什麼是 Azure VPN 閘道?
Azure VPN 閘道是一種服務,使用特定類型的虛擬網路閘道,透過用網際網路在 Azure 虛擬網路與內部部署位置之間傳送加密流量。 您也可以使用 VPN 閘道,透過 Microsoft 網路來傳送 Azure 虛擬網路之間的已加密流量。 您可以為同一個 VPN 網路閘道建立多個連線。 當您建立多個連線時,所有 VPN 通道都會共用可用的閘道頻寬。
關於 VPN 閘道
VPN 閘道是一種虛擬網路閘道。 虛擬網路閘道是由自動設定及部署到特定子網路 (由您所建並稱為「閘道子網路」) 的兩部或多部 Azure 受控 VM 所組成。 網路閘道 VM 包含路由表,並且會執行特定的網路閘道服務。
您在建立虛擬網路閘道時指定的其中一個設定是「閘道類型」。 閘道類型會決定使用虛擬網路閘道的方式,以及閘道所採取的動作。 虛擬網路可以有兩個虛擬網路閘道;一個是 VPN 閘道和一個 ExpressRoute 閘道。 閘道類型 'Vpn' 會指定所建立虛擬網路閘道的類型是 VPN 閘道。 這會將其與使用不同閘道類型的 ExpressRoute 閘道進行區別。 如需詳細資訊,請參閱閘道類型。
建立 VPN 閘道時,閘道 VM 會部署到閘道子網路,並使用您指定的設定進行設定。 視您選取的閘道 SKU 而定,此程序可能需要 45 分鐘或更長的時間才能完成。 建立 VPN 閘道之後,您就可以設定連線。 例如,您可以在 VPN 閘道與另一個 VPN 閘道 (VNet 對 VNet) 之間建立 IPsec/IKE VPN 通道連線,或在 VPN 閘道與內部部署 VPN 裝置 (站對站) 之間建立跨單位 IPsec/IKE VPN 通道連線。 您也可以建立點對站 VPN 連線 (透過 OpenVPN、IKEv2 或 SSTP 的 VPN),它可讓您從遠端位置連線到您的虛擬網路,例如從會議或住家。
設定 VPN 閘道
VPN 閘道連線需仰賴多個具有特定設定的資源。 大部分的資源可以分別進行設定,雖然必須以特定順序設定某些資源。
連線性
因為您可以使用 VPN 閘道建立多個連線設定,所以您需要判斷最適合您需求的設定。 點對站、站對站及共存的 ExpressRoute/站對站連線,都有不同的指示與設定需求。 如需連結圖表和設定步驟的對應連結,請參閱 VPN 閘道設計。
規劃表
下表可以協助您為您的解決方案決定最佳的連線選項。 請注意,ExpressRoute 並非 VPN 閘道的一部分,而是包含在資料表中。
| 點對站 | 網站間 | ExpressRoute | |
|---|---|---|---|
| Azure 支援的服務 | 雲端服務和虛擬機器 | 雲端服務和虛擬機器 | 服務清單 |
| 典型的頻寬 | 以閘道 SKU 為基礎 | 彙總通常 < 10 Gbps | 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、100 Gbps |
| 支援的通訊協定 | 安全通訊端通道通訊協定 (SSTP)、OpenVPN 和 IPsec | IPsec | 透過 VLAN、NSP 的 VPN 技術 (MPLS、VPLS、...) 的直接連接 |
| 路由 | RouteBased (動態) | 我們支援 PolicyBased (靜態路由) 和 RouteBased (動態路由) VPN | BGP |
| 連線恢復 | 主動-被動 | 主動-被動或主動-主動 | 主動-主動 |
| 典型的使用案例 | 讓遠端使用者安全地存取 Azure 虛擬網路 | 雲端服務和虛擬機器的開發/測試/實驗室案例和中、小型規模生產工作負載 | 所有 Azure 服務 (已驗證的清單)、企業層級與關鍵性工作負載、備份、巨量資料、Azure 做為 DR 網站的存取 |
| SLA | SLA | SLA | SLA |
| 定價 | 定價 | 定價 | 定價 |
| 技術文件 | VPN 閘道 | VPN 閘道 | ExpressRoute |
| 常見問題集 | VPN 閘道常見問題集 | VPN 閘道常見問題集 | ExpressRoute 常見問題集 |
設定
您為每個資源選擇的設定,對於建立成功連線而言極為重要。 如需 VPN 閘道的個別資源和設定資訊,請參閱關於 VPN 閘道設定 (部分機器翻譯) 和關於閘道 SKU (部分機器翻譯)。 本文包含的資訊可協助您了解閘道類型、閘道 SKU、VPN 類型、連線類型、閘道子網路、區域網路閘道,以及您需要考量的各種其他資源設定。
部署工具
您可以使用設定工具 (例如 Azure 入口網站) 開始建立及設定資源。 您可以稍後再決定切換到另一個工具 (如 PowerShell) 來設定其他資源,或是在適用的時機修改現有資源。 您目前無法在 Azure 入口網站中進行每一項資源和資源設定。 文章中各連線拓撲的指示會指定何時需要特定組態工具。
閘道 SKU
建立虛擬網路閘道時,您必須指定想要使用的閘道 SKU。 根據工作負載、輸送量、功能和 SLA 的類型,選取符合您需求的 SKU。 如需閘道 SKU 的詳細資訊,包括支援的功能、效能資料表、設定步驟和生產環境與開發測試工作負載,請參閱關於閘道 SKU (部分機器翻譯)。
| VPN 閘道 世代 |
SKU | S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 |
P2S IKEv2/OpenVPN 連線 |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網路中支援的 VM 數目 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
| Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
| Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
| Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
| Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
| Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
| Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
| Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
| Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
| Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
| Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
| Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
| Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
| Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
| Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
(*)如果您需要超過 100 個 S2S VPN 通道,請使用虛擬 WAN ,而不是 VPN 閘道。
可用性區域
您可以在 Azure 可用性區域中部署 VPN 閘道。 此方式可為虛擬網路閘道帶來復原力、延展性和更高的可用性。 在 Azure 可用性區域中部署閘道可從根本上和邏輯上分隔區域內的閘道,同時還能在發生區域層級的失敗時,保護您內部部署項目與 Azure 的網路連線。 請參閱關於在 Azure 可用性區域中的區域備援虛擬網路閘道 (機器翻譯)。
定價
您需要支付兩件事︰虛擬網路閘道的每小時計算成本,以及虛擬網路閘道的輸出資料傳輸。 在 價格 頁面上可以找到價格資訊。 如需舊版閘道 SKU 定價,請參閱 ExpressRoute 定價頁面,然後捲動至 [虛擬網路閘道] 區段。
虛擬網路閘道計算成本
每個虛擬網路閘道都有每小時計算成本。 價格是以您建立虛擬網路閘道時所指定的閘道 SKU 為基礎。 除了透過閘道流動的資料傳輸以外,此成本屬於閘道本身。 主動-主動設定的成本與主動-被動相同。
資料傳輸成本
資料傳輸成本是根據來源虛擬網路閘道的輸出流量來計算。
- 若您將流量傳送至內部部署 VPN 裝置,其則會以網際網路輸出資料傳輸費率收費。
- 若您是傳送不同區域中的虛擬網路之間的流量,則會依據區域定價。
- 若您只是傳送相同區域中的虛擬網路之間的流量,則不會產生資料成本。 相同區域中 VNet 之間的流量是免費的。
如需 VPN 閘道之閘道 SKU 的詳細資訊,請參閱閘道 SKU。
常見問題集
如需 VPN 閘道的常見問題集,請參閱 VPN 閘道常見問題集。
新功能
訂閱 RSS 摘要,並在 Azure 更新頁面上檢視最新的 VPN 閘道功能更新。