Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure VPN 网关服务可用于通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密流量。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 VPN 网关使用一种称作“VPN 网关”的特定类型的 Azure 虚拟网络网关。 可以针对相同的 VPN 网关创建多个连接。 创建多个连接时,所有 VPN 隧道共享可用的网关带宽。
为何使用 VPN 网关?
下面是 VPN 网关的一些关键使用场景:
使用以下类型的连接之一,在 Azure 虚拟网络与本地位置之间通过公共 Internet 发送加密流量:
站点到站点连接:VPN 网关与本地 VPN 设备之间的跨界 IPsec/IKE VPN 隧道连接。
点到站点连接:基于 OpenVPN、IKEv2 或 SSTP 的 VPN。 使用这种类型的连接,可以从远程位置(例如从会议室或家中)连接到虚拟网络。
使用以下类型的连接在 Azure 虚拟网络之间发送加密流量:
VNet 到 VNet:VPN 网关与另一个使用 VNet 到 VNet 连接类型的 Azure VPN 网关之间的 IPsec/IKE VPN 隧道连接。 此连接类型专为 VNet 到 VNet 连接而设计。
站点到站点连接:VPN 网关与另一个 Azure VPN 网关之间的 IPsec/IKE VPN 隧道连接。 在 VNet 到 VNet 体系结构中使用这种类型的连接时,这种连接将使用站点到站点 (IPsec)连接类型,既允许与网关建立跨界连接,也支持VPN网关之间的连接。
使用以下方法将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径:
- ExpressRoute + VPN 网关:ExpressRoute + VPN 网关连接的组合(共存连接)。
使用站点到站点 VPN 来连接到未通过ExpressRoute连接的站点:
- ExpressRoute + VPN 网关:ExpressRoute + VPN 网关连接的组合(共存连接)。
规划和设计
由于可以使用 VPN 网关创建多个连接配置,因此需要确定哪种配置最适合你的需求。 点到站点、站点到站点以及共存的 ExpressRoute/站点到站点连接都有不同的说明和资源配置要求。
有关设计拓扑和配置说明的链接,请参阅 VPN 网关拓扑和设计一文。 本文的以下部分重点介绍了一些最常用的设计拓扑。
规划表
下表可帮助选择最适合解决方案的连接选项。
| Point-to-Site | Site-to-Site | |
|---|---|---|
| Azure 支持的服务 | 云服务和虚拟机 | 云服务和虚拟机 |
| 典型带宽 | 基于网关 SKU | 通常<10 Gbps(总计) |
| 支持的协议 | 安全套接字隧道协议 (SSTP)、OpenVPN 和 IPsec | IPsec |
| Routing | 基于路由(动态) | 支持基于策略(静态路由)和基于路由(动态路由 VPN) |
| 连接复原能力 | 主动-被动或主动-主动 | 主动-被动或主动-主动 |
| 典型用例 | 远程用户对 Azure 虚拟网络的安全访问 | 云服务和虚拟机的开发、测试和实验方案和中小规模生产工作负载 |
| SLA | SLA | SLA |
| Pricing | Pricing | Pricing |
| 技术文档 | VPN 网关 | VPN 网关 |
| FAQ | VPN 网关常见问题 | VPN 网关常见问题 |
可用性区域
VPN 网关可以部署在 Azure 可用性区域中。 可用性区域部署为虚拟网络网关带来了复原能力、可伸缩性和更高的可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。 请参阅关于 Azure 可用性区域中的区域冗余虚拟网络网关。
配置 VPN 网关
VPN 网关连接依赖于使用特定设置配置的多个资源。 在某些情况下,必须按特定顺序配置资源。 为每个资源选择的设置对于成功创建连接至关重要。
有关 VPN 网关的各个资源和设置的信息,请参阅关于 VPN 网关设置和关于网关 SKU。
有关设计示意图和配置文章的链接,请参阅 VPN 网关拓扑和设计一文。
网关 SKU
创建虚拟网络网关时,需指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。 有关网关 SKU 的详细信息(包括支持的功能、性能表、配置步骤及生产和开发测试工作负载),请参阅关于网关 SKU。
|
Vpn Gateway 世代 |
SKU |
S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | Zone-redundant | 虚拟网络中支持的 VM 数 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Max. 10 | Max. 128 | 不支持 | 100 Mbps | 不支持 | No | 200 |
| Generation1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supported | No | 450 |
| Generation1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supported | No | 1300 |
| Generation1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1.25 Gbps | Supported | No | 4000 |
| Generation1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supported | Yes | 1000 |
| Generation1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supported | Yes | 2000 |
| Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1.25 Gbps | Supported | Yes | 5000 |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1.25 Gbps | Supported | No | 685 |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2.5 Gbps | Supported | No | 2240 |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supported | No | 5300 |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supported | No | 6700 |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1.25 Gbps | Supported | Yes | 2000 |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2.5 Gbps | Supported | Yes | 3300 |
| Generation2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supported | Yes | 4400 |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supported | Yes | 9000 |
注释
“虚拟网络中受支持的 VM 数量”是指通过网关进行通信的资源数量。 这包括:
- 中心和对等辐射虚拟网络中的虚拟机
- 私有终结点
- 网络虚拟设备(如应用程序网关、Azure Firewall)
- 部署在虚拟网络中的 PaaS 服务的后端实例(例如SQL Managed Instance、App Service Environment)
(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。
Pricing
支付两项内容:虚拟网络网关的每小时计算成本和虚拟网络网关的出口数据传输。 可在 定价 页上找到定价信息。 有关旧版网关 SKU 定价的信息,请参阅 ExpressRoute 定价页并滚动至“虚拟网络网关”部分。
虚拟网络网关计算成本
每个虚拟网络网关都有每小时计算成本。 价格基于创建虚拟网络网关时指定的网关 SKU。 成本包括网关本身的费用,并且额外收取流经网关的数据传输费用。 主动-主动设置的成本与主动-被动设置的成本相同。 有关用于 VPN 网关的网关 SKU 的详细信息,请参阅网关 SKU。
数据传输成本
数据传输成本根据源虚拟网络网关的出口流量计算。
- 如果将流量发送到本地部署的 VPN 设备,则收费是按照 Internet 出口数据传输速率计算。
- 如果要在不同区域的虚拟网络之间发送流量,定价因区域而异。
- 如果仅在同一区域的虚拟网络之间发送流量,不会有数据成本。 同一区域的 VNet 之间的流量免费。
VPN 网关中有哪些新增功能?
Azure VPN 网关会定期更新。 若要随时了解最新公告,请参阅新增功能一文。 本文重点介绍了以下兴趣点:
- 最近发布
- 正在进行的预览及已知的限制(如果适用)
- 已知问题
- 已弃用的功能(如果适用)
FAQ
有关 VPN 网关的常见问题,请参阅 VPN 网关常见问题。