你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VPN Gateway服务可用于通过公共 Internet 在Azure虚拟网络和本地位置之间发送加密流量。 还可以使用VPN Gateway通过Microsoft网络在Azure虚拟网络之间发送加密流量。 VPN Gateway使用称为VPN gateway的特定类型的Azure虚拟网络网关。 可以针对相同的 VPN 网关创建多个连接。 创建多个连接时,所有 VPN 隧道共享可用的网关带宽。
注释
Azure VPN Gateway是构成 Azure 中的混合连接类别的服务之一。 此类别中的其他服务包括 ExpressRoute 和 Virtual WAN。 每个服务都有自己的独特功能和用例。 有关此服务类别的详细信息,请参阅 混合连接。
为何使用VPN Gateway?
下面是VPN Gateway的一些关键方案:
使用以下连接类型之一,通过公共 Internet 上在 Azure 虚拟网络与本地位置之间传输加密的流量:
站点到站点连接: VPN 网关与本地 VPN 设备之间的跨界 IPsec/IKE VPN 隧道连接。
点到站点连接: 通过 OpenVPN、IKEv2 或 SSTP 的 VPN。 使用这种类型的连接,可以从远程位置(例如从会议室或家中)连接到虚拟网络。
使用以下类型的连接在Azure虚拟网络之间发送加密流量:
VNet 到 VNet: 在 VPN 网关与另一个使用 VNet 到 VNet 连接类型的 Azure VPN 网关之间建立的 IPsec/IKE VPN 隧道连接。 此连接类型专为 VNet 到 VNet 连接而设计。
站点到站点连接: VPN 网关与另一个 Azure VPN 网关之间的 IPsec/IKE VPN 隧道连接。 这种类型的连接在 VNet 到 VNet 体系结构中使用时,采用站点到站点 (IPsec) 连接类型,除了 VPN 网关之间的连接外,还允许跨界连接到网关。
使用以下方法将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径:
- ExpressRoute + VPN Gateway: ExpressRoute + VPN Gateway 连接(共存连接)的组合。
使用站点到站点 VPN 来连接那些未通过 ExpressRoute 连接的站点:
- ExpressRoute + VPN Gateway: ExpressRoute + VPN Gateway 连接(共存连接)的组合。
规划和设计
由于可以使用VPN Gateway创建多个连接配置,因此需要确定哪种配置最符合你的需求。 点到站点、站点到站点以及共存的 ExpressRoute/站点到站点连接都有不同的说明和资源配置要求。
有关设计拓扑和配置说明的链接,请参阅 VPN Gateway 拓扑和设计一文。 本文的以下部分重点介绍了一些最常用的设计拓扑。
规划表
下表可帮助选择最适合解决方案的连接选项。
| 点到站点 | 站点到站点 | |
|---|---|---|
| Azure支持的服务 | 云服务和虚拟机 | 云服务和虚拟机 |
| 典型带宽 | 基于网关 SKU | 通常 < 10 Gbps(总计) |
| 支持的协议 | 安全套接字隧道协议 (SSTP)、OpenVPN 和 IPsec | IPsec |
| 路由 | 基于路由(动态) | 支持基于策略(静态路由)和基于路由(动态路由 VPN) |
| 连接复原能力 | 主动-被动或主动-主动 | 主动-被动或主动-主动 |
| 典型用例 | 保护对远程用户的Azure虚拟网络的访问 | 云服务和虚拟机的开发、测试和实验方案和中小规模生产工作负载 |
| SLA | SLA | SLA |
| 定价 | 定价 | 定价 |
| 技术文档 | VPN Gateway | VPN Gateway |
| 常见问题 | VPN Gateway 常见问题解答 | VPN Gateway 常见问题解答 |
可用区
VPN 网关可以在Azure Availability Zones中部署。 可用性区域部署为虚拟网络网关带来了复原能力、可伸缩性和更高的可用性。 在 Azure 可用性区域内物理上和逻辑上部署网关可以隔离该区域内的网关,同时保护您的本地网络连接,免受区域级别故障对连接至 Azure 的影响。 请参阅 Azure Availability Zones 中的区域冗余虚拟网络网关。
配置VPN Gateway
VPN 网关连接依赖于使用特定设置配置的多个资源。 在某些情况下,必须按特定顺序配置资源。 为每个资源选择的设置对于成功创建连接至关重要。
有关 VPN Gateway 的各个资源和设置的信息,请参阅 关于 VPN Gateway 设置 和 关于网关 SKU。
有关设计图和配置文章的链接,请参阅 VPN Gateway 拓扑和设计一文。
网关 SKU
创建虚拟网络网关时,需指定要使用的网关 SKU。 请根据工作负荷、吞吐量、功能和 SLA 的类型,选择满足需求的 SKU。 有关网关 SKU 的详细信息,包括受支持的功能、性能表、配置步骤和生产与开发测试工作负荷,请参阅 “关于网关 SKU”。
|
Vpn 网关 世代 |
SKU |
S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | Zone-redundant | 虚拟网络中支持的VM数量 |
|---|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 五千 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 五千 | 5 Gbps | 支持 | 否 | 5300 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 1万 | 10 Gbps | 支持 | 否 | 6700 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 五千 | 5 Gbps | 支持 | 是 | 4400 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 1万 | 10 Gbps | 支持 | 是 | 九千 |
注释
“虚拟网络中受支持的 VM 数量”是指通过网关进行通信的资源数量。 这包括:
- 中心和对等辐射虚拟网络中的虚拟机
- 私有终结点
- 网络虚拟设备(如应用程序网关、Azure Firewall)
- 部署在虚拟网络中的 PaaS 服务的后端实例(例如SQL Managed Instance、App Service Environment)
(*)如果需要超过 100 个 S2S VPN 隧道,请使用 Virtual WAN 而不是 VPN Gateway。
定价
支付两项内容:虚拟网络网关的每小时计算成本和虚拟网络网关的出口数据传输。 可以在 “定价 ”页上找到定价信息。 有关旧网关 SKU 定价,请参阅 ExpressRoute 定价页并滚动到 Virtual Network Gateways 部分。
虚拟网络网关计算成本
每个虚拟网络网关都有每小时计算成本。 该价格取决于创建虚拟网络网关时指定的网关 SKU。 成本与网关本身以及流经网关的数据传输相关。 主动-主动设置的成本与主动-被动设置的成本相同。 有关VPN Gateway网关 SKU 的详细信息,请参阅 Gateway SKU。
数据传输成本
数据传输成本根据源虚拟网络网关的出口流量计算。
- 如果将流量发送到本地部署的 VPN 设备,则收费是按照 Internet 出口数据传输速率计算。
- 如果要在不同区域的虚拟网络之间发送流量,定价因区域而异。
- 如果仅在同一区域的虚拟网络之间发送流量,不会有数据成本。 同一区域的 VNet 之间的流量免费。
VPN Gateway有哪些新增功能?
Azure VPN Gateway会定期更新。 若要随时了解最新公告,请参阅 “新增功能” 一文。 本文重点介绍了以下兴趣点:
- 最新版本
- 正在进行具有已知限制的预览(如果适用)
- 已知问题
- 已弃用的功能(如果适用)
还可以订阅 RSS 源,并在 Azure Updates 页上查看最新的VPN Gateway功能更新。
FAQ
有关VPN gateway的常见问题,请参阅 VPN Gateway 常见问题解答。