你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于网关 SKU
创建 VPN 网关虚拟网关时,需指定要使用的网关 SKU。 本文介绍选择网关 SKU 时应考虑的因素。 如果要查找有关 ExpressRoute 网关 SKU 的信息,请参阅 ExpressRoute 的虚拟网关。 有关虚拟 WAN 网关,请参阅虚拟 WAN 网关设置。
配置虚拟网关 SKU 时,请根据工作负载的类型、吞吐量、功能和 SLA 选择满足要求的 SKU。 以下部分显示了在决定时应使用的相关信息。
注意
我们正在简化我们的 VPN 网关 SKU 组合,并会将所有非可用性区域 (AZ) 支持的 SKU 转换为 AZ 支持的 SKU。 有关详细信息和时间线,请参阅 VPN 网关 SKU 合并和迁移。
按隧道、连接和吞吐量列出的网关 SKU
| VPN 网关 代系 |
SKU | S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 | 虚拟网络中支持的 VM 数 |
|---|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 5000 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 否 | 5300 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 否 | 6700 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 是 | 4400 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 是 | 9000 |
(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。
其他信息
由于基本 SKU 公共 IP 地址宣布于 2025 年 9 月 30 日停用,因此我们不再允许使用基本 SKU 公共 IP 地址创建新网关。 从 2023 年 12 月 1 日开始,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 此限制不适用于使用 VPN 网关基本网关 SKU 创建的新网关。 仍可以创建使用基本 SKU 公共 IP 地址的基本 SKU VPN 网关。
基本网关 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本网关 SKU 不支持 RADIUS 身份验证。
这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。
如果你有大量 P2S 连接,它可能会对 S2S 连接产生负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低很多。
有关定价信息,请参阅定价页。
有关 SLA(服务级别协议)信息,请参阅 SLA 页。
由于 Internet 流量条件和应用程序行为,无法保证所有基准。
按性能排序的网关 SKU
本节中的表列出了 VpnGW SKU 的性能测试结果。 VPN 隧道连接到 VPN 网关实例。 在上一部分的吞吐量表中提到每个实例吞吐量,并且可在连接到该实例的所有隧道中聚合。 下表显示了不同网关 SKU 的每个隧道观察到的带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。 我们使用公开提供的 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能
- 当我们使用 GCMAES256 算法实现 IPsec 加密和完整性时,获得了最佳性能。
- 当使用 AES256 实现 IPsec 加密和使用 SHA256 实现完整性时,获得取了一般性能。
- 当我们使用 DES3 实现 IPsec 加密和使用 SHA256 实现完整性时,获得了最低的性能。
| 代系 | SKU | 算法 (使用的) |
吞吐量 按隧道观察到的 |
每隧道每秒数据包数 (观察到的) |
|---|---|---|---|---|
| 第 1 代 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| 第 1 代 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
| 第 1 代 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 第 1 代 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| 第 1 代 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
| 第 1 代 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| 第 2 代 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| 第 2 代 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 第 2 代 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| 第 2 代 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| 第 2 代 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| 第 2 代 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
按功能集列出的网关 SKU
| SKU | 功能 |
|---|---|
| 基本 (**) | 基于路由的 VPN:用于 S2S /连接的 10 个隧道;无适用于 P2S 的 RADIUS 身份验证;无适用于 P2S 的 IKEv2 基于策略的 VPN:(IKEv1):1 个 S2S/连接隧道;无 P2S |
| 除基本 SKU 外的所有第 1 代和第 2 代 SKU | 基于路由的 VPN:最多 100 个隧道 (*)、P2S、BGP、主动-主动、自定义 IPsec/IKE 策略、ExpressRoute/VPN 共存 |
(*) 可以对“PolicyBasedTrafficSelectors”进行配置,以便将基于路由的 VPN 网关连接到多个本地基于策略的防火墙设备。 有关详细信息,请参阅使用 PowerShell 将 VPN 网关连接到多个本地的基于策略的 VPN 设备。
(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。
网关 SKU - 生产与开发-测试工作负载
由于 SLA 和功能集的差异,建议使用以下 SKU 比较生产与开发-测试:
| “工作负荷” | SKU |
|---|---|
| 生产、关键工作负荷 | 除基本 SKU 外的所有第 1 代和第 2 代 SKU |
| 开发-测试或概念证明 | 基本 (\*\*) |
(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。
如果使用旧 SKU(旧版),则推荐使用的生产 SKU 为标准和高性能。 有关老版 SKU 的信息和说明,请参阅网关 SKU(旧版)。
关于旧版 SKU
有关使用旧网关 SKU(标准和高性能)的信息,包括 SKU 弃用,请参阅管理旧网关 SKU。
指定 SKU
创建 VPN 网关时,请指定网关 SKU。 如需了解步骤,请参阅以下文章:
更改或重设 SKU 大小
注意
如果使用的是旧版网关 SKU(标准和高性能),请参阅管理旧版网关 SKU。
如果要移动到另一个 SKU,有多种方法可供选择。 选择的方法取决于从中开始的网关 SKU。
重设 SKU 大小: 重设 SKU 大小只会造成很短的故障时间。 无需按照工作流调整 SKU 大小。 可以在 Azure 门户中快速轻松地调整 SKU 的大小。 或者,也可以使用 PowerShell 或 Azure CLI。 无需重新配置 VPN 设备或 P2S 客户端。
更改 SKU: 如果无法重设 SKU 的大小,则可以使用特定的工作流更改 SKU。 更改 SKU 会产生比调整大小更多的停机。 此外,使用此方法时需要重新配置多个资源。
注意事项
转移到新的网关 SKU 时需要考虑许多事项。 本部分概述了主要项,并提供一个表,可帮助你选择要使用的最佳方法。
- 无法调整大小以降级 SKU。
- 无法将旧的 SKU 调整为较新的 Azure SKU 之一(VpnGw1、VpnGw2AZ 等)资源管理器部署模型的旧 SKU 为:“标准”和“高性能”。 必须改为更改 SKU。
- 只要网关 SKU 位于同一代系,就可以调整网关 SKU 的大小,但基本 SKU 除外。
- 可以将基本 SKU 更改为另一个 SKU。
- 当从旧式 SKU 更改为新式 SKU 时,连接将会中断。
- 更改为新网关 SKU 后,VPN 网关的公共 IP 地址将会更改。 即使指定了以前使用的公共 IP 地址对象,也会出现这种情况。
- 如果有经典 VPN 网关,必须对该网关继续使用早期的旧式 SKU,但可以在旧式 SKU 之间重设网关大小。 但是,可以在可用于经典网关的旧 SKU 之间调整大小。 无法更改为新式 SKU。
- 标准和高性能旧版 SKU 即将弃用。 请参阅《旧版 SKU 弃用》,以了解 SKU 迁移和升级时间线。
下表帮助你了解从一个 SKU 移动到另一个 SKU 所需的方法。
| 开始 SKU | 目标 SKU | 调整大小 | 更改 |
|---|---|---|---|
| 基本 SKU | 任何其他 SKU | 否 | 是 |
| 标准 SKU | 新 Azure SKU | 否 | 是 |
| 标准 SKU | 高性能 SKU | 否 | 不是必需 |
| HighPerformance | 新 Azure SKU | 否 | 是 |
| 第 1 代 SKU | 第 1 代 SKU | 是 | 不是必需 |
| 第 1 代 SKU | 第 1 代 AZ SKU | 否 | 是 |
| 第 1 代 AZ SKU | 第 1 代 AZ SKU | 是 | 不是必需 |
| 第 1 代 AZ SKU | 第 2 代 AZ SKU | 否 | 是 |
| 第 2 代 SKU | 第 2 代 SKU | 是 | 不是必需 |
| 第 2 代 SKU | 第 2 代 AZ SKU | 否 | 是 |
| 第 2 代 AZ SKU | 第 2 代 AZ SKU | 是 | 不是必需 |
后续步骤
有关可用连接配置的详细信息,请参阅关于 VPN 网关。