Co je VPN Gateway?
Brána VPN je specifický typ brány virtuální sítě, která se používá k posílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet. Bránu VPN můžete použít také k posílání šifrovaného provozu mezi virtuálními sítěmi Azure po síti Microsoftu. Každá virtuální síť může mít pouze jednu bránu VPN. K jedné bráně VPN však můžete vytvořit několik připojení. Když vytvoříte několik připojení ke stejné bráně VPN, všechny tunely VPN sdílejí dostupnou šířku pásma.
Co je brána virtuální sítě?
Brána virtuální sítě se skládá ze dvou nebo více virtuálních počítačů, které se nasazují v konkrétní podsíti, kterou vytvoříte s názvem podsíť brány. Virtuální počítače brány virtuální sítě obsahují směrovací tabulky a spouštějí konkrétní služby brány. Tyto virtuální počítače se vytvoří při vytváření brány virtuální sítě. Nemůžete přímo nakonfigurovat virtuální počítače, které jsou součástí brány virtuální sítě.
Když nakonfigurujete bránu virtuální sítě, nakonfigurujete nastavení, které určuje typ brány. Typ brány určuje, jak se bude používat Brána virtuální sítě, a akce, které brána přijímá. Typ brány VPN určuje, že typ brány virtuální sítě vytvořená je brána sítě VPN. Tím se odlišuje od brány ExpressRoute, která používá jiný typ brány. Virtuální síť může mít dvě brány virtuální sítě. Jedna Brána VPN a jedna brána ExpressRoute. Další informace najdete v části Typy bran.
Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Při vytvoření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují s použitím nastavení, která zadáte. Po vytvoření brány VPN můžete vytvořit tunelové propojení IPsec/IKE mezi touto bránou VPN a jinou bránou VPN (VNet-to-VNet) nebo tunelové propojení IPsec/IKE mezi místními sítěmi mezi bránou VPN a místním zařízením VPN (Site-to-Site). Můžete také vytvořit připojení VPN typu Point-to-Site (VPN přes OpenVPN, IKEv2 nebo SSTP), které vám umožní připojit se k virtuální síti ze vzdáleného umístění, například z konference nebo z domova.
Konfigurace služby VPN Gateway
Připojení brány VPN se spoléhá na několik prostředků nakonfigurovaných se specifickými nastaveními. Většinu prostředků je možné nakonfigurovat jednotlivě, nicméně některé prostředky je potřeba konfigurovat v určitém pořadí.
Návrh
Je důležité vědět, že pro připojení brány VPN jsou dostupné různé konfigurace. Musíte určit, která konfigurace bude nejlépe vyhovovat vašim potřebám. Například připojení Point-to-site, Site-to-site a souběžná existující ExpressRoute/site-to-site mají různé pokyny a požadavky na konfiguraci. Informace o návrhu a zobrazení diagramů topologie připojení najdete v tématu design.
Plánovací tabulka
Následující tabulka vám může pomoci se zvolením nejlepší možnosti připojení pro vaše řešení.
| Point-to-site | Site-to-site | ExpressRoute | |
|---|---|---|---|
| Podporované služby Azure | Cloud Services a Virtual Machines | Cloud Services a Virtual Machines | Seznam služeb |
| Typické šířky pásma | Podle skladové položky (SKU) brány | Obvykle celkem < 1 Gb/s | 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s, 2 Gb/s, 5 Gb/s, 10 Gb/s |
| Podporované protokoly | Protokol SSTP (Secure Sockets Tunneling Protocol), OpenVPN a IPsec | IPsec | Přímé připojení přes sítě VLAN, technologie VPN od poskytovatelů síťových služeb (MPLS, VPLS…) |
| Směrování | RouteBased (dynamické) | Podporujeme sítě VPN se statickým směrováním (na základě zásad – PolicyBased) nebo dynamickým směrováním (na základě trasy – RouteBased). | BGP |
| Odolnost připojení | aktivní-pasivní | aktivní-aktivní nebo aktivní-pasivní | aktivní-aktivní |
| Typický případ použití | Zabezpečený přístup k virtuálním sítím Azure pro vzdálené uživatele | Scénáře pro vývoj/testování/laboratorní prostředí a pro cloudové služby a virtuální počítače s malým až středním škálováním | Přístup ke všem službám Azure (ověřený seznam), úlohy podnikové třídy a kritické úlohy, zálohování, velké objemy dat, Azure jako web pro zotavení po havárii |
| SLA | SLA | SLA | SLA |
| Ceny | Ceny | Ceny | Ceny |
| Technická dokumentace | Dokumentace k VPN Gateway | Dokumentace k VPN Gateway | Dokumentace k ExpressRoute |
| Nejčastější dotazy | Nejčastější dotazy k branám VPN | Nejčastější dotazy k branám VPN | ExpressRoute – nejčastější dotazy |
Nastavení
Nastavení, která jste pro jednotlivé zdroje zvolili, jsou pro vytvoření úspěšného připojení zásadní. Informace o jednotlivých prostředcích a nastaveních služby VPN Gateway najdete v tématu Informace o nastavení služby VPN Gateway. Tento článek obsahuje informace, které vám pomůžou pochopit typy bran, skladové položky bran, typy sítí VPN, typy připojení, podsítě brány, místní síťové brány a různá další nastavení prostředků, o kterých možná uvažujete.
Nástroje pro nasazení
Prostředky můžete začít vytvářet a konfigurovat pomocí konfiguračního nástroje, jako je například Azure Portal. Později se můžete rozhodnout používat ke konfiguraci dalších prostředků nebo úpravám stávajících prostředků jiný nástroj, třeba PowerShell. V současné době nelze konfigurovat všechny prostředky a nastavení prostředků pomocí webu Azure Portal. Pokyny v článcích pro každou topologii připojení určují, kdy je zapotřebí specifický konfigurační nástroj.
Skladové položky brány
Při vytváření brány virtuální sítě zadáváte jednotku SKU brány, kterou chcete použít. Vyberte jednotku SKU, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA.
- další informace o sku brány, včetně podporovaných funkcí, výroby a vývoje a testování a kroků konfigurace, najdete v článku VPN Gateway sku brány Nastavení .
- Informace o starších verzích SKU najdete v tématu práce se staršími SKU.
SKU brány podle tunelu, připojení a propustnosti
| Generování služby VPN Gateway |
SKU | Tunely S2S/VNet-to-VNet |
Připojení P2S SSTP |
Připojení P2S IKEv2/OpenVPN |
Srovnávací test agregované propustnosti |
BGP | Zónově redundantní |
|---|---|---|---|---|---|---|---|
| Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No |
| Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No |
| Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No |
| Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No |
| Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Yes |
| Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Yes |
| Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No |
| Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No |
| Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Yes |
(*) Pokud Virtual WAN více než 100 tunelů, použijte S2S VPN připojení.
Změna velikosti skladových velikosti VpnGw je povolená v rámci stejné generace s výjimkou velikosti skladové oblasti Basic. Základní SKU je starší verze SKU a má omezení funkcí. Pokud chcete přejít z basic na jinou SKU VpnGw, musíte odstranit bránu VPN se základní SKU a vytvořit novou bránu s požadovanou kombinací generace a velikosti SKU. Změnu velikosti brány basic můžete změnit jenom na jinou starší verzi SKU (viz Práce se staršími skladovémi verzemi).
Tato omezení připojení jsou nezávislá. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.
Informace o cenách najdete na stránce Ceny.
Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.
V jednom tunelu je možné dosáhnout propustnosti maximálně 1 Gb/s. Srovnávací test agregované propustnosti ve výše uvedené tabulce vychází z měření více tunelů agregovaných prostřednictvím jedné brány. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S. Srovnávací test agregované propustnosti není zaručenou propustností kvůli podmínkám internetového provozu a chování vaší aplikace.
Aby naši zákazníci pochopili relativní výkon skladových měr pomocí různých algoritmů, použili jsme k měření výkonu veřejně dostupné nástroje iPerf a CTSTraffic. Následující tabulka uvádí výsledky testů výkonnosti pro SKU 1. generace a VpnGw. Jak vidíte, nejlepšího výkonu se dosáhnou, když jsme použili algoritmus GCMAES256 pro šifrování IPsec i integritu. Při použití AES256 pro šifrování IPsec a SHA256 pro integritu jsme získali průměrný výkon. Když jsme použili DES3 pro šifrování IPsec a SHA256 pro integritu, získali jsme nejnižší výkon.
| Generace | SKU | Použité algoritmy |
Zjištěná propustnost |
Počet paketů za sekundu na zjištěný tunel |
|---|---|---|---|---|
| Generace 1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 120 Mb/s |
58,000 50,000 50,000 |
| Generace 1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gb/s 500 Mb/s 120 Mb/s |
90,000 80,000 55,000 |
| Generace 1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 120 Mb/s |
105,000 90,000 60 000 |
| Generace 1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 120 Mb/s |
58,000 50,000 50,000 |
| Generace 1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gb/s 500 Mb/s 120 Mb/s |
90,000 80,000 55,000 |
| Generace 1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 120 Mb/s |
105,000 90,000 60 000 |
Zóny dostupnosti
Brány VPN se dají nasadit v Zóny dostupnosti Azure. To přináší odolnost proti chybám, škálovatelnost a vyšší dostupnost bran virtuálních sítí. Nasazování bran v rámci Zón dostupnosti Azure fyzicky a logicky odděluje brány v rámci oblasti, přičemž zároveň chrání připojení vaší místní sítě k Azure před výpadky na úrovni zóny. Další informace najdete v tématu o branách redundantní virtuální sítě v zóně zóny dostupnosti Azure.
Stanov
Platíte za dvě věci: náklady na výpočetní kapacitu pro bránu virtuální sítě a výchozí přenos dat z brány virtuální sítě. Informace o cenách najdete na stránce Ceny. Ceny pro starší verze služby Gateway najdete na stránce s cenami ExpressRoute a posuňte se na část Virtual Network brány .
Náklady na výpočetní výkon brány virtuální sítě
Každá brána virtuální sítě má náklady na hodinový výpočetní výkon. Cena je založená na SKU brány, kterou určíte při vytváření brány virtuální sítě. Náklady jsou pro samotnou bránu vedle přenosu dat, který bránou prochází. Náklady na aktivní-aktivní instalaci jsou stejné jako aktivní – pasivní.
Náklady na přenos dat
Náklady na přenos dat se počítají na základě výchozího přenosu ze zdrojové brány virtuální sítě.
- Pokud odesíláte přenosy do místního zařízení VPN, budou se účtovat podle sazby za výchozí internetový přenos dat.
- Pokud přenášíte data mezi virtuálními sítěmi v různých oblastech, liší se ceny podle oblastí.
- Pokud odesíláte přenosy pouze mezi virtuálními sítěmi ve stejné oblasti, žádné náklady na data se na vás nevztahují. Přenosy dat mezi virtuálními sítěmi ve stejné oblasti je zdarma.
Další informace o skladových jednotkách (SKU) brány pro službu VPN Gateway najdete v tématu Skladové jednotky (SKU) brány.
Časté otázky
Nejčastější dotazy týkající se služby VPN Gateway najdete v tématu Nejčastější dotazy ke službě VPN Gateway.
Co je nového?
Přihlaste se k odběru informačního kanálu RSS a zobrazte nejnovější VPN Gateway aktualizace funkcí na stránce s aktualizacemi Azure .