Сведения о VPN-шлюзеWhat is VPN Gateway?

VPN-шлюз — это особый тип шлюза виртуальной сети, используемый для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Каждая виртуальная сеть может иметь только один VPN-шлюз.Each virtual network can have only one VPN gateway. Однако к одному VPN-шлюзу можно создать несколько подключений.However, you can create multiple connections to the same VPN gateway. При создании нескольких подключений к одному VPN-шлюзу все VPN-туннели совместно используют доступную для этого шлюза пропускную способность.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

Что такое шлюз виртуальной сетиWhat is a virtual network gateway?

Шлюз виртуальной сети состоит из двух или более виртуальных машин, развернутых в определенной создаваемой подсети, которая называется подсетью шлюза.A virtual network gateway is composed of two or more VMs that are deployed to a specific subnet you create called the gateway subnet. Виртуальные машины шлюза виртуальной сети содержат таблицы маршрутизации и запускают определенные службы шлюза.Virtual network gateway VMs contain routing tables and run specific gateway services. Эти виртуальные машины создаются при создании шлюза виртуальной сети.These VMs are created when you create the virtual network gateway. Вы не можете напрямую настраивать виртуальные машины, которые являются частью шлюза виртуальной сети.You can't directly configure the VMs that are part of the virtual network gateway.

Одним из параметров, настраиваемых для шлюза виртуальной сети, является тип шлюза.One setting that you configure for a virtual network gateway is the gateway type. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети и какие действия он будет предпринимать.Gateway type specifies how the virtual network gateway will be used and the actions that the gateway takes. Тип шлюза "VPN" значит, что созданный шлюз виртуальной сети является VPN-шлюзом, а не шлюзом ExpressRoute.The gateway type 'Vpn' specifies that the type of virtual network gateway created is a 'VPN gateway', rather than an ExpressRoute gateway. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute — как и в случае с конфигурациями одновременных подключений.A virtual network can have two virtual network gateways; one VPN gateway and one ExpressRoute gateway - as is the case with coexisting connection configurations. Дополнительные сведения см. в разделе Типы шлюзов.For more information, see Gateway types.

VPN-шлюзы можно развернуть в Зонах доступности Azure.VPN gateways can be deployed in Azure Availability Zones. В результате шлюзы виртуальной сети смогут работать на более высоких уровнях отказоустойчивости, масштабируемости и доступности.This brings resiliency, scalability, and higher availability to virtual network gateways. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. Ознакомьтесь с разделом Избыточные между зонами шлюзы виртуальной сети в Зонах доступности Azure.see About zone-redundant virtual network gateways in Azure Availability Zones

Создание шлюза виртуальной сети может длиться до 45 минут.Creating a virtual network gateway can take up to 45 minutes to complete. При создании шлюза виртуальной сети связанные виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые указанные параметры.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Создав VPN-шлюз, вы можете создать подключение VPN-туннеля IPsec/IKE между этим и другим VPN-шлюзом (подключение "виртуальная сеть — виртуальная сеть") или создать распределенное подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством (подключение "сеть — сеть").After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). Вы также можете создать VPN-подключение типа "точка — сеть" (VPN-подключение по протоколу OpenVPN, IKEv2 или SSTP), которое позволяет подключиться к виртуальной сети из удаленного расположения, например во время конференции или из дома.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2, or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Настройка VPN-шлюзаConfiguring a VPN Gateway

При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами.A VPN gateway connection relies on multiple resources that are configured with specific settings. Большинство этих ресурсов можно настроить по отдельности, однако некоторые из них следует настраивать в определенном порядке.Most of the resources can be configured separately, although some resources must be configured in a certain order.

ПараметрыSettings

Правильный выбор параметров каждого ресурса критически важен для успешного создания подключения.The settings that you chose for each resource are critical to creating a successful connection. Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Сведения о параметрах VPN-шлюза.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. Эта статья содержит сведения о типах шлюзов, SKU шлюзов, типах VPN, типах подключения, подсетях шлюзов, локальных сетевых шлюзах и других интересующих параметрах ресурсов.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

Средства развертыванияDeployment tools

Создать и настроить ресурсы можно с помощью одного средства настройки, например портала Azure.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. Затем с помощью другого средства, например PowerShell, можно настроить дополнительные ресурсы или при необходимости внести изменения в имеющееся ресурсы.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. Сейчас на портале Azure можно настроить не все ресурсы и их параметры.Currently, you can't configure every resource and resource setting in the Azure portal. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Модель развертыванияDeployment model

Сейчас есть две модели развертывания для Azure.There are currently two deployment models for Azure. Действия при настройке VPN-шлюза зависят от модели развертывания, которая использовалась для создания виртуальной сети.When you configure a VPN gateway, the steps you take depend on the deployment model that you used to create your virtual network. Например, если для создания виртуальной сети вы использовали классическую модель развертывания, при создании и настройке параметров VPN-шлюза нужно придерживаться соответствующих рекомендаций и указаний.For example, if you created your VNet using the classic deployment model, you use the guidelines and instructions for the classic deployment model to create and configure your VPN gateway settings. Дополнительные сведения о моделях развертывания см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.For more information about deployment models, see Understanding Resource Manager and classic deployment models.

Таблица планированияPlanning table

Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения.The following table can help you decide the best connectivity option for your solution.

Точка-сетьPoint-to-Site Сеть-сетьSite-to-Site ExpressRouteExpressRoute
Поддерживаемые службы AzureAzure Supported Services Облачные службы и виртуальные машиныCloud Services and Virtual Machines Облачные службы и виртуальные машиныCloud Services and Virtual Machines Список службServices list
Типичные пропускные способностиTypical Bandwidths В зависимости от SKU шлюзаBased on the gateway SKU Обычно < 1 Гбит/с (совокупная)Typically < 1 Gbps aggregate 50 Мбит/с, 100 Мбит/с, 200 Мбит/с, 500 Мбит/с, 1 Гбит/с, 2 Гбит/с, 5 Гбит/с, 10 Гбит/с50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Поддерживаемые протоколыProtocols Supported SSTP, OpenVPN и IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec IPsecIPsec Прямое подключение через виртуальные сети, технологии виртуальных частных сетей NSP (MPLS, VPLS)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
МаршрутизацияRouting На основе маршрутов (динамическая)RouteBased (dynamic) Мы поддерживаем маршрутизацию на основе политик (PolicyBased, статическая маршрутизация) и маршрутов (RouteBased, VPN с динамической маршрутизацией).We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
Устойчивость подключенияConnection resiliency Активное-пассивноеactive-passive "Активный — пассивный" или "активный —активный"active-passive or active-active Активное-активноеactive-active
Типичный случай использованияTypical use case Создание прототипов, сценарии разработки, тестирования и лабораторного использования для облачных служб и виртуальных машинPrototyping, dev / test / lab scenarios for cloud services and virtual machines Сценарии разработки, тестирования и лабораторного использования, а также маломасштабные рабочие нагрузки для облачных служб и виртуальных машинDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Доступ ко всем службам Azure (проверенный список), критически важные рабочие нагрузки и рабочие нагрузки корпоративного уровня, архивация, большие данные, Azure в качестве сайта аварийного восстановленияAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
СОГЛАШЕНИЕ ОБ УРОВНЕ ОБСЛУЖИВАНИЯSLA Соглашение об уровне обслуживанияSLA Соглашение об уровне обслуживанияSLA Соглашение об уровне обслуживанияSLA
ЦеныPricing ЦеныPricing ЦеныPricing ЦеныPricing
Техническая документацияTechnical Documentation Документация по VPN-шлюзамVPN Gateway Documentation Документация по VPN-шлюзамVPN Gateway Documentation Документация по ExpressRouteExpressRoute Documentation
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫFAQ VPN-шлюз: вопросы и ответыVPN Gateway FAQ VPN-шлюз: вопросы и ответыVPN Gateway FAQ Часто задаваемые вопросы об ExpressRouteExpressRoute FAQ

SKU шлюзовGateway SKUs

Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Подробные сведения о номерах SKU шлюзов, в том числе поддерживаемые возможности, инструкции по разработке и тестированию в рабочей среде, а также инструкции по настройке см. в разделе Gateway SKUs (SKU шлюзов).For more information about gateway SKUs, including supported features, production and dev-test, and configuration steps, see the VPN Gateway Settings - Gateway SKUs article. Сведения об устаревших SKU см. в статье Working with virtual network gateway SKUs (legacy SKUs) (Работа с SKU шлюзов виртуальных сетей (устаревшие SKU)).For Legacy SKU information, see Working with Legacy SKUs.

Номера SKU шлюзов в зависимости от количества туннелей и подключений, и пропускной способности шлюзовGateway SKUs by tunnel, connection, and throughput

Создание
шлюза
VPN
VPN
Gateway
Generation
SKUSKU Туннели
S2S или "виртуальная сеть — виртуальная сеть"
S2S/VNet-to-VNet
Tunnels
Подключение "точка — сеть"
SSTP-подключения
P2S
SSTP Connections
Подключения P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Эталонная агрегированная
пропускная способность
Aggregate
Throughput Benchmark
BGPBGP Избыточность между зонамиZone-redundant
Поколение1Generation1 базовая;Basic Макс.Max. 1010 Макс.Max. 128128 Не поддерживаетсяNot Supported 100 Мбит/с100 Mbps Не поддерживаетсяNot Supported НетNo
Поколение1Generation1 VpnGw1VpnGw1 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 250250 650 Мбит/с650 Mbps ПоддерживаютсяSupported НетNo
Поколение1Generation1 VpnGw2VpnGw2 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 500500 1 Гбит/с1 Gbps ПоддерживаютсяSupported НетNo
Поколение1Generation1 VpnGw3VpnGw3 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 1,25 Гбит/с1.25 Gbps ПоддерживаютсяSupported НетNo
Поколение1Generation1 VpnGw1AZVpnGw1AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 250250 650 Мбит/с650 Mbps ПоддерживаютсяSupported YesYes
Поколение1Generation1 VpnGw2AZVpnGw2AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 500500 1 Гбит/с1 Gbps ПоддерживаютсяSupported YesYes
Поколение1Generation1 VpnGw3AZVpnGw3AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 1,25 Гбит/с1.25 Gbps ПоддерживаютсяSupported YesYes
Поколение2Generation2 VpnGw2VpnGw2 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 500500 1,25 Гбит/с1.25 Gbps ПоддерживаютсяSupported НетNo
Поколение2Generation2 VpnGw3VpnGw3 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 2,5 Гбит/с2.5 Gbps ПоддерживаютсяSupported НетNo
Поколение2Generation2 VpnGw4VpnGw4 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 5 Гбит/с5 Gbps ПоддерживаютсяSupported НетNo
Поколение2Generation2 VpnGw5VpnGw5 Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 10 Гбит/с10 Gbps ПоддерживаютсяSupported НетNo
Поколение2Generation2 VpnGw2AZVpnGw2AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 500500 1,25 Гбит/с1.25 Gbps ПоддерживаютсяSupported YesYes
Поколение2Generation2 VpnGw3AZVpnGw3AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 2,5 Гбит/с2.5 Gbps ПоддерживаютсяSupported YesYes
Поколение2Generation2 VpnGw4AZVpnGw4AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 5 Гбит/с5 Gbps ПоддерживаютсяSupported YesYes
Поколение2Generation2 VpnGw5AZVpnGw5AZ Макс.Max. 30 *30* Макс.Max. 128128 Макс.Max. 10001000 10 Гбит/с10 Gbps ПоддерживаютсяSupported YesYes

(*)Используйте Виртуальную глобальную сеть, если требуется больше 30 VPN-туннелей S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Переход между номерами SKU VpnGw разрешен в рамках одного поколения, за исключением номера SKU уровня "Базовый".The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Номер SKU уровня "Базовый" является устаревшим с ограничениями функций.The Basic SKU is a legacy SKU and has feature limitations. Чтобы перейти с базового на другой SKU VpnGw, необходимо удалить шлюз VPN уровня "Базовый" и создать шлюз с требуемой комбинацией поколения и размера SKU.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Эти ограничения подключений являются раздельными.These connection limits are separate. Например, у вас может быть 128 SSTP-подключений, а также 250 IKEv2 для номера SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Дополнительные сведения о ценах можно просмотреть на этой странице .Pricing information can be found on the Pricing page.

  • См. сведения о соглашении об уровне обслуживания.SLA (Service Level Agreement) information can be found on the SLA page.

  • В одном туннеле можно достичь максимальной пропускной способности в 1 Гбит/с.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Эталонная агрегированная пропускная способность в приведенной выше таблице основана на измерениях нескольких туннелей, агрегированных для одного шлюза.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Эталонная агрегированная пропускная способность для VPN-шлюза — сумма показателей S2S и P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Если у вас много подключений "точка — сеть", это может отрицательно повлиять на подключение "сеть — сеть" из-за ограничений пропускной способности.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Эталонная агрегированная пропускная способность не гарантируется, так как этот параметр зависит от характеристик интернет-трафика и особенностей работы вашего приложения.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Чтобы помочь нашим клиентам измерить относительную производительность номеров SKU с помощью разных алгоритмов, мы использовали общедоступные средства iPerf и CTSTraffic.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. В приведенной ниже таблице перечислены результаты тестов производительности для номеров SKU VpnGw поколения 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 для обеспечения целостности и шифрования IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для обеспечения целостности.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Когда мы использовали DES3 для шифрования IPsec и SHA256 для обеспечения целостности, мы получили низкую производительность.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

ПоколениеGeneration SKUSKU Используемые
алгоритмы
Algorithms
used
Наблюдаемая
пропускная способность
Throughput
observed
Наблюдаемых
пакетов в секунду
Packets per second
observed
Поколение1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
650 Мбит/с650 Mbps
500 Мбит/с500 Mbps
120 Мбит/с120 Mbps
58 00058,000
50 00050,000
50 00050,000
Поколение1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
1 Гбит/с1 Gbps
500 Мбит/с500 Mbps
120 Мбит/с120 Mbps
90 00090,000
80 00080,000
55 00055,000
Поколение1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
1,25 Гбит/с1.25 Gbps
550 МB/с550 Mbps
120 Мбит/с120 Mbps
105 000105,000
90 00090,000
60 00060,000
Поколение1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
650 Мбит/с650 Mbps
500 Мбит/с500 Mbps
120 Мбит/с120 Mbps
58 00058,000
50 00050,000
50 00050,000
Поколение1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
1 Гбит/с1 Gbps
500 Мбит/с500 Mbps
120 Мбит/с120 Mbps
90 00090,000
80 00080,000
55 00055,000
Поколение1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256, SHA256AES256 & SHA256
DES3, SHA256DES3 & SHA256
1,25 Гбит/с1.25 Gbps
550 МB/с550 Mbps
120 Мбит/с120 Mbps
105 000105,000
90 00090,000
60 00060,000

Схемы топологий подключенияConnection topology diagrams

Важно знать, что существуют различные конфигурации подключения к VPN-шлюзу.It's important to know that there are different configurations available for VPN gateway connections. Вам нужно определить, какая из конфигураций наилучшим образом соответствует вашим требованиям.You need to determine which configuration best fits your needs. Далее приводятся сведения и топологии для следующих типов подключения VPN-шлюза: Приведенные ниже разделы содержат таблицы со следующими сведениями:In the sections below, you can view information and topology diagrams about the following VPN gateway connections: The following sections contain tables which list:

  • доступная модель развертывания;Available deployment model
  • доступные средства настройки;Available configuration tools
  • ссылки, по которым можно перейти непосредственно к соответствующей статье (если она есть).Links that take you directly to an article, if available

Представленные здесь схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями.Use the diagrams and descriptions to help select the connection topology to match your requirements. На схемах показаны основные базовые топологии; руководствуясь этими схемами, можно создавать и более сложные конфигурации.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guideline.

Подключение типа "сеть — сеть" и многосайтовое подключение (через VPN-туннель IPsec/IKE)Site-to-Site and Multi-Site (IPsec/IKE VPN tunnel)

Подключение типа "сеть — сеть"Site-to-Site

Подключение типа "сеть — сеть" (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2).A Site-to-Site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций.S2S connections can be used for cross-premises and hybrid configurations. Для подключения типа "сеть — сеть" требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес и которое не расположено за NAT.A S2S connection requires a VPN device located on-premises that has a public IP address assigned to it and is not located behind a NAT. Дополнительные сведения о выборе VPN-устройства см. в этом разделе.For information about selecting a VPN device, see the VPN Gateway FAQ - VPN devices.

Пример подключения типа "сеть — сеть" через VPN-шлюз Azure

Многосайтовые подключенияMulti-Site

Такой тип подключения является вариантом подключения типа "сеть — сеть".This type of connection is a variation of the Site-to-Site connection. В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. При работе с несколькими подключениями следует использовать тип VPN "RouteBased" (динамический шлюз для работы с классическими виртуальными сетями).When working with multiple connections, you must use a RouteBased VPN type (known as a dynamic gateway when working with classic VNets). Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth. Этот тип подключения часто называется многосайтовым.This type of connection is often called a "multi-site" connection.

Пример многосайтового подключения через VPN-шлюз Azure

Модели и методы развертывания для подключений "сеть — сеть" и многосайтовых подключенийDeployment models and methods for Site-to-Site and Multi-Site

Модель и метод развертыванияDeployment model/method портал AzureAzure portal PowerShellPowerShell Интерфейс командной строки AzureAzure CLI
Resource ManagerResource Manager РуководствоTutorial
Руководство+Tutorial+
РуководствоTutorial РуководствоTutorial
КлассическийClassic Руководство**Tutorial** Руководство+Tutorial+ Не поддерживаетсяNot Supported

( ** ) говорится, что этот метод содержит действия, необходимые для работы PowerShell.(**) denotes that this method contains steps that require PowerShell.

"+" означает, что данная инструкции в данной статье предназначены для подключения нескольких сайтов.(+) denotes that this article is written for multi-site connections.

VPN-подключение типа "точка — сеть"Point-to-Site VPN

Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Подключение типа "точка — сеть" сначала устанавливается на клиентском компьютере.A P2S connection is established by starting it from the client computer. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. Такую конфигурацию также удобно использовать вместо VPN-подключения типа "сеть — сеть" при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet.

В отличие от подключений типа "сеть — сеть", для подключений типа "точка — сеть" локальный общедоступный IP-адрес или VPN-устройство не требуются.Unlike S2S connections, P2S connections do not require an on-premises public-facing IP address or a VPN device. Подключения типа "точка — сеть" можно использовать с подключениями "сеть — сеть" через один и тот же VPN-шлюз при условии совместимости всех требований к конфигурации для обоих типов подключений.P2S connections can be used with S2S connections through the same VPN gateway, as long as all the configuration requirements for both connections are compatible. См. дополнительные сведения о подключениях типа "точка — сеть".For more information about Point-to-Site connections, see About Point-to-Site VPN.

Пример подключения типа "точка — сеть" через VPN-шлюз Azure

Модели и методы развертывания для типа подключения "точка — сеть"Deployment models and methods for P2S

Собственная проверка подлинности Azure на основе сертификатаAzure native certificate authentication

Модель и метод развертыванияDeployment model/method портал AzureAzure portal PowerShellPowerShell
Resource ManagerResource Manager РуководствоTutorial РуководствоTutorial
КлассическийClassic РуководствоTutorial ПоддерживаютсяSupported

Проверка подлинности RADIUSRADIUS authentication

Модель и метод развертыванияDeployment model/method портал AzureAzure portal PowerShellPowerShell
Resource ManagerResource Manager ПоддерживаютсяSupported РуководствоTutorial
КлассическийClassic Не поддерживаетсяNot Supported Не поддерживаетсяNot Supported

Подключение между виртуальными сетями (через VPN-туннель IPsec/IKE)VNet-to-VNet connections (IPsec/IKE VPN tunnel)

Подключение типа "виртуальная сеть — виртуальная сеть" похоже на подключение виртуальной сети к локальному сайту.Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a VNet to an on-premises site location. В обоих типах подключений используется VPN-шлюз для создания защищенного туннеля, использующего IPsec/IKE.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE. Можно даже комбинировать подключение между виртуальными сетями с конфигурациями многосайтовых подключений.You can even combine VNet-to-VNet communication with multi-site connection configurations. Это позволяет настраивать топологии сети, совмещающие распределенные подключения с подключениями между виртуальными сетями.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

Подключаемые виртуальные сети могут относиться:The VNets you connect can be:

  • к одному или разным регионам;in the same or different regions
  • к одной или разным подпискам;in the same or different subscriptions
  • к одной или разным моделям развертывания.in the same or different deployment models

Пример подключения типа "виртуальная сеть — виртуальная сеть" через VPN-шлюз Azure

Подключения между моделями развертыванияConnections between deployment models

Сейчас в Azure доступны два режима развертывания: классический и Resource Manager.Azure currently has two deployment models: classic and Resource Manager. Если вы использовали Azure какое-то время, вероятно, у вас есть виртуальные машины и роли экземпляров Azure, выполняемые в классической виртуальной сети.If you have been using Azure for some time, you probably have Azure VMs and instance roles running in a classic VNet. А более новые виртуальные машины и экземпляры ролей могут выполняться в виртуальной сети, созданной Resource Manager.Your newer VMs and role instances may be running in a VNet created in Resource Manager. Вы можете создать подключение между виртуальными сетями, чтобы ресурсы в одной виртуальной сети непосредственно взаимодействовали с ресурсами в другой.You can create a connection between the VNets to allow the resources in one VNet to communicate directly with resources in another.

Пиринговая связь между виртуальными сетямиVNet peering

Для создания подключения можно использовать пиринговую связь между виртуальными сетями, если виртуальная сеть соответствует определенным требованиям.You may be able to use VNet peering to create your connection, as long as your virtual network meets certain requirements. При пиринговой связи между виртуальными сетями шлюз виртуальной сети не используется.VNet peering does not use a virtual network gateway. Дополнительную информацию см. в статье Пиринговая связь между виртуальными сетями.For more information, see VNet peering.

Модели и методы развертывания для подключения между виртуальными сетямиDeployment models and methods for VNet-to-VNet

Модель и метод развертыванияDeployment model/method портал AzureAzure portal PowerShellPowerShell Интерфейс командной строки AzureAzure CLI
КлассическийClassic Руководство*Tutorial* ПоддерживаютсяSupported Не поддерживаетсяNot Supported
Resource ManagerResource Manager Руководство+Tutorial+ РуководствоTutorial РуководствоTutorial
Подключения между разными моделями развертыванияConnections between different deployment models Руководство*Tutorial* РуководствоTutorial Не поддерживаетсяNot Supported

"+" означает, что этот метод развертывания доступен только для виртуальных сетей в одной подписке.(+) denotes this deployment method is available only for VNets in the same subscription.
( * ) означает, что для этого метода развертывания также требуется PowerShell.(*) denotes that this deployment method also requires PowerShell.

ExpressRoute (частное подключение)ExpressRoute (private connection)

ExpressRoute позволяет переносить локальные сети в Microsoft Cloud по частному подключению, которое обеспечивается поставщиком услуг подключения.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Office 365 и CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. Это может быть подключение типа "любой к любому" (IP VPN), подключение Ethernet типа "точка-точка" или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

Подключения ExpressRoute не проходят через общедоступный Интернет.ExpressRoute connections do not go over the public Internet. Это обеспечивает повышенный уровень безопасности, надежности и быстродействия подключений ExpressRoute и более низкий уровень задержки по сравнению с типовыми подключениями через Интернет.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

При подключениях с помощью ExpressRoute используется шлюз виртуальной сети, который является частью его базовой конфигурации.An ExpressRoute connection uses a virtual network gateway as part of its required configuration. В подключении ExpressRoute для шлюза виртуальной сети задается тип шлюза "ExpressRoute", а не "Vpn".In an ExpressRoute connection, the virtual network gateway is configured with the gateway type 'ExpressRoute', rather than 'Vpn'. Хотя трафик, который передается по каналу ExpressRoute, не зашифрован по умолчанию, вы можете создать решение, которое позволяет отправить зашифрованный трафик по каналу ExpressRoute.While traffic that travels over an ExpressRoute circuit is not encrypted by default, it is possible create a solution that allows you to send encrypted traffic over an ExpressRoute circuit. Дополнительные сведения об ExpressRoute см. в техническом обзоре ExpressRoute.For more information about ExpressRoute, see the ExpressRoute technical overview.

Параллельные подключения "сеть — сеть" и ExpressRouteSite-to-Site and ExpressRoute coexisting connections

ExpressRoute — это прямое частное подключение из глобальной сети (а не через общедоступное подключение к Интернету) к службам Майкрософт, включая Azure.ExpressRoute is a direct, private connection from your WAN (not over the public Internet) to Microsoft Services, including Azure. Трафик подключения VPN типа "сеть — сеть" проходит через общедоступный Интернет в зашифрованном виде.Site-to-Site VPN traffic travels encrypted over the public Internet. Возможность настраивать VPN-подключения типа "сеть — сеть" и ExpressRoute для одной виртуальной сети дает целый ряд преимуществ.Being able to configure Site-to-Site VPN and ExpressRoute connections for the same virtual network has several advantages.

VPN типа "сеть — сеть" можно настроить как защищенный путь отработки отказа для ExpressRoute или использовать для подключения к сайтам, которые не входят в вашу сеть, но подключены через ExpressRoute.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not part of your network, but that are connected through ExpressRoute. Обратите внимание, что в рамках такой конфигурации для одной виртуальной сети требуются два шлюза виртуальной сети: с типом "VPN" и типом "ExpressRoute".Notice that this configuration requires two virtual network gateways for the same virtual network, one using the gateway type 'Vpn', and the other using the gateway type 'ExpressRoute'.

Пример параллельных подключений через ExpressRoute и VPN-шлюз

Модели и методы развертывания для параллельных подключений "сеть — сеть" и ExpressRouteDeployment models and methods for S2S and ExpressRoute coexist

Модель и метод развертыванияDeployment model/method портал AzureAzure portal PowerShellPowerShell
Resource ManagerResource Manager ПоддерживаютсяSupported РуководствоTutorial
КлассическийClassic Не поддерживаетсяNot Supported РуководствоTutorial

ЦеныPricing

Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Дополнительные сведения о ценах можно просмотреть на этой странице .Pricing information can be found on the Pricing page. Чтобы узнать цены на SKU для шлюза прежних версий, откройте страницу с ценами на ExpressRoute и прокрутите ее до разделаШлюзы виртуальной сети.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Имя шлюза виртуальной сети: VNet1GW.Virtual network gateway compute costs
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу.Each virtual network gateway has an hourly compute cost. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети.The price is based on the gateway SKU that you specify when you create a virtual network gateway. В стоимость входит сам шлюз и трафик, который через него проходит.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. Конфигурации "активный — активный" и "активный — пассивный" одинаковы по стоимости установки.Cost of an active-active setup is the same as active-passive.

расходы, связанные с передачей данных;Data transfer costs
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Если вы отправляете трафик в локальное VPN-устройство, с вас будет взиматься плата как за исходящий сетевой трафик.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • При обмене данными между виртуальными сетями в разных регионах цена зависит от региона.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • При обмене данными между виртуальными сетями в одном регионе плата не взимается.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. Обмен данными между виртуальными сетями в одном регионе бесплатный.Traffic between VNets in the same region is free.

См. дополнительные сведения о номерах SKU для VPN-шлюзов.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

Часто задаваемые вопросыFAQ

См. вопросы и ответы, связанные с использованием VPN-шлюза.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

Дополнительная информацияNext steps