Percorso rapido VPN dell'hub di Azure Stack per gli utenti tenant

Che cos'è la funzionalità Percorso rapido VPN dell'hub di Azure Stack?

L'hub di Azure Stack introduce i tre nuovi SKU descritti in questo articolo come parte della funzionalità Percorso rapido VPN. In precedenza, i tunnel S2S erano limitati a una larghezza di banda massima di 200 Mbps usando lo SKU HighPerformance. I nuovi SKU consentono agli scenari dei clienti in cui è necessaria una velocità effettiva di rete superiore. I valori di velocità effettiva per ogni SKU sono valori unidirezionali, ovvero supporta la velocità effettiva specificata nel traffico di invio o ricezione.

Quando l'operatore di Azure Stack abilita la funzionalità Percorso rapido VPN in un timbro dell'hub di Azure Stack, gli utenti tenant possono creare gateway di rete virtuale usando i nuovi SKU. È possibile modificare le configurazioni esistenti ricreando il gateway di rete virtuale e le relative connessioni con uno dei nuovi SKU.

Nuovi SKU di gateway di rete virtuale disponibili quando è abilitato il percorso rapido VPN

Oltre a 3 nuovi SKU, la capacità VPN complessiva dell'hub di Azure Stack aumenta, consentendo più connessioni VPN.

La tabella seguente illustra la nuova velocità effettiva per ogni SKU quando è abilitato il percorso rapido VPN:

SKU	Velocità effettiva massima della connessione VPN
Base	100 Mbps Tx/Rx
Standard	100 Mbps Tx/Rx
Prestazioni elevate	200 Mbps Tx/Rx
VpnGwy1	650 Mbps Tx/Rx
VpnGwy2	1000 Mbps Tx/Rx
VpnGwy3	1250 Mbps Tx/Rx

Creare gateway di rete virtuale per usare i nuovi SKU

Con VPN Fast Path, gli utenti tenant possono creare gateway di rete virtuale con i nuovi SKU usando il portale dell'hub di Azure Stack o PowerShell.

Creare gateway di rete virtuale con nuovi SKU usando il portale dell'hub di Azure Stack

Se si usa il portale dell'hub di Azure Stack per creare un gateway di rete virtuale, è possibile selezionare lo SKU usando l'elenco a discesa. I nuovi SKU del percorso rapido VPN (VpnGwy1, VpnGwy2, VpnGwy3) sono visibili solo dopo l'aggiunta del parametro di query "?azurestacknewvpnskus=true" all'URL e all'aggiornamento.

L'esempio di URL seguente rende visibili i nuovi SKU del gateway di rete virtuale nel portale utenti dell'hub di Azure Stack:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Prima che l'operatore crei queste risorse, è necessario abilitare il percorso rapido VPN nel timbro dell'hub di Azure Stack:

Creare gateway di rete virtuale con nuovi SKU usando PowerShell

L'esempio seguente usa i moduli AzureRM:

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

Aggiornamento dei gateway di rete virtuale legacy

Non è possibile aggiornare lo SKU senza ricreare il gateway di rete virtuale, che richiede l'eliminazione di tutte le connessioni associate al gateway di rete virtuale. È possibile riutilizzare le risorse del gateway di rete locale dopo aver creato un gateway di rete virtuale con il nuovo SKU. La risorsa gateway di rete locale definisce lo spazio degli indirizzi e l'indirizzo IP del dispositivo locale e mantiene tale configurazione.

Seguire questa procedura per aggiornare gli SKU del gateway di rete virtuale:

1. Eliminare tutte le connessioni nel gateway di rete virtuale esistente: prendere nota della chiave precondi shared e se il flag BGP è impostato su abilitato.
2. Eliminare il gateway di rete virtuale esistente usando lo SKU legacy: non è possibile creare due gateway di rete virtuale nella stessa rete virtuale, quindi è necessario eliminare quello esistente.
3. Creare una nuova risorsa gateway di rete virtuale con il nuovo SKU: è possibile selezionare uno dei nuovi SKU abilitati con il percorso rapido VPN.
4. Creare una nuova connessione tra il nuovo gateway di rete virtuale e il gateway di rete locale esistente: se si usano criteri IP personalizzati sec, creare la connessione tramite PowerShell. Usare la chiave precondi shared e il flag BGP annotati nel passaggio 1.
5. Ripetere il passaggio 4 per tutte le altre connessioni da spostare nel nuovo SKU: questo passaggio è rilevante per gli scenari multisito.

Topologie di connessione VPN

Sono disponibili configurazioni diverse per i gateway VPN. Determinare la configurazione più adatta alle proprie esigenze. Nelle sezioni seguenti è possibile visualizzare informazioni e diagrammi di topologia sugli scenari di gateway VPN seguenti:

• Connessioni da sito a sito
• Connessioni da sito a sito
• Connessioni da sito a sito o da sito a sito tra indicatori dell'hub di Azure Stack

I diagrammi e le descrizioni delle sezioni seguenti consentono di selezionare una topologia di connessione in base alle esigenze. I diagrammi mostrano le topologie di base principali, ma è possibile creare configurazioni più complesse usando i diagrammi come guida.

Connessioni da sito a sito

Una connessione gateway VPN da sito a sito (S2S) è una connessione tramite tunnel VPN IPsec/IKE (IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale e a cui viene assegnato un indirizzo IP pubblico.

Connessioni da sito a sito

Una topologia da sito a sito è una variante della topologia da sito a sito. È possibile creare più di una connessione VPN dal gateway di rete virtuale, che in genere connette a più siti locali.

Connessioni da sito a sito o da sito a sito tra indicatori dell'hub di Azure Stack

È possibile creare una sola connessione VPN da sito a sito tra due distribuzioni dell'hub di Azure Stack. Questa restrizione è dovuta a una limitazione nella piattaforma che consente solo una singola connessione VPN allo stesso indirizzo IP. Poiché l'hub di Azure Stack usa il gateway multi-tenant, che ha un singolo indirizzo IP pubblico per tutti i gateway VPN nel sistema hub di Azure Stack, può esistere una sola connessione VPN tra due sistemi hub di Azure Stack. Questa limitazione si applica anche alla connessione di più connessioni VPN da sito a sito a qualsiasi gateway VPN che usa un singolo indirizzo IP. L'hub di Azure Stack non consente la creazione di più risorse del gateway di rete locale usando lo stesso indirizzo IP.

Il diagramma seguente illustra come è possibile connettere più indicatori dell'hub di Azure Stack se è necessario creare una topologia mesh tra stamp. In questo scenario sono disponibili 3 indicatori dell'hub di Azure Stack e ognuno di essi ha 1 gateway di rete virtuale con 2 connessioni e 2 gateway di rete locale. Con i nuovi SKU, gli utenti possono connettere reti e carichi di lavoro tra stamp con velocità effettiva delle connessioni VPN fino a 1250 Mbps Tx/Rx, allocando il 50% della capacità del pool di gateway di ogni stamp. La capacità rimanente in ogni stamp può essere usata per più connessioni VPN necessarie per altri casi d'uso:

Passaggi successivi

• Impostazioni di configurazione del gateway VPN per l'hub di Azure Stack