关于 ExpressRoute 虚拟网络网关

项目
12/02/2022

若要通过 ExpressRoute 连接 Azure 虚拟网络和本地网络，必须首先创建虚拟网络网关。虚拟网络网关有两个用途：在网络之间交换 IP 路由和路由网络流量。本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。

网关类型

创建虚拟网络网关时，需要指定几项设置。其中一个必要设置“-GatewayType”指定是否将网关用于 ExpressRoute 或 VPN 流量。两种网关类型是：

Vpn - 若要通过公共 Internet 发送加密流量，请使用网关类型“Vpn”。这种类型的网关也称为 VPN 网关。站点到站点连接、点到站点连接和 VNet 到 VNet 连接都使用 VPN 网关。
ExpressRoute - 若要在专用连接上发送网络流量，请使用网关类型“ExpressRoute”。这种类型的网关也称为 ExpressRoute 网关，是在配置 ExpressRoute 时使用的。

对于每种网关类型，每个虚拟网络只能有一个虚拟网络网关。例如，一个虚拟网络网关使用 -GatewayType Vpn，另一个使用 -GatewayType ExpressRoute。

网关 SKU

创建虚拟网络网关时，需要指定要使用的网关 SKU。如果选择更高级的网关 SKU，则将为该网关分配更多的 CPU 和网络带宽，这样使网关能够支持到虚拟网络更高的吞吐量。

ExpressRoute 虚拟网络网关可使用以下 SKU：

Standard
HighPerformance
UltraPerformance
ErGw1Az
ErGw2Az
ErGw3Az

如果要将网关升级为容量更高的网关 SKU，可使用 Resize-AzVirtualNetworkGateway PowerShell cmdlet，也可直接在 Azure 门户的 ExpressRoute 虚拟网络网关配置页中执行升级。支持以下升级：

从标准到高性能
从标准到超高性能
从高性能到超高性能
从 ErGw1Az 到 ErGw2Az
从 ErGw1Az 到 ErGw3Az
从 ErGw2Az 到 ErGw3Az
默认设置为“标准”

此外，还可以将虚拟网络网关 SKU 降级。支持以下降级：

从高性能到标准
从 ErGw2Az 到 ErGw1Az

对于所有其他降级方案，需要删除并重新创建网关。重新创建网关会导致停机。

网关 SKU 的功能支持

下表显示了每种网关类型支持的功能。

网关 SKU	VPN 网关和 ExpressRoute 共存	最大线路连接数
标准 SKU/ErGw1AZ	是	4
高性能 SKU/ERGw2Az	是	8
超高性能 SKU/ErGw3Az	是	16

注意

所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。

预估性能（按网关 SKU）

下表显示网关类型和估计的性能缩放量。这些数字派生自以下测试条件，表示最大支持限制。实际性能可能有所不同，具体取决于流量复制这些测试条件的相近程度。

测试条件

网关 SKU	从本地发送的流量	网关播发的路由数	网关获知的路由数
标准/ERGw1Az	1 Gbps	500	4000
高性能/ERGw2Az	2 Gbps	500	9,500
超高性能/ErGw3Az	10 Gbps	500	9,500

性能结果

此表适用于 Resource Manager 与经典部署模型。

网关 SKU	每秒连接数	每秒兆位	每秒数据包数	虚拟网络中受支持的 VM 数量
标准/ERGw1Az	7,000	1,000	100,000	2,000
高性能/ERGw2Az	14,000	2,000	250,000	4,500
超高性能/ErGw3Az	16,000	10,000	1,000,000	11,000

重要

应用程序性能取决于多种因素，例如端到端延迟和应用程序打开的流量流数。表中的数字表示应用程序在理想环境下理论上可达到的上限。此外，为了维护服务的可靠性，Azure 会在 ExpressRoute 虚拟网络网关上执行主机和 OS 的例行维护。在维护期间，网关的控制平面和数据路径容量会减少。
在维护期间，可能会遇到与专用终结点资源的间歇性连接问题。

网关子网

在创建 ExpressRoute 网关之前，必须创建一个网关子网。网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。创建虚拟网络网关时，会将网关 VM 部署到网关子网，并使用所需的 ExpressRoute 网关设置进行配置。永远不要将任何其他设备部署到网关子网中。网关子网必须命名为“GatewaySubnet”才能正常工作。将网关子网命名为“GatewaySubnet”就可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。

注意

不支持以 0.0.0.0/0 为目标的用户定义路由和 GatewaySubnet 上的 NSG。使用此配置创建的网关将被阻止创建。网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设置为“已启用”，以确保网关可用。如果此项设置为“已禁用”，则网关将不起作用。

创建网关子网时，需指定子网包含的 IP 地址数。将网关子网中的 IP 地址分配到网关 VM 和网关服务。有些配置需要具有比其他配置更多的 IP 地址。

规划网关子网大小时，请参阅你计划创建的配置的相关文档。例如，ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。此外，可能需要确保网关子网包含足够的 IP 地址，以便应对将来可能会有的配置。尽管网关子网最小可创建为 /29，但建议创建 /27 或更大（/27、/26 等）的网关子网。如果计划将 16 个 ExpressRoute 线路连接到网关，则必须创建 /26 或更大的网关子网。如果创建的是双堆栈网关子网，建议还使用 /64 或更大的 IPv6 范围。此设置将适合大多数配置。

以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。可以看到，CIDR 表示法指定了 /27，这可提供足够的 IP 地址供大多数现有配置使用。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

重要

处理网关子网时，请避免将网络安全组 (NSG) 关联到网关子网。将网络安全组关联到此子网可能会导致虚拟网络网关（VPN 和 Express Route 网关）停止按预期方式工作。有关网络安全组的详细信息，请参阅什么是网络安全组？

区域冗余型网关 SKU

也可以在 Azure 可用性区域中部署 ExpressRoute 网关。此配置在物理上和逻辑上将它们分成不同的可用性区域，从而保护本地网络与 Azure 的连接免受区域级故障的影响。

区域冗余型 ExpressRoute 网关

区域冗余型网关使用 ExpressRoute 网关的特定新网关 SKU。

ErGw1AZ
ErGw2AZ
ErGw3AZ

新的网关 SKU 还支持其他部署选项，以最好地满足你的需求。使用新网关 SKU 创建虚拟网络网关时，可以在特定区域中部署网关。这种类型的网关称为区域网关。部署区域网关时，网关的所有实例都部署在同一可用性区域中。

连接到专用终结点

ExpressRoute 虚拟网络网关可增强与专用终结点的连接性，这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。

重要

相对于与非专用终结点资源的连接性，吞吐量和控制平面容量可能会减半。
在维护期间，可能会遇到与专用终结点资源的间歇性连接问题。

路由服务器

在包含虚拟网络网关（ExpressRoute 或 VPN）的虚拟网络中创建或删除 Azure 路由服务器时，预计会出现停机的情况，直至操作完成为止。

REST API 和 PowerShell cmdlet

有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求，请参阅以下页面：

经典	资源管理器
PowerShell	PowerShell
REST API	REST API

VNet 到 VNet 连接

默认情况下，将多个虚拟网络链接到同一 ExpressRoute 线路时，将启用虚拟网络之间的连接。不过，Azure 建议不要使用 ExpressRoute 线路在虚拟网络之间进行通信，而应使用 VNet 对等互连。若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接，请参阅通过 ExpressRoute 在虚拟网络之间建立连接。

虚拟网络对等互连

具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。

后续步骤

有关可用连接配置的详细信息，请参阅 ExpressRoute 概述。

有关创建 ExpressRoute 网关的详细信息，请参阅创建 ExpressRoute 的虚拟网络网关。

有关配置区域冗余型网关的详细信息，请参阅创建区域冗余型虚拟网络网关。