什么是 VPN 网关?

VPN 网关是特定类型的虚拟网关,用于跨公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密的流量。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 每个虚拟网络只能有一个 VPN 网关。 但是,可以创建连接到相同 VPN 网关的多个连接。 与同一个 VPN 网关建立多个连接时,所有 VPN 隧道共享可用的网关带宽。

什么是虚拟网关?

虚拟网络网关由两个或多个 VM 组成,这些 VM 部署到所创建的名为“网关子网”的特定子网。 虚拟网络网关 VM 包含路由表,并运行特定的网关服务。 这些 VM 是在创建虚拟网络网关时创建的。 不能直接配置属于虚拟网络网关的 VM。

配置虚拟网络网关时,将配置用于指定网关类型的设置。 网关类型确定如何使用虚拟网络网关以及网关所采取的操作。 网关类型“Vpn”指定创建的虚拟网关类型为“VPN 网关”。 这将它与使用其他网关类型的 ExpressRoute 网关区分开来。 一个虚拟网络可以有两个虚拟网络网关:一个 VPN 网关和一个 ExpressRoute 网关。 有关详细信息,请参阅网关类型

创建网关通常需要 45 分钟或更长的时间,具体取决于所选网关 SKU。 创建虚拟网关时,会将网关 VM 部署到网关子网,并使用指定的设置进行配置。 在创建 VPN 网关以后,即在一个 VPN 网关和另一个 VPN 网关之间(VNet 到 VNet)创建 IPsec/IKE VPN 隧道连接,或者在 VPN 网关和本地 VPN 设备(站点到站点)之间创建跨界 IPsec/IKE VPN 隧道连接。 也可创建点到站点 VPN 连接(基于 OpenVPN、IKEv2 或 SSTP 的 VPN),以便从远程位置(例如从会议室或家)连接到虚拟网络。

配置 VPN 网关

VPN 网关连接依赖于使用特定设置配置的多个资源。 大多数资源可以单独配置,虽然某些资源必须按特定顺序配置。

设计

必须知道,VPN 网关连接可以使用不同的配置。 必须确定哪种配置最适合自己的需要。 例如,点到站点、站点到站点以及共存的 ExpressRoute/站点到站点连接都有不同的说明和配置要求。 要了解设计和查看连接拓扑图,请参阅设计

规划表

下表可帮助选择最适合解决方案的连接选项。

点到站点 站点到站点 ExpressRoute
Azure 支持的服务 云服务和虚拟机 云服务和虚拟机 服务列表
典型带宽 基于网关 SKU 通常 < 1 Gbps(总计) 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps
支持的协议 安全套接字隧道协议 (SSTP)、OpenVPN 和 IPsec IPsec 通过 VLAN、NSP 的 VPN 技术(MPLS、VPLS...)直接连接
路由 基于路由(动态) 支持基于策略(静态路由)和基于路由(动态路由 VPN) BGP
连接复原能力 主动-被动 主动-被动或主动-主动 主动-主动
典型用例 远程用户对 Azure 虚拟网络的安全访问 云服务和虚拟机的开发/测试/实验室方案和中小型生产工作负载 访问所有 Azure 服务(已验证列表)、企业级和任务关键型工作负荷、备份、大数据、Azure 即 DR 站点
SLA SLA SLA SLA
定价 定价 定价 定价
技术文档 VPN 网关文档 VPN 网关文档 ExpressRoute 文档
常见问题 VPN 网关常见问题 VPN 网关常见问题 ExpressRoute 常见问题

设置

为每个资源选择的设置对于成功创建连接至关重要。 有关 VPN 网关的各个资源和设置的信息,请参阅 关于 VPN 网关设置。 本文包含的信息有助于了解网关类型、网关 SKU、VPN 类型、连接类型、网关子网、本地网关,以及可能需要考虑的其他各项资源设置。

部署工具

开始时可以使用一个配置工具(如 Azure 门户)创建和配置资源。 可在以后切换到另一个工具(如 PowerShell)来配置其他资源或修改现有资源(如果适用)。 目前,无法在 Azure 门户中配置每个资源和资源设置。 每个连接拓扑的文章中的说明指定了何时需要特定配置工具。

网关 SKU

创建虚拟网络网关时,需指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。

按隧道、连接和吞吐量列出的网关 SKU

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持
第 1 代 VpnGw1 最大 30* 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2 最大 30* 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3 最大 30* 最大 128 最大 1000 1.25 Gbps 支持
第 2 代 VpnGw2 最大 30* 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3 最大 30* 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4 最大 30* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5 最大 30* 最大 128 最大 10000 10 Gbps 支持

(*) 如果需要 30 个以上 S2S VPN 隧道,请使用虚拟 WAN

  • 在同一代中允许调整 VpnGw SKU 的大小,但基本 SKU 的大小调整除外。 基本 SKU 是旧版 SKU,并且具有功能限制。 若要从基本 VpnGw SKU 移到其他 VpnGw SKU,必须删除基本 SKU VPN 网关,并使用所需代系和 SKU 大小组合来创建新网关。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 可在 定价 页上找到定价信息。

  • 可在 SLA 页上查看 SLA(服务级别协议)信息。

  • 在单个隧道中,最多可以达到 1 Gbps 的吞吐量。 上表中的聚合吞吐量基准基于对通过单个网关聚合的多个隧道的测量。 适用于 VPN 网关的聚合吞吐量基准组合了 S2S 和 P2S。 如果有大量的 P2S 连接,则可能会对 S2S 连接造成负面影响,因为存在吞吐量限制。 受 Internet 流量情况和应用程序行为影响,无法保证聚合吞吐量基准。

为了帮助我们的客户了解使用不同算法的 SKU 的相对性能,我们使用市售 iPerf 和 CTSTraffic 工具来衡量性能。 下表列出了第 1 代 VpnGw SKU 的性能测试结果。 可以看到,对 IPsec 加密和完整性使用 GCMAES256 算法时,可获得最佳性能。 对 IPsec 加密使用 AES256 以及对完整性使用 SHA256 时,可获得平均性能。 对 IPsec 加密使用 DES3 以及对完整性使用 SHA256 可获得最低性能。

代系 SKU 使用
的算法
观察到的
吞吐量
观察到的
每隧道每秒数据包数
第 1 代 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
第 1 代 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
第 1 代 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000

定价

支付两项内容:虚拟网络网关的每小时计算成本和虚拟网络网关的出口数据传输。 可在 定价 页上找到定价信息。

虚拟网络网关计算成本
每个虚拟网络网关都有每小时计算成本。 价格基于创建虚拟网络网关时指定的网关 SKU。 成本与网关本身以及流经网关的数据传输相关。 主动-主动设置的成本与主动-被动设置的成本相同。

数据传输成本
数据传输成本根据源虚拟网络网关的出口流量计算。

  • 如果要将流量发送到本地 VPN 设备,以 Internet 出口数据传输率收取费用。
  • 如果要在不同区域的虚拟网络之间发送流量,定价因区域而异。
  • 如果要仅在属于同一区域的虚拟网络之间发送流量,则没有数据成本。 同一区域的 VNet 之间的流量免费。

有关用于 VPN 网关的网关 SKU 的详细信息,请参阅网关 SKU

常见问题解答

有关 VPN 网关的常见问题,请参阅 VPN 网关常见问题

后续步骤