租户用户的 Azure Stack Hub VPN 快速路径
什么是 Azure Stack Hub VPN Fast Path 功能?
Azure Stack Hub 将引入本文中所述的三个新 SKU,作为 VPN 快速路径功能的一部分。 以前,在使用 HighPerformance SKU 时,S2S 隧道的最大带宽限制为 200 Mbps。 新的 SKU 支持需要更高网络吞吐量的客户方案。 每个 SKU 的吞吐量值是单向值,即,它支持以给定的吞吐量发送或接收流量。
当 Azure Stack 操作员在 Azure Stack Hub 标记上启用 VPN 快速路径功能时,租户用户可以使用新的 SKU 创建虚拟网络网关。 可以通过重新创建虚拟网络网关及其与新 SKU 之一的连接来调整现有设置。
启用 VPN 快速路径时可用的新虚拟网络网关 SKU
除了 3 个新 SKU 外,Azure Stack Hub VPN 整体容量也会增加,从而允许更多的 VPN 连接。
下表显示了启用 VPN Fast Path 后每个 SKU 的新吞吐量:
SKU | 最大 VPN 连接吞吐量 |
---|---|
基本 | 100 Mbps Tx/Rx |
标准 | 100 Mbps Tx/Rx |
高性能 | 200 Mbps Tx/Rx |
VpnGwy1 | 650 Mbps Tx/Rx |
VpnGwy2 | 1000 Mbps Tx/Rx |
VpnGwy3 | 1250 Mbps Tx/Rx |
创建虚拟网络网关以使用新的 SKU
使用 VPN 快速路径,租户用户可以使用 Azure Stack Hub 门户或 PowerShell 创建具有新 SKU 的虚拟网络网关。
通过 Azure Stack Hub 门户使用新的 SKU 创建虚拟网络网关
如果使用 Azure Stack Hub 门户创建虚拟网络网关,可以在下拉列表中选择 SKU。 新的 VPN Fast Path SKU(VpnGwy1、VpnGwy2、VpnGwy3)仅在将查询参数“?azurestacknewvpnskus=true”添加到 URL 并刷新后才可见。
以下 URL 示例使新的虚拟网络网关 SKU 在 Azure Stack Hub 用户门户中可见:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
在运营商创建这些资源之前,他们必须在 Azure Stack Hub 缩放单元上启用 VPN Fast Path:
通过 PowerShell 使用新的 SKU 创建虚拟网络网关
以下示例使用 AzureRM 模块:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
升级旧版虚拟网络网关
如果不重新创建虚拟网络网关,则无法更新 SKU,这要求删除与虚拟网络网关关联的所有连接。 使用新的 SKU 创建虚拟网络网关后,可以重新使用本地网络网关资源。 本地网络网关资源将定义本地设备的地址空间和 IP 地址,并保留该配置。
按照以下步骤升级虚拟网络网关 SKU:
- 删除现有虚拟网络网关上的所有连接:记下预共享密钥,以及 BGP 标志是否设置为已启用。
- 使用旧版 SKU 删除现有虚拟网络网关:无法在同一虚拟网络中创建两个虚拟网络网关,因此必须删除现有网关。
- 使用新 SKU 创建新的虚拟网络网关资源:可以选择启用了 VPN Fast Path 的新 SKU 之一。
- 在新虚拟网络网关与现有本地网络网关之间创建新连接:如果使用自定义的 IP Sec 策略,请通过 PowerShell 创建连接。 使用步骤 1 中记下的预共享密钥和 BGP 标志。
- 针对要移动到新 SKU 的任何其他连接重复步骤 4:此步骤与多站点方案相关。
VPN 连接拓扑
VPN 网关可以使用不同的配置。 确定哪种配置最适合自己的需要。 在以下部分,可以查看有关以下 VPN 网关方案的信息和拓扑图示:
- 站点到站点连接
- 站点到多站点连接
- Azure Stack Hub 缩放单元之间的站点到站点或站点到多站点连接
以下部分中的图示和说明可帮助你选择符合要求的连接拓扑。 这些图示显示主要基准拓扑,但也可以使用这些图示作为指导来构建更复杂的配置。
站点到站点连接
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE (IKEv2) VPN 隧道建立的连接。 此类连接需要一个位于本地的 VPN 设备,并需要为此类连接分配公共 IP 地址。
站点到多站点连接
站点到多站点拓扑是站点到站点拓扑的变体。 可从虚拟网络网关创建多个 VPN 连接(通常是连接到多个本地站点)。
Azure Stack Hub 缩放单元之间的站点到站点或站点到多站点连接
在两个 Azure Stack Hub 部署之间只能创建一个站点到站点 VPN 连接。 之所以存在此限制,是因为平台中的某个限制仅允许同一 IP 地址具有单个 VPN 连接。 由于 Azure Stack Hub 使用多租户网关,该网关将单一公共 IP 用于 Azure Stack Hub 系统中的所有 VPN 网关,因此两个 Azure Stack Hub 系统之间只能有一个 VPN 连接。 此限制也适用于将多个站点到站点 VPN 连接连接到使用单一 IP 地址的任何 VPN 网关。 Azure Stack Hub 不允许使用同一 IP 地址创建多个本地网络网关资源。
下图显示了需要在缩放单元之间创建网格拓扑时如何互连多个 Azure Stack Hub 缩放单元。 在此方案中,有 3 个 Azure Stack Hub 缩放单元,每个缩放单元有 1 个虚拟网络网关、2 个连接和 2 个本地网络网关。 使用新的 SKU,用户可以在缩放单元之间连接网络和工作负载,VPN 连接吞吐量高达 1250 Mbps Tx/Rx,并且会分配每个缩放单元的网关池容量的 50%。 每个缩放单元的剩余容量可供其他用例用于建立更多 VPN 连接: