Partilhar via

Caminho Rápido da VPN do Hub de Pilha do Azure para usuários locatários

  • Artigo

O que é o recurso Azure Stack Hub VPN Fast Path?

O Azure Stack Hub está apresentando as três novas SKUs descritas neste artigo como parte do recurso VPN Fast Path. Anteriormente, os túneis S2S eram limitados a uma largura de banda máxima de 200 Mbps usando o HighPerformance SKU. As novas SKUs permitem cenários de clientes nos quais uma taxa de transferência de rede mais alta é necessária. Os valores de taxa de transferência para cada SKU são valores unidirecionais, o que significa que ele suporta a taxa de transferência dada no tráfego de envio ou recebimento.

Quando o operador do Azure Stack habilita o recurso VPN Fast Path em um selo do Azure Stack Hub, os usuários locatários podem criar gateways de rede virtual usando as novas SKUs. Você pode ajustar as configurações existentes recriando o gateway de rede virtual e suas conexões com uma das novas SKUs.

Novos gateways de rede virtual SKUs disponíveis quando o VPN Fast Path está ativado

Além das 3 novas SKUs, a capacidade geral da VPN do Azure Stack Hub aumenta, permitindo mais conexões VPN.

A tabela a seguir mostra a nova taxa de transferência para cada SKU quando o VPN Fast Path está habilitado:

SKU Taxa de transferência máxima da conexão VPN
Básica 100 Mbps Tx/Rx
Standard 100 Mbps Tx/Rx
Alto desempenho 200 Mbps Tx/Rx
VpnGwy1 650 Mbps Tx/Rx
VpnGwy2 1000 Mbps Tx/Rx
VpnGwy3 1250 Mbps Tx/Rx

Criar gateways de rede virtual para usar as novas SKUs

Com o VPN Fast Path, os usuários locatários podem criar gateways de rede virtual com as novas SKUs usando o portal do Azure Stack Hub ou o PowerShell.

Criar gateways de rede virtual com novas SKUs usando o portal do Azure Stack Hub

Se você usar o portal do Azure Stack Hub para criar um gateway de rede virtual, poderá selecionar a SKU usando a lista suspensa. Os novos SKUs VPN Fast Path (VpnGwy1, VpnGwy2, VpnGwy3) só ficam visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" à URL e atualizar.

O exemplo de URL a seguir torna as novas SKUs de gateway de rede virtual visíveis no portal do usuário do Azure Stack Hub:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Antes de o operador criar esses recursos, ele deve habilitar o Caminho Rápido VPN no carimbo do Hub de Pilha do Azure:

Azure VNG novos SKUs

Criar gateways de rede virtual com novas SKUs usando o PowerShell

O exemplo a seguir usa os módulos AzureRM:

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

Atualizando gateways de rede virtual herdados

Não é possível atualizar a SKU sem recriar o gateway de rede virtual, o que requer que você exclua todas as conexões associadas ao gateway de rede virtual. Você pode reutilizar os recursos do gateway de rede local depois de criar um gateway de rede virtual com a nova SKU. O recurso de gateway de rede local define o espaço de endereço e o endereço IP do dispositivo local e mantém essa configuração.

Siga estas etapas para atualizar SKUs de gateway de rede virtual:

  1. Excluir todas as conexões no gateway de rede virtual existente: anote a chave pré-compartilhada e se o sinalizador BGP está definido como habilitado.
  2. Exclua o gateway de rede virtual existente usando a SKU herdada: não é possível criar dois gateways de rede virtual na mesma rede virtual, portanto, você deve excluir o existente.
  3. Crie um novo recurso de gateway de rede virtual com o novo SKU: você pode selecionar um dos novos SKUs habilitados com VPN Fast Path.
  4. Crie uma nova conexão entre o novo gateway de rede virtual e o gateway de rede local existente: se você estiver usando uma política de IP sec personalizada, crie a conexão via PowerShell. Use a chave pré-compartilhada e o sinalizador BGP anotados na etapa 1.
  5. Repita a etapa 4 para quaisquer outras conexões que você deseja mover para a nova SKU: esta etapa é relevante para cenários de vários locais.

Topologias de conexão VPN

Há diferentes configurações disponíveis para gateways VPN. Determine qual configuração melhor atende às suas necessidades. Nas seções a seguir, você pode exibir informações e diagramas de topologia sobre os seguintes cenários de gateway VPN:

  • Ligações site a site
  • Conexões site-to-multi-site
  • Conexões site a site ou site a site entre selos do Azure Stack Hub

Os diagramas e descrições nas seções a seguir podem ajudá-lo a selecionar uma topologia de conexão que corresponda às suas necessidades. Os diagramas mostram as topologias de linha de base principais, mas é possível construir configurações mais complexas usando os diagramas como guia.

Ligações site a site

Uma conexão de gateway VPN site a site (S2S) é uma conexão através do túnel VPN IPsec/IKE (IKEv2). Esse tipo de conexão requer um dispositivo VPN localizado no local e que receba um endereço IP público.

Imagem conceitual mostrando topologia de conexão site a site.

Conexões site-to-multi-site

Uma topologia de site para vários sites é uma variação da topologia site a site. Cria mais de uma ligação de VPN a partir do gateway de rede virtual, ligando, geralmente, a vários sites no local.

Diagrama conceitual mostrando conexões site-to-multi-site.

Conexões site a site ou site a site entre selos do Azure Stack Hub

Você só pode criar uma conexão VPN site a site entre duas implantações do Azure Stack Hub. Esta restrição deve-se a uma limitação na plataforma que só permite uma única ligação VPN ao mesmo endereço IP. Como o Azure Stack Hub usa o gateway multilocatário, que tem um único IP público para todos os gateways VPN no sistema Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas Azure Stack Hub. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway VPN que use um único endereço IP. O Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.

O diagrama a seguir mostra como você pode interconectar vários carimbos do Azure Stack Hub se precisar criar uma topologia de malha entre selos. Nesse cenário, há 3 carimbos do Azure Stack Hub, e cada um deles tem 1 gateway de rede virtual com 2 conexões e 2 gateways de rede local. Com as novas SKUs, os usuários podem conectar redes e cargas de trabalho entre carimbos com taxa de transferência de conexões VPN de até 1250 Mbps Tx/Rx, alocando 50% da capacidade do Pool de Gateway de cada selo. A capacidade restante em cada carimbo pode ser usada para mais conexões VPN necessárias para outros casos de uso:

Diagrama conceitual mostrando as configurações do gateway VPN entre selos.

Próximos passos