Caminho Rápido da VPN do Azure Stack Hub para utilizadores inquilinos
Qual é a funcionalidade Caminho Rápido da VPN do Azure Stack Hub?
O Azure Stack Hub está a introduzir os três novos SKUs descritos neste artigo como parte da funcionalidade Caminho Rápido de VPN. Anteriormente, os túneis S2S estavam limitados a uma largura de banda máxima de 200 Mbps com o SKU HighPerformance. Os novos SKUs permitem cenários de clientes nos quais é necessário um débito de rede mais elevado. Os valores de débito para cada SKU são valores unidirecionais, o que significa que suporta o débito especificado em enviar ou receber tráfego.
Quando o operador do Azure Stack ativa a funcionalidade Caminho Rápido de VPN num carimbo do Azure Stack Hub, os utilizadores inquilinos podem criar gateways de rede virtual com os novos SKUs. Pode ajustar as configurações existentes ao recriar o gateway de rede virtual e as respetivas ligações com um dos novos SKUs.
Novos SKUs de gateways de rede virtual disponíveis quando o Caminho Rápido de VPN está ativado
Além dos 3 novos SKUs, a capacidade geral de VPN do Azure Stack Hub aumenta, permitindo mais ligações VPN.
A tabela seguinte mostra o novo débito para cada SKU quando o Caminho Rápido de VPN está ativado:
| SKU | Débito máximo de Ligação VPN |
|---|---|
| Básica | 100 Mbps Tx/Rx |
| Standard | 100 Mbps Tx/Rx |
| Elevado Desempenho | 200 Mbps Tx/Rx |
| VpnGwy1 | Tx/Rx de 650 Mbps |
| VpnGwy2 | 1000 Mbps Tx/Rx |
| VpnGwy3 | 1250 Mbps Tx/Rx |
Criar gateways de rede virtual para utilizar os novos SKUs
Com o Caminho Rápido da VPN, os utilizadores inquilinos podem criar gateways de rede virtual com os novos SKUs com o portal do Azure Stack Hub ou o PowerShell.
Criar gateways de rede virtual com novos SKUs com o portal do Azure Stack Hub
Se utilizar o portal do Azure Stack Hub para criar um gateway de rede virtual, pode selecionar o SKU com a lista pendente. Os novos SKUs de Caminho Rápido de VPN (VpnGwy1, VpnGwy2, VpnGwy3) só são visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" ao URL e atualizar.
O exemplo de URL seguinte torna os novos SKUs de gateway de rede virtual visíveis no portal de utilizadores do Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes de o operador criar estes recursos, tem de ativar o Caminho Rápido da VPN no carimbo do Azure Stack Hub:
Criar gateways de rede virtual com novos SKUs com o PowerShell
O exemplo seguinte utiliza os módulos do AzureRM:
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
Atualizar gateways de rede virtual legados
Não pode atualizar o SKU sem recriar o gateway de rede virtual, o que requer que elimine todas as ligações associadas ao gateway de rede virtual. Pode reutilizar os recursos do gateway de rede local depois de criar um gateway de rede virtual com o novo SKU. O recurso de gateway de rede local define o espaço de endereços e o endereço IP do seu dispositivo no local e mantém essa configuração.
Siga estes passos para atualizar os SKUs do gateway de rede virtual:
- Elimine todas as ligações no gateway de rede virtual existente: anote a chave pré-partilhada e se o sinalizador BGP está definido como ativado.
- Elimine o gateway de rede virtual existente com o SKU legado: não é possível criar dois gateways de rede virtual na mesma rede virtual, pelo que tem de eliminar o existente.
- Crie um novo recurso de gateway de rede virtual com o novo SKU: pode selecionar um dos novos SKUs ativados com o Caminho Rápido de VPN.
- Crie uma nova ligação entre o novo gateway de rede virtual e o gateway de rede local existente: se estiver a utilizar uma política de seg de IP personalizada, crie a ligação através do PowerShell. Utilize a chave pré-partilhada e o sinalizador BGP indicados no passo 1.
- Repita o passo 4 para quaisquer outras ligações que pretenda mover para o novo SKU: este passo é relevante para cenários de vários sites.
Topologias de ligação VPN
Existem configurações diferentes disponíveis para gateways de VPN. Determine qual a configuração que melhor se adequa às suas necessidades. Nas secções seguintes, pode ver informações e diagramas de topologia sobre os seguintes cenários de gateway de VPN:
- Ligações site a site
- Ligações site a site
- Ligações site a site ou site a site entre selos do Azure Stack Hub
Os diagramas e descrições nas secções seguintes podem ajudá-lo a selecionar uma topologia de ligação que corresponda aos seus requisitos. Os diagramas mostram as principais topologias de linha de base, mas é possível criar configurações mais complexas com os diagramas como guia.
Ligações site a site
Uma ligação de gateway de VPN site a site (S2S) é uma ligação através do túnel VPN IPsec/IKE (IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local e que lhe é atribuído um endereço IP público.
Ligações site a site
Uma topologia site a site é uma variação da topologia site a site. Cria mais de uma ligação de VPN a partir do gateway de rede virtual, ligando, geralmente, a vários sites no local.
Ligações site a site ou site a site entre selos do Azure Stack Hub
Só pode criar uma ligação VPN site a site entre duas implementações do Azure Stack Hub. Esta restrição deve-se a uma limitação na plataforma que permite apenas uma única ligação VPN ao mesmo endereço IP. Uma vez que o Azure Stack Hub utiliza o gateway multi-inquilino, que tem um único IP público para todos os gateways de VPN no sistema do Azure Stack Hub, só pode haver uma ligação VPN entre dois sistemas do Azure Stack Hub. Esta limitação também se aplica à ligação de mais do que uma ligação VPN site a site a qualquer gateway de VPN que utilize um único endereço IP. O Azure Stack Hub não permite a criação de mais do que um recurso de gateway de rede local com o mesmo endereço IP.
O diagrama seguinte mostra como pode interligar vários selos do Azure Stack Hub se precisar de criar uma topologia de malha entre selos. Neste cenário, existem 3 selos do Azure Stack Hub e cada um deles tem 1 gateway de rede virtual com 2 ligações e 2 gateways de rede locais. Com os novos SKUs, os utilizadores podem ligar redes e cargas de trabalho entre selos com débito de ligações VPN até 1250 Tx/Rx de Mbps, atribuindo 50% da capacidade do Conjunto de Gateways de cada selo. A capacidade restante em cada selo pode ser utilizada para mais ligações VPN necessárias para outros casos de utilização:
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários