面向运营商的 Azure Stack Hub VPN Fast Path

什么是 Azure Stack Hub VPN Fast Path 功能?

Azure Stack Hub 引入了本文中所述的三个新 SKU 作为 VPN Fast Path 功能的一部分。 以前,在使用 HighPerformance SKU 时,S2S 隧道的最大带宽限制为 200 Mbps。 新的 SKU 支持需要更高网络吞吐量的客户方案。 每个 SKU 的吞吐量值是单向值,即,它支持以给定的吞吐量发送或接收流量。

新的 VPN Fast Path 虚拟网络网关 SKU

随着 Azure Stack Hub 中 VPN Fast Path 功能的引入,租户用户可以使用 3 个新的 SKU 创建 VPN 连接:

  • 基本
  • Standard
  • 高性能
  • VpnGw1(新)
  • VpnGw2(新)
  • VpnGw3(新)

启用 Azure Stack Hub VPN Fast Path 之前的重要注意事项

为使任何更新过程能够尽量顺畅地进行,并尽量减轻对用户造成的影响,请务必准备好 Azure Stack Hub 缩放单元。

如果你是要启用 VPN Fast Path 的 Azure Stack Hub 运营商,我们建议你与租户用户协调以安排一个维护时段,在此时段可以进行切换。 通知用户可能发生 VPN 连接服务中断,然后按照本文中的步骤为更新准备好缩放单元。

VPN Fast Path 需要在远程 VPN 设备上配置 NAT-T

Azure Stack Hub VPN Fast Path 依赖于新的 SDN 网关服务,在规划时需要考虑新的要求。

在启用 VPN Fast Path 之前与租户用户一起完成规划

  • 现有虚拟网络网关资源设置的列表。
  • 现有连接资源设置的列表。
  • 在其现有连接上使用的 IPSec 策略和设置的列表。
    • 此步骤可确保用户配置了适用于其设备的策略,包括自定义 IPSec 策略。
  • 列出本地网络网关设置。 租户用户可以重复使用本地网络网关资源和配置。 但是,我们还建议保存现有配置,以免需要重新创建。
  • 启用 VPN Fast Path 后,如果租户想要使用新的 SKU,则必须适当地重新创建其虚拟网络网关和连接。

随着 VPN Fast Path 的发布,运营商可以调用一个新的 PowerShell 命令来列出其租户创建的所有现有连接。 此 cmdlet 可帮助运营商管理容量,并在需要重新创建虚拟网络网关时联系租户管理员:

Get-AzsVirtualNetworkGatewayConnection

有关详细信息,请参阅 Get-AzsVirtualNetworkGatewayConnection

如何启用 Azure Stack Hub VPN Fast Path

通过 VPN Fast Path,运营商可以使用以下 PowerShell 命令启用新功能。 该功能推出正式版后,运营商还可以使用 Azure Stack Hub 管理员门户启用该功能。

可以通过重新创建虚拟网络网关及其与新 SKU 之一的连接来调整现有设置。

使用 PowerShell 启用 Azure Stack Hub VPN Fast Path

在 Azure Stack Hub 特权终结点中,可运行以下 PowerShell 命令来启用 VPN Fast Path 功能:

有关 Azure Stack Hub PEP 的详细信息,请参阅访问特权终结点

Set-AzSVPNFastPath -Enable

显示用于启用 Fast Path 的 PowerShell 命令的屏幕截图。

使用 PowerShell 验证是否已启用 Azure Stack Hub VPN Fast Path

启用 VPN Fast Path 功能后,可以使用以下 PowerShell 命令验证网关 VM 的当前状态和已用容量:

Get-AzSVPNFastPath

显示 PowerShell 验证的屏幕截图。

使用 PowerShell 禁用 Azure Stack Hub VPN Fast Path

Set-AzSVPNFastPath -Disable

如果需要禁用 VPN Fast Path,必须首先与租户协作,以使用 VPN Fast Path SKU 删除再重新创建其所有虚拟网络网关。 由于在启用 VPN Fast Path 时缩放单元 VPN 容量会增加,因此,如果当 Azure Stack Hub 未使用 VPN Fast Path 时总体已用容量超过总容量,则无法禁用 VPN Fast Path。

Azure Stack Hub 网关池体系结构

Azure Stack Hub 中有三个多租户网关基础结构 VM。 其中两个 VM 处于活动模式,第三个 VM 处于冗余模式。 活动 VM 支持在其上创建 VPN 连接,而冗余 VM 只在发生故障转移时才接受 VPN 连接。 如果活动网关 VM 变得不可用,VPN 连接在短时间(几秒)的连接丢失之后就会故障转移到冗余 VM。

由于 VM 已修补并进行实时迁移,在 OEM 或 Azure Stack Hub 更新期间预期会发生网关连接故障转移。 这种故障转移可能会导致隧道暂时断开连接。

显示 VPN Fast Path 故障转移的概念图。

新网关池总容量

Azure Stack Hub 缩放单元的总体网关池容量为 4 Gbps。 此容量在两个活动网关 VM 之间分割,每个网关 VM 支持最高 2 Gbps 的吞吐量。 创建连接资源时,将在网关 VM 上保留此资源的 SKU 的两倍吞吐量。 这种设计确保可以根据用户工作负载的要求,通过 Tx 或 Rx 流量满足 SKU 的最大吞吐量(朝一个方向计量)。

例如,HighPerformance SKU 在网关 VM 上保留 400 Mbps(Tx 为 200,Rx 为 200)。 这意味着在现有引擎上,HighPerformance 连接保留了网关池总容量的十分之一。

下表显示了禁用 VPN Fast Path 时网关类型和每个隧道/连接按网关 SKU 估算的聚合吞吐量:

SKU 最大 VPN 连接吞吐量 (1) 每个活动 GW VM 的最大 VPN 连接数 每个缩放单元的最大 VPN 连接数 (2)
基本 (3) 100 Mbps Tx/Rx 10 20
标准 100 Mbps Tx/Rx 10 20
高性能 200 Mbps Tx/Rx 5 10

(1) - 隧道吞吐量不是 Internet 跨界连接的保证吞吐量;这是最大可能的吞吐量度量。 一个方向的总聚合为 2 Gbps。
(2) - 最大隧道数是所有订阅的每个 Azure Stack Hub 部署的总数。
(3) - 基本 SKU 不支持 BGP 路由。

显示已禁用 VPN Fast Path 的概念图。

启用 VPN Fast Path 时按 SKU 估算的聚合隧道吞吐量

运营商在 Azure Stack Hub 缩放单元上启用 VPN Fast Path 后,总体网关池容量会增加到 10 Gbps。 由于容量在两个活动网关 VM 之间分割,因此每个网关 VM 的容量为 5 Gbps。 为每个连接保留的容量如上一部分中所述。 因此,VpnGw3 SKU (1250 Mbps) 在网关 VM 上保留 2500 Mbps 的容量:

SKU 最大 VPN 连接吞吐量 (1) 每个活动 GW VM 的最大 VPN 连接数 每个缩放单元的最大 VPN 连接数 (2)
基本 (3) 100 Mbps Tx/Rx 25 50
标准 100 Mbps Tx/Rx 25 50
高性能 200 Mbps Tx/Rx 12 24
VPNGw1 650 Mbps Tx/Rx 3 6
VPNGw2 1000 Mbps Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

(1) - 隧道吞吐量不是 Internet 跨界连接的保证吞吐量;这是最大可能的吞吐量度量。 一个方向的总聚合为 5 Gbps。
(2) - 最大隧道数是所有订阅的每个 Azure Stack Hub 部署的总数。
(3) - 基本 SKU 不支持 BGP 路由。

显示已启用 VPN Fast Path 的概念图。

后续步骤