Sobre os gateways de rede virtual do ExpressRoute
Para conectar sua rede virtual do Azure (VNet) e sua rede local usando o Azure ExpressRoute, você deve primeiro criar um gateway de rede virtual. Um gateway de rede virtual tem dois propósitos: trocar rotas IP entre redes e rotear o tráfego de rede.
Este artigo explica os diferentes tipos de gateway, as SKUs de gateway e o desempenho estimado por SKU. Este artigo também explica o ExpressRoute FastPath, um recurso que permite que o tráfego de rede da sua rede local ignore o gateway da rede virtual para melhorar o desempenho.
Tipos de gateway
Quando você cria um gateway de rede virtual, precisa especificar várias configurações. Uma das configurações obrigatórias, -GatewayType, especifica se o gateway é usado para tráfego do ExpressRoute ou VPN. Os dois tipos de gateway são:
Vpn: Para enviar o tráfego criptografado pela Internet pública, useVpnpara-GatewayType(também chamado de gateway de VPN). Conexões de site a site, ponto a site e VNet para VNet usam um gateway de VPN.ExpressRoute: Para enviar tráfego de rede em uma conexão privada, useExpressRoutepara-GatewayType(também chamado de gateway do ExpressRoute). Esse tipo de gateway é usado ao configurar o ExpressRoute.
Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, você pode ter um gateway de rede virtual que usa Vpn para -GatewayType e outro que usa ExpressRoute para -GatewayType.
SKUs de gateway
Ao criar um gateway de rede virtual, você precisa especificar o SKU do gateway que você deseja usar. Ao selecionar uma SKU de gateway mais alta, mais CPUs e largura de banda de rede são alocadas para o gateway. Como resultado, o gateway pode dar suporte a uma taxa de transferência de rede mais alta para a rede virtual.
Os gateways de rede virtual de ExpressRoute podem usar os seguintes SKUs:
- ERGwScale (versão prévia)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Se você quiser atualizar seu gateway para uma SKU de gateway de maior capacidade, poderá usar a ferramenta de Migração de Gateway Sem Interrupção no portal do Azure ou no PowerShell. Há suporte para as seguintes atualizações:
- SKU não habilitada para Az no IP Básico para SKU não habilitada para Az no IP Standard
- SKU não habilitada para Az no IP Básico para SKU compatível com Az no IP Standard
- SKU não habilitada para Az no IP Standard para SKU compatível com Az no IP Standard
Para obter mais informações, consulte Migrar para um gateway habilitado para zona de disponibilidade.
Para todos os outros cenários de downgrade, você precisará excluir e recriar o gateway, o que gera tempo de inatividade.
Criação da sub-rede do gateway
Antes de criar um gateway de ExpressRoute, crie uma sub-rede de gateway. As máquinas virtuais (VMs) e os serviços do gateway de rede virtual usam os endereços IP que estão contidos na sub-rede do gateway.
Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de ExpressRoute. Nunca implante mais nada na sub-rede de gateway. A sub-rede do gateway deve ser nomeada "GatewaySubnet" para funcionar corretamente, pois isso permite que o Azure saiba que deve implantar as VMs e os serviços do gateway de rede virtual nessa sub-rede.
Observação
Roteamento definido pelo usuário com um destino 0.0.0.0/0 e grupos de segurança de rede (NSGs) na sub-rede do gateway não têm suporte. Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas do Border Gateway Protocol (BGP) deve estar habilitada na sub-rede do gateway para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver desabilitada, o gateway não funcionará.
O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.
- Não recomendamos implantar o Resolvedor Privado de DNS do Azure em uma rede virtual que tenha um gateway de rede virtual do ExpressRoute e definir regras curinga para direcionar toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.
Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência do gateway do ExpressRoute/VPN requer uma sub-rede do gateway maior do que a maioria das outras configurações. Além disso, você pode querer garantir que sua sub-rede do gateway contenha endereços IP suficientes para acomodar possíveis configurações futuras.
Recomendamos que você crie uma sub-rede do gateway de /27 ou maior. Se você planeja conectar 16 circuitos do ExpressRoute ao seu gateway, deverá criar uma sub-rede do gateway de /26 ou maior. Se você estiver criando uma sub-rede de gateway de pilha dupla, é recomendável que você também use um intervalo IPv6 de /64 ou maior. Essa configuração acomoda a maioria das configurações.
O exemplo a seguir do PowerShell do Azure Resource Manager mostra uma sub-rede do gateway chamada GatewaySubnet. Você pode ver que a notação CIDR (Roteamento entre Domínios sem Classificação) especifica um /27, que permite endereços IP suficientes para a maioria das configurações atualmente existentes.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
NSGs na sub-rede do gateway não têm suporte. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.
Limitações e desempenho do gateway de rede virtual
Suporte de recurso por SKU de gateway
A tabela a seguir mostra os recursos que cada tipo de gateway dá suporte e o número máximo de conexões de circuitos do ExpressRoute que cada SKU de gateway dá suporte.
| SKU de gateway | Coexistência do gateway de VPN e ExpressRoute | FastPath | Número máximo de conexões de circuitos |
|---|---|---|---|
| SKU Standard/ERGw1Az | Sim | Não | 4 |
| SKU de Alto Desempenho/ERGw2Az | Sim | Não | 8 |
| SKU de Ultra Desempenho/ErGw3Az | Sim | Sim | 16 |
| ErGwScale (versão prévia) | Sim | Sim – mínimo de 10 unidades de escala | 4 – mínimo de 1 unidade de escala 8 – mínimo de 2 unidades de escala 16 – mínimo de 10 unidades de escala |
Observação
O número máximo de circuitos do ExpressRoute do mesmo local de emparelhamento que pode se conectar à mesma rede virtual é 4, para todos os gateways.
Desempenhos estimados por SKU de gateway
As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respectivas limitações e as métricas de desempenho esperadas. Esses números são derivados das seguintes condições de teste e representam os limites máximos de suporte. O desempenho real pode variar, dependendo de como o tráfego replica essas condições de teste.
Condições de teste
| SKU de gateway | Tráfego enviado do local | Número de rotas anunciadas pelo gateway | Número de rotas aprendidas pelo gateway |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4.000 |
| Alto Desempenho/ERGw2Az | 2 Gbps | 500 | 9\.500 |
| Ultra Desempenho/ErGw3Az | 10 Gbps | 500 | 9\.500 |
| ErGwScale (por unidade de escala) | 1 Gbps | 500 | 4.000 |
Observação
O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de rede virtual, redes locais e quaisquer conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão do ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute.
Resultados de desempenho
Essa tabela se aplica tanto aos modelos de implantação clássicos quanto do Azure Resource Manager.
| SKU de gateway | Megabits por segundo | Pacotes por segundo | Número de VMs com suporte na rede virtual1 | Limite do número de fluxos |
|---|---|---|---|---|
| Standard/ERGw1Az | 1.000 | 100.000 | 2.000 | 200.000 |
| Alto Desempenho/ERGw2Az | 2\.000 | 200.000 | 4\.500 | 400.000 |
| Ultra Desempenho/ErGw3Az | 10.000 | 1\.000.000 | 11.000 | 1\.000.000 |
| ErGwScale (por unidade de escala) | 1.000 | 100.000 | 2.000 | 100.000 por unidade de escala |
1 Os valores na tabela são estimados e variam de acordo com a utilização da CPU pelo gateway. Se a utilização da CPU for alta e o número de VMs com suporte for excedido, o gateway começará a descartar pacotes.
Importante
- O desempenho do aplicativo depende de vários fatores, como latência ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que o aplicativo, teoricamente, pode atingir em um ambiente ideal. Além disso, realizamos rotineiramente a manutenção do host e do sistema operacional no gateway de rede virtual do ExpressRoute para manter a confiabilidade do serviço. Durante o período de manutenção, a capacidade do painel de controle e do caminho de dados do gateway é reduzida.
- Durante um período de manutenção, você poderá enfrentar problemas de conectividade intermitente com recursos de ponto de extremidade privado.
- O ExpressRoute dá suporte a um tamanho máximo de pacote TCP e UDP de 1.400 bytes. Pacotes maiores que 1.400 bytes serão fragmentados.
- O Servidor de Rota do Azure pode dar suporte para até 4.000 VMs. Esse limite inclui VMs em redes virtuais que são emparelhadas. Para obter mais informações, confira Limitações do Servidor de Rota do Azure.
SKUs de gateway redundantes de zona
Você também pode implantar gateways do ExpressRoute em zonas de disponibilidade do Azure. Separar física e logicamente os gateways em zonas de disponibilidade ajuda a proteger a conectividade da rede local com o Azure contra falhas em nível de zona.
Gateways com redundância de zona usam novas SKUs de gateway específicas para gateways do ExpressRoute:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (versão prévia)
As novas SKUs de gateway também dão suporte a outras opções de implantação para melhor atender às suas necessidades. Ao criar um gateway de rede virtual usando as novas SKUs de gateway, você pode implantar o gateway em uma zona específica. Esse tipo de gateway é chamado de gateway zonal. Ao implantar um gateway zonal, todas as instâncias do gateway são implantadas na mesma zona de disponibilidade.
Para saber mais sobre como migrar um gateway do ExpressRoute, consulte Migração do Gateway.
Gateway escalonável do ExpressRoute (versão prévia)
A SKU de gateway de rede virtual ErGwScale permite alcançar conectividade de 40 Gbps com VMs e pontos de extremidade privados na rede virtual. Essa SKU permite definir uma unidade de escala mínima e máxima para a infraestrutura do gateway de rede virtual, que é dimensionada automaticamente com base na largura de banda ativa ou na contagem de fluxos. Você também pode definir uma unidade de escala fixa para manter uma conectividade constante com um valor de largura de banda desejado.
Implantação da zona de disponibilidade e disponibilidade regional
O ErGwScale dá suporte a implantações zonais e com redundância zonal nas zonas de disponibilidade do Azure. Para obter mais informações sobre esses conceitos, examine a documentação Serviços zonais e serviços com redundância de zona.
O ErGwScale está disponível em versão prévia nas seguintes regiões:
- Leste da Austrália
- Brazil South
- Canadá Central
- Leste dos EUA
- Leste da Ásia
- França Central
- Centro-Oeste da Alemanha
- Centro da Índia
- Norte da Itália
- Norte da Europa
- Leste da Noruega
- Suécia Central
- Norte dos EAU
- Sul do Reino Unido
- Oeste dos EUA 2
- Oeste dos EUA 3
Dimensionamento automático versus unidade de escala fixa
A infraestrutura do gateway de rede virtual é dimensionada automaticamente entre a unidade de escala mínima e máxima configurada, com base na largura de banda ou na utilização da contagem de fluxos. Operações de escala podem levar até 30 minutos para serem concluídas. Se você quiser obter uma conectividade fixa com um valor de largura de banda específico, poderá configurar uma unidade de escala fixa definindo a unidade de escala mínima e a unidade de escala máxima com o mesmo valor.
Limitações
- IP Básico: ErGwScale não dá suporte à SKU de IP Básico. Você precisa usar um SKU de IP Standard para configurar o ErGwScale.
- Unidades de escala mínima e máxima: você pode configurar a unidade de escala para ErGwScale entre 1 e 40. A unidade de escala mínima não pode ser inferior a 1 e a unidade de escala máxima não pode ser superior a 40.
- Cenários de migração: não é possível migrar de Standard/ErGw1Az ou HighPerf/ErGw2Az/UltraPerf/ErGw3Az para ErGwScale na versão prévia.
Preços
ErGwScale é gratuito durante a versão prévia. Para obter informações sobre os preços do ExpressRoute, consulte os Preços do Azure ExpressRoute.
Desempenho com suporte por unidade de escala
| Unidades da escala | Largura de Banda (Gbps) | Pacotes por segundo | Conexões por segundo | Máximo de conexões de VM 1 | Número máximo de fluxos |
|---|---|---|---|---|---|
| 1-10 | 1 | 100.000 | 7.000 | 2\.000 | 100.000 |
| 11-40 | 1 | 100.000 | 7.000 | 1,000 | 100.000 |
Desempenho de exemplo com unidade de escala
| Unidades da escala | Largura de Banda (Gbps) | Pacotes por segundo | Conexões por segundo | Máximo de conexões de VM 1 | Número máximo de fluxos |
|---|---|---|---|---|---|
| 10 | 10 | 1\.000.000 | 70.000 | 20.000 | 1\.000.000 |
| 20 | 20 | 2.000.000 | 140.000 | 30,000 | 2.000.000 |
| 40 | 40 | 4\.000.000 | 280.000 | 50.000 | 4\.000.000 |
1 O máximo de conexões de VM é dimensionado de forma diferente além de 10 unidades de escala. As primeiras 10 unidades de escala fornecem capacidade para 2.000 VMs por unidade de escala. Unidades de escala 11 e superiores são capazes de fornecer 1.000 VMs a mais por unidade de escala.
Conectividade de VNet para VNet e de VNet para WAN virtual
Por padrão, a conectividade de VNet para VNet e de VNet para WAN virtual está desabilitada por meio de um circuito ExpressRoute para todas as SKUs de gateway. Para habilitar essa conectividade, você precisa configurar o gateway de rede virtual do ExpressRoute para permitir esse tráfego. Para obter mais informações, confira as diretrizes sobre conectividade de rede virtual por meio do ExpressRoute. Para habilitar esse tráfego, confira Habilitar a conectividade de VNet para VNet ou de VNet para WAN virtual por meio do ExpressRoute.
FastPath
O gateway de rede virtual do ExpressRoute foi projetado para trocar rotas de rede e rotear o tráfego de rede. O FastPath foi desenvolvido para melhorar o desempenho do caminho de dados entre sua rede local e sua rede virtual. Quando o FastPath está habilitado, ele envia o tráfego de rede diretamente para as máquinas virtuais na rede virtual, ignorando o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, confira Sobre o FastPath.
Conectividade com pontos de extremidade privado
O gateway de rede virtual do ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual que o gateway de rede virtual e nos pares de rede virtual.
Importante
- A capacidade de taxa de transferência e painel de controle para conectividade com recursos de ponto de extremidade privado pode ser reduzida pela metade em comparação com a conectividade com recursos que não são de ponto de extremidade privado.
- Durante um período de manutenção, você poderá enfrentar problemas de conectividade intermitente com recursos de ponto de extremidade privado.
- Você precisa garantir que a configuração local, incluindo as configurações de roteador e firewall, esteja corretamente configurada para garantir que pacotes para o trânsito IP 5-tuple usem um único próximo salto (roteador do Microsoft Enterprise Edge), a menos que haja um evento de manutenção. Se a configuração do firewall ou do roteador local estiver fazendo com que a mesma IP 5-tuple alterne frequentemente os próximos saltos, você terá problemas de conectividade.
Conectividade de ponto de extremidade privado e eventos de manutenção planejada
A conectividade de ponto de extremidade privado tem estado. Quando uma conexão com um ponto de extremidade privado for estabelecida por meio do emparelhamento privado do ExpressRoute, as conexões de entrada e de saída serão roteadas por uma das instâncias de back-end da infraestrutura do gateway. Durante um evento de manutenção, as instâncias de back-end da infraestrutura do gateway de rede virtual serão reiniciadas uma de cada vez, o que poderá causar problemas de conectividade intermitente.
Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante atividades de manutenção, recomendamos definir o valor de tempo limite TCP entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base em seus requisitos de aplicativo.
Cmdlets do PowerShell e APIs REST
Veja as páginas a seguir para obter mais recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST e cmdlets do PowerShell para configurações do gateway de rede virtual:
| Clássico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Conectividade entre VNets
Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito do ExpressRoute. Não recomendamos usar seu circuito do ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que você use o emparelhamento de rede virtual. Para obter mais informações sobre por que a conectividade de VNet para VNet não é recomendada por meio do ExpressRoute, confira Conectividade entre redes virtuais por meio do ExpressRoute.
Emparelhamento de rede virtual
Uma rede virtual com um gateway do ExpressRoute pode ter emparelhamento de rede virtual com até 500 outras redes virtuais. O emparelhamento de rede virtual sem um gateway do ExpressRoute pode ter uma limitação de emparelhamento maior.
Conteúdo relacionado
Confira Visão geral do ExpressRoute para saber mais sobre as configurações de conexão disponíveis.
Confira Como criar um gateway de rede virtual para ExpressRoute para obter mais informações sobre a criação de gateways do ExpressRoute.
Para obter mais informações sobre como implantar o ErGwScale, confira Configurar um gateway de rede virtual para o ExpressRoute usando o portal do Azure.
Confira Criar um gateway de rede virtual com redundância de zona para obter mais informações sobre como configurar gateways com redundância de zona.
Para obter mais informações sobre o FastPath, confira Sobre o FastPath.