Criar gateways de VPN para o Hub de Azure StackCreate VPN gateways for Azure Stack Hub

Antes de enviar o tráfego de rede entre sua rede virtual do Azure e seu site local, você deve criar um gateway de rede virtual (VPN) para sua rede virtual.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Um gateway de VPN é um tipo de gateway de rede virtual que envia o tráfego criptografado em uma conexão pública.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Você pode usar gateways de VPN para enviar tráfego com segurança entre uma rede virtual no Hub Azure Stack e uma rede virtual no Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub and a virtual network in Azure. Você também pode enviar tráfego com segurança entre uma rede virtual e outra rede conectada a um dispositivo VPN.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Ao criar um gateway de rede virtual, especifique o tipo de gateway que você deseja criar.When you create a virtual network gateway, you specify the gateway type that you want to create. O Hub de Azure Stack dá suporte a um tipo de gateway de rede virtual: o tipo de VPN .Azure Stack Hub supports one type of virtual network gateway: the Vpn type.

Cada rede virtual pode ter dois gateways de rede virtual, mas somente um de cada tipo.Each virtual network can have two virtual network gateways, but only one of each type. Dependendo das configurações que você escolher, é possível criar várias conexões a um único gateway de VPN.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Um exemplo desse tipo de instalação é uma configuração de conexão multissite.An example of this kind of setup is a multi-site connection configuration.

Antes de criar e configurar gateways de VPN para Azure Stack Hub, examine as considerações para Azure Stack rede de Hub para saber como as configurações para o hub de Azure Stack diferem do Azure.Before you create and configure VPN gateways for Azure Stack Hub, review the considerations for Azure Stack Hub networking to learn how configurations for Azure Stack Hub differ from Azure.

Observação

No Azure, a taxa de transferência de largura de banda para o SKU de gateway de VPN escolhido deve ser dividida em todas as conexões conectadas ao gateway.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. No Hub Azure Stack no entanto, o valor da largura de banda para o SKU do gateway de VPN é aplicado a cada recurso de conexão que está conectado ao gateway.In Azure Stack Hub however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway.

Por exemplo:For example:

  • No Azure, o SKU do gateway de VPN básico pode acomodar aproximadamente 100 Mbps de taxa de transferência agregada.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Se você criar duas conexões com esse gateway de VPN e uma conexão estiver usando 50 Mbps de largura de banda, 50 Mbps estará disponível para a outra conexão.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • No Hub Azure Stack, cada conexão com o SKU de gateway de VPN básico é alocada 100 Mbps de taxa de transferência.In Azure Stack Hub, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Configurando um gateway de VPNConfiguring a VPN gateway

Uma conexão de gateway de VPN depende de vários recursos que são configurados com configurações específicas.A VPN gateway connection relies on several resources that are configured with specific settings. A maioria desses recursos pode ser configurada separadamente, mas, em alguns casos, eles devem ser configurados em uma ordem específica.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

ConfiguraçõesSettings

As configurações escolhidas para cada recurso são críticas para a criação de uma conexão bem-sucedida.The settings that you choose for each resource are critical for creating a successful connection.

Para obter informações sobre recursos individuais e configurações para um gateway de VPN, consulte sobre as configurações de gateway de VPN para Azure Stack Hub.For information about individual resources and settings for a VPN gateway, see About VPN gateway settings for Azure Stack Hub. Este artigo ajuda você a entender:This article helps you understand:

  • Tipos de gateway, tipos de VPN e tipos de conexão.Gateway types, VPN types, and connection types.
  • Sub-redes de gateway, gateways de rede local e outras configurações de recursos que você talvez queira considerar.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Ferramentas de implantaçãoDeployment tools

Você pode criar e configurar recursos usando uma ferramenta de configuração, como o portal do Azure.You can create and configure resources using one configuration tool, such as the Azure portal. Posteriormente, você pode alternar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes quando aplicável.Later, you might switch to another tool such as PowerShell to configure additional resources or modify existing resources when applicable. No momento, não é possível configurar cada recurso e configuração de recurso no portal do Azure.Currently, you cannot configure every resource and resource setting in the Azure portal. As instruções nos artigos para cada topologia de conexão especificam quando uma ferramenta de configuração específica é necessária.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Diagramas de topologia de conexãoConnection topology diagrams

Há diferentes configurações disponíveis para conexões de gateway de VPN.There are different configurations available for VPN gateway connections. Determine qual configuração atende melhor às suas necessidades.Determine which configuration best fits your needs. Nas seções a seguir, você pode exibir informações e diagramas de topologia sobre as seguintes conexões de gateway de VPN:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • Modelo de implantação disponívelAvailable deployment model
  • Ferramentas de configuração disponíveisAvailable configuration tools
  • Links que levam você diretamente a um artigo, se disponívelLinks that take you directly to an article, if available

Os diagramas e as descrições nas seções a seguir podem ajudá-lo a selecionar uma topologia de conexão para corresponder às suas necessidades.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. Os diagramas mostram as principais topologias de linha de base, mas é possível criar configurações mais complexas usando os diagramas como guia.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Site a site e multissite (túnel VPN IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Site a siteSite-to-site

Uma conexão de gateway de VPN site a site (S2S) é uma conexão por túnel VPN IPSec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Esse tipo de conexão requer um dispositivo VPN que está localizado no local e é atribuído a um endereço IP público.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Este dispositivo não pode ser localizado atrás de um NAT.This device cannot be located behind a NAT. As conexões S2S podem ser usadas para configurações entre instalações e híbridas.S2S connections can be used for cross-premises and hybrid configurations.

Exemplo de configuração de conexão VPN site a site

Vários sitesMulti-site

Uma conexão multissite é uma variação da conexão site a site.A multi-site connection is a variation of the site-to-site connection. Você pode criar mais de uma conexão de VPN em seu gateway de rede virtual, normalmente se conectando a vários sites locais.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Ao trabalhar com várias conexões, você deve usar um tipo de VPN baseado em rota (conhecido como um gateway dinâmico ao trabalhar com o VNets clássico).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Como cada rede virtual pode ter apenas um gateway de VPN, todas as conexões por meio do gateway compartilham a largura de banda disponível.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Exemplo de conexão Multissite do Gateway de VPN do Azure

SKUs de gatewayGateway SKUs

Ao criar um gateway de rede virtual para Azure Stack Hub, você especifica o SKU de gateway que deseja usar.When you create a virtual network gateway for Azure Stack Hub, you specify the gateway SKU that you want to use. Há suporte para os seguintes SKUs de gateway de VPN:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • Alto DesempenhoHigh Performance

Quando você seleciona um SKU de gateway mais alto, como Standard sobre básico ou alto desempenho em relação ao Standard ou básico, mais CPUs e largura de banda de rede são alocadas para o gateway.When you select a higher gateway SKU, such as Standard over Basic, or High Performance over Standard or Basic, more CPUs and network bandwidth are allocated to the gateway. Como resultado, o gateway pode dar suporte a uma taxa de transferência de rede maior para a rede virtual.As a result, the gateway can support higher network throughput to the virtual network.

O Hub de Azure Stack não dá suporte para o SKU de gateway de ultra desempenho, que é usado exclusivamente com a rota expressa.Azure Stack Hub does not support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Ao selecionar o SKU, considere o seguinte:Consider the following when you select the SKU:

  • O Hub de Azure Stack não oferece suporte a gateways baseados em políticas.Azure Stack Hub does not support policy-based gateways.
  • Não há suporte para Border Gateway Protocol (BGP) no SKU básico.Border Gateway Protocol (BGP) is not supported on the Basic SKU.
  • ExpressRoute-não há suporte para configurações coexistentes do gateway de VPN no Azure Stack Hub.ExpressRoute-VPN gateway coexisting configurations are not supported in Azure Stack Hub.

Disponibilidade do gatewayGateway availability

Cenários de alta disponibilidade só podem ser configurados na SKU de conexão do Gateway de alto desempenho .High availability scenarios can only be configured on the High Performance Gateway connection SKU. Ao contrário do Azure, que fornece disponibilidade por meio de configurações ativo/ativo e ativo/passivo, Azure Stack Hub dá suporte apenas à configuração ativa/passiva.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub only supports the active/passive configuration.

FailoverFailover

Há três VMs de infraestrutura de gateway de vários locatários no Hub Azure Stack.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub. Duas dessas VMs estão no modo ativo e a terceira está no modo redundante.Two of these VMs are in active mode, and the third is in redundant mode. As VMs ativas permitem a criação de conexões VPN nelas, e a VM redundante só aceita conexões VPN se ocorrer um failover.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Se uma VM de gateway ativa ficar indisponível, a conexão VPN passará por failover para a VM redundante após um curto período (alguns segundos) de perda de conexão.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Taxa de transferência agregada estimada por SKUEstimated aggregate throughput by SKU

A tabela a seguir mostra os tipos de gateway e a taxa de transferência agregada estimada por SKU de gateway:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Taxa de transferência de Gateway de VPN (1)VPN Gateway throughput (1) Túneis IPsec máximo de Gateway de VPN (2)VPN Gateway max IPsec tunnels (2)
SKU básico (3)Basic SKU (3) 100 Mbps100 Mbps 2020
SKU padrãoStandard SKU 100 Mbps100 Mbps 2020
SKU de Alto DesempenhoHigh Performance SKU 200 Mbps200 Mbps 1010

Notas da tabelaTable notes

(1) -a taxa de transferência de VPN não é uma taxa de transferência garantida para conexões entre locais na Internet.(1) - VPN throughput is not a guaranteed throughput for cross-premises connections across the internet. É a medida de taxa de transferência máxima possível.It is the maximum possible throughput measurement.
(2) -o máximo de túneis é o total por implantação de Hub de Azure Stack para todas as assinaturas.(2) - Max tunnels is the total per Azure Stack Hub deployment for all subscriptions.
(3) -o roteamento BGP não tem suporte para o SKU básico.(3) - BGP routing is not supported for the Basic SKU.

Observação

Somente uma conexão VPN site a site pode ser criada entre duas implantações de Hub Azure Stack.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Isso ocorre devido a uma limitação na plataforma que permite apenas uma única conexão VPN com o mesmo endereço IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Como o Hub de Azure Stack aproveita o gateway multilocatário, que usa um único IP público para todos os gateways de VPN no sistema Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas de Hub de Azure Stack.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway de VPN que usa um único endereço IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Próximas etapasNext steps