從傳統 VPN 閘道到 Resource Manager 移轉
VPN 閘道現在可以從傳統部署移轉至 Resource Manager 部署模型。 如需詳細資訊,請參閱 Resource Manager 部署模式。 在此文章中,我們將討論如何從傳統部署移轉至 Resource Manager 模型。
重要
您無法再為傳統部署模型 (服務管理) 虛擬網路建立新的虛擬網路閘道。 只有 Resource Manager 虛擬網路可以建立新的虛擬網路閘道。
VPN 閘道是從傳統移轉至 Resource Manager 的 VNet 開始。 此移轉會由客戶一次一個 VNet 完成。 在開始 VNet 移轉所需的工具或必要條件方面,並沒有其他需求。 移轉步驟與現有的 VNet 移轉相同,且會記載在 IaaS 資源移轉網頁。
在 VNet 移轉期間沒有任何資料路徑停機時間,因此現有的工作負載在移轉期間會繼續運作而不會中斷內部部署連線。 與 VPN 閘道相關聯的公用 IP 位址在移轉流程期間不會變更。 這表示一旦移轉完成後,您將不需要重新設定內部部署路由器。
VNet 移轉完成後,Azure 即會嘗試完成閘道移轉至 Resource Manager 的其餘部分。 如果閘道移轉不成功,可能會通知客戶刪除其 VPN 閘道 (傳統部署),並建立新的 VPN 閘道 (Resource Manager)。 如果客戶未採取任何動作,可能會解除委任現有的 VPN 閘道 (傳統部署)。 客戶可以瀏覽常見問題以取得更多資訊,並將從傳統移轉至 Resource Manager 期間的停機降到最低。
Resource Manager 模型不同於傳統模型,是由虛擬網路閘道、區域網路閘道和連線資源所組成。 這些分別代表 VPN 閘道本身、代表內部部署位址空間的本機站台和兩者之間的連線能力。 移轉完成後,您的閘道不能使用傳統模型,且虛擬網路閘道、區域網路閘道及連線物件上的所有管理作業必須使用 Resource Manager 模式執行。
尋找傳統 VPN 閘道
若要透過PowerShell尋找傳統 VPN 閘道,您必須安裝 Azure PowerShell 服務管理模組。 從這裡開始: 安裝 Azure PowerShell 服務管理模組。 若要檢視傳統資源,您需要共同管理員或擁有者許可權。 您無法使用 Az Cmdlet 來存取傳統資源。
若要透過 Azure 入口網站 尋找傳統 VPN 閘道,請開啟入口網站並搜尋「虛擬網路(傳統)」。 選取您的傳統虛擬網路,然後流覽至 [閘道] 刀鋒視窗,以尋找您的傳統虛擬網路閘道。
支援的案例
傳統至 Resource Manager 的移轉涵蓋最常見的 VPN 連線案例。 支援的案例包括:
- 點對站連線能力
- 使用 VPN 閘道連線至內部部署位置的站台對站台連線能力
- 使用 VPN 閘道在兩個 Vnet 之間的 VNet 對 VNet 連線能力
- 多個 Vnet 連接到相同內部部署位置
- 多站台連線能力
- 強制通道已啟用 VNets
不支援的案例包括:
- 目前不支援隨附 ExpressRoute 閘道與 VPN 閘道的 VNet。
- 傳輸 VM 擴充功能連線到內部部署伺服器的案例。 傳輸 VPN 連線能力限制會在下個章節詳述。
注意
Resource Manager 模型中的 CIDR 驗證比傳統模型中的更為嚴格。 在移轉之前,先確定指定的傳統位址範圍符合有效的 CIDR 格式,再開始移轉。 CIDR 可以使用任何常見 CIDR 驗證器進行驗證。 移轉時具有無效 CIDR 範圍的 VNet 或本機站台會導致失敗狀態。
VNet 對 VNet 連線能力移轉
可藉由建立已連接 VNet 的本機站台表示法來達成傳統部署模型中的 VNet 對 VNet 連線能力。 客戶必須建立兩個本機站台,代表需要一起連線的兩個 VNet。 這些就會使用 IPsec 通道連接至對應 Vnet,來建立兩個 Vnet 之間的連線能力。 此模型具有可管理性的挑戰,因為一個 VNet 中的任何位址範圍變更也必須在對應的本機站台表示法中維持。 Resource Manager 模型中不再需要此因應措施。 可以使用連線資源中的 'Vnet2Vnet' 連線類型,直接達成兩個 Vnet 之間的連線。
在 VNet 移轉期間,我們偵測到目前 VNet 的 VPN 閘道的連線實體是另一個 VNet。 我們確保完成這兩個 VNet 的移轉之後,您就不會再看到兩個代表另一個 VNet 的本機站台。 這兩個 VPN 閘道、兩個本機站台和它們之間兩個連線的傳統模式會轉換為具有兩個 VPN 閘道和兩個 Vnet2Vnet 類型連線的 Resource Manager 模型。
傳輸 VPN 連線能力
您可以在拓撲中設定 VPN 閘道,使 VNet 的內部部署連線能力可藉由連線到直接連線到內部部署的另一個 VNet 來達成。 這是傳輸 VPN 連線能力,其中第一個 VNet 中的執行個體會透過傳輸到直接連線至內部部署之已連線 VNet 中的 VPN 閘道,連線到內部部署資源。 若要以傳統部署模型達成這項設定,您必須建立已彙總代表已連線 VNet 和內部部署位址空間的前置詞之本機站台。 接著,這個具像本機站台會連接至 VNet 以達成傳輸連線能力。 這個傳統模型也有類似的管理性挑戰,因為內部部署位址範圍中的任何變更也必須在代表 VNet 和內部部署彙總的本機網站上維持。 在 Resource Manager 支援閘道器中引進的 BGP 支援可簡化管理能力,因為已連線閘道可以從內部部署了解路由,而無須手動修改前置詞。
因為我們不需要本機站台即可轉換 VNet 至 VNet 連線能力,傳輸案例會中斷間接連線到內部部署的 Vnet 內部部署連線能力。 在完成移轉後,可以下列兩種方式降低連線中斷的風險:
- 啟用 VPN 閘道上連接在一起及連接至內部部署位置的 BGP。 啟用 BGP 還原的連線能力而不需要任何其他設定變更,因為會在 VNet 閘道之間了解及公告路由。 請注意,BGP 選項僅在標準和更高的 SKU 才可使用。
- 建立從受影響的 VNet 到代表內部部署位置之本地網路閘道的明確連線。 這也會需要變更內部部署路由器上的設定來建立及設定 IPsec 通道。
下一步
了解 VPN 閘道移轉支援之後,請移至平台支援的 IaaS 資源移轉 (從傳統移轉至 Resource Manager) 以開始使用。