關於閘道 SKU
當您建立 VPN 閘道的虛擬網路閘道時,您可以指定要使用的閘道 SKU。 本文說明您在選取閘道 SKU 時應考慮的因素。 如果您要尋找 ExpressRoute 閘道 SKU 的相關資訊,請參閱用於 ExpressRoute 的虛擬網路閘道。 如需虛擬 WAN 閘道,請參閱虛擬 WAN 閘道設定。
當您設定虛擬網路閘道 SKU 時,請根據工作負載類型、輸送量、功能和 SLA 來選取符合您的需求的 SKU。 下列各節顯示您在作決定時應使用的相關資訊。
依通道、連線和輸送量區分的閘道 SKU
| VPN 閘道 世代 |
SKU | S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 |
P2S IKEv2/OpenVPN 連線 |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網路中支援的 VM 數目 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
| Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
| Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
| Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
| Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
| Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
| Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
| Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
| Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
| Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
| Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
| Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
| Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
| Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
| Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
(*) 如果您需要超過 100 個 S2S VPN 通道,請使用虛擬 WAN ,而不是 VPN 閘道。
其他資訊
由於基本 SKU 公用 IP 位址已宣布將於 2025 年 9 月 30 日淘汰,因此我們不再允許使用基本 SKU 公用 IP 位址來建立新的閘道。 從 2023 年 12 月 1 日起,當您建立新的 VPN 閘道時,您必須使用標準 SKU 公用 IP 位址。 此限制不適用於您使用 VPN 閘道基本閘道 SKU 所建立的新閘道。 您仍然可以建立使用基本 SKU 公用 IP 位址的基本 SKU VPN 閘道。
基本閘道 SKU 不支援 IPv6,它只能使用 PowerShell 或 Azure CLI 來進行設定。 此外,基本閘道 SKU 不支援 RADIUS 驗證。
這些連線數限制是個別的。 例如,您在 VpnGw1 SKU 上可以有 128 個 SSTP 連線和 250 個 IKEv2 連線。
如果您有許多 P2S 連線,可能會對您的 S2S 連線造成負面影響。 匯總輸送量基準測試是藉由將 S2S 和 P2S 連線的組合最大化以進行測試。 單一 P2S 或 S2S 連線可能具有較低的輸送量。
如需定價資訊,請參閱定價頁面。
如需 SLA (服務等級協定) 資訊,請參閱 SLA 頁面。
由於網際網路流量狀況和您的應用程式行為,因此無法保證所有效能評定均可行。
依效能列出的閘道 SKU
本節中的表格列出 VpnGw SKU 的效能測試結果。 VPN 通道會連線至 VPN 閘道執行個體。 上一節的輸送量表格中提及每個執行個體輸送量,而且可在所有連線至該執行個體的通道中進行彙總。 該表針對不同的網路閘道 SKU 顯示每個通道觀察到的頻寬和每秒封包輸送量。 所有測試都是在具有 100 個連線以及在標準負載情況下的不同區域中,並在 Azure 內的閘道 (端點) 之間執行。 我們使用公開提供的 iPerf 和 CTSTraffic 工具來測量站對站連線的效能
- 當我們針對 IPsec 加密和完整性使用 GCMAES256 演算法時,取得了最佳效能。
- 針對 IPsec 加密使用 AES256,並使用 SHA256 以實現完整性時,取得了平均效能。
- 針對 IPsec 加密使用 DES3,並使用 SHA256 以實現完整性時,則取得了最低效能。
| 世代 | SKU | 演算法 已使用 |
輸送量 每個通道觀察到 |
每個通道的每秒封包數 觀察到 |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
依功能集區分的閘道 SKU
| SKU | 功能 |
|---|---|
| 基本 (\*\*) | 路由式 VPN:適用於 P2S/連線的 10 個通道;沒有適用於 P2S 的 RADIUS 驗證;沒有適用於 P2S 的 IKEv2 原則式 VPN (IKEv1):1 個 S2S/連線通道;沒有 P2S |
| 基本以外的所有 Generation1 和 Generation2 SKU | 路由式 VPN:最多 100 個通道 (*),P2S、BGP、主動-主動、自訂 IPsec/IKE 原則、ExpressRoute/VPN 共存 |
(*) 您可以設定 "PolicyBasedTrafficSelectors",將以路由為基礎的 VPN 閘道連線至多個內部部署以原則為基礎的防火牆裝置。 如需詳細資訊,請參閱使用 PowerShell 將 VPN 閘道連線至多個內部部署原則式 VPN 裝置。
(**) 基本 SKU 被視為舊版 SKU。 基本 SKU 具有特定功能和效能限制,不應用於生產用途。 請先確認其有支援您需要的功能,再使用基本 SKU。 基本 SKU 不支援 IPv6,它只能使用 PowerShell 或 Azure CLI 來進行設定。 此外,基本 SKU 不支援 RADIUS 驗證。
閘道 SKU - 生產與開發測試工作負載
由於 SLA 和功能集的差異,我們建議將下列 SKU 用於產生與開發測試:
| [工作負載] | SKU |
|---|---|
| 生產、重要工作負載 | 第 1 代 SKU 和第 2 代 SKU (基本 SKU 除外) |
| 開發測試或概念證明 | 基本 (\*\*) |
(**) 基本 SKU 被視為舊版 SKU。 基本 SKU 具有特定功能和效能限制,不應用於生產用途。 請先確認其有支援您需要的功能,再使用基本 SKU。 基本 SKU 不支援 IPv6,它只能使用 PowerShell 或 Azure CLI 來進行設定。 此外,基本 SKU 不支援 RADIUS 驗證。
如果您使用的是舊的 SKU (舊版),則生產 SKU 建議為「標準」和「高效能」。 如需舊式 SKU 的資訊和指示,請參閱閘道 SKU (舊版)。
關於舊版 SKU
如需使用舊版閘道 SKU (基本、標準和高效能) 的相關資訊 (包括 SKU 淘汰),請參閱管理舊版閘道 SKU。
指定 SKU
當您建立 VPN 閘道時,您可以指定閘道 SKU。 如需步驟,請參閱下列文章:
變更或調整 SKU 大小
注意
如果您正在使用舊版閘道 SKU (基本、標準和高效能),請參閱管理舊版閘道 SKU。
當您想要移至另一個 SKU 時,有多種方法可供選擇。 您選擇的方法取決於您從中起始的閘道 SKU。
調整 SKU 的大小: 當您調整 SKU 的大小時,幾乎不會造成中斷的情況。 您不需要遵循工作流程來調整 SKU 的大小。 您可以在 Azure 入口網站中快速且輕易地調整 SKU 的大小。 或者,您也可以使用 PowerShell 或 Azure CLI。 您不需要重新設定您的 VPN 裝置或 P2S 用戶端。
變更 SKU: 如果您無法調整 SKU 的大小,您可以使用特定的工作流程來變更您的 SKU。 變更 SKU 會比調整大小造成更多中斷的情況。 此外,在使用此方法時需要重新設定多個資源。
考量
移至新的閘道 SKU 時需要考慮許多事項。 本節會概述主要項目,並提供一個表格來幫助您選取最佳的使用方法。
- 您無法透過調整大小來降級 SKU。
- 您無法將舊版 SKU 的大小調整為其中一個較新的 Azure SKU (VpnGw1、VpnGw2AZ 等)資源管理員部署模型的舊版 SKU 包括:基本、標準和高效能。 您必須改為變更 SKU。
- 只要閘道 SKU 屬於同一代 (基本 SKU 除外),您就可以調整其大小。
- 您可以將基本 SKU 變更為另一個 SKU。
- 當您從舊版 SKU 變更為新的 SKU 時,您會遇到連線中斷的情況。
- 當您變更為新的閘道 SKU 時,VPN 閘道的公用 IP 位址會變更。 即使您指定了先前所使用的相同公用 IP 位址物件,也會發生這種情況。
- 如果您有傳統 VPN 閘道,則必須繼續使用該閘道的舊版 SKU。 不過,您可以在可用於傳統閘道的舊版 SKU 之間調整大小。 您無法變更為新的 SKU。
- 標準和高效能的舊版 SKU 即將淘汰。 如需 SKU 移轉和升級時間表,請參閱舊版 SKU 淘汰。
下表可協助您了解從一個 SKU 移至另一個 SKU 所需的方法。
| 起始 SKU | 目標 SKU | Resize | 變更 |
|---|---|---|---|
| 基本 SKU | 任何其他 SKU | No | 是 |
| 標準 SKU | 新的 Azure SKU | No | 是 |
| 標準 SKU | 高效能 SKU | No | 非必要 |
| 高效能 | 新的 Azure SKU | No | 是 |
| 第 1 代 SKU | 第 1 代 SKU | 是 | 非必要 |
| 第 1 代 SKU | 第 1 代 AZ SKU | No | 是 |
| 第 1 代 AZ SKU | 第 1 代 AZ SKU | 是 | 非必要 |
| 第 1 代 AZ SKU | 第 2 代 AZ SKU | No | 是 |
| 第 2 代 SKU | 第 2 代 SKU | 是 | 非必要 |
| 第 2 代 SKU | 第 2 代 AZ SKU | No | 是 |
| 第 2 代 AZ SKU | 第 2 代 AZ SKU | 是 | 非必要 |
下一步
如需有關可用連線組態的詳細資訊,請參閱關於 VPN 閘道。