关于 ExpressRoute 虚拟网络网关
若要通过 ExpressRoute 连接 Azure 虚拟网络和本地网络,必须首先创建虚拟网络网关。 虚拟网络网关有两个用途:在网络之间交换 IP 路由和路由网络流量。 本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。
网关类型
创建虚拟网络网关时,需要指定几项设置。 其中一个必要设置“-GatewayType”指定是否将网关用于 ExpressRoute 或 VPN 流量。 两种网关类型是:
Vpn - 若要通过公共 Internet 发送加密流量,请使用网关类型“Vpn”。 这种类型的网关也称为 VPN 网关。 站点到站点连接、点到站点连接和 VNet 到 VNet 连接都使用 VPN 网关。
ExpressRoute - 若要在专用连接上发送网络流量,请使用网关类型“ExpressRoute”。 这种类型的网关也称为 ExpressRoute 网关,是在配置 ExpressRoute 时使用的。
对于每种网关类型,每个虚拟网络只能有一个虚拟网络网关。 例如,一个虚拟网络网关使用 -GatewayType Vpn,另一个使用 -GatewayType ExpressRoute。
网关 SKU
创建虚拟网络网关时,需要指定要使用的网关 SKU。 如果选择更高级的网关 SKU,则将为该网关分配更多的 CPU 和网络带宽,这样使网关能够支持到虚拟网络更高的吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- ERGwScale(预览)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
如果要将网关升级为容量更高的网关 SKU,可使用 Resize-AzVirtualNetworkGateway PowerShell cmdlet,也可直接在 Azure 门户的 ExpressRoute 虚拟网络网关配置页中执行升级。 支持以下升级:
- 从标准到高性能
- 从标准到超高性能
- 从高性能到超高性能
- 从 ErGw1Az 到 ErGw2Az
- 从 ErGw1Az 到 ErGw3Az
- 从 ErGw2Az 到 ErGw3Az
- 默认设置为“标准”
此外,还可以将虚拟网络网关 SKU 降级。 支持以下降级:
- 从高性能到标准
- 从 ErGw2Az 到 ErGw1Az
所有其他降级方案都需要删除并重新创建网关。 重新创建网关会导致停机。
网关 SKU 的功能支持
下表显示了每种网关类型支持的功能。
| 网关 SKU | VPN 网关和 ExpressRoute 共存 | 最大线路连接数 |
|---|---|---|
| 标准 SKU/ErGw1AZ | 是 | 4 |
| 高性能 SKU/ERGw2Az | 是 | 8 |
| 超高性能 SKU/ErGw3Az | 是 | 16 |
注意
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
预估性能(按网关 SKU)
下表显示网关类型和估计的性能缩放量。 这些数字派生自以下测试条件,表示最大支持限制。 实际性能可能有所不同,具体取决于流量复制这些测试条件的相近程度。
测试条件
| 网关 SKU | 从本地发送的流量 | 网关播发的路由数 | 网关获知的路由数 |
|---|---|---|---|
| 标准/ERGw1Az | 1 Gbps | 500 | 4000 |
| 高性能/ERGw2Az | 2 Gbps | 500 | 9,500 |
| 超高性能/ErGw3Az | 10 Gbps | 500 | 9,500 |
性能结果
此表适用于 Resource Manager 与经典部署模型。
| 网关 SKU | 每秒连接数 | 每秒兆位数 | 每秒数据包数 | 虚拟网络中受支持的 VM 数量 |
|---|---|---|---|---|
| 标准/ERGw1Az | 7,000 | 1,000 | 100,000 | 2,000 |
| 高性能/ERGw2Az | 14,000 | 2,000 | 250,000 | 4,500 |
| 超高性能/ErGw3Az | 16,000 | 10,000 | 1,000,000 | 11,000 |
重要
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的流量流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,Microsoft 会在 ExpressRoute 虚拟网络网关上执行主机和 OS 的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1400 字节。 大于 1400 字节的数据包将被分段。
网关子网
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 网关设置进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”就可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。
注意
不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
- 将 Azure DNS 专用解析程序链接到部署了 ExpressRoute 虚拟网络网关的虚拟网络可能会导致管理连接问题,因此不建议这样做。
创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够的 IP 地址,以便应对将来可能会有的配置。 尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 等)的网关子网。 如果计划将 16 个 ExpressRoute 线路连接到网关,则必须创建 /26 或更大的网关子网。 如果创建的是双堆栈网关子网,建议还使用 /64 或更大的 IPv6 范围。 此设置适合大多数配置。
以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
处理网关子网时,请避免将网络安全组 (NSG) 关联到网关子网。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
区域冗余型网关 SKU
也可以在 Azure 可用性区域中部署 ExpressRoute 网关。 此配置在物理上和逻辑上将它们分成不同的可用性区域,从而保护本地网络与 Azure 的连接免受区域级故障的影响。
区域冗余型网关使用 ExpressRoute 网关的特定新网关 SKU。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
新的网关 SKU 还支持其他部署选项,以最好地满足你的需求。 使用新网关 SKU 创建虚拟网络网关时,可以在特定区域中部署网关。 这种类型的网关称为区域网关。 部署区域网关时,网关的所有实例都部署在同一可用性区域中。
连接至专用终结点
ExpressRoute 虚拟网络网关可增强与专用终结点的连接性,这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。
重要
- 相对于与非专用终结点资源的连接性,吞吐量和控制平面容量可能会减半。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
专用终结点连接和计划内维护事件
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连建立与专用终结点的连接时,入站和出站连接通过网关基础结构的其中一个后端实例进行路由。 在维护事件期间,虚拟网络网关基础结构的后端实例一次重新启动一个。 这可能导致维护事件期间出现间歇性连接问题。
为了防止或减少维护活动期间专用终结点出现连接问题所造成的影响,建议在本地应用程序上将 TCP 超时值调整为介于 15 和 30 秒之间的值。 检查应用程序的要求,以测试和配置最佳值。
路由服务器
在具有虚拟网络网关(ExpressRoute 或 VPN)的虚拟网络中创建或删除 Azure 路由服务器可能会导致停机,直至操作完成为止。
REST API 和 PowerShell cmdlet
有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求,请参阅以下页面:
| 经典 | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 到 VNet 连接
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 Azure 建议不要使用 ExpressRoute 线路在虚拟网络之间进行通信。 建议改用虚拟网络对等互连。 若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接,请参阅通过 ExpressRoute 在虚拟网络之间建立连接。
虚拟网络对等互连
具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。
后续步骤
有关可用连接配置的详细信息,请参阅 ExpressRoute 概述。
有关创建 ExpressRoute 网关的详细信息,请参阅创建 ExpressRoute 的虚拟网络网关。
有关配置区域冗余型网关的详细信息,请参阅创建区域冗余型虚拟网络网关。