对 Azure 虚拟网络网关的改进

YU-SHUN
WANG Azure 网络高级项目经理

在 2014 年欧洲 TechEd 大会上，我们宣布了对Azure 虚拟网络网关的多项改进：

1.  高性能网关 SKU

2.  Azure 虚拟网络网关操作日志

3.  支持 PFS（完美转发保密）

4.  S2S 隧道支持不加密选项

我们将概述每项新功能并提供这些新功能的使用说明。

概述

Azure 虚拟网络网关作为跨云和内部部署的网关，可以将 Azure 虚拟网络中的工作负载连接到内部部署站点。使用 IPsec S2SVPN 隧道或 ExpressRoute 线路连接内部部署站点时, 它是必须的。对于IPsec/IKE VPN 隧道，网关会执行 IKE 握手，然后在内部部署站点之间建立 IPsec S2SVPN 隧道。对于 ExpressRoute，网关会通过对等线路通知虚拟网络中的前缀，也会将数据包从 ExpressRoute 线路转发到虚拟网络内的VM 上。

下图所示为带有多个跨界连接选项的 Azure 虚拟网络网关概念图：

高性能网关

为了给跨云和内部部署的连接提供更高的吞吐量和更多的 S2S VPN 隧道，我们发布了新的Azure 虚拟网络网关 SKU：高性能网关。下表所示为当前网关和高性能网关的初始吞吐量合计值和S2S VPN 隧道规格：

网关 SKU	ExpressRoute 吞吐量*	S2S VPN 吞吐量*	最大 S2S 隧道数
默认	~500Mbps	~80Mbps	10 个
高性能	~1000Mbps	~200Mbps	30 个

* 请注意，实际吞吐量会因流量状况和应用程序行为的不同而发生变化。

高性能网关定价：

·   每个网关每小时0.49 美元

·   数据传输和跨VNet 流量的费率保持不变

高性能网关同时可用于 Azure 动态路由网关和 Azure ExpressRoute。不支持静态路由网关。以下 cmdlet 可用于创建新的高性能网关或者将现有网关升级到新 SKU：

创建高性能网关

Azure PowerShell cmdlet 中增加了一个新的选项New-AzureVNetGateway，用于指定 SKU。以下示例将为虚拟网络“MyAzureVNet”创建高性能网关：

PS D:\> New-AzureVNetGateway –VNetNameMyAzureVNet –GatewayTypeDynamicRouting
–GatewaySKUHighPerformance

请注意，DynamicRouting 同时是 DynamicRouting 网关和专用 (ExpressRoute) 网关的 GatewayType。因此，该示例 cmdlet 也可用于创建虚拟网络网关，以连接 ExpressRoute 线路。

更新网关 SKU

以下 Resize-AzureVNetGateway cmdlet 可以更新 Azure 虚拟网络网关的 SKU：

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUHighPerformance

该示例 cmdlet 会将 MyAzureVNet 的网关从 Default 更改为 HighPerformance。您也可以将网关 SKU 从 High Performance 改回到 Default：

PS D:\> Resize-AzureVNetGateway –VNetNameMyAzureVNet –GatewaySKUDefault

网关操作日志

Azure 门户提供了“Management Services”（管理服务）选项卡，可以让 Azure 服务和组件报告操作日志。我们在框架中添加了 Azure 虚拟网络网关日志。现在您将可以获得以下有关 Azure VPN 网关和 Azure ExpressRoute 的事件集：

1.  网关创建和删除

2.  ExpressRoute 线路创建和删除

3.  ExpressRoute 线路链接授权、创建和删除

4.  ExpressRouteBGP 会话创建、删除和更新

以下屏幕截图显示了一个简单的示例：

请注意，以上所列初始事件集只是一个开始。我们将继续在日志中添加其他网关事件。

更多 IPsec/IKE VPN自定义选项

我们添加了另外两个选项，用于配置 IPsec/IKE S2S VPN 隧道 – PFS（完美转发保密）和不加密。

您现在可以通过该功能为每个隧道指定 PFS 及 IKE。不加密是 S2S VPN 隧道的新选项。该选项针对 Azure 内 VNet 到 VNet 之间的通信。Azure 虚拟网络网关之间的流量会留在 Microsoft 运营的网络内，包括跨区域通信。现在，该流量在默认情况下已加密。对于想要获得更高吞吐量的客户，我们提供了不加密选项，可以消除加密和解密开销。请注意，对于经过 Internet 的流量，不建议使用该选项，因为这会导致数据包在未加密的情况下被发送出去。建议仅对 Azure VNet 到 VNet
之间的通信使用该选项。

我们正在致力于使 PowerShell cmdlet 支持这两项功能。敬请关注。

如果你有任何疑问,
欢迎访问MSDN社区，由专家来为您解答Windows
Azure各种技术问题，或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。

本文翻译自：http://azure.microsoft.com/blog/2014/12/02/azure-virtual-network-gateway-improvements