Partilhar via


Acerca dos gateways de rede virtual do ExpressRoute

Para conectar sua rede virtual do Azure e sua rede local usando a Rota Expressa, você deve primeiro criar um gateway de rede virtual. Um gateway de rede virtual serve duas finalidades: trocar rotas IP entre as redes e rotear o tráfego da rede. Este artigo explica diferentes tipos de gateway, SKUs de gateway e desempenho estimado por SKU. Este artigo também explica o ExpressRoute FastPath, um recurso que permite que o tráfego de rede da sua rede local ignore o gateway de rede virtual para melhorar o desempenho.

Tipos de gateway

Ao criar um gateway de rede virtual, você precisa especificar várias configurações. Uma das configurações necessárias, -GatewayType, especifica se o gateway é usado para tráfego de Rota Expressa ou VPN. Os dois tipos de gateway são:

  • Vpn - Para enviar tráfego criptografado pela Internet pública, use o tipo de gateway 'Vpn'. Esse tipo de gateway também é conhecido como gateway VPN. As ligações Sites para Site, Ponto para site e VNet para VNet utilizam todas um gateway de VPN.

  • ExpressRoute - Para enviar tráfego de rede em uma conexão privada, use o tipo de gateway 'ExpressRoute'. Esse tipo de gateway também é conhecido como gateway de Rota Expressa e é usado ao configurar a Rota Expressa.

Cada rede virtual pode ter apenas um gateway de rede virtual por tipo de gateway. Por exemplo, você pode ter um gateway de rede virtual que usa -GatewayType VPN e outro que usa -GatewayType a Rota Expressa.

SKUs de Gateway

Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Quando seleciona um SKU de gateway superior, são alocadas mais CPUs e largura de banda ao gateway e, como resultado, este consegue suportar um débito de rede mais alto para a rede virtual.

Os gateways de rede virtual ExpressRoute podem usar as seguintes SKUs:

  • ERGwScale (Pré-visualização)
  • Standard
  • HighPerformance
  • Ultradesempenho
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

Se quiser atualizar seu gateway para uma SKU de gateway de maior capacidade, você pode usar a ferramenta Migração de Gateway Contínuo no portal do Azure ou no PowerShell. As seguintes atualizações são suportadas:

  • SKU não habilitado para AZ no IP básico para SKU habilitado para não Az no IP padrão.
  • SKU não habilitado para Az no IP básico para SKU habilitado para Az no IP padrão.
  • SKU não habilitado para Az no IP padrão para SKU habilitado para Az no IP padrão.

Para obter mais informações, consulte Migrar para um gateway habilitado para zona de disponibilidade.

Para todos os outros cenários de downgrade, você precisa excluir e recriar o gateway. Recriar um gateway incorre em tempo de inatividade.

Sub-rede de gateway

Antes de criar um gateway de Rota Expressa, você deve criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs e os serviços do gateway de rede virtual usam. Quando você cria seu gateway de rede virtual, as VMs de gateway são implantadas na sub-rede do gateway e configuradas com as configurações de gateway de Rota Expressa necessárias. Nunca implante mais nada na sub-rede do gateway. A sub-rede do gateway deve ser denominada 'GatewaySubnet' para funcionar corretamente. Nomear a sub-rede do gateway como 'GatewaySubnet' permite que o Azure saiba implantar as VMs e os serviços do gateway de rede virtual nessa sub-rede.

Nota

  • Não há suporte para rotas definidas pelo usuário com destino 0.0.0.0/0 e NSGs na GatewaySubnet. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP deve ser definida como "Enabled" na GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação da rota BGP estiver definida como desativada, o gateway não irá funcionar.

  • O diagnóstico, o caminho de dados e o caminho de controlo podem ser afetados se uma rota definida pelo utilizador se sobrepuser ao intervalo da sub-rede do Gateway ou ao intervalo de IP público do gateway.

  • Não recomendamos implantar o Resolvedor Privado de DNS do Azure em uma rede virtual que tenha um gateway de rede virtual de Rota Expressa e definir regras curinga para direcionar toda a resolução de nomes para um servidor DNS específico. Essa configuração pode causar problemas de conectividade de gerenciamento.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços de gateway do gateway. Algumas configurações requerem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência de Rota Expressa/Gateway VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, convém certificar-se de que a sub-rede do gateway contém endereços IP suficientes para acomodar possíveis configurações futuras. Recomendamos que você crie uma sub-rede de gateway de /27 ou maior (/27, /26 etc.). Se você planeja conectar 16 circuitos de Rota Expressa ao seu gateway, deverá criar uma sub-rede de gateway de /26 ou maior. Se você estiver criando uma sub-rede de gateway de pilha dupla, recomendamos que você também use um intervalo IPv6 de /64 ou maior. Esta configuração acomoda a maioria das configurações.

O exemplo do PowerShell do Gerenciador de Recursos a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre os grupos de segurança de rede, veja O que é um grupo de segurança de rede (NSG)?

Limitações e desempenho do gateway de rede virtual

Suporte a recursos por gateway SKU

A tabela a seguir mostra os recursos suportados em cada tipo de gateway e o número máximo de conexões de circuito de Rota Expressa suportadas por cada SKU de gateway.

SKU do Gateway Coexistência entre VPN Gateway e ExpressRoute FastPath Número máximo de conexões de circuito
Padrão SKU/ERGw1Az Sim No 4
Alto Perf SKU/ERGw2Az Sim No 8
Ultra Performance SKU/ErGw3Az Sim Sim 16
ErGwScale (Pré-visualização) Sim Sim - mínimo 10 unidades de escala 4 - mínimo 1 unidade de escala
8 - mínimo de 2 unidades de escala
16 - mínimo de 10 unidades de escala

Nota

O número máximo de circuitos de Rota Expressa do mesmo local de emparelhamento que podem se conectar à mesma rede virtual é 4 para todos os gateways.

Desempenhos estimados por SKU do gateway

As tabelas a seguir fornecem uma visão geral dos diferentes tipos de gateways, suas respetivas limitações e suas métricas de desempenho esperado. Esses números são derivados das seguintes condições de teste e representam os limites máximos de suporte. O desempenho real pode variar, dependendo da proximidade com que o tráfego replica essas condições de teste.

Condições de ensaio

SKU do Gateway Tráfego enviado a partir do local Número de rotas anunciadas pelo gateway Número de rotas aprendidas pelo gateway
Standard/ERGw1Az 1 Gbps 500 4000
Elevado Desempenho/ERGw2Az 2 Gbps 500 9500
Ultra Desempenho/ErGw3Az 10 Gbps 500 9500
ErGwScale (por unidade de escala) 1 Gbps 500 4,000

Nota

O ExpressRoute pode facilitar até 11.000 rotas que abrangem espaços de endereços de rede virtual, rede local e quaisquer conexões de emparelhamento de rede virtual relevantes. Para garantir a estabilidade da sua conexão de Rota Expressa, evite anunciar mais de 11.000 rotas para a Rota Expressa.

Resultados de desempenho

Esta tabela aplica-se ao Azure Resource Manager e aos modelos de implementação clássicos.

SKU do Gateway Megabits por segundo Pacotes por segundo Número suportado de VMs na rede virtual 1 Limite de contagem de fluxo
Standard/ERGw1Az 1,000 100.000 2.000 200,000
Elevado Desempenho/ERGw2Az 2.000 200,000 4500 400,000
Ultra Desempenho/ErGw3Az 10,000 1 000 000 11 000 1.000.000
ErGwScale (por unidade de escala) 1,000 100.000 2.000 100.000 por unidade de escala

1 Os valores na tabela são estimativas e variam dependendo da utilização da CPU do gateway. Se a utilização da CPU for alta e o número de VMs suportadas for excedido, o gateway começará a descartar pacotes.

Importante

  • O desempenho do aplicativo depende de vários fatores, como latência de ponta a ponta e o número de fluxos de tráfego que o aplicativo abre. Os números na tabela representam o limite superior que a aplicação pode teoricamente alcançar em um ambiente ideal. Além disso, a Microsoft executa a manutenção de rotina do host e do sistema operacional no gateway de rede virtual ExpressRoute, para manter a confiabilidade do serviço. Durante um período de manutenção, o plano de controlo e a capacidade do caminho de dados do gateway ficam reduzidos.
  • Durante um período de manutenção, poderá deparar-se com problemas intermitentes de conectividade a recursos de pontos finais privados.
  • O ExpressRoute suporta um tamanho máximo de pacotes TCP e UDP de 1400 bytes. Tamanho de pacote maior que 1400 bytes ficará fragmentado.
  • O Azure Route Server pode suportar até 4000 VMs. Esse limite inclui VMs em redes virtuais emparelhadas. Para obter mais informações, consulte Limitações do Azure Route Server.

SKUs de gateway com redundância de zona

Você também pode implantar gateways de Rota Expressa nas Zonas de Disponibilidade do Azure. Essa configuração os separa física e logicamente em diferentes Zonas de Disponibilidade, protegendo sua conectividade de rede local com o Azure de falhas no nível da zona.

Gateway de Rota Expressa com redundância de zona

Os gateways com redundância de zona usam novas SKUs de gateway específicas para gateway de Rota Expressa.

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ
  • ErGwScale (Pré-visualização)

Os novos SKUs de gateway também suportam outras opções de implantação para melhor atender às suas necessidades. Ao criar um gateway de rede virtual usando as novas SKUs de gateway, você pode implantar o gateway em uma zona específica. Esse tipo de gateway é conhecido como gateway zonal. Quando você implanta um gateway zonal, todas as instâncias do gateway são implantadas na mesma zona de disponibilidade.

Para saber mais sobre como migrar um gateway de Rota Expressa, consulte Migração de gateway.

Gateway escalável da Rota Expressa (Visualização)

O SKU do gateway de rede virtual ErGwScale permite que você obtenha conectividade de 40 Gbps para VMs e pontos de extremidade privados na rede virtual. Essa SKU permite definir uma unidade de escala mínima e máxima para a infraestrutura de gateway de rede virtual, que é dimensionada automaticamente com base na largura de banda ativa ou na contagem de fluxo. Você também pode definir uma unidade de escala fixa para manter uma conectividade constante em um valor de largura de banda desejado.

Implantação da zona de disponibilidade & disponibilidade regional

O ErGwScale dá suporte a implantações com redundância zonal e zonal em zonas de disponibilidade do Azure. Para obter mais informações sobre esses conceitos, consulte a documentação de serviços com redundância de zona e zona.

ErGwScale está disponível em pré-visualização nas seguintes regiões:

  • Leste da Austrália
  • Sul do Brasil
  • Canadá Central
  • E.U.A. Leste
  • Ásia Leste
  • França Central
  • Alemanha Centro-Oeste
  • Índia Central
  • Norte da Itália
  • Europa do Norte
  • Leste da Noruega
  • Suécia Central
  • Norte dos E.A.U.
  • Sul do Reino Unido
  • E.U.A. Oeste 2
  • EUA Oeste 3

Dimensionamento automático vs. unidade de escala fixa

A infraestrutura do gateway de rede virtual é dimensionada automaticamente entre a unidade de escala mínima e máxima configurada, com base na utilização da largura de banda ou da contagem de fluxo. As operações de dimensionamento podem levar até 30 minutos para serem concluídas. Se você quiser obter uma conectividade fixa em um valor de largura de banda específico, poderá configurar uma unidade de escala fixa definindo a unidade de escala mínima e a unidade de escala máxima para o mesmo valor.

Limitações

  • IP básico: ErGwScale não suporta o SKU IP básico. Você precisa usar um SKU IP padrão para configurar o ErGwScale.
  • Unidades de escala mínima e máxima: Você pode configurar a unidade de escala para ErGwScale entre 1-40. A unidade de escala mínima não pode ser inferior a 1 e a unidade de escala máxima não pode ser superior a 40.
  • Cenários de migração: não é possível migrar de Standard/ErGw1Az, HighPerf/ErGw2Az/UltraPerf/ErGw3Az para ErGwScale na visualização pública.

Preços

O ErGwScale é gratuito durante a pré-visualização pública. Para obter informações sobre os preços da Rota Expressa, consulte Preços da Rota Expressa do Azure.

Desempenho estimado por unidade de escala

Desempenho suportado por unidade de escala

Unidade de escala Largura de banda (Gbps) Pacotes por segundo Ligações por segundo Máximo de conexões VM 1 Número máximo de fluxos
1-10 1 100.000 7000 2.000 100.000
11-40 1 100.000 7000 1,000 100.000

Desempenho da amostra com unidade de escala

Unidade de escala Largura de banda (Gbps) Pacotes por segundo Ligações por segundo Máximo de conexões VM 1 Número máximo de fluxos
10 10 1.000.000 70,000 20.000 1.000.000
20 20 2,000,000 140,000 30 000 2,000,000
40 40 4,000,000 280,000 50 000 4,000,000

1 O máximo de conexões VM é dimensionado de forma diferente além de 10 unidades de escala. As primeiras 10 unidades de escala fornecem capacidade para 2.000 VMs por unidade de escala. As unidades de escala 11 e superiores fornecem mais 1.000 VM de capacidade por unidade de escala.

Conectividade VNet para VNet e VNet para WAN Virtual

Por padrão, a conectividade VNet para VNet e VNet para WAN Virtual é desabilitada por meio de um circuito ExpressRoute para todas as SKUs de gateway. Para habilitar essa conectividade, você deve configurar o gateway de rede virtual ExpressRoute para permitir esse tráfego. Para obter mais informações, consulte as orientações sobre conectividade de rede virtual pela Rota Expressa. Para habilitar esse tráfego, consulte Habilitar VNet para VNet ou VNet para conectividade WAN Virtual por meio da Rota Expressa.

FastPath

O Gateway de rede virtual do ExpressRoute foi concebido para trocar rotas de rede e encaminhar o tráfego de rede. O FastPath foi concebido para melhorar o desempenho do caminho de dados entre a rede no local e a rede virtual. Quando ativado, o FastPath envia o tráfego de rede diretamente para as máquinas virtuais na rede virtual, ao ignorar o gateway.

Para obter mais informações sobre o FastPath, incluindo limitações e requisitos, consulte Sobre o FastPath.

Conectividade com terminais privados

O gateway de rede virtual ExpressRoute facilita a conectividade com pontos de extremidade privados implantados na mesma rede virtual que o gateway de rede virtual e entre pares de rede virtual.

Importante

  • A capacidade do plano de transferência e controle para conectividade com recursos de ponto final privados pode ser reduzida pela metade em comparação com a conectividade com recursos de ponto final não privados.
  • Durante um período de manutenção, poderá deparar-se com problemas intermitentes de conectividade a recursos de pontos finais privados.
  • Você precisa garantir que sua configuração local, incluindo as configurações de roteador e firewall, estejam corretamente configuradas para garantir que os pacotes para os trânsitos de 5 tuplas IP usem um único salto seguinte (Microsoft Enterprise Edge router - MSEE), a menos que haja um evento de manutenção. Se a configuração do firewall ou roteador local estiver fazendo com que a mesma tupla IP 5 alterne frequentemente os próximos saltos, você terá problemas de conectividade.

Conectividade de ponto final privado e eventos de manutenção planejada

A conectividade de ponto final privado é stateful. Quando uma conexão com um ponto de extremidade privado é estabelecida por meio do emparelhamento privado da Rota Expressa, as conexões de entrada e saída são roteadas por meio de uma das instâncias de back-end da infraestrutura de gateway. Durante um evento de manutenção, as instâncias de back-end da infraestrutura de gateway de rede virtual são reinicializadas uma de cada vez, o que pode levar a problemas intermitentes de conectividade.

Para evitar ou minimizar problemas de conectividade com pontos de extremidade privados durante as atividades de manutenção, recomendamos definir o valor de tempo limite TCP para cair entre 15 e 30 segundos em seus aplicativos locais. Teste e configure o valor ideal com base nos requisitos do seu aplicativo.

APIs REST e cmdlets do PowerShell

Para obter mais recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST e cmdlets do PowerShell para configurações de gateway de rede virtual, consulte as seguintes páginas:

Clássico Resource Manager
PowerShell PowerShell
API REST API REST

Conectividade VNet-to-VNet

Por padrão, a conectividade entre redes virtuais é habilitada quando você vincula várias redes virtuais ao mesmo circuito de Rota Expressa. A Microsoft recomenda não usar o circuito ExpressRoute para comunicação entre redes virtuais. Em vez disso, recomendamos que você use o emparelhamento de rede virtual. Para obter mais informações sobre por que a conectividade VNet-to-VNet não é recomendada na Rota Expressa, consulte Conectividade entre redes virtuais pela Rota Expressa.

Peering de rede virtual

Uma rede virtual com um gateway de Rota Expressa pode ter emparelhamento de rede virtual com até 500 outras redes virtuais. O emparelhamento de rede virtual sem um gateway de Rota Expressa pode ter uma limitação de emparelhamento maior.

Próximos passos