Criar gateways VPN para Azure Stack HubCreate VPN gateways for Azure Stack Hub

Antes de enviar tráfego de rede entre a sua rede virtual Azure e o seu site no local, tem de criar uma porta de entrada de rede virtual (VPN) para a sua rede virtual.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

Um gateway de VPN é um tipo de gateway de rede virtual que envia o tráfego encriptado através de uma ligação pública.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Pode utilizar gateways VPN para enviar tráfego de forma segura entre uma rede virtual no Azure Stack Hub e uma rede virtual em Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub and a virtual network in Azure. Também pode enviar tráfego de forma segura entre uma rede virtual e outra rede que esteja ligada a um dispositivo VPN.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

Quando cria um gateway de rede virtual, tem de especificar o tipo de gateway que pretende criar.When you create a virtual network gateway, you specify the gateway type that you want to create. O Azure Stack Hub suporta um tipo de gateway de rede virtual: o tipo Vpn.Azure Stack Hub supports one type of virtual network gateway: the Vpn type.

Cada rede virtual pode ter dois gateways de rede virtual, mas apenas um de cada tipo.Each virtual network can have two virtual network gateways, but only one of each type. Dependendo das definições que escolher, pode criar várias ligações para um gateway de VPN individual.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Um exemplo deste tipo de configuração é uma configuração de conexão multi-site.An example of this kind of setup is a multi-site connection configuration.

Antes de criar e configurar gateways VPN para Azure Stack Hub, reveja as considerações para a rede Azure Stack Hub para saber como as configurações para Azure Stack Hub diferem do Azure Stack Hub.Before you create and configure VPN gateways for Azure Stack Hub, review the considerations for Azure Stack Hub networking to learn how configurations for Azure Stack Hub differ from Azure.

Nota

Em Azure, a produção de largura de banda para o gateway VPN SKU que escolher deve ser dividida em todas as ligações que estão ligadas ao gateway.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. No Azure Stack Hub, no entanto, o valor de largura de banda para o gateway VPN SKU é aplicado a cada recurso de conexão que está ligado ao gateway.In Azure Stack Hub however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway.

Por exemplo:For example:

  • Em Azure, o gateway básico VPN SKU pode acomodar aproximadamente 100 Mbps de produção agregada.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Se criar duas ligações ao gateway VPN, e uma ligação estiver a utilizar 50 Mbps de largura de banda, então 50 Mbps estão disponíveis para a outra ligação.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • No Azure Stack Hub, cada ligação ao gateway básico VPN SKU é atribuída a 100 Mbps de produção.In Azure Stack Hub, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Configurar uma porta VPNConfiguring a VPN gateway

Uma ligação de gateway VPN baseia-se em vários recursos que estão configurados com configurações específicas.A VPN gateway connection relies on several resources that are configured with specific settings. A maioria destes recursos pode ser configurada separadamente, mas em alguns casos devem ser configurados por uma ordem específica.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

DefiniçõesSettings

As definições que escolhe para cada recurso são fundamentais para criar uma ligação bem sucedida.The settings that you choose for each resource are critical for creating a successful connection.

Para obter informações sobre recursos individuais e configurações para uma porta de entrada VPN, consulte as definições de gateway VPN para O Azure Stack Hub.For information about individual resources and settings for a VPN gateway, see About VPN gateway settings for Azure Stack Hub. Este artigo ajuda-o a compreender:This article helps you understand:

  • Tipos de gateway, tipos de VPN e tipos de conexão.Gateway types, VPN types, and connection types.
  • Sub-redes gateway, gateways de rede locais e outras definições de recursos que você deve considerar.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Ferramentas de implementaçãoDeployment tools

Pode criar e configurar recursos utilizando uma ferramenta de configuração, como o portal Azure.You can create and configure resources using one configuration tool, such as the Azure portal. Mais tarde, poderá mudar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar os recursos existentes quando aplicável.Later, you might switch to another tool such as PowerShell to configure additional resources or modify existing resources when applicable. Atualmente, não é possível configurar todos os recursos e configurações de recursos no portal Azure.Currently, you cannot configure every resource and resource setting in the Azure portal. As instruções nos artigos para cada topologia de ligação especificam quando uma ferramenta de configuração especifica é necessária.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Diagramas de topologia de ligaçãoConnection topology diagrams

Existem diferentes configurações disponíveis para ligações de gateway VPN.There are different configurations available for VPN gateway connections. Determine qual a configuração que melhor se adequa às suas necessidades.Determine which configuration best fits your needs. Nas seguintes secções, pode visualizar informações e diagramas de topologia sobre as seguintes ligações de gateway VPN:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • O modelo de implementação disponívelAvailable deployment model
  • As ferramentas de configuração disponíveisAvailable configuration tools
  • Ligações que o levam diretamente para um artigo, se disponívelLinks that take you directly to an article, if available

Os diagramas e descrições nas seguintes secções podem ajudá-lo a selecionar uma topologia de ligação para corresponder às suas necessidades.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. Os diagramas mostram as principais topologias de base, mas é possível construir configurações mais complexas usando os diagramas como guia.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Local-local e multi-local (túnel IPsec/IKE VPN)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Site a SiteSite-to-site

Uma ligação de gateway VPN local-to-site (S2S) é uma ligação sobre o túnel VPN IPsec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Este tipo de ligação requer um dispositivo VPN que está localizado no local e é atribuído um endereço IP público.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Este dispositivo não pode ser localizado atrás de um NAT.This device cannot be located behind a NAT. As ligações S2S podem ser utilizadas para configurações em vários locais e híbridas.S2S connections can be used for cross-premises and hybrid configurations.

Exemplo de configuração de ligação VPN local-a-local

Múltiplos sitesMulti-site

Uma ligação multi-local é uma variação da ligação site-to-site.A multi-site connection is a variation of the site-to-site connection. Cria mais de uma ligação de VPN a partir do gateway de rede virtual, ligando, geralmente, a vários sites no local.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Ao trabalhar com várias ligações, deve utilizar um tipo VPN baseado em rotas (conhecido como um gateway dinâmico ao trabalhar com VNets clássicos).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Uma vez que cada rede virtual só pode ter um gateway de VPN, todas as ligações através do mesmo partilham a largura de banda disponível.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Exemplo de ligação Multilocal de Gateway de VPN do Azure

SKUs de gatewayGateway SKUs

Quando criar uma porta de entrada de rede virtual para O Azure Stack Hub, especifica o gateway SKU que pretende utilizar.When you create a virtual network gateway for Azure Stack Hub, you specify the gateway SKU that you want to use. São suportados os seguintes SKUs de gateway VPN:The following VPN gateway SKUs are supported:

  • BásicaBasic
  • StandardStandard
  • Elevado DesempenhoHigh Performance

Quando seleciona um SKU de gateway mais alto, como o Standard over Basic, ou High Performance over Standard ou Basic, mais CPUs e largura de banda de rede são atribuídos ao gateway.When you select a higher gateway SKU, such as Standard over Basic, or High Performance over Standard or Basic, more CPUs and network bandwidth are allocated to the gateway. Como resultado, o gateway pode suportar uma produção de rede mais alta para a rede virtual.As a result, the gateway can support higher network throughput to the virtual network.

O Azure Stack Hub não suporta o Gateway SKU, que é utilizado exclusivamente com a Rota Expressa.Azure Stack Hub does not support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

Considere o seguinte quando selecionar o SKU:Consider the following when you select the SKU:

  • O Azure Stack Hub não suporta gateways baseados em políticas.Azure Stack Hub does not support policy-based gateways.
  • O Protocolo de Gateway fronteiriço (BGP) não é apoiado no SKU Básico.Border Gateway Protocol (BGP) is not supported on the Basic SKU.
  • As configurações de coexistência de gateway ExpressRoute-VPN não são suportadas no Azure Stack Hub.ExpressRoute-VPN gateway coexisting configurations are not supported in Azure Stack Hub.

Disponibilidade de gatewayGateway availability

Os cenários de alta disponibilidade só podem ser configurados na ligação SKU de Gateway de Alto Desempenho.High availability scenarios can only be configured on the High Performance Gateway connection SKU. Ao contrário do Azure, que fornece disponibilidade através de configurações ativas/ativas e ativas/passivas, o Azure Stack Hub apenas suporta a configuração ativa/passiva.Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub only supports the active/passive configuration.

Ativação pós-falhaFailover

Existem três VMs de porta de entrada multi-inquilinos em Azure Stack Hub.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub. Dois destes VMs estão em modo ativo, e o terceiro está em modo redundante.Two of these VMs are in active mode, and the third is in redundant mode. Os VM ativos permitem a criação de ligações VPN sobre eles, e o VM redundante só aceita ligações VPN se um failover acontecer.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Se um VM de gateway ativo ficar indisponível, a ligação VPN falha no VM redundante após um curto período (alguns segundos) de perda de ligação.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Débito agregado estimado por SKUEstimated aggregate throughput by SKU

A tabela a seguir mostra os tipos de gateway e a produção agregada estimada pelo gateway SKU:The following table shows the gateway types and the estimated aggregate throughput by gateway SKU:

Débito do VPN Gateway (1)VPN Gateway throughput (1) Máximo de túneis IPsec do VPN Gateway (2)VPN Gateway max IPsec tunnels (2)
SKU básico (3)Basic SKU (3) 100 Mbps100 Mbps 2020
SKU StandardStandard SKU 100 Mbps100 Mbps 2020
SKU de Elevado DesempenhoHigh Performance SKU 200 Mbps200 Mbps 1010

Notas de tabelaTable notes

(1) - A produção VPN não é uma produção garantida para ligações cruzadas através da Internet.(1) - VPN throughput is not a guaranteed throughput for cross-premises connections across the internet. É a medida de débito mais alta possível.It is the maximum possible throughput measurement.
(2) - Os túneis max são o total por Azure Stack Hub para todas as subscrições.(2) - Max tunnels is the total per Azure Stack Hub deployment for all subscriptions.
(3) - O encaminhamento de BGP não é suportado para o SKU básico.(3) - BGP routing is not supported for the Basic SKU.

Nota

Apenas uma ligação VPN site-to-site pode ser criada entre duas implementações do Azure Stack Hub.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Isto deve-se a uma limitação na plataforma que apenas permite uma única ligação VPN ao mesmo endereço IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Como o Azure Stack Hub aproveita o gateway multi-inquilino, que usa um único IP público para todos os gateways VPN no sistema Azure Stack Hub, pode haver apenas uma ligação VPN entre dois sistemas Azure Stack Hub.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Esta limitação também se aplica à ligação de mais de uma ligação VPN site-to-site a qualquer gateway VPN que utilize um único endereço IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. O Azure Stack Hub não permite criar mais de um recurso de gateway de rede local utilizando o mesmo endereço IP.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Passos seguintesNext steps