關於 ExpressRoute 虛擬網路閘道
若要使用 Azure ExpressRoute 連線 Azure 虛擬網路 (VNet) 和內部部署網路,您必須先建立虛擬網路網關。 虛擬網路閘道有兩個用途:在網路之間交換IP路由,以及路由網路流量。
本文會說明閘道類型、閘道 SKU,以及 SKU 預估的效能。 本文也說明 ExpressRoute FastPath,這項功能可讓您內部部署網路中的網路流量略過虛擬網路閘道,以改善效能。
閘道類型
當您建立虛擬網路閘道時,您必須指定數項設定。 其中一個必要設定 -GatewayType
會指定閘道是否用於 ExpressRoute 或 VPN 流量。 兩種閘道類型如下:
Vpn
:若要透過公用因特網傳送加密流量,請使用Vpn
-GatewayType
(也稱為 VPN 閘道)。 站對站、點對站和 VNet 對 VNet 連線全都使用 VPN 閘道。ExpressRoute
:若要在私人連線上傳送網路流量,請使用ExpressRoute
-GatewayType
(也稱為 ExpressRoute 閘道)。 當您設定 ExpressRoute 時,會使用這種類型的閘道。
對於每種閘道類型,每個虛擬網路只能有一個虛擬網路閘道。 例如,您可以有一個用於的-GatewayType
虛擬網路閘道,以及用於 ExpressRoute
的-GatewayType
虛擬網路閘道Vpn
。
閘道 SKU
建立虛擬網路閘道時,您必須指定想要使用的閘道 SKU。 當您選取較高的閘道 SKU 時,會將更多 CPU 和網路頻寬配置給閘道。 因此,閘道可以支援虛擬網路的更高網路輸送量。
ExpressRoute 虛擬網路閘道可以使用下列 SKU:
- ERGwScale (預覽)
- 標準
- 高效能
- Ultra 效能
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
如果您想要將閘道升級至更高容量的閘道 SKU,您可以在 Azure 入口網站 或 PowerShell 中使用無縫閘道移轉工具。 支援下列升級:
- 基本 IP 上未啟用 Az 的 SKU 到標準 IP 上未啟用 Az 的 SKU
- 基本 IP 上未啟用 Az 的 SKU 至標準 IP 上已啟用 Az 的 SKU
- 標準 IP 上未啟用 Az 的 SKU 至標準 IP 上已啟用 Az 的 SKU
如需詳細資訊,請參閱移轉至已啟用可用性區域的閘道。
針對所有其他降級案例,您必須刪除並重新建立閘道,這會產生停機時間。
閘道子網建立
建立 ExpressRoute 閘道之前,您必須先建立閘道子網路。 虛擬網路閘道虛擬機器 (VM) 和服務會使用閘道子網中包含的IP位址。
建立虛擬網路閘道時,會將網路閘道 VM 部署到網路閘道子網路,並為網路閘道 VM 設定必要的 ExpressRoute 網路閘道設定。 絕對不要將任何其他專案部署到閘道子網路。 閘道子網必須命名為 「GatewaySubnet」,才能正常運作,因為這樣做可讓 Azure 知道將虛擬網路網關 VM 和服務部署到此子網。
注意
不支援在閘道子網上使用 0.0.0.0/0 目的地和網路安全組 (NSG) 的使用者定義路由。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 閘道子網上應啟用邊界閘道通訊協定 (BGP) 路由傳播 ,以確保閘道的可用性。 如果 BGP 路由傳播已停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
- 我們不建議將 Azure DNS 私人解析器部署到具有 ExpressRoute 虛擬網路閘道的虛擬網路,並將萬用字元規則設定為將所有名稱解析導向特定的 DNS 伺服器。 這類設定可能會導致管理連線問題。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道共存設定需要比大部分其他組態更大的閘道子網。 此外,您可能想要確定閘道子網包含足夠的IP位址,以容納可能的未來設定。
建議您建立 /27 或更大的閘道子網。 如果您打算將 16 個 ExpressRoute 線路連線到閘道,您必須建立 /26 或更大的閘道子網。 如果您要建立雙堆疊閘道子網路,建議您也使用 /64 或更大的 IPv6 範圍。 此設定會容納大部分的組態。
下列 Azure Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網。 您可以看到 無類別網域間路由選擇 (CIDR) 表示法指定 /27,這可針對目前存在的大多數組態,提供足夠的IP位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
不支援閘道子網上的NSG。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?。
虛擬網路閘道限制和效能
閘道 SKU 支援的功能
下表顯示每個閘道類型支援的功能,以及每個閘道 SKU 所支援的 ExpressRoute 線路連線數目上限。
閘道 SKU | VPN 閘道和 ExpressRoute 共存 | FastPath | 線路聯機數目上限 |
---|---|---|---|
標準 SKU/ERGw1Az | 是 | No | 4 |
高效能 SKU/ERGw2Az | 是 | No | 8 |
超高效能 SKU/ErGw3Az | Yes | Yes | 16 |
ErGwScale (預覽) | Yes | 是 - 最小 10 個縮放單位 | 4 - 最小 1 個縮放單位 8 - 最小 2 個縮放單位 16 - 最小 10 個縮放單位 |
注意
來自相同對等互連位置且可以連線到相同虛擬網路的 ExpressRoute 線路數目,對於所有閘道,其上限為 4。
閘道 SKU 預估的效能
下表概述不同類型的閘道、其各自的限制,及其預期的效能計量。 這些數位衍生自下列測試條件,並代表最大支援限制。 實際效能可能會有所不同,視流量復寫這些測試條件的方式而定。
測試條件
閘道 SKU | 從內部部署傳送的流量 | 閘道公告的路由數目 | 閘道學習的路由數目 |
---|---|---|---|
標準/ERGw1Az | 1 Gbps | 500 | 4,000 |
高效能/ERGw2Az | 2 Gbps | 500 | 9,500 |
超高效能/ErGw3Az | 10 Gbps | 500 | 9,500 |
ErGwScale (每個縮放單位) | 1 Gbps | 500 | 4,000 |
注意
ExpressRoute 最多可以協助 11,000 個路由跨越虛擬網路位址空間、內部部署網路,以及任何相關的虛擬網路對等互連連線。 為確保 ExpressRoute 連線的穩定性,請避免將超過 11,000 個路由公告至 ExpressRoute。
效能結果
此資料表適用於 Azure Resource Manager 和傳統部署模型。
閘道 SKU | 每秒兆位數 | 每秒封包數 | 虛擬網路中支援的 VM 數目 1 | 流量計數限制 |
---|---|---|---|---|
標準/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 |
高效能/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 |
超高效能/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
ErGwScale (每個縮放單位) | 1,000 | 100,000 | 2,000 | 每個縮放單位 100,000 |
1 資料表中的值是估計值,會根據閘道的 CPU 使用率而不同。 如果 CPU 使用率很高且超過支援的 VM 數目,閘道就會開始卸除封包。
重要
- 應用程式效能取決於多個因素,例如端對端延遲和應用程式開啟的流量流量數目。 表格中的數字代表應用程式在理想的環境中,理論上可以達成的最高上限。 此外,我們會在 ExpressRoute 虛擬網路閘道上執行例行主機和 OS 維護,以維護服務的可靠性。 在維護期間,會降低閘道的控制平面和資料路徑容量。
- 在維護期間,您可能會遇到私人端點資源的間歇性連線問題。
- ExpressRoute 支援 TCP 和 UDP 封包大小上限為 1,400 個字節。 大於 1,400 個字節的封包大小將會分散。
- Azure 路由伺服器最多可支援 4,000 部 VM。 此限制包含虛擬網路中對等互連的 VM。 如需詳細資訊,請參閱 Azure 路由伺服器限制。
區域備援閘道 SKU
您也可以在 Azure 可用性區域中部署 ExpressRoute 閘道。 以實體和邏輯方式將閘道分成可用性區域,可協助保護內部部署網路連線到 Azure,避免區域層級失敗。
區域備援網關會針對 ExpressRoute 閘道使用特定的新閘道 SKU:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (預覽)
新的閘道 SKU 也支援其他部署選項,以充分符合您的需求。 當您使用新的閘道 SKU 建立虛擬網路閘道時,您可以在特定區域中部署閘道。 這種類型的閘道稱為 區域性閘道。 當您部署區域閘道時,閘道的所有實例都會部署在相同的可用性區域中。
若要了解如何移轉 ExpressRoute 閘道,請參閱閘道移轉。
ExpressRoute 可調整閘道 (預覽)
ErGwScale 虛擬網路閘道 SKU 可讓您達到虛擬網路中 VM 和私人端點的 40 Gbps 連線能力。 此 SKU 可讓您設定虛擬網路閘道基礎結構的最小和最大縮放單位,其會根據作用中的頻寬或流量計數自動調整。 您也可以設定固定縮放單位,以在所需的頻寬值上維持固定連線能力。
可用性區域部署和區域可用性
ErGwScale 支援 Azure 可用性區域中的分區和分區備援部署。 如需這些概念的詳細資訊,請參閱 分區和分區備援服務 文件。
ErGwScale 可在下列區域中預覽:
- 澳大利亞東部
- 巴西南部
- 加拿大中部
- 美國東部
- 東亞
- 法國中部
- 德國中西部
- 印度中部
- 義大利北部
- 北歐
- 挪威東部
- 瑞典中部
- 阿拉伯聯合大公國北部
- 英國南部
- 美國西部 2
- 美國西部 3
自動調整與固定縮放單位
虛擬網路閘道基礎結構會根據頻寬或流量計數使用率,自動調整您設定的最小和最大縮放單位。 縮放作業最多可能需要 30 分鐘才能完成。 如果您想要在特定頻寬值達到固定連線能力,您可以將最小縮放單位和最大縮放單位設定為相同的值,以設定固定縮放單位。
限制
- 基本 IP:ErGwScale 不支援基本 IP SKU。 您必須使用 標準 IP SKU 來設定 ErGwScale。
- 最小和最大縮放單位:您可以在 1 到 40 之間設定 ErGwScale 的縮放單位。 最小 縮放單位 不能低於 1,且 最大縮放單位 不能高於 40。
- 移轉案例:您無法在預覽版中從 Standard/ErGw1Az 或 HighPerf/ErGw2Az/UltraPerf/ErGw3Az 移轉至 ErGwScale。
定價
ErGwScale 在預覽期間是免費的。 如需 ExpressRoute 定價的相關資訊,請參閱 Azure ExpressRoute 定價。
每個縮放單位支援的效能
縮放單位 | 頻寬 (Gbps) | 每秒封包數 | 每秒連線數 | 最大 VM 連線數 1 | 流量數目上限 |
---|---|---|---|---|---|
1-10 | 1 | 100,000 | 7,000 | 2,000 | 100,000 |
11-40 | 1 | 100,000 | 7,000 | 1,000 | 100,000 |
使用縮放單位的範例效能
縮放單位 | 頻寬 (Gbps) | 每秒封包數 | 每秒連線數 | 最大 VM 連線數 1 | 流量數目上限 |
---|---|---|---|---|---|
10 | 10 | 1,000,000 | 70,000 | 20,000 | 1,000,000 |
20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 最大 VM 連線數會以不同的方式調整至超過 10 個縮放單位。 前 10 個縮放單位會提供每個縮放單位 2,000 個 VM 的容量。 縮放單位 11 和更新版本提供每個縮放單位 1,000 個以上的 VM 容量。
從 VNet 連線到 VNet,以及從 VNet 連線到虛擬 WAN
根據預設,VNet 對 VNet 和 VNet 對虛擬 WAN 聯機會透過所有閘道 SKU 的 ExpressRoute 線路停用。 若要啟用此連線,您必須設定 ExpressRoute 虛擬網路閘道來允許此流量。 如需詳細資訊,請參閱 關於 ExpressRoute 的虛擬網路連線能力。 若要啟用此流量,請參閱 透過 ExpressRoute 啟用 VNet 對 VNet 或 VNet 對虛擬 WAN 連線。
FastPath
ExpressRoute 虛擬網路閘道的設計目的是交換網路路由和路由網路流量。 FastPath 的設計目的是改善內部部署網路與虛擬網路之間的資料路徑效能。 啟用 FastPath 時,它會將網路流量直接傳送至虛擬網路中的虛擬機,略過閘道。
如需 FastPath 的詳細資訊,包括限制和需求,請參閱關於 FastPath。
對私人端點的連線能力
ExpressRoute 虛擬網路閘道有助於與虛擬網路閘道部署在同一虛擬網路中以及跨虛擬網路對等點的私人端點的連線。
重要
- 相較於非私人端點資源的連線能力,連線到私人端點資源的輸送量和控制平面容量可能會減少一半。
- 在維護期間,您可能會遇到私人端點資源的間歇性連線問題。
- 您必須確定內部部署設定,包括路由器和防火牆設定,已正確設定,以確保IP 5-Tuple 傳輸的封包會使用單一躍點 (Microsoft Enterprise Edge 路由器),除非有維護事件。 如果您的內部部署防火牆或路由器設定導致相同的IP 5 Tuple 經常切換下一個躍點,您將會遇到連線問題。
私人端點連線和計劃性維護事件
私人端點連線能力具狀態。 透過 ExpressRoute 私人對等互連建立私人端點的連線時,輸入和輸出聯機會透過網關基礎結構的其中一個後端實例路由傳送。 在維護事件期間,虛擬網路網關基礎結構的後端實例會一次重新啟動一個,這可能會導致間歇性連線問題。
若要避免或最小化維護活動期間私人端點的連線問題,建議您在內部部署應用程式上將 TCP 逾時值設定為介於 15 到 30 秒之間。 根據您的應用程式需求測試及設定最佳值。
REST API 和 PowerShell Cmdlet
當您針對虛擬網路網關組態使用 REST API 和 PowerShell Cmdlet 時,請參閱下列頁面以取得更多技術資源和特定語法需求:
傳統 | Resource Manager |
---|---|
PowerShell | PowerShell |
REST API | REST API |
VNet 對 VNet 連線
根據預設,當您將多個虛擬網路連結至相同的 ExpressRoute 線路時,會啟用虛擬網路之間的連線。 我們不建議使用 ExpressRoute 線路進行虛擬網路之間的通訊。 相反地,我們建議您使用 虛擬網路對等互連。 如需為何不建議透過 ExpressRoute 使用 VNet 對 VNet 連線的詳細資訊,請參閱 透過 ExpressRoute 的虛擬網路之間的連線。
虛擬網路對等互連
具有 ExpressRoute 閘道的虛擬網路可以有最多 500 個其他虛擬網路的虛擬網路對等互連。 沒有 ExpressRoute 閘道的虛擬網路對等互連可能會有較高的對等互連限制。
相關內容
如需可用連線設定的詳細資訊,請參閱 ExpressRoute 概觀。
如需建立 ExpressRoute 閘道的詳細資訊,請參閱為 ExpressRoute 建立虛擬網路閘道。
如需如何部署 ErGwScale 的詳細資訊,請參閱使用 Azure 入口網站 設定 ExpressRoute 的虛擬網路閘道。
如需設定區域備援閘道的詳細資訊,請參閱建立區域備援虛擬網路閘道。
如需 FastPath 的詳細資訊,請參閱關於 FastPath。