对 Azure 虚拟网络网关的改进
YU-SHUN WANG Azure 网络高级项目经理
在 2014 年欧洲 TechEd 大会上,我们宣布了对Azure 虚拟网络网关的多项改进:
1. 高性能网关 SKU
2. Azure 虚拟网络网关操作日志
3. 支持 PFS(完美转发保密)
4. S2S 隧道支持不加密选项
我们将概述每项新功能并提供这些新功能的使用说明。
概述
Azure 虚拟网络网关作为跨云和内部部署的网关,可以将 Azure 虚拟网络中的工作负载连接到内部部署站点。使用 IPsec S2SVPN 隧道或 ExpressRoute 线路连接内部部署站点时, 它是必须的。对于IPsec/IKE VPN 隧道,网关会执行 IKE 握手,然后在内部部署站点之间建立 IPsec S2SVPN 隧道。对于 ExpressRoute,网关会通过对等线路通知虚拟网络中的前缀,也会将数据包从 ExpressRoute 线路转发到虚拟网络内的VM 上。
下图所示为带有多个跨界连接选项的 Azure 虚拟网络网关概念图:
高性能网关
为了给跨云和内部部署的连接提供更高的吞吐量和更多的 S2S VPN 隧道,我们发布了新的Azure 虚拟网络网关 SKU:高性能网关。下表所示为当前网关和高性能网关的初始吞吐量合计值和S2S VPN 隧道规格:
网关 SKU |
ExpressRoute 吞吐量* |
S2S VPN 吞吐量* |
最大 S2S 隧道数 |
默认 |
~500Mbps |
~80Mbps |
10 个 |
高性能 |
~1000Mbps |
~200Mbps |
30 个 |
* 请注意,实际吞吐量会因流量状况和应用程序行为的不同而发生变化。
高性能网关定价:
· 每个网关每小时0.49 美元
· 数据传输和跨VNet 流量的费率保持不变
高性能网关同时可用于 Azure 动态路由网关和 Azure ExpressRoute。不支持静态路由网关。以下 cmdlet 可用于创建新的高性能网关或者将现有网关升级到新 SKU:
创建高性能网关
Azure PowerShell cmdlet 中增加了一个新的选项New-AzureVNetGateway,用于指定 SKU。以下示例将为虚拟网络“MyAzureVNet”创建高性能网关:
PS D:\> New-AzureVNetGateway –VNetNameMyAzureVNet –GatewayTypeDynamicRouting –GatewaySKUHighPerformance
请注意,DynamicRouting 同时是 DynamicRouting 网关和专用 (ExpressRoute) 网关的 GatewayType。因此,该示例 cmdlet 也可用于创建虚拟网络网关,以连接 ExpressRoute 线路。
更新网关 SKU
以下 Resize-AzureVNetGateway cmdlet 可以更新 Azure 虚拟网络网关的 SKU:
PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUHighPerformance
该示例 cmdlet 会将 MyAzureVNet 的网关从 Default 更改为 HighPerformance。您也可以将网关 SKU 从 High Performance 改回到 Default:
PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUDefault
网关操作日志
Azure 门户提供了“Management Services”(管理服务)选项卡,可以让 Azure 服务和组件报告操作日志。我们在框架中添加了 Azure 虚拟网络网关日志。现在您将可以获得以下有关 Azure VPN 网关和 Azure ExpressRoute 的事件集:
1. 网关创建和删除
2. ExpressRoute 线路创建和删除
3. ExpressRoute 线路链接授权、创建和删除
4. ExpressRouteBGP 会话创建、删除和更新
以下屏幕截图显示了一个简单的示例:
请注意,以上所列初始事件集只是一个开始。我们将继续在日志中添加其他网关事件。
更多 IPsec/IKE VPN自定义选项
我们添加了另外两个选项,用于配置 IPsec/IKE S2S VPN 隧道 – PFS(完美转发保密)和不加密。
您现在可以通过该功能为每个隧道指定 PFS 及 IKE。不加密是 S2S VPN 隧道的新选项。该选项针对 Azure 内 VNet 到 VNet 之间的通信。Azure 虚拟网络网关之间的流量会留在 Microsoft 运营的网络内,包括跨区域通信。现在,该流量在默认情况下已加密。对于想要获得更高吞吐量的客户,我们提供了不加密选项,可以消除加密和解密开销。请注意,对于经过 Internet 的流量,不建议使用该选项,因为这会导致数据包在未加密的情况下被发送出去。建议仅对 Azure VNet 到 VNet 之间的通信使用该选项。
我们正在致力于使 PowerShell cmdlet 支持这两项功能。敬请关注。
如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。
本文翻译自:https://azure.microsoft.com/blog/2014/12/02/azure-virtual-network-gateway-improvements