Sdílet prostřednictvím

Rychlá cesta VPN pro operátory ve službě Azure Stack Hub

  • Článek

Co je funkce Azure Stack Hub VPN Fast Path?

Azure Stack Hub představuje tři nové skladové položky popsané v tomto článku jako součást funkce Rychlé cesty VPN. Dříve byly tunely S2S omezené na maximální šířku pásma 200 Mb/s pomocí skladové položky HighPerformance. Nové skladové položky umožňují zákazníkům scénáře, ve kterých je nutná vyšší propustnost sítě. Hodnoty propustnosti pro každou skladovou položku jsou jednosměrné, to znamená, že podporují danou hodnotu propustnosti při odesílání či přijímání provozu.

Nové skladové položky brány virtuální sítě VPN Fast Path

S úvodem funkce VPN Fast Path ve službě Azure Stack Hub můžou uživatelé tenanta vytvářet připojení VPN pomocí 3 nových skladových položek:

  • Základní
  • Standard
  • Vysoký výkon
  • VpnGw1 (nový)
  • VpnGw2 (nový)
  • VpnGw3 (nový)

Důležité aspekty před povolením rychlé cesty VPN služby Azure Stack Hub

Pokud chcete, aby jakýkoli proces aktualizace proběhl co nejhladším způsobem, aby to mělo minimální dopad na uživatele, je důležité připravit razítko služby Azure Stack Hub.

Jako operátor služby Azure Stack Hub, povolující funkci rychlé cesty VPN, doporučujeme spolupracovat s uživateli tenantu a naplánovat období údržby, během kterého může dojít ke změně. Upozorněte uživatele na případné výpadky služby připojení VPN a pak podle těchto kroků připravte razítko na aktualizaci.

Vyžaduje NAT-T na vzdálených VPN zařízeních.

Azure Stack Hub VPN Fast Path spoléhá na novou službu SDN Gateway a vyžaduje nový požadavek při plánování.

Plánujte s uživateli tenanta před povolením VPN Fast Path.

  • Seznam existujících nastavení prostředků brány virtuální sítě
  • Seznam existujících nastavení prostředků připojení
  • Seznam zásad a nastavení protokolu IPSec použitých u stávajících připojení
    • Tento krok zajistí, že uživatelé mají nakonfigurované zásady, které fungují se svým zařízením, včetně vlastních zásad IPSec.
  • Zobrazení seznamu nastavení brány místní sítě Nájemníci mohou využívat prostředky a konfigurace místní síťové brány. Doporučujeme ale uložit stávající konfiguraci i v případě, že je potřeba je znovu vytvořit.
  • Jakmile je povolena rychlá cesta VPN, musí nájemci znovu vytvořit brány a připojení virtuální sítě podle potřeby, pokud chtějí používat nové typy SKUs.

Ve verzi vpn Fast Path je k dispozici nový příkaz PowerShellu, který operátory můžou volat, aby vypsali všechna existující připojení vytvořená jejich tenanty. Tato rutina může operátorovi pomoct spravovat kapacitu a kontaktovat správce tenanta, pokud potřebují znovu vytvořit brány virtuální sítě:

Get-AzsVirtualNetworkGatewayConnection

Další informace najdete v tématu Get-AzsVirtualNetworkGatewayConnection.

Jak povolit rychlou cestu VPN služby Azure Stack Hub

Pomocí rychlé cesty VPN můžou operátoři novou funkci povolit pomocí následujících příkazů PowerShellu. Jakmile funkce dosáhne obecné dostupnosti, můžou ji operátoři povolit také pomocí portálu pro správu služby Azure Stack Hub.

Existující nastavení můžete upravit tak, že znovu vytvoříte bránu virtuální sítě a její připojení pomocí jedné z nových skladových položek.

Povolení rychlé cesty VPN ke službě Azure Stack Hub pomocí PowerShellu

Z privilegovaného koncového bodu služby Azure Stack Hub můžete spuštěním následujícího příkazu PowerShellu povolit funkci Rychlé cesty VPN:

Další informace o privilegovaném koncovém bodu služby Azure Stack Hub najdete v tématu Přístup k privilegovanému koncovému bodu.

Set-AzSVPNFastPath -Enable

Snímek obrazovky s příkazy PowerShellu pro povolení rychlé cesty

Ověření zapnutí rychlé cesty VPN pro Azure Stack Hub pomocí PowerShellu

Jakmile je funkce Rychlá cesta VPN povolená, můžete pomocí následujícího příkazu PowerShellu ověřit aktuální stav virtuálních počítačů brány a využité kapacity:

Get-AzSVPNFastPath

Snímek obrazovky znázorňující ověření PowerShellu

Zakázání rychlé cesty VPN služby Azure Stack Hub pomocí PowerShellu

Set-AzSVPNFastPath -Disable

Pokud potřebujete zakázat síť VPN Fast Path, musíte nejprve spolupracovat se svým zákazníkem a odstranit a znovu vytvořit všechny jejich brány virtuální sítě pomocí SKU pro VPN Fast Path. Vzhledem k tomu, že se kapacita VPN zvyšuje, když je povolená VPN Fast Path, nemůžete zakázat VPN Fast Path, pokud aktuální využitá kapacita překročí celkovou kapacitu, když Azure Stack Hub nepoužívá VPN Fast Path.

Architektura bránového fondu Azure Stack Hub

Ve službě Azure Stack Hub se nacházejí tři virtuální počítače infrastruktury brány pro více nájemců. Dva z těchto virtuálních počítačů jsou v aktivním režimu a třetí je v redundantním režimu. Aktivní virtuální počítače umožňují vytvářet připojení VPN a redundantní virtuální počítač přijímá VPN připojení pouze v případě selhání. Pokud se aktivní virtuální počítač brány stane nedostupným, dojde k přepnutí na záložní virtuální počítač po krátké ztrátě připojení (několik sekund).

Přepnutí při selhání připojení brány se očekává během aktualizace OEM nebo Azure Stack Hub, protože virtuální počítače jsou opravovány a migrovány za provozu. Toto převzetí služeb při selhání může vést k dočasnému odpojení tunelů.

Koncepční diagram znázorňující failover VPN Fast Path.

Celková kapacita nového fondu brány

Celková kapacita fondu bran stanoviště Azure Stack Hub je 4 Gb/s. Tato kapacita je rozdělená mezi dva virtuální počítače aktivní brány, přičemž každý virtuální počítač brány podporuje až 2 Gb/s propustnosti. Při vytvoření prostředku připojení se na virtuálním počítači brány rezervuje dvojnásobek jeho SKU. Tento návrh zajišťuje dosažení maximální propustnosti skladové položky (měřené jedním směrem) s provozem Tx nebo Rx v závislosti na požadavcích uživatelského zatížení.

Například HighPerformance SKU ve virtuálním počítači brány rezervuje 400 Mb/s (200 pro Tx, 200 pro Rx). To znamená, že na stávajícím motoru si připojení HighPerformance vyhrazuje jednu desetinu celkové kapacity bránového fondu.

Následující tabulka uvádí typy bran a odhadovanou agregovanou propustnost jednotlivých tunelů nebo připojení podle skladové položky brány, pokud je zakázaná rychlá cesta VPN:

Skladová jednotka (SKU) Maximální propustnost připojení VPN (1) Maximální počet připojení VPN na aktivní virtuální počítač GW Maximální počet připojení VPN na instanci (2)
Základní(3) 100 Mb/s Tx/Rx 10 20
Standard 100 Mb/s Tx/Rx 10 20
Vysoký výkon 200 Mb/s Tx/Rx 5 10

(1) – Propustnost tunelu není zaručenou propustností pro připojení mezi různými místy přes internet. Jedná se o maximální možnou míru propustnosti. Celková agregace v jednom směru je 2 Gb/s.
(2) – Maximální počet tunelů je celkový počet nasazení služby Azure Stack Hub pro všechna předplatná.
(3) – Směrování protokolu BGP se pro skladovou položku Basic nepodporuje.

Koncepční diagram znázorňující zakázání rychlé cesty VPN

Odhadovaná agregovaná propustnost tunelu podle SKU s povolenou funkcí Rychlá cesta VPN

Jakmile operátor povolí síť VPN Fast Path na razítku služby Azure Stack Hub, celková kapacita fondu bran se zvýší na 10 Gb/s. Vzhledem k tomu, že je kapacita rozdělená mezi dva aktivní virtuální počítače brány, má každý virtuální počítač brány kapacitu 5 Gb/s. Množství kapacity rezervované pro každé připojení je stejné jako v předchozí části. Skladová položka VpnGw3 (1250 Mbps) proto vyhrazuje kapacitu 2500 Mbps na virtuálním počítači brány:

SKU Maximální propustnost připojení VPN (1) Maximální počet připojení VPN na aktivní virtuální počítač GW Maximální počet VPN připojení na razítko (2)
Základní(3) 100 Mb/s Tx/Rx 25 50
Standard 100 Mb/s Tx/Rx 25 50
Vysoký výkon 200 Mb/s Tx/Rx 12 24
VPNGw1 650 Mb/s Tx/Rx 3 6
VPNGw2 1000 Mb/s Tx/Rx 2 4
VPNGw3 1250 Mb/s Tx/Rx 2 4

(1) – Propustnost tunelu není zaručenou propustností pro připojení mezi různými místy přes internet. Jedná se o maximální možnou míru propustnosti. Celková agregace v jednom směru je 5 Gb/s.
(2) – Maximální počet tunelů je celkový počet nasazení služby Azure Stack Hub pro všechna předplatná.
(3) – Směrování protokolu BGP se pro skladovou položku Basic nepodporuje.

Koncepční diagram znázorňující povolenou rychlou cestu VPN

Další kroky