Compartilhar via

Caminho rápido da VPN do Azure Stack Hub para usuários de locatário

  • Artigo

O que é o recurso Caminho Rápido da VPN do Azure Stack Hub?

O Azure Stack Hub está introduzindo os três novos SKUs descritos neste artigo como parte do recurso Caminho Rápido da VPN. Anteriormente, os túneis S2S eram limitados a uma largura de banda máxima de 200 Mbps usando o SKU de alto desempenho. Os novos SKUs permitem cenários de clientes nos quais é necessária uma taxa de transferência de rede mais alta. Os valores de taxa de transferência para cada SKU são valores unidirecionais, o que significa que ele dá suporte à taxa de transferência fornecida no tráfego de envio ou recebimento.

Quando o operador do Azure Stack habilita o recurso Caminho Rápido da VPN em um carimbo do Azure Stack Hub, os usuários do locatário podem criar gateways de rede virtual usando os novos SKUs. Você pode ajustar as configurações existentes recriando o gateway de rede virtual e suas conexões com um dos novos SKUs.

Novos SKUs de gateways de rede virtual disponíveis quando o Caminho Rápido de VPN está habilitado

Além dos 3 novos SKUs, a capacidade geral de VPN do Azure Stack Hub aumenta, permitindo mais conexões VPN.

A tabela a seguir mostra a nova taxa de transferência para cada SKU quando o Caminho Rápido da VPN está habilitado:

SKU Taxa de transferência máxima de conexão VPN
Basic 100 Mbps Tx/Rx
Standard 100 Mbps Tx/Rx
Alto desempenho 200 Mbps Tx/Rx
VpnGwy1 650 Mbps Tx/Rx
VpnGwy2 1000 Mbps Tx/Rx
VpnGwy3 1250 Mbps Tx/Rx

Criar gateways de rede virtual para usar os novos SKUs

Com o Caminho Rápido de VPN, os usuários do locatário podem criar gateways de rede virtual com os novos SKUs usando o portal do Azure Stack Hub ou o PowerShell.

Criar gateways de rede virtual com novos SKUs usando o portal do Azure Stack Hub

Se você usar o portal do Azure Stack Hub para criar um gateway de rede virtual, poderá selecionar o SKU usando a lista suspensa. Os novos SKUs de Caminho Rápido de VPN (VpnGwy1, VpnGwy2, VpnGwy3) só ficam visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" à URL e atualizar.

O exemplo de URL a seguir torna os novos SKUs de gateway de rede virtual visíveis no portal do usuário do Azure Stack Hub:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Antes que o operador crie esses recursos, ele deve habilitar o Caminho Rápido da VPN no selo do Azure Stack Hub:

Novos SKUs do VNG do Azure

Criar gateways de rede virtual com novos SKUs usando o PowerShell

O exemplo a seguir usa os módulos AzureRM:

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

Atualizando gateways de rede virtual herdados

Você não pode atualizar o SKU sem recriar o gateway de rede virtual, o que exige que você exclua todas as conexões associadas ao gateway de rede virtual. Você pode reutilizar os recursos do gateway de rede local depois de criar um gateway de rede virtual com o novo SKU. O recurso de gateway de rede local define o espaço de endereço e o endereço IP do dispositivo local e mantém essa configuração.

Siga estas etapas para atualizar SKUs de gateway de rede virtual:

  1. Exclua todas as conexões no gateway de rede virtual existente: anote a chave pré-compartilhada e se o sinalizador BGP está definido como habilitado.
  2. Exclua o gateway de rede virtual existente usando o SKU herdado: não é possível criar dois gateways de rede virtual na mesma rede virtual, portanto, você deve excluir o existente.
  3. Crie um novo recurso de gateway de rede virtual com o novo SKU: você pode selecionar um dos novos SKUs habilitados com o Caminho Rápido da VPN.
  4. Crie uma nova conexão entre o novo gateway de rede virtual e o gateway de rede local existente: se você estiver usando uma política de IP sec personalizada, crie a conexão por meio do PowerShell. Use a chave pré-compartilhada e o sinalizador BGP anotados na etapa 1.
  5. Repita a etapa 4 para todas as outras conexões que você deseja mover para o novo SKU: essa etapa é relevante para cenários de vários sites.

Topologias de conexão VPN

Há diferentes configurações disponíveis para gateways de VPN. Determine qual configuração melhor atende às suas necessidades. Nas seções a seguir, você pode exibir informações e diagramas de topologia sobre os seguintes cenários de gateway de VPN:

  • Conexões site a site
  • Conexões site a vários sites
  • Conexões site a site ou site a vários sites entre carimbos do Azure Stack Hub

Os diagramas e descrições nas seções a seguir podem ajudá-lo a selecionar uma topologia de conexão para atender às suas necessidades. Os diagramas mostram as principais topologias de linha de base, mas é possível criar configurações mais complexas usando os diagramas como guia.

Conexões site a site

Uma conexão de gateway VPN site a site (S2S) é uma conexão por túnel VPN IPsec/IKE (IKEv2). Esse tipo de conexão requer um dispositivo VPN localizado no local e atribuído a um endereço IP público.

Imagem conceitual mostrando a topologia de conexão site a site.

Conexões site a vários sites

Uma topologia de site para vários sites é uma variação da topologia de site para site. Você pode criar mais de uma conexão de VPN em seu gateway de rede virtual, normalmente se conectando a vários sites locais.

Diagrama conceitual mostrando conexões de site a multi-site.

Conexões site a site ou site a vários sites entre carimbos do Azure Stack Hub

Você só pode criar uma conexão VPN site a site entre duas implantações do Azure Stack Hub. Essa restrição se deve a uma limitação na plataforma que permite apenas uma única conexão VPN com o mesmo endereço IP. Como o Azure Stack Hub usa o gateway multilocatário, que tem um único IP público para todos os gateways de VPN no sistema do Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas do Azure Stack Hub. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway VPN que use um único endereço IP. O Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.

O diagrama a seguir mostra como você pode interconectar vários selos do Azure Stack Hub se precisar criar uma topologia de malha entre os selos. Nesse cenário, há 3 selos do Azure Stack Hub e cada um deles tem 1 gateway de rede virtual com 2 conexões e 2 gateways de rede local. Com os novos SKUs, os usuários podem conectar redes e cargas de trabalho entre selos com taxa de transferência de conexões VPN de até 1250 Mbps Tx/Rx, alocando 50% da capacidade do Pool de Gateways de cada selo. A capacidade restante em cada selo pode ser usada para mais conexões VPN necessárias para outros casos de uso:

Diagrama conceitual mostrando as configurações do gateway de VPN entre os carimbos.

Próximas etapas