關於 ExpressRoute 虛擬網路閘道

若要透過 ExpressRoute 連線 Azure 虛擬網路和內部部署網路,您必須先建立虛擬網路閘道。 虛擬網路閘道有兩個用途:在網路之間交換 IP 路由,以及路由網路流量。 本文說明閘道類型、閘道 Sku,以及 SKU 的預估效能。 本文也說明 ExpressRoute FastPath,這項功能可讓您的內部部署網路中的網路流量略過虛擬網路閘道,以改善效能。

閘道類型

當您建立虛擬網路閘道時,您必須指定數項設定。 其中一個必要設定 '-GatewayType' 會指定是否要對 ExpressRoute 或 VPN 閘道流量使用閘道。 兩種閘道類型如下:

  • Vpn -若要透過公用網際網路傳送加密的流量,請使用閘道類型「Vpn」。 也稱之為 VPN 閘道。 站對站、點對站和 VNet 對 VNet 連線都使用 VPN 閘道。

  • ExpressRoute - 若要在私人連線上傳送網路流量,請使用 'ExpressRoute' 閘道類型。 這也稱為 ExpressRoute 閘道,而且是您設定 ExpressRoute 時所用的閘道類型。

對於每種閘道類型,每個虛擬網路只能有一個虛擬網路閘道。 例如,您可以有一個使用 -GatewayType Vpn 的虛擬網路閘道,以及一個使用 -GatewayType ExpressRoute 的虛擬網路閘道。

閘道 SKU

建立虛擬網路閘道時,您必須指定想要使用的閘道 SKU。 當您選取較高的閘道 SKU 時,會配置更多的 CPU 和網路頻寬給閘道,如此一來,閘道即可支援對虛擬網路的更高網路輸送量。

ExpressRoute 虛擬網路閘道可以使用下列 SKU:

VPN 閘道與 ExpressRoute 共存 FastPath 電路連接數目上限
Standard 4
高性能 4
UltraPerformance 16

如果您想要將閘道升級為更強大的閘道 SKU,在大部分情況下,您可以使用 Set-azvirtualnetworkgateway 的 PowerShell Cmdlet。 這適用於升級至 Standard 和 HighPerformance SKU。 不過,若要將非可用性區域 (AZ) 閘道升級至 UltraPerformance SKU,您將需要重新建立閘道。 重新建立閘道時會導致停機。 您不需要刪除和重新建立閘道,即可升級 AZ enabled SKU。

閘道 SKU 的功能支援

下表顯示每個閘道類型所支援的功能。

閘道 SKU VPN 閘道和 ExpressRoute 共存 FastPath 電路連接數目上限
標準 SKU/ERGw1Az 4
高效能 SKU/ERGw2Az 8
Ultra 效能 SKU/ErGw3Az 16

閘道 SKU 預估的效能

下表顯示閘道類型和預估的效能調整數位。 這些數位衍生自下列測試條件,並表示最大支援限制。 實際效能可能會因流量複寫測試條件的緊密程度而有所不同。

測試條件

標準/ERGw1Az
  • 線路頻寬:1Gbps
  • 閘道所通告的路由數目:500
  • 已學習的路由數目:4000
高效能/ERGw2Az
  • 線路頻寬:1Gbps
  • 閘道所通告的路由數目:500
  • 已學習的路由數目:9500
Ultra 效能/ErGw3Az
  • 線路頻寬:1Gbps
  • 閘道所通告的路由數目:500
  • 已學習的路由數目:9500

此資料表適用於資源管理員與傳統部署模型。

閘道 SKU 每秒連線數 每秒百萬位元位數 每秒封包數 虛擬網路中支援的 Vm 數目
標準/ERGw1Az 7,000 1,000 100,000 2,000
高效能/ERGw2Az 14,000 2,000 250,000 4,500
Ultra 效能/ErGw3Az 16,000 10,000 1,000,000 11,000

重要

應用程式效能取決於多項因素,例如端對端延遲以及應用程式開啟之流量的數目。 表格中的數字代表應用程式在理想的環境中,理論上可以達成的最高上限。

注意

所有閘道可連線到相同虛擬網路之相同對等互連位置中的 ExpressRoute 線路數目上限為4。

閘道子網路

建立 ExpressRoute 閘道之前,您必須先建立閘道子網。 閘道子網路包含虛擬網路閘道 VM 與服務所使用的 IP 位址。 當您建立虛擬網路閘道時,閘道 Vm 會部署至閘道子網,並使用必要的 ExpressRoute 閘道設定進行設定。 請勿將任何其他項目 (例如其他 VM) 部署到閘道子網路。 此閘道子網路必須命名為 'GatewaySubnet' 才能正常運作。 將閘道子網路命名為 'GatewaySubnet' 可讓 Azure 知道這是要用來部署虛擬網路閘道 VM 和服務的子網路。

注意

不支援 具有 0.0.0.0/0 目的地的使用者定義路由和 GatewaySubnet 上的 NSG。 使用此組態建立的閘道將會遭到封鎖而無法建立。 閘道需要存取管理控制器,才能正常運作。 GatewaySubnet 上的 BGP 路由傳播應該設定為 [已啟用],以確保閘道的可用性。 如果這設定為已停用,閘道將無法運作。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網路中的 IP 位址會配置給閘道 VM 和閘道服務。 有些組態需要的 IP 位址比其他組態多。

當您規劃閘道子網路大小時,請參閱您打算建立的設定文件。 例如,ExpressRoute/VPN 閘道並存設定相較於大部分的其他設定,需要較大的閘道子網路。 此外,您可能會想要確定閘道子網路包含足夠的 IP 位址,以因應未來可能的額外組態需求。 如果您有可用的位址空間可以這麼做,您可以建立像 /29 這麼小的閘道子網路,但建議您建立 /27 或更大 (/27、/26 等) 的閘道子網路。 如果您打算將16個 ExpressRoute 線路連接到您的閘道,您 必須 建立/26 或更大的閘道子網。 如果您要建立雙 stack 閘道子網,建議您也使用 IPv6 範圍/64 或更大的。 這會容納大部分的設定。

下列 Resource Manager PowerShell 範例顯示名為 GatewaySubnet 的閘道子網路。 您可以看到 CIDR 標記法指定 /27,這可提供足以供大多數現有組態使用的 IP 位址。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

重要

使用閘道子網路時,避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網產生關聯,可能會導致您的虛擬網路閘道 (VPN 和 Express Route 閘道) 停止如預期般運作。 如需網路安全性群組的詳細資訊,請參閱 什麼是網路安全性群組?

區域備援閘道 SKU

您也可以在 Azure 可用性區域中部署 ExpressRoute 閘道。 這能夠在實際上和邏輯上將閘道分隔為不同的可用性區域,同時還能在發生區域層級的失敗時,保護內部部署項目與 Azure 的網路連線。

區域備援 ExpressRoute 閘道

區域備援閘道會使用適用於 ExpressRoute 閘道的特定新式閘道 SKU。

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ

新的閘道 SKU 也支援其他部署選項,以充分符合您的需求。 使用新的閘道 SKU 建立虛擬網路閘道時,您也可選擇在特定區域中部署閘道。 稱之為區域閘道。 當您部署分區閘道時,閘道的所有執行個體都會部署在相同的可用性區域中。

FastPath

ExpressRoute 虛擬網路的設計目的是交換網路路由,以及路由網路流量。 FastPath 的設計目的是改善內部部署網路與虛擬網路之間的資料路徑效能。 啟用時,FastPath 會略過閘道,直接將網路流量傳送到虛擬網路中的虛擬機器。

如需 FastPath 的詳細資訊,包括限制和需求,請參閱 關於 FastPath

REST API 和 PowerShell Cmdlet

如需將 REST API 和 PowerShell Cmdlet 使用於虛擬網路閘道組態時的其他技術資源和特定語法需求,請參閱下列頁面︰

傳統 Resource Manager
PowerShell PowerShell
REST API REST API

後續步驟

如需可用連接設定的詳細資訊,請參閱 ExpressRoute 總覽

如需建立 ExpressRoute 閘道的詳細資訊,請參閱 建立 expressroute 的虛擬網路閘道

如需設定區域冗余閘道的詳細資訊,請參閱 建立區域冗余的虛擬網路閘道

如需 FastPath 的詳細資訊,請參閱 關於 FastPath