Informace o bránách virtuální sítě ExpressRoute
Pokud chcete připojit virtuální síť Azure a místní síť pomocí Azure ExpressRoute, musíte nejprve vytvořit bránu virtuální sítě. Brána virtuální sítě slouží dvěma účelům: k výměně tras IP mezi sítěmi a směrování síťového provozu.
Tento článek vysvětluje různé typy bran, skladové položky brány a odhadovaný výkon podle skladové položky. Tento článek také vysvětluje ExpressRoute FastPath, což je funkce, která umožňuje síťový provoz z vaší místní sítě obejít bránu virtuální sítě, aby se zlepšil výkon.
Typy bran
Při vytváření brány virtuální sítě je potřeba zadat několik nastavení. Jedno z požadovaných nastavení určuje, -GatewayTypejestli se brána používá pro provoz ExpressRoute nebo VPN. Mezi dva typy bran patří:
Vpn: Pokud chcete posílat šifrovaný provoz přes veřejný internet, použijteVpnho (-GatewayTypeoznačuje se také jako brána VPN). Připojení typu Site-to-Site, point-to-site a VNet-to-VNet používají bránu VPN.ExpressRoute: Pokud chcete odesílat síťový provoz na privátním připojení, použijteExpressRouteho pro-GatewayType(označovanou také jako brána ExpressRoute). Tento typ brány se používá při konfiguraci ExpressRoute.
Každá virtuální síť může mít pouze jednu bránu virtuální sítě pro každý typ brány. Můžete mít například jednu bránu virtuální sítě, která se používá Vpn pro -GatewayType, a druhou, která používá -GatewayTypeExpressRoute .
Skladové položky brány
Při vytváření brány virtuální sítě musíte určit SKU brány, které chcete použít. Když vyberete vyšší skladovou položku brány, přidělí se bráně více procesorů a šířky pásma sítě. V důsledku toho může brána podporovat vyšší propustnost sítě do virtuální sítě.
Brány virtuální sítě ExpressRoute můžou používat následující skladové položky:
- ERGwScale (Preview)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Pokud chcete bránu upgradovat na skladovou položku brány s vyšší kapacitou, můžete použít nástroj pro bezproblémovou migraci brány na webu Azure Portal nebo v PowerShellu. Podporují se následující upgrady:
- Skladová položka bez az na základní IP adrese na skladovou položku s podporou jiného typu Než Az na standardní IP adrese
- Skladová položka bez az na základní IP adrese na SKU s podporou Az na standardní IP adrese
- Skladová položka bez az na standardní IP adrese na skladovou položku s podporou Az na standardní IP adrese
Další informace najdete v tématu Migrace na bránu s podporou zóny dostupnosti.
Ve všech ostatních scénářích downgradu je potřeba bránu odstranit a znovu vytvořit, což způsobuje výpadky.
Vytvoření podsítě brány
Před vytvořením brány ExpressRoute musíte vytvořit podsíť brány. Virtuální počítače a služby brány virtuální sítě používají IP adresy obsažené v podsíti brány.
Při vytváření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují se s požadovaným nastavením brány ExpressRoute. Nikdy do podsítě brány nenasazujte nic jiného. Aby podsíť brány fungovala správně, musí mít název GatewaySubnet, protože tím azure informuje o nasazení virtuálních počítačů a služeb brány virtuální sítě do této podsítě.
Poznámka:
Trasy definované uživatelem s cílem 0.0.0.0/0 a skupinami zabezpečení sítě (NSG) v podsíti brány se nepodporují. Vytváření bran s touto konfigurací je blokováno. Brány ke správnému fungování vyžadují přístup k řadičům pro správu. Šíření tras protokolu BGP (Border Gateway Protocol) by mělo být povolené v podsíti brány, aby byla zajištěna dostupnost brány. Pokud je šíření tras protokolu BGP zakázané, brána nebude fungovat.
Pokud se trasa definovaná uživatelem překrývá s rozsahem podsítě brány nebo rozsahem veřejných IP adres brány, může to mít vliv na diagnostiku, cestu k datům a cestu správy.
- Nedoporučujeme nasazovat privátní překladač Azure DNS do virtuální sítě s bránou virtuální sítě ExpressRoute a nastavením pravidel zástupných znaků pro směrování veškerého překladu názvů na konkrétní server DNS. Taková konfigurace může způsobit problémy s připojením ke správě.
Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné.
Při plánování velikosti podsítě brány si projděte dokumentaci ke konfiguraci, kterou plánujete vytvořit. Například konfigurace koexistence brány ExpressRoute nebo VPN vyžaduje větší podsíť brány než většina ostatních konfigurací. Kromě toho můžete chtít zajistit, aby vaše podsíť brány obsahovala dostatek IP adres, aby vyhovovala možným budoucím konfiguracím.
Doporučujeme vytvořit podsíť brány /27 nebo větší. Pokud plánujete připojit k bráně 16 okruhů ExpressRoute, musíte vytvořit podsíť brány /26 nebo větší. Pokud vytváříte podsíť brány se dvěma zásobníky, doporučujeme použít také rozsah IPv6 /64 nebo větší. Toto nastavení se přizpůsobí většině konfigurací.
Následující příklad PowerShellu v Azure Resource Manageru ukazuje podsíť brány s názvem GatewaySubnet. Můžete vidět, že zápis technologie CIDR (Classless Interdomain Routing) (CIDR) určuje /27, což umožňuje dostatek IP adres pro většinu konfigurací, které aktuálně existují.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Důležité
Skupiny zabezpečení sítě v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.
Omezení a výkon brány virtuální sítě
Podpora funkcí podle skladové položky brány
Následující tabulka uvádí funkce, které jednotlivé typy brány podporují, a maximální počet připojení okruhů ExpressRoute, které jednotlivé skladové položky brány podporují.
| Skladová položka brány | Koexistence brány VPN a ExpressRoute | FastPath | Maximální počet připojení okruhů |
|---|---|---|---|
| Standardní SKU/ERGw1Az | Yes | No | 4 |
| Vysoká skladová položka výkonu / ERGw2Az | Yes | No | 8 |
| Ultravýkonný výkon SKU/ErGw3Az | Ano | Yes | 16 |
| ErGwScale (Preview) | Ano | Ano – minimálně 10 jednotek škálování | 4 – minimálně 1 jednotka škálování 8 – minimálně 2 jednotky škálování 16 – minimálně 10 jednotek škálování |
Poznámka:
Maximální počet okruhů ExpressRoute ze stejného umístění partnerského vztahu, který se může připojit ke stejné virtuální síti, je 4 pro všechny brány.
Odhadované výkony podle skladové položky brány
Následující tabulky poskytují přehled různých typů bran, jejich příslušných omezení a očekávaných metrik výkonu.
Maximální podporovaná omezení
Tato tabulka platí pro modely nasazení Azure Resource Manager i Classic.
| Skladová položka brány | Megabity za sekundu | Počet paketů za sekundu | Podporovaný počet virtuálních počítačů ve virtuální síti 1 | Limit počtu toků | Počet tras, které se brána naučila |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1 000 | 100 000 | 2 000 | 200 000 | 4 000 |
| High Performance/ERGw2Az | 2 000 | 200 000 | 4 500 | 400 000 | 9,500 |
| Ultra Performance / ErGw3Az | 10 000 | 1 000 000 | 11,000 | 1 000 000 | 9,500 |
| ErGwScale (na jednotku škálování 1–40) | 1 000 na jednotku škálování | 100 000 na jednotku škálování | 2 000 na jednotku škálování | 100 000 na jednotku škálování | Celkem 60 000 na bránu |
1 Hodnoty v tabulce jsou odhady a liší se v závislosti na využití procesoru brány. Pokud je využití procesoru vysoké a počet podporovaných virtuálních počítačů se překročí, brána začne zahazovat pakety.
Poznámka:
ExpressRoute může usnadnit až 11 000 tras, které zahrnují adresní prostory virtuální sítě, místní sítě a všechna relevantní připojení peeringu virtuálních sítí. Pokud chcete zajistit stabilitu připojení ExpressRoute, vyhněte se reklamě více než 11 000 tras do ExpressRoute. Maximální počet tras inzerovaných bránou je 1 000 tras.
Důležité
- Výkon aplikace závisí na několika faktorech, například na celkové latenci a počtu toků provozu, které aplikace otevře. Čísla v tabulce představují horní limit, kterého může aplikace teoreticky dosáhnout v ideálním prostředí. Kromě toho provádíme rutinní údržbu hostitele a operačního systému na bráně virtuální sítě ExpressRoute, abychom zachovali spolehlivost služby. Během období údržby se sníží kapacita řídicí roviny a cesty k datům brány.
- Během doby údržby může docházet k přerušovaným problémům s připojením k prostředkům privátního koncového bodu.
- ExpressRoute podporuje maximální velikost paketů TCP a UDP 1 400 bajtů. Velikost paketů větší než 1 400 bajtů se fragmentuje.
- Azure Route Server může podporovat až 4 000 virtuálních počítačů. Tento limit zahrnuje virtuální počítače ve virtuálních sítích, které jsou v partnerském vztahu. Další informace najdete v tématu Omezení azure Route Serveru.
Zónově redundantní skladové položky brány
Brány ExpressRoute můžete také nasadit do zón dostupnosti Azure. Fyzicky a logicky oddělení bran do zón dostupnosti pomáhá chránit místní síťové připojení k Azure před selháními na úrovni zóny.
Zónově redundantní brány používají pro brány ExpressRoute konkrétní nové skladové položky brány:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (Preview)
Nové skladové položky brány také podporují další možnosti nasazení, které nejlépe odpovídají vašim potřebám. Když vytvoříte bránu virtuální sítě pomocí nových skladových položek brány, můžete bránu nasadit v konkrétní zóně. Tento typ brány se nazývá zónová brána. Když nasadíte zónovou bránu, všechny instance brány se nasadí ve stejné zóně dostupnosti.
Další informace o migraci brány ExpressRoute najdete v tématu Migrace brány.
Škálovatelná brána ExpressRoute (Preview)
Skladová položka brány virtuální sítě ErGwScale umožňuje dosáhnout připojení 40 Gb/s k virtuálním počítačům a privátním koncovým bodům ve virtuální síti. Tato skladová položka umožňuje nastavit minimální a maximální jednotku škálování pro infrastrukturu brány virtuální sítě, která se automaticky škáluje na základě aktivní šířky pásma nebo počtu toků. Můžete také nastavit jednotku s pevným škálováním, která udržuje konstantní připojení s požadovanou hodnotou šířky pásma.
Nasazení zóny dostupnosti a regionální dostupnost
ErGwScale podporuje zónová i zónově redundantní nasazení v zónách dostupnosti Azure. Další informace o těchto konceptech najdete v dokumentaci k zónovým a zónově redundantním službám .
ErGwScale je k dispozici ve verzi Preview v následujících oblastech:
- Austrálie – východ
- Brazílie – jih
- Střední Kanada
- USA – východ
- Východní Asie
- Francie – střed
- Německo – středozápad
- Střední Indie
- Itálie - sever
- Severní Evropa
- Norsko – východ
- Švédsko – střed
- Spojené arabské emiráty – sever
- Spojené království – jih
- Západní USA 2
- USA – západ 3
Automatické škálování vs. jednotka s pevným škálováním
Infrastruktura brány virtuální sítě se automaticky škáluje mezi minimální a maximální jednotkou škálování, kterou nakonfigurujete, na základě využití šířky pásma nebo počtu toků. Dokončení operací škálování může trvat až 30 minut. Pokud chcete dosáhnout pevného připojení s konkrétní hodnotou šířky pásma, můžete jednotku pevného škálování nakonfigurovat nastavením minimální jednotky škálování a maximální jednotky škálování na stejnou hodnotu.
Omezení
- Základní IP adresa: ErGwScale nepodporuje skladovou položku základní IP adresy. Ke konfiguraci služby ErGwScale musíte použít skladovou položku protokolu IP úrovně Standard.
- Minimální a maximální počet jednotek škálování: Můžete nakonfigurovat jednotku škálování pro ErGwScale mezi 1 a 40. Minimální jednotka škálování nemůže být nižší než 1 a maximální jednotka škálování nemůže být vyšší než 40.
- Scénáře migrace: Ve verzi Preview nemůžete migrovat ze standardu nebo ErGw1Az nebo HighPerf/ErGw2Az/UltraPerf/ErGw3Az na ErGwScale.
Ceny
ErGwScale je bezplatná během verze Preview. Informace o cenách ExpressRoute najdete v tématu Ceny Azure ExpressRoute.
Podporovaný výkon na jednotku škálování
| Jednotka škálování | Šířka pásma (Gb/s) | Počet paketů za sekundu | Připojení za sekundu | Maximální počet připojení virtuálních počítačů 1 | Maximální počet toků |
|---|---|---|---|---|---|
| 1-10 | 0 | 100 000 | 7,000 | 2 000 | 100 000 |
| 11-40 | 0 | 100 000 | 7,000 | 1 000 | 100 000 |
Ukázkový výkon s využitím jednotky škálování
| Jednotka škálování | Šířka pásma (Gb/s) | Počet paketů za sekundu | Připojení za sekundu | Maximální počet připojení virtuálních počítačů 1 | Maximální počet toků |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70,000 | 20,000 | 1 000 000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50 000 | 4,000,000 |
1 Maximální počet připojení virtuálních počítačů se škáluje jinak než 10 jednotek škálování. Prvních 10 jednotek škálování poskytuje kapacitu pro 2 000 virtuálních počítačů na jednotku škálování. Jednotky škálování 11 a vyšší poskytují 1 000 větší kapacitu virtuálních počítačů na jednotku škálování.
Připojení z virtuální sítě k virtuální síti a z virtuální sítě wan
Ve výchozím nastavení je připojení typu VNet-to-VNet a VNet-to-Virtual-WAN zakázané prostřednictvím okruhu ExpressRoute pro všechny skladové položky brány. Pokud chcete toto připojení povolit, musíte nakonfigurovat bránu virtuální sítě ExpressRoute tak, aby umožňovala tento provoz. Další informace najdete v doprovodných materiálech k připojení k virtuální síti přes ExpressRoute. Pokud chcete tento provoz povolit, přečtěte si téma Povolení připojení typu VNet-to-VNet nebo VNet-to-Virtual-WAN prostřednictvím ExpressRoute.
FastPath
Brána virtuální sítě ExpressRoute je navržená k výměně síťových tras a směrování síťového provozu. FastPath slouží ke zvýšení výkonu cest k datům mezi místní sítí a virtuální sítí. Když je povolená funkce FastPath, odesílá síťový provoz přímo do virtuálních počítačů ve virtuální síti a vynechá bránu.
Další informace o nástroji FastPath, včetně omezení a požadavků, najdete v tématu O aplikaci FastPath.
Připojení k privátním koncovým bodům
Brána virtuální sítě ExpressRoute usnadňuje připojení k privátním koncovým bodům nasazenými ve stejné virtuální síti jako brána virtuální sítě a mezi partnerskými uzly virtuálních sítí.
Důležité
- Propustnost a kapacita řídicí roviny pro připojení k prostředkům privátního koncového bodu se může snížit o polovinu v porovnání s připojením k prostředkům nesoukromého koncového bodu.
- Během doby údržby může docházet k přerušovaným problémům s připojením k prostředkům privátního koncového bodu.
- Potřebujete zajistit správné nastavení místní konfigurace, včetně nastavení směrovače a brány firewall, aby se zajistilo, že pakety pro průchody řazenou kolekcí IP 5 členů používají jeden další segment směrování (směrovač Microsoft Enterprise Edge), pokud nedojde k události údržby. Pokud vaše místní brána firewall nebo konfigurace směrovače způsobuje časté přepínání dalších segmentů směrování se stejnou ip řazenou kolekcí IP adres, dojde k problémům s připojením.
Připojení privátního koncového bodu a události plánované údržby
Připojení k privátnímu koncovému bodu je stavové. Když se vytvoří připojení k privátnímu koncovému bodu přes privátní partnerský vztah ExpressRoute, příchozí a odchozí připojení se směrují přes jednu z back-endových instancí infrastruktury brány. Během události údržby se back-endové instance infrastruktury brány virtuální sítě restartují po jednom, což může vést k přerušovaným problémům s připojením.
Pokud se chcete vyhnout problémům s připojením k privátním koncovým bodům během aktivit údržby nebo minimalizovat, doporučujeme nastavit hodnotu časového limitu protokolu TCP na 15 až 30 sekund v místních aplikacích. Otestujte a nakonfigurujte optimální hodnotu na základě požadavků vaší aplikace.
Rozhraní REST API a rutiny PowerShellu
Další technické prostředky a specifické požadavky na syntaxi při používání rozhraní REST API a rutin PowerShellu pro konfigurace brány virtuální sítě najdete na následujících stránkách:
| Klasické | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Připojení typu VNet-to-VNet
Ve výchozím nastavení je připojení mezi virtuálními sítěmi povolené, když propojíte více virtuálních sítí se stejným okruhem ExpressRoute. Pro komunikaci mezi virtuálními sítěmi nedoporučujeme používat váš okruh ExpressRoute. Místo toho doporučujeme použít partnerský vztah virtuálních sítí. Další informace o tom, proč se přes ExpressRoute nedoporučuje připojení typu VNet-to-VNet, najdete v tématu Připojení mezi virtuálními sítěmi přes ExpressRoute.
Peering virtuálních sítí
Virtuální síť s bránou ExpressRoute může mít partnerský vztah virtuálních sítí s až 500 dalšími virtuálními sítěmi. Partnerský vztah virtuálních sítí bez brány ExpressRoute může mít vyšší omezení partnerského vztahu.
Související obsah
Další informace o dostupných konfiguracích připojení najdete v tématu Přehled ExpressRoute.
Další informace o vytváření bran ExpressRoute najdete v tématu Vytvoření brány virtuální sítě pro ExpressRoute.
Další informace o nasazení ErGwScale najdete v tématu Konfigurace brány virtuální sítě pro ExpressRoute pomocí webu Azure Portal.
Další informace o konfiguraci zónově redundantních bran najdete v tématu Vytvoření zónově redundantní brány virtuální sítě.
Další informace o nástroji FastPath naleznete v tématu O aplikaci FastPath.