Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per connettere la rete virtuale di Azure (rete virtuale) e la rete locale usando Azure ExpressRoute, è prima necessario creare un gateway di rete virtuale. Un gateway di rete virtuale serve due scopi: scambiare route IP tra reti e instradare il traffico di rete.
Il presente articolo illustra diversi tipi di gateway, SKU di gateway e prestazioni stimate per SKU. Questo articolo illustra anche ExpressRoute FastPath, una funzionalità che consente al traffico di rete dalla rete locale di ignorare il gateway di rete virtuale per migliorare le prestazioni.
Codici SKU del gateway
Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway da usare. Quando si seleziona uno SKU gateway superiore, al gateway vengono allocate più CPU e larghezza di banda di rete. Di conseguenza, il gateway può supportare una velocità effettiva di rete superiore alla rete virtuale.
I gateway di rete virtuale ExpressRoute possono usare i seguenti SKU:
- ErGwScale (anteprima): per altre informazioni, vedere Gateway scalabile di ExpressRoute
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
È possibile aggiornare il gateway a uno SKU con capacità superiore all'interno della stessa famiglia di SKU non abilitata per Az o del gateway abilitato per Az.
Ad esempio, è possibile aggiornare:
- Da uno SKU non abilitato per Az a un altro SKU non abilitato per Az
- Da uno SKU abilitato per Az a un altro SKU abilitato per Az
Per tutti gli altri scenari di downgrade, è necessario eliminare e ricreare il gateway, che comporta tempi di inattività.
Creazione della subnet del gateway
Prima di creare un gateway ExpressRoute, è necessario creare una subnet del gateway. Le macchine virtuali e i servizi del gateway di rete virtuale usano indirizzi IP contenuti nella subnet del gateway.
Quando si crea il gateway di rete virtuale, le macchine virtuali del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway ExpressRoute necessarie. Non distribuire mai altri elementi nella subnet del gateway. La subnet del gateway deve essere denominata "GatewaySubnet" per funzionare correttamente, perché in questo modo Azure sa di distribuire le macchine virtuali e i servizi del gateway di rete virtuale in questa subnet.
Note
Le route definite dall'utente con una destinazione 0.0.0.0/0 e i gruppi di sicurezza di rete (NSG) nella subnet del gateway non sono supportati. I gateway con questa configurazione non vengono creati. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. La propagazione della route BGP (Border Gateway Protocol) deve essere abilitata nella subnet del gateway per garantire la disponibilità del gateway. Se la propagazione della route BGP è disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo IP pubblico del gateway.
- Non è consigliabile distribuire Resolver privato DNS di Azure in una rete virtuale con un gateway di rete virtuale ExpressRoute e impostare regole con caratteri jolly per indirizzare tutta la risoluzione dei nomi a un server DNS specifico. Una configurazione di questo tipo può causare problemi di connettività di gestione.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. Ad esempio, la configurazione di coesistenza del gateway ExpressRoute/VPN richiede una subnet gateway più grande rispetto alla maggior parte delle altre configurazioni. È anche possibile assicurarsi che la subnet del gateway contenga indirizzi IP sufficienti per supportare le possibili configurazioni future.
È consigliabile creare una subnet del gateway con un valore /27 o superiore. Se si prevede di connettere 16 circuiti ExpressRoute al gateway, è necessario creare una subnet del gateway di /26 o superiore. Se si sta creando una subnet del gateway dual stack, è consigliabile usare anche un intervallo IPv6 di /64 o superiore. Questa configurazione supporta la maggior parte delle configurazioni.
L'esempio di PowerShell di Azure Resource Manager seguente mostra una subnet del gateway denominata GatewaySubnet. È possibile notare che la notazione CIDR (Classless Interdomain Routing) specifica un /27, che consente un numero sufficiente di indirizzi IP per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.
Limitazioni e prestazioni del gateway di rete virtuale
Supporto delle funzionalità per SKU del gateway
La tabella seguente illustra le funzionalità supportate da ogni tipo di gateway e il numero massimo di connessioni del circuito ExpressRoute supportate da ogni SKU del gateway.
| SKU del gateway | Coesistenza Gateway VPN ed ExpressRoute | FastPath | Numero massimo di connessioni al circuito |
|---|---|---|---|
| SKU standard/ERGw1Az | Yes | No | 4 |
| SKU con prestazioni elevate/ERGw2Az | Yes | No | 8 |
| SKU con prestazioni elevate/ErGw3Az | Yes | Yes | 16 |
| ErGwScale (anteprima) | Yes | Sì - minimo 10 unità di scala | 4 - minimo 1 di unità di scala 8 - Minimo 2 unità di scala 16 - Minimo 10 unità di scala |
Note
Il numero massimo di circuiti ExpressRoute dallo stesso percorso di peering che può connettersi alla medesima rete virtuale è 4 per tutti i gateway.
Prestazioni stimate in base allo SKU del gateway
Le tabelle seguenti forniscono una panoramica dei diversi tipi di gateway, delle rispettive limitazioni e delle relative metriche delle prestazioni previste.
Limiti massimi supportati
Questa tabella si applica sia ai modelli di distribuzione di Azure Resource Manager che a quelli di distribuzione classica.
| SKU del gateway | Megabit al secondo | Pacchetti al secondo | Numero di macchine virtuali supportate nella rete virtuale 1 | Limite di numero di flussi | Numero di route apprese dal gateway |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Prestazioni elevate/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Prestazioni Ultra/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (per unità di scala 1-10) | 1.000 per unità di scala | 100.000 per unità di scala | 2.000 per unità di scala | 100.000 per unità di scala | 9.500 totali per gateway |
| ErGwScale (per unità di scala 11-40) | 1.000 per unità di scala | 200.000 per unità di scala | 1.000 per unità di scala | 100.000 per unità di scala | 9.500 totali per gateway |
1 I valori nella tabella sono stime e variano a seconda dell'utilizzo della CPU del gateway. Se l'utilizzo della CPU è elevato e viene superato il numero di macchine virtuali supportate, il gateway inizierà a eliminare i pacchetti.
Note
ExpressRoute può facilitare fino a 11.000 route che si estendono su spazi di indirizzi di rete virtuale, reti locali e connessioni di peering di rete virtuale pertinenti. Per garantire la stabilità della connessione ExpressRoute, evitare di pubblicizzare più di 11.000 route a ExpressRoute. Il numero massimo di route annunciate dal gateway è 1.000 route.
Important
- Le prestazioni dell'applicazione dipendono da più fattori, ad esempio la latenza end-to-end e il numero di flussi di traffico aperti dall'applicazione. I numeri nella tabella rappresentano il limite massimo che l'applicazione può raggiungere in teoria in un ambiente ideale. Inoltre, viene eseguita la manutenzione di routine dell'host e del sistema operativo nel gateway di rete virtuale ExpressRoute per mantenere l'affidabilità del servizio. Durante un periodo di manutenzione la capacità del piano di controllo e del percorso dati del gateway viene ridotta.
- Durante un periodo di manutenzione, è possibile che si verifichino problemi di connettività intermittenti alle risorse dell'endpoint privato.
- ExpressRoute supporta una dimensione massima di pacchetti TCP e UDP di 1.400 byte. Le dimensioni dei pacchetti maggiori di 1.400 byte verranno frammentate.
- Il server di route di Azure può supportare fino a 4.000 macchine virtuali. Questo limite include le macchine virtuali nelle reti virtuali con peering. Per altre informazioni, vedere limitazioni del server di route di Azure.
- I valori nella tabella precedente rappresentano i limiti di ogni SKU del gateway.
IP pubblico assegnato automaticamente
La funzionalità IP pubblico assegnato automaticamente semplifica la distribuzione del gateway ExpressRoute consentendo a Microsoft di gestire l'indirizzo IP pubblico richiesto per conto dell'utente. Per PowerShell o l'interfaccia della riga di comando, non è più necessario creare o gestire una risorsa IP pubblica separata per il gateway.
Vantaggi principali:
- Sicurezza migliorata: L'indirizzo IP pubblico viene gestito internamente da Microsoft e non è esposto all'utente, riducendo i rischi associati alle porte di gestione aperte.
- Complessità ridotta: Non è necessario effettuare il provisioning o gestire una risorsa IP pubblica.
- Distribuzione semplificata: Azure PowerShell e l'interfaccia della riga di comando non richiedono più un indirizzo IP pubblico durante la creazione del gateway.
Funzionamento:
Quando si crea un gateway ExpressRoute, Microsoft effettua automaticamente il provisioning e gestisce l'indirizzo IP pubblico in una sottoscrizione back-end sicura. Questo indirizzo IP viene incapsulato all'interno della risorsa gateway, consentendo a Microsoft di applicare criteri come i limiti della frequenza dei dati e migliorare la controllabilità.
Availability:
L'indirizzo IP pubblico assegnato automaticamente non è disponibile per le distribuzioni della rete WAN virtuale (vWAN) o della zona estesa.
Connettività dalla rete virtuale alla rete virtuale e dalla rete virtuale alla rete WAN virtuale
Per impostazione predefinita, la connettività da rete virtuale a rete virtuale e da rete virtuale a rete WAN virtuale è disabilitata tramite un circuito ExpressRoute per tutti gli SKU del gateway. Per abilitare questa connettività, è necessario configurare il gateway di rete virtuale ExpressRoute per consentire questo traffico. Per altre informazioni, vedere indicazioni sulla connettività di rete virtuale tramite ExpressRoute. Per abilitare questo traffico, vedere Abilitare la connettività da rete virtuale a rete virtuale o da rete virtuale alla rete WAN virtuale tramite ExpressRoute.
FastPath
Il gateway di rete virtuale ExpressRoute è progettato per scambiare route di rete e instradare il traffico di rete. FastPath è progettato per migliorare le prestazioni del percorso dati tra la rete locale e la rete virtuale. Quando FastPath è abilitato, invia il traffico di rete direttamente alle macchine virtuali nella rete virtuale, ignorando il gateway.
Per altre informazioni su FastPath, incluse limitazioni e requisiti, vedere Informazioni su FastPath.
Connettività agli endpoint privati
Il gateway di rete virtuale ExpressRoute facilita la connettività agli endpoint privati distribuiti nella stessa rete virtuale del gateway di rete virtuale e tra peer di rete virtuale.
Important
- La capacità del piano di controllo e velocità effettiva per la connettività alle risorse dell'endpoint privato potrebbe essere ridotta di metà rispetto alla connettività alle risorse dell'endpoint non privato.
- Durante un periodo di manutenzione, è possibile che si verifichino problemi di connettività intermittenti alle risorse dell'endpoint privato.
- È necessario assicurarsi che la configurazione locale, incluse le impostazioni del router e del firewall, sia configurata correttamente per assicurarsi che i pacchetti per i transiti IP a 5 tuple usino un singolo hop successivo (router Microsoft Enterprise Edge) a meno che non sia presente un evento di manutenzione. Se la configurazione del firewall o del router locale dell'utente causa spesso l'uso di un hop successivo diverso per lo stesso IP a 5 tuple, si riscontreranno problemi di connettività.
- Assicurarsi che i criteri di rete (almeno, per il supporto UDR) siano abilitati nelle subnet in cui vengono distribuiti gli endpoint privati
Connettività dell'endpoint privato ed eventi di manutenzione pianificata
La connettività dell'endpoint privato è con stato. Quando viene stabilita una connessione a un endpoint privato tramite il peering privato di ExpressRoute, le connessioni in ingresso e in uscita vengono instradate tramite una delle istanze back-end dell'infrastruttura del gateway. Durante un evento di manutenzione, le istanze back-end dell'infrastruttura del gateway di rete virtuale vengono riavviate una alla volta, il che potrebbe causare problemi di connettività intermittenti.
Per evitare o ridurre al minimo i problemi di connettività con gli endpoint privati durante le attività di manutenzione, è consigliabile impostare il valore di timeout TCP compreso tra 15 e 30 secondi nelle applicazioni locali. Testare e configurare il valore ottimale in base ai requisiti dell'applicazione.
API REST e cmdlet PowerShell
Vedere le pagine seguenti per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST e i cmdlet di PowerShell per le configurazioni del gateway di rete virtuale:
| Classic | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Configurare la connettività tra reti virtuali
Per impostazione predefinita, la connettività tra reti virtuali è abilitata quando si collegano più reti virtuali allo stesso circuito ExpressRoute. Non è consigliabile usare il circuito ExpressRoute per la comunicazione tra reti virtuali. È invece consigliabile usare il peering di reti virtuali. Per altre informazioni sul motivo per cui la connettività da rete virtuale a rete virtuale non è consigliata tramite ExpressRoute, vedere Connettività tra reti virtuali tramite ExpressRoute.
Peering di rete virtuale
Una rete virtuale con un gateway ExpressRoute può avere un peering di reti virtuali con un massimo di 500 altre reti virtuali. Il peering di reti virtuali senza un gateway ExpressRoute potrebbe avere una limitazione del peering superiore.
Contenuti correlati
Per altre informazioni sulle configurazioni di connessione disponibili, vedere Panoramica di ExpressRoute.
Per altre informazioni sulla creazione di gateway ExpressRoute, vedere Creare un gateway di rete virtuale per ExpressRoute.
Per altre informazioni su come distribuire ErGwScale, vedere Configurare un gateway di rete virtuale per ExpressRoute usando il portale di Azure.
Per altre informazioni sulla configurazione dei gateway con ridondanza della zona, vedere Creare un gateway di rete virtuale con ridondanza della zona.
Per altre informazioni su FastPath, vedere Informazioni su FastPath.