你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于网关 SKU

创建 VPN 网关虚拟网关时,需指定要使用的网关 SKU。 本文介绍选择网关 SKU 时应考虑的因素。 如果要查找有关 ExpressRoute 网关 SKU 的信息,请参阅 ExpressRoute 的虚拟网关。 有关虚拟 WAN 网关,请参阅虚拟 WAN 网关设置

配置虚拟网关 SKU 时,请根据工作负载的类型、吞吐量、功能和 SLA 选择满足要求的 SKU。 以下部分显示了在决定时应使用的相关信息。

注意

我们正在简化我们的 VPN 网关 SKU 组合,并会将所有非可用性区域 (AZ) 支持的 SKU 转换为 AZ 支持的 SKU。 有关详细信息和时间线,请参阅 VPN 网关 SKU 合并和迁移

按隧道、连接和吞吐量列出的网关 SKU

VPN
网关
代系
SKU S2S/VNet-to-VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余 虚拟网络中支持的 VM 数
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持 200
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支持 450
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支持 1300
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支持 4000
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支持 1000
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支持 2000
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支持 五千
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支持 685
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支持 2240
第 2 代 VpnGw4 最大 100* 最大 128 最大 五千 5 Gbps 支持 5300
第 2 代 VpnGw5 最大 100* 最大 128 最大 1万 10 Gbps 支持 6700
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支持 2000
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支持 3300
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 五千 5 Gbps 支持 4400
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 1万 10 Gbps 支持 九千

(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。

其他信息

  • 由于基本 SKU 公共 IP 地址宣布于 2025 年 9 月 30 日停用,因此我们不再允许使用基本 SKU 公共 IP 地址创建新网关。 从 2023 年 12 月 1 日开始,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 此限制不适用于使用 VPN 网关基本网关 SKU 创建的新网关。 仍可以创建使用基本 SKU 公共 IP 地址的基本 SKU VPN 网关。

  • 基本网关 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本网关 SKU 不支持 RADIUS 身份验证。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 如果你有大量 P2S 连接,它可能会对 S2S 连接产生负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低得多。

  • 有关定价信息,请参阅定价页。

  • 有关 SLA(服务级别协议)信息,请参阅 SLA 页。

  • 由于 Internet 流量条件和应用程序行为,无法保证所有基准。

按性能排序的网关 SKU

本节中的表列出了 VpnGW SKU 的性能测试结果。 VPN 隧道连接到 VPN 网关实例。 在上一部分的吞吐量表中提到每个实例吞吐量,并且可在连接到该实例的所有隧道中聚合。 下表显示了不同网关 SKU 的每个隧道观察到的带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。 我们使用公开提供的 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能

  • 当我们使用 GCMAES256 算法实现 IPsec 加密和完整性时,获得了最佳性能。
  • 当使用 AES256 实现 IPsec 加密和使用 SHA256 实现完整性时,获得取了一般性能。
  • 当我们使用 DES3 实现 IPsec 加密和使用 SHA256 实现完整性时,获得了最低的性能。
代系 SKU 算法
(使用的)
吞吐量
按隧道观察到的
每隧道每秒数据包数
(观察到的)
第 1 代 VpnGw1 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
第 1 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 1 代 VpnGw1AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
第 1 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 2 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

按功能集列出的网关 SKU

SKU 功能
基本 (\*\*) 基于路由的 VPN:用于 S2S /连接的 10 个隧道;无适用于 P2S 的 RADIUS 身份验证;无适用于 P2S 的 IKEv2
基于策略的 VPN:(IKEv1):1 个 S2S/连接隧道;无 P2S
除基本 SKU 外的所有第 1 代和第 2 代 SKU 基于路由的 VPN:最多 100 个隧道 (*)、P2S、BGP、主动-主动、自定义 IPsec/IKE 策略、ExpressRoute/VPN 共存

(*) 可以对“PolicyBasedTrafficSelectors”进行配置,以便将基于路由的 VPN 网关连接到多个本地基于策略的防火墙设备。 有关详细信息,请参阅使用 PowerShell 将 VPN 网关连接到多个本地的基于策略的 VPN 设备

(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。

网关 SKU - 生产与开发-测试工作负载

由于 SLA 和功能集的差异,建议使用以下 SKU 比较生产与开发-测试:

工作负载 SKU
生产、关键工作负载 除基本 SKU 外的所有第 1 代和第 2 代 SKU
开发-测试或概念证明 基本 (\*\*)

(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。

如果使用旧 SKU(旧版),则推荐使用的生产 SKU 为标准和高性能。 有关老版 SKU 的信息和说明,请参阅网关 SKU(旧版)

关于旧版 SKU

有关使用旧版网关 SKU(标准和高性能),包括 SKU 弃用的信息,请参阅管理旧版网关 SKU

指定 SKU

创建 VPN 网关时,请指定网关 SKU。 如需了解步骤,请参阅以下文章:

升级 SKU

对于大多数 VPN 网关,可以升级网关 SKU。 有关详细信息,请参阅 升级 VPN 网关 SKU

注意

如果使用的是旧版网关 SKU(标准和高性能),请参阅管理旧版网关 SKU

后续步骤

有关可用连接配置的详细信息,请参阅关于 VPN 网关