你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
若要使用 Azure ExpressRoute 连接 Azure 虚拟网络(虚拟网络)和本地网络,必须先创建虚拟网络网关。 虚拟网络网关有两个用途:在网络之间交换 IP 路由和路由网络流量。
本文介绍不同的网关类型、网关 SKU 和按 SKU 估算的性能。 本文还介绍了 ExpressRoute FastPath,这是一项功能,可让你本地网络中的网络流量绕过虚拟网络网关,从而提高性能。
网关 SKU
创建虚拟网络网关时,需要指定要使用的网关 SKU。 选择更高的网关 SKU 时,系统会将更多 CPU 和网络带宽分配给网关。 因此,网关可以对虚拟网络支持更高的网络吞吐量。
ExpressRoute 虚拟网络网关可使用以下 SKU:
- ErGwScale(预览版):有关详细信息,请参阅 ExpressRoute 可缩放网关
- 标准
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
你可以将网关升级到同一 SKU 系列(未启用 Az 或已启用 Az 的网关)中容量更高的 SKU。
例如,可以升级:
- 从一个未启用 Az 的 SKU 到另一个未启用 Az 的 SKU
- 从一个已启用 Az 的 SKU 到另一个已启用 Az 的 SKU
对于所有其他降级方案,需要删除并重新创建网关,这会导致停机。
网关子网创建
在创建 ExpressRoute 网关之前,必须创建一个网关子网。 虚拟网络网关虚拟机 (VM) 和服务使用网关子网中包含的 IP 地址。
创建虚拟网络网关时,需要将网关 VM 部署到网关子网,并使用所需的 ExpressRoute 网关设置进行配置。 永远不要将任何其他设备部署到网关子网中。 网关子网必须命名为“GatewaySubnet”才能正常工作,因为这样做可以让 Azure 知道将虚拟网络网关 VM 和服务部署到此子网中。
Note
不支持以 0.0.0.0/0 为目标的用户定义路由和网关子网上的网络安全组 (NSG)。 不支持用户定义的路由(包含 GatewaySubnet 地址空间),其下一跳点设置为无,或者下一跳点设置为 NVA(具有丢弃流量的策略)。 具有此配置的网关已被阻止创建。 网关需要访问管理控制器才能正常工作。 应在网关子网上启用边界网关协议 (BGP) 路由传播,以确保网关的可用性。 如果 BGP 路由传播被禁用,则网关将无法运行。
如果用户定义的路由与网关子网范围或网关公共 IP 范围重叠,则诊断、数据路径和控制路径可能会受到影响。
- 不建议将 Azure DNS 专用解析程序部署到具有 ExpressRoute 虚拟网络网关的虚拟网络中,并将通配符规则设置为将所有名称解析定向到特定的 DNS 服务器。 此类配置可能会导致管理连接问题。
创建网关子网时,请指定子网包含的 IP 地址数。 将网关子网中的 IP 地址分配到网关 VM 和网关服务。 有些配置需要具有比其他配置更多的 IP 地址。
规划网关子网大小时,请参阅你计划创建的配置的相关文档。 例如,ExpressRoute/VPN 网关共存配置所需的网关子网大于大多数其他配置。 此外,可能需要确保网关子网包含足够的 IP 地址,以便应对将来可能会有的配置。
建议创建 /27 或更大的网关子网。 如果计划将 16 个 ExpressRoute 线路连接到网关,则必须创建 /26 或更大的网关子网。 如果创建的是双堆栈网关子网,建议还使用 /64 或更大的 IPv6 范围。 此设置适合大多数配置。
以下 Azure 资源管理器 PowerShell 示例显示名为 GatewaySubnet 的网关子网。 可以看到,无类别域际路由选择 (CIDR) 表示法指定了 /27,这允许为当前存在的大多数配置提供足够的 IP 地址。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
网关子网上的 NSG 不受支持。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?
虚拟网络网关限制和性能
网关 SKU 的功能支持
下表显示了每个网关类型支持的功能以及每个网关 SKU 支持的最大 ExpressRoute 线路连接数。
| 网关 SKU | VPN 网关和 ExpressRoute 共存 | FastPath | 最大线路连接数 |
|---|---|---|---|
| 标准 SKU/ErGw1AZ | Yes | No | 4 |
| 高 Perf SKU/ERGw2Az | Yes | No | 8 |
| 超高性能 SKU/ErGw3AZ | Yes | Yes | 16 |
| ErGwScale (预览版) | Yes | 是 - 最小 10 个缩放单元 | 4 - 最小 1 个缩放单元 8 - 最小 2 个缩放单元 16 - 最小 10 个缩放单元 |
Note
所有网关可从同一对等互连位置连接到同一虚拟网络的 ExpressRoute 线路的最大数目为 4。
预估性能(按网关 SKU)
下表概述了不同类型的网关、其各自的限制和预期性能指标。
支持的最大限制
此表适用于 Azure 资源管理器和经典部署模型。
| 网关 SKU | 每秒兆位 | 每秒的数据包数 | 虚拟网络中可支持的 VM 数量1 | 流计数限制 | 网关获知的路由数 |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| 高性能/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| 超高性能/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale(每缩放单元 1-10) | 1,000(每缩放单元) | 100,000(每缩放单元) | 2,000(每缩放单元) | 100,000(每缩放单元) | 每个网关总共 9,500 个 |
| ErGwScale(每缩放单元 11-40) | 1,000(每缩放单元) | 200,000(每缩放单元) | 1,000(每缩放单元) | 100,000(每缩放单元) | 每个网关总共 9,500 个 |
1 表中的值是估计值,具体取决于网关的 CPU 使用率。 如果 CPU 使用率较高且超出了支持的 VM 数,网关将开始删除数据包。
Note
ExpressRoute 最多可以为 11,000 个路由提供便利,这些路由跨越虚拟网络地址空间、本地网络以及任何相关的虚拟网络对等互连连接。 为了确保 ExpressRoute 连接稳定,不要向 ExpressRoute 播发超过 11,000 条路由。 网关播发的最大路由数为 1,000 个路由。
Important
- 应用程序性能取决于多种因素,例如端到端延迟和应用程序打开的通信流数。 表中的数字表示应用程序在理想环境下理论上可达到的上限。 此外,为了维护服务的可靠性,我们会在 ExpressRoute 虚拟网络网关上执行主机和操作系统的例行维护。 在维护期间,网关的控制平面和数据路径容量会减少。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- ExpressRoute 支持的最大 TCP 和 UDP 数据包大小为 1,400 字节。 ExpressRoute 网关不支持碎片数据包。 请调整应用程序,以避免出现 IP 分片问题。 如果需要 IP 碎片支持,请启用 ExpressRoute FastPath 功能以绕过 ExpressRoute 网关。
- Azure 路由服务器最多可支持 4,000 个 VM。 此限制包括对等互连的虚拟网络中的虚拟机。 有关详细信息,请参阅 Azure 路由服务器限制。
- 上表中的值表示每个网关 SKU 的限制。
自动分配的公共 IP
自动分配的公共 IP 功能允许Microsoft代表你管理所需的公共 IP 地址,从而简化了 ExpressRoute 网关部署。 对于 PowerShell/CLI,不再需要为网关创建或维护单独的公共 IP 资源。
启用自动分配的公共 IP 后,ExpressRoute 网关的“概述”页不再显示公共 IP 地址字段,这意味着网关的公共 IP 由Microsoft自动预配和管理。
主要优势:
- 提高了安全性: 公共 IP 由Microsoft在内部管理,不会向你公开,从而减少与开放管理端口相关的风险。
- 降低复杂性: 无需预配或管理公共 IP 资源。
- 简化的部署: 创建网关期间,Azure PowerShell 和 CLI 不再提示输入公共 IP。
工作原理:
创建 ExpressRoute 网关时,Microsoft会自动预配和管理安全后端订阅中的公共 IP 地址。 此 IP 封装在网关资源中,使Microsoft能够强制实施数据速率限制和提高可审核性等策略。 以前,可以将公共 IP 资源创建为区域资源,以确保该区域中网关的所有实例共享相同的公共 IP 地址。 新的行为是网关始终具备区域冗余功能。
Availability:
自动分配的公共 IP 不适用于虚拟 WAN(vWAN)或扩展区域部署。
从 VNet 到 VNet 以及从 VNet 到虚拟 WAN 的连接
默认情况下,对于所有网关 SKU,将禁用通过 ExpressRoute 线路进行的 VNet 到 VNet 的连接以及 VNet 到虚拟 WAN 的连接。 若要启用该连接,必须配置 ExpressRoute 虚拟网络网关以允许流量。 有关详细信息,请参阅有关通过 ExpressRoute 的虚拟网络连接的指南。 要启用此流量,请参阅通过 ExpressRoute 启用 VNet 到 VNet 或 VNet 到虚拟 WAN 的连接。
FastPath
ExpressRoute 虚拟网络网关旨在交换网络路由和路由网络流量。 FastPath 旨在改善本地网络和虚拟网络之间的数据路径性能。 FastPath 启用后,它会绕过网关直接将网络流量发送到虚拟网络中的虚拟机。
有关 FastPath 的详细信息,包括限制和要求,请参阅关于 FastPath。
与专用终结点的连接
ExpressRoute 虚拟网络网关可增强与专用终结点的连接性,这些终结点在虚拟网络网关所在的虚拟网络中部署以及跨虚拟网络对等方部署。
Important
- 与连接到非专用终结点资源相比,连接到专用终结点资源的吞吐量和控制平面容量可能会减少一半。
- 在维护期间,你可能会遇到与专用终结点资源的间歇性连接问题。
- 你需要确保正确设置本地配置(包括路由器和防火墙设置),以确保 IP 5 元组的数据包传输使用单个下一个跃点(Microsoft Enterprise Edge 路由器),除非存在维护事件。 如果你的本地防火墙或路由器配置导致同一 IP 5 元组频繁切换下一个跃点,则你将遇到连接问题。
- 确保在部署专用终结点的子网上启用网络策略(至少为实现 UDR 支持)
专用终结点连接和计划内维护事件
专用终结点连接是监控状态的。 通过 ExpressRoute 专用对等互连建立与专用终结点的连接时,入站和出站连接通过网关基础结构的其中一个后端实例进行路由。 在维护事件期间,一次重启一个虚拟网络网关基础结构的后端实例,这可能会导致间歇性连接问题。
为了在维护活动期间避免或最大程度地减少专用终结点的连接问题,建议在本地应用程序中将 TCP 超时值设置为介于 15 到 30 秒之间。 根据应用程序要求测试和配置最佳值。
REST API 和 PowerShell cmdlet
有关将 REST API 和 PowerShell cmdlet 用于虚拟网络网关配置时的其他技术资源和特定语法要求,请参阅以下页面:
| Classic | 资源管理器 |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 到 VNet 的连接
默认情况下,将多个虚拟网络链接到同一 ExpressRoute 线路时,将启用虚拟网络之间的连接。 不建议使用 ExpressRoute 线路在虚拟网络之间进行通信。 相反,我们建议使用虚拟网络对等互连。 若要详细了解为何不建议通过 ExpressRoute 进行 VNet 到 VNet 连接,请参阅通过 ExpressRoute 在虚拟网络之间建立连接。
虚拟网络对等互连
具有 ExpressRoute 网关的虚拟网络可以与最多 500 个其他的虚拟网络进行虚拟网络对等互连。 没有 ExpressRoute 网关的虚拟网络对等互连可能会有更高的对等互连限制。
相关内容
有关可用连接配置的详细信息,请参阅 ExpressRoute 概述。
有关创建 ExpressRoute 网关的详细信息,请参阅创建 ExpressRoute 的虚拟网络网关。
有关如何部署 ErGwScale 的详细信息,请参阅使用 Azure 门户配置 ExpressRoute 的虚拟网络网关。
有关配置区域冗余型网关的详细信息,请参阅创建区域冗余型虚拟网络网关。
有关 FastPath 的详细信息,请参阅关于 FastPath。