关于网关 SKU

创建 VPN 网关虚拟网关时,需指定要使用的网关 SKU。 本文介绍选择网关 SKU 时应考虑的因素。 如果要查找有关 ExpressRoute 网关 SKU 的信息,请参阅 ExpressRoute 的虚拟网关。 有关虚拟 WAN 网关,请参阅虚拟 WAN 网关设置

配置虚拟网关 SKU 时,请根据工作负载的类型、吞吐量、功能和 SLA 选择满足要求的 SKU。 以下部分显示了在决定时应使用的相关信息。

注意

我们正在简化我们的 VPN 网关 SKU 组合,并会将所有非可用性区域 (AZ) 支持的 SKU 转换为 AZ 支持的 SKU。 有关详细信息和时间线,请参阅 VPN 网关 SKU 合并和迁移

按隧道、连接和吞吐量列出的网关 SKU

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余 虚拟网络中支持的 VM 数
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持 200
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支持 450
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支持 1300
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支持 4000
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支持 1000
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支持 2000
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支持 5000
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支持 685
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支持 2240
第 2 代 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps 支持 5300
第 2 代 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps 支持 6700
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支持 2000
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支持 3300
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps 支持 4400
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps 支持 9000

(*) 如果需要 100 多个 S2S VPN 隧道,请使用虚拟 WAN 而不是 VPN 网关。

其他信息

  • 由于基本 SKU 公共 IP 地址宣布于 2025 年 9 月 30 日停用,因此我们不再允许使用基本 SKU 公共 IP 地址创建新网关。 从 2023 年 12 月 1 日开始,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 此限制不适用于使用 VPN 网关基本网关 SKU 创建的新网关。 仍可以创建使用基本 SKU 公共 IP 地址的基本 SKU VPN 网关。

  • 基本网关 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本网关 SKU 不支持 RADIUS 身份验证。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 如果你有大量 P2S 连接,它可能会对 S2S 连接产生负面影响。 聚合吞吐量基准是通过最大化 S2S 和 P2S 连接的组合来测试的。 单个 P2S 或 S2S 连接的吞吐量可能会低很多。

  • 有关定价信息,请参阅定价页。

  • 有关 SLA(服务级别协议)信息,请参阅 SLA 页。

  • 由于 Internet 流量条件和应用程序行为,无法保证所有基准。

按性能排序的网关 SKU

本节中的表列出了 VpnGW SKU 的性能测试结果。 VPN 隧道连接到 VPN 网关实例。 在上一部分的吞吐量表中提到每个实例吞吐量,并且可在连接到该实例的所有隧道中聚合。 下表显示了不同网关 SKU 的每个隧道观察到的带宽和每秒数据包吞吐量。 所有测试都是在 Azure 内跨具有 100 个连接且具备标准负载条件的不同地区的网关(终结点)之间进行的。 我们使用公开提供的 iPerf 和 CTSTraffic 工具来衡量站点到站点连接的性能

  • 当我们使用 GCMAES256 算法实现 IPsec 加密和完整性时,获得了最佳性能。
  • 当使用 AES256 实现 IPsec 加密和使用 SHA256 实现完整性时,获得取了一般性能。
  • 当我们使用 DES3 实现 IPsec 加密和使用 SHA256 实现完整性时,获得了最低的性能。
代系 SKU 算法
(使用的)
吞吐量
按隧道观察到的
每隧道每秒数据包数
(观察到的)
第 1 代 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
第 1 代 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 1 代 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
第 1 代 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
第 1 代 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
第 2 代 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
第 2 代 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
第 2 代 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
第 2 代 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

按功能集列出的网关 SKU

SKU 功能
基本 (**) 基于路由的 VPN:用于 S2S /连接的 10 个隧道;无适用于 P2S 的 RADIUS 身份验证;无适用于 P2S 的 IKEv2
基于策略的 VPN:(IKEv1):1 个 S2S/连接隧道;无 P2S
除基本 SKU 外的所有第 1 代和第 2 代 SKU 基于路由的 VPN:最多 100 个隧道 (*)、P2S、BGP、主动-主动、自定义 IPsec/IKE 策略、ExpressRoute/VPN 共存

(*) 可以对“PolicyBasedTrafficSelectors”进行配置,以便将基于路由的 VPN 网关连接到多个本地基于策略的防火墙设备。 有关详细信息,请参阅使用 PowerShell 将 VPN 网关连接到多个本地的基于策略的 VPN 设备

(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。

网关 SKU - 生产与开发-测试工作负载

由于 SLA 和功能集的差异,建议使用以下 SKU 比较生产与开发-测试:

“工作负荷” SKU
生产、关键工作负荷 除基本 SKU 外的所有第 1 代和第 2 代 SKU
开发-测试或概念证明 基本 (\*\*)

(**) 基本 SKU 存在特定的功能和性能限制,不应将其用于生产。 使用基本 SKU 前,请验证所需功能是否受支持。 基本 SKU 不支持 IPv6,并且只能使用 PowerShell 或 Azure CLI 进行配置。 此外,基本 SKU 不支持 RADIUS 身份验证。

如果使用旧 SKU(旧版),则推荐使用的生产 SKU 为标准和高性能。 有关老版 SKU 的信息和说明,请参阅网关 SKU(旧版)

关于旧版 SKU

有关使用旧网关 SKU(标准和高性能)的信息,包括 SKU 弃用,请参阅管理旧网关 SKU

指定 SKU

创建 VPN 网关时,请指定网关 SKU。 如需了解步骤,请参阅以下文章:

更改或重设 SKU 大小

注意

如果使用的是旧版网关 SKU(标准和高性能),请参阅管理旧版网关 SKU

如果要移动到另一个 SKU,有多种方法可供选择。 选择的方法取决于从中开始的网关 SKU。

  • 重设 SKU 大小 重设 SKU 大小只会造成很短的故障时间。 无需按照工作流调整 SKU 大小。 可以在 Azure 门户中快速轻松地调整 SKU 的大小。 或者,也可以使用 PowerShell 或 Azure CLI。 无需重新配置 VPN 设备或 P2S 客户端。

  • 更改 SKU 如果无法重设 SKU 的大小,则可以使用特定的工作流更改 SKU。 更改 SKU 会产生比调整大小更多的停机。 此外,使用此方法时需要重新配置多个资源。

注意事项

转移到新的网关 SKU 时需要考虑许多事项。 本部分概述了主要项,并提供一个表,可帮助你选择要使用的最佳方法。

  • 无法调整大小以降级 SKU。
  • 无法将旧的 SKU 调整为较新的 Azure SKU 之一(VpnGw1、VpnGw2AZ 等)资源管理器部署模型的旧 SKU 为:“标准”和“高性能”。 必须改为更改 SKU。
  • 只要网关 SKU 位于同一代系,就可以调整网关 SKU 的大小,但基本 SKU 除外。
  • 可以将基本 SKU 更改为另一个 SKU。
  • 当从旧式 SKU 更改为新式 SKU 时,连接将会中断。
  • 更改为新网关 SKU 后,VPN 网关的公共 IP 地址将会更改。 即使指定了以前使用的公共 IP 地址对象,也会出现这种情况。
  • 如果有经典 VPN 网关,必须对该网关继续使用早期的旧式 SKU,但可以在旧式 SKU 之间重设网关大小。 但是,可以在可用于经典网关的旧 SKU 之间调整大小。 无法更改为新式 SKU。
  • 标准和高性能旧版 SKU 即将弃用。 请参阅《旧版 SKU 弃用》,以了解 SKU 迁移和升级时间线。

下表帮助你了解从一个 SKU 移动到另一个 SKU 所需的方法。

开始 SKU 目标 SKU 调整大小 更改
基本 SKU 任何其他 SKU
标准 SKU 新 Azure SKU
标准 SKU 高性能 SKU 不是必需
HighPerformance 新 Azure SKU
第 1 代 SKU 第 1 代 SKU 不是必需
第 1 代 SKU 第 1 代 AZ SKU
第 1 代 AZ SKU 第 1 代 AZ SKU 不是必需
第 1 代 AZ SKU 第 2 代 AZ SKU
第 2 代 SKU 第 2 代 SKU 不是必需
第 2 代 SKU 第 2 代 AZ SKU
第 2 代 AZ SKU 第 2 代 AZ SKU 不是必需

后续步骤

有关可用连接配置的详细信息,请参阅关于 VPN 网关