Vytváření bran sítě VPN pro centrum Azure StackCreate VPN gateways for Azure Stack Hub

Než budete moct poslat síťový provoz mezi virtuální sítí Azure a vaší místní lokalitou, musíte pro svoji virtuální síť vytvořit bránu virtuální sítě (VPN).Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Brána VPN je typem brány virtuální sítě, která odesílá šifrovaný síťový provoz přes veřejné spojení.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Brány VPN můžete použít k bezpečnému posílání provozu mezi virtuálními sítěmi v Azure Stackovém centru a virtuální sítí v Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub and a virtual network in Azure. Mezi virtuální sítí a jinou sítí, která je připojená k zařízení VPN, můžete také bezpečně odesílat přenosy.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Při vytváření brány virtuální sítě musíte určit typ brány, který chcete vytvořit.When you create a virtual network gateway, you specify the gateway type that you want to create. Centrum Azure Stack podporuje jeden typ brány virtuální sítě: typ sítě VPN .Azure Stack Hub supports one type of virtual network gateway: the Vpn type.

Každá virtuální síť může mít dvě brány virtuální sítě, ale každého typu jenom jednu.Each virtual network can have two virtual network gateways, but only one of each type. V závislosti na nastavení, které zvolíte, můžete k jedné bráně VPN vytvořit několik připojení.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Příkladem tohoto typu instalace je konfigurace připojení s více lokalitami.An example of this kind of setup is a multi-site connection configuration.

Než vytvoříte a nakonfigurujete brány VPN pro centrum Azure Stack, přečtěte si téma požadavky na síť služby Azure Stack hub , kde se dozvíte, jak se konfigurace centra Azure Stack liší od Azure.Before you create and configure VPN gateways for Azure Stack Hub, review the considerations for Azure Stack Hub networking to learn how configurations for Azure Stack Hub differ from Azure.

Poznámka

V Azure se propustnost šířky pásma pro SKLADOVOU položku brány VPN, kterou zvolíte, musí rozdělit mezi všechna připojení, která jsou připojená k bráně.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. V Azure Stack hub se ale hodnota šířky pásma pro SKU brány VPN použije u každého prostředku připojení, který je připojený k bráně.In Azure Stack Hub however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway.

Například:For example:

  • V Azure může základní propustnost služby VPN Gateway vyhovět přibližně 100 MB/s agregované propustnosti.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Pokud vytvoříte dvě připojení k této bráně VPN a jedno připojení používá 50 MB/s šířky pásma, pak je k dispozici 50 MB/s pro druhé připojení.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • V centru Azure Stack se každé připojení k skladové jednotce základní brány VPN přiděluje 100 MB/s propustnost.In Azure Stack Hub, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Konfigurace služby VPN GatewayConfiguring a VPN gateway

Připojení k bráně VPN Gateway závisí na několika prostředcích, které jsou nakonfigurovány se specifickým nastavením.A VPN gateway connection relies on several resources that are configured with specific settings. Většinu těchto prostředků je možné nakonfigurovat samostatně, ale v některých případech musí být nakonfigurovány v určitém pořadí.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

NastaveníSettings

Nastavení, které zvolíte pro každý prostředek, je důležité pro vytvoření úspěšného připojení.The settings that you choose for each resource are critical for creating a successful connection.

Informace o jednotlivých prostředcích a nastaveních pro bránu VPN najdete v tématu informace o nastavení služby VPN Gateway pro centrum Azure Stack.For information about individual resources and settings for a VPN gateway, see About VPN gateway settings for Azure Stack Hub. Tento článek vám pomůže pochopit tyto informace:This article helps you understand:

  • Typy bran, typy sítí VPN a typy připojení.Gateway types, VPN types, and connection types.
  • Podsítě brány, místní síťové brány a další nastavení prostředků, která si možná budete chtít zvážit.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Nástroje pro nasazeníDeployment tools

Prostředky můžete vytvářet a konfigurovat pomocí jednoho konfiguračního nástroje, jako je například Azure Portal.You can create and configure resources using one configuration tool, such as the Azure portal. Později můžete přepnout na jiný nástroj, například PowerShell, a nakonfigurovat další prostředky nebo upravit stávající prostředky, pokud je to možné.Later, you might switch to another tool such as PowerShell to configure additional resources or modify existing resources when applicable. V současné době nemůžete konfigurovat všechny prostředky a nastavení prostředků v Azure Portal.Currently, you cannot configure every resource and resource setting in the Azure portal. Pokyny v článcích pro každou topologii připojení určují, kdy je zapotřebí specifický konfigurační nástroj.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Diagramy topologie připojeníConnection topology diagrams

K dispozici jsou různé konfigurace pro připojení brány VPN.There are different configurations available for VPN gateway connections. Určete, která konfigurace nejlépe vyhovuje vašim potřebám.Determine which configuration best fits your needs. V následujících částech si můžete zobrazit informace a diagramy topologie o následujících připojeních k bráně VPN Gateway:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • dostupný model nasazení,Available deployment model
  • dostupné konfigurační nástroje,Available configuration tools
  • odkazy na příslušný článek, pokud existuje.Links that take you directly to an article, if available

Diagramy a popisy v následujících částech vám pomůžou vybrat topologii připojení, která bude odpovídat vašim požadavkům.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. Diagramy znázorňují hlavní topologie standardních hodnot, ale je možné vytvořit složitější konfigurace pomocí diagramů jako průvodce.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Síť typu Site-to-site a Multi-Site (tunel VPN IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Site-to-SiteSite-to-site

Připojení brány VPN typu site-to-site (S2S) je připojení přes tunelové připojení VPN pomocí protokolu IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Tento typ připojení vyžaduje zařízení VPN, které je umístěné místně a má přiřazenou veřejnou IP adresu.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Toto zařízení nemůže být umístěné za překladem adres (NAT).This device cannot be located behind a NAT. Připojení S2S můžete použít pro konfigurace mezi různými místy a pro hybridní konfigurace.S2S connections can be used for cross-premises and hybrid configurations.

Příklad konfigurace připojení VPN typu Site-to-site

Připojení typu multi-site (pro více lokalit)Multi-site

Připojení k více lokalitám je varianta připojení typu Site-to-site.A multi-site connection is a variation of the site-to-site connection. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Při práci s více připojeními je nutné použít typ sítě VPN založený na trasách (označovaný jako dynamická brána při práci s klasickým virtuální sítě).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Příklad propojení Multi-Site pomocí Azure VPN Gateway

Skladové položky brányGateway SKUs

Když vytváříte bránu virtuální sítě pro centrum Azure Stack, zadáte SKU brány, kterou chcete použít.When you create a virtual network gateway for Azure Stack Hub, you specify the gateway SKU that you want to use. Podporovány jsou následující SKU brány VPN:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • High PerformanceHigh Performance

Když vyberete vyšší SKU brány, jako je například Standard over Basic nebo vysoký výkon oproti standardu nebo základní, bude bráně přiděleno více procesorů a šířky pásma sítě.When you select a higher gateway SKU, such as Standard over Basic, or High Performance over Standard or Basic, more CPUs and network bandwidth are allocated to the gateway. V důsledku toho může Brána podporovat vyšší propustnost sítě pro virtuální síť.As a result, the gateway can support higher network throughput to the virtual network.

Centrum Azure Stack nepodporuje SKLADOVOU položku brány pro ultra Performance, která se používá výhradně se službou Express Route.Azure Stack Hub does not support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Při výběru SKU Vezměte v úvahu následující:Consider the following when you select the SKU:

  • Centrum Azure Stack nepodporuje brány založené na zásadách.Azure Stack Hub does not support policy-based gateways.
  • Border Gateway Protocol (BGP) není v základní skladové jednotce (SKU) podporován.Border Gateway Protocol (BGP) is not supported on the Basic SKU.
  • ExpressRoute – v centru Azure Stack se nepodporuje souběžné konfigurace brány VPN.ExpressRoute-VPN gateway coexisting configurations are not supported in Azure Stack Hub.

Dostupnost brányGateway availability

Scénáře s vysokou dostupností je možné nakonfigurovat jenom na SKU pro připojení brány s vysokým výkonem .High availability scenarios can only be configured on the High Performance Gateway connection SKU. Na rozdíl od Azure, který poskytuje dostupnost prostřednictvím konfigurace aktivních/aktivních i aktivních/pasivních konfigurací, služba Azure Stack hub podporuje jenom konfiguraci typu aktivní/pasivní.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub only supports the active/passive configuration.

Převzetí služeb při selháníFailover

V Azure Stackovém centru existují tři virtuální počítače infrastruktury s více klienty.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub. Dva z těchto virtuálních počítačů jsou v aktivním režimu a třetí je v redundantním režimu.Two of these VMs are in active mode, and the third is in redundant mode. Aktivní virtuální počítače umožňují vytváření připojení k síti VPN a redundantní virtuální počítač akceptuje připojení VPN jenom v případě, že dojde k převzetí služeb při selhání.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Pokud virtuální počítač aktivní brány přestane být dostupný, připojení VPN se po krátké době (několik sekund) převezme k redundantnímu virtuálnímu počítači po krátkou dobu (několik sekund) ztráty připojení.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Odhadovaná propustnost agregovaného tunelu podle SKUEstimated aggregate tunnel throughput by SKU

Následující tabulka ukazuje typy brány a odhadovanou agregovanou propustnost pro každé tunelové nebo připojení pomocí SKU brány:The following table shows the gateway types and the estimated aggregate throughput for each tunnel/connection by gateway SKU:

Propustnost tunelu (1)Tunnel throughput (1) Maximální počet tunelových propojení IPsec brány sítě VPN (2)VPN Gateway max IPsec tunnels (2)
Základní SKU (3)Basic SKU (3) 100 Mb/s100 Mbps 2020
Standardní SKUStandard SKU 100 Mb/s100 Mbps 2020
SKU pro vysoký výkonHigh Performance SKU 200 Mb/s200 Mbps 1010

Poznámky tabulkyTable notes

(1) – propustnost tunelu není zaručená propustnost pro připojení mezi různými místy přes Internet.(1) - Tunnel throughput is not a guaranteed throughput for cross-premises connections across the internet. Jedná se o maximální možné měření propustnosti.It is the maximum possible throughput measurement.
(2) – maximální počet tunelů je celkem na nasazení centra Azure Stack pro všechna předplatná.(2) - Max tunnels is the total per Azure Stack Hub deployment for all subscriptions.
(3) – pro základní SKU není podporováno směrování protokolu BGP.(3) - BGP routing is not supported for the Basic SKU.

Poznámka

Mezi dvěma nasazeními centra Azure Stack lze vytvořit pouze jedno připojení typu Site-to-Site VPN.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Důvodem je omezení platformy, která umožňuje jenom jedno připojení VPN ke stejné IP adrese.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Vzhledem k tomu, že centrum Azure Stack využívá víceklientské brány, která používá jednu veřejnou IP adresu pro všechny brány VPN v systému služby Azure Stack hub, může být mezi dvěma Azure Stackmi systémy pouze jedno připojení VPN.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Toto omezení platí i pro připojení více než jednoho připojení VPN typu Site-to-site k libovolné bráně VPN, která používá jednu IP adresu.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Centrum Azure Stack neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Další krokyNext steps