Share via

Snabb sökväg för Azure Stack Hub VPN för klientanvändare

  • Artikel

Vad är funktionen Snabb sökväg för Vpn i Azure Stack Hub?

Azure Stack Hub introducerar de tre nya SKU:erna som beskrivs i den här artikeln som en del av funktionen SNABBSÖKVÄG FÖR VPN. Tidigare var S2S-tunnlar begränsade till en maximal bandbredd på 200 Mbit/s med hjälp av SKU:n HighPerformance. De nya SKU:erna möjliggör kundscenarier där högre nätverksdataflöde krävs. Dataflödesvärdena för varje SKU är enkelriktade värden, vilket innebär att det stöder det angivna dataflödet för att skicka eller ta emot trafik.

När Azure Stack-operatören aktiverar funktionen SNABB SÖKVÄG FÖR VPN på en Azure Stack Hub-stämpel kan klientanvändare skapa virtuella nätverksgatewayer med hjälp av de nya SKU:erna. Du kan justera befintliga konfigurationer genom att återskapa den virtuella nätverksgatewayen och dess anslutningar med en av de nya SKU:erna.

Nya SKU:er för virtuella nätverksgatewayer som är tillgängliga när snabb VPN-sökväg är aktiverat

Förutom de tre nya SKU:erna ökar den övergripande VPN-kapaciteten för Azure Stack Hub, vilket ger fler VPN-anslutningar.

I följande tabell visas det nya dataflödet för varje SKU när den snabba VPN-sökvägen är aktiverad:

SKU Maximalt dataflöde för VPN-anslutning
Basic 100 Mbit/s Tx/Rx
Standard 100 Mbit/s Tx/Rx
Höga prestanda 200 Mbit/s Tx/Rx
VpnGwy1 650 Mbit/s Tx/Rx
VpnGwy2 1 000 Mbit/s Tx/Rx
VpnGwy3 1 250 Mbit/s Tx/Rx

Skapa virtuella nätverksgatewayer för att använda de nya SKU:erna

Med snabb VPN-sökväg kan klientanvändare skapa virtuella nätverksgatewayer med de nya SKU:erna med hjälp av antingen Azure Stack Hub-portalen eller PowerShell.

Skapa virtuella nätverksgatewayer med nya SKU:er med hjälp av Azure Stack Hub-portalen

Om du använder Azure Stack Hub-portalen för att skapa en virtuell nätverksgateway kan du välja SKU:n med hjälp av listrutan. De nya SKU:erna för VPN Fast Path (VpnGwy1, VpnGwy2, VpnGwy3) visas bara när du har lagt till frågeparametern "?azurestacknewvpnskus=true" i URL:en och uppdatera.

Följande URL-exempel gör de nya SKU:erna för virtuell nätverksgateway synliga i Azure Stack Hub-användarportalen:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Innan operatorn skapar dessa resurser måste de aktivera snabb VPN-sökväg på Azure Stack Hub-stämpeln:

Nya SKU:er för Azure VNG

Skapa virtuella nätverksgatewayer med nya SKU:er med Hjälp av PowerShell

I följande exempel används AzureRM-modulerna:

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

Uppgradera äldre virtuella nätverksgatewayer

Du kan inte uppdatera SKU:n utan att återskapa den virtuella nätverksgatewayen, vilket kräver att du tar bort alla anslutningar som är associerade med den virtuella nätverksgatewayen. Du kan återanvända resurserna för den lokala nätverksgatewayen när du har skapat en virtuell nätverksgateway med den nya SKU:n. Den lokala nätverksgatewayresursen definierar adressutrymmet och IP-adressen för din lokala enhet och behåller den konfigurationen.

Följ dessa steg för att uppgradera SKU:er för virtuell nätverksgateway:

  1. Ta bort alla anslutningar på den befintliga virtuella nätverksgatewayen: anteckna den i förväg delade nyckeln och om BGP-flaggan är inställd på aktiverad.
  2. Ta bort den befintliga virtuella nätverksgatewayen med hjälp av den äldre SKU:n: Det går inte att skapa två virtuella nätverksgatewayer i samma virtuella nätverk, så du måste ta bort den befintliga.
  3. Skapa en ny virtuell nätverksgatewayresurs med den nya SKU:n: du kan välja en av de nya SKU:erna som är aktiverade med snabb VPN-sökväg.
  4. Skapa en ny anslutning mellan den nya virtuella nätverksgatewayen och den befintliga lokala nätverksgatewayen: om du använder en anpassad IP sec-princip skapar du anslutningen via PowerShell. Använd den i förväg delade nyckeln och BGP-flaggan som anges i steg 1.
  5. Upprepa steg 4 för andra anslutningar som du vill flytta till den nya SKU:n: det här steget är relevant för scenarier med flera platser.

VPN-anslutningstopologier

Det finns olika konfigurationer för VPN-gatewayer. Fastställ vilken konfiguration som bäst passar dina behov. I följande avsnitt kan du visa information och topologidiagram om följande VPN-gatewayscenarier:

  • Plats-till-plats-anslutningar
  • Plats-till-flera-plats-anslutningar
  • Plats-till-plats- eller plats-till-flera-plats-anslutningar mellan Azure Stack Hub-stämplar

Diagrammen och beskrivningarna i följande avsnitt kan hjälpa dig att välja en anslutningstopologi som matchar dina krav. Diagrammen visar de viktigaste baslinjetopologierna, men det går att skapa mer komplexa konfigurationer med hjälp av diagrammen som en guide.

Plats-till-plats-anslutningar

En VPN-gatewayanslutning från plats till plats (S2S) är en anslutning via IPsec/IKE(IKEv2) VPN-tunnel. Den här typen av anslutning kräver en VPN-enhet som finns lokalt och tilldelas en offentlig IP-adress.

Konceptbild som visar plats-till-plats-anslutningstopologi.

Plats-till-flera-plats-anslutningar

En plats-till-flera-plats-topologi är en variant av plats-till-plats-topologin. Du skapar fler än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis sker anslutningen till flera lokala platser.

Konceptuellt diagram som visar plats-till-flera-plats-anslutningar.

Plats-till-plats- eller plats-till-flera-plats-anslutningar mellan Azure Stack Hub-stämplar

Du kan bara skapa en plats-till-plats-VPN-anslutning mellan två Azure Stack Hub-distributioner. Den här begränsningen beror på en begränsning i plattformen som endast tillåter en enda VPN-anslutning till samma IP-adress. Eftersom Azure Stack Hub använder gatewayen för flera klientorganisationer, som har en enda offentlig IP-adress för alla VPN-gatewayer i Azure Stack Hub-systemet, kan det bara finnas en VPN-anslutning mellan två Azure Stack Hub-system. Den här begränsningen gäller även för anslutning av mer än en plats-till-plats-VPN-anslutning till alla VPN-gatewayer som använder en enda IP-adress. Azure Stack Hub tillåter inte att fler än en lokal nätverksgatewayresurs skapas med samma IP-adress.

Följande diagram visar hur du kan ansluta flera Azure Stack Hub-stämplar om du behöver skapa en nättopologi mellan stämplar. I det här scenariot finns det tre Azure Stack Hub-stämplar och var och en av dem har 1 virtuell nätverksgateway med 2 anslutningar och 2 lokala nätverksgatewayer. Med de nya SKU:erna kan användarna ansluta nätverk och arbetsbelastningar mellan stämplar med VPN-anslutningars dataflöde upp till 1 250 Mbit/s Tx/Rx, vilket allokerar 50 % av gatewaypoolkapaciteten för varje stämpel. Återstående kapacitet på varje stämpel kan användas för fler VPN-anslutningar som krävs för andra användningsfall:

Konceptuellt diagram som visar VPN Gateway-inställningar mellan stämplar.

Nästa steg