什麼是 Azure VPN 閘道？

文章
07/26/2024

Azure VPN 閘道是一項服務，可用來在透過公用網際網路在 Azure 虛擬網路與內部部署位置之間傳送加密流量。您也可以使用 VPN 閘道，透過 Microsoft 網路來傳送 Azure 虛擬網路之間的已加密流量。 VPN 閘道會使用稱為 VPN 閘道的特定類型 Azure 虛擬網路閘道。您可以為同一個 VPN 網路閘道建立多個連線。當您建立多個連線時，所有 VPN 通道都會共用可用的閘道頻寬。

為什麼要使用 VPN 閘道？

以下是 VPN 閘道的一些主要案例：

透過公用網際網路在 Azure 虛擬網路和內部部署位置之間傳送加密流量。您可以使用下列類型的連線來執行此動作：
- 站對站連線：VPN 閘道與內部部署 VPN 裝置之間的跨單位 IPsec/IKE VPN 通道連線。
- 點對站連線：透過 OpenVPN、IKEv2 或 SSTP 的 VPN。此類型的連線可讓您從遠端位置 (例如從會議或從住家) 連線到虛擬網路。
在虛擬網路之間傳送加密流量。您可以使用下列類型的連線來執行此動作：
- VNet 對 VNet：VPN 閘道與使用 VNet 對 VNet 連線類型的另一個 Azure VPN 閘道之間的 IPsec/IKE VPN 通道連線。此連線類型專為 VNet 對 VNet 連線所設計。
- 站對站連線：VPN 閘道與另一個 Azure VPN 閘道之間的 IPsec/IKE VPN 通道連線。此類型連線在 VNet 對 VNet 結構中使用時，會使用站對站 (IPsec) 連線類型，除了 VPN 閘道之間的連線，其還會允許與閘道進行跨單位連線。
設定站對站 VPN 作為 ExpressRoute 的安全容錯移轉路徑。您可以使用下列方法執行此動作：
- ExpressRoute + VPN 閘道：ExpressRoute + VPN 閘道連線的組合 (並存連線)。
或者，您可以使用站對站 VPN 來連線至未透過 ExpressRoute 連線的網站。您可以使用下列方法執行此動作：
- ExpressRoute + VPN 閘道：ExpressRoute + VPN 閘道連線的組合 (並存連線)。

規劃與設計

因為您可以使用 VPN 閘道建立多個連線設定，所以您需要判斷最適合您需求的設定。點對站、站對站及共存的 ExpressRoute/站對站連線，都有不同的指示與資源設定需求。

如需設計拓撲和設定指示的連結，請參閱 VPN 閘道拓撲和設計一文。本文的下列各節會強調最常使用的一些設計拓撲。

規劃表

下表可以協助您為您的解決方案決定最佳的連線選項。

	點對站	網站間
Azure 支援的服務	雲端服務和虛擬機器	雲端服務和虛擬機器
典型的頻寬	以閘道 SKU 為基礎	彙總通常 < 10 Gbps
支援的通訊協定	安全通訊端通道通訊協定 (SSTP)、OpenVPN 和 IPsec	IPsec
路由	RouteBased (動態)	我們支援 PolicyBased (靜態路由) 和 RouteBased (動態路由) VPN
連線恢復	主動-被動或主動-主動	主動-被動或主動-主動
典型的使用案例	讓遠端使用者安全地存取 Azure 虛擬網路	雲端服務和虛擬機器的開發、測試和實驗室案例與小型到中型規模生產工作負載
SLA	SLA	SLA
定價	定價	定價
技術文件	VPN 閘道	VPN 閘道
常見問題集	VPN 閘道常見問題集	VPN 閘道常見問題集

可用性區域

您可以在 Azure 可用性區域中部署 VPN 閘道。此方式可為虛擬網路閘道帶來復原力、延展性和更高的可用性。在 Azure 可用性區域中部署閘道可從根本上和邏輯上分隔區域內的閘道，同時還能在發生區域層級的失敗時，保護您內部部署項目與 Azure 的網路連線。請參閱關於在 Azure 可用性區域中的區域備援虛擬網路閘道 (機器翻譯)。

設定 VPN 閘道

VPN 閘道連線需仰賴多個具有特定設定的資源。在某些情況下，資源必須依特定順序來設定。您為每個資源選擇的設定，對於建立成功連線而言極為重要。

如需 VPN 閘道的個別資源和設定資訊，請參閱關於 VPN 閘道設定 (部分機器翻譯) 和關於閘道 SKU (部分機器翻譯)。本文包含的資訊可協助您了解閘道類型、閘道 SKU、VPN 類型、連線類型、閘道子網路、區域網路閘道，以及您需要考量的各種其他資源設定。

如需設計圖表和設定文章的連結，請參閱 VPN 閘道拓撲和設計一文。

閘道 SKU

建立虛擬網路閘道時，您必須指定想要使用的閘道 SKU。根據工作負載、輸送量、功能和 SLA 的類型，選取符合您需求的 SKU。如需閘道 SKU 的詳細資訊，包括支援的功能、效能資料表、設定步驟和生產環境與開發測試工作負載，請參閱關於閘道 SKU (部分機器翻譯)。

VPN 閘道世代	SKU	S2S/VNet-to-VNet 通道	P2S SSTP 連線	P2S IKEv2/OpenVPN 連線	彙總輸送量基準	BGP	區域備援	虛擬網路中支援的 VM 數目
Generation1	基本	最大值。 10	最大值。 128	不支援	100 Mbps	不支援	No	200
Generation1	VpnGw1	最大值。 30	最大值。 128	最大 250	650 Mbps	支援	No	450
Generation1	VpnGw2	最大值。 30	最大值。 128	最大 500	1 Gbps	支援	No	1300
Generation1	VpnGw3	最大值。 30	最大值。 128	最大 1000	1.25 Gbps	支援	No	4000
Generation1	VpnGw1AZ	最大值。 30	最大值。 128	最大 250	650 Mbps	支援	Yes	1000
Generation1	VpnGw2AZ	最大值。 30	最大值。 128	最大 500	1 Gbps	支援	Yes	2000
Generation1	VpnGw3AZ	最大值。 30	最大值。 128	最大 1000	1.25 Gbps	支援	Yes	5000

Generation2	VpnGw2	最大值。 30	最大值。 128	最大 500	1.25 Gbps	支援	No	685
Generation2	VpnGw3	最大值。 30	最大值。 128	最大 1000	2.5 Gbps	支援	No	2240
Generation2	VpnGw4	最大值。 100*	最大值。 128	最大 5000	5 Gbps	支援	No	5300
Generation2	VpnGw5	最大值。 100*	最大值。 128	最大 10000	10 Gbps	支援	No	6700
Generation2	VpnGw2AZ	最大值。 30	最大值。 128	最大 500	1.25 Gbps	支援	Yes	2000
Generation2	VpnGw3AZ	最大值。 30	最大值。 128	最大 1000	2.5 Gbps	支援	Yes	3300
Generation2	VpnGw4AZ	最大值。 100*	最大值。 128	最大 5000	5 Gbps	支援	Yes	4400
Generation2	VpnGw5AZ	最大值。 100*	最大值。 128	最大 10000	10 Gbps	支援	Yes	9000

(*) 如果您需要超過 100 個 S2S VPN 通道，請使用虛擬 WAN ，而不是 VPN 閘道。

定價

您需要支付兩件事︰虛擬網路閘道的每小時計算成本，以及虛擬網路閘道的輸出資料傳輸。在價格頁面上可以找到價格資訊。如需舊版閘道 SKU 定價，請參閱 ExpressRoute 定價頁面，然後捲動至 [虛擬網路閘道] 區段。

虛擬網路閘道計算成本
每個虛擬網路閘道都有每小時計算成本。價格是以您建立虛擬網路閘道時所指定的閘道 SKU 為基礎。除了透過閘道流動的資料傳輸以外，此成本屬於閘道本身。主動-主動設定的成本與主動-被動相同。如需 VPN 閘道之閘道 SKU 的詳細資訊，請參閱閘道 SKU。

資料傳輸成本
資料傳輸成本是根據來源虛擬網路閘道的輸出流量來計算。

若您將流量傳送至內部部署 VPN 裝置，其則會以網際網路輸出資料傳輸費率收費。
若您是傳送不同區域中的虛擬網路之間的流量，則會依據區域定價。
若您只是傳送相同區域中的虛擬網路之間的流量，則不會產生資料成本。相同區域中 VNet 之間的流量是免費的。

新功能

Azure VPN 閘道會定期更新。若要掌握最新的公告，請參閱新功能一文。本文重點說明下列各點：

最新發行
預覽已推出，但存在已知限制 (如果適用)
已知問題
已取代的功能 (如果適用)

您也可以訂閱 RSS 摘要，並在 Azure 更新頁面上檢視最新的 VPN 閘道功能更新。

常見問題集

如需 VPN 閘道的常見問題集，請參閱 VPN 閘道常見問題集。

分享方式：