Сведения о VPN-шлюзе

VPN-шлюз передает зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. VPN-шлюз — это особый тип шлюза виртуальной сети. Каждая виртуальная сеть может иметь только один VPN-шлюз. Однако к одному VPN-шлюзу можно создать несколько подключений. При создании нескольких подключений к одному VPN-шлюзу все VPN-туннели совместно используют доступную для этого шлюза пропускную способность.

Что такое шлюз виртуальной сети?

Шлюз виртуальной сети состоит из двух или более виртуальных машин, автоматически настроенных и развернутых в определенной создаваемой подсети, которая называется подсетью шлюза. Виртуальные машины шлюза содержат таблицы маршрутизации и запускают определенные службы шлюза. Напрямую настраивать виртуальные машины, которые относятся к шлюзу виртуальной сети, нельзя, однако параметры, выбираемые при настройке шлюза, влияют на созданные в нем виртуальные машины.

Что такое VPN-шлюз?

Настраивая шлюз виртуальной сети, вы настраиваете параметр, указывающий тип шлюза. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети и какие действия он будет предпринимать. VPN-шлюз — это созданный шлюз виртуальной сети типа VPN. Этим он отличается от шлюза ExpressRoute, который использует другой тип шлюза. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute. Дополнительные сведения см. в разделе Типы шлюзов.

При создании VPN-шлюза его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры. Этот процесс может занять 45 минут и более в зависимости от выбранного номера SKU шлюза. Создав VPN-шлюз, вы можете создать подключение VPN-туннеля IPsec/IKE между этим и другим VPN-шлюзом (подключение "виртуальная сеть — виртуальная сеть") или создать распределенное подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством (подключение "сеть — сеть"). Вы также можете создать VPN-подключение типа "точка — сеть" (VPN-подключение по протоколу OpenVPN, IKEv2 или SSTP), которое позволяет подключиться к виртуальной сети из удаленного расположения, например во время конференции или из дома.

Настройка VPN-шлюза

При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. Большинство этих ресурсов можно настроить по отдельности, однако некоторые из них следует настраивать в определенном порядке.

Соединение

Так как с помощью VPN-шлюза вы можете создать несколько конфигураций подключения, необходимо определить, какая конфигурация наилучшим образом соответствует вашим требованиям. Для подключений "точка — сеть", "сеть — сеть" и параллельных подключений ExpressRoute и "сеть — сеть" используются разные инструкции и требования к конфигурации. Схемы подключений и соответствующие ссылки на инструкции по настройке см. в статье Структура VPN-шлюза.

Таблица планирования

Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения. Обратите внимание, что ExpressRoute не является частью VPN-шлюза, но присутствует в таблице.

Точка-сеть Подключение "сеть — сеть" . ExpressRoute
Поддерживаемые службы Azure Облачные службы и виртуальные машины Облачные службы и виртуальные машины Список служб
Типичные пропускные способности В зависимости от SKU шлюза Обычно < 10 Гбит/с (совокупная) 50 Мбит/с, 100 Мбит/с, 200 Мбит/с, 500 Мбит/с, 1 Гбит/с, 2 Гбит/с, 5 Гбит/с, 10 Гбит/с, 100 Гбит/с
Поддерживаемые протоколы SSTP, OpenVPN и IPsec IPsec Прямое подключение через виртуальные сети, технологии виртуальных частных сетей NSP (MPLS, VPLS)
Маршрутизация На основе маршрутов (динамическая) Мы поддерживаем маршрутизацию на основе политик (PolicyBased, статическая маршрутизация) и маршрутов (RouteBased, VPN с динамической маршрутизацией). BGP
Устойчивость подключения Активное-пассивное "Активный — пассивный" или "активный —активный" Активное-активное
Типичный случай использования Безопасный доступ к виртуальным сетям Azure для удаленных пользователей Сценарии разработки, тестирования и лабораторного использования, а также рабочие нагрузки небольшого и среднего масштаба для облачных служб и виртуальных машин Доступ ко всем службам Azure (проверенный список), критически важные рабочие нагрузки и рабочие нагрузки корпоративного уровня, архивация, большие данные, Azure в качестве сайта аварийного восстановления
Соглашение об уровне обслуживания Соглашение об уровне обслуживания Соглашение об уровне обслуживания Соглашение об уровне обслуживания
Цены Цены Цены Цены
Техническая документация VPN-шлюз VPN-шлюз ExpressRoute
Часто задаваемые вопросы VPN-шлюз: вопросы и ответы VPN-шлюз: вопросы и ответы Часто задаваемые вопросы об ExpressRoute

Параметры

Правильный выбор параметров каждого ресурса критически важен для успешного создания подключения. Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Сведения о параметрах VPN-шлюза. Эта статья содержит сведения о типах шлюзов, SKU шлюзов, типах VPN, типах подключения, подсетях шлюзов, локальных сетевых шлюзах и других интересующих параметрах ресурсов.

Средства развертывания

Создать и настроить ресурсы можно с помощью одного средства настройки, например портала Azure. Затем с помощью другого средства, например PowerShell, можно настроить дополнительные ресурсы или при необходимости внести изменения в имеющееся ресурсы. Сейчас на портале Azure можно настроить не все ресурсы и их параметры. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.

Номера SKU шлюза

Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.

  • Подробные сведения о номерах SKU шлюзов, в том числе поддерживаемые возможности, инструкции по разработке и тестированию в рабочей среде, а также инструкции по настройке см. в разделе Gateway SKUs (SKU шлюзов).
  • Сведения об устаревших SKU см. в статье Working with virtual network gateway SKUs (legacy SKUs) (Работа с SKU шлюзов виртуальных сетей (устаревшие SKU)).
  • Номер SKU "Базовый" не поддерживает IPv6.

Номера SKU шлюзов в зависимости от количества туннелей и подключений, и пропускной способности шлюзов

Виртуальная частная сеть
Шлюз
Поколение
SKU Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть"
Туннели
P2S
Подключения SSTP
P2S
Подключения IKEv2/OpenVPN
Статистическое
Тест пропускной способности
BGP Избыточность между зонами
Поколение1 Основной Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается Нет
Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Нет
Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Нет
Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Нет
Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да
Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да
Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Нет
Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Нет
Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Нет
Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Нет
Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да
Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да
Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да

(*) Если требуется больше 100 VPN-туннелей S2S, используйте Виртуальную глобальную сеть.

  • Переход между номерами SKU VpnGw разрешен в рамках одного поколения, за исключением номера SKU уровня "Базовый". Номер SKU уровня "Базовый" является устаревшим с ограничениями функций. Чтобы перейти с уровня "Базовый" на другой SKU, необходимо удалить шлюз VPN уровня "Базовый" и создать шлюз с требуемой комбинацией поколения и размера SKU. (См. статью Работа с устаревшими SKU.)

  • Эти ограничения подключений являются раздельными. Например, у вас может быть 128 SSTP-подключений, а также 250 IKEv2 для номера SKU VpnGw1.

  • Дополнительные сведения о ценах можно просмотреть на этой странице .

  • См. сведения о соглашении об уровне обслуживания.

  • Если у вас много P2S подключений, это может негативно повлиять на подключения S2S. Статистические эталоны пропускной способности были протестированы путем поиска максимально эффективных сочетаний соединений S2S и P2S. Одно подключение P2S или S2S может иметь намного более низкую пропускную способность.

  • Обратите внимание, что результаты любых тестов производительности не считаются гарантией, поскольку зависят от условий трафика в Интернете и поведения приложения

Чтобы помочь нашим клиентам измерить относительную производительность для разных ценовых категорий с помощью разных алгоритмов, мы использовали общедоступные средства iPerf и CTSTraffic для оценки производительности подключений типа "сеть — сеть". В приведенной ниже таблице перечислены результаты тестов производительности для ценовой категории VpnGw. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 для обеспечения целостности и шифрования IPsec. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для обеспечения целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для обеспечения целостности, мы получили низкую производительность.

VPN-туннель подключается к экземпляру VPN-шлюза. Пропускная способность каждого экземпляра указана в таблице выше и доступна в совокупности во всех каналах, подключающихся к этому экземпляру.

В приведенной ниже таблице представлены наблюдаемые значения пропускной способности и количества пакетов в секунду для каждого туннеля с разными ценовыми категориями шлюза. Все тестирования выполнялись между шлюзами (конечными точками) в разных регионах Azure при работе 100 подключений со стандартными условиями загрузки.

Поколение SKU Алгоритмы
которые используются
Пропускная способность
которая наблюдается в туннелях
Пакетов в секунду в каждом туннеле
(наблюдается)
Поколение1 VpnGw1 GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
130 Мбит/с
62 000
47 000
12 000
Поколение1 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,2 Гбит/с
650 Мбит/с
140 Мбит/с
100 000
61,000
13 000
Поколение1 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
700 Мбит/с
140 Мбит/с
120 000
66 000
13 000
Поколение1 VpnGw1AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
130 Мбит/с
62 000
47 000
12 000
Поколение1 VpnGw2AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,2 Гбит/с
650 Мбит/с
140 Мбит/с
110 000
61,000
13 000
Поколение1 VpnGw3AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
700 Мбит/с
140 Мбит/с
120 000
66 000
13 000
Поколение2 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
130 Мбит/с
120 000
52 000
12 000
Поколение2 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,5 Гбит/с
700 Мбит/с
140 Мбит/с
140 000
66 000
13 000
Поколение2 VpnGw4 GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw5 GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw2AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
130 Мбит/с
120 000
52 000
12 000
Поколение2 VpnGw3AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,5 Гбит/с
700 Мбит/с
140 Мбит/с
140 000
66 000
13 000
Поколение2 VpnGw4AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw5AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000

Зоны доступности

VPN-шлюзы можно развернуть в Зонах доступности Azure. В результате шлюзы виртуальной сети смогут работать на более высоких уровнях отказоустойчивости, масштабируемости и доступности. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. Ознакомьтесь со статьей Избыточные между зонами шлюзы виртуальной сети в Зонах доступности Azure.

Цены

Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик. Дополнительные сведения о ценах можно просмотреть на этой странице . Чтобы узнать цены на SKU для шлюза прежних версий, откройте страницу с ценами на ExpressRoute и прокрутите ее до разделаШлюзы виртуальной сети.

Имя шлюза виртуальной сети: VNet1GW.
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети. В стоимость входит сам шлюз и трафик, который через него проходит. Конфигурации "активный — активный" и "активный — пассивный" одинаковы по стоимости установки.

расходы, связанные с передачей данных;
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.

  • Если вы отправляете трафик в локальное VPN-устройство, с вас будет взиматься плата как за исходящий сетевой трафик.
  • При обмене данными между виртуальными сетями в разных регионах цена зависит от региона.
  • При обмене данными между виртуальными сетями в одном регионе плата не взимается. Обмен данными между виртуальными сетями в одном регионе бесплатный.

См. дополнительные сведения о номерах SKU для VPN-шлюзов.

Вопросы и ответы

См. вопросы и ответы, связанные с использованием VPN-шлюза.

Новые возможности

Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для VPN-шлюза на странице Обновления Azure.

Дальнейшие действия