關於 ExpressRoute 虛擬網路閘道
若要使用 ExpressRoute 連線 Azure 虛擬網路和內部部署網路,您必須先建立虛擬網路閘道。 虛擬網路閘道提供兩個用途:在網路之間交換 IP 路由,以及路由傳送網路流量。 本文會說明閘道類型、閘道 SKU,以及 SKU 預估的效能。 本文也說明 ExpressRoute FastPath,這項功能可讓您內部部署網路中的網路流量略過虛擬網路閘道,以改善效能。
閘道類型
當您建立虛擬網路閘道時,您必須指定數項設定。 其中一個必要設定 -GatewayType
會指定是否要對 ExpressRoute 或 VPN 閘道流量使用閘道。 兩種閘道類型如下:
Vpn - 若要透過公用網際網路傳送已加密的流量,請使用 'Vpn' 閘道類型。 這種類型的閘道也稱為 VPN 閘道。 站對站、點對站和 VNet 對 VNet 連線都使用 VPN 閘道。
ExpressRoute - 若要在私人連線上傳送網路流量,請使用 'ExpressRoute' 閘道類型。 這種類型的閘道也稱為 ExpressRoute 閘道,並在設定 ExpressRoute 時使用。
對於每種閘道類型,每個虛擬網路只能有一個虛擬網路閘道。 例如,您可以有一個使用 -GatewayType
VPN 的虛擬網路閘道,以及一個使用 -GatewayType
ExpressRoute 的虛擬網路閘道。
閘道 SKU
建立虛擬網路閘道時,您必須指定想要使用的閘道 SKU。 當您選取較高的閘道 SKU 時,會配置更多的 CPU 和網路頻寬給閘道,如此一來,閘道即可支援對虛擬網路的更高網路輸送量。
ExpressRoute 虛擬網路閘道可以使用下列 SKU:
- ERGwScale (預覽)
- 標準
- 高效能
- Ultra 效能
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
如果您想要將閘道升級至更高的容量閘道 SKU,您可以在 Azure 入口網站或 PowerShell 中使用無縫閘道移轉工具。 支援下列升級:
- 基本 IP 上未啟用 Az 的 SKU 移轉至標準 IP 上未啟用 Az 的 SKU。
- 基本 IP 上未啟用 Az 的 SKU 移轉至標準 IP 上已啟用 Az 的 SKU。
- 標準 IP 上未啟用 Az 的 SKU 移轉至標準 IP 上已啟用 Az 的 SKU。
如需詳細資訊,請參閱移轉至已啟用可用性區域的閘道。
針對所有其他降級案例,您需要刪除並重新建立閘道。 重新建立閘道時會導致停機。
閘道子網路
建立 ExpressRoute 閘道之前,您必須先建立閘道子網路。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 建立虛擬網路閘道時,會將網路閘道 VM 部署到網路閘道子網路,並為網路閘道 VM 設定必要的 ExpressRoute 網路閘道設定。 絕對不要將任何其他專案部署到閘道子網路。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道將虛擬網路閘道 VM 和服務部署到此子網路。
注意
不支援具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 系統會禁止建立採用此設定的閘道。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果 BGP 路由傳播設定為停用,閘道將無法運作。
如果使用者定義的路由與閘道子網路範圍或閘道公用 IP 範圍重疊,診斷、資料路徑和控制路徑可能會受到影響。
- 我們不建議將 Azure DNS 私人解析器部署到具有 ExpressRoute 虛擬網路閘道的虛擬網路,並將萬用字元規則設定為將所有名稱解析導向特定的 DNS 伺服器。 這類設定可能會導致管理連線問題。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。
當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 此外,您可能會想要確定閘道子網路包含足夠的 IP 位址,以因應未來可能的額外設定需求。 建議您建立 /27 或更大的閘道子網路 (/27、/26 等)。 如果您打算將 16 個 ExpressRoute 線路連線到您的閘道,則必須建立 /26 或更大的閘道子網路。 如果您要建立雙堆疊閘道子網路,建議您也使用 /64 或更大的 IPv6 範圍。 此設定適合大多數的設定。
下列 Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?
虛擬網路閘道限制和效能
閘道 SKU 支援的功能
下表會顯示每個閘道類型所支援的功能,以及每個閘道 SKU 所支援的 ExpressRoute 線路連線數目上限。
閘道 SKU | VPN 閘道與 ExpressRoute 共存 | FastPath | 線路連線數目上限 |
---|---|---|---|
標準 SKU/ERGw1Az | 是 | No | 4 |
高效能 SKU/ERGw2Az | 是 | No | 8 |
超高效能 SKU/ErGw3Az | Yes | Yes | 16 |
ErGwScale (預覽) | Yes | 是 - 最小 10 個縮放單位 | 4 - 最小 1 個縮放單位 8 - 最小 2 個縮放單位 16 - 最小 10 個縮放單位 |
注意
來自相同對等互連位置且可以連線到相同虛擬網路的 ExpressRoute 線路數目,對於所有閘道,其上限為 4。
閘道 SKU 預估的效能
下表概述不同類型的閘道、其各自的限制,及其預期的效能計量。 這些數字衍生自下列測試條件,並表示最大支援限制。 實際效能可能會因流量複寫這些測試條件的緊密程度而有所不同。
測試條件
閘道 SKU | 從內部部署傳送的流量 | 閘道公告的路由數目 | 閘道學習的路由數目 |
---|---|---|---|
標準/ERGw1Az | 1 Gbps | 500 | 4000 |
高效能/ERGw2Az | 2 Gbps | 500 | 9,500 |
超高效能/ErGw3Az | 10 Gbps | 500 | 9,500 |
ErGwScale (每個縮放單位) | 1 Gbps | 500 | 4,000 |
注意
ExpressRoute 最多可協助 11,000 個路由,且這些路由可跨虛擬網路位址空間、內部部署網路,以及任何相關的虛擬網路對等互連連線。 為確保 ExpressRoute 連線的穩定性,請避免將超過 11,000 個路由公告至 ExpressRoute。
效能結果
此資料表適用於 Azure Resource Manager 和傳統部署模型。
閘道 SKU | 每秒百萬位元 | 每秒封包數 | 虛擬網路中支援的 VM 數目 1 | 流量計數限制 |
---|---|---|---|---|
標準/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 |
高效能/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 |
超高效能/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
ErGwScale (每個縮放單位) | 1,000 | 100,000 | 2,000 | 每個縮放單位 100,000 |
1 資料表中的值是估計值,會根據閘道的 CPU 使用率而不同。 如果 CPU 使用率偏高,且超過支援的 VM 數目,閘道就會開始捨棄封包。
重要
- 應用程式效能取決於多項因素,例如端對端延遲以及應用程式開啟之流量的數目。 表格中的數字代表應用程式在理想的環境中,理論上可以達成的最高上限。 此外,Microsoft 會在 ExpressRoute 虛擬網路閘道上執行例行主機和 OS 維護,以維持服務的可靠性。 在維護期間,會降低閘道的控制平面和資料路徑容量。
- 在維護期間,您可能會遇到私人端點資源的間歇性連線問題。
- ExpressRoute 支援的 TCP 和 UDP 封包大小上限為 1400 個位元組。 封包若大於 1400 個位元組,就會分散。
- Azure 路由伺服器最多可支援 4000 部 VM。 此限制包含虛擬網路中對等互連的 VM。 如需詳細資訊,請參閱 Azure 路由伺服器限制。
區域備援閘道 SKU
您也可以在 Azure 可用性區域中部署 ExpressRoute 閘道。 此設定會以實體和邏輯方式將它們分成不同的可用性區域,以保護您的內部部署網路連線到 Azure,避免區域層級失敗。
區域備援閘道會使用適用於 ExpressRoute 閘道的特定新式閘道 SKU。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (預覽)
新的閘道 SKU 也支援其他部署選項,以充分符合您的需求。 使用新的閘道 SKU 建立虛擬網路閘道時,您可在特定區域中部署閘道。 這種類型的閘道也稱為分區閘道。 當您部署分區閘道時,閘道的所有執行個體都會部署在相同的可用性區域中。
若要了解如何移轉 ExpressRoute 閘道,請參閱閘道移轉。
ExpressRoute 可調整閘道 (預覽)
ErGwScale 虛擬網路閘道 SKU 可讓您達到虛擬網路中 VM 和私人端點的 40 Gbps 連線能力。 此 SKU 可讓您設定虛擬網路閘道基礎結構的最小和最大縮放單位,其會根據使用中的頻寬或流量計數自動調整。 您也可以設定固定縮放單位,以在所需的頻寬值上維持固定連線能力。
可用性區域部署和區域可用性
ErGwScale 支援 Azure 可用性區域中的分區和分區備援部署。 如需這些概念的詳細資訊,請參閱 分區和分區備援服務 文件。
ErGwScale 可在下列區域中預覽:
- 澳大利亞東部
- 巴西南部
- 加拿大中部
- 美國東部
- 東亞
- 法國中部
- 德國中西部
- 印度中部
- 義大利北部
- 北歐
- 挪威東部
- 瑞典中部
- 阿拉伯聯合大公國北部
- 英國南部
- 美國西部 2
- 美國西部 3
自動調整與固定縮放單位
虛擬網路閘道基礎結構會根據頻寬或流量計數使用率,自動調整您設定的最小和最大縮放單位。 縮放作業最多可能需要 30 分鐘才能完成。 如果您想要在特定頻寬值達到固定連線能力,您可以將最小縮放單位和最大縮放單位設定為相同的值,以設定固定縮放單位。
限制
- 基本 IP: ErGwScale 不支援 基本 IP SKU。 您必須使用 標準 IP SKU 來設定 ErGwScale。
- 最小和最大縮放單位: 您可以將 ErGwScale 的縮放單位設定在 1-40 之間。 最小縮放單位不能低於 1 ,而最大縮放單位不能高於 40。
- 移轉案例: 您無法將 Standard/ErGw1Az,HighPerf/ErGw2Az/UltraPerf/ErGw3Az 移轉到 公開預覽版中 的 ErGwScale。
定價
ErGwScale 在公開預覽期間是免費的。 如需 ExpressRoute 定價的相關資訊,請參閱 Azure ExpressRoute 定價。
每個縮放單位的估計效能
每個縮放單位支援的效能
縮放單位 | 頻寬 (Gbps) | 每秒封包數 | 每秒連線數 | 最大 VM 連線數 1 | 流量數目上限 |
---|---|---|---|---|---|
1-10 | 1 | 100,000 | 7,000 | 2,000 | 100,000 |
11-40 | 1 | 100,000 | 7,000 | 1,000 | 100,000 |
使用縮放單位的範例效能
縮放單位 | 頻寬 (Gbps) | 每秒封包數 | 每秒連線數 | 最大 VM 連線數 1 | 流量數目上限 |
---|---|---|---|---|---|
10 | 10 | 1,000,000 | 70,000 | 20,000 | 1,000,000 |
20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 最大 VM 連線數會以不同的方式調整至超過 10 個縮放單位。 前 10 個縮放單位會提供每個縮放單位 2,000 個 VM 的容量。 縮放單位 11 和更新版本提供每個縮放單位 1,000 個以上的 VM 容量。
VNet 對 VNet 和 VNet 到虛擬 WAN 連線
根據預設,VNet 對 VNet 和 VNet 對虛擬 WAN 連線會透過所有閘道 SKU 的 ExpressRoute 線路來停用。 若要啟用此連線,您必須設定 ExpressRoute 虛擬網路閘道來允許此流量。 如需詳細資訊,請參閱 關於 ExpressRoute 的虛擬網路連線能力。 若要啟用此流量,請參閱透過 ExpressRoute 啟用 VNet 到 VNet 或 VNet 到虛擬 WAN 連線。
FastPath
ExpressRoute 虛擬網路的設計目的是交換網路路由,以及路由網路流量。 FastPath 的設計目的是改善內部部署網路與虛擬網路之間的資料路徑效能。 啟用時,FastPath 會略過閘道,直接將網路流量傳送到虛擬網路中的虛擬機器。
如需 FastPath 的詳細資訊 (包括限制和需求),請參閱關於 FastPath。
對私人端點的連線能力
ExpressRoute 虛擬網路閘道有助於與虛擬網路閘道部署在同一虛擬網路中以及跨虛擬網路對等點的私人端點的連線。
重要
- 相較於非私人端點資源的連線,連線至私人端點資源時的輸送量和控制平面容量可能會減少一半。
- 在維護期間,您可能會遇到私人端點資源的間歇性連線問題。
- 您必須確定其內部部署設定 (包括路由器和防火牆) 已正確設定,以確保 IP 5 元組的封包會使用單一的下一個躍點 (Microsoft Enterprise Edge 路由器 - MSEE) 傳輸 (除非發生維修事件)。 如果您的內部部署防火牆或路由器設定導致相同的 IP 5 元組經常切換下一個躍點,則會發生連線問題。
私人端點連線和計劃性維護事件
私人端點連線能力具狀態。 透過 ExpressRoute 私人對等互連建立私人端點的連線時,輸入和輸出連線會透過網路閘道基礎結構的其中一個後端執行個體進行路由傳送。 在維護事件期間,虛擬網路網路閘道基礎結構的後端執行個體會一個一個重新啟動,這可能會導致間歇性連線問題。
若要避免或最小化維護活動期間私人端點的連線問題,建議您將 TCP 逾時值在內部部署應用程式中設定為 15-30 秒之間。 根據您的應用程式需求測試及設定最佳值。
REST API 和 PowerShell Cmdlet
如需當 REST API 和 PowerShell Cmdlet 使用於虛擬網路閘道設定時的其他技術資源和特定語法需求,請參閱下列頁面:
傳統 | Resource Manager |
---|---|
PowerShell | PowerShell |
REST API | REST API |
VNet 對 VNet 連線
根據預設,當您將多個虛擬網路連結至相同的 ExpressRoute 線路時,會啟用虛擬網路之間的連線。 Microsoft 建議不要使用 ExpressRoute 線路進行虛擬網路之間的通訊。 相反地,建議您使用 虛擬網路對等互連。 如需為何不建議透過 ExpressRoute 使用 VNet 對 VNet 連線的詳細資訊,請參閱 透過 ExpressRoute 在虛擬網路之間的連線。
虛擬網路對等互連
具有 ExpressRoute 閘道的虛擬網路可以有最多 500 個其他虛擬網路的虛擬網路對等互連。 沒有 ExpressRoute 閘道的虛擬網路對等互連可能會有較高的對等互連限制。
下一步
如需可用連線設定的詳細資訊,請參閱 ExpressRoute 概觀。
如需建立 ExpressRoute 閘道的詳細資訊,請參閱為 ExpressRoute 建立虛擬網路閘道。
如需如何部署 ErGwScale 的詳細資訊,請參閱 使用 Azure 入口網站設定 ExpressRoute 的虛擬網路閘道。
如需設定區域備援閘道的詳細資訊,請參閱建立區域備援虛擬網路閘道。
如需 FastPath 的詳細資訊,請參閱關於 FastPath。