オペレーター向けの Azure Stack Hub VPN ファースト パス
Azure Stack Hub VPN ファースト パス機能とは
Azure Stack Hub では、VPN 高速パス機能の一部として、この記事で説明されている 3 つの新しい SKU が導入されています。 以前は、S2S トンネルは HighPerformance SKU を使用して最大帯域幅 200 Mbps に制限されていました。 新しい SKU により、より高いネットワーク スループットが必要な顧客シナリオが可能になります。 各 SKU のスループット値は一方向の値です。つまり、送受信トラフィックのいずれかで指定されたスループットをサポートします。
新しい VPN ファースト パス仮想ネットワーク ゲートウェイ SKU
Azure Stack Hub の VPN ファースト パス機能の導入により、テナント ユーザーは 3 つの新しい SKU を使用して VPN 接続を作成できます。
- Basic
- Standard
- 高性能
- VpnGw1 (新規)
- VpnGw2 (新規)
- VpnGw3 (新規)
Azure Stack Hub VPN ファースト パスを有効にする前の重要な考慮事項
ユーザーへの影響を最小限に抑えるために、更新プロセスをできるだけスムーズに進めるためには、Azure Stack Hub スタンプを準備することが重要です。
VPN ファースト パスを有効にする Azure Stack Hub オペレーターは、テナント ユーザーと調整して、変更が発生する可能性のあるメンテナンス期間をスケジュールすることをお勧めします。 VPN 接続サービスの停止の可能性をユーザーに通知し、次の手順に従ってスタンプを更新用に準備します。
VPN 高速パスには、リモート VPN デバイスで NAT-T が必要です
Azure Stack Hub VPN Fast Path は、新しい SDN ゲートウェイ サービスに依存しており、計画時に新しい要件が伴います。
VPN ファースト パスを有効にする前にテナント ユーザーを使用して計画する
- 既存の仮想ネットワーク ゲートウェイ リソース設定の一覧。
- 既存の接続リソース設定の一覧。
- 既存の接続で使用される IPSec ポリシーと設定の一覧。
- この手順により、カスタム IPSec ポリシーを含め、ユーザーのデバイスで動作するポリシーがユーザーに確実に構成されます。
- ローカル ネットワーク ゲートウェイの設定を一覧表示します。 テナント ユーザーは、ローカル ネットワーク ゲートウェイのリソースと構成を再利用できます。 ただし、既存の構成は再作成する必要がある場合に備えて保存することをお勧めします。
- VPN 高速パスが有効になったら、テナントは、新しい SKU を使用する場合は、必要に応じて仮想ネットワーク ゲートウェイと接続を再作成する必要があります。
VPN 高速パスのリリースでは、オペレーターがテナントによって作成されたすべての既存の接続を一覧表示するために呼び出すことができる新しい PowerShell コマンドがあります。 このコマンドレットは、オペレーターが容量を管理し、仮想ネットワーク ゲートウェイを再作成する必要がある場合にテナント管理者に連絡するのに役立ちます。
Get-AzsVirtualNetworkGatewayConnection
詳細については、「 Get-AzsVirtualNetworkGatewayConnectionを参照してください。
Azure Stack Hub VPN ファースト パスを有効にする方法
VPN 高速パスを使用すると、オペレーターは次の PowerShell コマンドを使用して新機能を有効にすることができます。 機能が一般公開されると、オペレーターは Azure Stack Hub 管理者ポータルを使用して機能を有効にすることもできます。
仮想ネットワーク ゲートウェイとその接続を新しい SKU の 1 つで再作成することで、既存のセットアップを調整できます。
PowerShell を使用して Azure Stack Hub VPN ファースト パスを有効にする
Azure Stack Hub 特権エンドポイントから、次の PowerShell コマンドを実行して VPN 高速パス機能を有効にすることができます。
Azure Stack Hub PEP の詳細については、「 Access 特権エンドポイント」を参照してください。
Set-AzSVPNFastPath -Enable
PowerShell を使用して Azure Stack Hub VPN ファースト パスが有効になっていることを検証する
VPN 高速パス機能が有効になったら、次の PowerShell コマンドを使用して、ゲートウェイ VM の現在の状態と使用されている容量を検証できます。
Get-AzSVPNFastPath
PowerShell を使用して Azure Stack Hub VPN ファースト パスを無効にする
Set-AzSVPNFastPath -Disable
VPN 高速パスを無効にする必要がある場合は、まずテナントと協力して、VPN 高速パス SKU を使用してすべての仮想ネットワーク ゲートウェイを削除して再作成する必要があります。 VPN 高速パスを有効にするとスタンプ VPN 容量が増えるため、Azure Stack Hub で VPN 高速パスを使用していない場合、使用中の全体的な容量が合計容量を超える場合、VPN 高速パスを無効にすることはできません。
Azure Stack Hub ゲートウェイ プールのアーキテクチャ
Azure Stack Hub には 3 つのマルチテナント ゲートウェイ インフラストラクチャ VM があります。 これらの VM のうち 2 つはアクティブ モードで、3 つ目は冗長モードです。 アクティブな VM ではその上に VPN 接続を作成でき、冗長 VM ではフェールオーバーが発生した場合に VPN 接続のみを受け入れます。 アクティブなゲートウェイ VM が使用できなくなった場合、短い時間 (数秒) 接続が失われた後に、VPN 接続が冗長 VM にフェールオーバーします。
VM にパッチが適用され、ライブ マイグレーションされるため、ゲートウェイ接続フェールオーバーは OEM または Azure Stack Hub の更新中に想定されます。 このフェールオーバーにより、トンネルが一時的に切断される可能性があります。
新しいゲートウェイ プールの合計容量
Azure Stack Hub スタンプのゲートウェイ プールの全体的な容量は 4 Gbps です。 この容量は 2 つの Active Gateway VM に分割され、各ゲートウェイ VM で最大 2 Gbps のスループットがサポートされます。 接続リソースが作成されると、その SKU の 2 倍がゲートウェイ VM に予約されます。 この設計により、ユーザー ワークロードの要件に応じて、Tx または Rx トラフィックのいずれかで SKU の最大スループット (1 方向に測定) に到達できるようになります。
たとえば、 HighPerformance SKU はゲートウェイ VM で 400 Mbps (Tx の場合は 200、Rx の場合は 200) を予約します。 つまり、既存のエンジンでは、 HighPerformance 接続によってゲートウェイ プールの全体的な容量の 1/10 が予約されます。
次の表は、VPN 高速パスが無効になっている場合のゲートウェイ SKU ごとの各トンネル/接続のゲートウェイの種類と推定される集計スループットを示しています。
SKU | 最大 VPN 接続スループット (1) | アクティブな GW VM あたりの最大 VPN 接続数 | スタンプあたりの最大 VPN 接続数 (2) |
---|---|---|---|
Basic (3) | 100 Mbps Tx/Rx | 10 | 20 |
Standard | 100 Mbps Tx/Rx | 10 | 20 |
高パフォーマンス | 200 Mbps Tx/Rx | 5 | 10 |
(1) - トンネル スループットは、インターネット経由のクロスプレミス接続に対して保証されたスループットではありません。可能な最大スループット測定です。 一方向の集計の合計は 2 Gbps です。
(2) - トンネルの最大数は、すべてのサブスクリプションの Azure Stack Hub デプロイごとの合計です。
(3) - Basic SKU に対しては BGP ルーティングはサポートされません。
VPN 高速パスが有効になっている SKU 別の推定集計トンネル スループット
オペレーターが Azure Stack Hub スタンプで VPN ファースト パスを有効にすると、ゲートウェイ プールの全体的な容量が 10 Gbps に増加します。 容量は 2 つのアクティブなゲートウェイ VM に分割されるため、各ゲートウェイ VM の容量は 5 Gbps です。 接続ごとに予約されている容量の量は、前のセクションで説明した容量と同じです。 そのため、VpnGw3 SKU (1250 Mbps) では、ゲートウェイ VM に 2500 Mbps の容量が予約されます。
SKU | 最大 VPN 接続スループット (1) | アクティブな GW VM あたりの最大 VPN 接続数 | スタンプあたりの最大 VPN 接続数 (2) |
---|---|---|---|
Basic (3) | 100 Mbps Tx/Rx | 25 | 50 |
Standard | 100 Mbps Tx/Rx | 25 | 50 |
高パフォーマンス | 200 Mbps Tx/Rx | 12 | 24 |
VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
(1) - トンネル スループットは、インターネット経由のクロスプレミス接続に対して保証されたスループットではありません。可能な最大スループット測定です。 一方向の集計の合計は 5 Gbps です。
(2) - トンネルの最大数は、すべてのサブスクリプションの Azure Stack Hub デプロイごとの合計です。
(3) - Basic SKU に対しては BGP ルーティングはサポートされません。