为 Azure Stack Hub 创建 VPN 网关
虚拟网络网关是 Azure Stack Hub 虚拟网络 (VPN 网关) 的软件 VPN 设备。 将此与连接或连接结合使用,以设置 Azure Stack Hub 虚拟网络与本地网络之间的站点到站点或站点到多站点 VPN 连接,或者设置在不同 Azure Stack Hub 标记上创建的两个虚拟网络之间的 VNet 到 VNet VPN 连接。
创建虚拟网络网关时,需指定要创建的网关类型。 Azure Stack Hub 仅支持 Vpn 类型。
每个虚拟网络只能有一个虚拟网络网关。 根据所选的设置,可以在单个虚拟网络网关中创建多个连接。 此类设置的一个示例是站点到多站点拓扑配置。
在为 Azure Stack Hub 创建和配置虚拟网络网关资源之前,请查看 Azure Stack Hub 网络的注意事项 ,了解 Azure Stack Hub 的配置与 Azure 有何不同。
注意
在 Azure 中,所选虚拟网络网关 SKU 的带宽吞吐量必须划分到连接到网关的所有连接。 但是,在 Azure Stack Hub 中,虚拟网络网关 SKU 的带宽值将应用于连接到网关的每个连接资源。
例如:
- 在 Azure 中,基本虚拟网络网关 SKU 可以容纳大约 100 Mbps 的聚合吞吐量。 如果创建到该虚拟网络网关的两个连接,并且其中一个连接使用 50 Mbps 的带宽,则另一个连接可以使用 50 Mbps。
- 在 Azure Stack Hub 中,与基本虚拟网络网关 SKU 的每个连接分配 100 Mbps 的吞吐量。
配置 VPN 网关
VPN 网关依赖于配置了特定设置的多个资源。 大多数资源可单独进行配置,但在某些情况下,必须按特定的顺序配置这些资源。
设置
为每个资源选择的设置对于创建成功的连接至关重要。
有关 VPN 网关的各个资源和设置的信息,请参阅关于 Azure Stack Hub 的 VPN 网关设置。
部署工具
可以使用一个配置工具(例如 Azure Stack Hub 门户)创建和配置资源。 稍后,可以切换到 PowerShell 等其他工具来配置其他资源或修改现有资源(如果适用)。
目前,无法在 Azure Stack Hub 门户中配置每个资源和资源设置。 每个连接拓扑的文章中的说明指定了何时需要特定配置工具。
连接拓扑图
VPN 网关可以使用不同的配置。 确定哪种配置最适合自己的需要。 在以下部分中,可以查看有关以下 VPN 网关方案的信息和拓扑图:
- 站点到站点连接
- 站点到多站点连接
- Azure Stack Hub 标记之间的站点到站点或站点到多站点连接
以下部分中的图示和说明可帮助你选择符合要求的连接拓扑。 这些图示显示主要基准拓扑,但也可以使用这些图示作为指导来构建更复杂的配置。
站点到站点连接
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE (IKEv2) VPN 隧道建立的连接。 此类连接需要一个位于本地的 VPN 设备,并需要为此类连接分配公共 IP 地址。 S2S 连接可用于跨界和混合配置。
站点到多站点连接
站点到多站点拓扑是站点到站点拓扑的变体。 从虚拟网络网关创建多个 VPN 连接,通常连接到多个本地站点。
Azure Stack Hub 标记之间的站点到站点或站点到多站点连接
只能在两个 Azure Stack Hub 部署之间创建一个站点到站点 VPN 连接。 这是因为平台中的某个限制仅允许同一 IP 地址具有单个 VPN 连接。 由于 Azure Stack Hub 利用多租户网关,该网关将单一公共 IP 用于 Azure Stack Hub 系统中的所有 VPN 网关,因此两个 Azure Stack Hub 系统之间只能有一个 VPN 连接。 此限制也适用于将多个站点到站点 VPN 连接连接到使用单一 IP 地址的任何 VPN 网关。 Azure Stack Hub 不允许使用同一 IP 地址创建多个本地网络网关资源。
下图显示了如果需要在标记之间创建网格拓扑,如何相互连接多个 Azure Stack Hub 标记。
在此方案中,有 3 个 Azure Stack Hub 标记,每个标记都有 1 个虚拟网络网关,具有 2 个连接和 2 个本地网络网关。 借助新的 SKU,用户可以在 VPN 连接吞吐量高达 1250 Mbps Tx/Rx 的标记之间连接网络和工作负载,分配每个标记的 50% 的网关池容量。 可以将每个标记上的剩余容量用于其他用例所需的其他 VPN 连接:
网关 SKU
为 Azure Stack Hub 创建虚拟网络网关时,需要指定要使用的网关 SKU。 支持以下虚拟网络网关 SKU:
- 基本 - 100 Mbps Tx/Rx
- 标准 - 100 Mbps Tx/Rx
- 高性能 - 200 Mbps Tx/Rx
公共预览版中新的虚拟网络网关 SKU
在 Azure Stack Hub 2209 版本中,Microsoft 宣布推出新的 VPN 快速路径功能的公共预览版,该功能将 Azure Stack Hub 总戳最大吞吐量从 2 Gbps 增加到 5 Gbps,并引入了 3 个新的 SKU
- VpnGw1 - 650 Mbps Tx/Rx
- VpnGw2 - 1000 Mbps Tx/Rx
- VpnGw3 - 1250 Mbps Tx/Rx
Azure Stack Hub 不支持专门搭配 Express Route 使用的超性能网关 SKU。
选择 SKU 时请考虑以下事项:
- Azure Stack Hub 不支持基于策略的网关。
- 基本 SKU 不支持边界网关协议 (BGP)。
- Azure Stack Hub 不支持 ExpressRoute-VPN 网关共存配置。
网关可用性
与同时通过主动/主动和主动/被动配置提供可用性的 Azure 不同,Azure Stack Hub 仅支持主动/被动配置。