Поделиться через


Что такое VPN-шлюз Azure?

Azure VPN-шлюз — это служба, которая может использоваться для отправки зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. VPN-шлюз использует определенный тип шлюза виртуальной сети Azure, который называется VPN-шлюзом. Можно создать несколько подключений к одному VPN-шлюзу. При создании нескольких подключений все VPN-туннели совместно используют доступную пропускную способность шлюза.

Зачем использовать VPN-шлюз?

Ниже приведены некоторые ключевые сценарии для VPN-шлюз:

  • Отправка зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Это можно сделать с помощью следующих типов подключений:

    • Подключение типа "сеть — сеть": подключение между VPN-шлюзом и локальным VPN-подключением между VPN-шлюзом и локальным VPN-устройством.

    • Подключение типа "точка — сеть": VPN через OpenVPN, IKEv2 или SSTP. Этот тип подключения позволяет подключаться к виртуальной сети из удаленного расположения, например из конференции или из дома.

  • Отправка зашифрованного трафика между виртуальными сетями. Это можно сделать с помощью следующих типов подключений:

    • Виртуальная сеть — виртуальная сеть: vpn-туннель IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure, использующим тип подключения "виртуальная сеть — виртуальная сеть ". Этот тип подключения предназначен специально для подключений между виртуальными сетями.

    • Подключение типа "сеть — сеть": vpn-туннель IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure. Этот тип подключения, используемый в архитектуре виртуальной сети к виртуальной сети, использует тип подключения типа "сеть — сеть" (IPsec), который позволяет локальным подключениям к шлюзу в дополнение к подключениям между VPN-шлюзами.

  • Настройте VPN типа "сеть — сеть" в качестве безопасного пути отработки отказа для ExpressRoute. Это можно сделать с помощью:

    • ExpressRoute + VPN-шлюз: сочетание подключений ExpressRoute + VPN-шлюз (сосуществующие подключения).
  • Используйте VPN типа "сеть — сеть" для подключения к сайтам, которые не подключены через ExpressRoute. Это можно сделать с помощью:

    • ExpressRoute + VPN-шлюз: сочетание подключений ExpressRoute + VPN-шлюз (сосуществующие подключения).

Планирование и проектирование

Так как с помощью VPN-шлюза вы можете создать несколько конфигураций подключения, необходимо определить, какая конфигурация наилучшим образом соответствует вашим требованиям. Подключения типа "точка — сеть", "сеть — сеть" и совместное подключение ExpressRoute или "сеть — сеть" имеют разные инструкции и требования к конфигурации ресурсов.

См. статью VPN-шлюз топологии и разработки топологий проектирования и ссылки на инструкции по настройке. В следующих разделах статьи рассматриваются некоторые топологии проектирования, которые чаще всего используются.

Таблица планирования

Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения.

Точка-сеть Подключение "сеть — сеть".
Поддерживаемые службы Azure Облачные службы и виртуальные машины Облачные службы и виртуальные машины
Типичные пропускные способности Зависит от SKU шлюза Обычно < 10 Гбит/с (совокупная)
Поддерживаемые протоколы Протокол безопасного туннелирования сокетов (SSTP), OpenVPN и IPsec IPsec
Маршрутизация RouteBased (динамическая) Мы поддерживаем маршрутизацию на основе политик (PolicyBased, статическая маршрутизация) и маршрутов (RouteBased, VPN с динамической маршрутизацией).
Устойчивость подключения "Активное — пассивное" или "активное —активное" "Активное — пассивное" или "активное —активное"
Типичный случай использования Безопасный доступ к виртуальным сетям Azure для удаленных пользователей Сценарии разработки, тестирования и лаборатории, а также небольшие и средние рабочие нагрузки для облачных служб и виртуальных машин
Соглашение об уровне обслуживания Соглашение об уровне обслуживания Соглашение об уровне обслуживания
Цены Цены Цены
Техническая документация VPN-шлюз VPN-шлюз
Вопросы и ответы VPN-шлюз: вопросы и ответы VPN-шлюз: вопросы и ответы

зоны доступности;

VPN-шлюзы можно развернуть в Зонах доступности Azure. В результате шлюзы виртуальной сети смогут работать на более высоких уровнях отказоустойчивости, масштабируемости и доступности. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. Ознакомьтесь со статьей Избыточные между зонами шлюзы виртуальной сети в Зонах доступности Azure.

Настройка VPN-шлюза

При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. В некоторых случаях ресурсы должны быть настроены в определенном порядке. Правильный выбор параметров каждого ресурса критически важен для успешного создания подключения.

Сведения о отдельных ресурсах и параметрах для VPN-шлюз см. в разделе "Сведения о параметрах VPN-шлюз" и номерах SKU шлюза " В этих статьях содержатся сведения о типах шлюзов, номерах SKU шлюза, типах VPN, типах подключений, подсетях шлюзов, шлюзах локальной сети и различных других параметрах ресурсов, которые можно рассмотреть.

Схемы проектирования и ссылки на статьи о конфигурации см. в статье о топологии и проектировании VPN-шлюз.

SKU шлюза

Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания. Дополнительные сведения о номерах SKU шлюза, включая поддерживаемые функции, таблицы производительности, шаги конфигурации и рабочие нагрузки dev-test, см. в разделе "Сведения о номерах SKU шлюза".

VPN
Шлюз
Поколение
SKU Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть"
Туннели
Подключение "точка — сеть"
Подключения SSTP
Подключение "точка — сеть"
Подключения IKEv2/OpenVPN
Агрегат
Тест пропускной способности
BGP Избыточность между зонами Поддерживаемая численность виртуальных машин в виртуальная сеть
Поколение1 Базовая Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается No 200
Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается No 450
Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается No 1300
Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается No 4000
Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да 1000
Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да 2000
Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да 5000
Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается No 685
Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается No 2240
Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается No 5300
Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается No 6700
Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да 2000
Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да 3300
Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да 4400
Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да 9000

(*) Если требуется более 100 VPN-туннелей S2S, используйте Виртуальная глобальная сеть вместо VPN-шлюз.

Цены

Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик. Дополнительные сведения о ценах можно просмотреть на этой странице . Чтобы узнать цены на SKU для шлюза прежних версий, откройте страницу с ценами на ExpressRoute и прокрутите ее до разделаШлюзы виртуальной сети.

Имя шлюза виртуальной сети: VNet1GW.
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети. В стоимость входит сам шлюз и трафик, который через него проходит. Конфигурации "активный — активный" и "активный — пассивный" одинаковы по стоимости установки. См. дополнительные сведения о номерах SKU для VPN-шлюзов.

расходы, связанные с передачей данных;
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.

  • Если вы отправляете трафик в локальное VPN-устройство, с вас будет взиматься плата как за исходящий сетевой трафик.
  • При обмене данными между виртуальными сетями в разных регионах цена зависит от региона.
  • При обмене данными между виртуальными сетями в одном регионе плата не взимается. Обмен данными между виртуальными сетями в одном регионе бесплатный.

Новые возможности VPN-шлюз?

VPN-шлюз Azure регулярно обновляется. Чтобы оставаться в курсе последних объявлений, см. статью "Новые возможности". В статье рассматриваются следующие моменты:

  • Последние выпуски
  • Предварительные версии, которые ведутся с известными ограничениями (если применимо)
  • Известные проблемы
  • со сведениями о нерекомендуемых функциях (если это применимо).

Вы также можете подписаться на RSS-канал и просмотреть последние обновления компонентов VPN-шлюз на странице "Обновления Azure".

Вопросы и ответы

См. вопросы и ответы, связанные с использованием VPN-шлюза.

Следующие шаги