適用於操作員的 Azure Stack Hub VPN 快速路徑
什麼是 Azure Stack Hub VPN 快速路徑功能?
Azure Stack Hub 引進了本文中所述的三個新的 SKU,作為 VPN 快速路徑功能的一部分。 先前,S2S 通道限制為使用 HighPerformance SKU 的最大頻寬為 200 Mbps。 新的 SKU 可讓客戶案例需要較高的網路輸送量。 每個 SKU 的輸送量值都是單向值,這表示它支援傳送或接收流量上的指定輸送量。
新的 VPN 快速路徑虛擬網路閘道 SKU
在 Azure Stack Hub 中引進 VPN 快速路徑功能后,租用戶使用者可以使用 3 個新的 SKU 來建立 VPN 連線:
- 基本資訊
- 標準
- 高效能
- VpnGw1 (新的)
- VpnGw2 (新的)
- VpnGw3 (新的)
啟用 Azure Stack Hub VPN 快速路徑之前的重要考慮
若要盡可能順暢地進行任何更新程式,以便對使用者造成最少的影響,請務必準備您的 Azure Stack Hub 戳記。
身為啟用 VPN 快速路徑的 Azure Stack Hub 操作員,建議您與租使用者使用者協調,以排程發生變更的維護期間。 通知使用者任何可能的 VPN 連線服務中斷,然後遵循這裡的步驟來準備更新的戳記。
VPN 快速路徑需要遠端 VPN 裝置上的 NAT-T
Azure Stack Hub VPN 快速路徑依賴新的 SDN 閘道服務,並在規劃時隨附新的需求。
在啟用 VPN 快速路徑之前先規劃租用戶使用者
- 現有虛擬網路閘道資源設定的清單。
- 現有連線資源設定的清單。
- 在現有連線上使用的IPSec原則和設定清單。
- 此步驟可確保您的使用者已設定使用其裝置的原則,包括自定義IPSec原則。
- 列出局域網路閘道設定。 租用戶用戶可以重複使用局域網路網關資源和設定。 不過,我們也建議您儲存現有的組態,以防需要重新建立它們。
- 啟用 VPN 快速路徑之後,如果租使用者想要使用新的 SKU,則必須視需要重新建立其虛擬網路網關和連線。
透過 VPN 快速路徑的發行,有新的 PowerShell 命令可供操作員呼叫,以列出其租使用者所建立的所有現有連線。 如果操作員需要重新建立其 虛擬網路 閘道,此 Cmdlet 可協助操作員管理容量並連絡租用戶系統管理員:
Get-AzsVirtualNetworkGatewayConnection
如需詳細資訊,請參閱 Get-AzsVirtualNetworkGatewayConnection。
如何啟用 Azure Stack Hub VPN 快速路徑
透過 VPN 快速路徑,操作員可以使用下列 PowerShell 命令來啟用新功能。 一旦功能達到正式運作,操作員也可以使用 Azure Stack Hub 系統管理員入口網站來啟用此功能。
您可以重新建立虛擬網路網關及其連線,以使用其中一個新的 SKU 來調整現有的設定。
使用 PowerShell 啟用 Azure Stack Hub VPN 快速路徑
您可以從 Azure Stack Hub 特殊許可權端點執行下列 PowerShell 命令,以啟用 VPN 快速路徑功能:
如需 Azure Stack Hub PEP 的詳細資訊,請參閱 存取特殊許可權端點。
Set-AzSVPNFastPath -Enable
使用 PowerShell 驗證 Azure Stack Hub VPN 快速路徑
啟用 VPN 快速路徑功能之後,您可以使用下列 PowerShell 命令來驗證閘道 VM 和已使用容量的目前狀態:
Get-AzSVPNFastPath
使用 PowerShell 停用 Azure Stack Hub VPN 快速路徑
Set-AzSVPNFastPath -Disable
如果您需要停用 VPN 快速路徑,您必須先與租使用者合作,以使用 VPN 快速路徑 SKU 刪除和重新建立其所有 虛擬網路 閘道。 由於啟用 VPN 快速路徑時戳記 VPN 容量增加,因此如果整體使用中的容量超過 Azure Stack Hub 未使用 VPN 快速路徑時的總容量,則您無法停用 VPN 快速路徑。
Azure Stack Hub 閘道集區架構
Azure Stack Hub 中有三個多租用戶閘道基礎結構 VM。 這些 VM 中的兩個是作用中模式,而第三個是備援模式。 作用中的 VM 會在本身啟用 VPN 連線的建立,而備援 VM 只能在發生容錯移轉時接受 VPN 連線。 如果作用中的閘道 VM 變得無法使用,VPN 連線會在短暫中斷連線 (幾秒鐘) 後,容錯移轉至備援 VM。
網關聯機故障轉移預期會在 OEM 或 Azure Stack Hub 更新期間進行,因為 VM 已修補並即時移轉。 此故障轉移可能會導致通道的暫時中斷連線。
新的閘道集區總容量
Azure Stack Hub 戳記的整體閘道集區容量為 4 Gbps。 此容量分成兩個作用中閘道 VM,每個閘道 VM 最多可支援 2 Gbps 的輸送量。 建立連線資源時,其SKU會在閘道 VM 上保留兩次。 根據使用者工作負載的需求,此設計可確保以一個方向測量的SKU (最大輸送量) 可以透過 Tx 或 Rx 流量來觸達。
例如, HighPerformance SKU 會在閘道 VM 上保留 400 Mbps, (Tx 為 200,Rx) 則為 200。 這表示在現有的引擎上, HighPerformance 聯機會保留整體網關集區容量的十分之一。
下表顯示停用 VPN 快速路徑時,閘道 SKU 針對每個通道/連線的閘道類型和估計匯總輸送量:
| SKU | VPN 連線輸送量上限 (1) | 每個作用中 GW VM 的 VPN Connections 上限 | 每個戳記的 VPN Connections 數目上限 (2) |
|---|---|---|---|
| 基本 (3) | 100 Mbps Tx/Rx | 10 | 20 |
| 標準 | 100 Mbps Tx/Rx | 10 | 20 |
| 高效能 | 200 Mbps Tx/Rx | 5 | 10 |
(1) - 通道輸送量不保證因特網上跨單位連線的輸送量;這是可能的輸送量測量上限。 一個方向的總匯總是 2 Gbps。
(2) - 通道上限是每個 Azure Stack Hub 部署的所有訂用帳戶總數。
(3) - 基本 SKU 不支援 BGP 路由。
已啟用 VPN 快速路徑的 SKU 估計匯總通道輸送量
一旦操作員在 Azure Stack Hub 戳記上啟用 VPN 快速路徑,整體閘道集區容量就會增加到 10 Gbps。 由於容量分成兩個作用中的閘道 VM,因此每個閘道 VM 的容量為 5 Gbps。 針對每個連線保留的容量數量,與上一節所述相同。 因此,VpnGw3 SKU (1250 Mbps) 在網關 VM 上保留 2500 Mbps 的容量:
| SKU | VPN 連線輸送量上限 (1) | 每個作用中 GW VM 的 VPN Connections 上限 | 每個戳記的 VPN Connections 數目上限 (2) |
|---|---|---|---|
| 基本 (3) | 100 Mbps Tx/Rx | 25 | 50 |
| 標準 | 100 Mbps Tx/Rx | 25 | 50 |
| 高效能 | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
(1) - 通道輸送量不保證因特網上跨單位連線的輸送量;這是可能的輸送量測量上限。 一個方向的總匯總是 5 Gbps。
(2) - 通道上限是每個 Azure Stack Hub 部署的所有訂用帳戶總數。
(3) - 基本 SKU 不支援 BGP 路由。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應