Informacje na temat bram sieci wirtualnej usługi ExpressRoute
Aby połączyć sieć wirtualną platformy Azure i sieć lokalną przy użyciu usługi Azure ExpressRoute, musisz najpierw utworzyć bramę sieci wirtualnej. Brama sieci wirtualnej służy dwóm celom: wymiany tras IP między sieciami i kierowania ruchu sieciowego.
W tym artykule opisano różne typy bram, jednostki SKU bramy i szacowaną wydajność według jednostki SKU. W tym artykule wyjaśniono również funkcję ExpressRoute FastPath, która umożliwia ruch sieciowy z sieci lokalnej w celu obejścia bramy sieci wirtualnej w celu zwiększenia wydajności.
Typy bram
Podczas tworzenia bramy sieci wirtualnej należy określić kilka ustawień. Jedno z wymaganych ustawień określa, -GatewayTypeczy brama jest używana dla ruchu usługi ExpressRoute czy sieci VPN. Dwa typy bram to:
Vpn: Aby wysyłać zaszyfrowany ruch przez publiczny Internet, użyj poleceniaVpn-GatewayType(nazywanej również bramą sieci VPN). Połączenia typu lokacja-lokacja, punkt-lokacja i połączenia między sieciami wirtualnymi używają bramy sieci VPN.ExpressRoute: Aby wysyłać ruch sieciowy w połączeniu prywatnym, użyj poleceniaExpressRoute-GatewayType(nazywanej również bramą usługi ExpressRoute). Ten typ bramy jest używany podczas konfigurowania usługi ExpressRoute.
Każda sieć wirtualna może mieć tylko jedną bramę sieci wirtualnej na typ bramy. Można na przykład mieć jedną bramę sieci wirtualnej, która używa Vpn elementu dla -GatewayTypeprogramu , oraz bramę używaną dla -GatewayTypeprogramu ExpressRoute .
Jednostki SKU bramy
Podczas tworzenia bramy sieci wirtualnej musisz wybrać jednostkę SKU bramy do użycia. Po wybraniu wyższej jednostki SKU bramy do bramy zostanie przydzielonych więcej procesorów CPU i przepustowości sieci. W związku z tym brama może obsługiwać większą przepływność sieci do sieci wirtualnej.
Bramy sieci wirtualnej usługi ExpressRoute mogą używać następujących jednostek SKU:
- ERGwScale (wersja zapoznawcza)
- Standardowa
- Wysoka wydajność (HighPerformance)
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Jeśli chcesz uaktualnić bramę do jednostki SKU bramy o wyższej pojemności, możesz użyć narzędzia do migracji bezproblemowej bramy w witrynie Azure Portal lub programie PowerShell. Obsługiwane są następujące uaktualnienia:
- Jednostka SKU bez obsługi modułu Az w podstawowym adresie IP do jednostki SKU bez obsługi modułu Az w standardowym adresie IP
- Jednostka SKU z włączoną obsługą modułu Az w podstawowym adresie IP do jednostki SKU z obsługą modułu Az w standardowym adresie IP
- Jednostka SKU z obsługą modułu Az w standardowym adresie IP do jednostki SKU z obsługą modułu Az w standardowym adresie IP
Aby uzyskać więcej informacji, zobacz Migrowanie do bramy z obsługą strefy dostępności.
W przypadku wszystkich innych scenariuszy obniżania poziomu należy usunąć i ponownie utworzyć bramę, co powoduje przestój.
Tworzenie podsieci bramy
Przed utworzeniem bramy usługi ExpressRoute należy utworzyć podsieć bramy. Maszyny wirtualne i usługi bramy sieci wirtualnej używają adresów IP zawartych w podsieci bramy.
Podczas tworzenia bramy sieci wirtualnej maszyny wirtualne bramy są wdrażane w podsieci bramy i konfigurowane przy użyciu wymaganych ustawień bramy usługi ExpressRoute. Nigdy nie wdrażaj żadnych innych elementów w podsieci bramy. Podsieć bramy musi mieć nazwę "GatewaySubnet", aby działała prawidłowo, ponieważ w ten sposób platforma Azure informuje platformę Azure o wdrażaniu maszyn wirtualnych i usług bramy sieci wirtualnej w tej podsieci.
Uwaga
Trasy zdefiniowane przez użytkownika z lokalizacją docelową 0.0.0.0/0 i sieciowymi grupami zabezpieczeń w podsieci bramy nie są obsługiwane. Bramy z tą konfiguracją nie mogą być tworzone. Bramy wymagają dostępu do kontrolerów zarządzania, aby funkcjonowały prawidłowo. Propagacja tras protokołu BGP (Border Gateway Protocol) powinna być włączona w podsieci bramy, aby zapewnić dostępność bramy. Jeśli propagacja tras protokołu BGP jest wyłączona, brama nie będzie działać.
Może to mieć wpływ na diagnostykę, ścieżkę danych i ścieżkę sterowania, jeśli trasa zdefiniowana przez użytkownika nakłada się na zakres podsieci bramy lub zakres publicznych adresów IP bramy.
- Nie zalecamy wdrażania prywatnego rozpoznawania nazw usługi Azure DNS w sieci wirtualnej, która ma bramę sieci wirtualnej usługi ExpressRoute i ustawia reguły wieloznaczne, aby kierować wszystkie rozpoznawanie nazw do określonego serwera DNS. Taka konfiguracja może powodować problemy z łącznością zarządzania.
Podczas tworzenia podsieci bramy należy określić liczbę zawartych w niej adresów IP. Adresy IP w podsieci bramy są przydzielane do maszyn wirtualnych bramy i usług bramy. Niektóre konfiguracje wymagają większej liczby adresów IP niż inne.
Podczas planowania rozmiaru podsieci bramy zapoznaj się z dokumentacją konfiguracji, którą planujesz utworzyć. Na przykład konfiguracja współistnienia bramy ExpressRoute/VPN wymaga większej podsieci bramy niż większość innych konfiguracji. Ponadto warto upewnić się, że podsieć bramy zawiera wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.
Zalecamy utworzenie podsieci bramy /27 lub większej. Jeśli planujesz połączyć 16 obwodów usługi ExpressRoute z bramą, musisz utworzyć podsieć bramy /26 lub większą. Jeśli tworzysz podsieć bramy z podwójnym stosem, zalecamy również użycie zakresu IPv6 /64 lub większego. Ta konfiguracja obejmuje większość konfiguracji.
Poniższy przykład programu PowerShell usługi Azure Resource Manager przedstawia podsieć bramy o nazwie GatewaySubnet. Widać, że notacja routingu międzydomenowego bezklasowego (CIDR) określa /27, co pozwala na wystarczającą liczbę adresów IP dla większości obecnie istniejących konfiguracji.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Ważne
Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.
Ograniczenia i wydajność bramy sieci wirtualnej
Obsługa funkcji według jednostki SKU bramy
W poniższej tabeli przedstawiono funkcje obsługiwane przez każdy typ bramy oraz maksymalną liczbę połączeń obwodu usługi ExpressRoute, które obsługuje każda jednostka SKU bramy.
| Jednostka SKU bramy | Współistnienie bramy sieci VPN i usługi ExpressRoute | FastPath | Maksymalna liczba połączeń obwodu |
|---|---|---|---|
| Standardowa jednostka SKU/ERGw1Az | Tak | Nie. | 100 |
| Wysoka jednostka SKU wydajności/ERGw2Az | Tak | Nie. | 8 |
| Jednostka SKU ultrawydajna/ErGw3Az | Tak | Tak | 16 |
| ErGwScale (wersja zapoznawcza) | Tak | Tak — co najmniej 10 jednostek skalowania | 4 — minimum 1 jednostki skalowania 8 — co najmniej 2 jednostki skalowania 16 — co najmniej 10 jednostek skalowania |
Uwaga
Maksymalna liczba obwodów usługi ExpressRoute z tej samej lokalizacji komunikacji równorzędnej, która może łączyć się z tą samą siecią wirtualną, wynosi 4 dla wszystkich bram.
Szacowane wydajności według jednostki SKU bramy
Poniższe tabele zawierają omówienie różnych typów bram, ich odpowiednich ograniczeń i oczekiwanych metryk wydajności. Te liczby pochodzą z następujących warunków testowania i reprezentują maksymalne limity obsługi. Rzeczywista wydajność może się różnić w zależności od tego, jak ściśle ruch replikuje te warunki testowania.
Warunki testowania
| Jednostka SKU bramy | Ruch wysyłany ze środowiska lokalnego | Liczba tras anonsowanych przez bramę | Liczba tras poznanych przez bramę |
|---|---|---|---|
| Standardowa/ERGw1Az | 1 Gb/s | 500 | 4000 |
| Wysoka wydajność/ERGw2Az | 2 Gb/s | 500 | 9 500 |
| Najwyższa wydajność/ErGw3Az | 10 Gb/s | 500 | 9 500 |
| ErGwScale (na jednostkę skalowania) | 1 Gb/s | 500 | 4000 |
Uwaga
Usługa ExpressRoute może ułatwić maksymalnie 11 000 tras obejmujących przestrzenie adresowe sieci wirtualnej, sieci lokalne i wszelkie odpowiednie połączenia komunikacji równorzędnej sieci wirtualnych. Aby zapewnić stabilność połączenia usługi ExpressRoute, powstrzymaj się od reklamowania ponad 11 000 tras do usługi ExpressRoute.
Wyniki wydajności
Ta tabela dotyczy zarówno modeli wdrażania klasycznego, jak i usługi Azure Resource Manager.
| Jednostka SKU bramy | Megabity na sekundę | Pakiety na sekundę | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej 1 | Limit liczby przepływów |
|---|---|---|---|---|
| Standardowa/ERGw1Az | 1000 | 100 000 | 2000 | 200,000 |
| Wysoka wydajność/ERGw2Az | 2000 | 200,000 | 4500 | 400 000 |
| Najwyższa wydajność/ErGw3Az | 10 000 | 1 000 000 | 11 000 | 1 000 000 |
| ErGwScale (na jednostkę skalowania) | 1000 | 100 000 | 2000 | 100 000 na jednostkę skalowania |
1 Wartości w tabeli są szacowane i różnią się w zależności od wykorzystania procesora CPU bramy. Jeśli wykorzystanie procesora CPU jest wysokie i liczba obsługiwanych maszyn wirtualnych zostanie przekroczona, brama zacznie usuwać pakiety.
Ważne
- Wydajność aplikacji zależy od wielu czynników, takich jak kompleksowe opóźnienie i liczba przepływów ruchu otwieranych przez aplikację. Liczby w tabeli reprezentują górny limit, który aplikacja może teoretycznie osiągnąć w idealnym środowisku. Ponadto przeprowadzamy rutynową konserwację hosta i systemu operacyjnego w bramie sieci wirtualnej usługi ExpressRoute, aby zachować niezawodność usługi. W okresie konserwacji przepustowość płaszczyzny sterowania i ścieżki danych bramy jest zmniejszona.
- W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
- Usługa ExpressRoute obsługuje maksymalny rozmiar pakietów TCP i UDP wynoszący 1400 bajtów. Rozmiary pakietów większe niż 1400 bajtów zostaną pofragmentowane.
- Usługa Azure Route Server może obsługiwać maksymalnie 4000 maszyn wirtualnych. Ten limit obejmuje maszyny wirtualne w sieciach wirtualnych, które są równorzędne. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi Azure Route Server.
Jednostki SKU bramy strefowo nadmiarowej
Bramy usługi ExpressRoute można również wdrożyć w strefach dostępności platformy Azure. Fizycznie i logicznie oddzielając bramy do stref dostępności, pomaga chronić lokalną łączność sieciową z platformą Azure przed awariami na poziomie strefy.
Bramy strefowo nadmiarowe używają określonych nowych jednostek SKU bramy dla bram usługi ExpressRoute:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (wersja zapoznawcza)
Nowe jednostki SKU bramy obsługują również inne opcje wdrażania, aby najlepiej dopasować je do Twoich potrzeb. Podczas tworzenia bramy sieci wirtualnej przy użyciu nowych jednostek SKU bramy można wdrożyć bramę w określonej strefie. Ten typ bramy jest nazywany bramą strefową. Podczas wdrażania bramy strefowej wszystkie wystąpienia bramy są wdrażane w tej samej strefie dostępności.
Aby dowiedzieć się więcej na temat migrowania bramy usługi ExpressRoute, zobacz Migracja bramy.
Skalowalna brama usługi ExpressRoute (wersja zapoznawcza)
Jednostka SKU bramy sieci wirtualnej ErGwScale umożliwia osiągnięcie łączności 40 Gb/s z maszynami wirtualnymi i prywatnymi punktami końcowymi w sieci wirtualnej. Ta jednostka SKU umożliwia ustawienie minimalnej i maksymalnej jednostki skalowania dla infrastruktury bramy sieci wirtualnej, która automatycznie skaluje się na podstawie aktywnej przepustowości lub liczby przepływów. Można również ustawić stałą jednostkę skalowania, aby zachować stałą łączność z żądaną wartością przepustowości.
Wdrażanie strefy dostępności i dostępność regionalna
Aplikacja ErGwScale obsługuje wdrożenia strefowe i strefowo nadmiarowe w strefach dostępności platformy Azure. Aby uzyskać więcej informacji na temat tych pojęć, zapoznaj się z dokumentacją usług strefowych i strefowo nadmiarowych.
ErGwScale jest dostępna w wersji zapoznawczej w następujących regionach:
- Australia Wschodnia
- Brazylia Południowa
- Kanada Środkowa
- Wschodnie stany USA
- Azja Wschodnia
- Francja Środkowa
- Niemcy Środkowo-Zachodnie
- Indie Środkowe
- Włochy Północne
- Europa Północna
- Norwegia Wschodnia
- Szwecja Środkowa
- Północne Zjednoczone Emiraty Arabskie
- Południowe Zjednoczone Królestwo
- Zachodnie stany USA 2
- Zachodnie stany USA 3
Autoskalowanie a stała jednostka skalowania
Infrastruktura bramy sieci wirtualnej automatycznie skaluje się między skonfigurowaną minimalną i maksymalną jednostką skalowania na podstawie wykorzystania przepustowości lub liczby przepływów. Wykonywanie operacji skalowania może potrwać do 30 minut. Jeśli chcesz uzyskać stałą łączność z określoną wartością przepustowości, możesz skonfigurować stałą jednostkę skalowania, ustawiając minimalną jednostkę skalowania i maksymalną jednostkę skalowania na tę samą wartość.
Ograniczenia
- Podstawowy adres IP: ErGwScale nie obsługuje podstawowej jednostki SKU IP. Aby skonfigurować ErGwScale, należy użyć jednostki SKU ip w warstwie Standardowa.
- Minimalna i maksymalna liczba jednostek skalowania: możesz skonfigurować jednostkę skalowania dla skali ErGwScale z zakresu od 1 do 40. Minimalna jednostka skalowania nie może być niższa niż 1, a maksymalna jednostka skalowania nie może być wyższa niż 40.
- Scenariusze migracji: nie można przeprowadzić migracji z warstwy Standardowa/ErGw1Az lub HighPerf/ErGw2Az/UltraPerf/ErGw3Az do warstwy ErGwScale w wersji zapoznawczej.
Cennik
ErGwScale jest bezpłatnie dostępna w okresie obowiązywania wersji zapoznawczej. Aby uzyskać informacje o cenach usługi ExpressRoute, zobacz Cennik usługi Azure ExpressRoute.
Obsługiwana wydajność na jednostkę skalowania
| Jednostka skalowania | Przepustowość (Gb/s) | Pakiety na sekundę | Połączenia na sekundę | Maksymalna liczba połączeń maszyn wirtualnych 1 | Maksymalna liczba przepływów |
|---|---|---|---|---|---|
| 1-10 | 1 | 100 000 | 7 000 | 2000 | 100 000 |
| 11-40 | 1 | 100 000 | 7 000 | 1000 | 100 000 |
Przykładowa wydajność z jednostką skalowania
| Jednostka skalowania | Przepustowość (Gb/s) | Pakiety na sekundę | Połączenia na sekundę | Maksymalna liczba połączeń maszyn wirtualnych 1 | Maksymalna liczba przepływów |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70,000 | 20,000 | 1 000 000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 Maksymalna liczba połączeń maszyn wirtualnych jest skalowana inaczej niż 10 jednostek skalowania. Pierwsze 10 jednostek skalowania zapewnia pojemność 2000 maszyn wirtualnych na jednostkę skalowania. Jednostki skalowania 11 i nowsze zapewniają 1000 więcej pojemności maszyn wirtualnych na jednostkę skalowania.
Łączność z sieci wirtualnej do sieci wirtualnej i z sieci wirtualnej do wirtualnej sieci WAN
Domyślnie łączność między sieciami wirtualnymi i wirtualnymi sieciami wirtualnymi w sieci WAN jest wyłączona za pośrednictwem obwodu usługi ExpressRoute dla wszystkich jednostek SKU bramy. Aby włączyć tę łączność, należy skonfigurować bramę sieci wirtualnej usługi ExpressRoute, aby zezwolić na ten ruch. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące łączności sieci wirtualnej za pośrednictwem usługi ExpressRoute. Aby włączyć ten ruch, zobacz Włączanie łączności między sieciami wirtualnymi lub sieciami wirtualnymi za pośrednictwem usługi ExpressRoute.
FastPath
Brama sieci wirtualnej usługi ExpressRoute jest przeznaczona do wymiany tras sieciowych i kierowania ruchu sieciowego. Funkcja FastPath jest zaprojektowana do zwiększania wydajności ścieżki danych między siecią lokalną a siecią wirtualną. Gdy funkcja FastPath jest włączona, wysyła ruch sieciowy bezpośrednio do maszyn wirtualnych w sieci wirtualnej, pomijając bramę.
Aby uzyskać więcej informacji na temat funkcji FastPath, w tym ograniczeń i wymagań, zobacz About FastPath (Informacje o programie FastPath).
Łączność z prywatnymi punktami końcowymi
Brama sieci wirtualnej usługi ExpressRoute ułatwia łączność z prywatnymi punktami końcowymi wdrożonym w tej samej sieci wirtualnej co brama sieci wirtualnej i między sieciami równorzędnymi.
Ważne
- Pojemność przepływności i płaszczyzny sterowania na potrzeby łączności z zasobami prywatnego punktu końcowego może zostać zmniejszona o połowę w porównaniu z łącznością z zasobami innych niż prywatne punkty końcowe.
- W okresie konserwacji mogą wystąpić sporadyczne problemy z łącznością z zasobami prywatnego punktu końcowego.
- Należy upewnić się, że konfiguracja lokalna, w tym ustawienia routera i zapory, jest poprawnie skonfigurowana, aby upewnić się, że pakiety dla przesyłania krotki IP 5 używają pojedynczego następnego przeskoku (router microsoft Enterprise Edge), chyba że wystąpi zdarzenie konserwacji. Jeśli lokalna zapora lub konfiguracja routera powoduje częste przełączanie następnego przeskoku tego samego adresu IP 5, wystąpią problemy z łącznością.
Łączność z prywatnym punktem końcowym i zdarzenia planowanej konserwacji
Łączność prywatnego punktu końcowego jest stanowa. Po nawiązaniu połączenia z prywatnym punktem końcowym za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute połączenia przychodzące i wychodzące są kierowane za pośrednictwem jednego z wystąpień zaplecza infrastruktury bramy. Podczas zdarzenia konserwacji wystąpienia zaplecza infrastruktury bramy sieci wirtualnej są jednocześnie ponownie uruchamiane, co może prowadzić do sporadycznych problemów z łącznością.
Aby uniknąć lub zminimalizować problemy z łącznością z prywatnymi punktami końcowymi podczas działań konserwacyjnych, zalecamy ustawienie wartości limitu czasu protokołu TCP w zakresie od 15 do 30 sekund w aplikacjach lokalnych. Przetestuj i skonfiguruj optymalną wartość na podstawie wymagań aplikacji.
Interfejsy API REST i polecenia cmdlet programu PowerShell
Zapoznaj się z następującymi stronami, aby uzyskać więcej zasobów technicznych i określonych wymagań składniowych podczas korzystania z interfejsów API REST i poleceń cmdlet programu PowerShell dla konfiguracji bramy sieci wirtualnej:
| Klasyczny | Resource Manager |
|---|---|
| Program PowerShell | Program PowerShell |
| Interfejs API REST | Interfejs API REST |
Łączność między sieciami wirtualnymi
Domyślnie łączność między sieciami wirtualnymi jest włączona po połączeniu wielu sieci wirtualnych z tym samym obwodem usługi ExpressRoute. Nie zalecamy używania obwodu usługi ExpressRoute do komunikacji między sieciami wirtualnymi. Zamiast tego zalecamy używanie komunikacji równorzędnej sieci wirtualnych. Aby uzyskać więcej informacji na temat tego, dlaczego łączność między sieciami wirtualnymi nie jest zalecana za pośrednictwem usługi ExpressRoute, zobacz Łączność między sieciami wirtualnymi za pośrednictwem usługi ExpressRoute.
Komunikacja równorzędna sieci wirtualnej
Sieć wirtualna z bramą usługi ExpressRoute może mieć komunikację równorzędną sieci wirtualnych z maksymalnie 500 innymi sieciami wirtualnymi. Komunikacja równorzędna sieci wirtualnych bez bramy usługi ExpressRoute może mieć większe ograniczenie komunikacji równorzędnej.
Powiązana zawartość
Aby uzyskać więcej informacji na temat dostępnych konfiguracji połączeń, zobacz ExpressRoute Overview (Omówienie usługi ExpressRoute).
Aby uzyskać więcej informacji na temat tworzenia bram usługi ExpressRoute, zobacz Tworzenie bramy sieci wirtualnej dla usługi ExpressRoute.
Aby uzyskać więcej informacji na temat wdrażania usługi ErGwScale, zobacz Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu witryny Azure Portal.
Aby uzyskać więcej informacji na temat konfigurowania strefowo nadmiarowych bram, zobacz Tworzenie strefowo nadmiarowej bramy sieci wirtualnej.
Aby uzyskać więcej informacji o programie FastPath, zobacz About FastPath (Informacje o programie FastPath).