Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure VPN Gateway службу можно использовать для отправки зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Вы также можете использовать VPN Gateway для отправки зашифрованного трафика между Azure виртуальными сетями через сеть Майкрософт. VPN Gateway использует определенный тип шлюза виртуальной сети Azure с именем VPN gateway. Можно создать несколько подключений к одному и тому же шлюзу VPN. При создании нескольких подключений все VPN-туннели делят доступную пропускную способность шлюза.
Замечание
Azure VPN Gateway — это одна из служб, составляющих категорию гибридного подключения в Azure. Другие службы в этой категории включают ExpressRoute и Virtual WAN. Каждая служба имеет собственные уникальные возможности и варианты использования. Дополнительные сведения об этой категории служб см. в разделе "Гибридное подключение".
Зачем использовать VPN Gateway?
Ниже приведены некоторые ключевые сценарии для VPN Gateway:
Отправка зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет с помощью одного из следующих типов подключений:
Подключение типа "сеть-сеть": Подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством.
Подключение типа "точка — сеть": VPN через OpenVPN, IKEv2 или SSTP. Этот тип подключения позволяет подключаться к виртуальной сети из удаленного расположения, например из конференции или из дома.
Отправка зашифрованного трафика между виртуальными сетями Azure с помощью следующих типов подключений:
VNet-to-VNet: подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure, использующим VNet-to-VNet тип подключения. Этот тип подключения предназначен специально для подключений между виртуальными сетями.
Site-to-site connection: туннельное подключение VPN IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure. Этот тип подключения, используемый в архитектуре VNet-to-VNet, использует тип подключения "сеть-сеть" (IPsec), который позволяет кросс-площадочные подключения к шлюзу, а также подключения между VPN-шлюзами.
Настройте VPN site-to-site в качестве надежного резервного маршрута для ExpressRoute с помощью:
- ExpressRoute + VPN Gateway: Сочетание подключений ExpressRoute + VPN Gateway (сосуществующие подключения).
Используйте VPN-соединения типа сайт-сайт, чтобы подключиться к сайтам, не подключенным через ExpressRoute:
- ExpressRoute + VPN Gateway: Сочетание подключений ExpressRoute + VPN Gateway (сосуществующие подключения).
Планирование и проектирование
Так как можно создать несколько конфигураций подключения с помощью VPN Gateway, необходимо определить, какую конфигурацию лучше всего подходит для ваших потребностей. Подключения типа "точка-точка", "сеть-сеть" и совместные подключения ExpressRoute/сеть-сеть имеют разные инструкции и требования к конфигурации ресурсов.
Ознакомьтесь со статьей топология и проектирование VPN Gateway для проектных топологий и инструкций по настройке и ссылок. В следующих разделах статьи рассматриваются некоторые топологии проектирования, которые чаще всего используются.
- Межсетевые VPN-подключения
- VPN-подключения типа "точка — сеть"
- VPN-подключения между виртуальными сетями
Таблица планирования
В следующей таблице вы можете выбрать оптимальный вариант подключения для решения.
| Точка — сеть | Межсетевое соединение | |
|---|---|---|
| Поддерживаемые службы Azure | Облачные службы и Virtual Machines | Облачные службы и Virtual Machines |
| Типичная пропускная способность | На основе номера SKU шлюза | Обычно суммарная пропускная способность < 10 Гбит/с |
| Поддерживаемые протоколы | Протокол безопасного туннелирования сокетов (SSTP), OpenVPN и IPsec | IPsec |
| Routing | RouteBased (динамическая) | Мы поддерживаем PolicyBased (статическую маршрутизацию) и RouteBased (динамическая маршрутизация VPN) |
| Устойчивость подключения | активно-пассивный или активно-активный | активно-пассивный или активно-активный |
| Типичный вариант использования | Безопасный доступ к виртуальным сетям Azure для удаленных пользователей | Сценарии разработки, тестирования и лаборатории, а также небольшие и средние рабочие нагрузки для облачных служб и виртуальных машин |
| Соглашение об уровне обслуживания | Соглашение об уровне обслуживания | Соглашение об уровне обслуживания |
| Цены | Цены | Цены |
| Техническая документация | VPN Gateway | VPN Gateway |
| Вопросы и ответы | VPN Gateway часто задаваемые вопросы | VPN Gateway часто задаваемые вопросы |
Зоны доступности
VPN-шлюзы можно развернуть в Azure Availability Zones. Развертывания зон доступности позволяют обеспечить устойчивость, масштабируемость и более высокую доступность шлюзов виртуальной сети. Развертывание шлюзов в Azure Availability Zones физически и логически отделяет шлюзы в пределах региона при защите локального сетевого подключения к Azure от сбоев уровня зоны. См. статью О шлюзах виртуальной сети с избыточностью между зонами в Зонах доступности Azure.
Настройка VPN Gateway
Подключение VPN-шлюза зависит от нескольких ресурсов, настроенных с определенными параметрами. В некоторых случаях ресурсы должны быть настроены в определенном порядке. Выбранные параметры для каждого ресурса критически важны для создания успешного подключения.
Сведения о настройках и отдельных ресурсах для VPN Gateway см. в разделах О настройках VPN Gateway и О конфигурациях шлюза.
См. схемы проектирования и ссылки на статьи о конфигурации в статье топология и проектирование VPN Gateway.
SKU шлюзов
Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания. Для получения дополнительной информации о номерах SKU шлюза, включая поддерживаемые функции, таблицы производительности, шаги конфигурации и рабочие нагрузки для разработки и тестирования, см. раздел "Сведения о номерах SKU шлюза".
|
VPN Шлюз Поколение |
Артикул |
Подключение "узел-узел (S2S)" или "виртуальная сеть — виртуальная сеть (VNet)" Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Zone-redundant | Поддерживаемое число виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | нет | 200 |
| Generation1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | нет | 450 |
| Generation1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | нет | 1 300 |
| Generation1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | нет | 4000 |
| Generation1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Generation1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Generation1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5 000 |
| Generation2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | нет | 685 |
| Generation2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | нет | 2240 |
| Generation2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | нет | 5300 |
| Generation2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | нет | 6700 |
| Generation2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Generation2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Generation2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Generation2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | Да | 9000 |
Замечание
"Поддерживаемое число виртуальных машин в Virtual Network" относится к количеству ресурсов, взаимодействующих через шлюз. Сюда входит следующее:
- Виртуальные машины в основной и пиринговых спицевых виртуальных сетях
- Частные конечные узлы
- Сетевые виртуальные устройства (например, шлюз приложений, Azure Firewall)
- Серверные экземпляры служб PaaS, развернутые в виртуальных сетях (например, SQL Managed Instance, App Service Environment)
(*) Если требуется более 100 VPN-туннелей S2S, используйте Virtual WAN вместо VPN Gateway.
Цены
Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик. Сведения о ценах можно найти на странице цен. Сведения о ценах на устаревшие SKU шлюза см. на странице цен на ExpressRoute и прокрутите вниз до раздела Шлюзы виртуальной сети.
Стоимость вычислений шлюза виртуальной сети.
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети. В стоимость входит сам шлюз и трафик, который через него проходит. Стоимость конфигураций «активный-активный» и «активный-пассивный» одинакова. Дополнительные сведения об номерах SKU шлюза для VPN Gateway см. в разделе Gateway SKU.
расходы, связанные с передачей данных;
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.
- Если вы отправляете трафик на локальное VPN-устройство, плата взимается в зависимости от скорости передачи данных из Интернета.
- Если вы отправляете трафик между виртуальными сетями в разных регионах, цены основаны на регионе.
- Если трафик отправляется только между виртуальными сетями, которые находятся в одном регионе, нет затрат на данные. Обмен данными между виртуальными сетями в одном регионе бесплатный.
Новые возможности VPN Gateway?
Azure VPN Gateway регулярно обновляется. Чтобы оставаться в курсе последних объявлений, см. статью "Новые возможности". В статье рассматриваются следующие моменты:
- Недавние релизы
- Идут предварительные показы с известными ограничениями (если применимо)
- Известные проблемы
- Устаревшая функциональность (если применимо)
Вы также можете подписаться на RSS-канал и просмотреть последние обновления компонентов VPN Gateway на странице Azure Обновления.
Вопросы и ответы
Часто задаваемые вопросы о VPN gateway см. в разделе VPN Gateway вопросы и ответы.