VPN Ağ Geçidi nedir?

VPN ağ geçidi, genel İnternet üzerinden bir Azure sanal ağı ile şirket içi konum arasında şifrelenmiş trafik göndermek için kullanılan belirli bir sanal ağ geçidi türüdür. Ayrıca VPN ağ geçidini Microsoft ağı üzerinden Azure sanal ağları arasında şifrelenmiş trafik göndermek için de kullanabilirsiniz. Her sanal ağın yalnızca bir VPN ağ geçidi olabilir. Ancak, aynı VPN ağ geçidi ile birden fazla bağlantı oluşturabilirsiniz. Aynı VPN ağ geçidiyle birden fazla bağlantı oluşturduğunuzda, tüm VPN tünelleri kullanılabilir ağ geçidi bant genişliğini paylaşır.

Sanal ağ geçidi nedir?

Bir sanal ağ geçidi, ağ geçidi alt ağı olarak adlandırılan belirli bir alt ağa dağıtılan iki veya daha fazla VM'den oluşur. Sanal ağ geçidi VM'leri yönlendirme tablolarını içerir ve belirli ağ geçidi hizmetlerini çalıştırabilirsiniz. Bu VM'ler, sanal ağ geçidini oluşturulduğunda oluşturulur. Sanal ağ geçidinin parçası olan VM'leri doğrudan yapılandıramazsanız.

Bir sanal ağ geçidi yapılandırıldığında, ağ geçidi türünü belirten bir ayar yapılandırabilirsiniz. Ağ geçidi türü, sanal ağ geçidinin nasıl kullan olacağını ve ağ geçidinin gerçekleştirecek eylemleri belirler. 'Vpn' ağ geçidi türü, oluşturulan sanal ağ geçidi türünün bir 'VPN ağ geçidi' olduğunu belirtir. Bu, farklı bir ağ geçidi türü kullanan ExpressRoute ağ geçidinden ayırt edilir. Bir sanal ağın iki sanal ağ geçidi olabilir; bir VPN ağ geçidi ve bir ExpressRoute ağ geçidi. Daha fazla bilgi için bkz. Ağ geçidi türleri.

Bir sanal ağ geçidinin oluşturulması 45 dakika sürebilir. Bir sanal ağ geçidi oluşturduğunuzda ağ geçidi VM’leri ağ geçidi alt ağına dağıtılır ve belirttiğiniz ayarlarla yapılandırılır. Bir VPN ağ geçidi oluşturduktan sonra bu VPN ağ geçidi ile başka bir VPN ağ geçidi arasında bir IPsec/IKE VPN tüneli bağlantısı (Sanal Ağlar arası) oluşturabilir veya VPN ağ geçidi ile bir şirket içi VPN cihazı (Siteden Siteye) arasında IPsec/IKE VPN tünel bağlantısı oluşturabilirsiniz. Ayrıca, bir konferans veya evden gibi uzak bir konumdan sanal ağınıza bağlanmanıza olanak sağlayan bir Noktadan Siteye VPN bağlantısı (OpenVPN, IKEv2 veya SSTP üzerinden VPN) oluşturabilirsiniz.

VPN Gateway yapılandırma

VPN ağ geçidi bağlantısı belirli ayarlarla yapılandırılmış birden fazla kaynağı kullanır. Kaynakların birçoğu ayrı ayrı yapılandırılabilir, ancak bazı kaynakların belirli bir sırayla yapılandırılması gerekir.

Tasarım

VPN ağ geçidi bağlantıları için kullanılabilecek farklı yapılandırmalar vardır. Gereksinimlerinize en uygun yapılandırmayı belirlemeniz gerekir. Örneğin, Noktadan Siteye, Siteden Siteye ve bir arada var olan ExpressRoute/Siteden Siteye bağlantıların hepsi farklı yönergelere ve yapılandırma gereksinimlerine sahiptir. Tasarım ve bağlantı topolojisi diyagramlarını görüntüleme hakkında bilgi için bkz. Tasarım.

Planlama tablosu

Aşağıdaki tablo çözümünüz için en iyi bağlantı seçeneğine karar vermenize yardımcı olabilir.

Noktadan siteye Siteden siteye ExpressRoute
Azure desteklenen hizmetler Cloud Services ve Virtual Machines Cloud Services ve Virtual Machines Hizmetler listesi
Tipik Bant Genişlikleri Ağ geçidi SKU’sunu temel alanlar: Tipik olarak < 1 Gb/sn toplu 50 Mb/sn, 100 Mb/sn, 200 Mb/sn, 500 Mb/sn, 1 Gb/sn, 2 Gb/sn, 5 Gb/sn, 10 Gb/sn
Desteklenen protokoller Güvenli Yuva Tünel Protokolü (SSTP), OpenVPN ve IPSec IPsec VLAN, NSP'nin VPN’si teknolojileri (MPLS, VPLS,...) üzerinden doğrudan bağlantı
Yönlendirme RouteBased (dinamik) PolicyBased (statik yönlendirme) ve RouteBased’i (dinamik yönlendirme VPN) destekliyoruz BGP
Bağlantı dayanıklılığı aktif/pasif aktif-pasif veya aktif-aktif aktif/aktif
Tipik kullanım örneği Uzak kullanıcılar için Azure sanal ağlarına güvenli erişim Bulut hizmetleri ve sanal makineler için geliştirme/test/laboratuvar senaryoları ve küçük ve orta ölçekli üretim iş yükleri Tüm Azure hizmetlerine erişim (doğrulanmış liste), Kurumsal sınıfta ve görev açısından kritik iş yükleri, Yedekleme, Büyük Veri, DR sitesi olarak Azure
SLA SLA SLA SLA
Fiyatlandırma Fiyatlandırma Fiyatlandırma Fiyatlandırma
Teknik belgeler VPN Gateway belgeleri VPN Gateway belgeleri ExpressRoute belgeleri
SSS VPN Gateway SSS VPN Gateway SSS ExpressRoute SSS

Ayarlar

Her kaynak için seçtiğiniz ayarlar başarılı bir bağlantı oluşturmak için önemlidir. VPN Gateway’e ilişkin kaynaklar ve ayarlar hakkında bilgi için bkz. VPN Gateway ayarları hakkında. Makale; ağ geçidi türleri, ağ geçidi SKU’ları, VPN türleri, bağlantı türleri, ağ geçidi alt ağları, yerel ağ geçitleri ve kullanmayı düşünebileceğiniz diğer çeşitli ayarlar hakkında bilgi içerir.

Dağıtım araçları

Azure portalı gibi bir yapılandırma aracını kullanarak kaynakları oluşturmaya ve yapılandırmaya başlayabilirsiniz. Daha sonra ek kaynaklar yapılandırmak ya da uygun olduğunda var olan kaynakları değiştirmek için PowerShell gibi başka bir araca geçmeye karar verebilirsiniz. Şu anda Azure portalında her kaynağı ve kaynak ayarını yapılandıramazsınız. Her bağlantı topolojisine ilişkin makalelerdeki yönergelerde, belirli bir aracının ne zaman gerekli olduğu belirtilmektedir.

Ağ Geçidi SKU’ları

Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz ağ geçidi SKU’sunu belirtmelisiniz. İş yükü, aktarım hızı, özellik ve SLA türlerine bağlı olarak gereksinimlerinize uyan SKU’ları seçin.

  • Desteklenen özellikler, üretim ve geliştirme testi ve yapılandırma adımları da dahil olmak üzere ağ geçidi SKU'ları hakkında daha fazla bilgi için VPN Gateway Ayarlar - Ağ Geçidi SKU'ları makalesine bakın.
  • Eski SKU bilgileri için bkz. Eski SKU'larla Çalışma.

Tünele, bağlantıya ve performansa göre Ağ Geçidi SKU’ları

VPN
Gateway
oluşturma
SKU S2S/VNet-VNet
Tünelleri
P2S
SSTP Bağlantıları
P2S
Ikev2/OpenVPN bağlantıları
Toplam
Aktarım Hızı Kıyaslaması
BGP Bölge yedekli
Generation1 Temel En çok, 10 En çok, 128 Desteklenmiyor 100 Mbps Desteklenmiyor No
Generation1 VpnGw1 En çok, 30* En çok, 128 En çok, 250 650 Mb/sn Desteklenir No
Generation1 VpnGw2 En çok, 30* En çok, 128 En çok, 500 1 Gb/sn Desteklenir No
Generation1 VpnGw3 En çok, 30* En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir No
Generation1 VpnGw1AZ En çok, 30* En çok, 128 En çok, 250 650 Mb/sn Desteklenir Yes
Generation1 VpnGw2AZ En çok, 30* En çok, 128 En çok, 500 1 Gb/sn Desteklenir Yes
Generation1 VpnGw3AZ En çok, 30* En çok, 128 En çok, 1000 1,25 Gb/sn Desteklenir Yes
Generation2 VpnGw2 En çok, 30* En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir No
Generation2 VpnGw3 En çok, 30* En çok, 128 En çok, 1000 2,5 Gbps Desteklenir No
Generation2 VpnGw4 En çok, 30* En çok, 128 En çok, 5000 5 Gbps Desteklenir No
Generation2 VpnGw5 En çok, 30* En çok, 128 En çok, 10000 10 Gbps Desteklenir No
Generation2 VpnGw2AZ En çok, 30* En çok, 128 En çok, 500 1,25 Gb/sn Desteklenir Yes
Generation2 VpnGw3AZ En çok, 30* En çok, 128 En çok, 1000 2,5 Gbps Desteklenir Yes
Generation2 VpnGw4AZ En çok, 30* En çok, 128 En çok, 5000 5 Gbps Desteklenir Yes
Generation2 VpnGw5AZ En çok, 30* En çok, 128 En çok, 10000 10 Gbps Desteklenir Yes

(*) 30'dan fazla S2S VPN tüneline ihtiyacınız varsa Sanal WAN kullanın.

  • VpnGw SKU 'Larının yeniden boyutlandırılması, temel SKU 'nun yeniden boyutlandırılması dışında, aynı oluşturma içinde kullanılabilir. Temel SKU 'su eski bir SKU 'SU ve özellik sınırlamaları vardır. Temel ' den başka bir VpnGw SKU 'suna geçiş yapmak için, temel SKU VPN ağ geçidini silip istenen nesil ve SKU boyut birleşimine sahip yeni bir ağ geçidi oluşturmanız gerekir.

  • Bu bağlantı sınırları ayrıdır. Örneğin, bir VpnGw1 SKU’sunda 128 SSTP bağlantısına ek olarak 250 IKEv2 bağlantısına sahip olabilirsiniz.

  • Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.

  • SLA (Hizmet Düzeyi Sözleşmesi) bilgilerine SLA sayfasından ulaşılabilir.

  • Tek bir tünelde en fazla 1 Gbps aktarım elde edilebilir. Yukarıdaki tabloda yer alan toplu Işleme kıyaslamalar, tek bir ağ geçidi aracılığıyla toplanan birden çok tünelin ölçümlerine bağlıdır. Bir VPN Gateway’e yönelik Toplam Aktarım Hızı Karşılaştırması S2S ve P2S’nin birleşimidir. Çok sayıda P2S bağlantısına sahipseniz S2S bağlantınız aktarım hızı sınırlamalarından dolayı olumsuz etkilenebilir. Toplam Verimlilik kıyaslaması, Internet trafiği koşulları ve uygulama davranışlarınız nedeniyle garantili bir aktarım hızı değildir.

Müşterilerinizin farklı algoritmaları kullanarak SKU 'ların göreli performansını anlamalarına yardımcı olmak için, performansı ölçmek üzere genel kullanıma açık Iperf ve CTSTraffic araçları kullandık. Aşağıdaki tabloda, 1. nesil, VpnGw SKU 'Larının performans testlerinin sonuçları listelenmiştir. Gördüğünüz gibi, her iki IPSec şifrelemesi ve bütünlüğü için GCMAES256 algoritması kullandığımızda en iyi performans elde edilir. IPSec şifrelemesi için AES256 ve bütünlüğü için SHA256 kullanılırken ortalama performans aldık. IPSec şifrelemesi için DES3 kullandığımızda ve bütünlüğü için SHA256 en düşük performansa sahip olduğumuz zaman.

Nesil SKU
Kullanılan algoritmalar
Gözlenen üretilen iş
Saniyedeki paket sayısı
gözlemlendi
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
120 Mbps
58.000
50,000
50,000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55.000
Generation1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mbps
120 Mbps
105.000
90,000
60.000
Generation1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/sn
500 Mbps
120 Mbps
58.000
50,000
50,000
Generation1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55.000
Generation1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/sn
550 Mbps
120 Mbps
105.000
90,000
60.000

Kullanılabilirlik Alanları

VPN ağ geçitleri farklı Azure Kullanılabilirlik Alanları. Bu seçenek, sanal ağ geçitlerine dayanıklılık, ölçeklenebilirlik ve daha yüksek kullanılabilirlik getirir. Ağ geçitlerini Azure Kullanılabilirlik Alanları içinde dağıtmak, bir bölge içindeki ağ geçitlerini fiziksel ve mantıksal olarak birbirinden ayırırken, Azure ile şirket içi ağ bağlantınızı alan düzeyindeki hatalardan korur. bkz. Azure Kullanılabilirlik Alanları'de alan yedekli sanal ağ geçitleri hakkında.

Fiyatlandırma

İki şey için ödeme yaparsınız: sanal ağ geçidi için saatlik işlem maliyetleri ve sanal ağ geçidinden çıkış veri aktarımı. Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir. Eski ağ geçidi SKU fiyatlandırması için, ExpressRoute fiyatlandırma sayfasına bakın ve sanal ağ geçitleri bölümüne gidin.

Sanal ağ geçidi işlem maliyetleri
Her sanal ağ geçidi saatlik bir işlem maliyetine sahiptir. Fiyat bir sanal ağ geçidi oluştururken belirttiğiniz ağ geçidi SKU’sunu temel alır. Maliyet, ağ geçidinin kendisi içindir ve ağ geçidinden geçen veri aktarımlarına eklenir. Etkin-etkin bir kurulumun maliyeti, etkin-Pasif ile aynıdır.

Veri aktarım maliyetleri
Veri aktarım maliyetleri, kaynak sanal ağ geçidinden çıkış trafiğine göre hesaplanır.

  • Şirket içi VPN cihazınıza trafik gönderiyorsanız İnternet çıkış veri aktarım hızına göre ücretlendirilir.
  • Farklı bölgelerdeki sanal ağlar arasında trafik gönderiyorsanız fiyatlandırma bölgeye göre hesaplanır.
  • Yalnızca aynı bölgedeki sanal ağlar arasında trafik gönderiyorsanız veri maliyeti yoktur. Aynı bölgedeki sanal ağlar arasında gerçekleşen trafik ücretsizdir.

VPN Gateway’e yönelik ağ geçidi SKU’ları hakkında bilgi için bkz. Ağ geçidi SKU’ları.

SSS

VPN Gateway hakkında sık sorulan sorular için bkz. VPN Gateway hakkında SSS.

Neler var?

RSS akışına abone olun ve Azure Güncelleştirmeleri VPN Gateway güncelleştirmelerini görüntüleyebilirsiniz.

Sonraki adımlar