Informazioni sui gateway di rete virtuale per ExpressRoute

Per connettere la rete virtuale di Azure e la rete locale tramite ExpressRoute, è prima necessario creare un gateway di rete virtuale. Un gateway di rete virtuale svolge due scopi: scambiare route IP tra le reti e instradare il traffico di rete. Il presente articolo illustra diversi tipi di gateway, SKU di gateway e prestazioni stimate per SKU. Questo articolo illustra anche ExpressRoute FastPath, una funzionalità che consente al traffico di rete dalla rete locale di ignorare il gateway di rete virtuale per migliorare le prestazioni.

Tipi di gateway

Quando si crea un gateway di rete virtuale, è necessario specificare alcune impostazioni. Una delle impostazioni necessarie, -GatewayType, specifica se il gateway viene usato per ExpressRoute o per il traffico VPN. Ci sono due tipi di gateway:

  • Vpn: per inviare il traffico crittografato attraverso una rete Internet pubblica si usa il gateway di tipo "VPN", Questo tipo di gateway è noto anche come gateway VPN. Le connessioni da sito a sito, da punto a sito e da rete virtuale a rete virtuale usano tutte un gateway VPN.

  • ExpressRoute: per inviare il traffico di rete con una connessione privata si usa il tipo di gateway ExpressRoute. Questo tipo di gateway viene anche definito gateway ExpressRoute e viene usato durante la configurazione di ExpressRoute.

Ogni rete virtuale può avere un solo gateway di rete virtuale per tipo di gateway. Ad esempio, è possibile avere un gateway di rete virtuale che usa -GatewayType VPN e uno che utilizza -GatewayType ExpressRoute.

SKU del gateway

Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway da usare. Quando si seleziona uno SKU superiore, al gateway vengono allocati un maggior numero di CPU e una larghezza di banda superiore, di conseguenza il gateway può supportare una velocità effettiva di rete più elevata per la rete virtuale.

I gateway di rete virtuale ExpressRoute possono usare i seguenti SKU:

  • ERGwScale (anteprima)
  • Standard
  • HighPerformance
  • UltraPerformance
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

Se si vuole aggiornare il gateway a uno SKU del gateway con capacità superiore, è possibile usare lo strumento Di migrazione del gateway facile nel portale di Azure o in PowerShell. Sono consentiti gli aggiornamenti seguenti:

  • Da SKU non abilitato per Az nell'indirizzo IP Basic a SKU non abilitato per Az nell'indirizzo IP Standard.
  • SKU non abilitato per Az nell'indirizzo IP Basic con SKU abilitato per Az nell'IP Standard.
  • SKU non abilitato per Az nell'indirizzo IP standard per SKU abilitato per Az in un IP Standard.

Per altre informazioni, vedere Eseguire la migrazione a un gateway abilitato per la zona di disponibilità.

Per tutti gli altri scenari di downgrade, è necessario eliminare e ricreare il gateway. La ricreazione di un gateway comporta tempi di inattività.

Subnet gateway

Prima di creare un gateway ExpressRoute, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le macchine virtuali del gateway vengono distribuite nella subnet gateway e configurate con le impostazioni del gateway ExpressRoute richieste. Non distribuire mai altri elementi nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". La denominazione della subnet del gateway "GatewaySubnet" consente ad Azure di distribuire le macchine virtuali e i servizi del gateway di rete virtuale in questa subnet.

Nota

  • Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. Per assicurare la disponibilità del gateway, l'opzione Propagazione route BGP deve essere impostata su "Abilitato" in GatewaySubnet. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.

  • La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.

  • Non è consigliabile distribuire il sistema di resolver privato DNS di Azure in una rete virtuale con un gateway di rete virtuale ExpressRoute e impostare regole con caratteri jolly per indirizzare tutta la risoluzione dei nomi a un server DNS specifico. Una configurazione di questo tipo può causare problemi di connettività di gestione.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.

Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. È anche possibile assicurarsi che la subnet del gateway contenga una quantità di indirizzi IP sufficiente per supportare possibili configurazioni future. È consigliabile creare una subnet del gateway con un valore /27 o superiore (/27, /26 e così via). Se si prevede di connettere 16 circuiti ExpressRoute al gateway, è necessario creare una subnet del gateway di /26 o superiore. Se si sta creando una subnet del gateway dual stack, è consigliabile usare anche un intervallo IPv6 di /64 o superiore. Questa impostazione supporta la maggior parte delle configurazioni.

L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

I gruppi di sicurezza di rete nella subnet del gateway non sono supportati. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway della rete virtuale (VPN e gateway Express Route) potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Limitazioni e prestazioni del gateway di rete virtuale

Supporto delle funzionalità per SKU del gateway

La tabella seguente illustra le funzionalità supportate in ogni tipo di gateway e il numero massimo di connessioni del circuito ExpressRoute supportate da ciascun SKU del gateway.

SKU del gateway Coesistenza Gateway VPN ed ExpressRoute FastPath Numero massimo di connessioni di circuito
SKU Standard/ERGw1Az No 4
SKU con prestazioni elevate/ERGw2Az No 8
SKU con prestazioni elevate/ErGw3Az 16
ErGwScale (anteprima) Sì - minimo 10 unità di scala 4 - minimo 1 di unità di scala
8 - Minimo 2 unità di scala
16 - Minimo 10 unità di scala

Nota

Il numero massimo di circuiti ExpressRoute dallo stesso percorso di peering che può connettersi alla medesima rete virtuale è 4 per tutti i gateway.

Prestazioni stimate in base allo SKU del gateway

Le tabelle seguenti forniscono una panoramica dei diversi tipi di gateway, delle rispettive limitazioni e delle relative metriche delle prestazioni previste. Questi numeri derivano dalle seguenti condizioni di test e rappresentano i limiti massimi di supporto. Le prestazioni effettive possono variare, a seconda della modalità con cui il traffico replica queste condizioni di test.

Condizioni di test

SKU del gateway Traffico inviato dall'ambiente locale Numero di route annunciate dal gateway Numero di route apprese dal gateway
Standard/ERGw1Az 1 Gbps 500 4000
Prestazioni elevate/ERGw2Az 2 Gbps 500 9\.500
Prestazioni Ultra/ErGw3Az 10 Gbps 500 9\.500
ErGwScale (per unità di scala) 1 Gbps 500 4.000

Nota

ExpressRoute può facilitare fino a 11.000 route che si estendono su spazi di indirizzi di rete virtuale, rete locale e connessioni di peering di rete virtuale pertinenti. Per garantire la stabilità della connessione ExpressRoute, evitare di pubblicizzare più di 11.000 route a ExpressRoute.

Risultati delle prestazioni

Questa tabella si applica sia ai modelli di distribuzione di Azure Resource Manager che a quelli di distribuzione classica.

SKU del gateway Megabit al secondo Pacchetti al secondo Numero di macchine virtuali supportate nella rete virtuale 1 Limite di numero di flussi
Standard/ERGw1Az 1.000 100,000 2.000 200.000
Prestazioni elevate/ERGw2Az 2.000 200.000 4\.500 400.000
Prestazioni Ultra/ErGw3Az 10,000 1\.000.000 11.000 1\.000.000
ErGwScale (per unità di scala) 1.000 100,000 2.000 100.000 per unità di scala

1 I valori nella tabella sono stime e variano a seconda dell'utilizzo della CPU del gateway. Se l'utilizzo della CPU è elevato e viene superato il numero di macchine virtuali supportate, il gateway inizierà a eliminare i pacchetti.

Importante

  • Le prestazioni dell'applicazione dipendono da vari fattori, ad esempio la latenza end-to-end e il numero di flussi di traffico avviati dall'applicazione. I numeri nella tabella rappresentano il limite massimo che l'applicazione può raggiungere in teoria in un ambiente ideale. Inoltre, Microsoft esegue la manutenzione di routine dell'host e del sistema operativo nel gateway di Rete virtuale ExpressRoute per mantenere l'affidabilità del servizio. Durante un periodo di manutenzione la capacità del piano di controllo e del percorso dati del gateway è ridotta.
  • Durante un periodo di manutenzione possono verificarsi problemi di connettività intermittenti alle risorse dell'endpoint privato.
  • ExpressRoute supporta una dimensione massima di pacchetti TCP e UDP di 1400 byte. Le dimensioni dei pacchetti maggiori di 1400 byte verranno frammentate.
  • Il server di route di Azure può supportare fino a 4000 macchine virtuali. Questo limite include le macchine virtuali nelle reti virtuali con peering. Per altre informazioni, vedere limitazioni del server di route di Azure.

SKU gateway con ridondanza della zona

È possibile distribuire gateway ExpressRoute anche in zone di disponibilità di Azure. Questa configurazione le separa in modo fisico e logico in diverse zone di disponibilità, proteggendo la connettività di rete locale di Azure da errori a livello di zona.

Gateway ExpressRoute con ridondanza della zona

I gateway con ridondanza della zona usano nuovi SKU gateway specifici per il gateway ExpressRoute.

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ
  • ErGwScale (anteprima)

I nuovi SKU gateway supportano anche altre opzioni di distribuzione per soddisfare meglio le esigenze. Quando si crea un gateway di rete virtuale usando i nuovi SKU del gateway, è possibile distribuire il gateway in una zona specifica. Questo tipo di gateway viene definito gateway a livello di zona. Quando si distribuisce un gateway a livello di zona, tutte le istanze del gateway vengono distribuite nella stessa zona di disponibilità.

Per informazioni sulla migrazione di un gateway ExpressRoute, vedere Migrazione del gateway.

Gateway scalabile ExpressRoute (anteprima)

Lo SKU del gateway di rete virtuale ErGwScale consente di ottenere la connettività a 40 Gbps per le macchine virtuali e gli endpoint privati nella rete virtuale. Questo SKU consente di impostare un'unità di scala minima e massima per l'infrastruttura del gateway di rete virtuale, che viene ridimensionata automaticamente, in base alla larghezza di banda o al numero di flussi attivi. È anche possibile impostare un'unità di scala fissa per mantenere una connettività costante a un valore di larghezza di banda desiderato.

Distribuzione della zona di disponibilità e disponibilità a livello di area

ErGwScale supporta distribuzioni sia di zona che con ridondanza della zona nelle zone di disponibilità di Azure. Per altre informazioni su questi concetti, vedere la documentazione relativa ai servizi con ridondanza della zona e della zona.

ErGwScale è disponibile in anteprima nelle aree seguenti:

  • Australia orientale
  • Brasile meridionale
  • Canada centrale
  • Stati Uniti orientali
  • Asia orientale
  • Francia centrale
  • Germania centro-occidentale
  • India centrale
  • Italia settentrionale
  • Europa settentrionale
  • Norvegia orientale
  • Svezia centrale
  • Emirati Arabi Uniti settentrionali
  • Regno Unito meridionale
  • West US 2
  • Stati Uniti occidentali 3

Scalabilità automatica e unità di scala fissa

L'infrastruttura del gateway di rete virtuale viene ridimensionata automaticamente tra l'unità di scala minima e massima configurata, in base all'utilizzo della larghezza di banda o del numero di flussi. Il completamento delle operazioni di scalabilità potrebbe richiedere fino a 30 minuti. Se si vuole ottenere una connettività fissa a un valore di larghezza di banda specifico, è possibile configurare un'unità di scala fissa impostando l'unità di scala minima e l'unità di scala massima sullo stesso valore.

Limiti

  • IP di base: ErGwScale non supporta l'IP di base SKU. È necessario usare un IP Standard SKU per configurare ErGwScale.
  • Unità di scala minima e massima: è possibile configurare l'unità di scala per ErGwScale tra 1 e 40. L'unità di scala minima non può essere inferiore a 1 e l'unità di scala massima non può essere superiore a 40.
  • Scenari di migrazione: non è possibile eseguire la migrazione da Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az a ErGwScale nell'anteprima pubblica.

Prezzi

ErGwScale è gratuito durante l'anteprima pubblica. Per informazioni sui prezzi di ExpressRoute, vedere Prezzi di Azure ExpressRoute.

Prestazioni stimate per unità di scala

Prestazioni supportate per unità di scala

Unità di scala Larghezza di banda (Gbps) Pacchetti al secondo Connessioni al secondo Numero massimo di connessioni alle macchine virtuali 1 Numero massimo di flussi
1-10 1 100,000 7.000 2.000 100,000
11-40 1 100,000 7.000 1\.000 100,000

Prestazioni di esempio con unità di scala

Unità di scala Larghezza di banda (Gbps) Pacchetti al secondo Connessioni al secondo Numero massimo di connessioni alle macchine virtuali 1 Numero massimo di flussi
10 10 1\.000.000 70.000 20.000 1\.000.000
20 20 2.000.000 140.000 30.000 2.000.000
40 40 4.000.000 280.000 50,000 4.000.000

1 il numero massimo di connessioni alle macchine virtuali viene ridimensionato in modo diverso oltre le 10 unità di scala. Le prime 10 unità di scala forniscono capacità per 2.000 VM per unità di scala. Le unità di scala 11 e successive offrono 1.000 capacità di macchine virtuali per unità di scala.

Connettività da rete virtuale a rete virtuale e da rete virtuale a rete WAN virtuale

Per impostazione predefinita, la connettività da rete virtuale a rete virtuale e da rete virtuale a rete WAN virtuale è disabilitata tramite un circuito ExpressRoute per tutti gli SKU del gateway. Per abilitare questa connettività, è necessario configurare il gateway di rete virtuale ExpressRoute per consentire questo traffico. Per altre informazioni, vedere indicazioni sulla connettività di rete virtuale tramite ExpressRoute. Per abilitare questo traffico, vedere Abilitare la connettività da rete virtuale a rete virtuale o da rete virtuale alla rete WAN virtuale tramite ExpressRoute.

FastPath

Il gateway di rete virtuale di ExpressRoute è progettato per scambiare le route di rete e instradare il traffico di rete. FastPath è progettato per migliorare le prestazioni del percorso dei dati tra la rete locale e la rete virtuale. Se abilitato, FastPath invia il traffico di rete direttamente alle macchine virtuali nella rete virtuale, ignorando il gateway.

Per altre informazioni su FastPath, incluse limitazioni e requisiti, vedere Informazioni su FastPath.

Connettività agli endpoint privati

Il gateway di rete virtuale ExpressRoute facilita la connettività agli endpoint privati distribuiti nella stessa rete virtuale del gateway di rete virtuale e tra peer di rete virtuale.

Importante

  • La capacità del piano di controllo e velocità effettiva per la connettività alle risorse dell'endpoint privato può essere ridotta di metà rispetto alla connettività alle risorse non private-endpoint.
  • Durante un periodo di manutenzione possono verificarsi problemi di connettività intermittenti alle risorse dell'endpoint privato.
  • È necessario assicurarsi che la configurazione locale, incluse le impostazioni del router e del firewall, sia effettuata correttamente per garantire che i pacchetti per l'IP a 5 tuple vengano inoltrati tramite un unico hop successivo (router Microsoft Enterprise Edge, MSEE) a meno che non si verifichi un evento di manutenzione. Se la configurazione del firewall o del router locale dell'utente causa spesso l'uso di un hop successivo diverso per lo stesso IP a 5 tuple, l'utente riscontrerà problemi di connettività.

Connettività dell'endpoint privato ed eventi di manutenzione pianificata

La connettività dell'endpoint privato è con stato. Quando viene stabilita una connessione a un endpoint privato tramite il peering privato di ExpressRoute, le connessioni in ingresso e in uscita vengono instradate tramite una delle istanze back-end dell'infrastruttura del gateway. Durante un evento di manutenzione, le istanze back-end dell'infrastruttura del gateway di rete virtuale vengono riavviate una alla volta, il che potrebbe causare problemi di connettività intermittenti.

Per evitare o ridurre al minimo i problemi di connettività con gli endpoint privati durante le attività di manutenzione, è consigliabile impostare il valore di timeout TCP affinché sia compreso tra 15 e 30 secondi nelle applicazioni locali. Testare e configurare il valore ottimale in base ai requisiti dell'applicazione.

API REST e cmdlet PowerShell

Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST e i cmdlet PowerShell per le configurazioni di gateway di rete virtuale, consultare le pagine seguenti:

Classico Resource Manager
PowerShell PowerShell
REST API REST API

Configurare la connettività tra reti virtuali

Per impostazione predefinita, la connettività tra reti virtuali è abilitata quando si collegano più reti virtuali allo stesso circuito ExpressRoute. Microsoft consiglia di non usare il circuito ExpressRoute per la comunicazione tra reti virtuali. È invece consigliabile usare il peering di reti virtuali. Per altre informazioni sul motivo per cui la connettività da rete virtuale a rete virtuale non è consigliata tramite ExpressRoute, vedere Connettività tra reti virtuali tramite ExpressRoute.

Peering di rete virtuale

Una rete virtuale con un gateway ExpressRoute può avere un peering di reti virtuali con un massimo di 500 altre reti virtuali. Il peering di reti virtuali senza un gateway ExpressRoute potrebbe avere una limitazione del peering superiore.

Passaggi successivi