YU-SHUN
WANG Azure 網路高階專案經理

在 2014 年歐洲 TechEd 大會上,我們宣佈了對Azure 虛擬網路閘道器的多項改進:

1.  高效能閘道器 SKU

2.  Azure 虛擬網路閘道器操作日誌

3.  支援 PFS(完美轉發保密)

4.  S2S 隧道支援不加密選項

我們將概述每項新功能並提供這些新功能的使用說明。

概述

Azure 虛擬網路閘道器作為跨雲和內部部署的閘道器,可以將 Azure 虛擬網路中的工作負載連線到內部部署站點。使用 IPsec S2SVPN 隧道或 ExpressRoute 線路連線內部部署站點時, 它是必須的。對於IPsec/IKE VPN 隧道,閘道器會執行 IKE 握手,然後在內部部署站點之間建立 IPsec S2SVPN 隧道。對於 ExpressRoute,閘道器會通過對等線路通知虛擬網路中的字首,也會將資料包從 ExpressRoute 線路轉發到虛擬網路內的VM 上。

下圖所示為帶有多個跨界連線選項的 Azure 虛擬網路閘道器概念圖:

高效能閘道器

為了給跨雲和內部部署的連線提供更高的吞吐量和更多的 S2S VPN 隧道,我們釋出了新的Azure 虛擬網路閘道器 SKU:高效能閘道器。下表所示為當前閘道器和高效能閘道器的初始吞吐量合計值和S2S VPN 隧道規格:

閘道器 SKU

ExpressRoute 吞吐量*

S2S VPN 吞吐量*

最大 S2S 隧道數

預設

~500Mbps

~80Mbps

10 個

高效能

~1000Mbps

~200Mbps

30 個

* 請注意,實際吞吐量會因流量狀況和應用程式行為的不同而發生變化。

高效能閘道器定價:

·   每個閘道器每小時0.49 美元

·   資料傳輸和跨VNet 流量的費率保持不變

高效能網關同時可用於 Azure 動態路由閘道器和 Azure ExpressRoute。不支援靜態路由閘道器。以下 cmdlet 可用於建立新的高效能閘道器或者將現有閘道器升級到新 SKU:

建立高效能閘道器

Azure PowerShell cmdlet 中增加了一個新的選項New-AzureVNetGateway,用於指定 SKU。以下示例將為虛擬網路“MyAzureVNet”建立高效能閘道器:

PS D:\> New-AzureVNetGateway –VNetNameMyAzureVNet –GatewayTypeDynamicRouting
–GatewaySKUHighPerformance

請注意,DynamicRouting 同時是 DynamicRouting 閘道器和專用 (ExpressRoute) 閘道器的 GatewayType。因此,該示例 cmdlet 也可用於建立虛擬網路閘道器,以連線 ExpressRoute 線路。

更新閘道器 SKU

以下 Resize-AzureVNetGateway cmdlet 可以更新 Azure 虛擬網路閘道器的 SKU:

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUHighPerformance

該示例 cmdlet 會將 MyAzureVNet 的閘道器從 Default 更改為 HighPerformance。您也可以將閘道器 SKU 從 High Performance 改回到 Default:

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUDefault

閘道器操作日誌

Azure 門戶提供了“Management Services”(管理服務)選項卡,可以讓 Azure 服務和元件報告操作日誌。我們在框架中添加了 Azure 虛擬網路閘道器日誌。現在您將可以獲得以下有關 Azure VPN 閘道器和 Azure ExpressRoute 的事件集:

1.  閘道器建立和刪除

2.  ExpressRoute 線路建立和刪除

3.  ExpressRoute 線路連結授權、建立和刪除

4.  ExpressRouteBGP 會話建立、刪除和更新

以下螢幕截圖顯示了一個簡單的示例:

請注意,以上所列初始事件集只是一個開始。我們將繼續在日誌中新增其他閘道器事件。

更多 IPsec/IKE VPN自定義選項

我們添加了另外兩個選項,用於配置 IPsec/IKE S2S VPN 隧道 – PFS(完美轉發保密)和不加密。

您現在可以通過該功能為每個隧道指定 PFS 及 IKE。不加密是 S2S VPN 隧道的新選項。該選項針對 Azure 內 VNet 到 VNet 之間的通訊。Azure 虛擬網路閘道器之間的流量會留在 Microsoft 運營的網路內,包括跨區域通訊。現在,該流量在預設情況下已加密。對於想要獲得更高吞吐量的客戶,我們提供了不加密選項,可以消除加密和解密開銷。請注意,對於經過 Internet 的流量,不建議使用該選項,因為這會導致資料包在未加密的情況下被髮送出去。建議僅對 Azure VNet 到 VNet
之間的通訊使用該選項。

我們正在致力於使 PowerShell cmdlet 支援這兩項功能。敬請關注。

如果你有任何疑問,
歡迎訪問MSDN社群,由專家來為您解答Windows
Azure各種技術問題,或者撥打世紀互聯客戶服務熱線400-089-0365/010-84563652諮詢各類服務資訊。

本文翻譯自:http://azure.microsoft.com/blog/2014/12/02/azure-virtual-network-gateway-improvements