Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um gateway de rede virtual liga a sua rede virtual Azure à sua rede local através do Azure ExpressRoute. O gateway serve dois propósitos principais: trocar rotas IP entre redes e encaminhar o tráfego de rede entre elas.
Este artigo explica os tipos de gateway, SKUs de gateway, o desempenho estimado por SKU e as principais características. Também cobre o ExpressRoute FastPath, que permite que o tráfego de rede da sua rede local contorne o gateway virtual para melhorar o desempenho.
SKUs de Gateway
Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Quando seleciona um SKU de gateway mais alto, mais CPUs e largura de banda de rede são alocadas ao gateway. Como resultado, o gateway pode suportar uma taxa de transferência de rede mais alta para a rede virtual.
Os gateways de rede virtual ExpressRoute podem usar as seguintes SKUs:
- ErGwScale: Para mais informações, consulte ExpressRoute Scalable Gateway
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Pode atualizar o seu gateway para um SKU de maior capacidade dentro da mesma família de SKUs (zona de não disponibilidade ou zona de disponibilidade ativada). Por exemplo:
- Atualizar um SKU de zona sem disponibilidade para outro SKU de zona sem disponibilidade
- Atualizar de um SKU habilitado para zona de disponibilidade para outro SKU habilitado para zona de disponibilidade
Para todos os outros cenários, incluindo downgrades ou mudança entre tipos de zonas de disponibilidade, deve excluir e recriar o gateway. Este processo incorre em tempo de inatividade.
Sub-rede do gateway
Antes de criar um gateway de ExpressRoute, deve-se criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as máquinas virtuais (VMs) e os serviços do gateway de rede virtual utilizam.
Quando cria o seu gateway de rede virtual, o Azure implementa as VMs do gateway na sub-rede do gateway e configura-as com as definições ExpressRoute necessárias. Nunca implante mais nada na sub-rede do gateway. A sub-rede do gateway deve ser chamada GatewaySubnet para que o Azure a reconheça e implemente corretamente os componentes do gateway.
Note
Rotas definidas pelo utilizador com destino 0.0.0.0/0 e grupos de segurança de rede (NSGs) na sub-rede do gateway não são suportadas. Não há suporte para rotas definidas pelo utilizador que contêm o espaço de endereço do GatewaySubnet, com o next-hop definido como nenhum ou com o next-hop definido como NVA (que possui uma política para descartar o tráfego). Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP (Border Gateway Protocol) deve ser habilitada na sub-rede do gateway para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver desativada, o gateway não funcionará.
O diagnóstico, o caminho de dados e o caminho de controlo podem ser afectados se uma rota definida pelo utilizador se sobrepuser ao intervalo de sub-redes da gateway ou ao intervalo de IP público da gateway.
Não implemente o Azure DNS Private Resolver numa rede virtual que tenha um gateway de rede virtual ExpressRoute com regras wildcard que direcionam toda a resolução de nomes para um servidor DNS específico. Esta configuração pode causar problemas de conectividade de gestão.
Tamanho da sub-rede do gateway
Quando crias a sub-rede gateway, especificas quantos endereços IP contém. As VMs e serviços gateway utilizam estes endereços IP. Algumas configurações requerem mais endereços IP do que outras.
Ao planear o tamanho da sub-rede do seu gateway, consulte a documentação da sua configuração específica. Por exemplo, as configurações de coexistência de gateways ExpressRoute/VPN requerem sub-redes de gateway maiores do que a maioria das outras configurações. Recomendamos que crie uma sub-rede de gateway que possa acomodar possíveis configurações futuras.
Recommendations:
- Crie uma sub-rede de gateway de /27 ou maior para a maioria das configurações.
- Se planeia ligar 16 circuitos ExpressRoute ao seu gateway, deve criar uma sub-rede de /26 ou maior para o gateway.
- Para sub-redes de gateway de dual stack, recomendamos uma gama IPv6 de /64 ou maior.
O exemplo seguinte do Azure Resource Manager PowerShell mostra uma sub-rede de gateway chamada GatewaySubnet. A notação CIDR especifica um /27, que fornece endereços IP suficientes para a maioria das configurações.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
As NSGs na sub-rede de gateway não têm suporte. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
Limitações e desempenho do gateway
Suporte de recursos por gateway SKU
A tabela seguinte mostra as funcionalidades que cada SKU gateway suporta e o número máximo de ligações de circuitos ExpressRoute.
| Gateway Código de Stock | Coexistência entre VPN e ExpressRoute | FastPath | Ligações máximas de circuito |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Alto Desempenho/ERGw2Az | Yes | No | 8 |
| Ultra Desempenho/ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Sim (mínimo 10 unidades à escala) | 4 (mínimo 1 unidade de escala) 8 (mínimo 2 unidades da escala) 16 (mínimo 10 unidades à escala) |
Note
O número máximo de circuitos ExpressRoute do mesmo local de emparelhamento que podem conectar-se à mesma rede virtual é limitado a 4 em todos os gateways.
Desempenho estimado por SKU gateway
As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respetivas limitações e suas métricas de desempenho esperado.
Limites máximos suportados
Esta tabela aplica-se ao Azure Resource Manager e aos modelos de implementação clássicos.
| Gateway Código de Stock | Megabits por segundo | Pacotes por segundo | Número suportado de VMs na rede virtual 1 | Limite de contagem de fluxos | Número de rotas aprendidas pelo gateway |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Alto Desempenho/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra Desempenho/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (por unidade de escala 1-10) | 1.000 por unidade de escala | 100.000 por unidade de escala | 2.000 por unidade de escala | 100.000 por unidade de escala | 9.500 no total por gateway |
| ErGwScale (por unidade de escala 11-40) | 1.000 por unidade de escala | 200.000 por unidade de escala | 1.000 por unidade de escala | 100.000 por unidade de escala | 9.500 no total por gateway |
1 Os valores na tabela são estimativas e variam dependendo da utilização da CPU do gateway. Se a utilização da CPU for alta e o número de VMs suportadas for excedido, o gateway começará a descartar pacotes.
Note
O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de redes virtuais, redes no local e quaisquer conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute. O número máximo de rotas anunciadas por gateway é de 1.000 rotas.
Important
- O desempenho do aplicativo depende de vários fatores, como latência de ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que a aplicação pode teoricamente alcançar em um ambiente ideal. Além disso, realizamos manutenção rotineira de host e sistema operacional no gateway de rede virtual ExpressRoute, para manter a confiabilidade do serviço. Durante um período de manutenção, a capacidade do plano de controle e do trajeto de dados do gateway é reduzida.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- O ExpressRoute suporta um tamanho máximo de pacotes TCP e UDP de 1.400 bytes. Pacotes fragmentados não são suportados pelos Gateways de Rota Expressa. Por favor, ajuste seu aplicativo para evitar a fragmentação de IP. Se o suporte à fragmentação de IP for necessário, habilite o recurso ExpressRoute FastPath para ignorar o gateway de Rota Expressa.
- O Azure Route Server pode suportar até 4.000 VMs. Este limite inclui VMs em redes virtuais que estão em peering. Para obter mais informações, consulte Limitações do Azure Route Server.
- Os valores na tabela acima representam os limites em cada SKU de Gateway.
IP público atribuído automaticamente
O recurso de IP público atribuído automaticamente simplifica a implantação do gateway da Rota Expressa, permitindo que a Microsoft gerencie o endereço IP público necessário em seu nome. Para PowerShell e Command-Line Interface (CLI), não é mais necessário criar ou manter um recurso IP público separado para seu gateway.
Quando o IP público atribuído automaticamente está habilitado, a página Visão geral do gateway da Rota Expressa não mostra mais um campo Endereço IP público — isso significa que o IP público do gateway é automaticamente provisionado e gerenciado pela Microsoft.
Principais benefícios:
- Segurança melhorada: O IP público é gerenciado internamente pela Microsoft e não está exposto a você, reduzindo os riscos associados às portas de gerenciamento abertas.
- Complexidade reduzida: Não é mais necessário provisionar ou gerenciar um recurso IP público.
- Implantação simplificada: O Azure PowerShell e a CLI não solicitam mais um IP público durante a criação do gateway.
Como funciona:
Quando criar um gateway ExpressRoute, a Microsoft provisiona e gerencia automaticamente o endereço IP público numa subscrição segura de backend. Esse IP é encapsulado dentro do recurso de gateway, permitindo que a Microsoft imponha políticas como limites de taxa de dados e aprimore a auditabilidade. Anteriormente, era possível criar o recurso IP público como um recurso zonal que garantia que todas as instâncias do gateway nessa zona compartilhavam o mesmo endereço IP público. O novo comportamento é que o gateway tem sempre redundância zonal.
Availability:
O IP público atribuído automaticamente não está disponível para implantações de WAN Virtual (vWAN) ou Zona Estendida.
Conectividade de rede virtual para rede virtual e de rede virtual para WAN virtual
Por padrão, a conectividade de rede virtual para rede virtual e de rede virtual para WAN virtual é desativada por meio de um circuito ExpressRoute para todos os SKUs de gateway. Para habilitar essa conectividade, você deve configurar o gateway de rede virtual ExpressRoute para permitir esse tráfego. Para obter mais informações, consulte as orientações sobre conectividade de rede virtual pela Rota Expressa. Para habilitar esse tráfego, consulte Habilitar conectividade de rede virtual para rede virtual ou rede virtual para WAN virtual por meio da Rota Expressa.
FastPath
O ExpressRoute FastPath melhora o desempenho do percurso de dados entre a sua rede local e a sua rede virtual. Quando ativado, o FastPath envia tráfego de rede diretamente para as máquinas virtuais na rede virtual, contornando o gateway.
Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.
Conectividade do ponto final privado
O gateway de rede virtual ExpressRoute facilita a conectividade a endpoints privados implementados na mesma rede virtual e através de redes virtuais emparelhadas.
Important
- A capacidade do plano de comutação e controlo para a conectividade com recursos de ponto de extremidade privados pode ser diminuída para metade em comparação com a conectividade com recursos de ponto de extremidade não privados.
- Durante um período de manutenção, você pode enfrentar problemas intermitentes de conectividade com recursos de ponto de extremidade privados.
- É necessário garantir que a configuração local, incluindo as definições de router e firewall, estejam corretamente configuradas para que os pacotes do IP 5-tuple utilizem um único salto seguinte (router Microsoft Enterprise Edge), a menos que haja um evento de manutenção. Se a configuração do firewall ou roteador local estiver fazendo com que a mesma tupla IP 5 alterne frequentemente os próximos saltos, você enfrentará problemas de conectividade.
- Certifique-se de que as políticas de rede (no mínimo, para suporte UDR) estejam habilitadas na(s) sub-rede(s) onde os pontos de extremidade privados são implantados
Conectividade de ponto final privado e eventos de manutenção planejada
A conectividade de ponto final privado é com estado. Quando estabeleces uma ligação a um ponto final privado através do peering privado do ExpressRoute, a infraestrutura do gateway encaminha as ligações de entrada e saída através de uma das suas instâncias de back-end. Durante eventos de manutenção, as instâncias back-end reiniciam uma de cada vez, o que pode causar problemas intermitentes de conectividade.
Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, defina o valor de tempo limite TCP para cair entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base nos requisitos do seu aplicativo.
APIs REST e os cmdlets do PowerShell
Para recursos técnicos e requisitos específicos de sintaxe ao utilizar APIs REST e cmdlets PowerShell para configurações de gateway de rede virtual, veja:
| Classic | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
Conectividade de rede virtual para rede virtual
Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito de Rota Expressa. Não recomendamos o uso do circuito ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que utilize peering de rede virtual. Para obter mais informações sobre por que a conectividade de rede virtual para rede virtual não é recomendada na Rota Expressa, consulte Conectividade entre redes virtuais pela Rota Expressa.
Limites de peering de rede virtual
Uma rede virtual com um gateway ExpressRoute pode ter peering de rede virtual com até 500 outras redes virtuais. Redes virtuais sem gateway ExpressRoute podem ter limites de peering mais elevados.