Вопросы и ответы о Виртуальной глобальной сети
Является ли виртуальная Глобальная сеть Azure общедоступной?
Да, Виртуальная глобальная сеть Azure является общедоступной. При этом для Виртуальной глобальной сети предусмотрено несколько функций и сценариев. Существуют функции или сценарии в Виртуальная глобальная сеть, где корпорация Майкрософт применяет тег предварительной версии. Это значит, что такая функция или сценарий предоставляются в предварительной версии. Если вы не используете определенную предварительную версию функции, предоставляется поддержка общедоступной версии. См. статью Дополнительные условия использования Предварительных версий Microsoft Azure.
Какие расположения и регионы доступны?
Сведения о доступных регионах для Виртуальная глобальная сеть см. в разделе "Продукты" по регионам. Укажите Виртуальная глобальная сеть в качестве имени продукта.
Обязан ли пользователь применять звездообразную архитектуру для устройств SD-WAN/VPN, чтобы использовать Виртуальную глобальную сеть Azure?
Виртуальная глобальная сеть предоставляет множество функций, собранных на унифицированной панели управления, в том числе VPN-подключение "сеть — сеть", подключение пользователей через VPN "точка — сеть" (P2S), подключение через ExpressRoute, подключение к виртуальной сети, взаимодействие через VPN ExpressRoute, транзитивное подключение между виртуальными сетями, централизованная маршрутизация, средства защиты Брандмауэра Azure и Диспетчера брандмауэра, мониторинг, шифрование ExpressRoute и многие другие возможности. Чтобы начать работу с Виртуальной глобальной сетью, не обязательно иметь все эти возможности для применения. Для начала можно использовать только один вариант.
Виртуальная WAN использует звездообразную архитектуру с встроенными возможностями масштабируемости и производительности, где филиалы (устройства VPN/SD-WAN), пользователи (клиенты Azure VPN, OpenVPN или IKEv2), каналы ExpressRoute и виртуальные сети служат спицами для виртуальных концентраторов. Все концентраторы подключены по полной сетевой схеме в стандартной виртуальной WAN, что позволяет пользователю легко использовать основную инфраструктуру Microsoft для подключения "любой с любой" (любой узел). Для топологий типа "хаб и спица" с устройствами SD-WAN/VPN пользователи могут либо вручную настроить подключение на портале Виртуальной глобальной сети Azure, либо использовать партнерское оборудование CPE для Виртуальной глобальной сети (SD-WAN/VPN) для настройки подключения к Azure.
Партнерские решения для Виртуальной глобальной сети позволяют автоматизировать подключения, чтобы экспортировать в Azure сведения об устройстве, скачивать конфигурации Azure и подключаться к концентратору Виртуальной глобальной сети Azure. Для VPN-подключений "точка — сеть" (подключения пользователей) мы поддерживаем клиенты Azure VPN, OpenVPN и IKEv2.
Можете ли вы отключить полносвязные концентраторы в Виртуальной глобальной сети?
Виртуальная глобальная сеть поставляется в двух вкусах: "Базовый" и "Стандартный". В Виртуальной глобальной сети уровня "Базовый" концентраторы не объединяются. В Виртуальной глобальной сети уровня "Стандартный" концентраторы объединяются и автоматически подключаются при первой настройке Глобальной сети. Пользователю ничего конкретного делать не нужно. Пользователю также не нужно отключать или включать функциональность для получения объединенных концентраторов. Виртуальная WAN предоставляет множество вариантов маршрутизации для управления трафиком между любым узлом (VNet, VPN или ExpressRoute). Это обеспечивает удобство работы с полностью соединёнными узлами, а также гибкость маршрутизации трафика в соответствии с вашими потребностями.
Почему возникает ошибка о недопустимой области и авторизации для выполнения операций с ресурсами Виртуальная глобальная сеть?
Если вы видите ошибку в приведенном ниже формате, убедитесь, что у вас настроены следующие разрешения: Роли и разрешения виртуальной WAN
Формат сообщения об ошибке: "Клиент с идентификатором объекта {} не имеет авторизации для выполнения действия {} над областью {} или область недопустима." Дополнительные сведения о необходимых разрешениях см. на сайте {}. Если доступ был недавно предоставлен, обновите свои учетные данные.
Как обрабатываются Зоны доступности и устойчивости в Виртуальной глобальной сети?
Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. У пользователя может быть необходимое ему количество Виртуальных глобальных сетей. В центре Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зоны доступности (за исключением Брандмауэра Azure), если регион поддерживает Зоны доступности. Если регион становится Зоной доступности после первоначального развертывания в концентраторе, пользователь может воссоздать шлюзы, что приведет к развертыванию Зоны доступности. Все шлюзы подготавливаются в концентраторе в активном-активном режиме, что означает, что в концентраторе есть отказоустойчивость. Если пользователям нужна устойчивость в разных регионах, они могут подключаться к нескольким концентраторам.
В настоящее время Брандмауэр Azure можно развернуть для поддержки Зон доступности с помощью портала диспетчера Брандмауэра Azure, PowerShell или CLI. В настоящее время невозможно настроить существующий брандмауэр для развертывания в зонах доступности. Вам потребуется удалить и повторно развернуть Брандмауэр Azure.
Хотя концепция Виртуальной глобальной сети является глобальной, фактический ресурс этой сети основан на Resource Manager и развернут в регионе. Если проблемы возникнут в самом регионе Виртуальной глобальной сети, все концентраторы в этой сети будут продолжать функционировать без изменений, но пользователь не сможет создавать концентраторы до тех пор, пока регион Виртуальной глобальной сети не станет доступен.
Можно ли совместно использовать брандмауэр в защищенном концентраторе с другими центрами?
Нет, каждый виртуальный концентратор Azure должен иметь собственный брандмауэр. Развертывание пользовательских маршрутов для указания на брандмауэр другого защищенного узла не удастся и завершится ошибкой. Рекомендуется преобразовать эти центры в защищенные центры с помощью собственных брандмауэров.
Какие клиенты поддерживаются для VPN-подключения "точка — сеть" (подключения пользователей) в Виртуальной глобальной сети Azure?
Виртуальная глобальная сеть поддерживает клиенты Azure VPN, OpenVPN и любые клиенты IKEv2. Проверка подлинности Microsoft Entra поддерживается с VPN-клиентом Azure. Требуется минимальная версия ос клиента Windows 10 версии 17763.0 или более поздней. Клиенты OpenVPN могут поддерживать проверку подлинности на основе сертификатов. Как только на шлюзе будет выбрана аутентификация на основе сертификата, вы увидите файл с расширением .ovpn* для скачивания на устройство. IKEv2 поддерживает как проверку подлинности на основе сертификата, так и проверку подлинности RADIUS.
Почему для VPN-подключения пользователя ("точка — сеть") пул клиентов P2S делится на два маршрута?
Каждый шлюз имеет два экземпляра. Разделение происходит таким образом, чтобы каждый экземпляр шлюза мог независимо распределять IP-адреса для подключенных клиентов, а трафик из виртуальной сети перенаправлялся обратно в соответствующий экземпляр шлюза, чтобы избежать ненужного перенаправления между экземплярами шлюза.
Как можно добавить DNS-серверы для клиентов P2S?
У вас есть два варианта добавления DNS-серверов для клиентов P2S. Первый вариант является предпочтительным, так как он подразумевает добавление настраиваемых DNS-серверов к шлюзу вместо клиента.
Используйте следующий скрипт PowerShell для добавления пользовательских DNS-серверов. Замените значения для вашей среды.
// Define variables $rgName = "testRG1" $virtualHubName = "virtualHub1" $P2SvpnGatewayName = "testP2SVpnGateway1" $vpnClientAddressSpaces = $vpnServerConfiguration1Name = "vpnServerConfig1" $vpnClientAddressSpaces = New-Object string[] 2 $vpnClientAddressSpaces[0] = "192.168.2.0/24" $vpnClientAddressSpaces[1] = "192.168.3.0/24" $customDnsServers = New-Object string[] 2 $customDnsServers[0] = "7.7.7.7" $customDnsServers[1] = "8.8.8.8" $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers // Re-generate VPN profile either from PS/Portal for VPN clients to have the specified dns serversА если вы используете клиент Azure VPN для Windows 10, вы можете изменить скачанный XML-файл профиля и добавить теги <dnsservers><dnsserver></dnsserver></dnsservers>, прежде чем импортировать его.
<azvpnprofile> <clientconfig> <dnsservers> <dnsserver>x.x.x.x</dnsserver> <dnsserver>y.y.y.y</dnsserver> </dnsservers> </clientconfig> </azvpnprofile>
Сколько клиентов поддерживается для пользовательского VPN-подключения ("точка — сеть")?
В приведенной ниже таблице описывается количество одновременных подключений и агрегированная пропускная способность VPN-шлюза "точка — сеть", поддерживаемого в разных единицах масштабирования.
| Единица масштабирования | Экземпляры шлюза | Поддерживаемое число одновременных подключений | Суммарная пропускная способность |
|---|---|---|---|
| 1 | 2 | 500 | 0,5 Гбит/с |
| 2 | 2 | 500 | 1 Гбит/с |
| 3 | 2 | 500 | 1,5 Гбит/с |
| 4 | 2 | 1000 | 2 Гбит/с |
| 5 | 2 | 1000 | 2,5 Гбит/с |
| 6 | 2 | 1000 | 3 Гбит/с |
| 7 | 2 | 5000 | 3,5 Гбит/с |
| 8 | 2 | 5000 | 4 Гбит/с |
| 9 | 2 | 5000 | 4,5 Гбит/с |
| 10 | 2 | 5000 | 5 Гбит/с |
| 11 | 2 | 10000 | 5,5 Гбит/с |
| 12 | 2 | 10 000 | 6 Гбит/с |
| 13 | 2 | 10 000 | 6,5 Гбит/с |
| 14 | 2 | 10,000 | 7 Гбит/с |
| 15 | 2 | 10 000 | 7,5 Гбит/с |
| 16 | 2 | 10 000 | 8 Гбит/с |
| 17 | 2 | 10000 | 8,5 Гбит/с |
| 18 | 2 | 10 000 | 9 Гбит/с |
| 19 | 2 | 10000 | 9,5 Гбит/с |
| 20 | 2 | 10 000 | 10 Гбит/с |
| 40 | 4 | 20000 | 20 Гбит/с |
| 60 | 6 | 30 000 | 30 Гбит/с |
| 80 | 8 | 40000 | 40 Гбит/с |
| 100 | 10 | 50000 | 50 Гбит/с |
| 120 | 12 | 60 000 | 60 Гбит/с |
| 140 | 14 | 70 000 | 70 Гбит/с |
| 160 | 16 | 80 000 | 80 Гбит/с |
| 180 | 18 | 90000 | 90 Гбит/с |
| 200 | 20 | 100000 | 100 Гбит/с |
Для примера предположим, что пользователь выбрал единицу масштабирования 1. Каждая единица масштабирования означала бы развертывание шлюза с активным-активным режимом, и каждый из экземпляров (в нашем примере их два) поддерживал бы до 500 подключений. Так как вы можете получить 500 подключений * 2 на шлюз, это не означает, что вы планируете 1000 вместо 500 для этой единицы масштаба. Возможно, экземпляры нужно будет обслужить, в это время подключение для дополнительных 500 устройств может быть прервано, если вы превысите рекомендуемое количество подключений.
Для шлюзов с единицами масштабирования, превышающими 20, развертываются дополнительные пары экземпляров шлюза с высоким уровнем доступности, чтобы обеспечить дополнительную емкость для подключения пользователей. Каждая пара экземпляров поддерживает до 10 000 дополнительных пользователей. Например, при развертывании шлюза со 100 единицами масштабирования развертываются 5 пар шлюзов (всего 10 экземпляров) и одновременно могут подключаться до 50 000 пользователей (10 000 пользователей x 5 пар шлюзов).
Кроме того, обязательно спланируйте время простоя на случай, если решите увеличить или уменьшить масштаб единицы или изменить конфигурацию "точка — сайт" в VPN-шлюзе.
Поддерживается ли приложение Microsoft, зарегистрированное в Entra ID, для аутентификации в VPN пользователя (точка-сайт)?
Да, зарегистрированное корпорацией Майкрософт приложение поддерживается в Virtual WAN. Вы можете перенести VPN-подключение пользователя из зарегистрированного вручную приложения в зарегистрированное корпорацией Майкрософт приложение для более безопасного подключения.
Что такое устройства масштабирования виртуального шлюза Виртуальной глобальной сети?
Единица масштабирования — это единица, определенная для выбора совокупной пропускной способности шлюза в виртуальном концентраторе. 1 единица масштабирования VPN = 500 Мбит/с. 1 единица масштабирования ExpressRoute = 2 Гбит/с. Пример 10 единиц масштабирования VPN — 500 Мбит/с * 10 = 5 Гбит/с.
Чем шлюз виртуальной сети Azure (VPN-шлюз) отличается от VPN-шлюза Виртуальной глобальной сети Azure?
Виртуальная глобальная сеть обеспечивает крупномасштабное подключение типа "сайт — сайт" и разрабатывается для пропускной способности, масштабируемости и легкости использования. При подключении сайта к VPN-шлюзу Виртуальной глобальной сети это отличается от использования обычного шлюза виртуальной сети с типом шлюза "сеть-сеть VPN". Если вы хотите подключить удаленных пользователей к Виртуальной глобальной сети, используйте VPN-шлюз типа "точка — сеть". VPN-шлюзы типа "точка — сеть" и "сеть — сеть" являются отдельными сущностями в концентраторе Виртуальной глобальной сети и должны развертываться отдельно. При подключении канала ExpressRoute к концентратору Виртуальной глобальной сети используется другой ресурс для шлюза ExpressRoute, чем тот, который используется в обычном шлюзе виртуальной сети с типом шлюза 'ExpressRoute'.
Виртуальная глобальная сеть поддерживает для VPN и ExpressRoute агрегированную пропускную способность до 20 Гбит/с. Виртуальная глобальная сеть также использует автоматизацию для подключения к экосистеме партнеров по периферийным устройствам CPE. Устройства филиальной сети CPE имеют встроенную автоматизацию, которая автоматически конфигурируется и подключается к Виртуальной глобальной сети Azure. Эти устройства доступны в растущей экосистеме SD-WAN и у партнеров VPN. Дополнительные сведения см. в списке предпочитаемых партнеров.
Чем Виртуальная глобальная сеть отличается от шлюза виртуальной сети Azure?
VPN-шлюз виртуальной сети ограничен 100 туннелями. Для подключений вы должны использовать Virtual WAN для крупномасштабной VPN. Допускается до 1000 периферийных подключений на каждый виртуальный концентратор с общей пропускной способностью 20 Гбит/с на концентратор. Соединение — это туннель "активный — активный" от локального VPN-устройства к виртуальному концентратору. Кроме того, в каждом регионе Azure может быть несколько виртуальных концентраторов. Это значит, что можно подключить больше 1000 ветвей к одному региону Azure, развернув несколько концентраторов глобальных виртуальных сетей в данном регионе, на каждом из которых будет реализован собственный VPN-шлюз типа "сеть — сеть".
Каков рекомендуемый алгоритм и число пакетов в секунду на экземпляр подключения "сайт — сайт" в концентраторе Виртуальной глобальной сети? Сколько туннелей поддерживается в одном экземпляре? Какова максимальная пропускная способность, поддерживаемая в одном туннеле?
Виртуальная глобальная сеть поддерживает два активных экземпляра VPN-шлюза типа "сеть — сеть" в виртуальном концентраторе. Это означает, что в виртуальном центре есть набор из двух экземпляров VPN-шлюзов типа "активный-активный". Во время операций обслуживания каждый экземпляр обновляется по одному, из-за чего пользователь может столкнуться с кратким снижением суммарной пропускной способности VPN-шлюза.
Хотя VPN Виртуальной глобальной сети поддерживает множество алгоритмов, чтобы обеспечить оптимальную производительность, мы рекомендуем GCMAES256 для шифрования IPSEC и обеспечения целостности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов.
Количество пакетов в секунду (PPS) — это коэффициент общего количества пакетов и пропускной способности, поддерживаемой для каждого экземпляра. Лучше всего это показать на примере. Предположим, что экземпляр VPN-шлюза "сайт — сайт" с 1 единицей масштабирования и скоростью 500 Мбит/с развертывается в центре виртуальной глобальной сети. Предполагая размер пакета 1400, ожидаемое количество PPS для этого экземпляра VPN-шлюза при максимальной нагрузке = [(500 Мбит/с * 1024 * 1024) /8/1400] ~ 47000.
В Виртуальной WAN используются такие понятия, как VPN-подключения, соединения каналов и туннели. Одно VPN-подключение состоит из линковых подключений. Виртуальная глобальная сеть поддерживает до 4 подключений каналов в одном VPN-подключении. Каждое подключение канала включает два туннеля IPsec, которые завершаются двумя экземплярами VPN-шлюза "активный — активный", развернутыми в виртуальном центре. Общее число туннелей, которые могут быть завершены в одном активном экземпляре, равно 1000. Это также означает, что пропускная способность для 1 экземпляра будет доступна в агрегированном виде для всех туннелей, подключающихся к такому экземпляру. Каждый туннель также имеет свои значения пропускной способности. В случаях, когда несколько туннелей подключены к шлюзу единицы масштабирования с более низким значением, лучше оценить потребность по каждому туннелю и спланировать VPN-шлюз, который представляет собой агрегированное значение пропускной способности всех туннелей, которые завершаются в экземпляре VPN.
Значения для различных единиц масштаба, поддерживаемых в виртуальной глобальной сети
| Единица масштабирования | Максимальная пропускная способность на туннель (Мбит/с) | Максимальное количество PPS на туннель | Максимальная пропускная способность для каждого экземпляра (Мбит/с) | Максимальное количество PPS на экземпляр |
|---|---|---|---|---|
| 1 | 500 | 47 тыс. | 500 | 47 тыс. |
| 2 | 1000 | 94 тыс. | 1000 | 94 тыс. |
| 3 | 1500 | 140 тыс. | 1500 | 140 тыс. |
| 4 | 1500 | 140 тыс. | 2000 | 187K |
| 5 | 1500 | 140 тыс. | 2500 | 234K |
| 6 | 1500 | 140 тыс. | 3000 | 281K |
| 7 | 2300 | 215K | 3500 | 328 тыс. |
| 8 | 2300 | 215K | 4000 | 374 тыс. |
| 9 | 2300 | 215K | 4500 | 421 тыс. |
| 10 | 2300 | 215K | 5000 | 468K |
| 11 | 2300 | 215K | 5500 | 515K |
| 12 | 2300 | 215K | 6000 | 562K |
| 13 | 2300 | 215K | 6500 | 609К |
| 14 | 2300 | 215K | 7000 | 655K |
| 15 | 2300 | 215K | 7500 | 702 тыс. |
| 16 | 2300 | 215K | 8000 | 749K |
| 17 | 2300 | 215K | 8500 | 796K |
| 18 | 2300 | 215K | 9000 | 843K |
| 19 | 2300 | 215K | 9500 | 889 тыс. |
| 20 | 2300 | 215K | 10 000 | 936K |
Примечание.
Все числа основаны на алгоритме GCM.
Какие поддерживаются поставщики устройств (партнеры Виртуальной глобальной сети)?
Сейчас множество партнеров полностью поддерживают автоматизированную Виртуальную глобальную сеть. Дополнительные сведения о партнёрах виртуальной глобальной сети см. в разделе Virtual WAN partners.
Какие действия следует выполнить партнерам для автоматизации Виртуальной глобальной сети?
Для шагов по автоматизации партнёров см. Автоматизация партнёров виртуальной сети WAN.
Обязательно ли использовать предпочитаемое устройство партнёра?
№ Вы можете использовать любое VPN-устройство, отвечающее требованиям Azure для поддержки IKEv2/IKEv1 IPsec. Виртуальная глобальная сеть также имеет партнерские решения CPE, которые автоматизируют подключение к Виртуальной глобальной сети Azure, упрощая настройку VPN-подключений IPsec в большом масштабе.
Как партнеры Виртуальной глобальной сети автоматизируют подключение с помощью Виртуальной глобальной сети Azure?
Программно-определяемые решения для обеспечения соединения обычно управляют своими филиальными устройствами с помощью контроллера или центра развертывания устройств. Контроллер может использовать API интерфейсы Azure для автоматизации подключения к Виртуальной глобальной сети Azure. Автоматизация предусматривает загрузку информации о филиале, загрузку конфигурации Azure, настройку туннелей IPsec в виртуальных концентраторах Azure и автоматическую настройку подключения от устройства филиала к Виртуальной глобальной сети Azure. Если у вас есть сотни филиалов, подключение через партнеров виртуальной сети связи (Virtual WAN) CPE будет очень простым, так как процесс интеграции избавит вас от необходимости устанавливать, настраивать и управлять масштабными IPsec соединениями. Дополнительные сведения о виртуальных машинах см. в разделе Configure Virtual WAN automation - for Virtual WAN partners (Preview) (Настройка автоматизации виртуальной WAN для участников Virtual WAN (предварительный просмотр)).
Что, если используемое устройство отсутствует в списке партнеров Виртуальной глобальной сети? Можно ли по прежнему подключатся к VPN Виртуальной глобальной сети Azure?
Да, до тех пор, пока устройство поддерживает IPsec IKEv1 или IKEv2. Партнеры Виртуальной глобальной сети автоматизируют подключение из устройства к конечным точкам VPN Azure. Это подразумевает автоматизацию шагов, таких как "загрузка информации о филиале", "IPsec и конфигурация" и "подключение". Так как ваше устройство не является частью партнерской экосистемы Виртуальной глобальной сети, вам потребуется вручную задать конфигурацию Azure, а также обновить свое устройство, чтоб настроить подключение IPsec.
Как подключить новых партнеров, которые не указаны в списке партнеров по запуску?
Все API Виртуальной глобальной сети являются OpenAPI. Вы можете ознакомиться с документацией в статье Рекомендации по автоматизации для партнеров виртуальной глобальной сети, чтобы оценить технические возможности. У идеального партнера есть устройство, которое можно использовать для подключения к IKEv1 или IKEv2 IPsec. После того как компания завершит работы по автоматизации своего устройства CPE на основе вышеприведенных рекомендаций, вы сможете обратиться по адресу azurevirtualwan@microsoft.com, чтобы устройство было добавлено в раздел Подключение через партнеров. Если вы хотели бы, чтобы решение определенной компании было указано как решение партнера Виртуальной глобальной сети, попросите представителей компании связаться с партнерами этой сети, отправив электронное письмо по адресу azurevirtualwan@microsoft.com.
Как Виртуальная глобальная сеть поддерживает устройства SD-WAN?
Партнеры Виртуальной глобальной сети автоматизируют подключение IPsec к конечным точкам VPN Azure. Если партнером Виртуальной глобальной сети является поставщик SD-WAN, подразумевается, что контроллер SD-WAN управляет автоматизацией и подключением IPsec к конечным точкам VPN Azure. Если для устройства SD-WAN требуется собственная конечная точка вместо VPN Azure для любых специфических функций SD-WAN, вы можете развернуть конечную точку SD-WAN в виртуальной сети Azure и сосуществовать с виртуальной глобальной сетью Azure.
Поддерживается BGP-пиринг и также имеется возможность развертывать NVAs в виртуальном концентраторе глобальной сети.
Какое количество VPN-устройств можно подключить к одному концентратору?
Каждый виртуальный концентратор поддерживает до 1000 подключений. Каждое соединение состоит из четырех каналов, и каждый канал поддерживает два туннеля в активной-активной конфигурации. Туннели завершаются в VPN-шлюзе виртуального концентратора в Azure. Связи представляют собой физическое соединение на уровне интернет-провайдера в устройстве филиала или VPN.
Что представляет собой подключение ветви к Виртуальной глобальной сети Azure?
Подключение из ветви или VPN-устройства к Виртуальной глобальной сети Azure — это VPN-подключение, с помощью которого сайт VPN и VPN-шлюз Azure виртуально подключаются в виртуальном концентраторе.
Что произойдет, если локальное VPN-устройство имеет только один туннель к VPN-шлюзу Виртуальной глобальной сети Azure?
Подключение к Виртуальной глобальной сети Azure использует два туннеля. VPN-шлюз Virtual WAN развертывается в виртуальном концентраторе в режиме "активный-активный", который предусматривает отдельные туннели с локальных устройств, завершающиеся на отдельных экземплярах. Это рекомендация для всех пользователей. Однако если пользователь выбирает только один туннель к одному из экземпляров VPN-шлюза виртуальной глобальной глобальной сети, если по какой-либо причине (обслуживание, исправления и т. д.) экземпляр шлюза принимается в автономный режим, туннель будет перемещен в дополнительный активный экземпляр, и пользователь может повторно подключиться. Сеанс BGP нельзя переносить на другие экземпляры.
Что происходит во время сброса шлюза в виртуальной сети WAN VPN-шлюза?
Кнопка сброса шлюза используется, если локальные устройства работают должным образом, но VPN-подключения типа "сеть — сеть" в Azure находятся в отключенном состоянии. VPN-шлюзы виртуальной глобальной сети всегда развертываются в активном-активном режиме для обеспечения высокой доступности. Это означает, что в любой момент времени в VPN-шлюзе находится как минимум один экземпляр. При использовании кнопки сброса шлюза происходит последовательная перезагрузка экземпляров в VPN-шлюзе, поэтому работа подключений не прерывается. При переходе подключений с одного экземпляра на другой может возникнуть кратковременный простой, который должен составлять меньше минуты. Кроме того, обратите внимание, что сброс шлюзов не приведет к изменению общедоступных IP-адресов.
Этот сценарий применяется только к подключениям S2S.
Можно ли подключить локальное VPN-устройство к нескольким концентраторам?
Да. Поток трафика, когда он начинается, идет с локального устройства к ближайшей границе сети Майкрософт, а затем к виртуальному концентратору.
Существуют ли новые ресурсы диспетчера ресурсов для Виртуальной глобальной сети?
Да, Virtual WAN имеет новые ресурсы Resource Manager. Дополнительные сведения см. в разделе Обзор.
Можно ли развернуть и использовать любимое сетевое виртуальное устройство (в виртуальной сети NVA) с помощью Azure Виртуальная глобальная сеть?
Да, вы можете подключить виртуальную сеть вашего любимого виртуального сетевого устройства (NVA) к Azure Virtual WAN.
Могу ли я создать сетевой виртуальный модуль в виртуальном концентраторе?
Виртуальный сетевой модуль (NVA) можно развернуть в виртуальном концентраторе. Для выполнения действий см. раздел «Сведения о NVAs в узле Виртуальной глобальной сети».
Можно ли в спицеобразной виртуальной сети иметь виртуальный сетевой шлюз?
№ Спицевая виртуальная сеть (spoke VNet) не может содержать шлюз виртуальной сети, если она подключена к виртуальному концентратору.
Может ли виртуальная сеть с периферийной виртуальной сетью иметь сервер маршрутизации Azure?
№ В периферийной виртуальной сети не может быть сервер маршрутизации, если он подключен к концентратору виртуальной глобальной сети.
Поддерживается ли протокол BGP в VPN-подключении?
Да, протокол BGP поддерживается. При создании сайта VPN для него можно указать параметры BGP. Это означает, что все подключения, созданные в Azure для этого сайта, будут включены для BGP.
Есть ли сведения о лицензировании и ценообразовании для Виртуальной глобальной сети?
Да. Откройте страницу Цены.
Можно ли создать Виртуальную глобальную сеть Azure с помощью шаблона Resource Manager?
Вы можете создать простую конфигурацию из одной Виртуальной глобальной сети, одного концентратора и одного сайта VPN на основе шаблона быстрого запуска. Виртуальная глобальная сеть по сути представляет собой службу REST или службу, управляемую порталом.
Могут ли виртуальные сети (VNet), подключенные к виртуальному концентратору, взаимодействовать друг с другом (V2V Transit)?
Да. Виртуальная глобальная сеть уровня "Стандартный" поддерживает транзитивное подключение между виртуальными сетями через концентратор Виртуальной глобальной сети, к которому они подключены. В терминологии Виртуальной WAN мы называем эти пути "локальным Виртуальной WAN транзитом VNet" для виртуальных сетей, подключенных к концентратору Виртуальной WAN в одном регионе, и "глобальным Виртуальной WAN транзитом VNet" для виртуальных сетей, подключенных через несколько концентраторов Виртуальной WAN в двух или более регионах.
В некоторых сценариях виртуальные сети периферийных зон также можно напрямую объединить, используя пиринг между виртуальными сетями в дополнение к локальному или глобальному транзиту Виртуальной глобальной сети. В этом случае пиринг виртуальной сети имеет приоритет над транзитивным подключением через концентратор Виртуальной глобальной сети.
Разрешена ли в Виртуальной глобальной сети Azure связь между филиалами?
Да, межфилиальное подключение доступно в Виртуальной сети WAN. Филиал концептуально применим к сайту VPN, каналам ExpressRoute или пользователям VPN «точка-сеть». Подключение между ветвями включено по умолчанию и может быть найдено в параметрах конфигурации Виртуальной глобальной сети. Это позволяет ветвям и пользователям VPN подключаться к другим VPN-ветвям, а также использовать транзитное подключение между пользователями VPN и ExpressRoute.
Проходит ли трафик между ветвями через Виртуальную глобальную сеть Azure?
Да. Трафик между ветвями проходит через Виртуальную глобальную сеть Azure.
Требуется ли подключение ExpressRoute с каждого сайта для Виртуальной WAN-сети?
№ Виртуальной глобальной сети не требуется ExpressRoute с каждого сайта. Ваши сайты могут быть подключены к сети поставщика с помощью канала ExpressRoute. Для сайтов, подключенных к виртуальному концентратору с помощью ExpressRoute и VPN IPsec в одном и том же концентраторе, виртуальный концентратор обеспечивает транзитное подключение между пользователем VPN и ExpressRoute.
Есть ли пропускная способность или предельное значение сети при использовании Виртуальной глобальной сети Azure?
Пропускная способность сети зависит от службы в концентраторе Виртуальной глобальной сети. В каждом концентраторе агрегатная пропускная способность VPN составляет до 20 Гбит/с, агрегатная пропускная способность ExpressRoute составляет до 20 Гбит/с, а агрегатная пропускная способность пользовательского VPN/VPN-подключения "точка — сеть" составляет до 200 Гбит/с. Маршрутизатор в виртуальном концентраторе поддерживает до 50 Гбит/с для потоков трафика между виртуальными сетями и предусматривает общую рабочую нагрузку 2000 ВМ по всем виртуальным сетям, подключенным к одному виртуальному концентратору.
Чтобы обеспечить резервную мощность, не дожидаясь горизонтального увеличения масштаба виртуального концентратора, если требуется дополнительная пропускная способность, можно задать минимальную емкость или изменить по мере необходимости. См. Про виртуальный концентратор — емкость концентратора. Чтобы оценить затраты, просмотрите цены на единицы инфраструктуры маршрутизации на странице Цены на Виртуальную глобальную сеть Azure.
Когда VPN-сайты подключаются к концентратору, они делают это через соединения. Виртуальная глобальная сеть поддерживает до 1000 подключений или 2000 IPsec-туннелей на виртуальный концентратор. Когда удаленные пользователи подключаются к виртуальному центру, они подключаются к VPN-шлюзу P2S, который поддерживает до 100 000 пользователей в зависимости от единицы масштабирования (пропускной способности), выбранной для VPN-шлюза P2S в виртуальном центре.
Можно ли использовать NAT-T для моих VPN-подключений?
Да, обход NAT (NAT-T) поддерживается. VPN-шлюз Виртуальной глобальной сети НЕ будет выполнять никаких функций, связанных с NAT, для внутренних пакетов, поступающих в туннели IPsec и из них. В этой конфигурации убедитесь, что локальное устройство инициирует использование туннеля IPsec.
Как настроить единицу масштабирования для определенного параметра, например 20 Гбит/с?
Перейдите к VPN-шлюзу внутри концентратора на портале, а затем щелкните единицу масштабирования, чтобы изменить ее на соответствующий параметр.
Позволяет ли Виртуальная глобальная сеть локальному устройству использовать несколько поставщиков услуг Интернета параллельно или допускается только один туннель VPN?
В локальных решениях для устройств могут применяться политики трафика для передачи трафика между несколькими туннелями в концентратор Виртуальной глобальной сети Azure (VPN-шлюз в виртуальном концентраторе).
Что такое глобальная транзитная архитектура?
Дополнительные сведения см. в статье Архитектура глобальной транзитной сети и Виртуальная глобальная сеть.
Как направляется трафик в магистральную сеть Azure?
Трафик передается по следующему маршруту: филиальное устройство -> Интернет-провайдер -> сетевая граница Microsoft -> ЦОД Microsoft (основная виртуальная сеть) -> сетевая граница Microsoft -> Интернет-провайдер -> филиальное устройство.
Что необходимо каждому веб-сайту в этой модели? Только подключение к Интернету?
Да. Требуются подключение к Интернету и физическое устройство с поддержкой IPsec, предпочтительно полученное от наших интегрированных партнеров Виртуальной глобальной сети. При желании вы можете вручную управлять конфигурацией и подключением своего устройства к Azure.
Как включить маршрут по умолчанию (0.0.0.0/0) для подключения (VPN, ExpressRoute или виртуальная сеть)?
Виртуальный концентратор может распространять полученный маршрут по умолчанию в виртуальную сеть, VPN-подключение типа "сеть — сеть" или подключение ExpressRoute, если для соответствующего подключения установлен флаг "Включено". Этот флаг отображается, когда пользователь редактирует подключение к виртуальной сети, VPN-подключение или подключение ExpressRoute. По умолчанию этот флаг отключается, когда сайт или канал ExpressRoute подключается к концентратору. Он включается по умолчанию, когда добавляется виртуальное сетевое подключение между виртуальной сетью и виртуальным концентратором.
Маршрут по умолчанию не создается в концентраторе Виртуальной глобальной сети. Он распространяется, только если он уже был получен концентратором Виртуальной глобальной сети в результате развертывания брандмауэра в концентраторе или если для другого подключенного сайта включено принудительное туннелирование. Маршрут по умолчанию не распространяется межхабово.
Можно ли создать несколько виртуальных центров Виртуальной глобальной сети в одном регионе?
Да. Теперь клиенты могут создавать более одного центра в одном регионе для одной Виртуальной глобальной сети Azure.
Как в Виртуальной глобальной сети виртуальный концентратор выбирает оптимальный путь для маршрута из нескольких концентраторов?
Для получения информации см. страницу предпочтения маршрутизации виртуального концентратора.
Разрешает ли концентратор Виртуальной глобальной сети подключение между каналами ExpressRoute?
Транзит между ER и ER всегда осуществляется через Global Reach. Шлюзы виртуальных концентраторов развертываются в ЦОД или регионах Azure. Когда два канала ExpressRoute подключаются через Global Reach, нет необходимости, чтобы трафик проходил весь путь от пограничных маршрутизаторов до виртуального хаба ЦОД.
Существует ли понятие веса в каналах ExpressRoute Виртуальной глобальной сети Azure или VPN-подключениях?
При подключении нескольких каналов ExpressRoute к виртуальному концентратору, вес маршрутизации в подключении определяет механизм, который позволяет ExpressRoute в виртуальном концентраторе отдавать предпочтение одному каналу перед другим. Нет механизма установки веса для VPN-подключения. Azure всегда предпочитает подключение ExpressRoute вместо VPN-подключения в пределах одного концентратора.
Предпочитает ли виртуальная сеть WAN канал ExpressRoute вместо VPN-подключения для трафика, покидающего Azure?
Да. Виртуальная глобальная сеть предпочитает канал ExpressRoute вместо VPN-подключения для исходящего трафика Azure. Однако вы можете настроить параметры маршрутизации виртуального концентратора, чтобы изменить параметры по умолчанию. Инструкции см. в разделе "Настройка предпочтения маршрутизации виртуального концентратора".
Если концентратор Виртуальной глобальной сети имеет канал ExpressRoute и к нему подключен сайт VPN, что может привести к тому, что маршрут VPN-подключения будет предпочтительнее, чем ExpressRoute?
При подключении канала ExpressRoute к виртуальному концентратору маршрутизаторы Microsoft Edge являются первым узлом для обмена данными между локальной средой и Azure. Эти пограничные маршрутизаторы обмениваются данными со шлюзами ExpressRoute Виртуальной глобальной сети, которые, в свою очередь, узнают маршруты от маршрутизатора виртуального концентратора, который контролирует все маршруты между любыми шлюзами в Виртуальной глобальной сети. Маршрутизаторы на границе сети «Майкрософт» обрабатывают маршруты ExpressRoute виртуального концентратора с более высоким приоритетом по сравнению с маршрутами, полученными из локальной системы.
По любой причине, если VPN-подключение становится основным способом для виртуального концентратора изучать маршруты (например, в сценариях перехода между ExpressRoute и VPN), и пока у сайта VPN нет большей длины пути AS, виртуальный концентратор будет продолжать обмениваться изученными через VPN маршрутами со шлюзом ExpressRoute. Это приведет к тому, что для пограничных маршрутизаторов Майкрософт предпочтительными будут VPN-маршруты, а не локальные маршруты.
Поддерживает ли ExpressRoute маршрутизацию с равными затратами по нескольким путям (ECMP) в виртуальной WAN?
При подключении нескольких каналов ExpressRoute к концентратору виртуальной глобальной сети технология ECMP предоставляет возможность трафику из периферийных виртуальных сетей в локальную сеть через ExpressRoute распределяться по всем каналам ExpressRoute, объявляя одни и те же локальные маршруты. ECMP в настоящее время не включен по умолчанию для центров Виртуальной WAN.
Когда два концентратора (концентратор 1 и концентратор 2) подключены, и канал ExpressRoute соединен с обоими концентраторами в виде галстука-бабочки, как виртуальная сеть, подключенная к концентратору 1, может достигать виртуальной сети, подключенной к концентратору 2?
В настоящее время предпочтение отдается пути канала ExpressRoute, а не пути между концентраторами для подключения между виртуальными сетями. Но это не рекомендуется при настройке Виртуальной глобальной сети. Чтобы устранить проблему, необходимо выполнить одно из двух приведенных ниже действий:
Для потоков трафика между регионами настройте систему так, чтобы несколько каналов ExpressRoute (разных поставщиков) подключались к одному концентратору, и используйте подключение между концентраторами, предоставляемое службой "Виртуальная глобальная сеть".
Настройте AS-путь в качестве предпочтительного маршрута для виртуального концентратора. Это обеспечивает трафик между двумя концентраторами через маршрутизатор виртуального концентратора в каждом концентраторе и использует путь "концентратор — концентратор" вместо пути ExpressRoute (который проходит через маршрутизаторы Microsoft Edge). Дополнительные сведения см. в разделе о предпочтении маршрутизации виртуального концентратора.
Когда есть канал ExpressRoute, подключенный как привязка к концентратору Виртуальная глобальная сеть и автономной виртуальной сети, что такое путь к автономной виртуальной сети для достижения Виртуальная глобальная сеть концентратора?
Для новых развертываний это подключение блокируется по умолчанию. Чтобы разрешить это подключение, можно включить эти переключатели шлюза ExpressRoute в колонке "Изменить виртуальный концентратор" и "Шлюз виртуальной сети" на портале. Однако рекомендуется сохранить эти переключатели отключенными и вместо этого создать подключение виртуальная сеть для прямого подключения автономных виртуальных сетей к концентратору Виртуальная глобальная сеть. После этого трафик между виртуальными сетями будет проходить через маршрутизатор концентратора Virtual WAN, который обеспечивает лучшую производительность, чем маршрут ExpressRoute. Путь ExpressRoute включает шлюз ExpressRoute, который имеет более низкие ограничения пропускной способности, чем маршрутизатор концентратора, а также маршрутизаторы Microsoft Enterprise Edge/MSEE, который является дополнительным прыжком в пути данных.
На приведенной ниже схеме необходимо включить оба переключателя, чтобы разрешить подключение между автономной VNet 4 и виртуальными сетями, напрямую подключенными к концентратору 2 (виртуальная сеть 2 и виртуальная сеть 3): Разрешить трафик из удаленных сетей виртуальной глобальной сети для шлюза виртуальной сети и разрешить трафик из сетей, не относящихся к виртуальной глобальной сети для шлюза ExpressRoute виртуального концентратора. Если сервер маршрутизации Azure развернут в автономной виртуальной сети 4, а сервер маршрутизации имеет ветвь ветвь , подключение будет заблокировано между виртуальной сетью 1 и автономной виртуальной сетью 4.
Включение или отключение переключателя влияет только на следующий поток трафика: трафик между концентратором Виртуальная глобальная сеть и автономной виртуальной сетью через канал ExpressRoute. Включение или отключение переключателя не приведет к простою для всех других потоков трафика (например, локальный сайт к периферийной виртуальной сети 2 не будет затронут, виртуальная сеть 2 к виртуальной сети 3 не будет затронут и т. д.).
Почему подключение не работает при объявлении маршрутов с ASN 0 в AS-Path?
Хаб виртуальной сети WAN удаляет маршруты с ASN значением 0 в AS-Path. Чтобы эти маршруты успешно объявлялись в Azure, as-Path не должен содержать 0.
Можно ли создавать центры в разных группах ресурсов в Виртуальная глобальная сеть?
Да. Сейчас это можно сделать только с помощью PowerShell. На портале Виртуальной глобальной сети концентраторы можно разместить только в той группе ресурсов, где находится ресурс Виртуальной глобальной сети.
Какой диапазон адресов концентратора рекомендуется при создании концентратора?
Рекомендуемый диапазон адресов для концентратора Виртуальной глобальной сети — /23. Концентратор Виртуальной глобальной сети назначает подсети различным шлюзам (ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", Брандмауэр Azure, маршрутизатор виртуального концентратора). В сценариях, где виртуальные сетевые модули развертываются в виртуальном концентраторе, для всех экземпляров виртуальных сетевых модулей обычно резервируется диапазон /28. Однако если пользователь должен был подготовить несколько NVA, может быть назначена подсеть /27. Хотя концентраторы Виртуальной глобальной сети развертываются с минимальным размером подсети /24, с учетом будущих требований архитектуры пользователю рекомендуется указать диапазон адресов /23 при создании концентратора.
Поддерживается ли IPv6 в Virtual WAN?
IPv6 не поддерживается в концентраторе Виртуальной глобальной сети и его шлюзах. Если подключить периферийную виртуальную сеть с диапазоном адресов IPv6 к концентратору Виртуальная глобальная сеть, то будет функционировать только подключение IPv4 с этой периферийной виртуальной сетью. Подключение IPv6 к этой периферийной виртуальной сети не поддерживается.
Если вы объявляете префиксы IPv6 из локальной среды, это приведет к прерыванию подключения IPv4 для ресурсов Azure.
Для сценария пользовательского VPN-подключения «точка-сеть» с разрывом Интернет-соединения через Azure Firewall, вам, скорее всего, потребуется отключить подключение по протоколу IPv6 на клиентском устройстве, чтобы трафик перенаправлялся в концентратор Виртуальной глобальной сети. Это связано с тем, что современные устройства по умолчанию используют IPv6-адреса.
Какая рекомендуемая версия API будет использоваться в скриптах, автоматизирующих различные функции Виртуальной глобальной сети?
Требуется минимальная версия 05-01-2022 (1 мая 2022 г.).
Существуют ли ограничения для Виртуальной глобальной сети?
См. раздел Ограничения Виртуальной глобальной сети на странице "Ограничения подписок и служб".
Чем отличаются ценовые категории Виртуальных глобальных сетей ("Базовый" и "Стандартный")?
Ознакомьтесь с разделом Виртуальные глобальные сети уровня "Базовый" и "Стандартный". Актуальные сведения см. на странице с ценами.
Хранятся ли данные клиента в виртуальной глобальной сети?
№ В Виртуальной глобальной сети не хранятся данные клиента.
Существуют ли поставщики управляемых служб, которые могут (в качестве услуги) управлять виртуальной глобальной сетью для пользователей?
Да. Список решений от поставщиков управляемых служб (MSP), поддерживаемых в Azure Marketplace, см. в разделе Предложения в Azure Marketplace от партнеров программы для поставщиков сетевых устройств и служб Azure (MSP).
Чем маршрутизация концентратора Виртуальной глобальной сети отличается от Azure Route Server в виртуальной сети?
Центр Виртуальной глобальной сети Azure и Azure Route Server предоставляют возможности пиринга по протоколу BGP, которые могут использоваться NVA (виртуальный сетевой модуль) для объявления IP-адресов из NVA в виртуальных сетях Azure пользователя. Параметры развертывания различаются в том аспекте, что Azure Route Server обычно разворачивается с помощью виртуальной сети концентратора клиента с самостоятельным управлением, в то время как Azure Virtual WAN предоставляет полностью автоматизированную полносвязную службу концентратора, к которой клиенты подключаются через различные периферийные конечные точки (виртуальная сеть Azure, локальные ветви с VPN-подключением типа "сеть — сеть" или SDWAN, удаленные пользователи с VPN-подключением типа "точка — сайт"/"Remote User VPN" и частные подключения с ExpressRoute) и получают пиринг BGP для виртуальных сетевых модулей, развернутых в периферийной виртуальной сети вместе с другими возможностями Azure Virtual WAN, такими как транзитное подключение "виртуальная сеть — виртуальная сеть", транзитное подключение между VPN и ExpressRoute, настраиваемая и расширенная маршрутизация, настраиваемая ассоциация и распространение маршрутов, намерение/политики маршрутизации для беспроблемной защиты между регионами, Защищенный хаб/фаервол Azure и т. д. Дополнительные сведения о пиринге BGP в виртуальной глобальной сети см. в статье Пиринг BGP с виртуальным хабом.
Если для защиты интернет-трафика используется сторонний поставщик безопасности (Zscaler, iBoss или Checkpoint), почему на портале Azure не отображается сайт VPN, связанный с этим поставщиком?
Если для защиты доступа пользователей к Интернету вы решили развернуть решение от поставщика безопасности, который является партнером корпорации Майкрософт, этот сторонний поставщик безопасности от вашего имени создает сайт VPN. Так как сторонний поставщик безопасности создается автоматически поставщиком и не является сайтом VPN, созданным пользователем, этот сайт VPN не будет отображаться на портале Microsoft Azure.
Подробнее о доступных решениях сторонних поставщиков безопасности и их настройке см. в статье Развертывание поставщика безопасности из числа партнеров корпорации Майкрософт.
Будут ли сообщества BGP, созданные локальной средой, сохраняться в Виртуальной глобальной сети?
Да, сообщества BGP, созданные локальной средой, будут сохраняться в Виртуальной глобальной сети.
Будут ли сообщества BGP, созданные BGP-пирами (в присоединенной виртуальной сети), сохранены в Виртуальной WAN?
Да, BGP-сообщества, созданные пирингами BGP, будут сохранены в виртуальной WAN. Сообщества сохраняются через тот же хаб и между межхабовыми соединениями. Это также относится к сценариям использования виртуальной магистральной сети при использовании политик маршрутизации с намерением.
Какие номера ASN поддерживаются для удаленных подключенных локальных сетей с BGP?
Вы можете использовать собственные общедоступные или частные ASN для локальных сетей. Диапазоны, зарезервированные Azure или IANA, использовать нельзя:
- ASN, зарезервированные Azure:
- Общедоступные ASN: 8074, 8075, 12076.
- Частные ASN: 65515, 65517, 65518, 65519, 65520.
- Номера ASN, зарезервированные для IANA: 23456, 64496-64511, 65535-65551
Можно ли изменить ASN для VPN-шлюза?
№ Виртуальная глобальная сеть не поддерживает изменения ASN для VPN-шлюзов.
Какова предполагаемая производительность SKU шлюза ExpressRoute в Виртуальной глобальной сети?
| Единица масштабирования | Подключений в секунду | Мбит в секунду | Пакетов в секунду |
|---|---|---|---|
| 1 единица масштабирования |
14 000 | 2 000 | 200 000 |
| 2 единицы масштабирования |
28 000 | 4000 | 400 000 |
| 3 единицы масштабирования |
42 000 | 6000 | 600,000 |
| 4 единицы масштабирования |
56 000 | 8000 | 800 000 |
| 5 единиц шкалы |
70 000 | 10 000 | 1 000 000 |
| 6 единиц масштабирования |
84 000 | 12 000 | 1 200 000 |
| 7 единиц масштабирования |
98 000 | 14 000 | 1 400 000 |
| 8 единиц масштабирования |
112 000 | 16 000 | 1 600 000 |
| 9 единиц масштабирования |
126 000 | 18 000 | 1 800 000 |
| 10 единиц масштабирования |
140,000 | 20,000 | 2 000 000 |
Важно отметить следующее:
- * Единицы масштабирования 2–10 во время операций обслуживания поддерживают агрегированную пропускную способность. Но для единицы масштабирования 1 во время операции обслуживания пропускная способность может немного измениться.
- Независимо от количества развернутых единиц масштабирования, трафик может испытывать снижение производительности, если в одном потоке TCP отправляется более 1,5 Гбит/с.
Если я подключу локальный канал ExpressRoute к центру Виртуальной глобальной сети, смогу ли я получить доступ только к регионам в той же метрополии, что и локальный канал?
Локальные каналы могут быть подключены только к шлюзам ExpressRoute в соответствующем регионе Azure. Однако нет ограничений для маршрутизации трафика в периферийные виртуальные сети в других регионах.
Почему для маршрутизатора виртуального концентратора требуется общедоступный IP-адрес с открытыми портами?
Эти общедоступные конечные точки необходимы для базовой платформы SDN и управления Azure для взаимодействия с маршрутизатором виртуального концентратора. Так как маршрутизатор виртуального концентратора считается частью частной сети клиента, базовая платформа Azure не может напрямую обращаться к маршрутизатору концентратора через свои частные конечные точки из-за требований соответствия требованиям. Подключение к общедоступным конечным точкам маршрутизатора концентратора проходит проверку подлинности с помощью сертификатов, а Azure проводит обычные аудиты безопасности этих общедоступных конечных точек. В результате они не представляют угрозу безопасности вашего виртуального концентратора.
Существует ли ограничение на число маршрутов для клиентов OpenVPN, которые подключаются к VPN-шлюзу P2S в Azure?
Ограничение на число маршрутов для клиентов OpenVPN — 1000.
Как вычисляется Соглашение об уровне обслуживания (SLA) для Виртуальной глобальной сети?
Виртуальная глобальная сеть — это платформа на основе модели "сеть как услуга", имеющая SLA на уровне 99,95 %. Но Виртуальная глобальная сеть сочетает множество различных компонентов, таких как Брандмауэр Azure, VPN типа "сеть — сеть", ExpressRoute, VPN типа "точка — сеть" и Центр Виртуальной глобальной сети или интегрированные сетевые виртуальные модули.
SLA для каждого компонента вычисляется отдельно. Например, если для ExpressRoute допустим простой длительностью в 10 минут, доступность ExpressRoute вычисляется как (максимальное доступное время в минутах - время простоя) / максимальное время доступности в минутах * 100.
Можно ли изменить адресное пространство виртуальной сети в периферийной виртуальной сети, подключенной к концентратору?
Да, это можно сделать автоматически, без необходимости обновления или сброса на пиринговом соединении. Обратите внимание на следующее:
- Не обязательно нажимать кнопку "Синхронизировать" во вкладке пиринга. После изменения адресного пространства виртуальной сети пиринг виртуальной сети будет автоматически синхронизироваться с виртуальной сетью виртуального концентратора.
- Убедитесь, что обновленное адресное пространство не перекрывается адресным пространством для существующих периферийных виртуальных сетей в Виртуальная глобальная сеть.
Дополнительные сведения об изменении адресного пространства виртуальной сети см. здесь.
Каково максимальное количество адресов виртуальной сети, поддерживаемых для центров, настроенных с намерением маршрутизации?
Максимальное количество адресных пространств во всех виртуальных сетях, напрямую подключенных к одному концентратору Виртуальной WAN, составляет 400. Это ограничение применяется индивидуально к каждому концентратору в развертывании Виртуальной глобальной сети. адресные пространства виртуальной сети, подключенные к удаленным (другим центрам Виртуальной глобальной сети в той же Виртуальной глобальной сети), не учитываются в этом пределе.
Это ограничение можно изменить. Дополнительные сведения об ограничении см. в процедуре запроса на увеличение предела и примеры скриптов, чтобы определить количество адресных пространств в виртуальная сеть, подключенных к концентратору Виртуальная глобальная сеть, см. в статье об ограничениях адресного пространства виртуальной сети для маршрутизации.
Обслуживание шлюза виртуальной глобальной сети, управляемого клиентом
Какие службы включены в область конфигурации обслуживания сетевых шлюзов?
Для виртуальной WAN вы можете настроить периоды обслуживания для VPN-шлюзов типа "сайт-сайт" и шлюзов ExpressRoute.
Какое обслуживание поддерживается или не поддерживается управляемым клиентом обслуживанием?
Службы Azure проходят периодические обновления обслуживания для улучшения функциональности, надежности, производительности и безопасности. После настройки периода обслуживания для ресурсов в этом окне выполняется обслуживание гостевой ОС и службы. Эти обновления относятся к большинству элементов обслуживания, вызывающих озабоченность для клиентов.
Базовые обновления оборудования узла и инфраструктуры центра обработки данных не охватываются обслуживанием, контролируемым клиентом. Кроме того, если возникает проблема с безопасностью с высокой степенью серьезности, которая может угрожать нашим клиентам, Azure может потребоваться переопределить управление клиентом в отношении периода обслуживания и развернуть изменение. Это редкие случаи, которые будут использоваться только в крайних случаях.
Можно ли получить расширенное уведомление об обслуживании?
В настоящее время расширенное уведомление не может быть включено для обслуживания ресурсов сетевого шлюза.
Можно ли настроить период обслуживания менее пяти часов?
В настоящее время необходимо настроить как минимум пять часового периода в предпочтительном часовом поясе.
Можно ли настроить расписание обслуживания, которое не повторяется ежедневно?
В настоящее время необходимо настроить период ежедневного обслуживания.
Должны ли ресурсы конфигурации обслуживания находиться в том же регионе, что и ресурс шлюза?
Да.
Необходимо ли развернуть минимальную единицу масштабирования шлюза, чтобы иметь право на обслуживание, управляемое клиентом?
№
Сколько времени требуется для того, чтобы политика конфигурации обслуживания стала эффективной после того, как она будет назначена ресурсу шлюза?
Для того чтобы шлюзы сети начали соблюдать расписание обслуживания, может потребоваться до 24 часов после того, как политика обслуживания будет связана с ресурсом шлюза.
Как запланировать периоды обслуживания при использовании VPN и ExpressRoute в сценарии сосуществования?
При работе с VPN и ExpressRoute в сценарии сосуществования или при наличии ресурсов, действующих в качестве резервных копий, рекомендуется настроить отдельные периоды обслуживания. Этот подход гарантирует, что обслуживание не влияет на ресурсы резервного копирования одновременно.
Я запланировал период обслуживания на будущую дату для одного из моих ресурсов. Будут ли действия по обслуживанию приостановлены на этом ресурсе до тех пор?
Нет, действия по обслуживанию не будут приостановлены на ресурсе в течение периода до запланированного периода обслуживания. В течение дней, не охваченных расписанием обслуживания, обслуживание продолжается как обычно на ресурсе.
Существуют ли ограничения на количество маршрутов, которые можно объявлять?
Да, есть ограничения. ExpressRoute поддерживает до 4000 префиксов для частного пиринга и 200 префиксов для пиринга Майкрософт. С помощью ExpressRoute Premium можно увеличить ограничение до 10 000 маршрутов для частного пиринга. Максимальное количество маршрутов, объявленных из частного пиринга Azure через шлюз ExpressRoute по каналу ExpressRoute, равно 1000, которое одинаково для каналов ExpressRoute уровня "Стандартный" и "Премиум". Дополнительные сведения см. в разделе "Ограничения маршрутов ExpressRoute" на странице ограничений подписки Azure и квот, обратите внимание, что объявления маршрутов IPv6 в настоящее время не поддерживаются с Виртуальная глобальная сеть.
Существуют ли ограничения на диапазоны IP-адресов, которые можно объявлять в сеансе BGP?
Да, есть ограничения. Частные префиксы (RFC1918) не принимаются для сеанса BGP пиринга Майкрософт. Однако любой размер префикса вплоть до /32 принимается как для взаимосоединений с Майкрософт, так и для частных взаимосоединений.
Что произойдет, если превышено ограничение маршрута BGP?
Если превышено ограничение маршрута BGP, сеансы BGP будут отключены. Сеансы будут восстановлены после уменьшения числа префиксов ниже предела. Дополнительные сведения см. в ограничениях маршрута каналов ExpressRoute на странице ограничений и квот подписки Azure.
Можно ли отслеживать количество маршрутов, объявленных или полученных по каналу ExpressRoute?
Да, вы можете. Рекомендации по мониторингу оповещений на основе метрик см. в рекомендациях по мониторингу Azure.
Что такое рекомендация по сокращению числа префиксов IP-адресов?
Рекомендуется агрегировать префиксы перед рекламой через ExpressRoute или VPN-шлюз. Кроме того, можно использовать Route-Maps для суммирование маршрутов, объявленных из и в Виртуальная глобальная сеть.
Можно ли использовать пользовательские таблицы маршрутов для периферийных виртуальная сеть, подключенных к центру Виртуальная глобальная сеть?
Да. Маршруты, которые концентратор Виртуальной глобальной сети объявляет ресурсам, развернутым в подключенных петлевых виртуальных сетях, являются маршрутами протокола типа BGP. Если определяемая пользователем таблица маршрутов связана с подсетью, подключенной к Virtual WAN, параметр "Распространение маршрутов шлюза" должно иметь значение "Да", чтобы Virtual WAN транслировала маршруты к ресурсам, развернутым в этой подсети. Базовая программно-определяемая сетевая платформа Azure использует следующий алгоритм для выбора маршрутов на основе алгоритма выбора маршрутов Azure.
Следующие шаги
Подробнее о "Виртуальной глобальной сети" см. в статье О Виртуальной глобальной сети.