Informationen zu Gateway-SKUs

Beim Erstellen eines Gateways des virtuellen VPN Gateway-Netzwerks geben Sie die gewünschte Gateway-SKU an. In diesem Artikel werden die Faktoren beschrieben, die bei der Auswahl einer Gateway-SKU berücksichtigt werden sollten. Falls Sie SKUs für ExpressRoute-Gateways benötigen, finden Sie unter Gateways für virtuelle Netzwerke für ExpressRoute weitere Informationen. Informationen zu virtuellen WAN-Gateways finden Sie unter Einstellungen für Virtual WAN-Gateways.

Wählen Sie beim Konfigurieren einer virtuellen Netzwerkgateway-SKU die SKU aus, die Ihre Anforderungen in Bezug auf Workloadtypen, Durchsatz, Funktionen und SLAs erfüllt. In den folgenden Abschnitten werden die relevanten Informationen gezeigt, die Sie bei der Entscheidungsfindung verwenden sollten.

Hinweis

Wir vereinfachen unser VPN-Gateway-SKU-Portfolio und werden alle nicht von Verfügbarkeitszonen unterstützten SKUs (VZ) auf VZ-unterstützte SKUs umstellen. Weitere Informationen und Zeitpläne finden Sie unter VPN-Gateway-SKU-Konsolidierung und -Migration.

Gateway-SKUs nach Tunnel, Verbindung und Durchsatz

VPN
Gateway
Generation
SKU S2S/VNet-zu-VNet
Tunnel
P2S
SSTP-Verbindungen
P2S
IKEv2/OpenVPN-Verbindungen
Aggregat
aggregierten Durchsatz
BGP Zonenredundant Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk
Generation 1 Grundlegend Maximal 10 Maximal 128 Nicht unterstützt 100 MBit/s Nicht unterstützt Nein 200
Generation 1 VpnGw1 Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Nein 450
Generation 1 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Nein 1300
Generation 1 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Nein 4000
Generation 1 VpnGw1AZ Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Ja 1.000
Generation 1 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Ja 2.000
Generation 1 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Ja 5000
Generation 2 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Nein 685
Generation 2 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Nein 2240
Generation 2 VpnGw4 Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Nein 5300
Generation 2 VpnGw5 Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Nein 6700
Generation 2 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Ja 2.000
Generation 2 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Ja 3300
Generation 2 VpnGw4AZ Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Ja 4400
Generation 2 VpnGw5AZ Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Ja 9000

(*) Wenn Sie mehr als 100 S2S-VPN-Tunnel benötigen, verwenden Sie Virtual WAN anstelle von VPN Gateway.

Zusätzliche Informationen

  • Da die Einstellung öffentlicher IP-Adressen in der Basic-SKU für den 30. September 2025 angekündigt ist, dürfen keine neuen Gateways mehr mit öffentlichen IP-Adressen der Basic-SKU erstellt werden. Seit dem 1. Dezember 2023 müssen Sie beim Erstellen eines neuen VPN-Gateways eine öffentliche IP-Adresse mit Standard-SKU verwenden. Diese Einschränkung gilt nicht für neue Gateways, die Sie mit der Basic-Gateway-SKU für VPN Gateway erstellen. Sie können weiterhin ein einfaches VPN-Gateway mit Basic-SKU erstellen, das eine öffentliche IP-Adresse mit Basic-SKU verwendet.

  • Die Basic-Gateway-SKU unterstützt IPv6 nicht und kann nur mit PowerShell oder der Azure-Befehlszeilenschnittstelle konfiguriert werden. Zudem unterstützt die Basic-Gateway-SKU nicht die RADIUS-Authentifizierung.

  • Diese Verbindungsgrenzwerte sind voneinander getrennt. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.

  • Wenn Sie über zahlreiche Site-to-Site-Verbindungen verfügen, kann dies negative Auswirkungen auf Ihre Site-to-Site-Verbindungen haben. Die Benchmarkwerte für den aggregierten Durchsatz wurden anhand einer Kombination aus S2S- und P2S-Verbindungen getestet. Eine einzelne P2S- oder S2S-Verbindung kann einen deutlich niedrigeren Durchsatz aufweisen.

  • Informationen zu den Preisen finden Sie auf der Seite Preise.

  • Informationen zu SLA (Service Level Agreement, Vereinbarung zum Servicelevel) finden Sie auf der Seite SLA.

  • Alle Benchmarkwerte können nicht garantiert werden, da sie vom Internetdatenverkehr und dem Verhalten Ihrer Anwendung abhängen.

Gateway-SKUs nach Leistung

Die Tabelle in diesem Abschnitt enthält die Ergebnisse von Leistungstests für VpnGw-SKUs. Ein VPN-Tunnel stellt eine Verbindung mit einer VPN-Gatewayinstanz her. Jeder Instanzendurchsatz wird in der Durchsatztabelle im vorherigen Abschnitt festgehalten und steht aggregiert über alle Tunnel zur Verfügung, die eine Verbindung zu dieser Instanz herstellen. Die Tabelle veranschaulicht die beobachtete Bandbreite und den Durchsatz in Paketen pro Sekunde pro Tunnel für die verschiedenen Gateway-SKUs. Alle Tests wurden zwischen Gateways (Endpunkten) in Azure in verschiedenen Regionen mit 100 Verbindungen unter Standardlastbedingungen durchgeführt. Dabei wurden öffentlich verfügbare iPerf- und CTSTraffic-Tools verwendet, um die Leistung für Site-to-Site-Verbindungen zu messen

  • Die beste Leistung wurde bei der Verwendung des GCMAES256-Algorithmus für die IPsec-Verschlüsselung und -Integrität erzielt.
  • Bei der Verwendung des AES256-Algorithmus für die IPSec-Verschlüsselung und des SHA256-Algorithmus für die Integrität wurde eine durchschnittliche Leistung erzielt.
  • Bei der Verwendung des DES3-Algorithmus für die IPSec-Verschlüsselung und des SHA256-Algorithmus für die Integrität wurde die niedrigste Leistung erzielt.
Generation SKU Algorithmen
used
Durchsatz
pro Tunnel
Beobachtete Pakete pro Sekunde
und Tunnel
Generation 1 VpnGw1 GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
130 MBit/s
62.000
47.000
12.000
Generation 1 VpnGw2 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,2 GBit/s
650 MBit/s
140 MBit/s
100.000
61.000
13.000
Generation 1 VpnGw3 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
700 MBit/s
140 MBit/s
120.000
66.000
13.000
Generation 1 VpnGw1AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
130 MBit/s
62.000
47.000
12.000
Generation 1 VpnGw2AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,2 GBit/s
650 MBit/s
140 MBit/s
110.000
61.000
13.000
Generation 1 VpnGw3AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
700 MBit/s
140 MBit/s
120.000
66.000
13.000
Generation 2 VpnGw2 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
130 MBit/s
120.000
52.000
12.000
Generation 2 VpnGw3 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,5 GBit/s
700 MBit/s
140 MBit/s
140.000
66.000
13.000
Generation 2 VpnGw4 GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw5 GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw2AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
130 MBit/s
120.000
52.000
12.000
Generation 2 VpnGw3AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,5 GBit/s
700 MBit/s
140 MBit/s
140.000
66.000
13.000
Generation 2 VpnGw4AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000
Generation 2 VpnGw5AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
2,3 GBit/s
700 MBit/s
140 MBit/s
220.000
66.000
13.000

Gateway-SKUs nach Featuregruppe

SKU Funktionen
Basic (\*\*) Routenbasiertes VPN: Zehn Tunnel für S2S/Verbindungen; keine RADIUS-Authentifizierung für P2S; kein IKEv2 für P2S
Richtlinienbasiertes VPN: (IKEv1): Ein S2S-/Verbindungstunnel; kein P2S
Alle Generation1- und Generation2-SKUs mit Ausnahme von Basic Routenbasiertes VPN: bis zu 100 Tunnel (\*), P2S, BGP, Aktiv/Aktiv, benutzerdefinierte IPsec-/IKE-Richtlinie, Koexistenz von ExpressRoute/VPN

(*) Sie können „PolicyBasedTrafficSelectors“ konfigurieren, um eine Verbindung zwischen einem routenbasierten VPN-Gateway und mehreren lokalen richtlinienbasierten Firewallgeräten herzustellen. Ausführliche Informationen finden Sie unter Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Herstellen einer Verbindung zwischen VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell).

(**) Die Basic-SKU weist bestimmte Feature- und Leistungsbeschränkungen auf und sollte nicht für Produktionszwecke verwendet werden. Vergewissern Sie sich vor der Verwendung der Basic-SKU, dass das von Ihnen benötigte Feature unterstützt wird. Die Basic-SKU unterstützt IPv6 nicht und kann nur mit PowerShell oder der Azure CLI konfiguriert werden. Zudem unterstützt die Basic-SKU keine RADIUS-Authentifizierung.

Gateway-SKUs: Gegenüberstellung von Produktions- und Dev/Test-Workloads

Aufgrund der Unterschiede bei SLAs und Features werden die folgenden SKUs für die Produktion bzw. für Dev-Test-Workloads empfohlen:

Workload SKUs
Produktion, kritische Workloads Alle Generation1- und Generation2-SKUs mit Ausnahme von Basic
Dev-Test oder Proof of Concept Basic (\*\*)

(**) Die Basic-SKU weist bestimmte Feature- und Leistungsbeschränkungen auf und sollte nicht für Produktionszwecke verwendet werden. Vergewissern Sie sich vor der Verwendung der Basic-SKU, dass das von Ihnen benötigte Feature unterstützt wird. Die Basic-SKU unterstützt IPv6 nicht und kann nur mit PowerShell oder der Azure CLI konfiguriert werden. Zudem unterstützt die Basic-SKU keine RADIUS-Authentifizierung.

Bei der Verwenden der alten SKUs (Legacy) werden die SKUs „Standard“ und „HighPerformance“ für die Produktion empfohlen. Informationen und Anweisungen für alte SKUs finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (Legacy-SKUs).

Informationen zu Legacy-SKUs

Informationen zur Arbeit mit den Legacy-Gateway-SKUs (Standard und High Performance), einschließlich der Einstellung veralteter SKUs, finden Sie unter Verwalten von Legacy-Gateway-SKUs.

SKU angeben

Sie geben die Gateway-SKU an, wenn Sie Ihr VPN-Gateway erstellen. Informationen zu den entsprechenden Schritten finden Sie im folgenden Artikel:

Ändern einer SKU oder Ändern der Größe einer SKU

Hinweis

Wenn Sie mit einer Legacy-Gateway-SKU (Basic, Standard und High Performance) arbeiten, lesen Sie den Abschnitt Verwalten von Legacy-Gateway-SKUs.

Wenn Sie zu einer anderen SKU wechseln möchten, gibt es mehrere Methoden, welche Sie auswählen können. Die von Ihnen ausgewählte Methode hängt von Ihrer anfänglichen Gateway-SKU ab.

  • Ändern der Größe einer SKU: Wenn Sie die Größe einer SKU ändern, kommt es zu einer sehr kurzen Downtime. Sie müssen keinen Workflow befolgen, um die Größe einer SKU zu ändern. Sie können die Größe einer SKU schnell und einfach im Azure-Portal ändern. Sie können auch PowerShell oder die Azure CLI verwenden. Sie müssen Ihr VPN-Gerät oder Ihre P2S-Clients nicht neu konfigurieren.

  • Ändern einer SKU: Wenn Sie die Größe Ihrer SKU nicht ändern können, können Sie Ihre SKU mithilfe einer bestimmten Workflow ändern. Das Ändern einer SKU verursacht größere Ausfallzeiten als die Größenänderung. Darüber hinaus müssen mehrere Ressourcen bei Verwendung dieser Methode neu konfiguriert werden.

Überlegungen

Beim Wechsel zu einer neuen Gateway-SKU sind diverse Dinge zu berücksichtigen. In diesem Abschnitt werden die wichtigsten Aspekte beschrieben und eine Tabelle bereitgestellt, die Ihnen bei der Auswahl der idealen Methode hilft.

  • Sie können die Größe einer SKU nicht zum Zweck der Herabstufung ändern.
  • Sie können eine Legacy-SKU nicht durch Größenänderung in eine der neueren Azure-SKUs (VpnGw1, VpnGw2AZ usw.) ändern. Legacy-SKUs für das Resource Manager-Bereitstellungsmodell sind: Standard und High Performance. Sie müssen stattdessen die SKU ändern.
  • Sie können die Größe einer Gateway-SKU ändern, solange sie sich in derselben Generation befindet. Das gilt nicht für die Basic-SKU.
  • Sie können eine Basic-SKU in eine andere SKU ändern.
  • Während des Wechsels von einer älteren SKU zu einer neuen SKU ist die Konnektivität unterbrochen.
  • Wenn Sie zu einer neuen Gateway-SKU wechseln, ändert sich die öffentliche IP-Adresse für Ihr VPN-Gateway. Dies geschieht selbst dann, wenn Sie dasselbe Objekt für die öffentliche IP-Adresse angegeben haben, das Sie bisher verwendet haben.
  • Wenn Sie ein klassisches VPN-Gateway haben, müssen Sie weiterhin die älteren SKUs für dieses Gateway verwenden. Sie können zwischen den verfügbaren Größen der klassischen SKUs wechseln. Sie können nicht zu den neuen SKUs wechseln.
  • Standard- und High Performance-Legacy-SKUs sind veraltet. Weitere Informationen über die SKU-Migration und Upgrade-Zeitpläne finden Sie unter Einstellung der Unterstützung für Legacy-SKUs.

Die folgende Tabelle hilft Ihnen, die erforderliche Methode für den Wechsel von einer SKU zu einer anderen zu verstehen.

Anfängliche SKU Ziel-SKU Größe ändern Change
Basic-SKU Beliebige andere SKU Nein Ja
Standard-SKU Neue Azure-SKUs Nein Ja
Standard-SKU HighPerformance-SKU Nein Nicht erforderlich
HighPerformance Neue Azure-SKUs Nein Ja
Generation-1-SKU Generation-1-SKU Ja Nicht erforderlich
Generation-1-SKU Generation-1 AZ-SKU Nein Ja
Generation-1 AZ-SKU Generation-1 AZ-SKU Ja Nicht erforderlich
Generation-1 AZ-SKU Generation-2 AZ-SKU Nein Ja
Generation-2-SKU Generation-2-SKU Ja Nicht erforderlich
Generation-2-SKU Generation-2 AZ-SKU Nein Ja
Generation-2 AZ-SKU Generation-2 AZ-SKU Ja Nicht erforderlich

Nächste Schritte

Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie unter Informationen zu VPN Gateway.