租用戶使用者的 Azure Stack Hub VPN 快速路徑
什麼是 Azure Stack Hub VPN 快速路徑功能?
Azure Stack Hub 引進本文中所述的三個新的 SKU,作為 VPN 快速路徑功能的一部分。 先前,S2S 通道限制為使用 HighPerformance SKU 的最大頻寬為 200 Mbps。 新的 SKU 可啟用需要較高網路輸送量的客戶案例。 每個 SKU 的輸送量值都是單向值,這表示它支援傳送或接收流量上的指定輸送量。
當 Azure Stack 操作員在 Azure Stack Hub 戳記上啟用 VPN 快速路徑功能時,租用戶使用者可以使用新的 SKU 來建立虛擬網路閘道。 您可以使用其中一個新的 SKU 重新建立虛擬網路網關及其連線,以調整現有的設定。
啟用 VPN 快速路徑時可用的新虛擬網路閘道 SKU
除了 3 個新的 SKU 之外,整體 Azure Stack Hub VPN 容量也會增加,以允許更多 VPN 連線。
下表顯示啟用 VPN 快速路徑時,每個 SKU 的新輸送量:
| SKU | VPN 連線輸送量上限 |
|---|---|
| 基本 | 100 Mbps Tx/Rx |
| 標準 | 100 Mbps Tx/Rx |
| 高效能 | 200 Mbps Tx/Rx |
| VpnGwy1 | 650 Mbps Tx/Rx |
| VpnGwy2 | 1000 Mbps Tx/Rx |
| VpnGwy3 | 1250 Mbps Tx/Rx |
建立虛擬網路閘道以使用新的 SKU
透過 VPN 快速路徑,租用戶使用者可以使用 Azure Stack Hub 入口網站或 PowerShell,使用新的 SKU 來建立虛擬網路網關。
使用 Azure Stack Hub 入口網站建立具有新 SKU 的虛擬網路閘道
如果您使用 Azure Stack Hub 入口網站來建立虛擬網路閘道,您可以使用下拉式清單選取 SKU。 新的 VPN 快速路徑 SKU(VpnGwy1、VpnGwy2、VpnGwy3)只有在將查詢參數 “?azurestacknewvpnskus=true” 新增至 URL 並重新整理之後才會顯示。
下列 URL 範例會在 Azure Stack Hub 使用者入口網站中顯示新的虛擬網路閘道 SKU:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
操作員在建立這些資源之前,必須在 Azure Stack Hub 戳記上啟用 VPN 快速路徑:
使用 PowerShell 建立具有新 SKU 的虛擬網路閘道
下列範例使用 AzureRM 模組:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
升級舊版虛擬網路閘道
您無法在不重新建立虛擬網路網關的情況下更新 SKU,這需要您刪除與虛擬網路閘道相關聯的所有連線。 您可以使用新的 SKU 建立虛擬網路閘道之後,重複使用區域網路閘道資源。 局域網路閘道資源會定義內部部署裝置的位址空間和IP位址,並保留該組態。
請遵循下列步驟來升級虛擬網路閘道 SKU:
- 刪除現有虛擬網路閘道上的所有連線:記下預先共用的金鑰,以及 BGP 旗標是否設定為已啟用。
- 使用舊版 SKU 刪除現有的虛擬網路閘道:您無法在相同的虛擬網路中建立兩個虛擬網路網關,因此您必須刪除現有的虛擬網路閘道。
- 使用新的 SKU 建立新的虛擬網路閘道資源:您可以選取其中一個已啟用 VPN 快速路徑的新 SKU。
- 建立新虛擬網路網關與現有局域網路閘道之間的新連線:如果您使用自定義IP秒原則,請透過PowerShell建立連線。 使用步驟 1 中所述的預先共用金鑰和 BGP 旗標。
- 針對您想要移至新 SKU 的任何其他連線重複步驟 4:此步驟與多月臺案例相關。
VPN 連線拓撲
VPN 閘道有不同的組態。 判斷哪一個設定最符合您的需求。 在下列各節中,您可以檢視下列 VPN 閘道案例的相關信息和拓撲圖表:
- 站對站連線
- 站對多站台連線
- Azure Stack Hub 戳記之間的站對站或站對站連線
下列各節中的圖表和描述可協助您選取連線拓撲以符合您的需求。 圖表顯示主要基準拓撲,但可以使用圖表作為指南來建置更複雜的組態。
站對站連線
站對站 VPN 網關聯機是透過 IPsec/IKE (IKEv2) VPN 通道的連線。 這種類型的連線需要位於內部部署且已指派公用IP位址的VPN裝置。
站對多站台連線
站對站拓撲是站對站拓撲的變化。 您可以從虛擬網路閘道建立多個 VPN 連線,通常會連線到多個內部部署網站。
Azure Stack Hub 戳記之間的站對站或站對站連線
您只能建立兩個 Azure Stack Hub 部署之間的一個站對站 VPN 連線。 這項限制是因為平臺中只允許單一 VPN 連線到相同 IP 位址的限制。 由於 Azure Stack Hub 會使用多租使用者閘道,其具有 Azure Stack Hub 系統中所有 VPN 閘道的單一公用 IP,因此兩個 Azure Stack Hub 系統之間只能有一個 VPN 連線。 這項限制也適用於將多個站對站 VPN 連線至任何使用單一 IP 位址的 VPN 閘道。 Azure Stack Hub 不允許使用相同的 IP 位址建立多個區域網路閘道資源。
下圖顯示如果您需要在戳記之間建立網格拓撲,如何連接多個 Azure Stack Hub 戳記。 在此案例中,有 3 個 Azure Stack Hub 戳記,其中每個戳記都有 1 個虛擬網路閘道,具有 2 個連線和 2 個局域網路閘道。 透過新的 SKU,使用者可以連接戳記之間的網路和工作負載,VPN 連線輸送量高達 1250 Mbps Tx/Rx,配置每個戳記 50% 的閘道集區容量。 每個戳記上的剩餘容量可用於其他使用案例所需的更多 VPN 連線:
