Che cos'è un Gateway VPN?

Un gateway VPN è un tipo specifico di gateway di rete virtuale, usato per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale attraverso la rete Internet pubblica. È possibile usare un gateway VPN anche per inviare traffico crittografato tra le reti virtuali di Azure sulla rete Microsoft. Ogni rete virtuale può avere un solo gateway VPN, ma è possibile creare più connessioni allo stesso gateway VPN. Quando si creano più connessioni allo stesso gateway VPN, tutti i tunnel VPN condividono la larghezza di banda disponibile per il gateway.

Informazioni sul gateway di rete virtuale

Un gateway di rete virtuale è costituito da due o più macchine virtuali distribuite in una subnet precedentemente creata, denominata subnet del gateway. Le macchine virtuali di un gateway di rete virtuale contengono tabelle di routing ed eseguono specifici servizi gateway. Queste macchine virtuali vengono create contestualmente alla creazione del gateway di rete virtuale. Non è possibile configurare direttamente le macchine virtuali che fanno parte del gateway di rete virtuale.

Quando si configura un gateway di rete virtuale, si configura un'impostazione che specifica il tipo di gateway. Il tipo di gateway determina come verrà usato il gateway di rete virtuale e le azioni che dovrà eseguire. Il tipo del gateway 'Vpn' specifica che il tipo di gateway di rete virtuale creato è un 'gateway VPN'. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Per altre informazioni, vedere Tipi di gateway.

La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. Quando si crea un gateway VPN, le macchine virtuali del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni specificate. Dopo aver creato un gateway VPN, è possibile creare una connessione con tunnel VPN IPsec/IKE tra il gateway VPN creato e un altro gateway VPN (tra reti virtuali) o creare una connessione con tunnel VPN IPsec/IKE cross-premise tra il gateway VPN e un dispositivo VPN locale (da sito a sito). È anche possibile creare una connessione VPN da punto a sito (VPN su OpenVPN, IKEv2 o SSTP), che consente di connettersi alla rete virtuale da una posizione remota, ad esempio in una conferenza o da casa.

Configurazione di un gateway VPN

Una connessione gateway VPN si basa su più risorse configurate con impostazioni specifiche. La maggior parte delle risorse può essere configurata separatamente, anche se alcune risorse devono essere configurate in un determinato ordine.

Progettazione

È importante tenere presente che sono disponibili configurazioni diverse per le connessioni del gateway VPN. È necessario determinare la configurazione più adatta alle proprie esigenze. Ad esempio, le connessioni da punto a sito, da sito a sito e coesistenti da sito a sito ed ExpressRoute hanno tutte requisiti di configurazione e istruzioni differenti. Per informazioni sulla progettazione e per visualizzare i diagrammi delle topologie di connessione, vedere Progettazione.

Tabella di pianificazione

La tabella seguente può aiutare nella scelta della migliore opzione di connettività per la soluzione.

Da punto a sito Da sito a sito ExpressRoute
Servizi supportati di Azure Servizi cloud e Macchine virtuali Servizi cloud e Macchine virtuali Elenco dei servizi
Larghezze di banda tipiche Basate sullo SKU del gateway Aggregazione tipica < 1 Gbps 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocolli supportati SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec IPsec Connessione diretta su VLAN, tecnologie VPN del provider (MPLS, VPLS, ecc.)
Routing RouteBased (dinamico) Sono supportati il routing PolicyBased (routing statico) e il routing RouteBased (VPN routing dinamico) BGP
Resilienza della connessione attiva-passiva attiva-passiva o attiva-attiva attiva-attiva
Caso d'uso tipico Proteggere l'accesso alle reti virtuali di Azure per gli utenti remoti Scenari di sviluppo/test/laboratorio e carichi di lavoro di produzione su piccola e media scala per servizi cloud e macchine virtuali Accesso a tutti i servizi di Azure (elenco convalidato), carichi di lavoro aziendali e di importanza strategica, backup, Big Data, Azure come sito di ripristino di emergenza
Contratto di servizio Contratto di servizio Contratto di servizio Contratto di servizio
Prezzi Prezzi Prezzi Prezzi
Documentazione tecnica Documentazione del gateway VPN Documentazione del gateway VPN Documentazione di ExpressRoute
Domande frequenti Domande frequenti sul gateway VPN Domande frequenti sul gateway VPN Domande frequenti su ExpressRoute

Impostazioni

Le impostazioni scelte per ogni risorsa sono fondamentali per creare una connessione corretta. Per informazioni sulle singole risorse e le impostazioni per il gateway VPN, vedere Informazioni sulle impostazioni del gateway VPN. L'articolo contiene informazioni su tipi di gateway, SKU dei gateway, tipi di VPN, tipi di connessione, subnet dei gateway, gateway di rete locale e diverse altre impostazioni delle risorse che potrebbero risultare utili.

Strumenti di distribuzione

È possibile iniziare a creare e configurare le risorse usando uno strumento di configurazione, ad esempio il portale di Azure, e successivamente decidere di passare a un altro strumento, ad esempio PowerShell, per configurare risorse aggiuntive o eventualmente modificare quelle esistenti. Attualmente, non è possibile configurare tutte le risorse e le relative impostazioni nel portale di Azure. Le istruzioni riportate negli articoli per ogni topologia di connessione indicano se è necessario usare uno strumento di configurazione specifico.

SKU del gateway

Quando si crea un gateway di rete virtuale, specificare lo SKU del gateway da usare. Selezionare lo SKU che soddisfa i requisiti relativi a tipi di carichi di lavoro, velocità effettive, funzionalità e contratti di servizio.

SKU del gateway per tunnel, connessione e velocità effettiva

VPN
Gateway
Generation
SKU Tunnel S2S/
rete virtuale-rete virtuale
Connessioni
SSTP P2S
Connessioni
IKEv2/OpenVPN P2S
Benchmark
velocità effettiva aggregata
BGP Con ridondanza della zona
Generation1 Base Max. 10 Max. 128 Non supportato 100 Mbps Non supportato No
Generation1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbps Supportato No
Generation1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbps Supportato No
Generation1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbps Supportato No
Generation1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mbps Supportato
Generation1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbps Supportato
Generation1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbps Supportato
Generation2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbps Supportato No
Generation2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbps Supportato No
Generation2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbps Supportato No
Generation2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbps Supportato No
Generation2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbps Supportato
Generation2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbps Supportato
Generation2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbps Supportato
Generation2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbps Supportato

(*) Usare la rete WAN virtuale se sono necessari più di 100 tunnel VPN da sito a sito.

  • Il ridimensionamento degli SKU VpnGw è consentito all'interno della stessa generazione, eccetto il ridimensionamento dello SKU Basic. Lo SKU Basic è uno SKU legacy e presenta alcune limitazioni in termini di funzionalità. Per passare da Basic a un altro SKU VpnGw, è necessario eliminare il gateway VPN dello SKU Basic e creare un nuovo gateway con la combinazione di generazione e dimensioni dello SKU preferita. È possibile ridimensionare un gateway Basic solo a un altro SKU legacy (vedere Uso di SKU legacy).

  • Questi limiti di connessione sono separati. Ad esempio, è possibile avere 128 connessioni SSTP e anche 250 connessioni IKEv2 in uno SKU VpnGw1.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).

  • In un singolo tunnel è possibile ottenere una velocità effettiva massima di 1 Gbps. Il benchmark della velocità effettiva aggregata nella tabella precedente si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway. Il benchmark della velocità effettiva aggregata per un gateway VPN è S2S + P2S combinati. Se si hanno molte connessioni P2S, si può avere un impatto negativo su una connessione S2S a causa delle limitazioni relative alla velocità effettiva. Il benchmark della velocità effettiva aggregata non rappresenta una velocità effettiva garantita, perché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.

Per aiutare i clienti a comprendere le prestazioni relative degli SKU che usano algoritmi diversi, sono stati usati gli strumenti iPerf e CTSTraffic disponibili pubblicamente per misurare le prestazioni. La tabella seguente elenca i risultati dei test delle prestazioni per gli SKU VpnGw Generation1. È possibile notare come si ottengano le prestazioni migliori quando viene usato l'algoritmo GCMAES256 per la crittografia e l'integrità IPsec. Quando viene usato AES256 per la crittografia IPsec e SHA256 per l'integrità, si ottengono prestazioni medie. Quando infine viene usato DES3 per la crittografia IPsec e SHA256 per l'integrità, si ottengono le prestazioni più basse.

Generazione SKU Algoritmi
usati
Velocità effettiva
osservata
Pacchetti al secondo per tunnel
osservato
Generation1 VpnGw1 GCMAES256
AES256 e SHA256
DES3 e SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50.000
50.000
Generation1 VpnGw2 GCMAES256
AES256 e SHA256
DES3 e SHA256
1 Gbps
500 Mbps
120 Mbps
90.000
80.000
55.000
Generation1 VpnGw3 GCMAES256
AES256 e SHA256
DES3 e SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90.000
60.000
Generation1 VpnGw1AZ GCMAES256
AES256 e SHA256
DES3 e SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50.000
50.000
Generation1 VpnGw2AZ GCMAES256
AES256 e SHA256
DES3 e SHA256
1 Gbps
500 Mbps
120 Mbps
90.000
80.000
55.000
Generation1 VpnGw3AZ GCMAES256
AES256 e SHA256
DES3 e SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90.000
60.000

Zone di disponibilità

I gateway VPN possono essere distribuiti nelle zone di disponibilità di Azure. In questo modo, i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Vedere Informazioni sui gateway di rete virtuale con ridondanza della zona in zone di disponibilità di Azure.

Prezzi

Si pagano due cose: i costi di calcolo orari per il gateway di rete virtuale e il trasferimento dei dati in uscita dal gateway di rete virtuale. Le informazioni sui prezzi sono disponibili nella pagina Prezzi . Per informazioni sui prezzi degli SKU di gateway legacy, vedere la pagina dei prezzi di ExpressRoute e scorrere fino alla sezione Gateway di rete virtuale.

Costi di calcolo per il gateway di rete virtuale
Ogni gateway di rete virtuale ha un costo di calcolo orario. Il prezzo dipende dallo SKU del gateway specificato quando si crea un gateway di rete virtuale. Il costo è relativo al gateway in sé e va aggiunto al trasferimento dei dati che passano dal gateway. Il costo delle configurazioni attiva/attiva e attiva-passiva è equivalente.

Costi di trasferimento dati
I costi per il trasferimento dei dati vengono calcolati in base al traffico in uscita dal gateway di rete virtuale di origine.

  • Se si invia il traffico al dispositivo VPN locale, i costi verranno addebitati insieme alla tariffa per il trasferimento dei dati in uscita da Internet.
  • Se si invia il traffico tra reti virtuali in aree diverse, i prezzi dipendono dall'area.
  • Se si invia il traffico solo tra reti virtuali nella stessa area, non sono previsti costi per i dati. Il traffico tra reti virtuali nella stessa area è gratuito.

Per informazioni sugli SKU del gateway VPN, vedere SKU del gateway.

Domande frequenti

Per le domande frequenti sul gateway VPN, vedere le Domande frequenti su Gateway VPN.

Novità

Sottoscrivere il feed RSS e visualizzare gli aggiornamenti più recenti delle funzionalità di Gateway VPN nella pagina Aggiornamenti di Azure.

Passaggi successivi