Vad är Azure VPN Gateway?
Azure VPN Gateway är en tjänst som använder en viss typ av virtuell nätverksgateway för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och lokala platser via det offentliga Internet. Du kan också använda VPN Gateway för att skicka krypterad trafik mellan virtuella Azure-nätverk över Microsoft-nätverket. Flera anslutningar kan skapas till samma VPN-gateway. När du skapar flera anslutningar delar alla VPN-tunnlar på den tillgängliga bandbredden.
Om VPN-gatewayer
En VPN-gateway är en typ av virtuell nätverksgateway. En virtuell nätverksgateway består av två eller flera Azure-hanterade virtuella datorer som konfigureras och distribueras automatiskt till ett specifikt undernät som du skapar med namnet GatewaySubnet. De virtuella gatewaydatorerna innehåller routningstabeller och kör specifika gatewaytjänster.
En av de inställningar som du anger när du skapar en virtuell nätverksgateway är "gatewaytypen". Gatewaytypen avgör hur den virtuella nätverksgatewayen ska användas och vilka åtgärder som gatewayen vidtar. Ett virtuellt nätverk kan ha två virtuella nätverksgatewayer. en VPN-gateway och en ExpressRoute-gateway. Gatewaytypen "Vpn" anger att typen av virtuell nätverksgateway som skapats är en VPN-gateway. Detta skiljer den från en ExpressRoute-gateway, som använder en annan gatewaytyp. Se Gatewaytyper för mer information.
När du skapar en VPN-gateway distribueras virtuella gatewaydatorer till gatewayundernätet och konfigureras med de inställningar som du har angett. Den här processen kan ta 45 minuter eller mer att slutföra, beroende på vilken gateway-SKU du har valt. När du har skapat en VPN-gateway kan du konfigurera anslutningar. Du kan till exempel skapa en IPsec/IKE VPN-tunnelanslutning mellan vpn-gatewayen och en annan VPN-gateway (VNet-till-VNet) eller skapa en lokal IPsec/IKE VPN-tunnelanslutning mellan VPN-gatewayen och en lokal VPN-enhet (plats-till-plats). Du kan också skapa en PUNKT-till-plats-VPN-anslutning (VPN via OpenVPN, IKEv2 eller SSTP), som gör att du kan ansluta till ditt virtuella nätverk från en fjärrplats, till exempel från en konferens eller hemifrån.
Konfigurera VPN Gateway
En anslutning för VPN-gateway är beroende av flera resurser som är konfigurerade med specifika inställningar. De flesta av resurserna kan konfigureras separat, men vissa resurser måste konfigureras i en viss ordning.
Anslutning
Eftersom du kan skapa flera anslutningskonfigurationer med hjälp av VPN Gateway måste du avgöra vilken konfiguration som passar dina behov bäst. Punkt-till-plats-, plats-till-plats- och samexisterande ExpressRoute-/plats-till-plats-anslutningar har alla olika instruktioner och konfigurationskrav. Anslutningsdiagram och motsvarande länkar till konfigurationssteg finns i VPN Gateway design.
- PLATS-till-plats-VPN-anslutningar
- Punkt-till-plats-VPN-anslutningar
- VPN-anslutningar mellan virtuella nätverk
Planeringstabell
Tabellen nedan kan hjälpa dig att bestämma det bästa anslutningsalternativet för din lösning. Observera att ExpressRoute inte ingår i VPN Gateway, utan ingår i tabellen.
| Punkt-till-plats | Plats-till-plats | ExpressRoute | |
|---|---|---|---|
| Azure-tjänster som stöds | Cloud Services och Virtual Machines | Cloud Services och Virtual Machines | Tjänstlista |
| Vanliga bandbredder | Baserat på gateway-SKU | Vanligtvis < 10 Gbit/s-aggregat | 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s, 100 Gbit/s, 100 Gbit/s |
| Protokoll som stöds | Secure Sockets Tunneling Protocol (SSTP), OpenVPN och IPsec | IPsec | Direktanslutning över VLAN, NSP:er VPN-teknologier (MPLS, VPLS,...) |
| Routning | RouteBased (dynamisk) | Vi stöder principbaserad (statisk routning) och ruttbaserad (dynamisk routning VPN) | BGP |
| Anslutningsåterhämtning | aktiv-passiv | aktiv-passiv eller aktiv-aktiv | aktiv-aktiv |
| Vanligt användningsfall | Säker åtkomst till virtuella Azure-nätverk för fjärranvändare | Utvecklings-/test-/labbscenarier och små till medelstora produktionsarbetsbelastningar för molntjänster och virtuella datorer | Åtkomst till alla Azure-tjänster (validerad lista), Enterprise-klass och verksamhetskritiska arbetsbelastningar, säkerhetskopiering, Big Data, Azure som en DR-plats |
| Serviceavtal | Serviceavtal | Serviceavtal | Serviceavtal |
| Prissättning | Prissättning | Prissättning | Prissättning |
| Teknisk dokumentation | VPN Gateway | VPN Gateway | ExpressRoute |
| Vanliga frågor och svar | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar för ExpressRoute |
Inställningar
De inställningar som du väljer för varje resurs är viktiga för att skapa en lyckad anslutning. Information om enskilda resurser och inställningar för VPN Gateway finns Om inställningar för VPN Gateway. Den här artikeln innehåller information om gatewaytyper, gateway-SKU:er, VPN-typer, anslutningstyper, gatewayundernät, lokala nätverksgatewayer och andra resursinställningar som du kan använda.
Distributionsverktyg
Du kan börja skapa och konfigurera resurser med hjälp av ett konfigurationsverktyg, till exempel Azure Portal. Du kan senare välja att byta till ett annat verktyg, som PowerShell, för att konfigurera ytterligare resurser eller ändra befintliga resurser om det behövs. För närvarande går det inte att konfigurera alla resurser och resursinställningar på Azure Portal. Anvisningarna i artiklarna för varje anslutningstopologi anger om ett specifikt konfigurationsverktyg behövs.
Gateway-SKU:er
När du skapar en virtuell nätverksgateway anger du vilken gateway-SKU som du vill använda. Välj den SKU som uppfyller dina krav baserat på typerna av arbetsbelastning, dataflöden, funktioner och serviceavtal.
- Mer information om gateway-SKU:er, inklusive funktioner som stöds, produktions- och utvecklingstest och konfigurationssteg finns i artikeln VPN Gateway Inställningar – Gateway-SKU:er.
- Äldre SKU-information finns i Arbeta med äldre SKU:er.
- Basic SKU stöder inte IPv6.
Gateway-SKU:er efter tunnel, anslutning och dataflöde
| VPN Gateway Generation |
SKU | S2S/VNet-till-VNet Tunnlar |
P2S SSTP-anslutningar |
P2S IKEv2/OpenVPN-anslutningar |
Aggregera Benchmark för dataflöde |
BGP | Zonredundant |
|---|---|---|---|---|---|---|---|
| Generation 1 | Basic | Max. 10 | Max. 128 | Stöds inte | 100 Mbit/s | Stöds inte | No |
| Generation 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | No |
| Generation 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | No |
| Generation 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | No |
| Generation 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Yes |
| Generation 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Yes |
| Generation 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | No |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | No |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | No |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | No |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Yes |
(*) Använd Virtual WAN om du behöver fler än 100 S2S VPN-tunnlar.
Storleksändringen av VpnGw-SKU:er tillåts inom samma generation, förutom storleksändring av basic-SKU:n. Basic SKU är en äldre SKU och har funktionsbegränsningar. För att kunna flytta från Basic till en annan SKU måste du ta bort VPN-gatewayen Basic SKU och skapa en ny gateway med önskad kombination av generation och SKU-storlek. (se Arbeta med äldre SKU:er).
Dessa anslutningsgränser är separata. Du kan exempelvis ha 128 SSTP-anslutningar och även 250 IKEv2-anslutningar på en VpnGw1-SKU.
Information om priser finns på sidan Priser.
Information om SLA (serviceavtal) finns på sidan SLA.
Om du har många P2S-anslutningar kan det påverka dina S2S-anslutningar negativt. Prestandamått för aggregerat dataflöde testades genom att maximera en kombination av S2S- och P2S-anslutningar. En enda P2S- eller S2S-anslutning kan ha ett mycket lägre dataflöde.
Observera att alla prestandamått inte garanteras på grund av internettrafik och dina programbeteenden
För att hjälpa våra kunder att förstå den relativa prestandan hos SKU:er med olika algoritmer använde vi offentligt tillgängliga iPerf- och CTSTraffic-verktyg för att mäta prestanda för plats-till-plats-anslutningar. I tabellen nedan visas resultatet av prestandatester för VpnGw-SKU:er. Som du ser erhålls bästa prestanda när vi använde GCMAES256-algoritmen för både IPsec-kryptering och integritet. Vi fick genomsnittlig prestanda när du använder AES256 för IPsec-kryptering och SHA256 för integritet. När vi använde DES3 för IPsec-kryptering och SHA256 för integritet fick vi lägsta prestanda.
En VPN-tunnel ansluter till en VPN-gatewayinstans. Varje instansdataflöde anges i dataflödestabellen ovan och är tillgängligt aggregerat över alla tunnlar som ansluter till den instansen.
Tabellen nedan visar den observerade bandbredden och paketen per sekunds dataflöde per tunnel för de olika gateway-SKU:erna. Alla tester utfördes mellan gatewayer (slutpunkter) i Azure i olika regioner med 100 anslutningar och under standardmässiga belastningsförhållanden.
| Generation | SKU | Algoritmer Används |
Genomströmning observeras per tunnel |
Paket per sekund per tunnel Observerade |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 130 Mbit/s |
62,000 47,000 12 000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbit/s 650 Mbit/s 140 Mbit/s |
100 000 61,000 13,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 700 Mbit/s 140 Mbit/s |
120,000 66,000 13,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 130 Mbit/s |
62,000 47,000 12 000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbit/s 650 Mbit/s 140 Mbit/s |
110,000 61,000 13,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 700 Mbit/s 140 Mbit/s |
120,000 66,000 13,000 |
| Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 130 Mbit/s |
120,000 52,000 12 000 |
| Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbit/s 700 Mbit/s 140 Mbit/s |
140,000 66,000 13,000 |
| Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 130 Mbit/s |
120,000 52,000 12 000 |
| Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbit/s 700 Mbit/s 140 Mbit/s |
140,000 66,000 13,000 |
| Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
| Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2,3 Gbit/s 700 Mbit/s 140 Mbit/s |
220,000 66,000 13,000 |
Tillgänglighetszoner
VPN-gatewayer kan distribueras i Azure Tillgänglighetszoner. Det ger flexibilitet, skalbarhet och högre tillgänglighet för virtuella nätverksgatewayer. Distribution av gatewayer i Azure-tillgänglighetszoner skiljer gatewayerna åt fysiskt och logiskt i en region, samtidigt som din lokala nätverksanslutning till Azure skyddas mot fel på zonnivå. Se Om zonredundanta virtuella nätverksgatewayer i Azure Tillgänglighetszoner.
Prissättning
Du betalar för två saker: beräkningskostnaderna per timme för den virtuella nätverksgatewayen och för utgående dataöverföring från den virtuella nätverksgatewayen. Information om priser finns på sidan Priser. Priser för äldre gateway-SKU finns på prissättningssidan för ExpressRoute och bläddra till avsnittet Virtual Network Gateways.
Beräkningskostnader för virtuell nätverksgateway
Varje virtuell nätverksgateway har ett timpris för beräkningar. Priset grundas på den gateway-SKU du anger när du skapar en virtuell nätverksgateway. Kostnaden är för själva gatewayen och läggs till utöver den dataöverföring som går via gatewayen. Kostnaden för en aktiv-aktiv-konfiguration är densamma som en aktiv-passiv.
Kostnader för överföring av data
Kostnaderna för överföring av data beräknas baserat på utgående trafik från den virtuella nätverksgatewayen (källan).
- Om du skickar trafik till din lokala VPN-enhet debiteras den med dataöverföringshastigheten för utgående Internet.
- Om du skickar trafik mellan virtuella nätverk i olika regioner baseras prissättningen på regionen.
- Om du bara skickar trafik mellan virtuella nätverk som finns i samma region finns det inga datakostnader. Trafik mellan VNets i samma region är kostnadsfri.
Se Gateway-SKU:er för information om gateway-SKU:er för VPN Gateway.
Vanliga frågor
Vanliga frågor om VPN Gateway finns i Vanliga frågor och svar om VPN Gateway.
Nyheter
Prenumerera på RSS-feeden och visa de senaste VPN Gateway funktionsuppdateringarna på sidan för Azure Uppdateringar.