Informationen zu ExpressRoute-Gateways für virtuelle Netzwerke
Wenn Sie Ihr virtuelles Azure-Netzwerk und Ihr lokales Netzwerk über ExpressRoute verbinden möchten, müssen Sie zuerst ein virtuelles Netzwerkgateway erstellen. Ein Gateway für virtuelle Netzwerke dient zwei Zwecken: dem Austausch von IP-Routen zwischen den Netzwerken und der Weiterleitung des Netzwerkdatenverkehrs. In diesem Artikel werden verschiedene Gatewaytypen, Gateway-SKUs und die geschätzte Leistung nach SKU erläutert. In diesem Artikel wird auch ExpressRoute FastPath erläutert, ein Feature, das es dem Netzwerkdatenverkehr aus Ihrem lokalen Netzwerk ermöglicht, das virtuelle Netzwerkgateway zu umgehen, um die Leistung zu verbessern.
Gatewaytypen
Beim Erstellen eines Gateways für virtuelle Netzwerke müssen mehrere Einstellungen angegeben werden. Eine dieser erforderlichen Einstellungen, -GatewayType, gibt an, ob das Gateway für ExpressRoute- oder für VPN-Datenverkehr verwendet wird. Die zwei Gatewaytypen sind:
Vpn – Wenn verschlüsselter Netzwerkdatenverkehr über das öffentliche Internet gesendet wird, verwenden Sie den Gatewaytyp „Vpn“. Dieser Gatewaytyp wird auch als VPN-Gateway bezeichnet. Bei Site-to-Site-, Point-to-Site- und VNet-zu-VNet-Verbindungen wird jeweils VPN Gateway verwendet.
ExpressRoute – Verwenden Sie den Gatewaytyp „ExpressRoute“, wenn Netzwerkdatenverkehr über eine private Verbindung gesendet wird. Dieser Gatewaytyp wird auch als ExpressRoute-Gateway bezeichnet und wird zum Konfigurieren von ExpressRoute verwendet.
Ein virtuelles Netzwerk kann pro Gatewaytyp immer nur über ein einzelnes virtuelles Netzwerkgateway verfügen. So können Sie beispielsweise über ein Gateway für virtuelle Netzwerke mit dem Wert „Vpn“ für -GatewayType und über ein Gateway für virtuelle Netzwerke mit dem Wert „ExpressRoute“ für -GatewayType verfügen.
Gateway-SKUs
Beim Erstellen eines Gateways des virtuellen Netzwerks müssen Sie die gewünschte Gateway-SKU angeben. Wenn Sie eine höhere Gateway-SKU wählen, werden dem Gateway mehr CPUs und eine höhere Bandbreite zugewiesen. Infolgedessen unterstützt das Gateway einen höheren Netzwerkdurchsatz im virtuellen Netzwerk.
Virtuelle ExpressRoute-Netzwerkgateways können folgende SKUs verwenden:
- ERGwScale (Vorschau)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Wenn Sie für Ihr Gateway ein Upgrade auf eine SKU mit höherer Kapazität durchführen möchten, können Sie das PowerShell-Cmdlet Resize-AzVirtualNetworkGateway verwenden oder das Upgrade direkt auf der Konfigurationsseite des virtuellen ExpressRoute-Netzwerkgateways im Azure-Portal vornehmen. Folgende Upgrades werden unterstützt:
- Standard auf High Performance
- Standard auf Ultra Performance
- High Performance auf Ultra Performance
- ErGw1Az auf ErGw2Az
- ErGw1Az auf ErGw3Az
- ErGw2Az auf ErGw3Az
- Default auf Standard
Darüber hinaus können Sie auch ein Downgrade der SKU des virtuellen Netzwerkgateways vornehmen. Die folgenden Downgrades werden unterstützt:
- High Performance auf Standard
- ErGw2Az auf ErGw1Az
Für alle anderen Herabstufungsszenarios müssen Sie das Gateway löschen und neu erstellen. Das Neuerstellen eines Gateways führt zu Ausfällen.
Einschränkungen und Leistung des virtuellen Netzwerkgateways
Featureunterstützung nach Gateway-SKU
In der folgenden Tabelle sind die Features aufgeführt, die für die einzelnen Gatewaytypen und die maximale Anzahl von ExpressRoute-Verbindungen unterstützt werden, die von jeder Gateway-SKU unterstützt werden.
| Gateway-SKU | Koexistenz von VPN-Gateway und ExpressRoute | FastPath | Maximale Anzahl von Leitungsverbindungen |
|---|---|---|---|
| Standard-SKU/ERGw1Az | Ja | Nein | 4 |
| Hochleistungs-SKU/ERGw2Az | Ja | Nein | 8 |
| Höchstleistungs-SKU/ErGw3AZ | Ja | Ja | 16 |
| ErGwScale (Vorschau) | Ja | Ja – mindestens 10 Skalierungseinheiten | 4 – mindestens 1 Skalierungseinheit 8 – mindestens 2 Skalierungseinheiten 16 – mindestens 10 Skalierungseinheiten |
Hinweis
Die maximale Anzahl von ExpressRoute-Verbindungen vom gleichen Peeringstandort, die eine Verbindung mit demselben virtuellen Netzwerk herstellen können, beträgt 4 für alle Gateways.
Geschätzte Leistungen nach Gateway-SKU
In den folgenden Tabellen finden Sie eine Übersicht über die verschiedenen Arten von Gateways, ihre jeweiligen Einschränkungen und die erwarteten Leistungsmetriken. Diese Werte sind von den folgenden Testbedingungen abgeleitet und stellen die maximalen Unterstützungsgrenzwerte dar. Die tatsächliche Leistung kann abhängig davon variieren, wie genau diese Testbedingungen vom Datenverkehr repliziert werden.
Testbedingungen
| Gateway-SKU | Datenverkehr aus der lokalen Umgebung | Anzahl der vom Gateway angekündigten Routen | Anzahl der vom Gateway erlernten Routen |
|---|---|---|---|
| Standard/ERGw1Az | 1 GBit/s | 500 | 4000 |
| Hochleistung/ERGw2Az | 2 GBit/s | 500 | 9\.500 |
| Höchstleistung/ErGw3Az | 10 GBit/s | 500 | 9\.500 |
| ErGwScale (pro Skalierungseinheit) | 1 GBit/s | 500 | 4\.000 |
Hinweis
ExpressRoute kann bis zu 11.000 Routen unterstützen, die Adressräume virtueller Netzwerke, lokale Netzwerke und relevante Verbindungen für das Peering virtueller Netzwerke umfassen. Um die Stabilität Ihrer ExpressRoute-Verbindung zu gewährleisten, sollten Sie nicht mehr als 11.000 Routen für ExpressRoute anzeigen.
Leistungsergebnisse
Diese Tabelle betrifft sowohl das Azure Resource Manager-Bereitstellungsmodell als auch das klassische Bereitstellungsmodell.
| Gateway-SKU | Verbindungen pro Sekunde | Megabits pro Sekunde | Pakete pro Sekunde | Unterstützte Anzahl der VMs im virtuellen Netzwerk 1 | Limit an Datenflüssen |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 7\.000 | 1\.000 | 100.000 | 2.000 | 100.000 |
| Hochleistung/ERGw2Az | 14.000 | 2\.000 | 200.000 | 4\.500 | 200.000 |
| Höchstleistung/ErGw3Az | 16.000 | 10.000 | 1\.000.000 | 11.000 | 1\.000.000 |
| ErGwScale (pro Skalierungseinheit) | N/V | 1.000 | 100.000 | 2.000 | 100.000 pro Skalierungseinheit |
1 Die Werte in der Tabelle sind Schätzungen und variieren je nach CPU-Auslastung des Gateways. Wenn die CPU-Auslastung hoch ist und die Anzahl der unterstützten VMs überschritten wird, beginnt das Gateway mit dem Ablegen von Paketen.
Wichtig
- Die Anwendungsleistung hängt von mehreren Faktoren ab, z. B. der End-to-End-Wartezeit und der Anzahl der Datenverkehrsflüsse, die die Anwendung öffnet. Die Zahlen in der Tabelle stellen die Obergrenze dar, die die Anwendung theoretisch in einer idealen Umgebung erzielen kann. Darüber hinaus führt Microsoft routinemäßige Host- und Betriebssystemwartung auf dem ExpressRoute Virtual Network Gateway aus, um die Zuverlässigkeit des Diensts aufrechtzuerhalten. Während eines Wartungszeitraums werden die Steuerungsebene und die Datenpfadkapazität des Gateways reduziert.
- Während eines Wartungszeitraums können zeitweilige Konnektivitätsprobleme mit privaten Endpunktressourcen auftreten.
- ExpressRoute unterstützt eine maximale TCP- und UDP-Paketgröße von 1400 Bytes. Ein Paket, das größer als 1400 Bytes ist, wird fragmentiert.
- Azure Route Server kann bis zu 4.000 VMs unterstützen. Dieser Grenzwert umfasst VMs in virtuellen Netzwerken, die per Peering miteinander verknüpft sind. Weitere Informationen finden Sie unter Einschränkungen für Azure Route Server.
Gatewaysubnetz
Bevor Sie ein ExpressRoute-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den VMs und Diensten des virtuellen Netzwerkgateways verwendet werden. Bei der Erstellung des Gateways des virtuellen Netzwerks, werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den erforderlichen Einstellungen für das ExpressRoute-Gateway konfiguriert. Stellen Sie im Gatewaysubnetz nie etwas anderes bereit. Das Gatewaysubnetz muss den Namen „GatewaySubnet“ aufweisen, damit es einwandfrei funktioniert. Wenn Sie das Gatewaysubnetz „GatewaySubnet“ genannt haben, erkennt Azure, dass die VMs und Dienste des virtuellen Gatewaynetzwerks in dieses Subnetz bereitgestellt werden sollen.
Hinweis
Benutzerdefinierte Routen mit einem 0.0.0.0/0-Ziel und NSGs im Gatewaysubnetz werden nicht unterstützt. Gateways mit dieser Konfiguration können nicht erstellt werden. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. BGP-Routenverteilung sollte für das Gatewaysubnetz auf „Aktiviert“ festgelegt werden, um die Verfügbarkeit des Gateways zu gewährleisten. Wenn die BGP-Routenverteilung auf deaktiviert festgelegt ist, funktioniert das Gateway nicht.
Diagnose, Datenpfad und Steuerungspfad können betroffen sein, wenn sich eine benutzerdefinierte Route mit dem Subnetzbereich des Gateways oder dem öffentlichen IP-Bereich des Gateways überschneidet.
- Es wird nicht empfohlen, Azure DNS Private Resolver in einem virtuellen Netzwerk einzusetzen, das über ein virtuelles ExpressRoute-Netzwerk-Gateway verfügt, und Wildcard-Regeln festzulegen, um alle Namensauflösungen an einen bestimmten DNS-Server zu leiten. Eine solche Konfiguration kann zu Konnektivitätsproblemen bei der Verwaltung führen.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere.
Beziehen Sie sich beim Planen der Größe Ihres Gatewaysubnetzes auf die Dokumentation für die Konfiguration, die Sie erstellen möchten. Beispielsweise erfordert die Konfiguration für die parallele Ausführung von ExpressRoute/VPN Gateway ein größeres Subnetz als die meisten anderen Konfigurationen. Stellen Sie zusätzlich sicher, dass Ihr Gatewaysubnetz über genügend IP-Adressen verfügt, um eventuelle zukünftige Konfigurationen zu ermöglichen. Sie können zwar ein Gatewaysubnetz mit einer Größe von nur /29 erstellen, doch es empfiehlt sich, ein Gatewaysubnetz mit einer Größe von mindestens /27 zu erstellen (/27, /26 usw.). Wenn Sie 16 ExpressRoute-Leitungen mit Ihrem Gateway verbinden möchten, müssen Sie ein Gatewaysubnetz mit einer Größe von mindestens /26 erstellen. Wenn Sie ein Gatewaysubnetz mit dualem Stapel erstellen, empfiehlt es sich, auch einen IPv6-Bereich von /64 oder größer zu verwenden. Diese Einrichtung ermöglicht die meisten Konfigurationen.
Im folgenden Resource Manager-PowerShell-Beispiel ist ein Gatewaysubnetz mit dem Namen GatewaySubnet zu sehen. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Wichtig
Vermeiden Sie beim Arbeiten mit Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
SKUs für zonenredundante Gateways
Sie können VPN- und ExpressRoute-Gateways auch in Azure-Verfügbarkeitszonen bereitstellen. Durch diese Konfiguration werden sie physisch und logisch in verschiedene Verfügbarkeitszonen unterteilt, wodurch Ihre lokale Netzwerkkonnektivität zu Azure vor Ausfällen auf Zonenebene geschützt wird.
Zonenredundante Gateways verwenden bestimmte neue Gateway-SKUs für ExpressRoute-Gateway.
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
Die neuen Gateway-SKUs unterstützen zudem andere Bereitstellungsoptionen, die Ihre Anforderungen am besten zu erfüllen. Wenn Sie ein virtuelles Netzwerkgateway mit den neuen Gateway-SKUs erstellen, können Sie das Gateway in einer bestimmten Zone bereitstellen. Dieser Gatewaytyp wird als zonenbasiertes Gateway bezeichnet. Wenn Sie ein zonenbasiertes Gateway bereitstellen, werden alle Instanzen des Gateways in derselben Verfügbarkeitszone bereitgestellt.
VNet-zu-VNet- und VNet-zu-Virtual WAN-Konnektivität
Standardmäßig ist die VNet-zu-VNet- und VNet-zu-Virtual WAN-Konnektivität über eine ExpressRoute-Verbindung für alle Gateway-SKUs deaktiviert. Um diese Konnektivität zu aktivieren, müssen Sie das ExpressRoute-VNet-Gateway so konfigurieren, dass dieser Datenverkehr zugelassen wird. Weitere Informationen finden Sie unter Konnektivität zwischen virtuellen Netzwerken über ExpressRoute. Informationen zum Aktivieren dieses Datenverkehrs finden Sie unter Aktivieren oder Deaktivieren von VNet-zu-VNet- oder VNet-zu-Virtual WAN-Datenverkehr über ExpressRoute.
FastPath
Das virtuelle Netzwerkgateway ExpressRoute wurde entwickelt, um Netzwerkrouten auszutauschen und den Netzwerkdatenverkehr zu steuern. FastPath wurde entwickelt, um die Datenpfadleistung zwischen Ihrem lokalen und dem virtuellen Netzwerk zu verbessern. Wenn aktiviert, sendet FastPath den Netzwerkdatenverkehr direkt an virtuelle Computer im virtuellen Netzwerk und umgeht dabei das Gateway.
Weitere Informationen zu FastPath, einschließlich Einschränkungen und Anforderungen, finden Sie unter Informationen zu FastPath.
Verbindung zu privaten Endpunkten
Das virtuelle Netzwerkgateway mit ExpressRoute unterstützt die Konnektivität mit privaten Endpunkten, die im gleichen virtuellen Netzwerk wie das virtuelle Netzwerkgateway und über das Peering virtueller Netzwerke bereitgestellt werden.
Wichtig
- Durchsatz- und Steuerungsebenenkapazitäten betragen im Vergleich zur Konnektivität mit nicht privaten Endpunktressourcen eventuell nur die Hälfte.
- Während eines Wartungszeitraums können zeitweilige Konnektivitätsprobleme mit privaten Endpunktressourcen auftreten.
Private Endpunktkonnektivität und geplante Wartungsereignisse
Verbindungen mit privaten Endpunkten sind zustandsbehaftet. Wenn eine Verbindung mit einem privaten Endpunkt über das private ExpressRoute-Peering hergestellt wird, werden eingehende und ausgehende Verbindungen über eine der Back-End-Instanzen der Gatewayinfrastruktur weitergeleitet. Während eines Wartungsereignisses werden Back-End-Instanzen der Infrastruktur des virtuellen Netzwerkgateways einzeln neu gestartet, was zu unterbrochenen Verbindungsproblemen führen kann.
Um Konnektivitätsprobleme mit privaten Endpunkten während der Wartungsarbeiten zu vermeiden oder zu minimieren, empfehlen wir, den TCP-Timeout-Wert für Ihre lokalen Anwendungen auf einen Wert zwischen 15 und 30 Sekunden einzustellen. Testen und konfigurieren Sie den optimalen Wert auf der Grundlage Ihrer Anwendungsanforderungen.
Route Server
Das Erstellen oder Löschen einer Azure Route Server-Instanz in einem virtuellen Netzwerk, das über ein Gateway (ExpressRoute oder VPN) verfügt, kann eine Downtime auslösen, bis der Vorgang abgeschlossen ist.
REST-APIs und PowerShell-Cmdlets
Zusätzliche technische Ressourcen und spezielle Syntaxanforderungen beim Verwenden von REST-APIs und PowerShell-Cmdlets für Konfigurationen für virtuelle Netzwerkgateways finden Sie auf den folgenden Seiten:
| Klassisch | Ressourcen-Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
VNet-to-VNet-Konnektivität
Standardmäßig sind die Verbindungen zwischen virtuellen Netzwerken aktiviert, wenn Sie mehrere virtuelle Netzwerke mit demselben ExpressRoute-Schaltkreis verknüpfen. Microsoft empfiehlt, ihre ExpressRoute-Verbindung nicht für die Kommunikation zwischen virtuellen Netzwerken zu verwenden. Wir empfehlen Ihnen, stattdessen virtuelles Netzwerk-Peering zu verwenden. Weitere Informationen dazu, warum die Konnektivität zwischen VNets über ExpressRoute nicht empfohlen wird, finden Sie unter Konnektivität zwischen virtuellen Netzwerken über ExpressRoute.
Peering in virtuellen Netzwerken
Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway kann Peering virtueller Netzwerke mit bis zu 500 anderen virtuellen Netzwerken nutzen. Das Peering virtueller Netzwerke ohne ExpressRoute-Gateway kann eine höhere Peeringeinschränkung aufweisen.
Skalierbares ExpressRoute-Gateway (Vorschau)
Die SKU des virtuellen ErGwScale-Netzwerkgateways ermöglicht es Ihnen, 40-GBit/s-Konnektivität mit VMs und privaten Endpunkten im virtuellen Netzwerk zu erreichen. Mit dieser SKU können Sie eine minimale und maximale Skalierungseinheit für die Architektur des virtuellen Netzwerkgateways festlegen, die basierend auf der aktiven Bandbreite oder der Flow-Zahl automatisch skaliert wird. Sie können auch eine feste Skalierungseinheit festlegen, um eine konstante Konnektivität bei einem gewünschten Bandbreitenwert aufrechtzuerhalten.
Bereitstellung der Verfügbarkeitszone und regionale Verfügbarkeit
ErGwScale unterstützt sowohl zonale als auch zonenredundante Bereitstellungen in Azure-Verfügbarkeitszonen. Weitere Informationen zu diesen Konzepten sind in der Dokumentation Zonale und zonenredundante Dienste enthalten.
Die öffentliche Vorschau ist in den folgenden Regionen verfügbar:
- Australien (Osten)
- Kanada, Mitte
- East US
- Asien, Osten
- Frankreich, Mitte
- Deutschland, Mitte
- Deutschland, Westen
- Indien, Mitte
- Italien, Norden
- Nordeuropa
- Norwegen, Osten
- Schweden, Mitte
- Vereinigte Arabische Emirate, Norden
- UK, Süden
- USA, Westen 3
Automatische Skalierung im Vergleich zu festen Skalierungseinheiten
Die Infrastruktur des virtuellen Netzwerk-Gateways skaliert automatisch zwischen der minimalen und der maximalen Skalierungseinheit, die Sie basierend auf der Bandbreitenauslastung oder der Flow-Zahl konfigurieren. Skalierungsvorgänge können bis zu 30 Minuten dauern. Wenn Sie eine feste Konnektivität mit einem bestimmten Bandbreitenwert erzielen möchten, können Sie eine feste Skalierungseinheit konfigurieren, indem Sie die minimale Skalierungseinheit und die maximale Skalierungseinheit auf denselben Wert festlegen.
Begrenzungen
- Basic IP: ErGwScale unterstützt die Basic IP-SKU nicht. Sie müssen eine Standard IP-SKU verwenden, um ErGwScale zu konfigurieren.
- Minimale und maximale Skalierungseinheiten: Sie können die Skalierungseinheit für ErGwScale zwischen 1-40 konfigurieren. Die minimale Skalierungseinheit darf nicht niedriger als 1 sein, und die maximale Skalierungseinheit darf nicht höher als 40 sein.
- Migrationsszenarien: Sie können in der öffentlichen Vorschau nicht von Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az zu ErGwScale migrieren.
Preisberechnung
ErGwScale ist während der öffentlichen Vorschau kostenlos. Informationen zu ExpressRoute-Preisen finden Sie unter Azure ExpressRoute-Preise.
Geschätzte Leistung pro Skalierungseinheit
Unterstützte Leistung pro Skalierungseinheit
| Skalierungseinheit | Bandbreite (GBit/s) | Pakete pro Sekunde | Verbindungen pro Sekunde | Maximale VM-Verbindungen 1 | Maximale Anzahl der Flows |
|---|---|---|---|---|---|
| 1 - 10 | 1 | 100.000 | 7\.000 | 2,000 | 100.000 |
| 11-40 | 1 | 100.000 | 7\.000 | 1\.000 | 100.000 |
Beispielleistung mit Skalierungseinheit
| Skalierungseinheit | Bandbreite (GBit/s) | Pakete pro Sekunde | Verbindungen pro Sekunde | Maximale VM-Verbindungen 1 | Maximale Anzahl der Flows |
|---|---|---|---|---|---|
| 10 | 10 | 1\.000.000 | 70.000 | 20.000 | 1\.000.000 |
| 20 | 20 | 2\.000.000 | 140.000 | 30.000 | 2\.000.000 |
| 40 | 40 | 4\.000.000 | 280 000 | 50.000 | 4\.000.000 |
1 Maximale VM-Verbindungen werden anders skaliert als 10 Skalierungseinheiten. Die ersten 10 Skalierungseinheiten bieten Kapazität für 2.000 VMs pro Skalierungseinheit. Skalierungseinheiten 11 und höher bieten 1.000 zusätzliche VM-Kapazität pro Skalierungseinheit.
Nächste Schritte
Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie in der ExpressRoute-Übersicht.
Weitere Informationen zum Erstellen von ExpressRoute-Gateways finden Sie unter Erstellen eines Gateways für ein virtuelles Netzwerk für ExpressRoute.
Weitere Informationen zum Bereitstellen von ErGwScale finden Sie unter Konfigurieren eines virtuellen Netzwerkgateways für ExpressRoute mit dem Azure-Portal.
Weitere Informationen zum Konfigurieren zonenredundanter Gateways finden Sie unter Erstellen eines zonenredundanten Gateways für virtuelle Netzwerke.
Weitere Informationen zu FastPath finden Sie unter Informationen zu FastPath.