Erstellen von VPN-Gateways für Azure Stack Hub

  • Artikel

Ein Gateway für virtuelle Netzwerke ist das Software-VPN-Gerät (VPN-Gateway) für Ihr virtuelles Azure Stack Hub-Netzwerk. Verwenden Sie dies mit einer Verbindung oder Verbindungen, um eine Site-to-Site- oder Site-to-Multi-Site-VPN-Verbindung zwischen einem virtuellen Azure Stack Hub-Netzwerk und Ihrem lokalen Netzwerk oder eine VNet-zu-VNet-VPN-Verbindung zwischen zwei virtuellen Netzwerken einzurichten, die auf verschiedenen Azure Stack Hub-Stempeln erstellt wurden.

Der gewünschte Gatewaytyp wird beim Erstellen eines Gateways für virtuelle Netzwerke angegeben. Azure Stack Hub unterstützt nur den Vpn-Typ .

Ein virtuelles Netzwerk kann nur über ein einzelnes virtuelles Netzwerkgateway verfügen. Abhängig von den von Ihnen gewählten Einstellungen können Sie mehrere Verbindungen in einem einzelnen Gateway für virtuelle Netzwerke erstellen. Ein Beispiel für diese Art von Setup ist eine Site-to-Multi-Site-Topologiekonfiguration.

Bevor Sie Gatewayressourcen für virtuelle Netzwerke für Azure Stack Hub erstellen und konfigurieren, lesen Sie die Überlegungen zu Azure Stack Hub-Netzwerken , um zu erfahren, wie sich Konfigurationen für Azure Stack Hub von Azure unterscheiden.

Hinweis

In Azure muss der Bandbreitendurchsatz für die ausgewählte Gateway-SKU des virtuellen Netzwerks auf alle Verbindungen aufgeteilt werden, die mit dem Gateway verbunden sind. In Azure Stack Hub wird der Bandbreitenwert für die Gateway-SKU des virtuellen Netzwerks jedoch auf jede Verbindungsressource angewendet, die mit dem Gateway verbunden ist.

Beispiel:

  • In Azure kann die Grundlegende Gateway-SKU für virtuelle Netzwerke etwa 100 MBit/s aggregierten Durchsatz aufnehmen. Wenn Sie zwei Verbindungen mit diesem Gateway für virtuelle Netzwerke erstellen und eine Verbindung 50 MBit/s Bandbreite verwendet, stehen 50 MBit/s für die andere Verbindung zur Verfügung.
  • In Azure Stack Hub werden jeder Verbindung mit der Gateway-SKU des virtuellen Netzwerks basic 100 MBit/s Durchsatz zugeordnet.

Konfigurieren von VPN-Gateways

Ein VPN-Gateway basiert auf mehreren Ressourcen, die mit bestimmten Einstellungen konfiguriert sind. Die meisten dieser Ressourcen können separat konfiguriert werden. In manchen Fällen ist allerdings eine bestimmte Reihenfolge einzuhalten.

Einstellungen

Die Einstellungen, die Sie für die einzelnen Ressourcen auswählen, sind für die erfolgreiche Herstellung einer Verbindung entscheidend.

Informationen zu einzelnen Ressourcen und Einstellungen für VPN Gateway finden Sie unter VPN-Gatewaykonfigurationseinstellungen für Azure Stack Hub.

Bereitstellungstools

Sie können Ressourcen mit einem Konfigurationstool erstellen und konfigurieren, z. B. mit dem Azure Stack Hub-Portal. Später können Sie mit einem anderen Tool wie PowerShell zusätzliche Ressourcen konfigurieren oder ggf. vorhandene Ressourcen ändern.

Derzeit können Sie nicht jede Ressource und Ressourceneinstellung im Azure Stack Hub-Portal konfigurieren. Sollte ein bestimmtes Konfigurationstool benötigt werden, ist dies in den Anleitungen der Artikel zu den einzelnen Verbindungstopologien angegeben.

Verbindungstopologiediagramme

Für VPN-Gateways stehen verschiedene Konfigurationen zur Verfügung. Ermitteln Sie, welche Konfiguration am besten zu Ihren Anforderungen passt. In den folgenden Abschnitten können Sie Informationen und Topologiediagramme zu den folgenden VPN Gateway-Szenarien anzeigen:

  • Site-to-Site-Verbindungen
  • Site-to-Multi-Site-Verbindungen
  • Site-to-Site- oder Site-to-Multi-Site-Verbindungen zwischen Azure Stack Hub-Stempeln

Orientieren Sie sich bei der Wahl einer geeigneten Verbindungstopologie an den Diagrammen und Beschreibungen in den folgenden Abschnitten. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.

Site-to-Site-Verbindungen

Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen IPsec-/IKE-VPN-Tunnel (IKEv2). Dieser Verbindungstyp erfordert ein lokales VPN-Gerät, das einer öffentlichen IP-Adresse zugewiesen ist. S2S-Verbindungen können für standortübergreifende Konfigurationen und Hybridkonfigurationen verwendet werden.

Beispiel für eine Site-to-Site-Verbindung für Azure-VPN-Gateway

Site-to-Multi-Site-Verbindungen

Eine Site-to-Multi-Site-Topologie ist eine Variante der Site-to-Site-Topologie. Sie erstellen mehr als eine VPN-Verbindung von Ihrem Gateway für virtuelle Netzwerke, wobei in der Regel eine Verbindung mit mehreren lokalen Standorten hergestellt wird.

Azure VPN Gateway–Beispiel für Site-to-Multi-Site-Verbindungen

Site-to-Site- oder Site-to-Multi-Site-Verbindungen zwischen Azure Stack Hub-Stempeln

Sie können nur eine Site-to-Site-VPN-Verbindung zwischen zwei Azure Stack Hub-Bereitstellungen erstellen. Der Grund: Wegen einer Einschränkung ist für die Plattform nur eine einzelne VPN-Verbindung mit der gleichen IP-Adresse zulässig. Da Azure Stack Hub das mehrinstanzenfähige Gateway nutzt, das eine öffentliche IP-Adresse für alle VPN-Gateways im Azure Stack Hub-System verwendet, kann zwischen zwei Azure Stack Hub-Systemen nur eine VPN-Verbindung hergestellt werden. Diese Einschränkung gilt auch für das Herstellen mehrerer Site-to-Site-VPN-Verbindungen mit einem beliebigen VPN-Gateway, das eine einzige IP-Adresse nutzt. Azure Stack Hub lässt nicht zu, dass mehrere Ressourcen des lokalen Netzwerkgateways mit der gleichen IP-Adresse erstellt werden.

Das folgende Diagramm zeigt, wie Sie mehrere Azure Stack Hub-Stempel miteinander verbinden können, wenn Sie eine Gittertopologie zwischen Stempeln erstellen müssen.

In diesem Szenario gibt es drei Azure Stack Hub-Stempel, von denen jeder über ein Gateway für virtuelle Netzwerke mit 2 Verbindungen und zwei gateways für lokale Netzwerke verfügt. Mit den neuen SKUs können Benutzer Netzwerke und Workloads zwischen Stempeln mit einem VPN-Verbindungsdurchsatz von bis zu 1250 MBit/s Tx/Rx verbinden, wodurch 50 % der Gatewaypoolkapazität jedes Stempels zugewiesen werden. Sie können die verbleibende Kapazität für jeden Stempel für zusätzliche VPN-Verbindungen verwenden, die für andere Anwendungsfälle erforderlich sind:

Azure VPN Gateway-Verbindungen zwischen Stempeln

Gateway-SKUs

Beim Erstellen eines Gateways für virtuelle Netzwerke für Azure Stack Hub müssen Sie die gewünschte Gateway-SKU angeben. Die folgenden Virtual Network-Gateway-SKUs werden unterstützt:

  • Basic – Tx/Rx mit 100 MBit/s
  • Standard : Tx/Rx mit 100 MBit/s
  • Hohe Leistung – Tx/Rx mit 200 MBit/s

Neue Virtual Network Gateway-SKUs in der öffentlichen Vorschau

In Azure Stack Hub 2209 kündigt Microsoft die öffentliche Vorschau des neuen VPN Fast Path-Features an, das den maximalen Durchsatz von Azure Stack Hub von 2 GBit/s auf 5 GBit/s erhöht, und führt außerdem drei neue SKUs ein.

  • VpnGw1 – Tx/Rx mit 650 MBit/s
  • VpnGw2 – Tx/Rx mit 1000 MBit/s
  • VpnGw3 – Tx/Rx mit 1250 MBit/s

Die Gateway-SKU „Höchstleistung“ wird ausschließlich mit ExpressRoute verwendet und von Azure Stack Hub nicht unterstützt.

Beachten Sie bei der Auswahl der SKU Folgendes:

  • Richtlinienbasierte Gateways werden von Azure Stack Hub nicht unterstützt.
  • Border Gateway Protocol (BGP) wird in der Basic-SKU nicht unterstützt.
  • Die gemeinsame Verwendung von VPN Gateway und ExpressRoute wird in Azure Stack Hub nicht unterstützt.

Gatewayverfügbarkeit

Im Gegensatz zu Azure, das Verfügbarkeit durch sowohl Aktiv/Aktiv- als auch Aktiv/Passiv-Konfigurationen bietet, unterstützt Azure Stack Hub nur die Aktiv/Passiv-Konfiguration.

Nächste Schritte