若要通过 Azure ExpressRoute 连接 Azure 虚拟网络 (VNet) 和本地网络,必须首先创建虚拟网络网关。 虚拟网络网关有两个用途:在网络之间交换 IP 路由和路由网络流量。
本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。
创建虚拟网络网关时,需要指定几项设置。 其中一个必要设置“-GatewayType”指定是否将网关用于 ExpressRoute 或 VPN 流量。 两种网关类型是:
Vpn:若要通过公共 Internet 发送加密流量,请对Vpn使用-GatewayType(也称为 VPN 网关)。 站点到站点连接、点到站点连接和 VNet 到 VNet 连接都使用 VPN 网关。ExpressRoute:若要在专用连接上发送网络流量,请对ExpressRoute使用-GatewayType(也称为 ExpressRoute 网关)。 配置 ExpressRoute 时,将使用此类型的网关。
对于每种网关类型,每个虚拟网络只能有一个虚拟网络网关。 例如,可以让一个虚拟网络网关对 Vpn 使用 -GatewayType,另一个对 ExpressRoute 使用 -GatewayType。
创建虚拟网络网关时,需要指定要使用的网关 SKU。 选择更高的网关 SKU 时,会将更多的 CPU 和网络带宽分配给网关。 如此一来,网关可以对虚拟网络支持更高的网络吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- 标准
- 高性能
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
如果要将网关升级到容量更高的网关 SKU,可以在 Azure 门户或 PowerShell 中使用 网关迁移工具 。 支持以下升级:
- 基本 IP 上启用非 Az 的 SKU 迁移到标准 IP 上启用非 Az 的 SKU
- 基本 IP 上启用非 Az 的 SKU 迁移到标准 IP 上启用 Az 的 SKU
有关详细信息,请参阅迁移到已启用可用性区域的网关。
对于所有其他降级方案,需要删除并重新创建网关,这会导致停机。
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 虚拟网络网关虚拟机 (VM) 和服务使用网关子网中包含的 IP 地址。
创建虚拟网络网关时,会将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 网关设置进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为“GatewaySubnet”才能正常工作,因为这样做可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。
注意
不支持以 0.0.0.0/0 为目标的用户定义路由和网关子网上的网络安全组 (NSG)。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 应在网关子网上启用边界网关协议 (BGP) 路由传播,以确保网关的可用性。 如果 BGP 路由传播被禁用,则网关将无法运行。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
- 不建议将 Azure DNS 专用解析程序部署到具有 ExpressRoute 虚拟网络网关的虚拟网络中,并将通配符规则设置为将所有名称解析定向到特定的 DNS 服务器。 此类配置可能会导致管理连接问题。
创建网关子网时,需指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够的 IP 地址,以便应对将来可能会有的配置。
建议创建 /27 或更大的网关子网。 如果计划将 16 个 ExpressRoute 线路连接到网关,则必须创建 /26 或更大的网关子网。 如果创建的是双堆栈网关子网,建议还使用 /64 或更大的 IPv6 范围。 此设置适合大多数配置。
以下 Azure 资源管理器 PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,无类别域际路由选择 (CIDR) 表示法指定了 /27,这允许为当前存在的大多数配置提供足够的 IP 地址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
网关子网上的 NSG 不受支持。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
下表显示了每个网关类型支持的功能以及每个网关 SKU 支持的最大 ExpressRoute 线路连接数。
| 网关 SKU | VPN 网关和 ExpressRoute 共存 | 最大线路连接数 |
|---|---|---|
| 标准 SKU/ErGw1AZ | 是 | 4 |
| 高性能 SKU/ERGw2Az | 是 | 8 |
| 超高性能 SKU/ErGw3Az | 是 | 16 |
注意
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
下表概述了不同类型的网关、其各自的限制和预期性能指标。
此表适用于 Azure 资源管理器和经典部署模型。
| 网关 SKU | 兆比特每秒 | 每秒的数据包数 | 虚拟网络中可支持的 VM 数量1 | 流计数限制 | 网关获知的路由数 |
|---|---|---|---|---|---|
| 标准/ERGw1Az | 1,000 | 100,000 | 二千 | 200,000 | 4,000 |
| 高性能/ERGw2Az | 二千 | 200,000 | 4,500 | 400,000 | 9,500 |
| 超高性能/ErGw3Az | 1万 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
1 表中的值是估计值,具体取决于网关的 CPU 使用率。 如果 CPU 使用率高,超出了支持的 VM 数,网关将开始删除数据包。
注意
ExpressRoute 最多可以为 11,000 个路由提供便利,这些路由跨越虚拟网络地址空间、本地网络以及任何相关的虚拟网络对等互连连接。 为了确保 ExpressRoute 连接稳定,不要向 ExpressRoute 播发超过 11,000 条路由。 网关公布的最大路由数为 1,000 条路由。
重要
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的通信流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,我们会在 ExpressRoute 虚拟网络网关上执行主机和操作系统的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1,400 字节。 大于 1,400 字节的数据包将被分段。
- Azure 路由服务器最多可支持 4,000 个 VM。 此限制包括对等互连的虚拟网络中的 VM。 有关详细信息,请参阅 Azure 路由服务器限制。
你也可以在 Azure 可用性区域中部署 ExpressRoute 网关。 在物理上和逻辑上将网关分离到可用性区域有助于保护与 Azure 的本地网络连接免受区域级故障的影响。
区域冗余型网关使用 ExpressRoute 网关的特定新网关 SKU:
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
默认情况下,对于所有网关 SKU,将禁用通过 ExpressRoute 线路进行的 VNet 到 VNet 的连接以及 VNet 到虚拟 WAN 的连接。 若要启用该连接,必须配置 ExpressRoute 虚拟网络网关以允许此流量。 有关详细信息,请参阅有关通过 ExpressRoute 的虚拟网络连接的指南。 要启用此流量,请参阅通过 ExpressRoute 启用 VNet 到 VNet 或 VNet 到虚拟 WAN 的连接。
ExpressRoute 虚拟网络网关可增强与专用终结点的连接性,这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。
重要
- 与连接到非专用终结点资源相比,连接到专用终结点资源的吞吐量和控制平面容量可能会减少一半。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- 需要确保正确设置本地配置(包括路由器和防火墙设置),以确保 IP 5 元组传输的数据包使用单个下一个跃点(Microsoft Enterprise Edge 路由器),除非存在维护事件。 如果你的本地防火墙或路由器配置导致同一 IP 5 元组频繁切换下一个跃点,则你将遇到连接问题。
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连建立与专用终结点的连接时,入站和出站连接通过网关基础结构的其中一个后端实例进行路由。 在维护事件期间,一次重启一个虚拟网络网关基础结构的后端实例,这可能会导致间歇性连接问题。
为了在维护活动期间避免或最大程度地减少专用终结点的连接问题,建议在本地应用程序中将 TCP 超时值设置为介于 15 到 30 秒之间。 根据应用程序要求测试和配置最佳值。
有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求,请参阅以下页面:
| 经典 | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 不建议使用 ExpressRoute 线路在虚拟网络之间进行通信。 建议改用虚拟网络对等互连。 若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接,请参阅通过 ExpressRoute 在虚拟网络之间建立连接。
具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。
有关可用连接配置的详细信息,请参阅 ExpressRoute 概述。
有关创建 ExpressRoute 网关的详细信息,请参阅创建 ExpressRoute 的虚拟网络网关。
有关如何部署 ErGwScale 的详细信息,请参阅使用 Azure 门户配置 ExpressRoute 的虚拟网络网关。
有关配置区域冗余型网关的详细信息,请参阅创建区域冗余型虚拟网络网关。