VPN-gateways maken voor Azure Stack Hub
Voordat u netwerkverkeer tussen uw virtuele Azure-netwerk en uw on-premises site kunt verzenden, moet u een VPN-gateway (virtueel netwerk) voor uw virtuele netwerk maken.
Een VPN-gateway is een soort gateway voor virtuele netwerken die versleuteld verkeer verzendt via een openbare verbinding. U kunt VPN-gateways gebruiken om verkeer veilig te verzenden tussen een virtueel netwerk in Azure Stack Hub en een virtueel netwerk in Azure. U kunt ook veilig verkeer verzenden tussen een virtueel netwerk en een ander netwerk dat is verbonden met een VPN-apparaat.
Wanneer u een virtuele netwerkgateway maakt, geeft u het gatewaytype aan dat u wilt maken. Azure Stack Hub ondersteunt één type virtuele netwerkgateway: het Vpn-type .
Elk virtueel netwerk kan twee virtuele netwerkgateways hebben, maar slechts één van elk type. Afhankelijk van de instellingen die u kiest, kunt u meerdere verbindingen maken voor één VPN-gateway. Een voorbeeld van dit soort instellingen is een configuratie voor meerdere sites.
Voordat u VPN-gateways voor Azure Stack Hub maakt en configureert, bekijkt u de overwegingen voor Azure Stack Hub-netwerken om te leren hoe configuraties voor Azure Stack Hub verschillen van Azure.
Notitie
In Azure moet de bandbreedtedoorvoer voor de VPN-gateway-SKU die u kiest, worden verdeeld over alle verbindingen die zijn verbonden met de gateway. In Azure Stack Hub wordt de bandbreedtewaarde voor de VPN-gateway-SKU echter toegepast op elke verbindingsresource die is verbonden met de gateway.
Bijvoorbeeld:
- In Azure kan de basis-VPN-gateway-SKU ongeveer 100 Mbps aan geaggregeerde doorvoer bevatten. Als u twee verbindingen met die VPN-gateway maakt en één verbinding 50 Mbps bandbreedte gebruikt, is er 50 Mbps beschikbaar voor de andere verbinding.
- In Azure Stack Hub wordt elke verbinding met de basis-VPN-gateway-SKU 100 Mbps aan doorvoer toegewezen.
Een VPN-gateway configureren
Een VPN-gatewayverbinding is afhankelijk van verschillende resources die zijn geconfigureerd met specifieke instellingen. De meeste van deze resources kunnen afzonderlijk worden geconfigureerd, maar in sommige gevallen moeten ze in een specifieke volgorde worden geconfigureerd.
Instellingen
De instellingen die u voor elke resource kiest, zijn essentieel voor het maken van een geslaagde verbinding.
Zie Over VPN-gatewayinstellingen voor Azure Stack Hub voor informatie over afzonderlijke resources en instellingen voor een VPN-gateway. Dit artikel helpt u het volgende te begrijpen:
- Gatewaytypen, VPN-typen en verbindingstypen.
- Gatewaysubnetten, lokale netwerkgateways en andere resource-instellingen die u mogelijk wilt overwegen.
Implementatiehulpmiddelen
U kunt resources maken en configureren met behulp van één configuratieprogramma, zoals de Azure Portal. Later kunt u overschakelen naar een ander hulpprogramma, zoals PowerShell, om extra resources te configureren of om bestaande resources indien van toepassing te wijzigen. Op dit moment kunt u niet elke resource- en resource-instelling configureren in de Azure Portal. De instructies in de artikelen voor elke verbindingstopologie geven aan of een specifiek confihuratiehulpprogramma nodig is.
Diagrammen over de verbindingstopologie
Er zijn verschillende configuraties beschikbaar voor VPN-gatewayverbindingen. Bepaal welke configuratie het beste bij uw behoeften past. In de volgende secties kunt u informatie en topologiediagrammen weergeven over de volgende VPN-gatewayverbindingen:
- Beschikbaar implementatiemodel
- Beschikbare configuratiehulpprogramma's
- Rechtstreekse koppelingen naar een artikel, indien beschikbaar
De diagrammen en beschrijvingen in de volgende secties kunnen u helpen bij het selecteren van een verbindingstopologie die aan uw vereisten voldoet. In de diagrammen worden de belangrijkste basislijntopologieën weergegeven, maar het is mogelijk om complexere configuraties te maken met behulp van de diagrammen als richtlijn.
Site-naar-site en multi-site (IPsec/IKE VPN-tunnel)
Site-naar-site
Een site-naar-site-VPN-gatewayverbinding (S2S) is een verbinding via VPN-tunnel IPsec/IKE (IKEv2). Voor dit type verbinding is een VPN-apparaat vereist dat zich on-premises bevindt en waaraan een openbaar IP-adres is toegewezen. Dit apparaat kan zich niet achter een NAT bevinden. S2S-verbindingen kunnen worden gebruikt voor cross-premises en hybride configuraties.
Meerdere locaties
Een verbinding met meerdere sites is een variant van de site-naar-site-verbinding. U maakt meer dan één VPN-verbinding vanaf uw virtuele netwerkgateway, meestal met verschillende on-premises sites. Wanneer u met meerdere verbindingen werkt, moet u een op route gebaseerd VPN-type gebruiken (ook wel een dynamische gateway genoemd bij het werken met klassieke VNet's). Omdat elk virtueel netwerk maar één VPN-gateway kan hebben, delen alle verbindingen via de gateway de beschikbare bandbreedte.
Gateway-SKU's
Wanneer u een virtuele netwerkgateway voor Azure Stack Hub maakt, geeft u de gateway-SKU op die u wilt gebruiken. De volgende VPN-gateway-SKU's worden ondersteund:
- Basic
- Standard
- Hoge prestaties
Wanneer u een hogere gateway-SKU selecteert, zoals Standard via Basic of High Performance via Standard of Basic, worden er meer CPU's en netwerkbandbreedte toegewezen aan de gateway. Hierdoor kan de gateway een hogere netwerkdoorvoer naar het virtuele netwerk ondersteunen.
Azure Stack Hub biedt geen ondersteuning voor de Ultra Performance Gateway-SKU, die exclusief wordt gebruikt met Express Route.
Houd rekening met het volgende wanneer u de SKU selecteert:
- Azure Stack Hub biedt geen ondersteuning voor op beleid gebaseerde gateways.
- Border Gateway Protocol (BGP) wordt niet ondersteund in de Basic-SKU.
- Naast elkaar bestaande ExpressRoute-VPN-gatewayconfiguraties worden niet ondersteund in Azure Stack Hub.
Beschikbaarheid van gateways
Scenario's met hoge beschikbaarheid kunnen alleen worden geconfigureerd op de verbindings-SKU high performance gateway . In tegenstelling tot Azure, dat beschikbaarheid biedt via zowel actieve/actieve als actieve/passieve configuraties, ondersteunt Azure Stack Hub alleen de actieve/passieve configuratie.
Failover
Er zijn drie VM's met meerdere tenants-gatewayinfrastructuur in Azure Stack Hub. Twee van deze VM's bevinden zich in de actieve modus en de derde bevindt zich in de redundante modus. Actieve VM's maken het maken van VPN-verbindingen mogelijk en de redundante VM accepteert alleen VPN-verbindingen als er een failover plaatsvindt. Als een actieve gateway-VM niet beschikbaar is, voert de VPN-verbinding na een korte periode (een paar seconden) een failover uit naar de redundante VM.
Gatewayfailovers worden verwacht tijdens een OEM- of Azure Stack Hub-update, omdat de VM's worden gepatcht en live worden gemigreerd. Dit kan leiden tot een tijdelijke verbinding van de tunnels.
Geschatte geaggregeerde tunneldoorvoer per SKU
In de volgende tabel ziet u de gatewaytypen en de geschatte geaggregeerde doorvoer voor elke tunnel/verbinding per gateway-SKU:
| Tunnel doorvoer (1) | Max. IPsec-tunnels VPN-gateway (2) | |
|---|---|---|
| Basic SKU(3) | 100 Mbps | 20 |
| Standaard SKU | 100 Mbps | 20 |
| High Performance SKU | 200 Mbps | 10 |
Tabelnotities
(1) - Tunnel doorvoer is geen gegarandeerde doorvoer voor cross-premises verbindingen via internet. Het is een meting van de maximaal mogelijke doorvoer. De totale statistische functie is 2 Gbps.
(2) - Maximum aantal tunnels is het totaal per Azure Stack Hub-implementatie voor alle abonnementen.
(3) - BGP-routering wordt niet ondersteund voor de Basic-SKU.
Notitie
Er kan slechts één site-naar-site-VPN-verbinding worden gemaakt tussen twee Azure Stack Hub-implementaties. Dit komt door een beperking in het platform dat slechts één VPN-verbinding met hetzelfde IP-adres toestaat. Omdat Azure Stack Hub gebruikmaakt van de gateway met meerdere tenants, die gebruikmaakt van één openbaar IP-adres voor alle VPN-gateways in het Azure Stack Hub-systeem, kan er slechts één VPN-verbinding tussen twee Azure Stack Hub-systemen zijn. Deze beperking geldt ook voor het verbinden van meer dan één site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres. Met Azure Stack Hub kunnen niet meer dan één lokale netwerkgatewayresource worden gemaakt met hetzelfde IP-adres.