什么是 VPN 网关?

VPN 网关通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 VPN 网关是特定类型的虚拟网络网关。 每个虚拟网络只能有一个 VPN 网关。 但是,可以创建连接到相同 VPN 网关的多个连接。 与同一个 VPN 网关建立多个连接时,所有 VPN 隧道共享可用的网关带宽。

什么是虚拟网络网关?

虚拟网络网关由两个或多个 VM 组成,这些 VM 会自动配置并部署到所创建的名为“网关子网”的特定子网。 网关 VM 包含路由表,并运行特定的网关服务。 无法直接配置虚拟网络网关中的 VM,尽管配置网关时选择的设置会影响所创建的网关 VM。

什么是 VPN 网关?

配置虚拟网络网关时,将配置用于指定网关类型的设置。 网关类型确定如何使用虚拟网络网关以及网关所采取的操作。 网关类型“Vpn”指定创建的虚拟网关类型为“VPN 网关”。 这将它与使用其他网关类型的 ExpressRoute 网关区分开来。 一个虚拟网络可以有两个虚拟网络网关:一个 VPN 网关和一个 ExpressRoute 网关。 有关详细信息,请参阅网关类型

在创建 VPN 网关时,请将网关 VM 部署到网关子网,并使用指定的设置进行配置。 该过程可能需要 45 分钟或更长时间才能完成,具体取决于所选网关 SKU。 在创建 VPN 网关以后,即可在一个 VPN 网关和另一个 VPN 网关之间(VNet 到 VNet)创建 IPsec/IKE VPN 隧道连接,或者在 VPN 网关和本地 VPN 设备(站点到站点)之间创建跨界 IPsec/IKE VPN 隧道连接。 也可创建点到站点 VPN 连接(基于 OpenVPN、IKEv2 或 SSTP 的 VPN),以便从远程位置(例如从会议室或家)连接到虚拟网络。

配置 VPN 网关

VPN 网关连接依赖于使用特定设置配置的多个资源。 大多数资源可以单独配置,虽然某些资源必须按特定顺序配置。

连接

由于可以使用 VPN 网关创建多个连接配置,因此需要确定哪种配置最适合你的需求。 点到站点、站点到站点以及共存的 ExpressRoute/站点到站点连接都有不同的说明和配置要求。 有关连接图和配置步骤的相应链接,请参阅 VPN 网关设计

规划表

下表可帮助选择最适合解决方案的连接选项。 请注意,ExpressRoute 不是 VPN 网关的一部分,而是包含在表中。

点到站点 站点到站点 ExpressRoute
Azure 支持的服务 云服务和虚拟机 云服务和虚拟机 服务列表
典型带宽 基于网关 SKU 通常 < 10 Gbps(总计) 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、100 Gbps
支持的协议 安全套接字隧道协议 (SSTP)、OpenVPN 和 IPsec IPsec 通过 VLAN、NSP 的 VPN 技术(MPLS、VPLS...)直接连接
路由 基于路由(动态) 支持基于策略(静态路由)和基于路由(动态路由 VPN) BGP
连接复原能力 主动-被动 主动-被动或主动-主动 主动-主动
典型用例 远程用户对 Azure 虚拟网络的安全访问 云服务和虚拟机的开发/测试/实验室方案和中小型生产工作负载 访问所有 Azure 服务(已验证列表)、企业级和任务关键型工作负荷、备份、大数据、Azure 即 DR 站点
SLA SLA SLA SLA
定价 定价 定价 定价
技术文档 VPN 网关 VPN 网关 ExpressRoute
常见问题 VPN 网关常见问题 VPN 网关常见问题 ExpressRoute 常见问题

设置

为每个资源选择的设置对于成功创建连接至关重要。 有关 VPN 网关的各个资源和设置的信息,请参阅 关于 VPN 网关设置。 本文包含的信息有助于了解网关类型、网关 SKU、VPN 类型、连接类型、网关子网、本地网关,以及可能需要考虑的其他各项资源设置。

部署工具

开始时可以使用一个配置工具(如 Azure 门户)创建和配置资源。 可在以后切换到另一个工具(如 PowerShell)来配置其他资源或修改现有资源(如果适用)。 目前,无法在 Azure 门户中配置每个资源和资源设置。 每个连接拓扑的文章中的说明指定了何时需要特定配置工具。

网关 SKU

创建虚拟网络网关时,需指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。

  • 有关网关 SKU 的详细信息(包括支持的功能、生产和开发测试以及配置步骤),请参阅 VPN 网关设置 - 网关 SKU 一文。
  • 有关旧版 SKU 的信息,请参阅使用旧版 SKU
  • 基本 SKU 不支持 IPv6。

按隧道、连接和吞吐量列出的网关 SKU

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支持
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支持
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps 支持
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps 支持

(*) 如果需要 100 个以上的 S2S VPN 隧道,请使用虚拟 WAN

  • 在同一代中允许调整 VpnGw SKU 的大小,但基本 SKU 的大小调整除外。 基本 SKU 是旧版 SKU,并且具有功能限制。 若要从基本 SKU 移到其他 SKU,必须删除基本 SKU VPN 网关,并使用所需代系和 SKU 大小组合来创建新网关。 (请参阅使用旧版 SKU)。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 可在 定价 页上找到定价信息。

  • 可在 SLA 页上查看 SLA(服务级别协议)信息。

  • 如果你有很多 P2S 连接,可能会对 S2S 连接带来负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低很多。

  • 请注意,鉴于 Internet 流量情况和你的应用程序行为,不能保证达到所有基准

为了帮助我们的客户了解使用不同算法的 SKU 的相对性能,我们使用市售 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能。 下表列出了 VpnGw SKU 的性能测试结果。 可以看到,对 IPsec 加密和完整性使用 GCMAES256 算法时,可获得最佳性能。 对 IPsec 加密使用 AES256 以及对完整性使用 SHA256 时,可获得平均性能。 对 IPsec 加密使用 DES3 以及对完整性使用 SHA256 可获得最低性能。

VPN 隧道连接到 VPN 网关实例。 上述吞吐量表中提到了每个实例的吞吐量,该吞吐量可在连接到该实例的所有隧道中聚合。

下表显示了不同网关 SKU 每条隧道的观察带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。

代系 SKU 算法
(使用的)
吞吐量
按隧道观察到的
每隧道每秒数据包数
(观察到的)
第 1 代 VpnGw1 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
第 1 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 1 代 VpnGw1AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
第 1 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 2 代 VpnGw2 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5 GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw2AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5AZ GCMAES256
AES256 和 SHA256
DES3 和 SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

可用性区域

VPN 网关可以部署在 Azure 可用性区域中。 这样可以提高虚拟网络网关的复原性、可伸缩性和可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。 请参阅关于 Azure 可用性区域中的区域冗余虚拟网络网关

定价

支付两项内容:虚拟网络网关的每小时计算成本和虚拟网络网关的出口数据传输。 可在 定价 页上找到定价信息。

虚拟网络网关计算成本
每个虚拟网络网关都有每小时计算成本。 价格基于创建虚拟网络网关时指定的网关 SKU。 成本与网关本身以及流经网关的数据传输相关。 主动-主动设置的成本与主动-被动设置的成本相同。

数据传输成本
数据传输成本根据源虚拟网络网关的出口流量计算。

  • 如果要将流量发送到本地 VPN 设备,以 Internet 出口数据传输率收取费用。
  • 如果要在不同区域的虚拟网络之间发送流量,定价因区域而异。
  • 如果要仅在属于同一区域的虚拟网络之间发送流量,则没有数据成本。 同一区域的 VNet 之间的流量免费。

有关用于 VPN 网关的网关 SKU 的详细信息,请参阅网关 SKU

FAQ

有关 VPN 网关的常见问题,请参阅 VPN 网关常见问题

后续步骤