若要通过 ExpressRoute 连接 Azure 虚拟网络和本地网络,必须首先创建虚拟网络网关。 虚拟网络网关有两个用途:在网络之间交换 IP 路由和路由网络流量。 本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。
创建虚拟网络网关时,需要指定几项设置。 其中一个必要设置“-GatewayType”指定是否将网关用于 ExpressRoute 或 VPN 流量。 两种网关类型是:
Vpn - 若要通过公共 Internet 发送加密流量,请使用网关类型“Vpn”。 这种类型的网关也称为 VPN 网关。 站点到站点连接、点到站点连接和 VNet 到 VNet 连接都使用 VPN 网关。
ExpressRoute - 若要在专用连接上发送网络流量,请使用网关类型“ExpressRoute”。 这种类型的网关也称为 ExpressRoute 网关,是在配置 ExpressRoute 时使用的。
对于每种网关类型,每个虚拟网络只能有一个虚拟网络网关。 例如,一个虚拟网络网关使用 -GatewayType Vpn,另一个使用 -GatewayType ExpressRoute。
创建虚拟网络网关时,需要指定要使用的网关 SKU。 如果选择更高级的网关 SKU,则将为该网关分配更多的 CPU 和网络带宽,这样使网关能够支持到虚拟网络更高的吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- ERGwScale(预览)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
如果要将网关升级到更高的容量网关 SKU,可以在 Azure 门户或 PowerShell 中使用无缝网关迁移工具。 支持以下升级:
- 基本 IP 上的未启用 Az 的 SKU 迁移到标准 IP 上的未启用 Az 的 SKU。
- 基本 IP 上的未启用 Az 的 SKU 迁移到标准 IP 上的已启用 Az 的 SKU。
- 标准 IP 上的未启用 Az 的 SKU 迁移到标准 IP 上的已启用 Az 的 SKU。
有关详细信息,请参阅迁移到已启用可用性区域的网关。
所有其他降级方案都需要删除并重新创建网关。 重新创建网关会导致停机。
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 网关子网包含虚拟网络网关 VM 和服务使用的 IP 地址。 创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 网关设置进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为“GatewaySubnet”才能正常工作。 将网关子网命名为“GatewaySubnet”就可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。
注意
不支持 GatewaySubnet 上具有 0.0.0.0/0 目标和 NSG 的用户定义的路由。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 GatewaySubnet 上的 BGP 路由传播应设为“已启用”,以确保网关可用。 如果 BGP 路由传播设为“禁用”,则网关将不起作用。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
- 不建议将 Azure DNS 专用解析程序部署到具有 ExpressRoute 虚拟网络网关的虚拟网络中,并将通配符规则设置为将所有名称解析定向到特定的 DNS 服务器。 此类配置可能会导致管理连接问题。
创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够的 IP 地址,以便应对将来可能会有的配置。 建议创建 /27 或更大的网关子网(/27、/26 等)。 如果计划将 16 个 ExpressRoute 线路连接到网关,则必须创建 /26 或更大的网关子网。 如果创建的是双堆栈网关子网,建议还使用 /64 或更大的 IPv6 范围。 此设置适合大多数配置。
以下 Resource Manager PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,CIDR 表示法指定了 /27,这可提供足够的 IP 地址供大多数现有配置使用。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
不支持网关子网上的网络安全组 (NSG)。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
下表显示了每个网关类型支持的功能,以及每个网关 SKU 支持的最大 ExpressRoute 线路连接数。
| 网关 SKU | VPN 网关和 ExpressRoute 共存 | 最大线路连接数 |
|---|---|---|
| 标准 SKU/ErGw1AZ | 是 | 4 |
| 高性能 SKU/ERGw2Az | 是 | 8 |
| 超高性能 SKU/ErGw3Az | 是 | 16 |
注意
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
下表概述了不同类型的网关、其各自的限制和预期性能指标。 这些数字派生自以下测试条件,表示最大支持限制。 实际性能可能有所不同,具体取决于流量复制这些测试条件的相近程度。
| 网关 SKU | 从本地发送的流量 | 网关播发的路由数 | 网关获知的路由数 |
|---|---|---|---|
| 标准/ERGw1Az | 1 Gbps | 500 | 4000 |
| 高性能/ERGw2Az | 2 Gbps | 500 | 9,500 |
| 超高性能/ErGw3Az | 10 Gbps | 500 | 9,500 |
注意
ExpressRoute 最多可以促进 11,000 个路由,这些路由跨越虚拟网络地址空间、本地网络和任何相关的虚拟网络对等互连连接。 为了确保 ExpressRoute 连接稳定,不要向 ExpressRoute 播发超过 11,000 条路由。
此表适用于 Azure 资源管理器和经典部署模型。
| 网关 SKU | 每秒兆位数 | 每秒的数据包数 | 虚拟网络中可支持的 VM 数量1 | 流计数限制 |
|---|---|---|---|---|
| 标准/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 |
| 高性能/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 |
| 超高性能/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
1 表中的值是估计值,具体取决于网关的 CPU 使用率。 如果 CPU 使用率较高且超出了支持的 VM 数,网关将开始删除数据包。
重要
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的流量流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,Microsoft 会在 ExpressRoute 虚拟网络网关上执行主机和 OS 的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1400 字节。 大于 1400 字节的数据包将被分段。
- Azure 路由服务器最多可支持 4000 个 VM。 此限制包括对等互连的虚拟网络中的 VM。 有关详细信息,请参阅 Azure 路由服务器限制。
也可以在 Azure 可用性区域中部署 ExpressRoute 网关。 此配置在物理上和逻辑上将它们分成不同的可用性区域,从而保护本地网络与 Azure 的连接免受区域级故障的影响。
区域冗余型网关使用 ExpressRoute 网关的特定新网关 SKU。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
新的网关 SKU 还支持其他部署选项,以最好地满足你的需求。 使用新网关 SKU 创建虚拟网络网关时,可以在特定区域中部署网关。 这种类型的网关称为区域网关。 部署区域网关时,网关的所有实例都部署在同一可用性区域中。
若要了解如何迁移 ExpressRoute 网关,请参阅网关迁移。
默认情况下,对于所有网关 SKU,将禁用通过 ExpressRoute 线路进行的 VNet 到 VNet 的连接以及 VNet 到虚拟 WAN 的连接。 若要启用该连接,必须配置 ExpressRoute 虚拟网络网关以允许此流量。 有关详细信息,请参阅有关通过 ExpressRoute 的虚拟网络连接的指南。 要启用此流量,请参阅通过 ExpressRoute 启用 VNet 到 VNet 或 VNet 到虚拟 WAN 连接。
ExpressRoute 虚拟网络网关可增强与专用终结点的连接性,这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。
重要
- 与连接到非专用终结点资源相比,连接到专用终结点资源的吞吐量和控制平面容量可能会减少一半。
- 在维护期间,可能会遇到与专用终结点资源的间歇性连接问题。
- 你需要确保正确设置其本地配置(包括路由器和防火墙设置),以确保 IP 5 元组的数据包传输使用单个下一个跃点(Microsoft Enterprise Edge 路由器 - MSEE),除非存在维护事件。 如果你的本地防火墙或路由器配置导致同一 IP 5 元组频繁切换下一个跃点,则会遇到连接问题。
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连建立与专用终结点的连接时,入站和出站连接将通过网关基础结构的后端实例之一进行路由。 在维护事件期间,一次重启一个虚拟网络网关基础结构的后端实例,这可能会导致间歇性连接问题。
为了在维护活动期间避免或最大程度地减少专用终结点的连接问题,建议在本地应用程序中将 TCP 超时值设置为介于 15-30 秒之间。 根据应用程序要求测试和配置最佳值。
有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求,请参阅以下页面:
| 经典 | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 Azure 建议不要使用 ExpressRoute 线路在虚拟网络之间进行通信。 相反,我们建议使用虚拟网络对等互连。 若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接,请参阅通过 ExpressRoute 在虚拟网络之间建立连接。
具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。
有关可用连接配置的详细信息,请参阅 ExpressRoute 概述。
有关创建 ExpressRoute 网关的详细信息,请参阅创建 ExpressRoute 的虚拟网络网关。
有关如何部署 ErGwScale 的详细信息,请参阅使用 Azure 门户配置 ExpressRoute 的虚拟网络网关。
有关配置区域冗余型网关的详细信息,请参阅创建区域冗余型虚拟网络网关。