Vad är en VPN-gateway?
VPN Gateway skickar krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet. Du kan också använda VPN Gateway för att skicka krypterad trafik mellan virtuella Azure-nätverk via Microsoft-nätverket. En VPN-gateway är en specifik typ av virtuell nätverksgateway. Ett virtuellt nätverk kan endast ha en VPN-gateway. Du kan dock skapa flera anslutningar till samma VPN-gateway. När du skapar flera anslutningar till samma VPN-gateway delar alla VPN-tunnlar på den tillgängliga bandbredden.
Vad är en virtuell nätverksgateway?
En virtuell nätverksgateway består av två eller flera virtuella datorer som konfigureras och distribueras automatiskt till ett specifikt undernät som du skapar som kallas gatewayundernätet. De virtuella gatewaydatorerna innehåller routningstabeller och kör specifika gatewaytjänster. Du kan inte konfigurera de virtuella datorer som ingår i den virtuella nätverksgatewayen direkt, även om de inställningar som du väljer när du konfigurerar din gateway påverkar de virtuella gatewaydatorer som skapas.
Vad är en VPN-gateway?
När du konfigurerar en virtuell nätverksgateway konfigurerar du en inställning som anger gatewaytypen. Gatewaytypen avgör hur den virtuella nätverksgatewayen ska användas och vilka åtgärder som gatewayen vidtar. Gatewaytypen Vpn anger att den typ av virtuell nätverksgateway som skapas är en VPN-gateway. Detta skiljer den från en ExpressRoute-gateway, som använder en annan gatewaytyp. Ett virtuellt nätverk kan ha två virtuella nätverksgatewayer. en VPN-gateway och en ExpressRoute-gateway. Se Gatewaytyper för mer information.
När du skapar en VPN-gateway distribueras virtuella gatewaydatorer till gatewayundernätet och konfigureras med de inställningar som du har angett. Den här processen kan ta 45 minuter eller mer att slutföra, beroende på vilken gateway-SKU du har valt. När du har skapat en VPN-gateway kan du skapa en VPN-tunnelanslutning med IPsec/IKE mellan denna VPN-gateway och en annan VPN-gateway (VNet-till-VNet), eller en VPN-tunnel med IPsec/IKE mellan VPN-gatewayen och en lokal VPN-enhet (Plats-till-plats). Du kan också skapa en punkt-till-plats-VPN-anslutning (VPN via OpenVPN, IKEv2 eller SSTP), som gör att du kan ansluta till ditt virtuella nätverk från en fjärrplats, till exempel från en konferens eller hemifrån.
Konfigurera en VPN Gateway
En anslutning för VPN-gateway är beroende av flera resurser som är konfigurerade med specifika inställningar. De flesta av resurserna kan konfigureras separat, men vissa resurser måste konfigureras i en viss ordning.
Anslutning
Eftersom du kan skapa flera anslutningskonfigurationer med VPN Gateway måste du bestämma vilken konfiguration som passar bäst för dina behov. Punkt-till-plats-, plats-till-plats- och samexisterande ExpressRoute-/plats-till-plats-anslutningar har alla olika instruktioner och konfigurationskrav. Anslutningsdiagram och motsvarande länkar till konfigurationssteg finns i VPN Gateway design.
- Plats-till-plats-VPN-anslutningar
- Punkt-till-plats-VPN-anslutningar
- VPN-anslutningar mellan virtuella nätverk
Planeringstabell
Tabellen nedan kan hjälpa dig att bestämma det bästa anslutningsalternativet för din lösning. Observera att ExpressRoute inte ingår i VPN Gateway, men ingår i tabellen.
| Punkt-till-plats | Plats-till-plats | ExpressRoute | |
|---|---|---|---|
| Tjänster som stöds av Azure | Cloud Services och Virtual Machines | Cloud Services och Virtual Machines | Tjänstlista |
| Vanliga bandbredder | Baserat på gateway-SKU | Vanligtvis < 10 Gbit/s-aggregat | 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s, 100 Gbit/s |
| Protokoll som stöds | Secure Sockets Tunneling Protocol (SSTP), OpenVPN och IPsec | IPsec | Direktanslutning över VLAN, NSP:er VPN-teknologier (MPLS, VPLS,...) |
| Routning | RouteBased (dynamisk) | Vi stöder principbaserad (statisk routning) och ruttbaserad (dynamisk routning VPN) | BGP |
| Anslutningsåterhämtning | aktiv-passiv | aktiv-passiv eller aktiv-aktiv | aktiv-aktiv |
| Vanligt användningsfall | Säker åtkomst till virtuella Azure-nätverk för fjärranvändare | Utvecklings-/test-/labbscenarier och små till medelstora produktionsarbetsbelastningar för molntjänster och virtuella datorer | Åtkomst till alla Azure-tjänster (validerad lista), Enterprise-klass och verksamhetskritiska arbetsbelastningar, säkerhetskopiering, Big Data, Azure som en DR-plats |
| Serviceavtal | Serviceavtal | Serviceavtal | Serviceavtal |
| Prissättning | Prissättning | Prissättning | Prissättning |
| Teknisk dokumentation | VPN Gateway | VPN Gateway | ExpressRoute |
| Vanliga frågor och svar | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar för ExpressRoute |
Inställningar
De inställningar som du väljer för varje resurs är viktiga för att skapa en lyckad anslutning. Information om enskilda resurser och inställningar för VPN Gateway finns Om inställningar för VPN Gateway. Den här artikeln innehåller information om gatewaytyper, gateway-SKU:er, VPN-typer, anslutningstyper, gatewayundernät, lokala nätverksgatewayer och andra resursinställningar som du kan använda.
Distributionsverktyg
Du kan börja skapa och konfigurera resurser med hjälp av ett konfigurationsverktyg, till exempel Azure Portal. Du kan senare välja att byta till ett annat verktyg, som PowerShell, för att konfigurera ytterligare resurser eller ändra befintliga resurser om det behövs. För närvarande går det inte att konfigurera alla resurser och resursinställningar på Azure Portal. Anvisningarna i artiklarna för varje anslutningstopologi anger om ett specifikt konfigurationsverktyg behövs.
Gateway-SKU:er
När du skapar en virtuell nätverksgateway anger du vilken gateway-SKU som du vill använda. Välj den SKU som uppfyller dina krav baserat på typerna av arbetsbelastning, dataflöden, funktioner och serviceavtal.
- Mer information om gateway-SKU:er, inklusive funktioner som stöds, produktions- och utvecklingstest och konfigurationssteg finns i artikeln VPN Gateway Inställningar – Gateway-SKU:er.
- Information om äldre SKU finns i Arbeta med äldre SKU:er.
Gateway-SKU:er efter tunnel, anslutning och dataflöde
| VPN Gateway Generation |
SKU | S2S/VNet-till-VNet Tunnlar |
P2S SSTP-anslutningar |
P2S IKEv2/OpenVPN-anslutningar |
Aggregera Benchmark för dataflöde |
BGP | Zonredundant |
|---|---|---|---|---|---|---|---|
| Generation 1 | Basic | Max. 10 | Max. 128 | Stöds inte | 100 Mbit/s | Stöds inte | No |
| Generation 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | No |
| Generation 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | No |
| Generation 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | No |
| Generation 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Yes |
| Generation 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Yes |
| Generation 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | No |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | No |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | No |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | No |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Yes |
(*) Använd Virtual WAN om du behöver fler än 100 S2S VPN-tunnlar.
Storleksändringen av VpnGw-SKU:er tillåts inom samma generation, förutom storleksändring av basic-SKU:n. Basic SKU är en äldre SKU och har funktionsbegränsningar. För att kunna flytta från Basic till en annan SKU måste du ta bort VPN-gatewayen Basic SKU och skapa en ny gateway med önskad kombination av generation och SKU-storlek. (se Arbeta med äldre SKU:er).
Dessa anslutningsgränser är separata. Du kan exempelvis ha 128 SSTP-anslutningar och även 250 IKEv2-anslutningar på en VpnGw1-SKU.
Information om priser finns på sidan Priser.
Information om SLA (serviceavtal) finns på sidan SLA.
Om du har många P2S-anslutningar kan det påverka dina S2S-anslutningar negativt. Prestandamått för aggregerat dataflöde testades genom att maximera en kombination av S2S- och P2S-anslutningar. En enda P2S- eller S2S-anslutning kan ha ett mycket lägre dataflöde.
Observera att alla prestandamått inte garanteras på grund av internettrafik och dina programbeteenden
För att hjälpa våra kunder att förstå den relativa prestandan hos SKU:er med olika algoritmer använde vi offentligt tillgängliga iPerf- och CTSTraffic-verktyg för att mäta prestanda för plats-till-plats-anslutningar. I tabellen nedan visas resultatet av prestandatester för VpnGw-SKU:er. Som du ser erhålls bästa prestanda när vi använde GCMAES256-algoritmen för både IPsec-kryptering och integritet. Vi fick genomsnittlig prestanda när du använder AES256 för IPsec-kryptering och SHA256 för integritet. När vi använde DES3 för IPsec-kryptering och SHA256 för integritet fick vi lägsta prestanda.
En VPN-tunnel ansluter till en VPN-gatewayinstans. Varje instansdataflöde anges i dataflödestabellen ovan och är tillgängligt aggregerat över alla tunnlar som ansluter till den instansen.
Tabellen nedan visar den observerade bandbredden och paketen per sekunds dataflöde per tunnel för de olika gateway-SKU:erna. Alla tester utfördes mellan gatewayer (slutpunkter) i Azure i olika regioner med 100 anslutningar och under standardmässiga belastningsförhållanden.
| Generation | SKU | Algoritmer Används |
Dataflöde observeras per tunnel |
Paket per sekund per tunnel Observerade |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 130 Mbit/s |
62,000 47,000 12 000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbit/s 650 Mbit/s 140 Mbit/s |
100 000 61,000 13,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 700 Mbit/s 140 Mbit/s |
120,000 66,000 13,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 130 Mbit/s |
62,000 47,000 12 000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbit/s 650 Mbit/s 140 Mbit/s |
110,000 61,000 13,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 700 Mbit/s 140 Mbit/s |
120,000 66,000 13,000 |
| Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 130 Mbit/s |
120,000 52,000 12 000 |
| Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbit/s 700 Mbit/s 140 Mbit/s |
140,000 66,000 13,000 |
| Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 130 Mbit/s |
120,000 52,000 12 000 |
| Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbit/s 700 Mbit/s 140 Mbit/s |
140,000 66,000 13,000 |
| Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
Tillgänglighetszoner
VPN-gatewayer kan distribueras i Azure Tillgänglighetszoner. Det ger flexibilitet, skalbarhet och högre tillgänglighet för virtuella nätverksgatewayer. Distribution av gatewayer i Azure-tillgänglighetszoner skiljer gatewayerna åt fysiskt och logiskt i en region, samtidigt som din lokala nätverksanslutning till Azure skyddas mot fel på zonnivå. Se Om zonredundanta virtuella nätverksgatewayer i Azure Tillgänglighetszoner.
Prissättning
Du betalar för två saker: beräkningskostnaderna per timme för den virtuella nätverksgatewayen och för utgående dataöverföring från den virtuella nätverksgatewayen. Information om priser finns på sidan Priser. Priser för äldre gateway-SKU finns på prissidan för ExpressRoute och bläddrar till avsnittet Virtual Network Gateways.
Beräkningskostnader för virtuell nätverksgateway
Varje virtuell nätverksgateway har ett timpris för beräkningar. Priset grundas på den gateway-SKU du anger när du skapar en virtuell nätverksgateway. Kostnaden är för själva gatewayen och läggs till utöver den dataöverföring som går via gatewayen. Kostnaden för en aktiv-aktiv-konfiguration är densamma som en aktiv-passiv.
Kostnader för överföring av data
Kostnaderna för överföring av data beräknas baserat på utgående trafik från den virtuella nätverksgatewayen (källan).
- Om du skickar trafik till din lokala VPN-enhet debiteras den med dataöverföringshastigheten för utgående internet.
- Om du skickar trafik mellan virtuella nätverk i olika regioner baseras prissättningen på regionen.
- Om du bara skickar trafik mellan virtuella nätverk som finns i samma region finns det inga datakostnader. Trafik mellan VNets i samma region är kostnadsfri.
Se Gateway-SKU:er för information om gateway-SKU:er för VPN Gateway.
Vanliga frågor
Vanliga frågor om VPN Gateway finns i Vanliga frågor och svar om VPN Gateway.
Nyheter
Prenumerera på RSS-feeden och visa de senaste VPN Gateway funktionsuppdateringarna på Azure Uppdateringar-sidan.