Compartilhar via


Sobre os gateways de rede virtual do ExpressRoute

Para conectar sua rede virtual do Azure e sua rede local por meio do ExpressRoute, primeiro você deve criar um gateway de rede virtual. Um gateway de rede virtual tem duas finalidades: trocar rotas de IP entre as redes e rotear o tráfego da rede. Este artigo explica os diferentes tipos de gateway, as SKUs de gateway e o desempenho estimado por SKU. Este artigo também explica o ExpressRoute FastPath, um recurso que permite que o tráfego de rede da sua rede local ignore o gateway da rede virtual para melhorar o desempenho.

Tipos de gateway

Quando você cria um gateway de rede virtual, precisa especificar várias configurações. Uma das configurações necessárias, -GatewayType, especifica se o gateway é usado para tráfego de VPN ou ExpressRoute. Os dois tipos de gateway são:

  • Vpn - Para enviar tráfego criptografado pela Internet pública, use o tipo de gateway 'Vpn'. Esse tipo de gateway também é chamado de gateway de VPN. As conexões Site a Site, Ponto a Site e VNet a VNet usam um gateway VPN.

  • ExpressRoute - Para enviar tráfego em uma conexão privada, use o tipo de gateway 'ExpressRoute'. Esse tipo de gateway também é chamado de gateway ExpressRoute e é usado na configuração do ExpressRoute.

Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, você pode ter um gateway de rede virtual que usa Vpn -GatewayType, e outro que usa ExpressRoute -GatewayType.

SKUs de gateway

Ao criar um gateway de rede virtual, você precisa especificar o SKU do gateway que você deseja usar. Quando você seleciona um SKU de gateway maior, mais CPUs e largura de banda da rede são alocados para o gateway e como resultado, o gateway pode dar suporte a uma taxa de transferência de rede mais alta para a rede virtual.

Os gateways de rede virtual de ExpressRoute podem usar os seguintes SKUs:

  • ERGwScale (versão prévia)
  • Standard
  • HighPerformance
  • UltraPerformance
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

Se você quiser atualizar seu gateway para um SKU de gateway de maior capacidade, poderá usar a ferramenta Migração de Gateway Contínua no portal do Azure ou no PowerShell. Há suporte para as seguintes atualizações:

  • SKU não habilitado para Az em IP Básico para SKU não habilitado para Az em IP Standard.
  • SKU não habilitado para Az em IP Básico para SKU habilitado para Az em IP Standard.
  • SKU não habilitado para Az em IP Standard para SKU habilitado para Az em IP Standard.

Para obter mais informações, consulte Migrar para um gateway habilitado para zona de disponibilidade.

Para todos os outros cenários de downgrade, você precisa excluir e recriar o gateway. Recriar um gateway incorre em tempo de inatividade.

Sub-rede do gateway

Antes de criar um gateway de ExpressRoute, crie uma sub-rede de gateway. A sub-rede de gateway contém os endereços IP que as VMs do gateway de rede virtual e os serviços usam. Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de ExpressRoute. Nunca implante mais nada na sub-rede de gateway. A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. Nomear a sub-rede de gateway de 'GatewaySubnet' permite que o Azure saiba implantar as VMs de gateway de rede virtual e serviços nessa sub-rede.

Observação

  • Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0 e NSGs no GatewaySubnet. Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas BGP deve ser definida como "Habilitada" no GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver definida como desabilitada, o gateway de rede não funcionará.

  • O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.

  • Não recomendamos implantar o Resolvedor Privado de DNS do Azure em uma rede virtual que tenha um gateway de rede virtual do ExpressRoute e definir regras curinga para direcionar toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de gateway ExpressRoute/VPN coexistente requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, é aconselhável que você verifique se sua sub-rede de gateway contém endereços IP suficientes para acomodar possíveis configurações futuras. Recomendamos que você crie uma sub-rede de gateways de /27 ou maior (/27, /26 etc). Se você planeja conectar 16 circuitos do ExpressRoute ao seu gateway, você precisa criar uma sub-rede de gateway de /26 ou maior. Se você estiver criando uma sub-rede de gateway de pilha dupla, é recomendável que você também use um intervalo IPv6 de /64 ou maior. Essa configuração acomoda a maioria das configurações.

O exemplo de PowerShell do Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?

Limitações e desempenho do gateway de rede virtual

Suporte de recurso por SKU de gateway

A tabela a seguir mostra os recursos com suporte em cada tipo de gateway e o número máximo de conexões de circuito do ExpressRoute com suporte por cada SKU de gateway.

SKU de gateway Coexistência de Gateway de VPN e ExpressRoute FastPath Número máximo de conexões de circuito
SKU Standard/ERGw1Az Sim Não 4
SKU de Alto Desempenho/ERGw2Az Sim Não 8
SKU de Ultra Desempenho/ErGw3Az Sim Sim 16
ErGwScale (versão prévia) Sim Sim – mínimo de 10 unidades de escala 4 – mínimo de 1 unidade de escala
8 – mínimo de 2 unidades de escala
16 – mínimo de 10 unidades de escala

Observação

O número máximo de circuitos do ExpressRoute do mesmo local de emparelhamento que pode se conectar à mesma rede virtual é 4, para todos os gateways.

Desempenhos estimados por SKU de gateway

As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respectivas limitações e as métricas de desempenho esperadas. Esses números são derivados das seguintes condições de teste e representam os limites máximos de suporte. O desempenho real pode variar, dependendo da proximidade em que o tráfego replica as condições de teste.

Condições de teste

SKU de gateway Tráfego enviado do local Número de rotas anunciadas pelo gateway Número de rotas aprendidas pelo gateway
Standard/ERGw1Az 1 Gbps 500 4000
Alto Desempenho/ERGw2Az 2 Gbps 500 9\.500
Ultra Desempenho/ErGw3Az 10 Gbps 500 9\.500
ErGwScale (por unidade de escala) 1 Gbps 500 4.000

Observação

O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de rede virtual, rede local e quaisquer conexões de peering de rede virtual relevantes. Para garantir a estabilidade da sua conexão do ExpressRoute, evite anunciar mais de 11.000 rotas para o ExpressRoute.

Resultados de desempenho

Essa tabela se aplica tanto aos modelos de implantação clássicos quanto do Azure Resource Manager.

SKU de gateway Megabits por segundo Pacotes por segundo Número de VMs com suporte na rede virtual1 Limite do número de fluxos
Standard/ERGw1Az 1.000 100.000 2.000 200.000
Alto Desempenho/ERGw2Az 2\.000 200.000 4\.500 400.000
Ultra Desempenho/ErGw3Az 10.000 1\.000.000 11.000 1\.000.000
ErGwScale (por unidade de escala) 1.000 100.000 2.000 100.000 por unidade de escala

1 Os valores na tabela são estimativas e variam de acordo com a utilização da CPU pelo gateway. Se a utilização da CPU for alta e o número de VMs compatíveis for excedido, o gateway começará a descartar pacotes.

Importante

  • O desempenho do aplicativo depende de vários fatores, como a latência de ponta a ponta e o número de fluxos de tráfego abertos pelo aplicativo. Os números na tabela representam o limite superior que o aplicativo, teoricamente, pode atingir em um ambiente ideal. Além disso, a Microsoft realiza manutenções periódicas de sistema operacional e host no gateway de rede virtual do ExpressRoute para manter o serviço confiável. Durante o período de manutenção, a capacidade do painel de controle e do caminho de dados do gateway é reduzida.
  • Durante um período de manutenção, você pode enfrentar problemas de conectividade intermitente nos recursos do ponto de extremidade privado.
  • O ExpressRoute dá suporte a um tamanho máximo de pacote TCP e UDP com 1.400 bytes. O tamanho do pacote maior que 1.400 bytes será fragmentado.
  • O Servidor de Rota do Azure pode dar suporte a até 4.000 VMs. Esse limite inclui VMs em redes virtuais que são emparelhadas. Para obter mais informações, confira Limitações do Servidor de Rota do Azure.

SKUs de gateway redundantes de zona

Também é possível implantar gateways do ExpressRoute em Zonas de Disponibilidade do Azure. Essa configuração as separa fisicamente e logicamente em Zonas de disponibilidade diferentes, protegendo a conectividade de rede local com o Azure de falhas de nível de zona.

Gateway do ExpressRoute com redundância de zona

Gateways com redundância de zona usam novas SKUs de gateways específicas para gateway do ExpressRoute.

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ
  • ErGwScale (versão prévia)

As novas SKUs de gateway também dão suporte a outras opções de implantação para melhor atender às suas necessidades. Ao criar um gateway de rede virtual usando as novas SKUs de gateway, você pode implantar o gateway em uma zona específica. Esse tipo de gateway é chamado de gateway em zona. Ao implantar um gateway em zona, todas as instâncias do gateway são implantadas na mesma zona de disponibilidade.

Para saber mais sobre como migrar um gateway do ExpressRoute, consulte Migração do Gateway.

Gateway escalonável do ExpressRoute (versão prévia)

O SKU do gateway de rede virtual ErGwScale permite que você obtenha conectividade de 40 Gbps com VMs e pontos de extremidade privados na rede virtual. Esse SKU permite que você defina uma unidade de escala mínima e uma máxima para a infraestrutura de gateway de rede virtual, que é dimensionada automaticamente com base na largura de banda ativa. Você também pode definir uma unidade de escala fixa para manter uma conectividade constante com um valor de largura de banda desejado.

Implantação de zona de disponibilidade e disponibilidade regional

O ErGwScale dá suporte a implantações zonais e com redundância zonal nas zonas de disponibilidade do Azure. Para obter mais informações sobre esses conceitos, examine a documentação Serviços zonais e serviços com redundância de zona.

O ErGwScale está disponível em versão prévia nas seguintes regiões:

  • Leste da Austrália
  • Brazil South
  • Canadá Central
  • Leste dos EUA
  • Leste da Ásia
  • França Central
  • Centro-Oeste da Alemanha
  • Centro da Índia
  • Norte da Itália
  • Norte da Europa
  • Leste da Noruega
  • Suécia Central
  • Norte dos EAU
  • Sul do Reino Unido
  • Oeste dos EUA 2
  • Oeste dos EUA 3

Dimensionamento automático versus unidade de escala fixa

A infraestrutura de gateway de rede virtual é dimensionada automaticamente entre as unidades de escala mínima e máxima configuradas, com base na utilização da largura de banda ou contagem de fluxo. Operações de escala podem levar até 30 minutos para serem concluídas. Se você quiser obter uma conectividade fixa com um valor de largura de banda específico, poderá configurar uma unidade de escala fixa definindo a unidade de escala mínima e a unidade de escala máxima com o mesmo valor.

Limitações

  • IP Básico: o ErGwScale não dá suporte ao SKU de IP Básico. Você precisa usar um SKU de IP Standard para configurar o ErGwScale.
  • Unidades de escala mínimas e máximas: você pode configurar a unidade de escala para o ErGwScale entre 1 e 40. A unidade de escala mínima não pode ser inferior a 1 e a unidade de escala máxima não pode ser maior que 40.
  • Cenários de migração: você não pode migrar do Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az para o ErGwScale na Visualização pública.

Preços

O ErGwScale é gratuito durante a visualização pública. Para obter informações sobre os preços do ExpressRoute, consulte os Preços do Azure ExpressRoute.

Desempenho estimado por unidade de escala

Desempenho com suporte por unidade de escala

Unidades da escala Largura de Banda (Gbps) Pacotes por segundo Conexões por segundo Máximo de conexões de VM 1 Número máximo de fluxos
1-10 1 100.000 7.000 2\.000 100.000
11-40 1 100.000 7.000 1,000 100.000

Desempenho de exemplo com unidade de escala

Unidades da escala Largura de Banda (Gbps) Pacotes por segundo Conexões por segundo Máximo de conexões de VM 1 Número máximo de fluxos
10 10 1\.000.000 70.000 20.000 1\.000.000
20 20 2.000.000 140.000 30,000 2.000.000
40 40 4\.000.000 280.000 50.000 4\.000.000

1 O máximo de conexões de VM é dimensionado de forma diferente além de 10 unidades de escala. As primeiras 10 unidades de escala fornecem capacidade para 2.000 VMs por unidade de escala. As unidades de escala 11 e superiores fornecem capacidade de VM adicional de 1.000 por unidade de escala.

Conectividade de VNet para VNet e de VNet para WAN Virtual

Por padrão, a conectividade de VNet para VNet e de VNet para WAN Virtual é desabilitada por meio de um circuito do ExpressRoute para todas as SKUs de gateway. Para habilitar essa conectividade, você precisa configurar o gateway de rede virtual do ExpressRoute para permitir esse tráfego. Para obter mais informações, confira as diretrizes sobre conectividade de rede virtual por meio do ExpressRoute. Para habilitar esse tráfego, consulte Habilitar conectividade de VNet para VNet ou de VNet para WAN Virtual por meio do ExpressRoute.

FastPath

O gateway de rede virtual ExpressRoute foi projetado para trocar rotas de rede e rotear o tráfego de rede. O FastPath foi desenvolvido para melhorar o desempenho do caminho de dados entre sua rede local e sua rede virtual. Quando habilitado, o FastPath envia o tráfego de rede diretamente às máquinas virtuais na rede virtual, ignorando o gateway.

Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.

Conectividade com pontos de extremidade privado

O gateway de rede virtual do ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual que o gateway de rede virtual e nos pares de rede virtual.

Importante

  • A capacidade da taxa de transferência e do painel de controle para conectividade a recursos do ponto de extremidade privado pode ser reduzida pela metade em comparação com a conectividade a recursos de ponto de extremidade não privados.
  • Durante um período de manutenção, você pode enfrentar problemas de conectividade intermitente nos recursos do ponto de extremidade privado.
  • Você precisa garantir que a configuração local, incluindo configurações de roteador e firewall, estejam configurada corretamente para garantir que os pacotes para as 5 tuplas do IP transitem por meio de um único próximo salto (roteador do Microsoft Enterprise Edge – MSEE), a menos que haja um evento de manutenção. Se a configuração de firewall ou roteador local estiver fazendo com que as mesmas 5 tuplas do IP alternem com frequência os próximos saltos, você terá problemas de conectividade.

Conectividade de ponto de extremidade privado e eventos de manutenção planejada

A conectividade de ponto de extremidade privado tem estado. Quando uma conexão com um ponto de extremidade privado é estabelecida por meio do emparelhamento privado do ExpressRoute, as conexões de entrada e saída são roteadas por meio de uma das instâncias de back-end da infraestrutura de gateway. Durante um evento de manutenção, as instâncias de back-end da infraestrutura de gateway de rede virtual são reinicializadas uma de cada vez, o que pode causar problemas intermitentes de conectividade.

Para evitar ou minimizar os problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, recomendamos definir o valor de tempo limite do TCP entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base em seus requisitos de aplicativo.

Cmdlets do PowerShell e APIs REST

Para obter mais recursos técnicos e requisitos de sintaxe específicos ao usar cmdlets do PowerShell e APIs REST para configurações do gateway de rede virtual, confira as páginas a seguir:

Clássico Resource Manager
PowerShell PowerShell
REST API REST API

Conectividade entre VNets

Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito do ExpressRoute. A Microsoft recomenda não usar o circuito do ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que você use o emparelhamento de rede virtual. Para obter mais informações sobre o motivo da conectividade entre VNets não ser recomendado no ExpressRoute, confira Conectividade entre redes virtuais pelo ExpressRoute.

Emparelhamento de rede virtual

Uma rede virtual com um gateway do ExpressRoute pode ter emparelhamento de rede virtual com até 500 outras redes virtuais. O emparelhamento de rede virtual sem um gateway do ExpressRoute pode ter uma limitação de emparelhamento maior.

Próximas etapas