Info over virtuele ExpressRoute-netwerkgateways voor meer informatie over de virtuele ExpressRoute-netwerkgateway
Als u uw virtuele Azure-netwerk (VNet) en uw on-premises netwerk wilt verbinden met behulp van Azure ExpressRoute, moet u eerst een virtuele netwerkgateway maken. Een virtuele netwerkgateway dient twee doeleinden: IP-routes tussen netwerken uitwisselen en netwerkverkeer routeren.
In dit artikel worden verschillende gatewaytypen, gateway-SKU's en geschatte prestaties per SKU uitgelegd. In dit artikel wordt ook ExpressRoute FastPath uitgelegd, een functie waarmee het netwerkverkeer van uw on-premises netwerk de virtuele netwerkgateway kan omzeilen om de prestaties te verbeteren.
Gatewaytypen
Wanneer u een gateway voor een virtueel netwerk maakt, moet u verschillende instellingen opgeven. Een van de vereiste instellingen, -GatewayTypegeeft aan of de gateway wordt gebruikt voor ExpressRoute- of VPN-verkeer. De twee gatewaytypen zijn:
Vpn: Als u versleuteld verkeer via het openbare internet wilt verzenden, gebruiktVpnu hiervoor-GatewayType(ook wel een VPN-gateway genoemd). Site-naar-site-, punt-naar-site- en VNet-naar-VNet-verbindingen maken allemaal gebruik van een VPN-gateway.ExpressRoute: Als u netwerkverkeer wilt verzenden op een privéverbinding, gebruiktExpressRouteu deze voor-GatewayType(ook wel een ExpressRoute-gateway genoemd). Dit type gateway wordt gebruikt wanneer u ExpressRoute configureert.
Elk virtueel netwerk kan maar één virtuele netwerkgateway per type gateway hebben. U kunt bijvoorbeeld één virtuele netwerkgateway hebben die wordt gebruikt Vpn voor -GatewayType, en een gateway die voor -GatewayTypeExpressRoute .
Gateway-SKU's
Wanneer u een virtuele netwerkgateway maakt, moet u de gewenste gateway-SKU opgeven. Wanneer u een hogere gateway-SKU selecteert, worden er meer CPU's en netwerkbandbreedte toegewezen aan de gateway. Hierdoor kan de gateway een hogere netwerkdoorvoer naar het virtuele netwerk ondersteunen.
Virtuele ExpressRoute-netwerkgateways kunnen de volgende SKU's gebruiken:
- ERGwScale (preview)
- Standaard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Als u uw gateway wilt upgraden naar een gateway-SKU met een hogere capaciteit, kunt u het hulpprogramma naadloze gatewaymigratie gebruiken in Azure Portal of PowerShell. De volgende upgrades worden ondersteund:
- Niet-az-SKU op basis-IP naar niet-az-SKU op standaard-IP
- Niet-az-SKU op basis-IP naar az-SKU op standaard-IP
- Niet-az-ingeschakelde SKU op standaard-IP-adres naar az-SKU op standaard-IP
Zie Migreren naar een gateway met beschikbaarheidszone voor meer informatie.
Voor alle andere downgradescenario's moet u de gateway verwijderen en opnieuw maken, wat downtime met zich meebrengt.
Gatewaysubnet maken
Voordat u een ExpressRoute-gateway maakt, moet u een gatewaysubnet maken. De virtuele machines (VM's) en services van de virtuele netwerkgateway gebruiken IP-adressen die zich in het gatewaysubnet bevinden.
Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste ExpressRoute-gatewayinstellingen. Implementeer nooit iets anders in het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken, omdat Azure hiermee weet dat de vm's en services van de virtuele netwerkgateway in dit subnet moeten worden geïmplementeerd.
Notitie
Door de gebruiker gedefinieerde routes met een doel van 0.0.0.0/0 en netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Gateways met deze configuratie mogen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-route (Border Gateway Protocol) moet zijn ingeschakeld op het gatewaysubnet om de beschikbaarheid van de gateway te garanderen. Als doorgifte van BGP-routes is uitgeschakeld, werkt de gateway niet.
Diagnostiek, gegevenspad en controlepad kunnen worden beïnvloed als een door de gebruiker gedefinieerde route overlapt met het gateway-subnetbereik of het openbare IP van de gateway.
- Het is niet raadzaam om azure DNS Private Resolver te implementeren in een virtueel netwerk met een gateway voor een virtueel ExpressRoute-netwerk en jokertekenregels in te stellen om alle naamomzetting naar een specifieke DNS-server te leiden. Een dergelijke configuratie kan problemen met de beheerconnectiviteit veroorzaken.
Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.
Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De co-existentieconfiguratie van de ExpressRoute-/VPN-gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Bovendien wilt u ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om mogelijke toekomstige configuraties mogelijk te maken.
U wordt aangeraden een gatewaysubnet van /27 of groter te maken. Als u van plan bent om 16 ExpressRoute-circuits te verbinden met uw gateway, moet u een gatewaysubnet van /26 of groter maken. Als u een gatewaysubnet met dubbele stack maakt, raden we u aan ook een IPv6-bereik van /64 of groter te gebruiken. Deze installatie is geschikt voor de meeste configuraties.
In het volgende Azure Resource Manager PowerShell-voorbeeld ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie (Classless Interdomain Routing) een /27 opgeeft, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Belangrijk
NSG's in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.
Beperkingen en prestaties van virtuele netwerkgateway
Functieondersteuning door gateway-SKU
In de volgende tabel ziet u de functies die elk gatewaytype ondersteunt en het maximum aantal ExpressRoute-circuitverbindingen dat elke gateway-SKU ondersteunt.
| Gateway-SKU | Co-existentie van VPN-gateway en ExpressRoute | FastPath | Maximum aantal circuitverbindingen |
|---|---|---|---|
| Standard SKU/ERGw1Az | Ja | Nr. | 4 |
| High Perf SKU/ERGw2Az | Ja | Nr. | 8 |
| Ultra Performance SKU/ErGw3Az | Ja | Ja | 16 |
| ErGwScale (preview) | Ja | Ja - minimaal 10 schaaleenheden | 4 - minimaal 1 van de schaaleenheid 8 - minimaal 2 schaaleenheden 16 - minimaal 10 schaaleenheden |
Notitie
Het maximum aantal ExpressRoute-circuits vanaf dezelfde peeringlocatie dat verbinding kan maken met hetzelfde virtuele netwerk is 4 voor alle gateways.
Geschatte prestaties per gateway-SKU
De volgende tabellen bieden een overzicht van de verschillende typen gateways, hun respectieve beperkingen en de verwachte prestatiemetrieken. Deze getallen zijn afgeleid van de volgende testvoorwaarden en vertegenwoordigen de maximale ondersteuningslimieten. De werkelijke prestaties kunnen variëren, afhankelijk van de mate waarin verkeer deze testvoorwaarden repliceert.
Testvoorwaarden
| Gateway-SKU | Verkeer dat vanaf on-premises wordt verzonden | Aantal routes dat wordt geadverteerd door de gateway | Aantal routes dat is geleerd door gateway |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| High Performance/ERGw2Az | 2 Gbps | 500 | 9\.500 |
| Ultra Performance/ErGw3Az | 10 Gbps | 500 | 9\.500 |
| ErGwScale (per schaaleenheid) | 1 Gbps | 500 | 4000 |
Notitie
ExpressRoute kan maximaal 11.000 routes mogelijk maken die adresruimten van virtuele netwerken, on-premises netwerken en relevante peeringverbindingen voor virtuele netwerken omvatten. Om de stabiliteit van uw ExpressRoute-verbinding te waarborgen, moet u zich onthouden van het adverteren van meer dan 11.000 routes naar ExpressRoute.
Prestatieresultaten
Deze tabel is van toepassing op zowel de Azure Resource Manager- als de klassieke implementatiemodellen.
| Gateway-SKU | Megabits per seconde | Pakketten per seconde | Ondersteund aantal virtuele machines in het virtuele netwerk 1 | Limiet voor aantal stromen |
|---|---|---|---|---|
| Standard/ERGw1Az | 1.000 | 100.000 | 2.000 | 200.000 |
| High Performance/ERGw2Az | 2.000 | 200.000 | 4.500 | 400,000 |
| Ultra Performance/ErGw3Az | 10.000 | 1.000.000 | 11.000 | 1.000.000 |
| ErGwScale (per schaaleenheid) | 1.000 | 100.000 | 2.000 | 100.000 per schaaleenheid |
1 De waarden in de tabel zijn schattingen en variëren, afhankelijk van het CPU-gebruik van de gateway. Als het CPU-gebruik hoog is en het aantal ondersteunde VM's wordt overschreden, begint de gateway pakketten te verwijderen.
Belangrijk
- Toepassingsprestaties zijn afhankelijk van meerdere factoren, zoals end-to-end latentie en het aantal verkeersstromen dat de toepassing opent. De getallen in de tabel vertegenwoordigen de bovengrens die de toepassing theoretisch in een ideale omgeving kan bereiken. Daarnaast voeren we routine-host- en besturingssysteemonderhoud uit op de gateway van het virtuele ExpressRoute-netwerk om de betrouwbaarheid van de service te behouden. Tijdens een onderhoudsperiode wordt het besturingsvlak en de capaciteit van het gegevenspad van de gateway verminderd.
- Tijdens een onderhoudsperiode kunt u onregelmatige verbindingsproblemen ondervinden met privé-eindpuntbronnen.
- ExpressRoute ondersteunt een maximale TCP- en UDP-pakketgrootte van 1400 bytes. Pakketten groter dan 1400 bytes worden gefragmenteerd.
- Azure Route Server kan maximaal 4000 VM's ondersteunen. Deze limiet omvat VM's in virtuele netwerken die zijn gekoppeld. Zie Azure Route Server-beperkingen voor meer informatie.
Zone-redundante gateway-SKU's
U kunt ook ExpressRoute-gateways implementeren in Azure-beschikbaarheidszones. Door de gateways fysiek en logisch te scheiden in beschikbaarheidszones, kunt u uw on-premises netwerkconnectiviteit met Azure beschermen tegen fouten op zoneniveau.
Zone-redundante gateways maken gebruik van specifieke nieuwe gateway-SKU's voor ExpressRoute-gateways:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (preview)
De nieuwe gateway-SKU's ondersteunen ook andere implementatieopties die het beste aansluiten bij uw behoeften. Wanneer u een virtuele netwerkgateway maakt met behulp van de nieuwe gateway-SKU's, kunt u de gateway in een specifieke zone implementeren. Dit type gateway wordt een zonegebonden gateway genoemd. Wanneer u een zonegebonden gateway implementeert, worden alle exemplaren van de gateway geïmplementeerd in dezelfde beschikbaarheidszone.
Zie Gatewaymigratie voor meer informatie over het migreren van een ExpressRoute-gateway.
Schaalbare ExpressRoute-gateway (preview)
Met de gateway-SKU van het virtuele Netwerk ErGwScale kunt u 40 Gbps-connectiviteit met VM's en privé-eindpunten in het virtuele netwerk bereiken. Met deze SKU kunt u een minimale en maximale schaaleenheid instellen voor de gatewayinfrastructuur van het virtuele netwerk, die automatisch wordt geschaald op basis van de actieve bandbreedte of het aantal stromen. U kunt ook een vaste schaaleenheid instellen om een constante connectiviteit met een gewenste bandbreedtewaarde te behouden.
Implementatie van beschikbaarheidszone en regionale beschikbaarheid
ErGwScale ondersteunt zowel zonegebonden als zonegebonden redundante implementaties in Azure-beschikbaarheidszones. Raadpleeg de documentatie over zone-redundante en zone-redundante services voor meer informatie over deze concepten.
ErGwScale is beschikbaar in preview in de volgende regio's:
- Australië - oost
- Brazilië - zuid
- Canada - midden
- VS - oost
- Azië - oost
- Frankrijk - centraal
- Duitsland - west-centraal
- India - centraal
- Italië - noord
- Europa - noord
- Noorwegen - oost
- Zweden - centraal
- VAE - noord
- Verenigd Koninkrijk Zuid
- VS - west 2
- US - west 3
Automatisch schalen versus vaste schaaleenheid
De infrastructuur van de virtuele netwerkgateway wordt automatisch geschaald tussen de minimale en maximale schaaleenheid die u configureert, op basis van het bandbreedte- of stroomaantal. Het kan tot 30 minuten duren voordat de schaalbewerkingen zijn voltooid. Als u een vaste verbinding met een specifieke bandbreedtewaarde wilt bereiken, kunt u een vaste schaaleenheid configureren door de minimale schaaleenheid en de maximale schaaleenheid in te stellen op dezelfde waarde.
Beperkingen
- Basis-IP: ErGwScale biedt geen ondersteuning voor de Basic IP-SKU. U moet een Standard IP-SKU gebruiken om ErGwScale te configureren.
- Minimum- en maximumschaaleenheden: u kunt de schaaleenheid voor ErGwScale tussen 1 en 40 configureren. De minimale schaaleenheid mag niet lager zijn dan 1 en de maximale schaaleenheid mag niet hoger zijn dan 40.
- Migratiescenario's: u kunt in de preview niet migreren van Standard/ErGw1Az of HighPerf/ErGw2Az/UltraPerf/ErGw3Az naar ErGwScale.
Prijzen
ErGwScale is gratis tijdens de preview. Zie prijzen voor Azure ExpressRoute voor meer informatie over prijzen voor ExpressRoute.
Ondersteunde prestaties per schaaleenheid
| Schaaleenheid | Bandbreedte (Gbps) | Pakketten per seconde | Verbindingen per seconde | Maximum aantal VM-verbindingen 1 | Maximum aantal stromen |
|---|---|---|---|---|---|
| 1-10 | 1 | 100.000 | 7\.000 | 2.000 | 100.000 |
| 11-40 | 1 | 100.000 | 7\.000 | 1000 | 100.000 |
Voorbeeldprestaties met schaaleenheid
| Schaaleenheid | Bandbreedte (Gbps) | Pakketten per seconde | Verbindingen per seconde | Maximum aantal VM-verbindingen 1 | Maximum aantal stromen |
|---|---|---|---|---|---|
| 10 | 10 | 1.000.000 | 70,000 | 20,000 | 1.000.000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 Maximale VM-verbindingen worden anders geschaald dan 10 schaaleenheden. De eerste 10 schaaleenheden bieden capaciteit voor 2000 VM's per schaaleenheid. Schaaleenheden 11 en hoger bieden 1000 meer VM-capaciteit per schaaleenheid.
Connectiviteit van VNet naar VNet en van VNet naar virtual WAN
VNet-naar-VNet- en VNet-naar-virtual-WAN-connectiviteit is standaard uitgeschakeld via een ExpressRoute-circuit voor alle gateway-SKU's. Als u deze connectiviteit wilt inschakelen, moet u de gateway van het virtuele ExpressRoute-netwerk configureren om dit verkeer toe te staan. Zie de richtlijnen voor virtuele netwerkconnectiviteit via ExpressRoute voor meer informatie. Zie VNet-naar-VNet- of VNet-naar-virtual-WAN-connectiviteit via ExpressRoute inschakelen om dit verkeer in te schakelen.
FastPath
De virtuele ExpressRoute-netwerkgateway is ontworpen om netwerkroutes uit te wisselen en netwerkverkeer te routeren. FastPath is bedoeld om de prestaties van gegevenspaden tussen het on-premises netwerk en het virtuele netwerk te verbeteren. Wanneer FastPath is ingeschakeld, wordt netwerkverkeer rechtstreeks naar virtuele machines in het virtuele netwerk verzonden, waardoor de gateway wordt overgeslagen.
Zie Over FastPath voor meer informatie over FastPath, inclusief beperkingen en vereisten.
Connectiviteit met privé-eindpunten
De gateway van het virtuele ExpressRoute-netwerk vereenvoudigt de connectiviteit met privé-eindpunten die zijn geïmplementeerd in hetzelfde virtuele netwerk als de gateway van het virtuele netwerk en tussen peers van virtuele netwerken.
Belangrijk
- De doorvoer- en besturingsvlakcapaciteit voor connectiviteit met privé-eindpuntresources kan met de helft worden verminderd in vergelijking met connectiviteit met niet-privé-eindpuntresources.
- Tijdens een onderhoudsperiode kunt u onregelmatige verbindingsproblemen ondervinden met privé-eindpuntbronnen.
- U moet ervoor zorgen dat on-premises configuratie, inclusief router- en firewallinstellingen, correct zijn ingesteld om ervoor te zorgen dat pakketten voor de IP 5-tuple-transits één volgende hop (Microsoft Enterprise Edge-router) gebruiken, tenzij er een onderhoudsgebeurtenis is. Als uw on-premises firewall of routerconfiguratie dezelfde IP 5-tuple veroorzaakt om regelmatig te schakelen tussen volgende hops, ondervindt u verbindingsproblemen.
Privé-eindpuntconnectiviteit en gepland onderhoud
De connectiviteit van privé-eindpunten is stateful. Wanneer een verbinding met een privé-eindpunt tot stand is gebracht via persoonlijke ExpressRoute-peering, worden binnenkomende en uitgaande verbindingen gerouteerd via een van de back-endexemplaren van de gatewayinfrastructuur. Tijdens een onderhoudsgebeurtenis worden back-endinstanties van de gatewayinfrastructuur van het virtuele netwerk één voor één opnieuw opgestart, wat kan leiden tot onregelmatige connectiviteitsproblemen.
Als u connectiviteitsproblemen met privé-eindpunten tijdens onderhoudsactiviteiten wilt voorkomen of minimaliseren, raden we u aan de TCP-time-outwaarde tussen 15 en 30 seconden in uw on-premises toepassingen in te stellen. Test en configureer de optimale waarde op basis van uw toepassingsvereisten.
REST API's en PowerShell-cmdlets
Zie de volgende pagina's voor meer technische resources en specifieke syntaxisvereisten wanneer u REST API's en PowerShell-cmdlets gebruikt voor configuraties van virtuele netwerkgateways:
| Klassiek | Resource Manager |
|---|---|
| Powershell | Powershell |
| REST API | REST API |
VNet-naar-VNet-connectiviteit
Standaard is connectiviteit tussen virtuele netwerken ingeschakeld wanneer u meerdere virtuele netwerken koppelt aan hetzelfde ExpressRoute-circuit. Het wordt afgeraden uw ExpressRoute-circuit te gebruiken voor communicatie tussen virtuele netwerken. In plaats daarvan raden we u aan peering van virtuele netwerken te gebruiken. Zie Connectiviteit tussen virtuele netwerken via ExpressRoute voor meer informatie over waarom VNet-naar-VNet-connectiviteit niet wordt aanbevolen via ExpressRoute.
Peering op virtueel netwerk
Een virtueel netwerk met een ExpressRoute-gateway kan peering van virtuele netwerken hebben met maximaal 500 andere virtuele netwerken. Peering van virtuele netwerken zonder een ExpressRoute-gateway heeft mogelijk een hogere peeringbeperking.
Gerelateerde inhoud
Zie Overzicht van ExpressRoute voor meer informatie over beschikbare verbindingsconfiguraties.
Zie Een virtuele netwerkgateway maken voor ExpressRoute voor meer informatie over het maken van ExpressRoute-gateways.
Zie Een virtuele netwerkgateway configureren voor ExpressRoute met behulp van Azure Portal voor meer informatie over het implementeren van ErGwScale.
Zie Een zone-redundante virtuele netwerkgateway maken voor meer informatie over het configureren van zone-redundante gateways.