Azure Stack Hub VPN Fast Path voor tenantgebruikers
Wat is de functie Fast Path van Azure Stack Hub VPN?
Azure Stack Hub introduceert de drie nieuwe SKU's die in dit artikel worden beschreven als onderdeel van de functie VPN Fast Path. Voorheen waren S2S-tunnels beperkt tot een maximale bandbreedte van 200 Mbps met behulp van de HighPerformance-SKU. De nieuwe SKU's maken klantscenario's mogelijk waarin hogere netwerkdoorvoer nodig is. De doorvoerwaarden voor elke SKU zijn unidirectionele waarden, wat betekent dat deze de opgegeven doorvoer ondersteunt voor het verzenden of ontvangen van verkeer.
Wanneer de Azure Stack-operator de functie VPN Fast Path inschakelt op een Azure Stack Hub-zegel, kunnen tenantgebruikers virtuele netwerkgateways maken met behulp van de nieuwe SKU's. U kunt bestaande instellingen aanpassen door de gateway van het virtuele netwerk en de bijbehorende verbindingen met een van de nieuwe SKU's opnieuw te maken.
Nieuwe SKU's voor virtuele netwerkgateways beschikbaar wanneer VPN Fast Path is ingeschakeld
Naast de drie nieuwe SKU's neemt de totale Azure Stack Hub VPN-capaciteit toe, waardoor er meer VPN-verbindingen mogelijk zijn.
In de volgende tabel ziet u de nieuwe doorvoer voor elke SKU wanneer VPN Fast Path is ingeschakeld:
| SKU | Maximale doorvoer van VPN-verbinding |
|---|---|
| Basic | 100 Mbps Tx/Rx |
| Standaard | 100 Mbps Tx/Rx |
| Hoge prestaties | 200 Mbps Tx/Rx |
| VpnGwy1 | 650 Mbps Tx/Rx |
| VpnGwy2 | 1000 Mbps Tx/Rx |
| VpnGwy3 | 1250 Mbps Tx/Rx |
Virtuele netwerkgateways maken om de nieuwe SKU's te gebruiken
Met VPN Fast Path kunnen tenantgebruikers virtuele netwerkgateways maken met de nieuwe SKU's met behulp van de Azure Stack Hub-portal of PowerShell.
Virtuele netwerkgateways met nieuwe SKU's maken met behulp van de Azure Stack Hub-portal
Als u de Azure Stack Hub-portal gebruikt om een gateway voor een virtueel netwerk te maken, kunt u de SKU selecteren met behulp van de vervolgkeuzelijst. De nieuwe VPN Fast Path-SKU's (VpnGwy1, VpnGwy2, VpnGwy3) zijn alleen zichtbaar na het toevoegen van de queryparameter '?azurestacknewvpnskus=true' aan de URL en vernieuwen.
In het volgende URL-voorbeeld worden de nieuwe gateway-SKU's van het virtuele netwerk zichtbaar in de Azure Stack Hub-gebruikersportal:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Voordat de operator deze resources maakt, moeten ze VPN Fast Path inschakelen op de Azure Stack Hub-zegel:
Virtuele netwerkgateways maken met nieuwe SKU's met behulp van PowerShell
In het volgende voorbeeld worden de AzureRM-modules gebruikt:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Verouderde virtuele netwerkgateways upgraden
U kunt de SKU niet bijwerken zonder de gateway van het virtuele netwerk opnieuw te maken. Hiervoor moet u alle verbindingen verwijderen die zijn gekoppeld aan de gateway van het virtuele netwerk. U kunt de lokale netwerkgatewayresources opnieuw gebruiken nadat u een virtuele netwerkgateway hebt gemaakt met de nieuwe SKU. De resource van de lokale netwerkgateway definieert de adresruimte en het IP-adres van uw on-premises apparaat en behoudt die configuratie.
Volg deze stappen om gateway-SKU's voor virtuele netwerken bij te werken:
- Verwijder alle verbindingen op de bestaande virtuele netwerkgateway: noteer de vooraf gedeelde sleutel en of de BGP-vlag is ingesteld op ingeschakeld.
- Verwijder de bestaande virtuele netwerkgateway met behulp van de verouderde SKU: het is niet mogelijk om twee virtuele netwerkgateways in hetzelfde virtuele netwerk te maken, dus u moet de bestaande gateway verwijderen.
- Maak een nieuwe virtuele netwerkgatewayresource met de nieuwe SKU: u kunt een van de nieuwe SKU's selecteren die zijn ingeschakeld met VPN Fast Path.
- Maak een nieuwe verbinding tussen de nieuwe virtuele netwerkgateway en de bestaande lokale netwerkgateway: als u een aangepast IP-sec-beleid gebruikt, maakt u de verbinding via PowerShell. Gebruik de vooraf gedeelde sleutel en de BGP-vlag die u in stap 1 hebt genoteerd.
- Herhaal stap 4 voor alle andere verbindingen die u naar de nieuwe SKU wilt verplaatsen: deze stap is relevant voor scenario's met meerdere sites.
Topologieën voor VPN-verbindingen
Er zijn verschillende configuraties beschikbaar voor VPN-gateways. Bepaal welke configuratie het beste past bij uw behoeften. In de volgende secties kunt u informatie en topologiediagrammen over de volgende VPN-gatewayscenario's bekijken:
- Site-naar-site-verbindingen
- Site-naar-site-verbindingen
- Site-naar-site- of site-naar-site-verbindingen tussen Azure Stack Hub-stempels
Met de diagrammen en beschrijvingen in de volgende secties kunt u een verbindingstopologie selecteren die aan uw vereisten voldoet. In de diagrammen worden de belangrijkste basislijntopologieën weergegeven, maar het is mogelijk om complexere configuraties te maken met behulp van de diagrammen als richtlijn.
Site-naar-site-verbindingen
Een site-naar-site-VPN-gatewayverbinding (S2S) is een verbinding via DE VPN-tunnel IPsec/IKE (IKEv2). Voor dit type verbinding is een VPN-apparaat vereist dat zich on-premises bevindt en waaraan een openbaar IP-adres is toegewezen.
Site-naar-site-verbindingen
Een site-naar-site-topologie is een variatie van de site-naar-site-topologie. U maakt meer dan één VPN-verbinding vanaf uw virtuele netwerkgateway, meestal met verschillende on-premises sites.
Site-naar-site- of site-naar-site-verbindingen tussen Azure Stack Hub-stempels
U kunt slechts één site-naar-site-VPN-verbinding maken tussen twee Azure Stack Hub-implementaties. Deze beperking wordt veroorzaakt door een beperking in het platform die slechts één VPN-verbinding met hetzelfde IP-adres toestaat. Omdat Azure Stack Hub gebruikmaakt van de gateway met meerdere tenants, die één openbaar IP-adres heeft voor alle VPN-gateways in het Azure Stack Hub-systeem, kan er slechts één VPN-verbinding zijn tussen twee Azure Stack Hub-systemen. Deze beperking geldt ook voor het verbinden van meer dan één site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres. Azure Stack Hub staat niet toe dat meer dan één lokale netwerkgatewayresource wordt gemaakt met hetzelfde IP-adres.
In het volgende diagram ziet u hoe u meerdere Azure Stack Hub-stempels kunt verbinden als u een mesh-topologie tussen stempels moet maken. In dit scenario zijn er drie Azure Stack Hub-stempels en elk van deze heeft 1 virtuele netwerkgateway met 2 verbindingen en 2 lokale netwerkgateways. Met de nieuwe SKU's kunnen de gebruikers netwerken en workloads verbinden tussen stempels met VPN-verbindingen doorvoer tot 1250 Mbps Tx/Rx, waarbij 50% van de capaciteit van de gatewaypool van elke stempel wordt toegewezen. De resterende capaciteit op elke zegel kan worden gebruikt voor meer VPN-verbindingen die vereist zijn voor andere gebruiksvoorbeelden:
