O que é o Gateway de VPN?

Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública. Você também pode usar um gateway de VPN para enviar tráfego criptografado entre as redes virtuais do Azure pela rede da Microsoft. Uma rede virtual pode ter apenas um gateway de VPN. No entanto, você pode criar várias conexões com o mesmo gateway de VPN. Quando você cria várias conexões com o mesmo gateway de VPN, todos os túneis de VPN compartilham a largura de banda de gateway disponível.

O que é um gateway da rede virtual?

Um gateway de rede virtual é composto por duas ou mais máquinas virtuais implantadas em uma sub-rede específica chamada de sub-rede de gateway. As VMs de gateway de rede virtual são configuradas para conter tabelas de roteamento e executar serviços de gateway específicos. Essas VMs são criadas quando você cria o gateway de rede virtual. Não é possível configurar diretamente as VMs que fazem parte do gateway de rede virtual.

Ao configurar um gateway de rede virtual, você define uma configuração que especifica o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual será usado e as ações que o gateway realiza. O tipo de gateway 'VPN' especifica que o tipo de gateway de rede virtual criado é o 'gateway de VPN'. Isso o distingue de um gateway de ExpressRoute, que usa um tipo de gateway diferente. Uma rede virtual pode ter dois gateways de rede virtual: um gateway de VPN e um gateway de ExpressRoute. Para obter mais informações, consulte Tipos de gateway.

Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Quando você cria um gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações especificadas. Depois de criar um gateway de VPN, você pode criar uma conexão de túnel de VPN IPsec/IKE entre o gateway de VPN e o outro gateway de VPN (rede virtual a rede virtual), ou criar uma conexão de túnel de VPN IPsec/IKE entre locais, entre o gateway de VPN e um dispositivo VPN local (Site a Site). Você também pode criar uma conexão VPN Ponto a Site (VPN sobre OpenVPN, IKEv2 ou SSTP), que permite a você se conectar à sua rede virtual de um local remoto, como de uma conferência ou em casa.

Configurando um Gateway de VPN

Uma conexão de gateway VPN conta com vários recursos que são configurados com definições específicas. A maioria dos recursos pode ser configurada separadamente, embora alguns deles devam ser configurados em determinada ordem.

Design

É importante saber que há diferentes configurações disponíveis para conexões de gateway de VPN. Você precisa determinar qual configuração melhor atende às suas necessidades. Por exemplo, as conexões ponto a site, site a site e de ExpressRoute/site a site coexistentes têm diferentes instruções e requisitos de configuração. Para obter informações sobre design e para exibir diagramas de topologia de conexão, confira Design.

Tabela de planejamento

A tabela a seguir pode ajudá-lo a decidir a melhor opção de conectividade para sua solução.

Ponto a Site Site a site ExpressRoute
Serviços com Suporte no Azure Serviços de Nuvem e Máquinas Virtuais Serviços de Nuvem e Máquinas Virtuais Lista de serviços
Larguras de Banda Típicas Com base na SKU do gateway Normalmente < 1 Gbps agregado 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps e 10 Gbps
Protocolos com Suporte SSTP (Secure Sockets Tunneling Protocol), OpenVPN e IPsec IPsec Conexão direta pelas tecnologias VLANs e VPN do NSP (MPLS, VPLS...)
Roteamento RouteBased (dinâmico) Damos suporte a PolicyBased (roteamento estático) e RouteBased (VPN de roteamento dinâmico) BGP
Resiliência de conexão ativo-passivo ativo-passivo ou ativo-ativo ativo-ativo
Caso de uso típico Proteger o acesso às redes virtuais do Azure para usuários remotos Cenários de desenvolvimento/teste/laboratório e cargas de trabalho de produção em pequena e média escala para serviços de nuvem e máquinas virtuais Acesso a todos os serviços do Azure (lista validada), cargas de trabalho essenciais e em nível Empresarial, Backup, Big Data e Azure como um site de DR
SLA SLA SLA SLA
Preços Preços Preços Preços
Documentação Técnica Documentação de Gateway de VPN Documentação de Gateway de VPN Documentação do ExpressRoute
perguntas frequentes Perguntas frequentes de gateway de VPN Perguntas frequentes de gateway de VPN Perguntas Frequentes sobre ExpressRoute

Configurações

As configurações que você escolheu para cada recurso são essenciais para a criação de uma conexão bem-sucedida. Para obter informações sobre os recursos individuais e as configurações do Gateway de VPN, consulte Sobre as configurações do Gateway de VPN. Este artigo contém informações para ajudar você a entender tipos de gateway, SKUs de gateway, tipos de VPN, tipos de conexão, sub-redes de gateway, gateways de rede local e várias outras configurações de recursos que você possa considerar.

Ferramentas de implantação

Você pode começar criando e configurando os recursos usando uma ferramenta de configuração, como o portal do Azure. Você pode decidir trocar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes, quando aplicável. Atualmente, não é possível configurar cada recurso e definição de recursos no portal do Azure. As instruções nos artigos para cada topologia de conexão especificam quando uma ferramenta de configuração específica é necessária.

SKUs do Gateway

Ao criar um gateway de rede virtual, especifique a SKU do gateway que você deseja usar. Selecione as SKUs que atendem às suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, recursos e SLAs.

SKUs de gateway pelo túnel, a conexão e a taxa de transferência

Geração do
gateway de
VPN
SKU S2S/VNet para VNet
Túneis
P2S
Conexões SSTP
P2S
Conexões IKEv2/OpenVPN
Parâmetro de comparação
de taxa de transferência total
BGP Com redundância de zona
Geração1 Basic Máx. 10 Máx. 128 Sem suporte 100 Mbps Sem suporte Não
Geração1 VpnGw1 Máx. 30* Máx. 128 Máx. 250 650 Mbps Com suporte Não
Geração1 VpnGw2 Máx. 30* Máx. 128 Máx. 500 1 Gbps Com suporte Não
Geração1 VpnGw3 Máx. 30* Máx. 128 Máx. 1000 1,25 Gbps Com suporte Não
Geração1 VpnGw1AZ Máx. 30* Máx. 128 Máx. 250 650 Mbps Com suporte Sim
Geração1 VpnGw2AZ Máx. 30* Máx. 128 Máx. 500 1 Gbps Com suporte Sim
Geração1 VpnGw3AZ Máx. 30* Máx. 128 Máx. 1000 1,25 Gbps Com suporte Sim
Geração2 VpnGw2 Máx. 30* Máx. 128 Máx. 500 1,25 Gbps Com suporte Não
Geração2 VpnGw3 Máx. 30* Máx. 128 Máx. 1000 2,5 Gbps Com suporte Não
Geração2 VpnGw4 Máx. 30* Máx. 128 Máx. 5.000 5 Gbps Com suporte Não
Geração2 VpnGw5 Máx. 30* Máx. 128 Máx. 10000 10 Gbps Com suporte Não
Geração2 VpnGw2AZ Máx. 30* Máx. 128 Máx. 500 1,25 Gbps Com suporte Sim
Geração2 VpnGw3AZ Máx. 30* Máx. 128 Máx. 1000 2,5 Gbps Com suporte Sim
Geração2 VpnGw4AZ Máx. 30* Máx. 128 Máx. 5.000 5 Gbps Com suporte Sim
Geração2 VpnGw5AZ Máx. 30* Máx. 128 Máx. 10000 10 Gbps Com suporte Sim

(*) Use WAN Virtual se precisar de mais de 30 túneis de VPN S2S.

  • O redimensionamento de SKUs VpnGw é permitido dentro da mesma geração, com exceção do redimensionamento de SKU Basic. O SKU Basic é um SKU herdado e tem limitações de recursos. Para avançar da versão Basic para outro SKU VpnGw, você deve excluir o gateway de VPN do SKU Basic e criar um novo gateway com a combinação de tamanho de SKU e Geração desejada. Você só pode redimensionar um gateway Básico para outro SKU herdado (confira Como trabalhar com SKUs herdados).

  • Esses limites de conexão são separados. Por exemplo, você pode ter 128 conexões SSTP e 250 conexões IKEv2 em uma SKU VpnGw1.

  • Encontre informações sobre preços na página Preços .

  • As informações de SLA (contrato de nível de serviço) podem ser encontradas na página SLA.

  • Em um único túnel, uma taxa de transferência máxima de 1 Gbps pode ser alcançada. O parâmetro de comparação da taxa de transferência total na tabela acima se baseia nas medidas de vários túneis agregados por meio de um único gateway. O Benchmark Agregado de Taxa de Transferência para um Gateway de VPN é uma combinação de S2S + P2S. Se você tiver muitas conexões P2S, isso poderá afetar negativamente uma conexão S2S devido a limitações de taxa de transferência. O Parâmetro de Comparação de Taxa de Transferência Agregada não é uma taxa de transferência garantida devido às condições de tráfego de Internet e seus comportamentos de aplicativo.

Para ajudar nossos clientes a entender o desempenho relativo dos SKUs que usam algoritmos diferentes, usamos ferramentas iPerf e CTSTraffic disponíveis publicamente para medir o desempenho. A tabela abaixo lista os resultados dos testes de desempenho para os SKUs VpnGw de Geração 1. Como você pode ver, o melhor desempenho foi obtido quando usamos o algoritmo GCMAES256 para Criptografia e Integridade de IPsec. Obtivemos o desempenho médio quando usamos AES256 para Criptografia de IPsec e SHA256 para Integridade. Quando usamos DES3 para Criptografia de IPsec e SHA256 para Integridade, o desempenho foi menor.

Generation SKU Algoritmos
usados
Taxa de transferência
observada
Pacotes por segundo por túnel
observados
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50.000
50.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90.000
80.000
55.000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90.000
60.000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50.000
50.000
Geração1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90.000
80.000
55.000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90.000
60.000

Zonas de Disponibilidade

É possível implantar gateways de VPN em Zonas de Disponibilidade do Azure. Isso traz resiliência, escalabilidade e maior disponibilidade para gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure de falhas no nível na zona. Confira Sobre os gateways de rede virtual com redundância de zona nas Zonas de Disponibilidade do Azure.

Preços

Você paga por duas coisas: os custos de computação por hora para o gateway de rede virtual, e transferência de dados de saída do gateway de rede virtual. Encontre informações sobre preços na página Preços . Para obter os preços do SKU de gateway herdado, confira a página de preços do ExpressRoute e role a página até a seção Gateways de rede virtual.

Custos de computação do gateway de rede virtual
Cada gateway de rede virtual tem um custo de computação por hora. O preço tem base no SKU do gateway que você especifica ao criar um gateway de rede virtual. O custo é para o próprio gateway e complementa a transferência de dados que fluem através do gateway. O custo de uma configuração ativa-ativa é a mesma que ativa-passiva.

Custos de transferência de dados
Os custos de transferência de dados são calculados com base no tráfego de saída do gateway de rede virtual de origem.

  • Se você estiver enviando o tráfego para o seu dispositivo VPN local, ele será cobrado com a taxa de transferência de dados de saída da Internet.
  • Se você estiver enviando tráfego entre redes virtuais em regiões diferentes, os preços terão base na região.
  • Se você estiver enviando o tráfego somente entre redes virtuais que estão na mesma região, não haverá custo de dados. O tráfego entre VNets na mesma região é gratuito.

Para saber mais sobre as SKUs de gateway para Gateway de VPN, veja SKUs de Gateway.

Perguntas frequentes

Para perguntas frequentes sobre o gateway de VPN, consulte Perguntas frequentes sobre o gateway de VPN.

Novidades

Assine o RSS feed e veja as atualizações mais recentes dos recursos do Gateway de VPN na página Atualizações do Azure.

Próximas etapas