Om ExpressRoute-gatewayer för virtuella nätverk
Om du vill ansluta ditt virtuella Azure-nätverk (VNet) och ditt lokala nätverk med hjälp av Azure ExpressRoute måste du först skapa en virtuell nätverksgateway. En virtuell nätverksgateway har två syften: att utbyta IP-vägar mellan nätverk och dirigera nätverkstrafik.
Den här artikeln beskriver olika gatewaytyper, gateway-SKU:er och uppskattad prestanda per SKU. Den här artikeln förklarar också ExpressRoute FastPath, en funktion som gör att nätverkstrafiken från ditt lokala nätverk kan kringgå den virtuella nätverksgatewayen för att förbättra prestandan.
Gateway-typer
När du skapar en virtuell nätverksgateway måste du ange flera inställningar. En av de nödvändiga inställningarna, -GatewayType, anger om gatewayen används för ExpressRoute- eller VPN-trafik. De två gatewaytyperna är:
Vpn: Om du vill skicka krypterad trafik via det offentliga Internet använder duVpnför-GatewayType(kallas även för en VPN-gateway). Anslutningar från plats till plats, punkt-till-plats och VNet-till-VNet använder alla en VPN-gateway.ExpressRoute: Om du vill skicka nätverkstrafik på en privat anslutning använder duExpressRouteför-GatewayType(kallas även för en ExpressRoute-gateway). Den här typen av gateway används när du konfigurerar ExpressRoute.
Varje virtuellt nätverk kan bara ha en VNet-gateway per gateway-typ. Du kan till exempel ha en virtuell nätverksgateway som använder Vpn för -GatewayTypeoch en som använder ExpressRoute för -GatewayType.
Gateway-SKU:er
När du skapar en virtuell nätverksgateway måste du ange vilken gateway-SKU som du vill använda. När du väljer en högre gateway-SKU allokeras fler processorer och nätverksbandbredd till gatewayen. Därför kan gatewayen ha stöd för högre nätverksdataflöde till det virtuella nätverket.
Virtuella ExpressRoute-nätverksgatewayer kan använda följande SKU:er:
- ERGwScale (förhandsversion)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Om du vill uppgradera din gateway till en gateway-SKU med högre kapacitet kan du använda verktyget Sömlös gatewaymigrering i antingen Azure Portal eller PowerShell. Följande uppgraderingar stöds:
- Icke-Az-aktiverad SKU på grundläggande IP-adress till icke-Az-aktiverad SKU på standard-IP
- Icke-Az-aktiverad SKU på grundläggande IP till Az-aktiverad SKU på standard-IP
- Icke-Az-aktiverad SKU på standard-IP till Az-aktiverad SKU på standard-IP
Mer information finns i Migrera till en tillgänglighetszonaktiverad gateway.
För alla andra nedgraderingsscenarier måste du ta bort och återskapa gatewayen, vilket medför stilleståndstid.
Skapande av gatewayundernät
Innan du skapar en ExpressRoute-gateway måste du skapa ett gatewayundernät. Virtuella nätverksgatewayens virtuella datorer och tjänster använder IP-adresser som finns i gatewayundernätet.
När du skapar din virtuella nätverksgateway distribueras virtuella gatewaydatorer till gatewayundernätet och konfigureras med nödvändiga ExpressRoute-gatewayinställningar. Distribuera aldrig något annat till gatewayundernätet. Gateway-undernätet måste ha namnet "GatewaySubnet" för att fungera korrekt, eftersom det gör att Azure vet att distribuera virtuella nätverksgatewaydatorer och -tjänster till det här undernätet.
Kommentar
Användardefinierade vägar med målet 0.0.0.0/0 och nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet stöds inte. Gatewayer med den här konfigurationen blockeras från att skapas. Gatewayer behöver åtkomst till hanteringsstyrenheterna för att kunna fungera korrekt. Spridning av BGP-routning (Border Gateway Protocol) ska aktiveras i gatewayundernätet för att säkerställa gatewayens tillgänglighet. Om BGP-vägspridning är inaktiverad fungerar inte gatewayen.
Diagnostik, datasökväg och kontrollsökväg kan påverkas om en användardefinierad väg överlappar intervallet för gatewayundernätet eller gatewayens offentliga IP-intervall.
- Vi rekommenderar inte att du distribuerar Azure DNS Private Resolver till ett virtuellt nätverk som har en virtuell ExpressRoute-nätverksgateway och ställer in jokerteckenregler för att dirigera all namnmatchning till en specifik DNS-server. En sådan konfiguration kan orsaka problem med hanteringsanslutningen.
När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till de virtuella gatewaydatorerna och gatewaytjänsterna. Vissa konfigurationer kräver fler IP-adresser än andra.
När du planerar din gateway-undernätsstorlek läser du dokumentationen för den konfiguration som du planerar att skapa. Till exempel kräver expressroute-/VPN-gatewayens samexistenskonfiguration ett större gateway-undernät än de flesta andra konfigurationer. Dessutom kanske du vill se till att gatewayundernätet innehåller tillräckligt med IP-adresser för att hantera möjliga framtida konfigurationer.
Vi rekommenderar att du skapar ett gateway-undernät på /27 eller större. Om du planerar att ansluta 16 ExpressRoute-kretsar till din gateway måste du skapa ett gateway-undernät på /26 eller större. Om du skapar ett gateway-undernät med dubbla staplar rekommenderar vi att du även använder ett IPv6-intervall på /64 eller större. Den här konfigurationen rymmer de flesta konfigurationer.
Följande Azure Resource Manager PowerShell-exempel visar ett gatewayundernät med namnet GatewaySubnet. Du kan se att notationen Classless Interdomain Routing (CIDR) anger en /27, som tillåter tillräckligt med IP-adresser för de flesta konfigurationer som för närvarande finns.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Viktigt!
NSG:er i gatewayundernätet stöds inte. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?.
Begränsningar och prestanda för virtuell nätverksgateway
Funktionsstöd av gateway-SKU
I följande tabell visas de funktioner som varje gatewaytyp stöder och det maximala antalet ExpressRoute-kretsanslutningar som varje gateway-SKU stöder.
| Gateway-SKU | VPN-gateway och ExpressRoute-samexistens | FastPath | Maximalt antal kretsanslutningar |
|---|---|---|---|
| Standard SKU/ERGw1Az | Ja | Nej | 4 |
| Hög perf SKU/ERGw2Az | Ja | Nej | 8 |
| Ultra Performance SKU/ErGw3Az | Ja | Ja | 16 |
| ErGwScale (förhandsversion) | Ja | Ja – minst 10 skalningsenheter | 4 – minst 1 skalningsenhet 8 – minst 2 skalningsenheter 16 – minst 10 skalningsenheter |
Kommentar
Det maximala antalet ExpressRoute-kretsar från samma peeringplats som kan ansluta till samma virtuella nätverk är 4 för alla gatewayer.
Uppskattade prestanda per gateway-SKU
Följande tabeller ger en översikt över de olika typerna av gatewayer, deras respektive begränsningar och deras förväntade prestandamått. Dessa siffror härleds från följande testvillkor och representerar de maximala stödgränserna. Den faktiska prestandan kan variera beroende på hur nära trafiken replikerar dessa testvillkor.
Testvillkor
| Gateway-SKU | Trafik som skickas från en lokal plats | Antal vägar som annonseras av gatewayen | Antal vägar som har lärts av gatewayen |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbit/s | 500 | 4 000 |
| Höga prestanda/ERGw2Az | 2 Gbit/s | 500 | 9 500 |
| Ultra prestanda/ErGw3Az | 10 Gbit/s | 500 | 9 500 |
| ErGwScale (per skalningsenhet) | 1 Gbit/s | 500 | 4 000 |
Kommentar
ExpressRoute kan underlätta upp till 11 000 vägar som omfattar virtuella nätverksadressutrymmen, lokala nätverk och eventuella relevanta peeringanslutningar för virtuella nätverk. Undvik att annonsera mer än 11 000 vägar till ExpressRoute för att säkerställa stabiliteten i ExpressRoute-anslutningen.
Prestandaresultat
Den här tabellen gäller för både Azure Resource Manager och klassiska distributionsmodeller.
| Gateway-SKU | Megabitar per sekund | Paket per sekund | Antal virtuella datorer som stöds i det virtuella nätverket 1 | Gräns för flödesantal |
|---|---|---|---|---|
| Standard/ERGw1Az | 1 000 | 100 000 | 2 000 | 200 000 |
| Höga prestanda/ERGw2Az | 2 000 | 200 000 | 4 500 | 400,000 |
| Ultra prestanda/ErGw3Az | 10 000 | 1,000,000 | 11 000 | 1 000 000 |
| ErGwScale (per skalningsenhet) | 1 000 | 100 000 | 2 000 | 100 000 per skalningsenhet |
1 Värdena i tabellen är uppskattningar och varierar beroende på gatewayens CPU-användning. Om processoranvändningen är hög och antalet virtuella datorer som stöds överskrids börjar gatewayen släppa paket.
Viktigt!
- Programmets prestanda beror på flera faktorer, till exempel svarstid från slutpunkt till slutpunkt och antalet trafikflöden som programmet öppnar. Talen i tabellen representerar den övre gränsen som programmet teoretiskt sett kan uppnå i en idealisk miljö. Dessutom utför vi rutinmässigt underhåll av värdar och operativsystem på den virtuella ExpressRoute-nätverksgatewayen för att upprätthålla tjänstens tillförlitlighet. Under en underhållsperiod reduceras gatewayens kontrollplan och kapacitet för datasökvägar.
- Under en underhållsperiod kan det uppstå tillfälliga anslutningsproblem med privata slutpunktsresurser.
- ExpressRoute stöder en maximal TCP- och UDP-paketstorlek på 1 400 byte. Paketstorlekar som är större än 1 400 byte blir fragmenterade.
- Azure Route Server har stöd för upp till 4 000 virtuella datorer. Den här gränsen omfattar virtuella datorer i virtuella nätverk som är peer-kopplade. Mer information finns i Begränsningar för Azure Route Server.
Zonredundanta gateway-SKU:er
Du kan också distribuera ExpressRoute-gatewayer i Azure-tillgänglighetszoner. Genom att fysiskt och logiskt separera gatewayerna i tillgänglighetszoner kan du skydda din lokala nätverksanslutning till Azure från fel på zonnivå.
Zonredundanta gatewayer använder specifika nya gateway-SKU:er för ExpressRoute-gatewayer:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (förhandsversion)
De nya gateway-SKU:erna har också stöd för andra distributionsalternativ för att bäst matcha dina behov. När du skapar en virtuell nätverksgateway med hjälp av de nya gateway-SKU:erna kan du distribuera gatewayen i en viss zon. Den här typen av gateway kallas zonindelad gateway. När du distribuerar en zonindelad gateway distribueras alla instanser av gatewayen i samma tillgänglighetszon.
Mer information om hur du migrerar en ExpressRoute-gateway finns i Gateway-migrering.
ExpressRoute-skalbar gateway (förhandsversion)
Med SKU:n för den virtuella Nätverksgatewayen ErGwScale kan du uppnå 40 Gbit/s-anslutning till virtuella datorer och privata slutpunkter i det virtuella nätverket. Med den här SKU:n kan du ange en minsta och högsta skalningsenhet för den virtuella nätverksgatewayinfrastrukturen, som skalar automatiskt baserat på den aktiva bandbredden eller flödesantalet. Du kan också ange en fast skalningsenhet för att upprätthålla en konstant anslutning med önskat bandbreddsvärde.
Distribution av tillgänglighetszoner och regional tillgänglighet
ErGwScale stöder både zonindelade och zonredundanta distributioner i Azure-tillgänglighetszoner. Mer information om dessa begrepp finns i dokumentationen om zon- och zonredundanta tjänster .
ErGwScale är tillgängligt som förhandsversion i följande regioner:
- Australien, östra
- Brasilien, södra
- Kanada, centrala
- USA, östra
- Asien, östra
- Frankrike, centrala
- Tyskland, västra centrala
- Indien, centrala
- Italien, norra
- Europa, norra
- Norge, östra
- Sverige, centrala
- Förenade Arabemiraten, norra
- Storbritannien, södra
- USA, västra 2
- USA, västra 3
Automatisk skalning jämfört med fast skalningsenhet
Den virtuella nätverksgatewayinfrastrukturen skalas automatiskt mellan den minsta och högsta skalningsenhet som du konfigurerar, baserat på bandbredds- eller flödesantalsanvändningen. Skalningsåtgärder kan ta upp till 30 minuter att slutföra. Om du vill uppnå en fast anslutning med ett specifikt bandbreddsvärde kan du konfigurera en fast skalningsenhet genom att ange den minsta skalningsenheten och den maximala skalningsenheten till samma värde.
Begränsningar
- Grundläggande IP: ErGwScale stöder inte basic IP-SKU:n. Du måste använda en standard-IP-SKU för att konfigurera ErGwScale.
- Minsta och högsta skalningsenheter: Du kan konfigurera skalningsenheten för ErGwScale mellan 1 och 40. Den minsta skalningsenheten får inte vara lägre än 1 och den maximala skalningsenheten får inte vara högre än 40.
- Migreringsscenarier: Du kan inte migrera från Standard/ErGw1Az eller HighPerf/ErGw2Az/UltraPerf/ErGw3Az till ErGwScale i förhandsversionen.
Prissättning
ErGwScale är kostnadsfritt under förhandsversionen. Information om ExpressRoute-priser finns i Prissättning för Azure ExpressRoute.
Prestanda per skalningsenhet som stöds
| Skalningsenhet | Bandbredd (Gbit/s) | Paket per sekund | Anslutningar per sekund | Maximalt antal virtuella datoranslutningar 1 | Maximalt antal flöden |
|---|---|---|---|---|---|
| 1-10 | 1 | 100,000 | 7 000 | 2 000 | 100,000 |
| 11-40 | 1 | 100,000 | 7 000 | 1 000 | 100 000 |
Exempelprestanda med skalningsenhet
| Skalningsenhet | Bandbredd (Gbit/s) | Paket per sekund | Anslutningar per sekund | Maximalt antal virtuella datoranslutningar 1 | Maximalt antal flöden |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70,000 | 20 000 | 1 000 000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 Maximalt antal virtuella datoranslutningar skalas annorlunda än 10 skalningsenheter. De första 10 skalningsenheterna ger kapacitet för 2 000 virtuella datorer per skalningsenhet. Skalningsenheter 11 och senare ger 1 000 fler virtuella datorer per skalningsenhet.
Anslutning från VNet till VNet och från VNet till virtuellt WAN
Som standard inaktiveras VNet-till-VNet- och VNet-to-virtual-WAN-anslutningen via en ExpressRoute-krets för alla gateway-SKU:er. Om du vill aktivera den här anslutningen måste du konfigurera den virtuella ExpressRoute-nätverksgatewayen för att tillåta den här trafiken. Mer information finns i vägledning om anslutning till virtuella nätverk via ExpressRoute. Information om hur du aktiverar den här trafiken finns i Aktivera VNet-till-VNet- eller VNet-till-virtual-WAN-anslutning via ExpressRoute.
FastPath
Den virtuella ExpressRoute-nätverksgatewayen är utformad för att utbyta nätverksvägar och dirigera nätverkstrafik. FastPath är utformat för att förbättra datasökvägens prestanda mellan ditt lokala nätverk och ditt virtuella nätverk. När FastPath är aktiverat skickar den nätverkstrafik direkt till virtuella datorer i det virtuella nätverket och kringgår gatewayen.
Mer information om FastPath, inklusive begränsningar och krav, finns i Om FastPath.
Anslutning till privata slutpunkter
Den virtuella ExpressRoute-nätverksgatewayen underlättar anslutningen till privata slutpunkter som distribueras i samma virtuella nätverk som den virtuella nätverksgatewayen och mellan virtuella nätverkskollegor.
Viktigt!
- Dataflödes- och kontrollplanets kapacitet för anslutning till privata slutpunktsresurser kan minskas med hälften jämfört med anslutningen till icke-privata slutpunktsresurser.
- Under en underhållsperiod kan det uppstå tillfälliga anslutningsproblem med privata slutpunktsresurser.
- Du måste se till att den lokala konfigurationen, inklusive router- och brandväggsinställningar, är korrekt konfigurerade för att säkerställa att paket för IP 5-tuppelöverföringar använder ett enda nästa hopp (Microsoft Enterprise Edge-routern) om det inte finns en underhållshändelse. Om din lokala brandväggs- eller routerkonfiguration gör att samma IP 5-tuppel ofta växlar nästa hopp får du anslutningsproblem.
Privat slutpunktsanslutning och planerade underhållshändelser
Privat slutpunktsanslutning är tillståndskänslig. När en anslutning till en privat slutpunkt upprättas via privat ExpressRoute-peering dirigeras inkommande och utgående anslutningar via en av serverdelsinstanserna i gatewayinfrastrukturen. Under en underhållshändelse startas serverdelsinstanser av den virtuella nätverksgatewayinfrastrukturen om en i taget, vilket kan leda till tillfälliga anslutningsproblem.
För att undvika eller minimera anslutningsproblem med privata slutpunkter under underhållsaktiviteter rekommenderar vi att du ställer in TCP-timeoutvärdet så att det sjunker mellan 15 och 30 sekunder i dina lokala program. Testa och konfigurera det optimala värdet baserat på dina programkrav.
REST API:er och PowerShell-cmdletar
Mer tekniska resurser och specifika syntaxkrav finns på följande sidor när du använder REST API:er och PowerShell-cmdletar för konfigurationer av virtuella nätverksgatewayer:
| Klassisk | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
VNet-till-VNet-anslutning
Som standard aktiveras anslutningen mellan virtuella nätverk när du länkar flera virtuella nätverk till samma ExpressRoute-krets. Vi rekommenderar inte att du använder ExpressRoute-kretsen för kommunikation mellan virtuella nätverk. I stället rekommenderar vi att du använder peering för virtuella nätverk. Mer information om varför VNet-till-VNet-anslutning inte rekommenderas via ExpressRoute finns i Anslutning mellan virtuella nätverk via ExpressRoute.
Virtuell nätverkspeering
Ett virtuellt nätverk med en ExpressRoute-gateway kan ha peering för virtuella nätverk med upp till 500 andra virtuella nätverk. Peering för virtuella nätverk utan en ExpressRoute-gateway kan ha en högre peering-begränsning.
Relaterat innehåll
Mer information om tillgängliga anslutningskonfigurationer finns i Översikt över ExpressRoute.
Mer information om hur du skapar ExpressRoute-gatewayer finns i Skapa en virtuell nätverksgateway för ExpressRoute.
Mer information om hur du distribuerar ErGwScale finns i Konfigurera en virtuell nätverksgateway för ExpressRoute med hjälp av Azure Portal.
Mer information om hur du konfigurerar zonredundanta gatewayer finns i Skapa en zonredundant virtuell nätverksgateway.
Mer information om FastPath finns i Om FastPath.