Поделиться через

Быстрый путь VPN Azure Stack Hub для пользователей клиента

  • Статья

Что такое функция быстрого пути VPN в Azure Stack Hub?

Azure Stack Hub представляет три новых номера SKU, описанных в этой статье в рамках функции быстрого пути VPN. Ранее туннели S2S были ограничены максимальной пропускной способностью 200 Мбит/с с с помощью номера SKU HighPerformance. Новые номера SKU позволяют клиентским сценариям, в которых необходима более высокая пропускная способность сети. Значения пропускной способности для каждого номера SKU являются однонаправленными значениями, что означает, что она поддерживает указанную пропускную способность при отправке или получении трафика.

Когда оператор Azure Stack включает функцию быстрого пути VPN в метке Azure Stack Hub, пользователи клиента могут создавать шлюзы виртуальной сети с помощью новых номеров SKU. Вы можете настроить существующие настройки, повторно создав шлюз виртуальной сети и его подключения с одним из новых номеров SKU.

Новые SKU шлюзов виртуальной сети, доступные при включении быстрого пути VPN

Помимо 3 новых номеров SKU, общая емкость VPN Azure Stack Hub увеличивается, что позволяет больше VPN-подключений.

В следующей таблице показана новая пропускная способность для каждого номера SKU при включении быстрого пути VPN:

Номер SKU Максимальная пропускная способность VPN-подключения
Базовая 100 Мбит/с Tx/Rx
Стандартные 100 Мбит/с Tx/Rx
Высокая производительность 200 Мбит/с Tx/Rx
VpnGwy1 650 Мбит/с Tx/Rx
VpnGwy2 1000 Мбит/с Tx/Rx
VpnGwy3 1250 Мбит/с Tx/Rx

Создание шлюзов виртуальной сети для использования новых номеров SKU

С помощью быстрого пути VPN пользователи клиента могут создавать шлюзы виртуальной сети с новыми номерами SKU с помощью портала Azure Stack Hub или PowerShell.

Создание шлюзов виртуальной сети с новыми номерами SKU с помощью портала Azure Stack Hub

Если вы используете портал Azure Stack Hub для создания шлюза виртуальной сети, можно выбрать номер SKU с помощью раскрывающегося списка. Новые номера SKU fast Path VPN (VpnGwy1, VpnGwy2, VpnGwy3) отображаются только после добавления параметра запроса "?azurestacknewvpnskus=true" в URL-адрес и обновления.

Следующий пример URL-адреса делает новые номера SKU шлюза виртуальной сети видимыми на пользовательском портале Azure Stack Hub:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Перед созданием этих ресурсов оператор должен включить быстрый VPN-путь на метке Azure Stack Hub:

Новые номера SKU Azure VNG

Создание шлюзов виртуальной сети с новыми номерами SKU с помощью PowerShell

В следующем примере используются модули AzureRM:

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

Обновление устаревших шлюзов виртуальной сети

Не удается обновить номер SKU без повторного создания шлюза виртуальной сети, который требует удаления всех подключений, связанных с шлюзом виртуальной сети. Вы можете повторно использовать ресурсы шлюза локальной сети после создания шлюза виртуальной сети с новым номером SKU. Ресурс шлюза локальной сети определяет адресное пространство и IP-адрес локального устройства и сохраняет ее.

Выполните следующие действия, чтобы обновить номера SKU шлюза виртуальной сети:

  1. Удалите все подключения на существующем шлюзе виртуальной сети: запишите предварительно общий ключ и установите ли флаг BGP включено.
  2. Удалите существующий шлюз виртуальной сети с помощью устаревшего номера SKU: невозможно создать два шлюза виртуальной сети в одной виртуальной сети, поэтому необходимо удалить существующий шлюз.
  3. Создайте новый ресурс шлюза виртуальной сети с новым номером SKU: вы можете выбрать один из новых номеров SKU, включенных с помощью VPN Fast Path.
  4. Создайте новое подключение между новым шлюзом виртуальной сети и существующим локальным сетевым шлюзом: если вы используете настраиваемую политику IP-адресов с, создайте подключение с помощью PowerShell. Используйте предварительный общий ключ и флаг BGP, отмеченный на шаге 1.
  5. Повторите шаг 4 для любых других подключений, которые необходимо переместить на новый номер SKU: этот шаг относится к сценариям с несколькими сайтами.

Топологии VPN-подключений

Существуют различные конфигурации для VPN-шлюзов. Определите, какая из конфигураций наилучшим образом соответствует вашим требованиям. В следующих разделах можно просмотреть сведения и схемы топологии в следующих сценариях VPN-шлюза:

  • Подключения типа "сеть — сеть"
  • Подключения типа "сеть — сеть"
  • Подключения типа "сеть — сеть" или "сеть — сеть" между метками Azure Stack Hub

Представленные в следующих разделах схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.

Подключения типа "сеть — сеть"

Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес.

Концептуальное изображение, показывающее топологию подключения типа

Подключения типа "сеть — сеть"

Топология "сеть — сеть " — это вариация топологии типа "сеть — сеть". В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам.

Концептуальная схема, показывающая подключения между сайтами и несколькими сайтами.

Подключения типа "сеть — сеть" или "сеть — многосайтовый" между метками Azure Stack Hub

Между двумя развертываниями Azure Stack Hub можно создать только одно VPN-подключение типа "сеть — сеть". Это ограничение связано с ограничением в платформе, которая разрешает только одно VPN-подключение к одному IP-адресу. Так как Azure Stack Hub использует мультитенантный шлюз, имеющий один общедоступный IP-адрес для всех VPN-шлюзов в системе Azure Stack Hub, между двумя системами Azure Stack Hub может быть только одно VPN-подключение. Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес. В Azure Stack Hub нельзя создать несколько локальных ресурсов сетевого шлюза с использованием одного и того же IP-адреса.

На следующей схеме показано, как объединить несколько меток Azure Stack Hub, если необходимо создать топологию сетки между метками. В этом сценарии есть 3 метки Azure Stack Hub, и каждый из них имеет 1 шлюз виртуальной сети с 2 подключениями и 2 шлюзами локальной сети. С новыми номерами SKU пользователи могут подключать сети и рабочие нагрузки между метками с пропускной способностью VPN-подключений до 1250 Мбит/с Tx/Rx, распределяя 50 % емкости пула шлюзов каждой метки. Оставшаяся емкость для каждой метки может использоваться для дополнительных VPN-подключений, необходимых для других вариантов использования:

Концептуальная схема, показывающая параметры VPN-шлюза между метками.

Следующие шаги