为 Azure Stack Hub 创建 VPN 网关

虚拟网络网关是 Azure Stack Hub 虚拟网络的软件 VPN 设备(VPN 网关)。 将此网关与一个或多个连接配合使用,可以在 Azure Stack Hub 虚拟网络和本地网络之间建立站点到站点或站点到多站点 VPN 连接,或者在不同 Azure Stack Hub 缩放单元上创建的的两个虚拟网络之间建立 VNet 到 VNet VPN 连接。

创建虚拟网络网关时,需指定要创建的网关类型。 Azure Stack Hub 仅支持 VPN 类型。

每个虚拟网络只能有一个虚拟网络网关。 根据所选设置,可以在单个虚拟网络网关中创建多个连接。 此类设置的一个示例是站点到多站点拓扑配置。

在为 Azure Stack Hub 创建和配置虚拟网络网关资源之前,请查看 Azure Stack Hub 网络的注意事项,以了解 Azure Stack Hub 的配置与 Azure 有何不同。

注意

在 Azure 中,所选虚拟网络网关 SKU 的带宽吞吐量必须分配给连接到网关的所有连接。 但在 Azure Stack Hub 中,虚拟网络网关 SKU 的带宽值会应用于连接到网关的每个连接资源。

例如:

  • 在 Azure 中,基本虚拟网络网关 SKU 可以容纳大约 100 Mbps 的聚合吞吐量。 如果对该虚拟网络网关创建两个连接,而且其中一个连接使用 50 Mbps 的带宽,则 50 Mbps 可供另一个连接使用。
  • 在 Azure Stack Hub 中,与基本虚拟网络网关 SKU 的每个连接都分配了 100 Mbps 的吞吐量。

配置 VPN 网关

VPN 网关依赖于多个具有特定设置的资源。 大多数资源可单独进行配置,但在某些情况下,必须按特定的顺序配置这些资源。

设置

为每个资源选择的设置对于创建成功的连接至关重要。

有关 VPN 网关的各个资源和设置的信息,请参阅关于 Azure Stack Hub 的 VPN 网关设置

部署工具

可以使用一个配置工具(如 Azure Stack Hub 门户)创建和配置资源。 稍后,可以切换到 PowerShell 等其他工具来配置其他资源或修改现有资源(如果适用)。

目前,无法在 Azure Stack Hub 门户中配置每个资源和资源设置。 每个连接拓扑的文章中的说明指定了何时需要特定配置工具。

连接拓扑图

VPN 网关可以使用不同的配置。 确定哪种配置最适合自己的需要。 在以下部分,可以查看有关以下 VPN 网关方案的信息和拓扑图示:

  • 站点到站点连接
  • 站点到多站点连接
  • Azure Stack Hub 缩放单元之间的站点到站点或站点到多站点连接

以下部分中的图示和说明可帮助你选择符合要求的连接拓扑。 这些图示显示主要基准拓扑,但也可以使用这些图示作为指导来构建更复杂的配置。

站点到站点连接

站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE (IKEv2) VPN 隧道建立的连接。 此类连接需要一个位于本地的 VPN 设备,并需要为此类连接分配公共 IP 地址。 S2S 连接可用于跨界和混合配置。

Azure VPN gateway Site-to-site connection example

站点到多站点连接

站点到多站点拓扑是站点到站点拓扑的变体。 从虚拟网络网关创建多个 VPN 连接,通常情况下连接到多个本地站点。

Azure VPN gateway Site-to-Multi-Site connections example

Azure Stack Hub 缩放单元之间的站点到站点或站点到多站点连接

在两个 Azure Stack Hub 部署之间只能创建一个站点到站点 VPN 连接。 这是因为平台中的某个限制仅允许同一 IP 地址具有单个 VPN 连接。 由于 Azure Stack Hub 利用多租户网关,该网关将单一公共 IP 用于 Azure Stack Hub 系统中的所有 VPN 网关,因此两个 Azure Stack Hub 系统之间只能有一个 VPN 连接。 此限制也适用于将多个站点到站点 VPN 连接连接到使用单一 IP 地址的任何 VPN 网关。 Azure Stack Hub 不允许使用同一 IP 地址创建多个本地网络网关资源。

下图显示了需要在缩放单元之间创建网格拓扑时如何互连多个 Azure Stack Hub 缩放单元。

在此方案中,有 3 个 Azure Stack Hub 缩放单元,每个缩放单元有 1 个虚拟网络网关、2 个连接和 2 个本地网络网关。 使用新的 SKU,用户可以在缩放单元之间连接网络和工作负载,VPN 连接吞吐量高达 1250 Mbps Tx/Rx,并且会分配每个缩放单元的网关池容量的 50%。 可以将每个缩放单元上的剩余容量用于其他用例所需的额外 VPN 连接:

Azure VPN Gateway connections between stamps

网关 SKU

为 Azure Stack Hub 创建虚拟网络网关时,需要指定要使用的网关 SKU。 支持以下虚拟网络网关 SKU:

  • 基本 - 100 Mbps Tx/Rx
  • 标准 - 100 Mbps Tx/Rx
  • 高性能 - 200 Mbps Tx/Rx

公共预览版中的新虚拟网络网关 SKU

在 Azure Stack Hub 版本 2209 中,Azure 宣布推出公共预览版的新 VPN Fast Path 功能,该功能将 Azure Stack Hub 缩放单元的总吞吐量从 2 Gbps 增加到了 5 Gbps,并且还引入了 3 个新的 SKU

  • VpnGw1 - 650 Mbps Tx/Rx
  • VpnGw2 - 1000 Mbps Tx/Rx
  • VpnGw3 - 1250 Mbps Tx/Rx

Azure Stack Hub 不支持专门搭配 Express Route 使用的超性能网关 SKU。

选择 SKU 时请考虑以下事项:

  • Azure Stack Hub 不支持基于策略的网关。
  • 基本 SKU 不支持边界网关协议 (BGP)。
  • Azure Stack Hub 不支持 ExpressRoute-VPN 网关共存配置。

网关可用性

与同时通过主动/主动和主动/被动配置提供可用性的 Azure 不同,Azure Stack Hub 仅支持主动/被动配置。

后续步骤