Informace o bránách virtuální sítě ExpressRoute
Pokud chcete připojit virtuální síť Azure a místní síť pomocí ExpressRoute, musíte nejprve vytvořit bránu virtuální sítě. Brána virtuální sítě slouží ke dvěma účelům: výměna tras IP mezi sítěmi a směrování síťového provozu. Tento článek vysvětluje různé typy bran, skladové položky brány a odhadovaný výkon podle skladové položky. Tento článek také vysvětluje ExpressRoute FastPath, což je funkce, která umožňuje síťový provoz z vaší místní sítě obejít bránu virtuální sítě, aby se zlepšil výkon.
Typy bran
Při vytváření brány virtuální sítě je potřeba zadat několik nastavení. Jedno z požadovaných nastavení určuje, -GatewayTypejestli se brána používá pro provoz ExpressRoute nebo VPN. Mezi dva typy bran patří:
Vpn – Pokud chcete posílat šifrovaný provoz přes veřejný internet, použijte typ brány Vpn. Tento typ brány se také označuje jako brána VPN. Připojení typu Site-to-Site, Point-to-Site a VNet-to-VNet používají bránu VPN.
ExpressRoute – Pokud chcete posílat síťový provoz v privátním připojení, použijte typ brány ExpressRoute. Tento typ brány se také označuje jako brána ExpressRoute a používá se při konfiguraci ExpressRoute.
Každá virtuální síť může mít pouze jednu bránu virtuální sítě pro každý typ brány. Můžete mít například jednu bránu virtuální sítě, která používá -GatewayType vpn, a bránu, která používá -GatewayType ExpressRoute.
Skladové položky brány
Při vytváření brány virtuální sítě musíte určit SKU brány, které chcete použít. Pokud vyberete vyšší SKU brány, přidělí se pro bránu víc procesorů a šířky pásma sítě, a v důsledku toho může brána podporovat vyšší propustnost sítě k virtuální síti.
Brány virtuální sítě ExpressRoute můžou používat následující skladové položky:
- ERGwScale (Preview)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Pokud chcete bránu upgradovat na skladovou položku brány s vyšší kapacitou, můžete použít rutinu Resize-AzVirtualNetworkGateway PowerShellu nebo provést upgrade přímo na stránce konfigurace brány virtuální sítě ExpressRoute na webu Azure Portal. Podporují se následující upgrady:
- Standardní až vysoký výkon
- Standardní až ultravýkonný výkon
- Vysoký výkon až ultravýkonný
- ErGw1Az do ErGw2Az
- ErGw1Az do ErGw3Az
- ErGw2Az do ErGw3Az
- Výchozí hodnota standardu
Kromě toho můžete skladovou položku brány virtuální sítě downgradovat. Podporují se následující downgrady:
- Vysoký výkon až standard
- ErGw2Az do ErGw1Az
Ve všech ostatních scénářích downgradu je potřeba bránu odstranit a znovu vytvořit. Opětovné vytvoření brány způsobuje výpadky.
Omezení a výkon brány virtuální sítě
Podpora funkcí podle skladové položky brány
Následující tabulka uvádí funkce podporované pro jednotlivé typy bran a maximální počet připojení okruhů ExpressRoute podporovaných jednotlivými skladovými položkami brány.
| Skladová položka brány | Koexistence služby VPN Gateway a ExpressRoute | FastPath | Maximální počet Připojení obvodů |
|---|---|---|---|
| Standardní SKU/ERGw1Az | Yes | No | 4 |
| Vysoká skladová položka výkonu / ERGw2Az | Yes | No | 8 |
| Ultravýkonný výkon SKU/ErGw3Az | Ano | Yes | 16 |
| ErGwScale (Preview) | Ano | Ano – minimálně 10 jednotek škálování | 4 – minimálně 1 jednotka škálování 8 – minimálně 2 jednotky škálování 16 – minimálně 10 jednotek škálování |
Poznámka:
Maximální počet okruhů ExpressRoute ze stejného umístění partnerského vztahu, který se může připojit ke stejné virtuální síti, je 4 pro všechny brány.
Odhadované výkony podle skladové položky brány
Následující tabulky poskytují přehled různých typů bran, jejich příslušných omezení a očekávaných metrik výkonu. Tato čísla jsou odvozena z následujících testovacích podmínek a představují maximální limity podpory. Skutečný výkon se může lišit v závislosti na tom, jak úzce provoz replikuje tyto testovací podmínky.
Podmínky testování
| Skladová položka brány | Provoz odeslaný z místního prostředí | Počet tras inzerovaných bránou | Počet tras, které se brána naučila |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gb/s | 500 | 4000 |
| High Performance/ERGw2Az | 2 Gb/s | 500 | 9,500 |
| Ultra Performance / ErGw3Az | 10 Gb/s | 500 | 9,500 |
| ErGwScale (na jednotku škálování) | 1 Gb/s | 500 | 4 000 |
Poznámka:
ExpressRoute může usnadnit až 11 000 tras, které zahrnují adresní prostory virtuální sítě, místní síť a všechna relevantní připojení peeringu virtuálních sítí. Pokud chcete zajistit stabilitu připojení ExpressRoute, vyhněte se reklamě více než 11 000 tras do ExpressRoute.
Výsledky výkonu
Tato tabulka platí pro modely nasazení Azure Resource Manager i Classic.
| Skladová položka brány | Připojení za sekundu | Mega-Bity za sekundu | Počet paketů za sekundu | Podporovaný počet virtuálních počítačů ve virtuální síti 1 | Limit počtu toků |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 7,000 | 1 000 | 100 000 | 2 000 | 100 000 |
| High Performance/ERGw2Az | 14,000 | 2 000 | 200 000 | 4 500 | 200 000 |
| Ultra Performance / ErGw3Az | 16 000 | 10 000 | 1 000 000 | 11,000 | 1 000 000 |
| ErGwScale (na jednotku škálování) | – | 1 000 | 100 000 | 2 000 | 100 000 na jednotku škálování |
1 Hodnoty v tabulce jsou odhady a liší se v závislosti na využití procesoru brány. Pokud je využití procesoru vysoké a počet podporovaných virtuálních počítačů se překročí, brána začne zahazovat pakety.
Důležité
- Výkon aplikace závisí na několika faktorech, například na celkové latenci a počtu toků provozu, které aplikace otevře. Čísla v tabulce představují horní limit, kterého může aplikace teoreticky dosáhnout v ideálním prostředí. Kromě toho Microsoft provádí rutinní údržbu hostitele a operačního systému v bráně virtuální sítě ExpressRoute, aby se zachovala spolehlivost služby. Během období údržby se sníží kapacita řídicí roviny a cesty k datům brány.
- Během období údržby může docházet k přerušovaným problémům s připojením k prostředkům privátního koncového bodu.
- ExpressRoute podporuje maximální velikost paketů TCP a UDP 1400 bajtů. Velikost paketů větší než 1400 bajtů se fragmentuje.
- Azure Route Server může podporovat až 4 000 virtuálních počítačů. Tento limit zahrnuje virtuální počítače ve virtuálních sítích, které jsou v partnerském vztahu. Další informace najdete v tématu Omezení azure Route Serveru.
Podsíť brány
Před vytvořením brány ExpressRoute musíte vytvořit podsíť brány. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Při vytváření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují se s požadovaným nastavením brány ExpressRoute. Nikdy do podsítě brány nenasazujte nic jiného. Aby podsíť brány správně fungovala, musí mít název GatewaySubnet. Pojmenování podsítě brány GatewaySubnet informuje Azure o nasazení virtuálních počítačů a služeb brány virtuální sítě do této podsítě.
Poznámka:
Trasy definované uživatelem s cílem 0.0.0.0/0 a skupinami zabezpečení sítě v podsítě GatewaySubnet se nepodporují. Vytváření bran s touto konfigurací je blokováno. Brány ke správnému fungování vyžadují přístup k řadičům pro správu. Šíření tras protokolu BGP by mělo být v podsítě brány nastaveno na Povoleno, aby se zajistila dostupnost brány. Pokud je šíření tras protokolu BGP v nastavení zakázáno, brána nebude fungovat.
Pokud se trasa definovaná uživatelem překrývá s rozsahem podsítě brány nebo rozsahem veřejných IP adres brány, může to mít vliv na diagnostiku, cestu k datům a cestu správy.
- Nedoporučujeme nasazovat privátní překladač Azure DNS do virtuální sítě s bránou virtuální sítě ExpressRoute a nastavením pravidel zástupných znaků pro směrování veškerého překladu názvů na konkrétní server DNS. Taková konfigurace může způsobit problémy s připojením ke správě.
Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné.
Při plánování velikosti podsítě brány si projděte dokumentaci ke konfiguraci, kterou plánujete vytvořit. Například existující konfigurace ExpressRoute/VPN Gateway vyžaduje větší podsíť brány než většina ostatních konfigurací. Dále můžete chtít zajistit, aby vaše podsíť brány obsahovala dostatek IP adres, aby vyhovovala možným budoucím konfiguracím. I když můžete vytvořit podsíť brány tak malou jako /29, doporučujeme vytvořit podsíť brány /27 nebo větší (/27, /26 atd.). Pokud plánujete připojit k bráně 16 okruhů ExpressRoute, musíte vytvořit podsíť brány /26 nebo větší. Pokud vytváříte podsíť brány se dvěma zásobníky, doporučujeme použít také rozsah IPv6 /64 nebo větší. Toto nastavení se přizpůsobí většině konfigurací.
Následující příklad PowerShellu Resource Manageru ukazuje podsíť brány s názvem GatewaySubnet. Zápis CIDR určuje /27, což umožňuje dostatek IP adres pro většinu aktuálně existujících konfigurací.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Důležité
Při práci s podsítěmi brány se vyhněte přidružení skupiny zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.
Zónově redundantní skladové položky brány
Brány ExpressRoute můžete také nasadit v Azure Zóny dostupnosti. Tato konfigurace je fyzicky a logicky odděluje do různých Zóny dostupnosti a chrání místní síťové připojení k Azure před selháními na úrovni zóny.
Zónově redundantní brány používají pro bránu ExpressRoute konkrétní nové skladové položky brány.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
Nové skladové položky brány také podporují další možnosti nasazení, které nejlépe odpovídají vašim potřebám. Při vytváření brány virtuální sítě pomocí nových skladových položek brány můžete bránu nasadit v konkrétní zóně. Tento typ brány se označuje jako zónová brána. Když nasadíte zónovou bránu, všechny instance brány se nasadí ve stejné zóně dostupnosti.
Připojení typu VNet to VNet a VNet to Virtual WAN
Ve výchozím nastavení je připojení typu VNet to VNet a VNet to Virtual WAN zakázané prostřednictvím okruhu ExpressRoute pro všechny skladové položky brány. Pokud chcete toto připojení povolit, musíte nakonfigurovat bránu virtuální sítě ExpressRoute tak, aby umožňovala tento provoz. Další informace najdete v doprovodných materiálech k připojení k virtuální síti přes ExpressRoute. Pokud chcete povolit tento provoz, přečtěte si téma Povolení připojení virtuální sítě VNet do virtuální sítě nebo virtuální sítě k virtuální síti WAN prostřednictvím ExpressRoute.
FastPath
Brána virtuální sítě ExpressRoute je určená k výměně síťových tras a ke směrování síťového provozu. FastPath slouží ke zvýšení výkonu cest k datům mezi místní sítí a virtuální sítí. Pokud je služba FastPath povolená, síťový provoz obchází bránu a odesílá se přímo do virtuálních počítačů ve virtuální síti.
Další informace o nástroji FastPath, včetně omezení a požadavků, najdete v tématu O aplikaci FastPath.
Připojení ivity k privátním koncovým bodům
Brána virtuální sítě ExpressRoute usnadňuje připojení k privátním koncovým bodům nasazenými ve stejné virtuální síti jako brána virtuální sítě a mezi partnerskými uzly virtuálních sítí.
Důležité
- Propustnost a kapacita roviny řízení může být poloviční než připojení k prostředkům bez privátního koncového bodu.
- Během období údržby může docházet k přerušovaným problémům s připojením k prostředkům privátního koncového bodu.
Připojení privátního koncového bodu a události plánované údržby
Připojení k privátnímu koncovému bodu je stavové. Když se vytvoří připojení k privátnímu koncovému bodu přes privátní partnerský vztah ExpressRoute, příchozí a odchozí připojení se směrují přes jednu z back-endových instancí infrastruktury brány. Během události údržby se instance back-endu infrastruktury brány virtuální sítě restartují po jednom, což může vést k přerušovaným problémům s připojením.
Pokud se chcete vyhnout problémům s připojením k privátním koncovým bodům během aktivit údržby nebo minimalizovat, doporučujeme nastavit hodnotu časového limitu protokolu TCP tak, aby v místních aplikacích spadla mezi 15 až 30 sekundami. Otestujte a nakonfigurujte optimální hodnotu na základě požadavků vaší aplikace.
Směrovací server
Vytvoření nebo odstranění serveru Azure Route z virtuální sítě, která má bránu virtuální sítě (ExpressRoute nebo VPN), může způsobit výpadek, dokud se operace nedokončila.
Rozhraní REST API a rutiny PowerShellu
Další technické prostředky a specifické požadavky na syntaxi při použití rozhraní REST API a rutin PowerShellu pro konfigurace brány virtuální sítě najdete na následujících stránkách:
| Klasické | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Připojení typu VNet-to-VNet
Ve výchozím nastavení je připojení mezi virtuálními sítěmi povolené, když propojíte více virtuálních sítí se stejným okruhem ExpressRoute. Microsoft doporučuje pro komunikaci mezi virtuálními sítěmi používat okruh ExpressRoute. Místo toho doporučujeme použít partnerský vztah virtuálních sítí. Další informace o tom, proč se přes ExpressRoute nedoporučuje připojení typu VNet-to-VNet, najdete v tématu Připojení mezi virtuálními sítěmi přes ExpressRoute.
Peering virtuálních sítí
Virtuální síť s bránou ExpressRoute může mít partnerský vztah virtuálních sítí s až 500 dalšími virtuálními sítěmi. Partnerský vztah virtuálních sítí bez brány ExpressRoute může mít vyšší omezení partnerského vztahu.
Škálovatelná brána ExpressRoute (Preview)
Skladová položka brány virtuální sítě ErGwScale umožňuje dosáhnout připojení 40 Gb/s k virtuálním počítačům a privátním koncovým bodům ve virtuální síti. Tato skladová položka umožňuje nastavit minimální a maximální jednotku škálování pro infrastrukturu brány virtuální sítě, která se automaticky škáluje na základě počtu aktivní šířky pásma nebo toku. Můžete také nastavit jednotku s pevným škálováním, která udržuje konstantní připojení s požadovanou hodnotou šířky pásma.
Nasazení zóny dostupnosti a regionální dostupnost
ErGwScale podporuje zónová i zónově redundantní nasazení v zónách dostupnosti Azure. Další informace o těchto konceptech najdete v dokumentaci k zónovým a zónově redundantním službám .
ErGwScale je k dispozici ve verzi Preview v následujících oblastech:
- Austrálie – východ
- Střední Kanada
- USA – východ
- Východní Asie
- Francie – střed
- Německo – středozápad
- Střední Indie
- Itálie - sever
- Severní Evropa
- Norsko – východ
- Švédsko – střed
- Spojené arabské emiráty – sever
- Spojené království – jih
- USA – západ 3
Automatické škálování vs. jednotka s pevným škálováním
Infrastruktura brány virtuální sítě se automaticky škáluje mezi minimální a maximální jednotkou škálování, kterou nakonfigurujete, na základě využití šířky pásma nebo počtu toků. Dokončení operací škálování může trvat až 30 minut. Pokud chcete dosáhnout pevného připojení s konkrétní hodnotou šířky pásma, můžete jednotku pevného škálování nakonfigurovat nastavením minimální jednotky škálování a maximální jednotky škálování na stejnou hodnotu.
Omezení
- Základní IP adresa: ErGwScale nepodporuje skladovou položku základní IP adresy. Ke konfiguraci služby ErGwScale musíte použít skladovou položku protokolu IP úrovně Standard.
- Minimální a maximální počet jednotek škálování: Můžete nakonfigurovat jednotkuškálování pro ErGwScale mezi 1–40. Minimální jednotka škálování nemůže být nižší než 1 a maximální jednotka škálování nemůže být vyšší než 40.
- Scénáře migrace: Ve verzi Public Preview nemůžete migrovat ze standardu nebo ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az na ErGwScale.
Ceny
ErGwScale je zdarma ve verzi Public Preview. Informace o cenách ExpressRoute najdete v tématu Ceny Azure ExpressRoute.
Odhadovaný výkon na jednotku škálování
Podporovaný výkon na jednotku škálování
| Jednotka škálování | Šířka pásma (Gb/s) | Počet paketů za sekundu | Připojení za sekundu | Maximální počet připojení virtuálních počítačů 1 | Maximální počet toků |
|---|---|---|---|---|---|
| 1-10 | 0 | 100 000 | 7,000 | 2 000 | 100 000 |
| 11-40 | 0 | 100 000 | 7,000 | 1 000 | 100 000 |
Ukázkový výkon s využitím jednotky škálování
| Jednotka škálování | Šířka pásma (Gb/s) | Počet paketů za sekundu | Připojení za sekundu | Maximální počet připojení virtuálních počítačů 1 | Maximální počet toků |
|---|---|---|---|---|---|
| 10 | 10 | 1 000 000 | 70,000 | 20,000 | 1 000 000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50 000 | 4,000,000 |
1 Maximální počet připojení virtuálních počítačů se škáluje jinak než 10 jednotek škálování. Prvních 10 jednotek škálování poskytne kapacitu 2 000 virtuálních počítačů na jednotku škálování. Jednotky škálování 11 a vyšší poskytují 1 000 dalších kapacit virtuálních počítačů na jednotku škálování.
Další kroky
Další informace o dostupných konfiguracích připojení najdete v tématu Přehled ExpressRoute.
Další informace o vytváření bran ExpressRoute najdete v tématu Vytvoření brány virtuální sítě pro ExpressRoute.
Další informace o nasazení ErGwScale najdete v tématu Konfigurace brány virtuální sítě pro ExpressRoute pomocí webu Azure Portal.
Další informace o konfiguraci zónově redundantních bran najdete v tématu Vytvoření zónově redundantní brány virtuální sítě.
Další informace o nástroji FastPath naleznete v tématu O aplikaci FastPath.