Creare gateway VPN per Azure Stack HubCreate VPN gateways for Azure Stack Hub

Prima di poter inviare il traffico di rete tra la rete virtuale di Azure e il sito locale, è necessario creare un gateway di rete virtuale (VPN) per la rete virtuale.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tramite una connessione pubblica.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. È possibile usare i gateway VPN per inviare in modo sicuro il traffico tra una rete virtuale nell'hub Azure Stack e una rete virtuale in Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub and a virtual network in Azure. È anche possibile inviare il traffico in modo sicuro tra una rete virtuale e un'altra rete connessa a un dispositivo VPN.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Quando si crea un gateway di rete virtuale, si specifica il tipo di gateway che si vuole creare.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack Hub supporta un tipo di gateway di rete virtuale, ovvero il tipo di VPN .Azure Stack Hub supports one type of virtual network gateway: the Vpn type.

Ogni rete virtuale può avere due gateway di rete virtuale, ma solo uno per ogni tipo.Each virtual network can have two virtual network gateways, but only one of each type. A seconda delle impostazioni scelte, è possibile creare più connessioni a un singolo gateway VPN.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Un esempio di questo tipo di installazione è costituito da una configurazione di connessione multisito.An example of this kind of setup is a multi-site connection configuration.

Prima di creare e configurare gateway VPN per Azure Stack Hub, vedere le considerazioni per la rete Azure stack Hub per informazioni su come le configurazioni per Azure stack Hub sono diverse da Azure.Before you create and configure VPN gateways for Azure Stack Hub, review the considerations for Azure Stack Hub networking to learn how configurations for Azure Stack Hub differ from Azure.

Nota

In Azure, la velocità effettiva della larghezza di banda per lo SKU del gateway VPN scelto deve essere divisa tra tutte le connessioni connesse al gateway.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. Nell'hub Azure Stack tuttavia, il valore della larghezza di banda per lo SKU del gateway VPN viene applicato a ogni risorsa di connessione connessa al gateway.In Azure Stack Hub however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway.

Ad esempio:For example:

  • In Azure lo SKU del gateway VPN di base può supportare circa 100 Mbps di velocità effettiva aggregata.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Se si creano due connessioni al gateway VPN e una connessione USA 50 Mbps di larghezza di banda, 50 Mbps sarà disponibile per l'altra connessione.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • Nell'hub Azure Stack ogni connessione allo SKU del gateway VPN di base viene allocata 100 Mbps di velocità effettiva.In Azure Stack Hub, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Configurazione di un gateway VPNConfiguring a VPN gateway

Una connessione gateway VPN si basa su diverse risorse configurate con impostazioni specifiche.A VPN gateway connection relies on several resources that are configured with specific settings. La maggior parte di queste risorse può essere configurata separatamente, ma in alcuni casi deve essere configurata in un ordine specifico.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

ImpostazioniSettings

Le impostazioni scelte per ogni risorsa sono fondamentali per la creazione di una connessione corretta.The settings that you choose for each resource are critical for creating a successful connection.

Per informazioni sulle singole risorse e impostazioni per un gateway VPN, vedere informazioni sulle impostazioni del gateway VPN per l'Hub Azure stack.For information about individual resources and settings for a VPN gateway, see About VPN gateway settings for Azure Stack Hub. Questo articolo consente di comprendere:This article helps you understand:

  • Tipi di gateway, tipi di VPN e tipi di connessione.Gateway types, VPN types, and connection types.
  • Subnet del gateway, gateway di rete locale e altre impostazioni delle risorse che è opportuno prendere in considerazione.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Strumenti di distribuzioneDeployment tools

È possibile creare e configurare le risorse usando uno strumento di configurazione, ad esempio il portale di Azure.You can create and configure resources using one configuration tool, such as the Azure portal. Successivamente, è possibile passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o modificare le risorse esistenti quando applicabile.Later, you might switch to another tool such as PowerShell to configure additional resources or modify existing resources when applicable. Attualmente, non è possibile configurare tutte le risorse e le impostazioni delle risorse nel portale di Azure.Currently, you cannot configure every resource and resource setting in the Azure portal. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Diagrammi delle topologie di connessioneConnection topology diagrams

Sono disponibili configurazioni diverse per le connessioni del gateway VPN.There are different configurations available for VPN gateway connections. Determinare la configurazione più adatta alle proprie esigenze.Determine which configuration best fits your needs. Nelle sezioni seguenti è possibile visualizzare informazioni e diagrammi di topologia sulle seguenti connessioni del gateway VPN:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Modello di distribuzione disponibileAvailable deployment model
  • Strumenti di configurazione disponibiliAvailable configuration tools
  • Collegamenti che visualizzano direttamente un articolo, se disponibileLinks that take you directly to an article, if available

I diagrammi e le descrizioni nelle sezioni seguenti consentono di selezionare una topologia di connessione corrispondente ai propri requisiti.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. I diagrammi mostrano le topologie di base principali, ma è possibile creare configurazioni più complesse usando i diagrammi come guida.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Da sito a sito e multisito (tunnel VPN IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Da sito a sitoSite-to-site

Una connessione gateway VPN da sito a sito (S2S) è una connessione tramite un tunnel VPN IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Questo tipo di connessione richiede un dispositivo VPN che si trova in locale e a cui viene assegnato un indirizzo IP pubblico.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Questo dispositivo non può trovarsi dietro un NAT.This device cannot be located behind a NAT. Le connessioni S2S possono essere usate per le configurazioni cross-premise e ibride.S2S connections can be used for cross-premises and hybrid configurations.

Esempio di configurazione della connessione VPN da sito a sito

multisitoMulti-site

Una connessione multisito è una variante della connessione da sito a sito.A multi-site connection is a variation of the site-to-site connection. È possibile creare più di una connessione VPN dal gateway di rete virtuale, che in genere connette a più siti locali.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Quando si utilizzano più connessioni, è necessario usare un tipo di VPN basato su Route (noto come gateway dinamico quando si lavora con reti virtuali classiche).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni che usano il gateway condividono la larghezza di banda disponibile.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Esempio di connessione gateway VPN di Azure multisito

SKU del gatewayGateway SKUs

Quando si crea un gateway di rete virtuale per Azure Stack Hub, si specifica lo SKU del gateway che si vuole usare.When you create a virtual network gateway for Azure Stack Hub, you specify the gateway SKU that you want to use. Sono supportati gli SKU del gateway VPN seguenti:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • Prestazioni elevateHigh Performance

Quando si seleziona uno SKU del gateway superiore, ad esempio standard over Basic, o prestazioni elevate rispetto a standard o Basic, vengono allocate più CPU e la larghezza di banda di rete al gateway.When you select a higher gateway SKU, such as Standard over Basic, or High Performance over Standard or Basic, more CPUs and network bandwidth are allocated to the gateway. Di conseguenza, il gateway può supportare una velocità effettiva di rete superiore per la rete virtuale.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack Hub non supporta lo SKU del gateway con prestazioni ultra, che viene usato esclusivamente con Express route.Azure Stack Hub does not support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Quando si seleziona lo SKU, tenere presente quanto segue:Consider the following when you select the SKU:

  • Azure Stack Hub non supporta i gateway basati su criteri.Azure Stack Hub does not support policy-based gateways.
  • Il Border Gateway Protocol (BGP) non è supportato nello SKU di base.Border Gateway Protocol (BGP) is not supported on the Basic SKU.
  • ExpressRoute: le configurazioni coesistenti del gateway VPN non sono supportate nell'hub Azure Stack.ExpressRoute-VPN gateway coexisting configurations are not supported in Azure Stack Hub.

Disponibilità gatewayGateway availability

Gli scenari di disponibilità elevata possono essere configurati solo nello SKU di connessione gateway ad alte prestazioni .High availability scenarios can only be configured on the High Performance Gateway connection SKU. A differenza di Azure, che fornisce la disponibilità tramite configurazioni attive/attive e attive/passive, Azure Stack Hub supporta solo la configurazione attiva/passiva.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub only supports the active/passive configuration.

FailoverFailover

Sono disponibili tre macchine virtuali dell'infrastruttura del gateway multi-tenant nell'hub Azure Stack.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub. Due di queste macchine virtuali sono in modalità attiva e la terza è in modalità ridondante.Two of these VMs are in active mode, and the third is in redundant mode. Le macchine virtuali attive consentono la creazione di connessioni VPN su di esse e la macchina virtuale ridondante accetta solo connessioni VPN se si verifica un failover.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Se una VM del gateway attivo non è più disponibile, la connessione VPN viene sottoposta a failover sulla macchina virtuale ridondante dopo un breve periodo di tempo, ovvero pochi secondi, di perdita della connessione.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Velocità effettiva del tunnel di aggregazione stimata per SKUEstimated aggregate tunnel throughput by SKU

La tabella seguente illustra i tipi di gateway e la velocità effettiva aggregata stimata per ogni tunnel/connessione tramite lo SKU del gateway:The following table shows the gateway types and the estimated aggregate throughput for each tunnel/connection by gateway SKU:

Velocità effettiva tunnel (1)Tunnel throughput (1) Tunnel IPsec massimi del gateway VPN (2)VPN Gateway max IPsec tunnels (2)
SKU Basic (3)Basic SKU (3) 100 Mbps100 Mbps 2020
SKU StandardStandard SKU 100 Mbps100 Mbps 2020
SKU con prestazioni elevateHigh Performance SKU 200 Mbps200 Mbps 1010

Note sulla tabellaTable notes

(1) : la velocità effettiva del tunnel non è una velocità effettiva garantita per le connessioni cross-premise in Internet.(1) - Tunnel throughput is not a guaranteed throughput for cross-premises connections across the internet. È la misura massima possibile per la velocità effettiva.It is the maximum possible throughput measurement.
(2) : il numero massimo di tunnel è il totale per ogni distribuzione dell'hub Azure stack per tutte le sottoscrizioni.(2) - Max tunnels is the total per Azure Stack Hub deployment for all subscriptions.
(3) : il routing BGP non è supportato per lo SKU Basic.(3) - BGP routing is not supported for the Basic SKU.

Nota

Tra due distribuzioni di Azure Stack Hub è possibile creare una sola connessione VPN da sito a sito.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Ciò è dovuto a una limitazione della piattaforma che consente solo una singola connessione VPN allo stesso indirizzo IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Poiché Azure Stack Hub sfrutta il gateway multi-tenant, che usa un singolo indirizzo IP pubblico per tutti i gateway VPN nel sistema Hub Azure Stack, può essere presente una sola connessione VPN tra due sistemi hub Azure Stack.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Questa limitazione si applica anche alla connessione di più di una connessione VPN da sito a sito a qualsiasi gateway VPN che usa un singolo indirizzo IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack Hub non consente la creazione di più di una risorsa gateway di rete locale con lo stesso indirizzo IP.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Passaggi successiviNext steps