Caminho Rápido de VPN do Azure Stack Hub para usuários de locatário
O que é o recurso caminho rápido de VPN do Azure Stack Hub?
O Azure Stack Hub está introduzindo as três novas SKUs descritas neste artigo como parte do recurso Caminho Rápido da VPN. Anteriormente, os túneis S2S eram limitados a uma largura de banda máxima de 200 Mbps usando o SKU HighPerformance. Os novos SKUs permitem cenários de cliente nos quais uma taxa de transferência de rede mais alta é necessária. Os valores de taxa de transferência para cada SKU são valores unidirecionais, o que significa que ele dá suporte à taxa de transferência fornecida no tráfego de envio ou recebimento.
Quando o operador do Azure Stack habilita o recurso caminho rápido de VPN em um carimbo do Azure Stack Hub, os usuários do locatário podem criar gateways de rede virtual usando as novas SKUs. Você pode ajustar as configurações existentes recriando o gateway de rede virtual e suas conexões com uma das novas SKUs.
Novos SKUs de gateways de rede virtual disponíveis quando o Caminho Rápido da VPN está habilitado
Além dos três novos SKUs, a capacidade geral de VPN do Azure Stack Hub aumenta, permitindo mais conexões VPN.
A tabela a seguir mostra a nova taxa de transferência para cada SKU quando o Caminho Rápido da VPN está habilitado:
| SKU | Taxa de transferência máxima da conexão VPN |
|---|---|
| Basic | Tx/Rx de 100 Mbps |
| Standard | Tx/Rx de 100 Mbps |
| Alto desempenho | Tx/Rx de 200 Mbps |
| VpnGwy1 | Tx/Rx de 650 Mbps |
| VpnGwy2 | Tx/Rx de 1000 Mbps |
| VpnGwy3 | Tx/Rx de 1250 Mbps |
Criar gateways de rede virtual para usar os novos SKUs
Com o Caminho Rápido da VPN, os usuários de locatário podem criar gateways de rede virtual com as novas SKUs usando o portal do Azure Stack Hub ou o PowerShell.
Criar gateways de rede virtual com novas SKUs usando o portal do Azure Stack Hub
Se você usar o portal do Azure Stack Hub para criar um gateway de rede virtual, poderá selecionar o SKU usando a lista suspensa. As novas SKUs de Caminho Rápido de VPN (VpnGwy1, VpnGwy2, VpnGwy3) só ficam visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" à URL e à atualização.
O exemplo de URL a seguir torna as novas SKUs de gateway de rede virtual visíveis no portal do usuário do Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes que o operador crie esses recursos, ele deve habilitar o Caminho Rápido da VPN no carimbo do Azure Stack Hub:
Criar gateways de rede virtual com novas SKUs usando o PowerShell
O exemplo a seguir usa os módulos do AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Atualizando gateways de rede virtual herdados
Não é possível atualizar o SKU sem recriar o gateway de rede virtual, o que exige que você exclua todas as conexões associadas ao gateway de rede virtual. Você pode reutilize os recursos do gateway de rede local depois de criar um gateway de rede virtual com o novo SKU. O recurso de gateway de rede local define o espaço de endereço e o endereço IP do dispositivo local e mantém essa configuração.
Siga estas etapas para atualizar SKUs de gateway de rede virtual:
- Exclua todas as conexões no gateway de rede virtual existente: anote a chave pré-compartilhada e se o sinalizador BGP está definido como habilitado.
- Exclua o gateway de rede virtual existente usando o SKU herdado: não é possível criar dois gateways de rede virtual na mesma rede virtual, portanto, você deve excluir o existente.
- Crie um novo recurso de gateway de rede virtual com o novo SKU: você pode selecionar um dos novos SKUs habilitados com o Caminho Rápido da VPN.
- Crie uma nova conexão entre o novo gateway de rede virtual e o gateway de rede local existente: se você estiver usando uma política de IP s personalizada, crie a conexão por meio do PowerShell. Use a chave pré-compartilhada e o sinalizador BGP anotados na etapa 1.
- Repita a etapa 4 para todas as outras conexões que você deseja mover para o novo SKU: essa etapa é relevante para cenários de vários sites.
Topologias de conexão VPN
Há configurações diferentes disponíveis para gateways de VPN. Determine qual configuração melhor atende às suas necessidades. Nas seções a seguir, você pode exibir informações e diagramas de topologia sobre os seguintes cenários de gateway de VPN:
- Conexões site a site
- Conexões site a site
- Conexões site a site ou site a site entre selos do Azure Stack Hub
Os diagramas e descrições nas seções a seguir podem ajudá-lo a selecionar uma topologia de conexão para corresponder aos seus requisitos. Os diagramas mostram as topologias de linha de base main, mas é possível criar configurações mais complexas usando os diagramas como guia.
Conexões site a site
Uma conexão de gateway de VPN S2S ( site a site ) é uma conexão por túnel VPN IPsec/IKE (IKEv2). Esse tipo de conexão requer um dispositivo VPN localizado localmente e recebe um endereço IP público.
Conexões site a site
Uma topologia site a site é uma variação da topologia site a site. Você pode criar mais de uma conexão de VPN em seu gateway de rede virtual, normalmente se conectando a vários sites locais.
Conexões site a site ou site a site entre selos do Azure Stack Hub
Você só pode criar uma conexão VPN site a site entre duas implantações do Azure Stack Hub. Essa restrição ocorre devido a uma limitação na plataforma que permite apenas uma única conexão VPN com o mesmo endereço IP. Como o Azure Stack Hub usa o gateway multilocatário, que tem um único IP público para todos os gateways de VPN no sistema do Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas do Azure Stack Hub. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway de VPN que use um único endereço IP. O Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.
O diagrama a seguir mostra como você pode interconectar vários selos do Azure Stack Hub se precisar criar uma topologia de malha entre selos. Nesse cenário, há três selos do Azure Stack Hub e cada um deles tem 1 gateway de rede virtual com 2 conexões e 2 gateways de rede local. Com os novos SKUs, os usuários podem conectar redes e cargas de trabalho entre selos com taxa de transferência de conexões VPN de até 1250 Mbps Tx/Rx, alocando 50% da capacidade do Pool de Gateway de cada selo. A capacidade restante em cada selo pode ser usada para mais conexões VPN necessárias para outros casos de uso:
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de