Criar gateways de VPN para o Azure Stack Hub

Um gateway de rede virtual é o dispositivo VPN de software (gateway de VPN) da sua rede virtual do Azure Stack Hub. Utilize-o com uma ligação ou ligações para configurar uma ligação VPN site a site ou site a site entre uma rede virtual do Azure Stack Hub e a sua rede local ou uma ligação VPN VNet a VNet entre duas redes virtuais criadas em diferentes carimbos do Azure Stack Hub.

Quando cria um gateway de rede virtual, tem de especificar o tipo de gateway que pretende criar. O Azure Stack Hub só suporta o tipo de Vpn .

Cada rede virtual pode ter apenas um gateway de rede virtual. Consoante as definições que escolher, pode criar várias ligações num único gateway de rede virtual. Um exemplo deste tipo de configuração é uma configuração de topologia site a site.

Antes de criar e configurar recursos de gateway de rede virtual para o Azure Stack Hub, reveja as considerações sobre a rede do Azure Stack Hub para saber como as configurações do Azure Stack Hub diferem do Azure.

Nota

No Azure, o débito de largura de banda para o SKU do gateway de rede virtual que escolher tem de ser dividido em todas as ligações que estão ligadas ao gateway. No Azure Stack Hub, no entanto, o valor de largura de banda do SKU do gateway de rede virtual é aplicado a cada recurso de ligação que está ligado ao gateway.

Por exemplo:

  • No Azure, o SKU de gateway de rede virtual básico pode acomodar aproximadamente 100 Mbps de débito agregado. Se criar duas ligações para esse gateway de rede virtual e uma estiver a utilizar 50 Mbps de largura de banda, 50 Mbps estão disponíveis para a outra ligação.
  • No Azure Stack Hub, cada ligação ao SKU de gateway de rede virtual básica é atribuída a 100 Mbps de débito.

Configurar gateways de VPN

Um gateway de VPN depende de vários recursos configurados com definições específicas. A maioria destes recursos pode ser configurada separadamente, mas em alguns casos têm de ser configurados por uma ordem específica.

Definições

As definições que escolher para cada recurso são essenciais para criar uma ligação com êxito.

Para obter informações sobre recursos individuais e definições de um gateway de VPN, veja About VPN gateway settings for Azure Stack Hub (Acerca das definições do gateway de VPN para o Azure Stack Hub).

Ferramentas de implementação

Pode criar e configurar recursos com uma ferramenta de configuração, como o portal do Azure Stack Hub. Posteriormente, poderá mudar para outra ferramenta, como o PowerShell, para configurar recursos adicionais ou modificar recursos existentes quando aplicável.

Atualmente, não pode configurar todas as definições de recursos e recursos no portal do Azure Stack Hub. As instruções nos artigos para cada topologia de ligação especificam quando uma ferramenta de configuração especifica é necessária.

Diagramas de topologia de ligação

Existem diferentes configurações disponíveis para gateways de VPN. Determine qual a configuração que melhor se adequa às suas necessidades. Nas secções seguintes, pode ver informações e diagramas de topologia sobre os seguintes cenários de gateway de VPN:

  • Ligações site a site
  • Ligações site a site
  • Ligações site a site ou site a site entre selos do Azure Stack Hub

Os diagramas e descrições nas secções seguintes podem ajudá-lo a selecionar uma topologia de ligação para corresponder aos seus requisitos. Os diagramas mostram as principais topologias de linha de base, mas é possível criar configurações mais complexas com os diagramas como guia.

Ligações site a site

Uma ligação de gateway de VPN site a site (S2S) é uma ligação através do túnel VPN IPsec/IKE (IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local e é atribuído um endereço IP público. As ligações S2S podem ser utilizadas para configurações em vários locais e híbridas.

Exemplo de ligação site a site do gateway de VPN do Azure

Ligações site a site

Uma topologia site a site é uma variação da topologia site a site. Cria mais do que uma Ligação VPN a partir do gateway de rede virtual, normalmente ligando-se a vários sites no local.

Exemplo de ligações Site a Multilocal do gateway de VPN do Azure

Ligações site a site ou site a site entre selos do Azure Stack Hub

Só pode criar uma ligação VPN site a site entre duas implementações do Azure Stack Hub. Isto deve-se a uma limitação na plataforma que permite apenas uma única ligação VPN ao mesmo endereço IP. Uma vez que o Azure Stack Hub tira partido do gateway multi-inquilino, que utiliza um único IP público para todos os gateways de VPN no sistema do Azure Stack Hub, só pode existir uma ligação VPN entre dois sistemas do Azure Stack Hub. Esta limitação também se aplica à ligação de mais do que uma ligação VPN site a site a qualquer gateway de VPN que utilize um único endereço IP. O Azure Stack Hub não permite a criação de mais do que um recurso de gateway de rede local com o mesmo endereço IP.

O diagrama seguinte mostra como pode interligar vários selos do Azure Stack Hub se precisar de criar uma topologia de malha entre selos.

Neste cenário, existem 3 selos do Azure Stack Hub e cada um deles tem 1 gateway de rede virtual com 2 ligações e 2 gateways de rede local. Com os novos SKUs, os utilizadores podem ligar redes e cargas de trabalho entre selos com débito de ligação VPN até 1250 Mbps Tx/Rx, atribuindo 50% da capacidade do conjunto de gateways de cada selo. Pode utilizar a capacidade restante em cada selo para ligações VPN adicionais necessárias para outros casos de utilização:

Ligações do Azure Gateway de VPN entre selos

SKUs de Gateway

Quando cria um gateway de rede virtual para o Azure Stack Hub, especifica o SKU do gateway que pretende utilizar. São suportados os seguintes SKUs de gateway de Rede Virtual:

  • Básico - 100 Mbps Tx/Rx
  • Standard - 100 Mbps Tx/Rx
  • Elevado Desempenho - Tx/Rx de 200 Mbps

Novos SKUs de gateway de Rede Virtual na pré-visualização pública

Na versão do Azure Stack Hub 2209, a Microsoft anuncia a Pré-visualização Pública da nova funcionalidade Caminho Rápido de VPN, que aumenta o débito máximo de carimbos do Azure Stack Hub de 2 Gbps para 5 Gbps e também apresenta 3 novos SKUs

  • VpnGw1 - Tx/Rx de 650 Mbps
  • VpnGw2 - 1000 Mbps Tx/Rx
  • VpnGw3 - 1250 Mbps Tx/Rx

O Azure Stack Hub não suporta o SKU do gateway de Desempenho Ultra, que é utilizado exclusivamente com o Express Route.

Quando selecionar o SKU, considere o seguinte:

  • O Azure Stack Hub não suporta gateways baseados em políticas.
  • O Protocolo BGP (Border Gateway Protocol) não é suportado no SKU Básico.
  • As configurações coexistências do gateway de VPN do ExpressRoute não são suportadas no Azure Stack Hub.

Disponibilidade do gateway

Ao contrário do Azure, que fornece disponibilidade através de configurações ativas/ativas e ativas/passivas, o Azure Stack Hub só suporta a configuração ativa/passiva.

Passos seguintes