Создание VPN-шлюзов для Azure Stack Hub
Прежде чем начать обмен сетевым трафиком между виртуальной сетью Azure и локальным сайтом, необходимо создать шлюз для виртуальной сети.
VPN-шлюз — это тип шлюза виртуальной сети, который отправляет зашифрованный трафик через общедоступное подключение. VPN-шлюзы можно использовать для безопасного обмена трафиком между виртуальной сетью в Azure Stack Hub и виртуальной сетью в Azure. Вы также можете безопасно отправлять трафик между виртуальной сети и другой сетью, подключенной к VPN-устройству.
При создании шлюза виртуальной сети нужно указать тип шлюза, который вы хотите использовать. Azure Stack Hub поддерживает только один тип шлюза виртуальной сети — VPN.
У каждой виртуальной сети может быть два шлюза виртуальной сети, но обязательно разных типов. В зависимости от выбранных параметров можно создать несколько подключений к одному VPN-шлюзу. Примером такой конфигурации является многосайтовое подключение.
Перед созданием и настройкой VPN-шлюзов для Azure Stack Hub просмотрите рекомендации по работе с сетями Azure Stack Hub, чтобы понять отличия в конфигурациях для Azure Stack Hub и Azure.
Примечание
В Azure пропускная способность для выбранного номера SKU VPN-шлюза должна разделяться между всеми подключениями к шлюзу. Однако в Azure Stack Hub значение пропускной способности для номера SKU VPN-шлюза применяется к каждому ресурсу подключения, подключенному к шлюзу.
Пример:
- В Azure номер SKU "Базовый" VPN-шлюза может включать приблизительно 100 Мбит/с суммарной пропускной способности. Если создать два подключения к этому VPN-шлюзу, для одного из которых используется 50 Мбит/с пропускной способности, то для другого будет доступно 50 Мбит/с.
- В Azure Stack Hub на каждое подключение к VPN-шлюзу с SKU уровня "Базовый" выделяется пропускная способность 100 Мбит/с.
Настройка VPN-шлюза
При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. Большинство этих ресурсов можно настроить по отдельности, но в некоторых случаях их следует настраивать в определенном порядке.
Настройки
Параметры, выбранные для каждого ресурса, являются критически важными для успешного создания подключения.
Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Настройка параметров VPN-шлюза для Azure Stack Hub. В этой статье подробно описываются:
- типы шлюзов, типы VPN и типы подключений;
- подсети шлюзов, локальные сетевые шлюзы и другие параметры ресурсов, которые стоит рассмотреть.
Средства развертывания
Создать и настроить ресурсы можно с помощью одного средства настройки, например портала Azure. Затем с помощью другого инструмента, например PowerShell, можно настроить дополнительные ресурсы или при необходимости изменить существующие. Сейчас на портале Azure можно настроить не все ресурсы и их параметры. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.
Схемы топологий подключения
Существуют различные конфигурации подключения к VPN-шлюзу. Определите, какая из конфигураций наилучшим образом соответствует вашим требованиям. Далее приведены сведения и топологии для следующих типов подключения VPN-шлюза:
- доступная модель развертывания;
- доступные средства настройки;
- ссылки, по которым можно перейти непосредственно к соответствующей статье (если она есть).
Представленные в следующих разделах схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.
Подключение типа "сеть — сеть" и многосайтовое подключение (через VPN-туннель IPsec/IKE)
Подключение типа сайт — сайт
Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес. Это устройство не может располагаться вне преобразования сетевых адресов (NAT). Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций.
Многосайтовые подключения
Многосайтовое подключение является вариантом подключения типа "сеть — сеть". В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам. При работе с несколькими подключениями следует использовать VPN на основе маршрутов (динамический шлюз для работы с классическими виртуальными сетями). Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения.
Артикулы шлюзов
При создании шлюза виртуальной сети для Azure Stack Hub нужно указать номер SKU шлюза, который необходимо использовать. Поддерживаются следующие номера SKU VPN-шлюзов:
- Basic
- Standard
- высокопроизводительная
Если выбрать SKU шлюза более высокого уровня, например, "Стандартный" вместо "Базовый" либо "Высокопроизводительный" вместо "Стандартный" или "Базовый", то для шлюза выделяется больше ЦП и дополнительная пропускная способность сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Azure Stack Hub не поддерживает номер SKU сверхпроизводительного шлюза, который используется исключительно с ExpressRoute.
При выборе номера SKU учитывайте следующие факторы.
- Azure Stack Hub не поддерживает шлюзы на основе политик.
- Протокол BGP не поддерживается в SKU "Базовый".
- В Azure Stack Hub не поддерживается одновременное использование конфигураций VPN-шлюзов и ExpressRoute.
Доступность шлюза
Сценарии высокого уровня доступности можно настроить только для SKU подключения к высокопроизводительному шлюзу. В отличие от облака Azure, которое обеспечивает доступность в конфигурации "активный — активный" и "активный — пассивный", Azure Stack Hub поддерживает только конфигурации "активный — пассивный".
Отработка отказа
В Azure Stack Hub доступны три виртуальные машины инфраструктуры мультитенантного шлюза. Две из этих виртуальных машин работают в активном режиме, а третья — в избыточном. Активные виртуальные машины позволяют создавать на них VPN-подключения, а избыточная виртуальная машина принимает VPN-подключения только в случае отработки отказа. Если активная виртуальная машина шлюза становится недоступной, VPN-подключение через некоторое время после утраты связи (несколько секунд) выполняет отработку отказа на избыточную виртуальную машину.
Отработка отказа шлюза ожидается во время изготовителя оборудования или обновления Azure Stack Hub, так как виртуальные машины обновляются и переносятся в режиме реального времени. Это может привести к временному отключению туннелей.
Предполагаемая совокупная пропускная способность туннеля по номеру SKU
В следующей таблице показаны типы шлюзов и предполагаемая совокупная пропускная способность для каждого туннеля или подключения по номеру SKU шлюза:
| пропускная способность Tunnel (1) | Максимальное число туннелей IPsec для VPN-шлюза (2) | |
|---|---|---|
| Номер SKU "Базовый"(3) | 100 Мбит/с | 20 |
| SKU "Стандартный" | 100 Мбит/с | 20 |
| SKU "Высокопроизводительный" | 200 Мбит/с | 10 |
Примечания к таблице
(1) — Tunnel пропускная способность не является гарантированной пропускной способностью для распределенных подключений через Интернет. Это максимально возможное значение пропускной способности. Общий статистический показатель составляет 2 Гбит/с.
(2) Максимальное количество туннелей на каждое развертывание Azure Stack Hub для всех подписок.
(3) Маршрутизация BGP не поддерживается для SKU "Базовый".
Примечание
Между двумя развертываниями Azure Stack Hub можно создать только одно VPN-подключение "сеть — сеть". Это связано с ограничением платформы, в соответствии с которым разрешается создавать только одно VPN-подключение с использованием одного и того же IP-адреса. Так как Azure Stack Hub использует мультитенантный шлюз, который, в свою очередь, использует один общедоступный IP-адрес для всех VPN-шлюзов в системе Azure Stack Hub, там можно создать только одно VPN-подключение между двумя системами Azure Stack Hub. Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес. В Azure Stack Hub нельзя создать несколько локальных ресурсов сетевого шлюза с использованием одного и того же IP-адреса.