你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 ExpressRoute 虚拟网络网关
若要通过 ExpressRoute 连接 Azure 虚拟网络和本地网络,必须首先创建虚拟网络网关。 虚拟网络网关有两个用途:在网络之间交换 IP 路由和路由网络流量。 本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。 本文还介绍了 ExpressRoute FastPath,这是一项功能,可让你本地网络中的网络流量绕过虚拟网络网关,从而提高性能。
网关类型
创建虚拟网络网关时,需要指定几项设置。 其中一个必要设置“-GatewayType”指定是否将网关用于 ExpressRoute 或 VPN 流量。 两种网关类型是:
Vpn - 若要通过公共 Internet 发送加密流量,请使用网关类型“Vpn”。 这种类型的网关也称为 VPN 网关。 站点到站点连接、点到站点连接和 VNet 到 VNet 连接都使用 VPN 网关。
ExpressRoute - 若要在专用连接上发送网络流量,请使用网关类型“ExpressRoute”。 这种类型的网关也称为 ExpressRoute 网关,是在配置 ExpressRoute 时使用的。
对于每种网关类型,每个虚拟网络只能有一个虚拟网络网关。 例如,一个虚拟网络网关使用 -GatewayType Vpn,另一个使用 -GatewayType ExpressRoute。
网关 SKU
创建虚拟网络网关时,需要指定要使用的网关 SKU。 如果选择更高级的网关 SKU,则将为该网关分配更多的 CPU 和网络带宽,这样使网关能够支持到虚拟网络更高的吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- ERGwScale(预览)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
如果要将网关升级为容量更高的网关 SKU,可使用 Resize-AzVirtualNetworkGateway PowerShell cmdlet,也可直接在 Azure 门户的 ExpressRoute 虚拟网络网关配置页中执行升级。 支持以下升级:
- 从标准到高性能
- 从标准到超高性能
- 从高性能到超高性能
- 从 ErGw1Az 到 ErGw2Az
- 从 ErGw1Az 到 ErGw3Az
- 从 ErGw2Az 到 ErGw3Az
- 默认设置为“标准”
此外,还可以将虚拟网络网关 SKU 降级。 支持以下降级:
- 从高性能到标准
- 从 ErGw2Az 到 ErGw1Az
所有其他降级方案都需要删除并重新创建网关。 重新创建网关会导致停机。
虚拟网络网关限制和性能
网关 SKU 的功能支持
下表显示了每个网关类型支持的功能,以及每个网关 SKU 支持的最大 ExpressRoute 线路连接数。
| 网关 SKU | VPN 网关和 ExpressRoute 共存 | FastPath | 最大线路连接数 |
|---|---|---|---|
| 标准 SKU/ErGw1AZ | 是 | 否 | 4 |
| 高性能 SKU/ERGw2Az | 是 | 否 | 8 |
| 超高性能 SKU/ErGw3Az | 是 | 是 | 16 |
| ERGwScale(预览版) | 是 | Yes - 最小 10 个缩放单元 | 4 - 最小 1 个缩放单元 8 - 最小 2 个缩放单元 16 - 最小 10 个缩放单元 |
注意
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
预估性能(按网关 SKU)
下表概述了不同类型的网关、其各自的限制和预期性能指标。 这些数字派生自以下测试条件,表示最大支持限制。 实际性能可能有所不同,具体取决于流量复制这些测试条件的相近程度。
测试条件
| 网关 SKU | 从本地发送的流量 | 网关播发的路由数 | 网关获知的路由数 |
|---|---|---|---|
| 标准/ERGw1Az | 1 Gbps | 500 | 4000 |
| 高性能/ERGw2Az | 2 Gbps | 500 | 9,500 |
| 超高性能/ErGw3Az | 10 Gbps | 500 | 9,500 |
| ErGwScale(每缩放单元) | 1 Gbps | 500 | 4,000 |
注意
ExpressRoute 最多可以促进 11,000 个路由,这些路由跨越虚拟网络地址空间、本地网络和任何相关的虚拟网络对等互连连接。 为了确保 ExpressRoute 连接稳定,不要向 ExpressRoute 播发超过 11,000 条路由。
性能结果
此表适用于 Azure 资源管理器和经典部署模型。
| 网关 SKU | 每秒连接数 | 每秒兆位数 | 每秒的数据包数 | 虚拟网络中可支持的 VM 数量1 | 流计数限制 |
|---|---|---|---|---|---|
| 标准/ERGw1Az | 7,000 | 1,000 | 100,000 | 2,000 | 100,000 |
| 高性能/ERGw2Az | 14,000 | 2,000 | 200,000 | 4,500 | 200,000 |
| 超高性能/ErGw3Az | 16,000 | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
| ErGwScale(每缩放单元) | 空值 | 1,000 | 100,000 | 2,000 | 每个缩放单元 100000 个 |
1表中的值是估计值,具体取决于网关的 CPU 使用率。 如果 CPU 使用率较高且超出了支持的 VM 数,网关将开始删除数据包。
重要
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的流量流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,Microsoft 会在 ExpressRoute 虚拟网络网关上执行主机和 OS 的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1400 字节。 大于 1400 字节的数据包将被分段。
- Azure 路由服务器最多可支持 4000 个 VM。 此限制包括对等互连的虚拟网络中的 VM。 有关详细信息,请参阅 Azure 路由服务器限制。
网关子网
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 网关设置进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”就可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。
注意
不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
- 不建议将 Azure DNS 专用解析程序部署到具有 ExpressRoute 虚拟网络网关的虚拟网络中,并将通配符规则设置为将所有名称解析定向到特定的 DNS 服务器。 此类配置可能会导致管理连接问题。
创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够的 IP 地址,以便应对将来可能会有的配置。 尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 等)的网关子网。 如果计划将 16 个 ExpressRoute 线路连接到网关,则必须创建 /26 或更大的网关子网。 如果创建的是双堆栈网关子网,建议还使用 /64 或更大的 IPv6 范围。 此设置适合大多数配置。
以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
使用网关子网时,避免将网络安全组 (NSG) 与网关子网关联。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
区域冗余型网关 SKU
也可以在 Azure 可用性区域中部署 ExpressRoute 网关。 此配置在物理上和逻辑上将它们分成不同的可用性区域,从而保护本地网络与 Azure 的连接免受区域级故障的影响。
区域冗余型网关使用 ExpressRoute 网关的特定新网关 SKU。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
新的网关 SKU 还支持其他部署选项,以最好地满足你的需求。 使用新网关 SKU 创建虚拟网络网关时,可以在特定区域中部署网关。 这种类型的网关称为区域网关。 部署区域网关时,网关的所有实例都部署在同一可用性区域中。
VNet 到 VNet 的连接以及 VNet 到虚拟 WAN 的连接
默认情况下,对于所有网关 SKU,将禁用通过 ExpressRoute 线路进行的 VNet 到 VNet 的连接以及 VNet 到虚拟 WAN 的连接。 若要启用该连接,必须配置 ExpressRoute 虚拟网络网关以允许此流量。 有关详细信息,请参阅有关通过 ExpressRoute 的虚拟网络连接的指南。 若要启用此流量,请参阅启用通过 ExpressRoute 进行的 VNet 到 VNet 或 VNet 到虚拟 WAN 的连接。
FastPath
ExpressRoute 虚拟网络网关旨在交换网络路由和路由网络流量。 FastPath 旨在改善本地网络和虚拟网络之间的数据路径性能。 启用后,FastPath 会绕过网关直接将网络流量发送到虚拟网络中的虚拟机。
有关 FastPath 的详细信息,包括限制和要求,请参阅关于 FastPath。
连接至专用终结点
ExpressRoute 虚拟网络网关可增强与专用终结点的连接性,这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。
重要
- 相对于与非专用终结点资源的连接性,吞吐量和控制平面容量可能会减半。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
专用终结点连接和计划内维护事件
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连建立与专用终结点的连接时,入站和出站连接通过网关基础结构的其中一个后端实例进行路由。 在维护事件期间,一次重启一个虚拟网络网关基础结构的后端实例,这可能会导致间歇性连接问题。
为了在维护活动期间避免或最大程度地减少专用终结点的连接问题,建议在本地应用程序中将 TCP 超时值设置为介于 15-30 秒之间。 根据应用程序要求测试和配置最佳值。
路由服务器
在具有虚拟网络网关(ExpressRoute 或 VPN)的虚拟网络中创建或删除 Azure 路由服务器可能会导致停机,直至操作完成为止。
REST API 和 PowerShell cmdlet
有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求,请参阅以下页面:
| 经典 | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 到 VNet 连接
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 Microsoft 建议不要使用 ExpressRoute 线路在虚拟网络之间进行通信。 相反,我们建议使用虚拟网络对等互连。 若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接,请参阅通过 ExpressRoute 在虚拟网络之间建立连接。
虚拟网络对等互连
具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。
ExpressRoute 可缩放网关(预览)
ErGwScale 虚拟网关 SKU 让你可以在虚拟网络中实现与 VM 和专用终结点的 40 Gbps 的连接。 此 SKU 允许你为虚拟网关基础结构设置最小和最大缩放单元,以便根据活动带宽或流计数进行自动缩放。 还可以设置固定缩放单元,以便在所需的带宽值上保持恒定的连接性。
可用性区域部署和区域可用性
ErGwScale 支持 Azure 可用性区域中的区域性和区域冗余部署。 有关这些概念的详细信息,请查看区域性和区域冗余服务文档。
ErGwScale 在以下区域中以预览版提供:
- 澳大利亚东部
- 加拿大中部
- 美国东部
- 东亚
- 法国中部
- 德国中部
- 德国西部
- 印度中部
- 意大利北部
- 北欧
- 挪威东部
- 瑞典中部
- 阿拉伯联合酋长国北部
- 英国南部
- 美国西部 3
自动缩放与固定缩放单元
虚拟网关基础结构会根据带宽或流计数利用率在你配置的最小和最大缩放单元之间自动缩放。 完成缩放操作最多可能需要 30 分钟。 如果要在特定的带宽值上实现固定的连接性,可以配置一个固定缩放单元,方法是将最小缩放单元和最大缩放单元设置为相同的值。
限制
- 基本 IP:ErGwScale 不支持基本 IP SKU。 你需要使用标准 IP SKU 来配置 ErGwScale。
- 最小和最大缩放单元:可以将 ErGwScale 的缩放单元配置为 1-40 之间。 最小缩放单元不能低于 1,最大缩放单元不能高于 40。
- 迁移方案:无法在公共预览版中从 Standard/ErGw1Az、HighPerf/ErGw2Az/UltraPerf/ErGw3Az 迁移到 ErGwScale。
定价
在公共预览版期间,ErGwScale 是免费的。 有关 ExpressRoute 定价的信息,请参阅 Azure ExpressRoute 定价。
每个缩放单元的估计性能
每个缩放单元支持的性能
| 缩放单元 | 带宽 (Gbps) | 每秒的数据包数 | 每秒连接数 | VM 连接数上限1 | 最大流数 |
|---|---|---|---|---|---|
| 1-10 | 1 | 100,000 | 7,000 | 2,000 | 100,000 |
| 11-40 | 1 | 100,000 | 7,000 | 1,000 | 100,000 |
使用缩放单元的示例性能
| 缩放单元 | 带宽 (Gbps) | 每秒的数据包数 | 每秒连接数 | VM 连接数上限1 | 最大流数 |
|---|---|---|---|---|---|
| 10 | 10 | 1,000,000 | 70,000 | 20,000 | 1,000,000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 在缩放单元超过 10 个的情况下,VM 连接数上限会在其余单元中以不同方式扩展容量。 前 10 个缩放单元将为每个缩放单元提供 2,000 个 VM 的容量。 自缩放单元 11 起的每个缩放单元为每个缩放单元提供 1,000 个额外的 VM 容量。
后续步骤
有关可用连接配置的详细信息,请参阅 ExpressRoute 概述。
有关创建 ExpressRoute 网关的详细信息,请参阅创建 ExpressRoute 的虚拟网络网关。
有关如何部署 ErGwScale 的详细信息,请参阅使用 Azure 门户配置 ExpressRoute 的虚拟网络网关。
有关配置区域冗余型网关的详细信息,请参阅创建区域冗余型虚拟网络网关。
有关 FastPath 的详细信息,请参阅关于 FastPath。