对 Azure 虚拟网络网关的改进

  • Article

YU-SHUN WANG Azure 网络高级项目经理

在 2014 年欧洲 TechEd 大会上,我们宣布了对Azure 虚拟网络网关的多项改进:

1.  高性能网关 SKU

2.  Azure 虚拟网络网关操作日志

3.  支持 PFS(完美转发保密)

4.  S2S 隧道支持不加密选项

我们将概述每项新功能并提供这些新功能的使用说明。

概述

Azure 虚拟网络网关作为跨云和内部部署的网关,可以将 Azure 虚拟网络中的工作负载连接到内部部署站点。使用 IPsec S2SVPN 隧道或 ExpressRoute 线路连接内部部署站点时, 它是必须的。对于IPsec/IKE VPN 隧道,网关会执行 IKE 握手,然后在内部部署站点之间建立 IPsec S2SVPN 隧道。对于 ExpressRoute,网关会通过对等线路通知虚拟网络中的前缀,也会将数据包从 ExpressRoute 线路转发到虚拟网络内的VM 上。

下图所示为带有多个跨界连接选项的 Azure 虚拟网络网关概念图:

高性能网关

为了给跨云和内部部署的连接提供更高的吞吐量和更多的 S2S VPN 隧道,我们发布了新的Azure 虚拟网络网关 SKU:高性能网关。下表所示为当前网关和高性能网关的初始吞吐量合计值和S2S VPN 隧道规格:

网关 SKU

ExpressRoute 吞吐量*

S2S VPN 吞吐量*

最大 S2S 隧道数

默认

~500Mbps

~80Mbps

10 个

高性能

~1000Mbps

~200Mbps

30 个

* 请注意,实际吞吐量会因流量状况和应用程序行为的不同而发生变化。

高性能网关定价:

·   每个网关每小时0.49 美元

·   数据传输和跨VNet 流量的费率保持不变

高性能网关同时可用于 Azure 动态路由网关和 Azure ExpressRoute。不支持静态路由网关。以下 cmdlet 可用于创建新的高性能网关或者将现有网关升级到新 SKU:

创建高性能网关

Azure PowerShell cmdlet 中增加了一个新的选项New-AzureVNetGateway,用于指定 SKU。以下示例将为虚拟网络“MyAzureVNet”创建高性能网关:

PS D:\> New-AzureVNetGateway –VNetNameMyAzureVNet –GatewayTypeDynamicRouting –GatewaySKUHighPerformance

请注意,DynamicRouting 同时是 DynamicRouting 网关和专用 (ExpressRoute) 网关的 GatewayType。因此,该示例 cmdlet 也可用于创建虚拟网络网关,以连接 ExpressRoute 线路。

更新网关 SKU

以下 Resize-AzureVNetGateway cmdlet 可以更新 Azure 虚拟网络网关的 SKU:

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUHighPerformance

该示例 cmdlet 会将 MyAzureVNet 的网关从 Default 更改为 HighPerformance。您也可以将网关 SKU 从 High Performance 改回到 Default:

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUDefault

网关操作日志

Azure 门户提供了“Management Services”(管理服务)选项卡,可以让 Azure 服务和组件报告操作日志。我们在框架中添加了 Azure 虚拟网络网关日志。现在您将可以获得以下有关 Azure VPN 网关和 Azure ExpressRoute 的事件集:

1.  网关创建和删除

2.  ExpressRoute 线路创建和删除

3.  ExpressRoute 线路链接授权、创建和删除

4.  ExpressRouteBGP 会话创建、删除和更新

以下屏幕截图显示了一个简单的示例:

请注意,以上所列初始事件集只是一个开始。我们将继续在日志中添加其他网关事件。

更多 IPsec/IKE VPN自定义选项

我们添加了另外两个选项,用于配置 IPsec/IKE S2S VPN 隧道 – PFS(完美转发保密)和不加密。

您现在可以通过该功能为每个隧道指定 PFS 及 IKE。不加密是 S2S VPN 隧道的新选项。该选项针对 Azure 内 VNet 到 VNet 之间的通信。Azure 虚拟网络网关之间的流量会留在 Microsoft 运营的网络内,包括跨区域通信。现在,该流量在默认情况下已加密。对于想要获得更高吞吐量的客户,我们提供了不加密选项,可以消除加密和解密开销。请注意,对于经过 Internet 的流量,不建议使用该选项,因为这会导致数据包在未加密的情况下被发送出去。建议仅对 Azure VNet 到 VNet 之间的通信使用该选项。

我们正在致力于使 PowerShell cmdlet 支持这两项功能。敬请关注。

如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。

本文翻译自:https://azure.microsoft.com/blog/2014/12/02/azure-virtual-network-gateway-improvements