虚拟网络网关通过 Azure ExpressRoute 将 Azure 虚拟网络连接到本地网络。 网关提供两个关键目的:在网络之间交换 IP 路由,并在它们之间路由网络流量。
本文介绍网关类型、网关 SKU、SKU 估计的性能以及关键功能。
网关 SKU
创建虚拟网络网关时,需要指定要使用的网关 SKU。 选择更高的网关 SKU 时,会将更多的 CPU 和网络带宽分配给网关。 如此一来,网关可以对虚拟网络支持更高的网络吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- ErGwScale:有关详细信息,请参阅 ExpressRoute 可缩放网关
- 标准
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
可以将网关升级到同一 SKU 系列(非可用性区域或已启用可用性区域)中的更高容量 SKU。 例如:
- 将一个非可用性区域 SKU 升级到另一个非可用性区域 SKU
- 将一个已启用可用性区域的 SKU 升级为另一个已启用可用性区域的 SKU
对于所有其他方案(包括降级或切换可用性区域类型),必须删除并重新创建网关。 此过程会导致停机。
网关子网
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关虚拟机(VM)和服务使用的 IP 地址。
创建虚拟网络网关时,Azure 会将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 设置对其进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为 GatewaySubnet ,以便 Azure 能够识别网关并正确部署网关组件。
Note
不支持以 0.0.0.0/0 为目标的用户定义路由和网关子网上的网络安全组 (NSG)。 不支持用户定义的路由(包含 GatewaySubnet 地址空间),其下一跳点设置为无,或者下一跳点设置为 NVA(具有丢弃流量的策略)。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 应在网关子网上启用边界网关协议 (BGP) 路由传播,以确保网关的可用性。 如果 BGP 路由传播被禁用,则网关将无法运行。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
不要将 Azure DNS 专用解析程序部署到具有 ExpressRoute 虚拟网络网关的虚拟网络中,其通配符规则会将所有名称解析定向到特定的 DNS 服务器。 此配置可能会导致管理连接问题。
网关子网大小
创建网关子网时,请指定它包含的 IP 地址数。 网关 VM 和服务使用这些 IP 地址。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅特定配置的文档。 例如,ExpressRoute/VPN 网关共存配置需要比大多数其他配置更大的网关子网。 建议创建一个网关子网,该子网可以容纳将来的可能配置。
Recommendations:
- 为大多数配置创建 /27 或更大的 网关子网。
- 如果计划将 16 条 ExpressRoute 线路 连接到网关,则必须创建 一个 /26 或更大的网关子网。
- 对于 双堆栈网关子网,建议使用 /64 或更大的 IPv6 范围。
以下 Azure 资源管理器 PowerShell 示例显示了名为 GatewaySubnet 的网关子网。 CIDR 表示法指定一个 /27,它为大多数配置提供足够的 IP 地址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
网关子网上的 NSG 不受支持。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
网关限制和性能
网关 SKU 的功能支持
下表显示了每个网关 SKU 支持的功能以及 ExpressRoute 线路连接的最大数量。
| 网关 SKU | VPN 和 ExpressRoute 共存 | 最大线路连接数 |
|---|---|---|
| Standard/ERGw1Az | Yes | 4 |
| 高性能/ERGw2Az | Yes | 8 |
| 超高性能/ErGw3Az | Yes | 16 |
| ErGwScale | Yes | 4(最小单位:1 个缩放单元) 8 (最小 2 个缩放单位) 16 (最小 10 个缩放单位) |
Note
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
网关 SKU 性能估计
下表概述了不同类型的网关、其各自的限制和预期性能指标。
支持的最大限制
此表适用于 Azure 资源管理器和经典部署模型。
| 网关 SKU | 兆比特每秒 | 每秒的数据包数 | 虚拟网络中可支持的 VM 数量1 | 流计数限制 | 网关获知的路由数 |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| 高性能/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| 超高性能/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale(每缩放单元 1-10) | 1,000(每缩放单元) | 100,000(每缩放单元) | 2,000(每缩放单元) | 100,000(每缩放单元) | 每个网关总共 9,500 个 |
| ErGwScale(每缩放单元 11-40) | 1,000(每缩放单元) | 200,000(每缩放单元) | 1,000(每缩放单元) | 100,000(每缩放单元) | 每个网关总共 9,500 个 |
1 表中的值是估计值,具体取决于网关的 CPU 使用率。 如果 CPU 使用率高,超出了支持的 VM 数,网关将开始删除数据包。
Note
ExpressRoute 最多可以为 11,000 个路由提供便利,这些路由跨越虚拟网络地址空间、本地网络以及任何相关的虚拟网络对等互连连接。 为了确保 ExpressRoute 连接稳定,不要向 ExpressRoute 播发超过 11,000 条路由。 网关公布的最大路由数为 1,000 条路由。
Important
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的通信流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,我们会在 ExpressRoute 虚拟网络网关上执行主机和操作系统的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1,400 字节。 ExpressRoute 网关不支持碎片数据包。 请调整应用程序以防止 IP 碎片。
- Azure 路由服务器最多可支持 4,000 个 VM。 此限制包括对等互连的虚拟网络中的 VM。 有关详细信息,请参阅 Azure 路由服务器限制。
- 上表中的值表示每个网关 SKU 的限制。
自动分配的公共 IP
自动分配的公共 IP 功能允许 Azure 代表你管理所需的公共 IP 地址,从而简化了 ExpressRoute 网关部署。 对于 PowerShell 和 Command-Line 接口(CLI),不再需要为网关创建或维护单独的公共 IP 资源。
启用自动分配的公共 IP 后,ExpressRoute 网关的“概述”页不再显示公共 IP 地址字段,这意味着网关的公共 IP 由 Azure 自动预配和管理。
主要优势:
- 提高了安全性: 公共 IP 由 Azure 在内部管理,不会向你公开,从而减少与开放管理端口相关的风险。
- 降低复杂性: 不再需要预配或管理公共 IP 资源。
- 简化的部署: 创建网关期间,Azure PowerShell 和 CLI 不再提示输入公共 IP。
工作原理:
创建 ExpressRoute 网关时,Azure 会自动在安全的后端订阅中预配和管理公共 IP 地址。 此 IP 封装在网关资源中,使 Azure 能够强制实施数据速率限制等策略,并提高可审核性。 以前,可以将公共 IP 资源创建为区域资源,以确保该区域中网关的所有实例共享相同的公共 IP 地址。 新的行为是网关始终具备区域冗余功能。
Availability:
自动分配的公共 IP 不适用于虚拟 WAN(vWAN)或扩展区域部署。
从虚拟网络到虚拟网络以及从虚拟网络到虚拟 WAN 的连接
默认情况下,通过 ExpressRoute 线路连接的所有网关 SKU 上,虚拟网络到虚拟网络和虚拟网络到虚拟 WAN 的连接都是禁用的。 若要启用该连接,必须配置 ExpressRoute 虚拟网络网关以允许此流量。 有关详细信息,请参阅有关通过 ExpressRoute 的虚拟网络连接的指南。 若要启用此流量,请参阅 通过 ExpressRoute 启用虚拟网络到虚拟 WAN 或虚拟网络之间的连接。
专用终结点连接
ExpressRoute 虚拟网络网关有助于连接到部署在同一虚拟网络中和跨对等互连的虚拟网络中的专用终结点。
Important
- 与连接到非专用终结点资源相比,连接到专用终结点资源的吞吐量和控制平面容量可能会减少一半。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- 需要确保正确设置本地配置(包括路由器和防火墙设置),以确保 IP 5 元组传输的数据包使用单个下一个跃点(Microsoft Enterprise Edge 路由器),除非存在维护事件。 如果本地防火墙或路由器配置导致同一 IP 5 元组频繁切换下一跃点,则可能会遇到连接问题。
- 确保在部署专用终结点的子网(至少为 UDR 支持)上启用网络策略
专用终结点连接和计划内维护事件
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连与私有终结点建立连接时,网关基础结构将通过其后端实例之一路由入站和出站的数据流量。 在维护事件期间,后端实例会逐个重新启动,这可能会导致间歇性连接问题。
若要避免或最大程度地减少维护任务期间专用终结点的连接问题,请将本地应用程序中的 TCP 超时值设置为 15 到 30 秒之间。 根据应用程序要求测试和配置最佳值。
REST API 和 PowerShell cmdlet
有关使用 REST API 和 PowerShell cmdlet 进行虚拟网络网关配置时的技术资源和特定语法要求,请参阅:
| Classic | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
虚拟网络之间的连接
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 不建议使用 ExpressRoute 线路在虚拟网络之间进行通信。 建议改用虚拟网络对等互连。 有关为何不建议通过 ExpressRoute 建立虚拟网络到虚拟网络连接的详细信息,请参阅 通过 ExpressRoute 在虚拟网络之间建立连接。
虚拟网络对等互连限制
具有 ExpressRoute 网关的虚拟网络可以具有最多 500 个其他虚拟网络的虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络可能具有更高的对等互连限制。