Rychlá cesta VPN pro uživatele tenanta ve službě Azure Stack Hub
Co je funkce Azure Stack Hub VPN Fast Path?
Azure Stack Hub představuje tři nové skladové položky popsané v tomto článku jako součást funkce Rychlé cesty VPN. Dříve byly tunely S2S omezené na maximální šířku pásma 200 Mb/s pomocí skladové položky HighPerformance. Nové skladové položky umožňují zákazníkům scénáře, ve kterých je nutná vyšší propustnost sítě. Hodnoty propustnosti pro každou skladovou položku jsou jednosměrné hodnoty, což znamená, že podporuje danou propustnost při odesílání nebo příjmu provozu.
Když operátor služby Azure Stack povolí funkci Rychlá cesta VPN na razítku služby Azure Stack Hub, uživatelé tenantů můžou vytvářet brány virtuální sítě pomocí nových skladových položek. Existující nastavení můžete upravit tak, že znovu vytvoříte bránu virtuální sítě a její připojení pomocí jedné z nových skladových položek.
Nové skladové položky bran virtuální sítě, které jsou k dispozici, když je povolená rychlá cesta VPN
Kromě 3 nových skladových položek se celková kapacita sítě VPN služby Azure Stack Hub zvyšuje, což umožňuje více připojení VPN.
Následující tabulka ukazuje novou propustnost pro každou skladovou položku, když je povolená rychlá cesta VPN:
| Skladová jednotka (SKU) | Maximální propustnost připojení VPN |
|---|---|
| Basic | 100 Mb/s Tx/Rx |
| Standard | 100 Mb/s Tx/Rx |
| Vysoký výkon | 200 Mb/s Tx/Rx |
| VpnGwy1 | 650 Mb/s Tx/Rx |
| VpnGwy2 | 1000 Mb/s Tx/Rx |
| VpnGwy3 | 1250 Mb/s Tx/Rx |
Vytvoření bran virtuální sítě pro použití nových skladových položek
Díky rychlé cestě VPN můžou uživatelé tenanta vytvářet brány virtuální sítě s novými skladovými položkami pomocí portálu služby Azure Stack Hub nebo PowerShellu.
Vytvoření bran virtuální sítě s využitím nových skladových položek pomocí portálu Azure Stack Hub
Pokud k vytvoření brány virtuální sítě používáte portál služby Azure Stack Hub, můžete skladovou položku vybrat pomocí rozevíracího seznamu. Nové skladové položky VPN Fast Path (VpnGwy1, VpnGwy2, VpnGwy3) se zobrazí až po přidání parametru dotazu "?azurestacknewvpnskus=true" na adresu URL a aktualizaci.
Následující příklad adresy URL zpřístupní nové skladové položky brány virtuální sítě na uživatelském portálu Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Než operátor vytvoří tyto prostředky, musí na razítku služby Azure Stack Hub povolit cestu VPN Fast Path:
Vytváření bran virtuální sítě s využitím nových skladových položek pomocí PowerShellu
Následující příklad používá moduly AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Upgrade starších bran virtuální sítě
Skladovou položku nemůžete aktualizovat bez opětovného vytvoření brány virtuální sítě, která vyžaduje odstranění všech připojení přidružených k bráně virtuální sítě. Po vytvoření brány virtuální sítě s novou skladovou jednotkou můžete prostředky brány místní sítě znovu použít. Prostředek brány místní sítě definuje adresní prostor a IP adresu místního zařízení a zachová danou konfiguraci.
Při upgradu skladových položek brány virtuální sítě postupujte takto:
- Odstraňte všechna připojení v existující bráně virtuální sítě: poznamenejte si předsdílený klíč a zkontrolujte, jestli je příznak BGP nastavený na povolenou.
- Odstraňte existující bránu virtuální sítě pomocí starší skladové položky: ve stejné virtuální síti není možné vytvořit dvě brány virtuální sítě, takže je nutné odstranit stávající bránu.
- Vytvořte nový prostředek brány virtuální sítě pomocí nové skladové položky: Můžete vybrat jednu z nových skladových položek s povolenou cestou VPN Fast Path.
- Vytvořte nové připojení mezi novou bránou virtuální sítě a existující bránou místní sítě: pokud používáte vlastní zásady s IP adresou, vytvořte připojení přes PowerShell. Použijte předsdílený klíč a příznak BGP uvedený v kroku 1.
- Opakujte krok 4 pro všechna další připojení, která chcete přesunout do nové skladové položky: tento krok je relevantní pro scénáře s více lokalitami.
Topologie připojení VPN
Pro brány VPN jsou k dispozici různé konfigurace. Určete, která konfigurace nejlépe vyhovuje vašim potřebám. V následujících částech můžete zobrazit diagramy informací a topologie o následujících scénářích brány VPN:
- Připojení typu Site-to-Site
- Připojení typu Site-to-multi-site
- Připojení typu Site-to-Site nebo site-to-multi-site mezi kolky služby Azure Stack Hub
Diagramy a popisy v následujících částech vám můžou pomoct vybrat topologii připojení tak, aby odpovídala vašim požadavkům. Diagramy znázorňují hlavní základní topologie, ale pomocí diagramů jako vodítka je možné vytvářet složitější konfigurace.
Připojení typu Site-to-Site
Připojení brány VPN typu site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv2). Tento typ připojení vyžaduje zařízení VPN umístěné místně a má přiřazenou veřejnou IP adresu.
Připojení typu Site-to-multi-site
Topologie typu Site-to-multi-site je variantou topologie site-to-site. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám.
Připojení typu Site-to-Site nebo site-to-multi-site mezi kolky služby Azure Stack Hub
Mezi dvěma nasazeními služby Azure Stack Hub můžete vytvořit pouze jedno připojení VPN typu site-to-site. Toto omezení je způsobené omezením na platformě, které umožňuje pouze jedno připojení VPN ke stejné IP adrese. Vzhledem k tomu, že Azure Stack Hub používá bránu s více tenanty, která má jednu veřejnou IP adresu pro všechny brány VPN v systému Azure Stack Hub, může existovat pouze jedno připojení VPN mezi dvěma systémy Azure Stack Hub. Toto omezení platí také pro připojení více než jednoho připojení VPN typu site-to-site k jakékoli bráně VPN, která používá jednu IP adresu. Azure Stack Hub neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.
Následující diagram znázorňuje, jak můžete propojit více kolek služby Azure Stack Hub, pokud potřebujete vytvořit síťovou topologii mezi razítky. V tomto scénáři existují 3 razítka služby Azure Stack Hub a každá z nich má 1 bránu virtuální sítě se 2 připojeními a 2 bránami místní sítě. S novými skladovými položkami můžou uživatelé propojit sítě a úlohy mezi kolky s propustností připojení VPN až do 1250 Mb/s Tx/Rx a přidělit 50 % kapacity fondu bran u každého razítka. Zbývající kapacita na každém kolku se dá použít pro více připojení VPN vyžadovaných pro jiné případy použití:
