你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建 VPN 网关虚拟网关时,需指定要使用的网关 SKU。 本文介绍选择网关 SKU 时应考虑的因素。 如果要查找有关 ExpressRoute 网关 SKU 的信息,请参阅 ExpressRoute 的虚拟网关。 有关虚拟 WAN 网关,请参阅虚拟 WAN 网关设置。
配置虚拟网关 SKU 时,请根据工作负载的类型、吞吐量、功能和 SLA 选择满足要求的 SKU。 以下部分显示了在决定时应使用的相关信息。
注意
我们正在简化我们的 VPN 网关 SKU 组合,并会将所有非可用性区域 (AZ) 支持的 SKU 转换为 AZ 支持的 SKU。 有关详细信息和时间线,请参阅 VPN 网关 SKU 合并和迁移。
按隧道、连接和吞吐量列出的网关 SKU
VPN 网关 代系 |
SKU | S2S/VNet-to-VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 | 虚拟网络中支持的 VM 数 |
---|---|---|---|---|---|---|---|---|
第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 五千 |
第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 五千 | 5 Gbps | 支持 | 否 | 5300 |
第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 1万 | 10 Gbps | 支持 | 否 | 6700 |
第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 五千 | 5 Gbps | 支持 | 是 | 4400 |
第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 1万 | 10 Gbps | 支持 | 是 | 九千 |
(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。
其他信息
由于基本 SKU 公共 IP 地址宣布于 2025 年 9 月 30 日停用,因此我们不再允许使用基本 SKU 公共 IP 地址创建新网关。 从 2023 年 12 月 1 日开始,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 此限制不适用于使用 VPN 网关基本网关 SKU 创建的新网关。 仍可以创建使用基本 SKU 公共 IP 地址的基本 SKU VPN 网关。
基本网关 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本网关 SKU 不支持 RADIUS 身份验证。
这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。
如果你有大量 P2S 连接,它可能会对 S2S 连接产生负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低得多。
有关定价信息,请参阅定价页。
有关 SLA(服务级别协议)信息,请参阅 SLA 页。
由于 Internet 流量条件和应用程序行为,无法保证所有基准。
按性能排序的网关 SKU
本节中的表列出了 VpnGW SKU 的性能测试结果。 VPN 隧道连接到 VPN 网关实例。 在上一部分的吞吐量表中提到每个实例吞吐量,并且可在连接到该实例的所有隧道中聚合。 下表显示了不同网关 SKU 的每个隧道观察到的带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。 我们使用公开提供的 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能
- 当我们使用 GCMAES256 算法实现 IPsec 加密和完整性时,获得了最佳性能。
- 当使用 AES256 实现 IPsec 加密和使用 SHA256 实现完整性时,获得取了一般性能。
- 当我们使用 DES3 实现 IPsec 加密和使用 SHA256 实现完整性时,获得了最低的性能。
代系 | SKU | 算法 (使用的) |
吞吐量 按隧道观察到的 |
每隧道每秒数据包数 (观察到的) |
---|---|---|---|---|
第 1 代 | VpnGw1 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
第 1 代 | VpnGw2 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
第 1 代 | VpnGw3 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
第 1 代 | VpnGw1AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
第 1 代 | VpnGw2AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
第 1 代 | VpnGw3AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
第 2 代 | VpnGw2 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
第 2 代 | VpnGw3 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
第 2 代 | VpnGw4 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
第 2 代 | VpnGw5 | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
第 2 代 | VpnGw2AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
第 2 代 | VpnGw3AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
第 2 代 | VpnGw4AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
第 2 代 | VpnGw5AZ | GCMAES256 AES256 和 SHA256 DES3 和 SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
按功能集列出的网关 SKU
SKU | 功能 |
---|---|
基本 (\*\*) | 基于路由的 VPN:用于 S2S /连接的 10 个隧道;无适用于 P2S 的 RADIUS 身份验证;无适用于 P2S 的 IKEv2 基于策略的 VPN:(IKEv1):1 个 S2S/连接隧道;无 P2S |
除基本 SKU 外的所有第 1 代和第 2 代 SKU | 基于路由的 VPN:最多 100 个隧道 (*)、P2S、BGP、主动-主动、自定义 IPsec/IKE 策略、ExpressRoute/VPN 共存 |
(*) 可以对“PolicyBasedTrafficSelectors”进行配置,以便将基于路由的 VPN 网关连接到多个本地基于策略的防火墙设备。 有关详细信息,请参阅使用 PowerShell 将 VPN 网关连接到多个本地的基于策略的 VPN 设备。
(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。
网关 SKU - 生产与开发-测试工作负载
由于 SLA 和功能集的差异,建议使用以下 SKU 比较生产与开发-测试:
工作负载 | SKU |
---|---|
生产、关键工作负载 | 除基本 SKU 外的所有第 1 代和第 2 代 SKU |
开发-测试或概念证明 | 基本 (\*\*) |
(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。
如果使用旧 SKU(旧版),则推荐使用的生产 SKU 为标准和高性能。 有关老版 SKU 的信息和说明,请参阅网关 SKU(旧版)。
关于旧版 SKU
有关使用旧版网关 SKU(标准和高性能),包括 SKU 弃用的信息,请参阅管理旧版网关 SKU。
指定 SKU
创建 VPN 网关时,请指定网关 SKU。 如需了解步骤,请参阅以下文章:
升级 SKU
对于大多数 VPN 网关,可以升级网关 SKU。 有关详细信息,请参阅 升级 VPN 网关 SKU。
注意
如果使用的是旧版网关 SKU(标准和高性能),请参阅管理旧版网关 SKU。
后续步骤
有关可用连接配置的详细信息,请参阅关于 VPN 网关。