Azure VPN 网关是可用于通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密流量的服务。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 VPN 网关使用一种称作“VPN 网关”的特定类型的 Azure 虚拟网络网关。 可以针对相同的 VPN 网关创建多个连接。 创建多个连接时,所有 VPN 隧道共享可用的网关带宽。
为何使用 VPN 网关?
下面是 VPN 网关的一些关键使用场景:
通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。 可以使用以下类型的连接来执行此操作:
站点到站点连接:VPN 网关与本地 VPN 设备之间的跨界 IPsec/IKE VPN 隧道连接。
点到站点连接:基于 OpenVPN、IKEv2 或 SSTP 的 VPN。 使用这种类型的连接,可以从远程位置(例如从会议室或家中)连接到虚拟网络。
在虚拟网络之间发送加密流量。 可以使用以下类型的连接来执行此操作:
VNet 到 VNet:VPN 网关与另一个使用 VNet 到 VNet 连接类型的 Azure VPN 网关之间的 IPsec/IKE VPN 隧道连接。 此连接类型专为 VNet 到 VNet 连接而设计。
站点到站点连接:VPN 网关与另一个 Azure VPN 网关之间的 IPsec/IKE VPN 隧道连接。 在 VNet 到 VNet 体系结构中使用这种类型的连接时,此连接将使用站点到站点 (IPsec) 连接类型,除了 VPN 网关之间的连接之外,还允许与网关建立跨界连接。
将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径。 可通过以下方式实现此目的:
- ExpressRoute + VPN 网关:ExpressRoute + VPN 网关连接的组合(共存连接)。
使用站点到站点 VPN 连接到未通过 ExpressRoute 连接的站点。 可通过以下方式实现此目的:
- ExpressRoute + VPN 网关:ExpressRoute + VPN 网关连接的组合(共存连接)。
规划和设计
由于可以使用 VPN 网关创建多个连接配置,因此需要确定哪种配置最适合你的需求。 点到站点、站点到站点以及共存的 ExpressRoute/站点到站点连接都有不同的说明和资源配置要求。
有关设计拓扑和配置说明的链接,请参阅 VPN 网关拓扑和设计一文。 本文的以下部分重点介绍了一些最常用的设计拓扑。
规划表
下表可帮助选择最适合解决方案的连接选项。
| 点到站点 | 站点到站点 | |
|---|---|---|
| Azure 支持的服务 | 云服务和虚拟机 | 云服务和虚拟机 |
| 典型带宽 | 基于网关 SKU | 通常 < 10 Gbps(总计) |
| 支持的协议 | 安全套接字隧道协议 (SSTP)、OpenVPN 和 IPsec | IPsec |
| 路由 | 基于路由(动态) | 支持基于策略(静态路由)和基于路由(动态路由 VPN) |
| 连接复原能力 | 主动-被动或主动-主动 | 主动-被动或主动-主动 |
| 典型用例 | 远程用户对 Azure 虚拟网络的安全访问 | 云服务和虚拟机的开发、测试和实验方案和中小规模生产工作负载 |
| SLA | SLA | SLA |
| 定价 | 定价 | 定价 |
| 技术文档 | VPN 网关 | VPN 网关 |
| 常见问题解答 | VPN 网关常见问题 | VPN 网关常见问题 |
可用性区域
VPN 网关可以部署在 Azure 可用性区域中。 这样可以提高虚拟网络网关的复原性、可伸缩性和可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。 请参阅关于 Azure 可用性区域中的区域冗余虚拟网络网关。
配置 VPN 网关
VPN 网关连接依赖于使用特定设置配置的多个资源。 在某些情况下,必须按特定顺序配置资源。 为每个资源选择的设置对于成功创建连接至关重要。
有关 VPN 网关的各个资源和设置的信息,请参阅关于 VPN 网关设置和关于网关 SKU。 这些文章包含的信息有助于了解网关类型、网关 SKU、VPN 类型、连接类型、网关子网、本地网关,以及可能需要考虑的其他各项资源设置。
有关设计示意图和配置文章的链接,请参阅 VPN 网关拓扑和设计一文。
网关 SKU
创建虚拟网络网关时,需指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。 有关网关 SKU 的详细信息(包括支持的功能、性能表、配置步骤及生产和开发测试工作负载),请参阅关于网关 SKU。
| VPN 网关 代系 |
SKU | S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 | 虚拟网络中支持的 VM 数 |
|---|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 5000 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 否 | 5300 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 否 | 6700 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 是 | 4400 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 是 | 9000 |
(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。
定价
支付两项内容:虚拟网络网关的每小时计算成本和虚拟网络网关的出口数据传输。 可在 定价 页上找到定价信息。 有关旧版网关 SKU 定价的信息,请参阅 ExpressRoute 定价页并滚动至“虚拟网络网关”部分。
虚拟网络网关计算成本
每个虚拟网络网关都有每小时计算成本。 价格基于创建虚拟网络网关时指定的网关 SKU。 成本与网关本身以及流经网关的数据传输相关。 主动-主动设置的成本与主动-被动设置的成本相同。 有关用于 VPN 网关的网关 SKU 的详细信息,请参阅网关 SKU。
数据传输成本
数据传输成本根据源虚拟网络网关的出口流量计算。
- 如果要将流量发送到本地 VPN 设备,以 Internet 出口数据传输率收取费用。
- 如果要在不同区域的虚拟网络之间发送流量,定价因区域而异。
- 如果仅在同一区域的虚拟网络之间发送流量,不会有数据成本。 同一区域的 VNet 之间的流量免费。
VPN 网关中有哪些新增功能?
Azure VPN 网关会定期更新。 若要随时了解最新公告,请参阅新增功能一文。 本文重点介绍了以下兴趣点:
- 最新版本
- 正在实行的预览和已知限制(如果适用)
- 已知问题
- 已弃用的功能(如果适用)
常见问题解答
有关 VPN 网关的常见问题,请参阅 VPN 网关常见问题。