ما هي البوابة VPN Gateway
بوابة VPN هو نوع معين من بوابات الشبكة الظاهرية التي تُستخدم لإرسال نسبة استخدام الشبكة بطريقة مشفرة فيما بين شبكة Azure الظاهرية وأحد المواقع المحلية عبر شبكة الإنترنت العامة. يمكنك أيضا استخدام بوابة VPN لإرسال نسبة استخدام الشبكة بطريقة مشفرة بين شبكات Azure الظاهرية عبر شبكة Microsoft. هناك بوابة واحدة لكل شبكة ظاهرية. ومع ذلك، يمكنك إنشاء اتصالات متعددة لنفس بوابة VPN. عند إنشاء اتصالات متعددة لنفس بوابة VPN، تتشارك جميع أنفاق VPN في النطاق الترددي المتاح للبوابة.
ما هي بوابة الشبكة الظاهرية؟
تتكون بوابة الشبكة الظاهرية من جهازين ظاهريين أو أكثر يتم نشرهما وتكوينهما تلقائيًا على شبكة فرعية معينة تقوم بإنشائها ويُطلق عليهاgateway subnet. تحتوي بوابات الشبكة الظاهرية على جداول التوجيه وهي مسؤولة عن تشغيل خدمات محددة في البوابة. لا يمكنك تكوين الأجهزة الظاهرية التي تشكل جزءًا من بوابة الشبكة الظاهرية مباشرة، على الرغم من أن الإعدادات التي تحددها عند تكوين البوابة تؤثر على الأجهزة الظاهرية للبوابة التي تم إنشاؤها.
ما هي بوابة VPN؟
عندما تقوم بتكوين بوابة شبكة ظاهرية، فإنك تقوم بتكوين إعداد يحدد نوع البوابة. يحدد نوع البوابة كيفية استخدام بوابة الشبكة الظاهرية والإجراءات التي تتخذها البوابة. يحدد نوع البوابة 'Vpn' نوع بوابة الشبكة الظاهرية التي تم إنشاؤها وهي 'VPN gateway'. هذا يميزه عن بوابة ExpressRoute الذي يستخدم نوع بوابة مختلفة. يمكن أن تكون الشبكة الظاهرية على بوابتين لشبكة الاتصال الظاهرية؛ بوابة VPN وبوابة ExpressRo. لمزيدٍ من المعلومات، راجع أنواع البوابات.
عند إنشاء بوابة VPN، يتم نشر VMs الخاصة بالبوابة إلى الشبكة الفرعية الخاصة بالبوابة ويتم تكوينها باستخدام الإعدادات التي تحددها. قد تستغرق هذه العملية 45 دقيقة أو أكثر حتى تكتمل، استنادًا إلى رمز SKU للبوابة الذي حددته. بعد إنشاء بوابة VPN، يمكنك إنشاء اتصال نفق IPSec/IKE VPN بين بوابة VPN وبوابة VPN أخرى (VNet-to-VNet)، أو إنشاء اتصال نفق IPsec/IKE VPN عبر المواقع بين بوابة VPN وجهاز VPN محلي (Site-to-Site). يمكنك أيضًا إنشاء اتصال VPN من نقطة إلى موقع (VPN عبر OpenVPN أو IKEv2 أو SSTP)، ما يتيح لك الاتصال بالشبكة الظاهرية من موقع بعيد، مثل من مؤتمر أو من المنزل.
تكوين بوابة VPN
يعتمد اتصال بوابة VPN على موارد متعددة تم تكوينها مع إعدادات معينة. يمكن تكوين معظم الموارد بشكل منفصل، على الرغم من أنه يجب تكوين بعض الموارد بترتيب معين.
قابلية الاتصال
نظرًا لأنه يمكنك إنشاء تكوينات اتصال متعددة باستخدام بوابة VPN، فأنت بحاجة إلى تحديد التكوين الذي يناسب احتياجاتك بشكل أفضل. من نقطة إلى موقع، موقع إلى موقع، واتصالات ExpressRoute/Site-to-Site الموجودة جميعها لها إرشادات ومتطلبات تكوين مختلفة. للحصول على رسومات تخطيطية للاتصال والارتباطات المقابلة لخطوات التكوين، راجع تصميم بوابة VPN.
جدول التخطيط
يمكن أن يساعدك الجدول التالي في تحديد أفضل اختيار اتصال للحل. لاحظ أن ExpressRoute ليس جزءًا من بوابة VPN، ولكنه مدرج في الجدول.
| نقطة لموقع | موقع لموقع | ExpressRoute | |
|---|---|---|---|
| الخدمات المدعومة في Azure | خدمات السحابة والأجهزة الظاهرية | خدمات السحابة والأجهزة الظاهرية | قائمة الخدمات |
| النطاقات الترددية النموذجية | استنادًا إلى بوابة SKU | عادةً < 1 غيغابت في الثانية في المجموع | 50 ميجابت في الثانية، 100 ميجابت في الثانية، 200 ميجابت في الثانية، 500 ميجابت في الثانية، 1 جيجابت في الثانية، 2 جيجابت في الثانية، 5 جيجابت في الثانية، 10 جيجابت في الثانية |
| البروتوكولات المدعومة | بروتوكول نفق مآخذ التوصيل الآمن (SSTP) وOpenVPN وIPsec | Ipsec | اتصال مباشر عبر شبكات VLANs وتقنيات VPN الخاصة ب NSP (MPLS و VPLS,...) |
| Routing | RouteBased (ديناميكي) | نحن ندعم PolicyBased (التوجيه الثابت) و RouteBased (التوجيه الديناميكي VPN) | BGP |
| مرونة الاتصال | نشط-سلبي | active-passive أو active-active | نشط-نشط |
| حالة الاستخدام النموذجي | الوصول الآمن إلى الشبكات الظاهرية بـ Azure للمستخدمين البعيدين | سيناريوهات التطوير / الاختبار / المختبر وأعباء العمل الإنتاجية الصغيرة ومتوسطة النطاق للخدمات السحابية والآلات الظاهرية | الوصول إلى جميع خدمات Azure (القائمة السارية) وأعباء العمل الحرجة لفئة المؤسسة والمهمة، والنسخ الاحتياطية، والبيانات الضخمة، و Azure كموقع DR |
| SLA | SLA | SLA | SLA |
| التسعير | التسعير | التسعير | التسعير |
| الوثائق الفنية | بوابة VPN | بوابة VPN | ExpressRoute |
| الأسئلة المتداولة | الأسئلة المتداولة حول بوابة VPN | الأسئلة المتداولة حول بوابة VPN | الأسئلة المتداولة حول ExpressRoute |
الإعدادات
الإعدادات التي اخترتها لكل مورد ضرورية لإنشاء اتصال ناجح. للحصول على معلومات حول الموارد والإعدادات الفردية لبوابة VPN، راجع حول إعدادات بوابة VPN. تحتوي المقالة على معلومات لمساعدتك على فهم أنواع البوابات، وحدات SKU الخاصة بالبوابة وأنواع VPN وأنواع الاتصال والشبكات الفرعية للبوابة وبوابات الشبكة المحلية وإعدادات الموارد الأخرى المختلفة التي قد ترغب في مراعاتها.
الرمز المميز للنشر
يمكنك البدء في إنشاء الموارد وتكوينها عن طريق استخدام أداة تكوين واحدة، مثل مدخل Azure. يمكنك لاحقًا أن تقرر التبديل إلى أداة أخرى، مثل PowerShell، لتكوين موارد إضافية، أو تعديل الموارد الموجودة عند التطبيق. حاليًا، لا يمكنك تكوين كل إعداد الموارد والموارد في مدخل Azure. تحدد الإرشادات الواردة في المقالات لكل طوبولوجيا اتصال وقت الحاجة إلى أداة تكوين معينة.
بوابات وحدات SKU
عندما تقوم بإنشاء بوابة شبكة افتراضية، فإنك تحدد البوابة SKU التي تريد استخدامها. حدد SKU الذي يلبي متطلباتك استنادًا إلى أنواع أحمال العمل ومعدل النقل والميزات والاتفاقيات على مستوى الخدمة.
- لمزيد من المعلومات حول بوابة SKUs، بما في ذلك الميزات المعتمدة والإنتاج وdev-test وخطوات التكوين، راجع المقالة VPN Gateway إعدادات - Gateway SKUs.
- للحصول على معلومات SKU القديمة، راجع العمل باستخدام وحدات SKU القديمة.
بوابة وحدات SKU حسب النفق والاتصال والإنتاجية
| الشبكة الخاصة الظاهرية (VPN) البوابة الجيل |
SKU | S2S/VNet-to-VNet الأنفاق |
اتصالات P2S اتصالات SSTP |
اتصالات P2S اتصالات IKEv2/OpenVPN |
التجميع معيار معدل النقل |
BGP | Zone-redundant |
|---|---|---|---|---|---|---|---|
| Generation1 | أساسي | حد أقصى. 10 | حد أقصى. 128 | غير مدعومة | يبلغ 100 ميغابت في الثانية | غير مدعومة | لا |
| Generation1 | VpnGw1 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation1 | VpnGw1AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 250 | 650 ميغابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | نعم |
| Generation1 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw4 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | لا |
| Generation2 | VpnGw5 | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | لا |
| Generation2 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | حد أقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw4AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 5000 | 5 غيغابت في الثانية | مدعوم | نعم |
| Generation2 | VpnGw5AZ | الحد الأقصى. 100* | حد أقصى. 128 | حد أقصى. 10000 | 10 جيجابت لكل ثانية | مدعوم | نعم |
(*) استخدم Virtual WAN إذا كنت بحاجة إلى أكثر من 100 نفقًا لشبكة S2S VPN.
يسمح تغيير حجم SKU VpnGw داخل نفس الجيل، باستثناء تغيير حجم Basic SKU. Basic SKU هي وحدة حفظ مخزون قديمة ولها حدود في الميزة. للانتقال من Basic إلى SKU آخر، يجب عليك حذف بوابة Basic SKU VPN وإنشاء بوابة جديدة باستخدام المزيج من Generation وحجم SKU المطلوب. (راجع العمل مع وحدات SKU القديمة).
حدود الاتصال هذه منفصلة. على سبيل المثال، يمكن أن يكون لديك 128 اتصالاً من SSTP وأيضاً 250 اتصالاً من IKEv2 على VpnGw1 SKU.
يمكنك العثور على معلومات التسعير في صفحةالتسعير.
يمكن العثور على معلومات اتفاقية مستوى الخدمة (SLA) في صفحةاتفاقية مستوى الخدمة
يقلل IPsec من معدل نقل بوابة VPN واحدة (كل من اتصالات S 2 S وP 2 S) إلى 1.25 جيجابت في الثانية. إذا كان لديك الكثير من اتصالات P 2 S، فيمكن أن تؤثر سلبًا على اتصالات S 2 S خاصتك. تم اختبار معايير إجمالي معدل النقل من خلال زيادة مزيج من اتصالات S 2 S وP 2 S. سيكون لاتصال P 2 S معدل نقل أقل بكثير من حد 1.25 جيجابت في الثانية.
لاحظ أن جميع المعايير غير مضمونة بسبب ظروف حركة المرور على الإنترنت وسلوكيات التطبيق خاصتك
لمساعدة عملائنا على فهم الأداء النسبي لوحدات حفظ المخزون باستخدام خوارزميات مختلفة، استخدمنا أدوات iPerf وCTSTraffic المتاحة للجمهور لقياس أداء اتصالات الموقع إلى الموقع. يسرد الجدول أدناه نتائج اختبارات الأداء لـGeneration 1، وحدات VpnGw SKUs. كما تري، يتم الحصول على أفضل أداء عندما استخدمنا خوارزمية GCMAES256 لكل من التشفير والنزاهة IPsec. حصلنا على متوسط الأداء عند استخدام AES256 لتشفير IPsec وSHA256 للتكامل. عندما استخدمنا DES3 لتشفير IPsec وSHA256 للتكامل، حصلنا على أدنى أداء.
يتصل نفق VPN بمثيل بوابة VPN. يتم ذكر كل معدل نقل مثيل في جدول معدلات النقل أعلاه وهي متوفرة مجمعة عبر كافة الأنفاق المتصلة بهذا المثيل.
| الجيل | SKU | الخوارزميات used |
معدل النقل لوحظ في كل نفق |
الحزم في الثانية لكل نفق لوحظ |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 ميغابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
58,000 50,000 50,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
يبلغ 1 جيجابت في الثانية 500 ميغابت لكل ثانية 120 ميغابايت في الثانية |
90,000 80,000 55,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 غيغابت في الثانية 550 ميغابايت في الثانية 120 ميغابايت في الثانية |
105,000 90,000 60,000 |
مناطق التوفر
يمكن نشر بوابات VPN في المناطق المتصلة بشبكة Azure. يؤدي ذلك إلى تزويد المرونة وقابلية التوسع وقابلية الوصول العالية لبوابات الشبكة الظاهرية. يؤدي نشر البوابات في مناطق قابلية وصول Azure فعليًا ومنطقيًا إلى فصل البوابات داخل منطقة ما، بينما يحمي اتصال شبكتك الداخلية بـ Azure من حالات الفشل على مستوى المنطقة. راجع حول بوابات الشبكة الظاهرية المكررة في مناطق توفر Azure.
التسعير
تدفع مقابل أمرين: تكاليف حساب الساعة لـ virtual network gateway وegress data transfer من virtual network gateway. يمكن العثور على معلومات التسعير في صفحة التسعير. للحصول على تسعير legacy gateway SKU، راجع صفحة التسعير ExpressRoute ثم انتقل إلى قسم Virtual Network Gateways.
تكاليف حساب Virtual network gateway
كل Virtual network gateway لديها تكلفة حساب كل ساعة. يستند السعر إلى gateway SKU التي تحددها عند إنشاء virtual network gateway. التكلفة هي للبوابة نفسها، بالإضافة إلى نقل البيانات التي تتدفق عبر البوابة. تكلفة active-active setup هي نفسها active-passive.
تكاليف نقل البيانات
يتم حساب تكاليف نقل البيانات استناداً إلى egress traffic من مصدر virtual network gateway.
- إذا كنت ترسل traffic إلى جهاز on-premises VPN الخاص بك، فسيتم تحصيل رسوم من معدل نقل البيانات على الإنترنت.
- إذا كنت ترسل traffic بين virtual networks في مناطق مختلفة، فإن التسعير يستند إلى المنطقة.
- إذا كنت ترسل traffic بين virtual networks القائمة في نفس المنطقة، فلا توجد تكاليف بيانات. يعد المرور بين VNets في نفس المنطقة مجانياً.
لمزيد من المعلومات حول بوابة وحدات SKU الخاصة لبوابة VPN، راجع وحدات SKU الخاصة بالبوابة.
الأسئلة المتداولة
للأسئلة المتداولة حول بوابة VPN، راجع الأسئلة المتداولة حول بوابة VPN.
ما الجديد؟
اشترك في موجز RSS واعرض آخر تحديثات ميزة بوابة VPN Gateway على صفحة Azure Updates.