Azure Stack Hub VPN Fast Path für Mandantenbenutzer
Was ist das Feature azure Stack Hub VPN Fast Path?
Azure Stack Hub führt die drei neuen SKUs ein, die in diesem Artikel als Teil des VPN Fast Path-Features beschrieben werden. Bisher waren S2S-Tunnel auf eine maximale Bandbreite von 200 MBit/s mit der HighPerformance-SKU beschränkt. Die neuen SKUs ermöglichen Kundenszenarien, in denen ein höherer Netzwerkdurchsatz erforderlich ist. Die Durchsatzwerte für jede SKU sind unidirektionale Werte, d. h. sie unterstützt den angegebenen Durchsatz bei Sende- oder Empfangsdatenverkehr.
Wenn der Azure Stack-Operator das VPN Fast Path-Feature auf einem Azure Stack Hub-Stempel aktiviert, können Mandantenbenutzer virtuelle Netzwerkgateways mithilfe der neuen SKUs erstellen. Sie können vorhandene Setups anpassen, indem Sie das virtuelle Netzwerkgateway und seine Verbindungen mit einem der neuen SKUs neu erstellen.
Neue SKUs für virtuelle Netzwerke, die verfügbar sind, wenn VPN Fast Path aktiviert ist
Zusätzlich zu den drei neuen SKUs erhöht sich die gesamte Azure Stack Hub VPN-Kapazität, wodurch mehr VPN-Verbindungen möglich sind.
Die folgende Tabelle zeigt den neuen Durchsatz für jede SKU, wenn VPN Fast Path aktiviert ist:
SKU | Max. VPN-Verbindungsdurchsatz |
---|---|
Grundlegend | 100 Mbps Tx/Rx |
Standard | 100 Mbps Tx/Rx |
Hochleistung | 200 Mbps Tx/Rx |
VpnGwy1 | 650 MBit/s Tx/Rx |
VpnGwy2 | 1000 MBit/s Tx/Rx |
VpnGwy3 | 1250 Mbps Tx/Rx |
Erstellen von Gateways für virtuelle Netzwerke zur Verwendung der neuen SKUs
Mit VPN Fast Path können Mandantenbenutzer virtuelle Netzwerkgateways mit den neuen SKUs entweder über das Azure Stack Hub-Portal oder PowerShell erstellen.
Erstellen von Gateways für virtuelle Netzwerke mit neuen SKUs mithilfe des Azure Stack Hub-Portals
Wenn Sie das Azure Stack Hub-Portal zum Erstellen eines virtuellen Netzwerkgateways verwenden, können Sie die SKU mithilfe der Dropdownliste auswählen. Die neuen VPN Fast Path SKUs (VpnGwy1, VpnGwy2, VpnGwy3) sind erst sichtbar, nachdem der Abfrageparameter "?azurestacknewvpnskus=true" zur URL hinzugefügt und aktualisiert wurde.
Im folgenden URL-Beispiel werden die neuen SKUs des virtuellen Netzwerkgateways im Azure Stack Hub-Benutzerportal angezeigt:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Bevor der Operator diese Ressourcen erstellt, muss er VPN Fast Path auf dem Azure Stack Hub-Stempel aktivieren:
Erstellen von gateways für virtuelle Netzwerke mit neuen SKUs mithilfe von PowerShell
Im folgenden Beispiel werden die AzureRM-Module verwendet:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Upgrade von Legacy-Gateways für virtuelle Netzwerke
Sie können die SKU nicht aktualisieren, ohne das virtuelle Netzwerkgateway neu zu erstellen, was erfordert, dass Sie alle Verbindungen löschen, die dem virtuellen Netzwerkgateway zugeordnet sind. Sie können die lokalen Netzwerkgatewayressourcen nach dem Erstellen eines virtuellen Netzwerkgateways mit der neuen SKU erneut verwenden. Die Ressource des lokalen Netzwerkgateways definiert den Adressraum und die IP-Adresse Ihres lokalen Geräts und behält diese Konfiguration bei.
Führen Sie die folgenden Schritte aus, um SKUs für virtuelles Netzwerkgateway zu aktualisieren:
- Löschen Sie alle Verbindungen auf dem vorhandenen virtuellen Netzwerkgateway: Notieren Sie sich den vorab freigegebenen Schlüssel und ob das BGP-Flag auf "aktiviert" festgelegt ist.
- Löschen Sie das vorhandene virtuelle Netzwerkgateway mithilfe der älteren SKU: Es ist nicht möglich, zwei virtuelle Netzwerkgateways im selben virtuellen Netzwerk zu erstellen, daher müssen Sie die vorhandene löschen.
- Erstellen Sie eine neue Ressource für virtuelles Netzwerkgateway mit der neuen SKU: Sie können einen der neuen SKUs auswählen, die mit VPN Fast Path aktiviert sind.
- Erstellen Sie eine neue Verbindung zwischen dem neuen virtuellen Netzwerkgateway und dem vorhandenen lokalen Netzwerkgateway: Wenn Sie eine benutzerdefinierte IP-Sek.-Richtlinie verwenden, erstellen Sie die Verbindung über PowerShell. Verwenden Sie den zuvor freigegebenen Schlüssel und das in Schritt 1 erwähnte BGP-Flag.
- Wiederholen Sie Schritt 4 für alle anderen Verbindungen, die Sie zur neuen SKU verschieben möchten: Dieser Schritt ist für Szenarien mit mehreren Standorten relevant.
VPN-Verbindungstopologien
Es gibt verschiedene Konfigurationen für VPN-Gateways. Ermitteln Sie, welche Konfiguration am besten zu Ihren Anforderungen passt. In den folgenden Abschnitten können Sie Informationen und Topologiediagramme zu den folgenden VPN-Gatewayszenarien anzeigen:
- Site-to-Site-Verbindungen
- Standort-zu-Standort-Verbindungen
- Standort-zu-Standort- oder Standort-zu-Standort-Verbindungen zwischen Azure Stack Hub-Stempeln
Orientieren Sie sich bei der Wahl einer geeigneten Verbindungstopologie an den Diagrammen und Beschreibungen in den folgenden Abschnitten. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.
Site-to-Site-Verbindungen
Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen IPsec-/IKE-VPN-Tunnel (IKEv2). Dieser Verbindungstyp erfordert ein lokales VPN-Gerät, das einer öffentlichen IP-Adresse zugewiesen ist.
Standort-zu-Standort-Verbindungen
Eine Website-zu-Standort-Topologie ist eine Variation der Website-zu-Standort-Topologie. Sie erstellen mehrere VPN-Verbindungen über Ihr Gateway für virtuelle Netzwerke, durch die in der Regel mehrere lokale Standorte verbunden werden.
Standort-zu-Standort- oder Standort-zu-Standort-Verbindungen zwischen Azure Stack Hub-Stempeln
Sie können nur eine Standort-zu-Standort-VPN-Verbindung zwischen zwei Azure Stack Hub-Bereitstellungen erstellen. Diese Einschränkung ist auf eine Einschränkung in der Plattform zurückzuführen, die nur eine einzelne VPN-Verbindung mit derselben IP-Adresse zulässt. Da Azure Stack Hub das Mehrinstanzengateway verwendet, das über eine einzelne öffentliche IP für alle VPN-Gateways im Azure Stack Hub-System verfügt, kann es nur eine VPN-Verbindung zwischen zwei Azure Stack Hub-Systemen geben. Diese Einschränkung gilt auch für das Herstellen mehrerer Site-to-Site-VPN-Verbindungen mit einem beliebigen VPN-Gateway, das eine einzige IP-Adresse nutzt. Azure Stack Hub lässt nicht zu, dass mehrere Ressourcen des lokalen Netzwerkgateways mit der gleichen IP-Adresse erstellt werden.
Das folgende Diagramm zeigt, wie Sie mehrere Azure Stack Hub-Stempel miteinander verbinden können, wenn Sie eine Gittertopologie zwischen Stempeln erstellen müssen. In diesem Szenario gibt es drei Azure Stack Hub-Stempel, und jedes davon verfügt über 1 virtuelles Netzwerkgateway mit 2 Verbindungen und 2 lokalen Netzwerkgateways. Mit den neuen SKUs können die Benutzer Netzwerke und Workloads zwischen Stempeln mit VPN-Verbindungen bis zu 1250 Mbps Tx/Rx verbinden, wobei 50 % der Kapazität des Gatewaypools für jeden Stempel zugeordnet werden. Die verbleibende Kapazität für jeden Stempel kann für weitere VPN-Verbindungen verwendet werden, die für andere Anwendungsfälle erforderlich sind: