Azure Stack Hub VPN Fast Path für Operatoren

Was ist das Feature azure Stack Hub VPN Fast Path?

Azure Stack Hub führt die drei neuen SKUs ein, die in diesem Artikel als Teil des VPN Fast Path-Features beschrieben werden. Bisher waren S2S-Tunnel auf eine maximale Bandbreite von 200 MBit/s mit der HighPerformance-SKU beschränkt. Die neuen SKUs ermöglichen Kundenszenarien, in denen ein höherer Netzwerkdurchsatz erforderlich ist. Die Durchsatzwerte für jede SKU sind unidirektionale Werte, d. h. sie unterstützt den angegebenen Durchsatz für einen Sende- oder Empfangsdatenverkehr.

Neue VPN Fast Path Virtual Network Gateway-SKUs

Mit der Einführung des VPN Fast Path-Features in Azure Stack Hub können Mandantenbenutzer VPN-Verbindungen mit 3 neuen SKUs erstellen:

  • Grundlegend
  • Standard
  • Leistung
  • VpnGw1 (neu)
  • VpnGw2 (neu)
  • VpnGw3 (neu)

Wichtige Überlegungen vor der Aktivierung von Azure Stack Hub VPN Fast Path

Damit jeder Updateprozess so reibungslos wie möglich verläuft, sodass es minimale Auswirkungen auf Ihre Benutzer gibt, ist es wichtig, Ihren Azure Stack Hub-Stempel vorzubereiten.

Als Azure Stack Hub-Operator, der VPN Fast Path aktiviert, empfiehlt es sich, sich mit Mandantenbenutzern zu koordinieren, um ein Wartungsfenster zu planen, in dem die Umstellung erfolgen kann. Benachrichtigen Sie Ihre Benutzer über mögliche Ausfälle des VPN-Verbindungsdiensts, und führen Sie dann die hier aufgeführten Schritte aus, um Ihren Stempel für das Update vorzubereiten.

VPN Fast Path erfordert NAT-T auf Remote-VPN-Geräten

Azure Stack Hub VPN Fast Path basiert auf dem neuen SDN-Gatewaydienst und bietet bei der Planung eine neue Anforderung.

Planen sie mit Mandantenbenutzern, bevor Sie VPN Fast Path aktivieren

  • Liste der vorhandenen Einstellungen für virtuelle Netzwerkgatewayressourcen.
  • Liste vorhandener Verbindungsressourceneinstellungen.
  • Liste der IPSec-Richtlinien und -Einstellungen, die für ihre vorhandenen Verbindungen verwendet werden.
    • Dieser Schritt stellt sicher, dass Ihre Benutzer Richtlinien konfiguriert haben, die mit ihrem Gerät funktionieren, einschließlich benutzerdefinierter IPSec-Richtlinien.
  • Lokale Netzwerkgatewayeinstellungen auflisten. Mandantenbenutzer können lokale Netzwerkgatewayressourcen und -konfigurationen wiederverwenden. Es wird jedoch auch empfohlen, die vorhandene Konfiguration zu speichern, falls sie neu erstellt werden müssen.
  • Sobald der VPN-Fast-Pfad aktiviert ist, müssen Mandanten ihre virtuellen Netzwerkgateways und -verbindungen nach Bedarf neu erstellen, wenn sie die neuen SKUs verwenden möchten.

Mit der Veröffentlichung von VPN Fast Path gibt es einen neuen PowerShell-Befehl, den Operatoren aufrufen können, um alle vorhandenen Verbindungen auflisten zu können, die von ihren Mandanten erstellt wurden. Mit diesem Cmdlet kann der Betreiber die Kapazität verwalten und sich an die Mandantenadministratoren wenden, wenn sie ihre Gateways für virtuelle Netzwerke neu erstellen müssen:

Get-AzsVirtualNetworkGatewayConnection

Weitere Informationen finden Sie unter Get-AzsVirtualNetworkGatewayConnection.

So aktivieren Sie den Azure Stack Hub VPN Fast Path

Mit VPN Fast Path können Operatoren das neue Feature mithilfe der folgenden PowerShell-Befehle aktivieren. Sobald das Feature die allgemeine Verfügbarkeit erreicht, können die Operatoren das Feature auch über das Azure Stack Hub-Administratorportal aktivieren.

Sie können vorhandene Setups anpassen, indem Sie das virtuelle Netzwerkgateway und seine Verbindungen mit einem der neuen SKUs neu erstellen.

Aktivieren des azure Stack Hub VPN Fast Path mithilfe von PowerShell

Über den privilegierten Azure Stack Hub-Endpunkt können Sie den folgenden PowerShell-Befehl ausführen, um das VPN Fast Path-Feature zu aktivieren:

Weitere Informationen zum Azure Stack Hub PEP finden Sie unter Access privileged endpoint.

Set-AzSVPNFastPath -Enable

Screenshot mit PowerShell-Befehlen zum Aktivieren von Fast Path.

Überprüfen, ob azure Stack Hub VPN Fast Path mithilfe von PowerShell aktiviert ist

Sobald das FEATURE FÜR DEN VPN-Schnellpfad aktiviert ist, können Sie den aktuellen Status der Gateway-VMs und die verwendete Kapazität mithilfe des folgenden PowerShell-Befehls überprüfen:

Get-AzSVPNFastPath

Screenshot der PowerShell-Überprüfung.

Deaktivieren des azure Stack Hub VPN Fast Path mithilfe von PowerShell

Set-AzSVPNFastPath -Disable

Wenn Sie VPN Fast Path deaktivieren müssen, müssen Sie zunächst mit Ihrem Mandanten arbeiten, um alle ihre virtuellen Netzwerkgateways mithilfe von VPN Fast Path-SKUs zu löschen und neu zu erstellen. Da die Stempel-VPN-Kapazität steigt, wenn VPN Fast Path aktiviert ist, können Sie VPN Fast Path nicht deaktivieren, wenn die gesamte In-Use-Kapazität die Gesamtkapazität überschreitet, wenn Azure Stack Hub nicht VPN Fast Path verwendet.

Architektur des Azure Stack Hub-Gatewaypools

Es gibt drei mehrinstanzenfähige VMs mit Gatewayinfrastruktur in Azure Stack Hub. Zwei dieser virtuellen Computer befinden sich im aktiven Modus, während sich die dritte im redundanten Modus befindet. Aktive virtuelle Computer ermöglichen die Erstellung von VPN-Verbindungen auf sich, und die redundante VM akzeptiert nur VPN-Verbindungen, wenn ein Failover eintritt. Wenn eine aktive Gateway-VM nicht mehr verfügbar ist, führt die VPN-Verbindung nach einem kurzen Zeitraum (ein paar Sekunden) der Verbindungsunterbrechung ein Failover zur redundanten VM durch.

Gatewayverbindungsfailover werden während eines OEM- oder azure Stack Hub-Updates erwartet, da die VMs gepatcht und live migriert werden. Dieses Failover kann zu einer temporären Trennung der Tunnel führen.

Konzeptionelles Diagramm mit VPN Fast Path-Failover.

Gesamtkapazität des neuen Gatewaypools

Die Gesamtkapazität eines Gatewaypools eines Azure Stack Hub-Stempels beträgt 4 GBit/s. Diese Kapazität wird zwischen den beiden virtuellen Computern des aktiven Gateways geteilt, wobei jede Gateway-VM bis zu 2 Gbit/s des Durchsatzes unterstützt. Wenn eine Verbindungsressource erstellt wird, wird die SKU zweimal auf der Gateway-VM reserviert. Dieser Entwurf stellt sicher, dass der maximale Durchsatz der SKU (gemessen in einer Richtung) je nach Den Anforderungen der Benutzerauslastung mit Tx- oder Rx-Datenverkehr erreicht werden kann.

Beispielsweise reserviert eine HighPerformance-SKU 400 MBit/s auf einer Gateway-VM (200 für Tx, 200 für Rx). Dies bedeutet, dass auf dem vorhandenen Modul eine HighPerformance-Verbindung ein Zehntel der Gesamtkapazität des Gatewaypools reserviert.

Die folgende Tabelle zeigt die Gatewaytypen und den geschätzten Aggregatdurchsatz für jeden Tunnel/jede Verbindung nach Gateway-SKU, wenn VPN Fast Path deaktiviert ist:

SKU Max. VPN-Verbindungsdurchsatz (1) Max. Anzahl von VPN-Verbindungen pro aktiver GW-VM Max. Anzahl von VPN-Verbindungen pro Stempel (2)
Einfach (3) 100 Mbps Tx/Rx 10 20
Standard 100 Mbps Tx/Rx 10 20
Hochleistung 200 Mbps Tx/Rx 5 10

(1) - Der Tunneldurchsatz ist kein garantierter Durchsatz für standortübergreifende Verbindungen über das Internet; es ist die maximale mögliche Durchsatzmessung. Das Gesamtaggregat in einer Richtung beträgt 2 GBit/s.
(2) Bei der maximalen Tunnelanzahl handelt es sich um die Summe pro Azure Stack Hub-Bereitstellung für alle Abonnements.
(3) Das BGP-Routing wird in der Basic-SKU nicht unterstützt.

Konzeptionelles Diagramm mit deaktivierten VPN-Schnellpfaden.

Geschätzter Aggregattunneldurchsatz nach SKU mit aktivierter VPN-Schnellpfad

Sobald der Operator VPN Fast Path auf dem Azure Stack Hub-Stempel aktiviert hat, wird die Gesamtkapazität des Gatewaypools auf 10 GBit/s erhöht. Da die Kapazität zwischen den beiden aktiven Gateway-VMs geteilt wird, verfügt jede Gateway-VM über eine Kapazität von 5 GBit/s. Die für jede Verbindung reservierte Kapazität entspricht der im vorherigen Abschnitt beschriebenen Kapazität. Daher reserviert eine VpnGw3-SKU (1250 Mbps) 2500 MBit/s Kapazität auf einer Gateway-VM:

SKU Max. VPN-Verbindungsdurchsatz (1) Max. Anzahl von VPN-Verbindungen pro aktiver GW-VM Max. Anzahl von VPN-Verbindungen pro Stempel (2)
Einfach (3) 100 Mbps Tx/Rx 25 50
Standard 100 Mbps Tx/Rx 25 50
Hochleistung 200 Mbps Tx/Rx 12 24
VPNGw1 650 MBit/s Tx/Rx 3 6
VPNGw2 1000 MBit/s Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

(1) - Der Tunneldurchsatz ist kein garantierter Durchsatz für standortübergreifende Verbindungen über das Internet; es ist die maximale mögliche Durchsatzmessung. Das Gesamtaggregat in einer Richtung beträgt 5 GBit/s.
(2) Bei der maximalen Tunnelanzahl handelt es sich um die Summe pro Azure Stack Hub-Bereitstellung für alle Abonnements.
(3) Das BGP-Routing wird in der Basic-SKU nicht unterstützt.

Konzeptionelles Diagramm mit aktivierter VPN-Schnellpfad.

Nächste Schritte