Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um gateway de rede virtual conecta sua rede virtual do Azure à rede local por meio do Azure ExpressRoute. O gateway serve a duas finalidades principais: trocar rotas IP entre redes e rotear o tráfego de rede entre elas.
Este artigo explica tipos de gateway, SKUs de gateway, desempenho estimado por SKU e principais recursos. Ele também abrange o ExpressRoute FastPath, que permite que o tráfego de rede de sua rede local ignore o gateway de rede virtual para melhorar o desempenho.
SKUs de gateway
Ao criar um gateway de rede virtual, é necessário especificar o SKU do gateway que você quer usar. Ao selecionar um SKU de gateway mais alto, mais CPUs e largura de banda de rede são alocadas para o gateway. Como resultado, o gateway pode dar suporte a uma taxa de transferência de rede mais alta para a rede virtual.
Os gateways de rede virtual do ExpressRoute podem usar os seguintes SKUs:
- ErGwScale: para obter mais informações, consulte o Gateway Escalonável do ExpressRoute
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Você pode atualizar seu gateway para um SKU de maior capacidade dentro da mesma família de SKU (zona de não disponibilidade ou zona de disponibilidade habilitada). Por exemplo:
- Atualizar de um SKU de zona de não disponibilidade para outro SKU de zona de não disponibilidade
- Atualizar de um SKU habilitado para zona de disponibilidade para outro SKU habilitado para zona de disponibilidade
Para todos os outros cenários, incluindo downgrades ou alternância entre tipos de zona de disponibilidade, você deve excluir e recriar o gateway. Esse processo incorre em período de inatividade.
Gateway de sub-rede
Antes de criar um gateway do ExpressRoute, crie uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs (máquinas virtuais) e os serviços de gateway de rede virtual usam.
Quando você cria seu gateway de rede virtual, o Azure implanta VMs de gateway na sub-rede do gateway e as configura com as configurações necessárias do ExpressRoute. Nunca implante mais nada na sub-rede de gateway. A sub-rede do gateway deve ser denominada GatewaySubnet para o Azure para reconhecê-la e implantar os componentes do gateway corretamente.
Note
Roteamento definido pelo usuário com um destino 0.0.0.0/0 e grupos de segurança de rede (NSGs) na sub-rede do gateway não têm suporte. Não há suporte para as rotas definidas pelo usuário, contendo o espaço de endereço GatewaySubnet, com o próximo salto definido como nenhum ou com o próximo salto definido como NVA (que possui política para descartar o tráfego). Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas do Border Gateway Protocol (BGP) deve estar habilitada na sub-rede do gateway para garantir a disponibilidade do gateway. Se a propagação de rotas do BGP estiver desabilitada, o gateway não funcionará.
O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.
Não implante o Resolvedor Privado de DNS do Azure em uma rede virtual que tenha um gateway de rede virtual do ExpressRoute com regras curinga direcionando toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.
Tamanho da sub-rede do gateway
Ao criar a sub-rede do gateway, especifique quantos endereços IP ele contém. As VMs e os serviços do gateway usam esses endereços IP. Algumas configurações exigem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, consulte a documentação para a sua configuração específica. Por exemplo, as configurações de coexistência do gateway de ExpressRoute/VPN exigem sub-redes de gateway maiores do que a maioria das outras configurações. Recomendamos que você crie uma sub-rede de gateway que possa acomodar possíveis configurações futuras.
Recommendations:
- Crie uma sub-rede de gateway de /27 ou maior para a maioria das configurações.
- Se você planeja conectar 16 circuitos do ExpressRoute ao seu gateway, deverá criar uma sub-rede de gateway de /26 ou maior.
- Para sub-redes de gateway dual-stack, recomendamos um intervalo IPv6 de /64 ou maior.
O exemplo a seguir do PowerShell do Azure Resource Manager mostra uma sub-rede de gateway chamada GatewaySubnet. A notação CIDR especifica um /27, que fornece endereços IP suficientes para a maioria das configurações.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
NSGs na sub-rede do gateway não têm suporte. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.
Limitações e desempenho do gateway
Suporte de recurso por SKU de gateway
A tabela a seguir mostra os recursos compatíveis com cada SKU de gateway e o número máximo de conexões de circuito do ExpressRoute.
| SKU de gateway | Coexistência VPN e ExpressRoute | FastPath | Máximo de conexões de circuito |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Alto Desempenho/ERGw2Az | Yes | No | 8 |
| Ultra Desempenho/ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Sim (mínimo de 10 unidades de escala) | 4 (unidade de escala mínima de 1) 8 (mínimo de 2 unidades de escala) 16 (mínimo de 10 unidades de escala) |
Note
O número máximo de circuitos do ExpressRoute do mesmo local de emparelhamento que pode se conectar à mesma rede virtual é 4, para todos os gateways.
Desempenhos estimados por SKU de gateway
As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respectivas limitações e as métricas de desempenho esperadas.
Limites máximos com suporte
Essa tabela se aplica tanto aos modelos de implantação clássicos quanto do Azure Resource Manager.
| SKU de gateway | Megabits por segundo | Pacotes por segundo | Número de VMs com suporte na rede virtual1 | Limite do número de fluxos | Número de rotas aprendidas pelo gateway |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Alto Desempenho/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra Desempenho/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (por unidade de escala 1 a 10) | 1.000 por unidade de escala | 100.000 por unidade de escala | 2.000 por unidade de escala | 100.000 por unidade de escala | Total de 9.500 por gateway |
| ErGwScale (por unidade de escala 11-40) | 1.000 por unidade de escala | 200.000 por unidade de escala | 1.000 por unidade de escala | 100.000 por unidade de escala | Total de 9.500 por gateway |
1 Os valores na tabela são estimados e variam de acordo com a utilização da CPU pelo gateway. Se a utilização da CPU for alta e o número de VMs com suporte for excedido, o gateway começará a descartar pacotes.
Note
O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de rede virtual, redes locais e todas as conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão do ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute. O número máximo de rotas anunciadas pelo gateway é de 1.000 rotas.
Important
- O desempenho do aplicativo depende de vários fatores, como latência ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que o aplicativo, teoricamente, pode atingir em um ambiente ideal. Além disso, executamos rotineiramente a manutenção do host e do sistema operacional no gateway de rede virtual do ExpressRoute para manter a confiabilidade do serviço. Durante o período de manutenção, a capacidade do painel de controle e do caminho de dados do gateway é reduzida.
- Durante um período de manutenção, você poderá enfrentar problemas de conectividade intermitente com recursos de ponto de extremidade privado.
- O ExpressRoute dá suporte a um tamanho máximo de pacote TCP e UDP de 1.400 bytes. Não há suporte para pacotes fragmentados por Gateways do ExpressRoute. Ajuste seu aplicativo para evitar a fragmentação de IP. Se o suporte à fragmentação de IP for necessário, habilite o recurso FastPath do ExpressRoute para ignorar o gateway do ExpressRoute.
- O Servidor de Rota do Azure pode dar suporte para até 4.000 VMs. Esse limite inclui VMs em redes virtuais que são emparelhadas. Para obter mais informações, confira Limitações do Servidor de Rota do Azure.
- Os valores da tabela acima representam os limites de cada SKU de gateway.
IP público atribuído automaticamente
O recurso ip público atribuído automaticamente simplifica a implantação do gateway do ExpressRoute, permitindo que a Microsoft gerencie o endereço IP público necessário em seu nome. Para o PowerShell e a CLI (Interface Command-Line), não é mais necessário criar ou manter um recurso ip público separado para o gateway.
Quando o IP público atribuído automaticamente está habilitado, a página visão geral do gateway do ExpressRoute não mostra mais um campo de endereço IP público, o que significa que o IP público do gateway é provisionado e gerenciado automaticamente pela Microsoft.
Principais benefícios:
- Segurança aprimorada: O IP público é gerenciado internamente pela Microsoft e não é exposto a você, reduzindo os riscos associados a portas de gerenciamento abertas.
- Complexidade reduzida: Você não é mais necessário para provisionar ou gerenciar um recurso de IP público.
- Implantação simplificada: O Azure PowerShell e a CLI não solicitam mais um IP público durante a criação do gateway.
Como funciona:
Quando você cria um gateway do ExpressRoute, a Microsoft provisiona e gerencia automaticamente o endereço IP público em uma assinatura segura de back-end. Esse IP é encapsulado no recurso de gateway, permitindo que a Microsoft imponha políticas como limites de taxa de dados e aprimore a auditabilidade. Anteriormente, era possível criar o recurso IP público como um recurso zonal, o que garantiu que todas as instâncias do gateway nessa zona compartilhassem o mesmo endereço IP público. O novo comportamento é que o gateway é sempre redundante em termos de zona.
Availability:
O IP público atribuído automaticamente não está disponível para implantações de WAN Virtual (vWAN) ou zona estendida.
Conexão de rede virtual a rede virtual e de rede virtual a WAN virtual
Por padrão, a rede virtual para rede virtual e a rede virtual para conectividade WAN virtual está desabilitada por um circuito do ExpressRoute para todos os SKUs de Gateway. Para habilitar essa conectividade, você precisa configurar o gateway de rede virtual do ExpressRoute para permitir esse tráfego. Para obter mais informações, confira as diretrizes sobre conectividade de rede virtual por meio do ExpressRoute. Para obter mais informações, consulte Habilite a rede virtual para rede virtual ou a rede virtual para conectividade WAN virtual pelo ExpressRoute.
FastPath
O ExpressRoute FastPath melhora o desempenho do caminho de dados entre sua rede local e sua rede virtual. Quando habilitado, o FastPath envia o tráfego de rede diretamente para máquinas virtuais na rede virtual, ignorando o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.
Conectividade de endpoint privado
O gateway de rede virtual do ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual e em redes virtuais emparelhadas.
Important
- A capacidade de taxa de transferência e painel de controle para conectividade com recursos de ponto de extremidade privado pode ser reduzida pela metade em comparação com a conectividade com recursos que não são de ponto de extremidade privado.
- Durante um período de manutenção, você poderá enfrentar problemas de conectividade intermitente com recursos de ponto de extremidade privado.
- Você precisa garantir que a configuração local, incluindo as configurações de roteador e firewall, esteja corretamente configurada para garantir que pacotes para o trânsito IP 5-tuple usem um único próximo salto (roteador do Microsoft Enterprise Edge), a menos que haja um evento de manutenção. Se a configuração do firewall ou do roteador local estiver fazendo com que a mesma tupla IP 5 alterne frequentemente os próximos saltos, você terá problemas de conectividade.
- Verifique se as políticas de rede (no mínimo, para suporte à UDR) estão habilitadas nas sub-redes em que os pontos de extremidade privados são implantados
Conectividade de ponto de extremidade privado e eventos de manutenção planejada
A conectividade de ponto de extremidade privado tem estado. Quando você estabelece uma conexão com um ponto de extremidade privado por meio do emparelhamento privado do ExpressRoute, a infraestrutura do gateway roteia conexões de entrada e saída por meio de uma de suas instâncias de back-end. Durante eventos de manutenção, as instâncias de back-end reinicializam uma de cada vez, o que pode causar problemas de conectividade intermitente.
Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, defina o valor de tempo limite TCP para ficar entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base em seus requisitos de aplicativo.
Cmdlets do PowerShell e APIs REST
Para obter recursos técnicos e requisitos específicos de sintaxe ao usar APIs REST e cmdlets do PowerShell para configurações de gateway de rede virtual, consulte:
| Classic | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Conectividade entre redes virtuais
Por padrão, a conectividade entre redes virtuais é habilitada ao vincular várias redes virtuais ao mesmo circuito do ExpressRoute. Não recomendamos usar seu circuito do ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que você use o emparelhamento de rede virtual. Para obter mais informações sobre por que a conectividade de rede virtual para rede virtual não é recomendada no ExpressRoute, consulte Conectividade entre redes virtuais pelo ExpressRoute.
Limites de pareamento de rede virtual
Uma rede virtual com um gateway do ExpressRoute pode ter emparelhamento de rede virtual com até 500 outras redes virtuais. Redes virtuais sem um gateway do ExpressRoute podem ter limites de emparelhamento mais altos.