Chemin rapide VPN Azure Stack Hub pour les utilisateurs du locataire
Qu’est-ce que la fonctionnalité De chemin rapide VPN Azure Stack Hub ?
Azure Stack Hub présente les trois nouvelles références SKU décrites dans cet article dans le cadre de la fonctionnalité VPN Fast Path. Auparavant, les tunnels S2S étaient limités à une bande passante maximale de 200 Mbits/s à l’aide de la référence SKU HighPerformance. Les nouvelles références SKU permettent aux clients de scénarios dans lesquels un débit réseau plus élevé est nécessaire. Les valeurs de débit pour chaque référence SKU sont des valeurs unidirectionnelles, ce qui signifie qu’elle prend en charge le débit donné sur le trafic d’envoi ou de réception.
Lorsque l’opérateur Azure Stack active la fonctionnalité VPN Fast Path sur un tampon Azure Stack Hub, les utilisateurs du locataire peuvent créer des passerelles de réseau virtuel à l’aide des nouvelles références SKU. Vous pouvez ajuster les configurations existantes en recréant la passerelle de réseau virtuel et ses connexions avec l’une des nouvelles références SKU.
Nouvelles références SKU de passerelles de réseau virtuel disponibles lorsque le chemin rapide VPN est activé
Outre les 3 nouvelles références SKU, la capacité VPN Globale d’Azure Stack Hub augmente, ce qui permet davantage de connexions VPN.
Le tableau suivant montre le nouveau débit pour chaque référence SKU lorsque le chemin rapide VPN est activé :
| Référence (SKU) | Débit maximal de connexion VPN |
|---|---|
| De base | 100 Mbits/s Tx/Rx |
| Standard | 100 Mbits/s Tx/Rx |
| Hautes performances | 200 Mbits/s Tx/Rx |
| VpnGwy1 | 650 Mbits/s Tx/Rx |
| VpnGwy2 | 1000 Mbits/s Tx/Rx |
| VpnGwy3 | 1250 Mbits/s Tx/Rx |
Créer des passerelles de réseau virtuel pour utiliser les nouvelles références SKU
Avec vpn Fast Path, les utilisateurs du locataire peuvent créer des passerelles de réseau virtuel avec les nouvelles références SKU à l’aide du portail Azure Stack Hub ou de PowerShell.
Créer des passerelles de réseau virtuel avec de nouvelles références SKU à l’aide du portail Azure Stack Hub
Si vous utilisez le portail Azure Stack Hub pour créer une passerelle de réseau virtuel, vous pouvez sélectionner la référence SKU à l’aide de la liste déroulante. Les nouvelles références SKU de chemin rapide VPN (VpnGwy1, VpnGwy2, VpnGwy3) ne sont visibles qu’après avoir ajouté le paramètre de requête « ?azurestacknewvpnskuskus=true » à l’URL et à l’actualisation.
L’exemple d’URL suivant rend les nouvelles références SKU de passerelle de réseau virtuel visibles dans le portail utilisateur Azure Stack Hub :
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Avant de créer ces ressources, l’opérateur doit activer le chemin rapide VPN sur le tampon Azure Stack Hub :
Créer des passerelles de réseau virtuel avec de nouvelles références SKU à l’aide de PowerShell
L’exemple suivant utilise les modules AzureRM :
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Mise à niveau des passerelles de réseau virtuel héritées
Vous ne pouvez pas mettre à jour la référence SKU sans recréer la passerelle de réseau virtuel, ce qui vous oblige à supprimer toutes les connexions associées à la passerelle de réseau virtuel. Vous pouvez réutiliser les ressources de passerelle de réseau local après avoir créé une passerelle de réseau virtuel avec la nouvelle référence SKU. La ressource de passerelle de réseau local définit l’espace d’adressage et l’adresse IP de votre appareil local et conserve cette configuration.
Procédez comme suit pour mettre à niveau les références SKU de passerelle de réseau virtuel :
- Supprimez toutes les connexions sur la passerelle de réseau virtuel existante : notez la clé pré-partagée et indiquez si l’indicateur BGP est activé.
- Supprimez la passerelle de réseau virtuel existante à l’aide de la référence SKU héritée : il n’est pas possible de créer deux passerelles de réseau virtuel dans le même réseau virtuel. Vous devez donc supprimer celle existante.
- Créez une ressource de passerelle de réseau virtuel avec la nouvelle référence SKU : vous pouvez sélectionner l’une des nouvelles références SKU activées avec le chemin rapide VPN.
- Créez une connexion entre la nouvelle passerelle de réseau virtuel et la passerelle de réseau local existante : si vous utilisez une stratégie IP s personnalisée, créez la connexion via PowerShell. Utilisez la clé pré-partagée et l’indicateur BGP notés à l’étape 1.
- Répétez l’étape 4 pour toutes les autres connexions que vous souhaitez déplacer vers la nouvelle référence SKU : cette étape est pertinente pour les scénarios multisites.
Topologies de connexion VPN
Il existe différentes configurations disponibles pour les passerelles VPN. Déterminez la configuration qui correspond le mieux à vos besoins. Dans les sections suivantes, vous pouvez afficher des informations et des diagrammes de topologie sur les scénarios de passerelle VPN suivants :
- Connexions site à site
- Connexions de site à site
- Connexions site à site ou site à plusieurs sites entre tampons Azure Stack Hub
Les graphiques et les descriptions dans les sections suivantes peuvent vous aider à sélectionner une topologie de connexion répondant à vos besoins. Le graphique présente les principales topologies de base, mais il est possible de créer des configurations plus complexes à l’aide des diagrammes.
Connexions site à site
Une connexion par passerelle VPN site à site (S2S) est une connexion sur un tunnel VPN IPsec/IKE (IKEv2). Ce type de connexion nécessite un appareil VPN local disposant d’une adresse IP publique.
Connexions de site à site
Une topologie de site à site est une variante de la topologie de site à site. Vous créez plusieurs connexions VPN à partir de votre passerelle de réseau virtuel, généralement en vous connectant à plusieurs sites locaux.
Connexions de site à site ou de site à plusieurs sites entre des tampons Azure Stack Hub
Vous ne pouvez créer qu’une seule connexion VPN de site à site entre deux déploiements Azure Stack Hub. Cette restriction est due à une limitation dans la plateforme qui autorise uniquement une connexion VPN unique à la même adresse IP. Étant donné qu’Azure Stack Hub utilise la passerelle multilocataire, qui a une adresse IP publique unique pour toutes les passerelles VPN dans le système Azure Stack Hub, il ne peut y avoir qu’une seule connexion VPN entre deux systèmes Azure Stack Hub. Cette limitation s’applique également à la connexion de plusieurs connexions VPN de site à site à une passerelle VPN qui utilise une seule adresse IP. Azure Stack Hub n’autorise pas la création de plus d’une ressource de passerelle de réseau local à l’aide de la même adresse IP.
Le diagramme suivant montre comment connecter plusieurs tampons Azure Stack Hub si vous devez créer une topologie de maillage entre des tampons. Dans ce scénario, il existe 3 tampons Azure Stack Hub, et chacun d’eux dispose d’une passerelle de réseau virtuel avec 2 connexions et 2 passerelles de réseau local. Avec les nouvelles références SKU, les utilisateurs peuvent connecter des réseaux et des charges de travail entre des tampons avec le débit des connexions VPN jusqu’à 1250 Mbits/s tx/Rx, en allouant 50 % de la capacité du pool de passerelles de chaque empreinte. La capacité restante sur chaque tampon peut être utilisée pour plus de connexions VPN requises pour d’autres cas d’usage :
