租用戶使用者的 Azure Stack Hub VPN 快速路徑
什麼是 Azure Stack Hub VPN 快速路徑功能?
Azure Stack Hub 引進本文中所述的三個新的 SKU,作為 VPN 快速路徑功能的一部分。 先前,S2S 通道限制為使用 HighPerformance SKU 的最大頻寬為 200 Mbps。 新的 SKU 可啟用需要較高網路輸送量的客戶案例。 每個 SKU 的輸送量值都是單向值,這表示它支援傳送或接收流量上的指定輸送量。
當 Azure Stack 操作員在 Azure Stack Hub 戳記上啟用 VPN 快速路徑功能時,租用戶使用者可以使用新的 SKU 來建立虛擬網路閘道。 您可以使用其中一個新的 SKU 來重新建立虛擬網路網關及其連線,以調整現有的設定。
啟用 VPN 快速路徑時可用的新虛擬網路閘道 SKU
除了 3 個新的 SKU 之外,整體 Azure Stack Hub VPN 容量也會增加,以允許更多 VPN 連線。
下表顯示啟用 VPN 快速路徑時,每個 SKU 的新輸送量:
SKU | VPN 連線輸送量上限 |
---|---|
基本 | 100 Mbps Tx/Rx |
標準 | 100 Mbps Tx/Rx |
高效能 | 200 Mbps Tx/Rx |
VpnGwy1 | 650 Mbps Tx/Rx |
VpnGwy2 | 1000 Mbps Tx/Rx |
VpnGwy3 | 1250 Mbps Tx/Rx |
建立虛擬網路閘道以使用新的 SKU
透過 VPN 快速路徑,租用戶使用者可以使用 Azure Stack Hub 入口網站或 PowerShell,以新的 SKU 建立虛擬網路網關。
使用 Azure Stack Hub 入口網站建立具有新 SKU 的虛擬網路閘道
如果您使用 Azure Stack Hub 入口網站來建立虛擬網路閘道,您可以使用下拉式清單選取 SKU。 新的 VPN 快速路徑 SKU (VpnGwy1、VpnGwy2、VpnGwy3) 只有在將查詢參數 “?azurestacknewvpnskus=true” 新增至 URL 並重新整理之後才會顯示。
下列 URL 範例會在 Azure Stack Hub 使用者入口網站中顯示新的虛擬網路閘道 SKU:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
在操作員建立這些資源之前,他們必須在 Azure Stack Hub 戳記上啟用 VPN 快速路徑:
使用 PowerShell 建立具有新 SKU 的虛擬網路閘道
下列範例會使用 AzureRM 模組:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
升級舊版虛擬網路閘道
您無法在不重新建立虛擬網路網關的情況下更新 SKU,這需要您刪除與虛擬網路閘道相關聯的所有連線。 您可以使用新的 SKU 建立虛擬網路閘道之後,重複使用區域網路閘道資源。 局域網路網關資源會定義內部部署裝置的位址空間和IP位址,並保留該設定。
請遵循下列步驟來升級虛擬網路閘道 SKU:
- 刪除現有虛擬網路閘道上的所有連線:記下預先共用金鑰,以及 BGP 旗標是否設定為已啟用。
- 使用舊版 SKU 刪除現有的虛擬網路閘道:您無法在相同的虛擬網路中建立兩個虛擬網路網關,因此您必須刪除現有的虛擬網路閘道。
- 使用新的 SKU 建立新的虛擬網路閘道資源:您可以選取其中一個已啟用 VPN 快速路徑的新 SKU。
- 在新虛擬網路網關與現有的局域網路閘道之間建立新的連線:如果您使用自定義IP秒原則,請透過PowerShell建立連線。 使用步驟 1 中所述的預先共用金鑰和 BGP 旗標。
- 針對您想要移至新 SKU 的任何其他連線重複步驟 4:此步驟與多網站案例相關。
VPN 連線拓撲
VPN 閘道有不同的設定。 決定哪個組態最符合您的需求。 在下列各節中,您可以檢視下列 VPN 閘道案例的相關信息和拓撲圖表:
- 站對站連線
- 站對多站台連線
- Azure Stack Hub 戳記之間的站對站或站對多站連線
下列各節中的圖形和描述可協助您選取符合您需求的連線拓撲。 這些圖表顯示主要基準拓撲,但您也可以使用這些圖表作為指南來建置更複雜的組態。
站對站連線
「網站間 (S2S)」 VPN 閘道連線是透過 IPsec/IKE (IKEv2) VPN 通道建立的連線。 此類型的連線需要位於內部部署的 VPN 裝置,而且具有指派的公用 IP 位址。
站對多站台連線
站對多月臺拓撲是站對站拓撲的變化。 您可以從虛擬網路閘道建立多個 VPN 連線,通常會連接至多個內部部署網站。
Azure Stack Hub 戳記之間的站對站或站對多站連線
您只能在兩個 Azure Stack Hub 部署之間建立一個站對站 VPN 連線。 這項限制是因為平臺中只允許單一 VPN 連線到相同 IP 位址的限制。 由於 Azure Stack Hub 會使用多租使用者閘道,其具有 Azure Stack Hub 系統中所有 VPN 閘道的單一公用 IP,因此兩個 Azure Stack Hub 系統之間只能有一個 VPN 連線。 將多個站對站 VPN 連線連接到任何使用單一 IP 位址的 VPN 閘道也適用此限制。 Azure Stack Hub 不允許使用相同 IP 位址建立多個區域網路閘道資源。
下圖顯示如果您需要在戳記之間建立網格拓撲,如何在多個 Azure Stack Hub 戳記之間連接。 在此案例中,有 3 個 Azure Stack Hub 戳記,每個戳記都有 1 個虛擬網路閘道,具有 2 個連線和 2 個局域網路閘道。 透過新的 SKU,使用者可以連接戳記之間的網路和工作負載,其 VPN 連線輸送量最多可達 1250 Mbps Tx/Rx,為每個戳記配置 50% 的網關集區容量。 每個戳記上的剩餘容量可用於其他使用案例所需的更多 VPN 連線: