Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein virtuelles Netzwerkgateway verbindet Ihr virtuelles Azure-Netzwerk über Azure ExpressRoute mit Ihrem lokalen Netzwerk. Das Gateway dient zwei wichtigen Zwecken: den Austausch von IP-Routen zwischen Netzwerken und dem Routing des Netzwerkdatenverkehrs zwischen diesen.
In diesem Artikel werden Gatewaytypen, Gateway-SKUs, geschätzte Leistung durch SKU und wichtige Features erläutert. Außerdem wird ExpressRoute FastPath behandelt, mit dem der Netzwerkdatenverkehr aus Ihrem lokalen Netzwerk das virtuelle Netzwerkgateway für eine verbesserte Leistung umgehen lässt.
Gateway-SKUs
Beim Erstellen eines Gateways des virtuellen Netzwerks müssen Sie die gewünschte Gateway-SKU angeben. Wenn Sie eine höhere Gateway-SKU auswählen, werden dem Gateway mehr CPUs und eine höhere Netzwerkbandbreite zugewiesen. Dadurch kann das Gateway einen höheren Netzwerkdurchsatz an das virtuelle Netzwerk bewältigen.
Virtuelle ExpressRoute-Netzwerkgateways können folgende SKUs verwenden:
- ErGwScale: Weitere Informationen finden Sie unter ExpressRoute Scalable Gateway
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Sie können Ihr Gateway auf eine SKU mit höherer Kapazität innerhalb derselben SKU-Familie aktualisieren (Nichtverfügbarkeitszone oder Verfügbarkeitszone aktiviert). Beispiel:
- Upgrade von einem SKU ohne Verfügbarkeitszone auf ein anderes SKU ohne Verfügbarkeitszone
- Upgrade von einer in einer Verfügbarkeitszone aktivierten SKU auf eine andere in einer Verfügbarkeitszone aktivierte SKU
Für alle anderen Szenarien, einschließlich Downgrades oder Wechseln zwischen Verfügbarkeitszonentypen, müssen Sie das Gateway löschen und neu erstellen. Dieser Vorgang verursacht Ausfallzeiten.
Gateway-Subnetz
Bevor Sie ein ExpressRoute-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den virtuellen Netzwerk-Gateway-VMs und -Diensten verwendet werden.
Wenn Sie Ihr virtuelles Netzwerkgateway erstellen, stellt Azure Gateway-VMs im Gateway-Subnetz bereit und konfiguriert sie mit den erforderlichen ExpressRoute-Einstellungen. Stellen Sie im Gatewaysubnetz nie etwas anderes bereit. Das Gatewaysubnetz muss als GatewaySubnet bezeichnet werden, damit Azure es erkennt und die Gatewaykomponenten ordnungsgemäß bereitstellt.
Note
Benutzerdefinierte Routen mit dem Ziel 0.0.0.0/0 und Netzwerksicherheitsgruppen (NSGs) im Gatewaysubnetz werden nicht unterstützt. Benutzerdefinierte Routen, die einen GatewaySubnet-Adressraum enthalten und bei denen der Next-Hop auf „none“ oder „NVA“ (mit der Richtlinie, den Datenverkehr zu verwerfen) gesetzt ist, werden nicht unterstützt. Gateways mit dieser Konfiguration können nicht erstellt werden. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. Die Routenverteilung mit dem Border Gateway Protocol (BGP) sollte im Gatewaysubnetz aktiviert werden, um die Verfügbarkeit des Gateways sicherzustellen. Wenn die BGP-Routenverteilung deaktiviert ist, funktioniert das Gateway nicht.
Diagnose, Datenpfad und Steuerungspfad können betroffen sein, wenn sich eine benutzerdefinierte Route mit dem Subnetzbereich des Gateways oder dem öffentlichen IP-Bereich des Gateways überschneidet.
Stellen Sie azure DNS Private Resolver nicht in einem virtuellen Netzwerk bereit, das über ein ExpressRoute-Gateway mit Wildcardregeln verfügt, die die gesamte Namensauflösung auf einen bestimmten DNS-Server leiten. Diese Konfiguration kann zu Problemen mit der Verwaltungskonnektivität führen.
Gateway-Subnetzgröße
Wenn Sie das Gateway-Subnetz erstellen, geben Sie an, wie viele IP-Adressen es enthält. Die Gateway-VMs und -Dienste verwenden diese IP-Adressen. Einige Konfigurationen erfordern mehr IP-Adressen als andere.
Um die Größe Ihres Gatewaysubnetzes zu planen, konsultieren Sie die Dokumentation zu Ihrer spezifischen Konfiguration. ExpressRoute/VPN-Gateway-Koexistenzkonfigurationen erfordern beispielsweise größere Gatewaysubnetze als die meisten anderen Konfigurationen. Es wird empfohlen, ein Gatewaysubnetz zu erstellen, das mögliche zukünftige Konfigurationen berücksichtigen kann.
Recommendations:
- Erstellen Sie für die meisten Konfigurationen ein Gatewaysubnetz von /27 oder höher .
- Wenn Sie beabsichtigen, 16 ExpressRoute-Schaltkreise mit Ihrem Gateway zu verbinden, müssen Sie ein Gatewaysubnetz von /26 oder höher erstellen.
- Für Subnetze mit dualen Stapelgateways empfehlen wir einen IPv6-Bereich von /64 oder höher.
Das folgende PowerShell-Beispiel für Azure Resource Manager zeigt ein Gatewaysubnetz mit dem Namen GatewaySubnet. Die CIDR-Notation gibt einen /27-Wert an, der für die meisten Konfigurationen genügend IP-Adressen bereitstellt.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
NSGs im Gatewaysubnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
Gatewaybeschränkungen und -leistung
Featureunterstützung nach Gateway-SKU
Die folgende Tabelle zeigt die Features, die jede Gateway-SKU unterstützt, und die maximale Anzahl von ExpressRoute-Schaltkreisverbindungen.
| Gateway-SKU | VPN- und ExpressRoute-Koexistenz | FastPath | Maximale Schaltkreisverbindungen |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Hohe Leistung/ERGw2Az | Yes | No | 8 |
| Höchstleistung/ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Ja (mindestens 10 Skalierungseinheiten) | 4 (Mindestens 1 Skalierungseinheit) 8 (mindestens 2 Skalierungseinheiten) 16 (mindestens 10 Skalierungseinheiten) |
Note
Die maximale Anzahl von ExpressRoute-Verbindungen vom gleichen Peeringstandort, die eine Verbindung mit demselben virtuellen Netzwerk herstellen können, beträgt 4 für alle Gateways.
Geschätzte Leistung nach Gateway-SKU
In den folgenden Tabellen finden Sie eine Übersicht über die verschiedenen Arten von Gateways, ihre jeweiligen Einschränkungen und die erwarteten Leistungsmetriken.
Maximal unterstützte Grenzwerte
Diese Tabelle betrifft sowohl das Azure Resource Manager-Bereitstellungsmodell als auch das klassische Bereitstellungsmodell.
| Gateway-SKU | Megabits pro Sekunde | Pakete pro Sekunde | Unterstützte Anzahl von virtuellen Computern im virtuellen Netzwerk 1 | Limit an Datenflüssen | Anzahl der vom Gateway erlernten Routen |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Hohe Leistung/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Höchstleistung/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (pro Skalierungseinheit 1-10) | 1.000 pro Skalierungseinheit | 100.000 pro Skalierungseinheit | 2.000 pro Skalierungseinheit | 100.000 pro Skalierungseinheit | Insgesamt 9.500 pro Gateway |
| ErGwScale (pro Skalierungseinheit 11-40) | 1.000 pro Skalierungseinheit | 200.000 pro Skalierungseinheit | 1.000 pro Skalierungseinheit | 100.000 pro Skalierungseinheit | Insgesamt 9.500 pro Gateway |
1 Die Werte in der Tabelle sind Schätzungen und variieren je nach CPU-Auslastung des Gateways. Wenn die CPU-Auslastung hoch ist und die Anzahl der unterstützten VMs überschritten wird, beginnt das Gateway mit dem Verwerfen von Paketen.
Note
ExpressRoute kann bis zu 11.000 Routen unterstützen, die Adressräume virtueller Netzwerke, lokale Netzwerke und relevante Verbindungen für das Peering virtueller Netzwerke umfassen. Um die Stabilität Ihrer ExpressRoute-Verbindung zu gewährleisten, sollten Sie nicht mehr als 11.000 Routen für ExpressRoute anzeigen. Die maximale Anzahl der vom Gateway angekündigten Routen beträgt 1.000.
Important
- Die Anwendungsleistung hängt von mehreren Faktoren ab, z. B. der End-to-End-Latenz und der Anzahl der Datenverkehrsflüsse, die von der Anwendung geöffnet werden. Die Zahlen in der Tabelle stellen die Obergrenze dar, die die Anwendung theoretisch in einer idealen Umgebung erzielen kann. Darüber hinaus führen wir routinemäßige Host- und Betriebssystemwartungen bei ExpressRoute-Gateways für virtuelle Netzwerke aus, um die Zuverlässigkeit des Diensts aufrechtzuerhalten. Während eines Wartungszeitraums werden die Steuerungsebenen- und Datenpfadkapazität des Gateways reduziert.
- Während eines Wartungszeitraums können zeitweilige Konnektivitätsprobleme mit privaten Endpunktressourcen auftreten.
- ExpressRoute unterstützt eine maximale TCP- und UDP-Paketgröße von 1.400 Bytes. Fragmentierte Pakete werden von ExpressRoute-Gateways nicht unterstützt. Passen Sie Ihre Anwendung an, um die IP-Fragmentierung zu verhindern. Wenn ip-Fragmentierungsunterstützung erforderlich ist, aktivieren Sie das ExpressRoute FastPath-Feature , um das ExpressRoute-Gateway zu umgehen.
- Azure Route Server kann bis zu 4.000 VMs unterstützen. Dieser Grenzwert umfasst VMs in virtuellen Netzwerken, die per Peering miteinander verknüpft sind. Weitere Informationen finden Sie unter Einschränkungen für Azure Route Server.
- Die Werte in der obigen Tabelle stellen die Grenzwerte für jede Gateway-SKU dar.
Automatisch zugewiesene öffentliche IP
Das automatisch zugewiesene öffentliche IP-Feature vereinfacht die ExpressRoute-Gatewaybereitstellung, indem Microsoft die erforderliche öffentliche IP-Adresse in Ihrem Auftrag verwalten kann. Für PowerShell und Command-Line Interface (CLI) ist es nicht mehr erforderlich, eine separate öffentliche IP-Ressource für Ihr Gateway zu erstellen oder zu verwalten.
Wenn automatisch zugewiesene öffentliche IP aktiviert ist, zeigt die Seite "Übersicht" des ExpressRoute-Gateways kein Feld für öffentliche IP-Adressen mehr an. Dies bedeutet, dass die öffentliche IP des Gateways automatisch von Microsoft bereitgestellt und verwaltet wird.
Wichtige Vorteile:
- Verbesserte Sicherheit: Die öffentliche IP wird intern von Microsoft verwaltet und steht Ihnen nicht offen, wodurch risiken im Zusammenhang mit offenen Verwaltungsports reduziert werden.
- Reduzierte Komplexität: Sie müssen keine öffentliche IP-Ressource mehr bereitstellen oder verwalten.
- Optimierte Bereitstellung: Die Azure PowerShell und CLI werden während der Gatewayerstellung nicht mehr zur Eingabe einer öffentlichen IP aufgefordert.
Funktionsweise:
Wenn Sie ein ExpressRoute-Gateway erstellen, stellt Microsoft die öffentliche IP-Adresse in einem sicheren Back-End-Abonnement automatisch fest und verwaltet sie. Diese IP wird innerhalb der Gatewayressource gekapselt, sodass Microsoft Richtlinien wie Datenratenlimits erzwingen und die Auditierbarkeit verbessern kann. Zuvor war es möglich, die öffentliche IP-Ressource als Zonalressource zu erstellen, die sicherstellte, dass alle Instanzen des Gateways in dieser Zone dieselbe öffentliche IP-Adresse gemeinsam genutzt haben. Das neue Verhalten besteht darin, dass das Gateway immer zonenredundant ist.
Availability:
Die automatisch zugewiesene öffentliche IP ist für virtuelle WAN-Bereitstellungen (Virtual WAN, vWAN) oder erweiterte Zonenbereitstellungen nicht verfügbar.
Konnektivität von virtuellem Netzwerk zu virtuellem Netzwerk und von virtuellem Netzwerk zu virtuellem WAN
Standardmäßig sind die Verbindungen vom virtuellen Netzwerk zu virtuellem Netzwerk und vom virtuellen Netzwerk zu virtuellem WAN über einen ExpressRoute-Schaltkreis für alle Gateway-SKUs deaktiviert. Um diese Konnektivität zu aktivieren, müssen Sie das ExpressRoute-VNet-Gateway so konfigurieren, dass dieser Datenverkehr zugelassen wird. Weitere Informationen finden Sie unter Konnektivität zwischen virtuellen Netzwerken über ExpressRoute. Informationen zum Aktivieren dieses Datenverkehrs finden Sie unter Aktivieren der virtuellen Netzwerk-zu-Netzwerk- oder virtuellen Netzwerk-zu-WAN-Konnektivität über ExpressRoute.
FastPath
ExpressRoute FastPath verbessert die Datenpfadleistung zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk. Wenn diese Option aktiviert ist, sendet FastPath Netzwerkdatenverkehr direkt an virtuelle Computer im virtuellen Netzwerk, um das Gateway zu umgehen.
Weitere Informationen zu FastPath, einschließlich Einschränkungen und Anforderungen, finden Sie unter About FastPath.
Konnektivität zu privaten Endpunkten
Das virtuelle ExpressRoute-Gateway erleichtert die Verbindung zu privaten Endpunkten, die im selben virtuellen Netzwerk und in gekoppelten virtuellen Netzwerken bereitgestellt werden.
Important
- Der Durchsatz und die Kapazität auf Steuerungsebene für Verbindungen mit privaten Endpunktressourcen können im Vergleich zu Verbindungen mit Ressourcen, die keine privaten Endpunkte sind, um die Hälfte reduziert sein.
- Während eines Wartungszeitraums können zeitweilige Konnektivitätsprobleme mit privaten Endpunktressourcen auftreten.
- Sie müssen sicherstellen, dass die lokale Konfiguration (einschließlich Router- und Firewalleinstellungen) korrekt ist, damit Pakete für das IP-5-Tupel über einen einzigen nächsten Hop (Microsoft Enterprise Edge-Router) übertragen werden, sofern kein Wartungsereignis vorliegt. Wenn Ihre lokale Firewall- oder Routerkonfiguration dazu führt, dass dasselbe IP-5-Tupel häufig zwischen den nächsten Hops wechselt, treten Konnektivitätsprobleme auf.
- Stellen Sie sicher, dass Netzwerkrichtlinien (mindestens für UDR-Unterstützung) in den Subnetzen, in denen private Endpunkte bereitgestellt werden, aktiviert sind
Private Endpunktkonnektivität und geplante Wartungsereignisse
Verbindungen mit privaten Endpunkten sind zustandsbehaftet. Wenn Sie eine Verbindung mit einem privaten Endpunkt über private ExpressRoute-Peering herstellen, leitet die Gatewayinfrastruktur eingehende und ausgehende Verbindungen über eine seiner Back-End-Instanzen weiter. Bei Wartungsereignissen starten Back-End-Instanzen einzeln neu, was zu zeitweiligen Verbindungsproblemen führen kann.
Um Konnektivitätsprobleme mit privaten Endpunkten während Wartungsaktivitäten zu vermeiden oder zu minimieren, legen Sie den TCP-Timeoutwert fest, der zwischen 15 und 30 Sekunden auf Ihre lokalen Anwendungen fällt. Testen und konfigurieren Sie den optimalen Wert auf der Grundlage Ihrer Anwendungsanforderungen.
REST-APIs und PowerShell-Cmdlets
Technische Ressourcen und spezifische Syntaxanforderungen bei Verwendung von REST-APIs und PowerShell-Cmdlets für Konfigurationen des virtuellen Netzwerkgateways finden Sie unter:
| Klassisch | Ressourcen-Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
Virtuelle Netzwerk-zu-Netzwerk-Verbindung
Standardmäßig sind die Verbindungen zwischen virtuellen Netzwerken aktiviert, wenn Sie mehrere virtuelle Netzwerke mit demselben ExpressRoute-Schaltkreis verknüpfen. Es wird empfohlen, Ihre ExpressRoute-Leitung nicht für die Kommunikation zwischen virtuellen Netzwerken zu verwenden. Sie sollten stattdessen das Peering virtueller Netzwerke verwenden. Weitere Informationen dazu, warum die Verbindung zwischen virtuellen Netzwerken über ExpressRoute nicht empfohlen wird, finden Sie unter Konnektivität zwischen virtuellen Netzwerken über ExpressRoute.
Grenzwerte für das Peering virtueller Netzwerke
Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway kann über ein virtuelles Netzwerkpeer mit bis zu 500 anderen virtuellen Netzwerken verfügen. Virtuelle Netzwerke ohne ein ExpressRoute-Gateway weisen möglicherweise höhere Peeringgrenzwerte auf.