный вариант использования | Безопасный доступ к виртуальным сетям Azure для удаленных пользователей | Сценарии разработки, тестирования и лаборатории, а также небольшие и средние рабочие нагрузки для облачных служб и виртуальных машин |
| Соглашение об уровне обслуживания | Соглашение об уровне обслуживания | Соглашение об уровне обслуживания |
| Цены | Цены | Цены |
| Техническая документация | VPN-шлюз | VPN-шлюз |
| Вопросы и ответы | VPN-шлюз: вопросы и ответы | VPN-шлюз: вопросы и ответы |
Зоны доступности
VPN-шлюзы можно развернуть в зонах доступности Azure. Развертывания зон доступности позволяют обеспечить устойчивость, масштабируемость и более высокую доступность шлюзов виртуальной сети. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. См. раздел о шлюзах виртуальных сетей с избыточностью между зонами в зонах доступности Azure.
Настройка VPN-шлюза
Подключение VPN-шлюза зависит от нескольких ресурсов, настроенных с определенными параметрами. В некоторых случаях ресурсы должны быть настроены в определенном порядке. Выбранные параметры для каждого ресурса критически важны для создания успешного подключения.
Сведения о отдельных ресурсах и параметрах VPN-шлюза см. в разделе "Сведения о параметрах VPN-шлюза " и "Сведения о номерах SKU шлюза".
Схемы проектирования и ссылки на статьи о конфигурации см. в статье топологии и проектирования VPN-шлюза .
SKU шлюзов
Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания. Для получения дополнительных сведений о SKU шлюза, включая поддерживаемые функции, таблицы производительности, шаги конфигурации и рабочие нагрузки для production и dev-test, см. раздел "Сведения о номерах SKU шлюза".
|
VPN Шлюз Поколение |
Артикул |
Подключение "узел-узел (S2S)" или "виртуальная сеть — виртуальная сеть (VNet)" Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Зональная избыточность | Количество поддерживаемых виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Поколение1 | Базовая | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | нет | 200 |
| Поколение1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | нет | 450 |
| Поколение1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | нет | 1 300 |
| Поколение1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | нет | 4000 |
| Поколение1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Поколение1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Поколение1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5 000 |
| Поколение2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | нет | 685 |
| Поколение2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | нет | 2240 |
| Поколение2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | нет | 5300 |
| Поколение2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | нет | 6700 |
| Поколение2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Поколение2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Поколение2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Поколение2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | Да | 9000 |
(*) Если требуется более 100 VPN-туннелей S2S, используйте Виртуальная глобальная сеть вместо VPN-шлюз.
Ценообразование
Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик. Сведения о ценах можно найти на странице цен. Сведения о ценах на устаревшие SKU шлюзов см. на странице цен ExpressRoute и перейдите к разделу Шлюзы виртуальной сети.
Имя шлюза виртуальной сети: VNet1GW.
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети. В стоимость входит сам шлюз и трафик, который через него проходит. Конфигурации "активный — активный" и "активный — пассивный" одинаковы по стоимости установки. Дополнительные сведения о номерах SKU шлюза для VPN-шлюза см. в разделе SKU шлюза.
расходы, связанные с передачей данных;
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.
- Если вы отправляете трафик на локальное VPN-устройство, плата взимается в зависимости от скорости передачи данных из Интернета.
- Если вы отправляете трафик между виртуальными сетями в разных регионах, цены основаны на регионе.
- Если трафик отправляется только между виртуальными сетями, которые находятся в одном регионе, нет затрат на данные. Обмен данными между виртуальными сетями в одном регионе бесплатный.
Новые возможности VPN-шлюза?
VPN-шлюз Azure регулярно обновляется. Чтобы оставаться в курсе последних объявлений, см. статью "Новые возможности". В статье рассматриваются следующие моменты:
- Недавние релизы
- Идут предварительные показы с известными ограничениями (если применимо)
- Известные проблемы
- Устаревшая функциональность (если применимо)
Вы также можете подписаться на RSS-канал и просмотреть последние обновления компонентов VPN-шлюза на странице обновлений Azure .
Вопросы и ответы
Часто задаваемые вопросы о VPN-шлюзе см. в разделе "Часто задаваемые вопросы о VPN-шлюзе".