Создание VPN-шлюзов для Azure Stack HubCreate VPN gateways for Azure Stack Hub

Прежде чем начать обмен сетевым трафиком между виртуальной сетью Azure и локальным сайтом, необходимо создать шлюз для виртуальной сети.Before you can send network traffic between your Azure virtual network and your on-premises site, you must create a virtual network (VPN) gateway for your virtual network.

VPN-шлюз — это тип шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. VPN-шлюзы можно использовать для безопасного обмена трафиком между виртуальной сетью в Azure Stack Hub и виртуальной сетью в Azure.You can use VPN gateways to send traffic securely between a virtual network in Azure Stack Hub and a virtual network in Azure. Вы также можете безопасно отправлять трафик между виртуальной сети и другой сетью, подключенной к VPN-устройству.You can also send traffic securely between a virtual network and another network that is connected to a VPN device.

При создании шлюза виртуальной сети нужно указать тип шлюза, который вы хотите использовать.When you create a virtual network gateway, you specify the gateway type that you want to create. Azure Stack Hub поддерживает только один тип шлюза виртуальной сети — VPN.Azure Stack Hub supports one type of virtual network gateway: the Vpn type.

У каждой виртуальной сети может быть два шлюза виртуальной сети, но обязательно разных типов.Each virtual network can have two virtual network gateways, but only one of each type. В зависимости от выбранных параметров можно создать несколько подключений к одному VPN-шлюзу.Depending on the settings that you choose, you can create multiple connections to a single VPN gateway. Примером такой конфигурации является многосайтовое подключение.An example of this kind of setup is a multi-site connection configuration.

Перед созданием и настройкой VPN-шлюзов для Azure Stack Hub просмотрите рекомендации по работе с сетями Azure Stack Hub, чтобы понять отличия в конфигурациях для Azure Stack Hub и Azure.Before you create and configure VPN gateways for Azure Stack Hub, review the considerations for Azure Stack Hub networking to learn how configurations for Azure Stack Hub differ from Azure.

Примечание

В Azure пропускная способность для выбранного номера SKU VPN-шлюза должна разделяться между всеми подключениями к шлюзу.In Azure, the bandwidth throughput for the VPN gateway SKU you choose must be divided across all connections that are connected to the gateway. Однако в Azure Stack Hub значение пропускной способности для номера SKU VPN-шлюза применяется к каждому ресурсу подключения, подключенному к шлюзу.In Azure Stack Hub however, the bandwidth value for the VPN gateway SKU is applied to each connection resource that is connected to the gateway.

Пример:For example:

  • В Azure номер SKU "Базовый" VPN-шлюза может включать приблизительно 100 Мбит/с суммарной пропускной способности.In Azure, the basic VPN gateway SKU can accommodate approximately 100 Mbps of aggregate throughput. Если создать два подключения к этому VPN-шлюзу, для одного из которых используется 50 Мбит/с пропускной способности, то для другого будет доступно 50 Мбит/с.If you create two connections to that VPN gateway, and one connection is using 50 Mbps of bandwidth, then 50 Mbps is available to the other connection.
  • В Azure Stack Hub на каждое подключение к VPN-шлюзу с SKU уровня "Базовый" выделяется пропускная способность 100 Мбит/с.In Azure Stack Hub, each connection to the basic VPN gateway SKU is allocated 100 Mbps of throughput.

Настройка VPN-шлюзаConfiguring a VPN gateway

При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами.A VPN gateway connection relies on several resources that are configured with specific settings. Большинство этих ресурсов можно настроить по отдельности, но в некоторых случаях их следует настраивать в определенном порядке.Most of these resources can be configured separately, but in some cases they must be configured in a specific order.

НастройкиSettings

Параметры, выбранные для каждого ресурса, являются критически важными для успешного создания подключения.The settings that you choose for each resource are critical for creating a successful connection.

Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Настройка параметров VPN-шлюза для Azure Stack Hub.For information about individual resources and settings for a VPN gateway, see About VPN gateway settings for Azure Stack Hub. В этой статье подробно описываются:This article helps you understand:

  • типы шлюзов, типы VPN и типы подключений;Gateway types, VPN types, and connection types.
  • подсети шлюзов, локальные сетевые шлюзы и другие параметры ресурсов, которые стоит рассмотреть.Gateway subnets, local network gateways, and other resource settings that you might want to consider.

Средства развертыванияDeployment tools

Создать и настроить ресурсы можно с помощью одного средства настройки, например портала Azure.You can create and configure resources using one configuration tool, such as the Azure portal. Затем с помощью другого инструмента, например PowerShell, можно настроить дополнительные ресурсы или при необходимости изменить существующие.Later, you might switch to another tool such as PowerShell to configure additional resources or modify existing resources when applicable. Сейчас на портале Azure можно настроить не все ресурсы и их параметры.Currently, you cannot configure every resource and resource setting in the Azure portal. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Схемы топологий подключенияConnection topology diagrams

Существуют различные конфигурации подключения к VPN-шлюзу.There are different configurations available for VPN gateway connections. Определите, какая из конфигураций наилучшим образом соответствует вашим требованиям.Determine which configuration best fits your needs. Далее приведены сведения и топологии для следующих типов подключения VPN-шлюза:In the following sections, you can view information and topology diagrams about the following VPN gateway connections:

  • доступная модель развертывания;Available deployment model
  • доступные средства настройки;Available configuration tools
  • ссылки, по которым можно перейти непосредственно к соответствующей статье (если она есть).Links that take you directly to an article, if available

Представленные в следующих разделах схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями.The diagrams and descriptions in the following sections can help you select a connection topology to match your requirements. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guide.

Подключение типа "сеть — сеть" и многосайтовое подключение (через VPN-туннель IPsec/IKE)Site-to-site and multi-site (IPsec/IKE VPN tunnel)

Подключение типа сайт — сайтSite-to-site

Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv2).A site-to-site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv2) VPN tunnel. Для этого типа подключения требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес.This type of connection requires a VPN device that is located on-premises and is assigned a public IP address. Это устройство не может располагаться вне преобразования сетевых адресов (NAT).This device cannot be located behind a NAT. Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций.S2S connections can be used for cross-premises and hybrid configurations.

Пример конфигурации VPN-подключения "сеть — сеть"

Многосайтовые подключенияMulti-site

Многосайтовое подключение является вариантом подключения типа "сеть — сеть".A multi-site connection is a variation of the site-to-site connection. В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. При работе с несколькими подключениями следует использовать VPN на основе маршрутов (динамический шлюз для работы с классическими виртуальными сетями).When working with multiple connections, you must use a route-based VPN type (known as a dynamic gateway when working with classic VNets). Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth.

Пример многосайтового подключения через VPN-шлюз Azure

Артикулы шлюзовGateway SKUs

При создании шлюза виртуальной сети для Azure Stack Hub нужно указать номер SKU шлюза, который необходимо использовать.When you create a virtual network gateway for Azure Stack Hub, you specify the gateway SKU that you want to use. Поддерживаются следующие номера SKU VPN-шлюзов:The following VPN gateway SKUs are supported:

  • BasicBasic
  • StandardStandard
  • высокопроизводительнаяHigh Performance

Если выбрать SKU шлюза более высокого уровня, например, "Стандартный" вместо "Базовый" либо "Высокопроизводительный" вместо "Стандартный" или "Базовый", то для шлюза выделяется больше ЦП и дополнительная пропускная способность сети.When you select a higher gateway SKU, such as Standard over Basic, or High Performance over Standard or Basic, more CPUs and network bandwidth are allocated to the gateway. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.As a result, the gateway can support higher network throughput to the virtual network.

Azure Stack Hub не поддерживает номер SKU сверхпроизводительного шлюза, который используется исключительно с ExpressRoute.Azure Stack Hub does not support the Ultra Performance gateway SKU, which is used exclusively with Express Route.

При выборе номера SKU учитывайте следующие факторы.Consider the following when you select the SKU:

  • Azure Stack Hub не поддерживает шлюзы на основе политик.Azure Stack Hub does not support policy-based gateways.
  • Протокол BGP не поддерживается в SKU "Базовый".Border Gateway Protocol (BGP) is not supported on the Basic SKU.
  • В Azure Stack Hub не поддерживается одновременное использование конфигураций VPN-шлюзов и ExpressRoute.ExpressRoute-VPN gateway coexisting configurations are not supported in Azure Stack Hub.

Доступность шлюзаGateway availability

Сценарии высокого уровня доступности можно настроить только для SKU подключения к высокопроизводительному шлюзу.High availability scenarios can only be configured on the High Performance Gateway connection SKU. В отличие от облака Azure, которое обеспечивает доступность в конфигурации "активный — активный" и "активный — пассивный", Azure Stack Hub поддерживает только конфигурации "активный — пассивный".Unlike Azure, which provides availability through both active/active and active/passive configurations, Azure Stack Hub only supports the active/passive configuration.

Отработка отказаFailover

В Azure Stack Hub доступны три виртуальные машины инфраструктуры мультитенантного шлюза.There are three multi-tenant gateway infrastructure VMs in Azure Stack Hub. Две из этих виртуальных машин работают в активном режиме, а третья — в избыточном.Two of these VMs are in active mode, and the third is in redundant mode. Активные виртуальные машины позволяют создавать на них VPN-подключения, а избыточная виртуальная машина принимает VPN-подключения только в случае отработки отказа.Active VMs enable the creation of VPN connections on them, and the redundant VM only accepts VPN connections if a failover happens. Если активная виртуальная машина шлюза становится недоступной, VPN-подключение через некоторое время после утраты связи (несколько секунд) выполняет отработку отказа на избыточную виртуальную машину.If an active gateway VM becomes unavailable, the VPN connection fails over to the redundant VM after a short period (a few seconds) of connection loss.

Ожидаемая общая пропускная способность туннеля по SKUEstimated aggregate tunnel throughput by SKU

В следующей таблице показаны типы шлюзов и оценочная общая пропускная способность для каждого туннеля или подключения по SKU шлюза.The following table shows the gateway types and the estimated aggregate throughput for each tunnel/connection by gateway SKU:

Пропускная способность туннеля (1)Tunnel throughput (1) Максимальное число туннелей IPsec для VPN-шлюза (2)VPN Gateway max IPsec tunnels (2)
Номер SKU "Базовый" (3)Basic SKU (3) 100 Мбит/с100 Mbps 2020
SKU "Стандартный"Standard SKU 100 Мбит/с100 Mbps 2020
SKU "Высокопроизводительный"High Performance SKU 200 Мбит/с200 Mbps 1010

Примечания к таблицеTable notes

(1) — пропускная способность туннеля не обеспечивает гарантированную пропускную способность для подключений между организациями через Интернет.(1) - Tunnel throughput is not a guaranteed throughput for cross-premises connections across the internet. Это максимально возможное значение пропускной способности.It is the maximum possible throughput measurement.
(2) Максимальное количество туннелей на каждое развертывание Azure Stack Hub для всех подписок.(2) - Max tunnels is the total per Azure Stack Hub deployment for all subscriptions.
(3) Маршрутизация BGP не поддерживается для SKU "Базовый".(3) - BGP routing is not supported for the Basic SKU.

Примечание

Между двумя развертываниями Azure Stack Hub можно создать только одно VPN-подключение "сеть — сеть".Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Это связано с ограничением платформы, в соответствии с которым разрешается создавать только одно VPN-подключение с использованием одного и того же IP-адреса.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Так как Azure Stack Hub использует мультитенантный шлюз, который, в свою очередь, использует один общедоступный IP-адрес для всех VPN-шлюзов в системе Azure Stack Hub, там можно создать только одно VPN-подключение между двумя системами Azure Stack Hub.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. В Azure Stack Hub нельзя создать несколько локальных ресурсов сетевого шлюза с использованием одного и того же IP-адреса.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Дальнейшие действияNext steps