[解决方案] Azure VPN 网关上基本 SKU 公共 IP 地址的迁移到标准 SKU

[解决方案] Azure VPN 网关上基本 SKU 公共 IP 地址的迁移到标准 SKU   # Azure VPN Gateway SKU 迁移方案分析 ## 解决方案概述 Azure VPN Gateway 的 Basic SKU 公共 IP 地址将于 2025 年 9 月退休，为确保无缝连接并最小化服务中断，必须迁移至 Standard SKU。该方案针对 IT 专业人士，提供三种迁移策略的比较分析，核心目标是处理 IP 地址迁移的复杂性。**关键术语**：Basic SKU（即将退休）、Standard SKU（新标准）、VPN Gateway。适用于场景包括现有 Azure 环境中的 VPN 配置升级，针对企业网络连接需求。该方案基于 Azure 的网络服务原理，利用虚拟网络和公共 IP 管理，避免连接中断。 ## 实施步骤以下按原文所述的三种迁移方法分步说明，每步包括技术细节和逻辑衔接。 1. **使用 Microsoft 的迁移工具（推荐方法）** 1. **检查工具可用性**：通过 Azure 服务公告或 VPN Gateway 文档确认工具发布日期，确保兼容性（针对 Active-Passive 网关的 VpnGw1-5 SKU）。逻辑：先验证以避免失败。 2. **迁移准备**： - 验证网关子网：确保为 /27 或更大；否则工具将失败。 - 测试：在非生产环境中评估工具。 - 规划：安排维护窗口并通知相关方。 3. **启动迁移**：使用 Azure 门户执行 Microsoft 提供的工具。逻辑：直接操作以保持 IP 地址不变。 4. **监控迁移**：通过 Azure 门户监控网关状态。 5. **迁移后验证**：确认 VPN 连接正常。 2. **在现有虚拟网络中删除并重新创建 VPN Gateway** 1. **收集当前配置信息**：使用 Azure CLI 命令（如 `az network vnet-gateway show`）获取连接类型、IPsec/IKE 策略、BGP 配置等。逻辑：备份以便后续重建。 2. **删除现有 VPN Gateway**：通过 Azure 门户、CLI 或 PowerShell 删除。 3. **升级公共 IP 地址**：将分离的公共 IP 升级至 Standard SKU，参考 Microsoft Learn 文档。注意：IP 地址可能变化。 4. **创建新 VPN Gateway**：选择现有虚拟网络、网关子网（建议扩展至 /27），并配置 Standard SKU。逻辑：重建以匹配原配置。 5. **重新配置连接**：基于收集的信息重建 VPN 连接、路由等。 6. **测试验证**：确认流量正常。 3. **在新虚拟网络中逐步设置 Standard SKU VPN Gateway** 1. **创建新虚拟网络和 VPN Gateway**：部署新网关，分配 Standard SKU 公共 IP，并确保网关子网为 /27 或更大。逻辑：隔离新环境以最小化风险。 2. **配置新连接**：基于新网关的公共 IP 配置 IPsec/IKE 和 BGP。 3. **调整路由**：修改本地 VPN 设备和 Azure 路由（如 UDR），逐步切换流量。在 hub-and-spoke 架构中，建立对等连接。 4. **切换并监控流量**：逐步转移流量，监控连接稳定性。 5. **停止并删除旧网关**：确认新网关稳定后删除旧资源。 ## 方案客户价值 - **最小化停机时间**：使用迁移工具可将停机限制在 10 分钟内，实现机制是通过自动化工具保持 IP 地址不变，与传统手动迁移相比显著减少中断。 - **简化配置**：第一方法无需更新本地配置，相比手动重建减少错误风险，与竞品（如其他云提供商的迁移工具）差异在于 Azure 的工具更直观。 - **灵活性和可回滚**：第三方法允许逐步迁移，便于回滚，业务价值在于降低风险，但需权衡额外成本。 ## 涉及的相关产品 - **Azure VPN Gateway**：核心产品，用于管理 VPN 连接，在方案中处理 Basic 到 Standard SKU 的迁移。 - **Standard SKU 公共 IP 地址**：提供更稳定的 IP 资源，支持区域冗余，在迁移中作为新配置基础。 - **Azure 虚拟网络**：承载网关子网，确保网络拓扑兼容性。 ## 技术评估 - **先进性**：方案利用 Azure 的自动化工具和 SDK 提升迁移效率，领先于传统手动方法，但依赖工具发布时间（Active-Passive：2025 年 4-5 月）。 - **可行性**：第一方法适用性高（网关子网 /27 或更大），第二方法灵活但需接受停机，第三方法复杂但适合高可用场景。限制包括：工具未发布时的依赖性、IP 地址可能变化导致的配置调整。 - **优势**：减少服务中断，提升网络可靠性；适用于各种规模的企业。 - **可能限制**：网关子网大小限制、额外成本（如第三方法），以及迁移工具的预览状态可能影响大规模部署。 ## 其他信息 ### 迁移方法比较表 | **迁移方法** | **停机时间** | **IP 地址变化** | **可回滚** | **配置复杂度** | |-------------------------------|-------------------|-----------------|------------|---------------| | **使用 Microsoft 迁移工具** | 短（最多 10 分钟）| 无 | 可能 | 低 | | **在现有虚拟网络删除并重建** | 长 | 条件 | 不可能 | 中 | | **逐步迁移到新虚拟网络** | 极短 | 是（新地址） | 可能 | 高 | ### 结论选择方法应基于停机容忍度、网络复杂性和资源可用性。所有方法需在 2025 年 9 月前完成迁移，注意网关 SKU 可能自动更新为区域冗余类型。   # 将 Azure VPN Gateway 上的 Basic SKU 公共 IP 迁移到 Standard SKU **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/migrating-basic-sku-public-ips-on-azure-vpn-gateway-to-standard-sku/4423107](https://techcommunity.microsoft.com/blog/azurenetworkingblog/migrating-basic-sku-public-ips-on-azure-vpn-gateway-to-standard-sku/4423107) **发布时间:** 2025-06-13 **厂商:** AZURE **类型:** TECH-BLOG --- Azure Networking Blog # 将 Azure VPN Gateway 上的 Basic SKU 公共 IP 迁移到 Standard SKU 2025 年 6 月 16 日 ## 高效迁移 Basic SKU (Basic SKU) 公共 IP 地址至关重要，可确保无缝连接并最小化服务中断。本文博客提供可用迁移策略的比较分析，为 IT 专业人员提供可操作指导，帮助他们自信且精确地处理 IP 地址迁移的复杂性。 ## 背景与 Azure VPN Gateway (Azure VPN Gateway) 关联的 Basic SKU 公共 IP 地址计划于 2025 年 9 月停用。因此，迁移到 Standard SKU (Standard SKU) 是必需的。本文比较三种潜在迁移方法，提供详细步骤、优势、缺点和注意事项。 ## 1\. 使用 Microsoft 的迁移工具（推荐）使用 Microsoft 的迁移工具时，网关的 IP 地址不会改变。不需要更新本地侧的配置信息，可继续使用当前配置。迁移工具目前在预览阶段，仅适用于主动-被动 (Active-Passive) VPN 网关的 VpnGw1-5 SKU。更详细的信息，请参考 Microsoft Learn 文档：[关于将 Basic SKU 公共 IP 地址迁移到 Standard SKU](<https://learn.microsoft.com/azure/vpn-gateway/basic-public-ip-migrate-about>) ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIzMTA3LWk1VlJmYw?image-dimensions=999x841&revision=26) 步骤： 1. **检查迁移工具的可用性：** 通过 Azure 服务公告或 VPN Gateway 文档确认与您的 VPN 网关配置兼容的迁移工具发布日期。 * [Azure VPN Gateway 的最新动态](<https://learn.microsoft.com/azure/vpn-gateway/whats-new>) * [将 Basic SKU 公共 IP 地址迁移到 Standard SKU | VPN Gateway FAQ](<https://learn.microsoft.com/azure/vpn-gateway/vpn-gateway-vpn-faq#migrating-a-basic-sku-public-ip-address-to-standard-sku>) 2. **迁移准备：** * **验证网关子网：** 确保网关子网为 /27 或更大。如果为 /28 或更小，迁移工具将失败。 * **测试：** 建议先在非生产环境中评估迁移工具。 * **迁移规划：** 安排维护窗口并通知利益相关者。 3. **启动迁移：** 使用 Azure 门户执行 Microsoft 提供的迁移工具。 4. **监控迁移：** 在迁移过程中，通过 Azure 门户监控网关状态。 5. **迁移后验证：** 确认迁移完成后 VPN 连接正常工作。 ### 优势： * 中断时间估计不超过 10 分钟。 * 迁移步骤简单明了。 ### 注意事项： * 工具的发布日期因配置而异（主动-被动：2025 年 4-5 月，主动-主动：2025 年 7-8 月）。 * 网关子网大小限制（需 /27 或更大）。 ### 注意事项： * 定期检查工具的发布日期。 * 如果必要，在迁移前验证并调整网关子网大小。 ## 2\. 在现有虚拟网络中删除并重新创建 VPN Gateway 不使用 Microsoft 工具的手动迁移是另一种选项，但会造成中断并可能更改网关的 IP 地址。此选项适用于网关子网小于 /27 或迁移工具不可用时。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIzMTA3LUtWV0FxSA?image-dimensions=811x999&revision=26) ### 步骤： 1. **收集当前 VPN Gateway 配置信息：** * 连接类型（如站点到站点、VNet 到 VNet 等）。 * 连接细节（如本地 VPN 设备的 IP 地址、共享密钥、Azure VNet 的网关 IP 地址等）。 * IPsec/IKE 策略（如提议、哈希算法、SA 生存期等）。 * BGP 配置（如 ASN、对等 IP 地址，如果使用）。 * 路由配置（如自定义路由、路由表等）。 * VPN Gateway SKU（记录以供参考）。 * 公共 IP 地址的资源 ID（在删除时确认）。使用以下 Azure CLI 命令获取 VPN Gateway 配置。 * `az network vnet-gateway show --resource-group <your-resource-group-name> --name <your-vpn-gateway-name>` 2. **删除现有 VPN Gateway：** 使用 Azure 门户、Azure CLI 或 PowerShell 删除现有 VPN Gateway。 3. **将公共 IP 地址升级到 Standard SKU：** 使用 Azure 门户、Azure CLI 或 PowerShell 升级未关联的公共 IP。请参考 Microsoft Learn 文档：[在 Azure 中将 Basic 公共 IP 地址升级到 Standard SKU](<https://learn.microsoft.com/azure/virtual-network/ip-services/public-ip-basic-upgrade-guidance#upgrade-disassociated-public-ips-using-portal-powershell-or-azure-cli>) * 请注意，如果原始公共 IP 为动态或创建新公共 IP，IP 地址可能发生变化。 * 另参考 [Azure 公共 IP 现在默认支持可用区冗余](<https://azure.microsoft.com/en-us/blog/azure-public-ips-are-now-zone-redundant-by-default/>) 4. **创建新的 VPN Gateway (Standard SKU)：** 使用 Azure 门户、Azure CLI 或 PowerShell 创建新的 VPN Gateway，确保： * 虚拟网络：选择现有虚拟网络。 * 网关子网：选择现有网关子网。如果网关子网小于 /27，建议扩展以避免未来限制。 * 公共 IP 地址：选择在步骤 3 中升级或创建的 Standard SKU 公共 IP 地址。 * VPN 类型：根据现有配置选择基于策略或基于路由的类型。 * SKU：选择 Standard SKU（如 VpnGw1、VpnGw2）。如果需要可用区冗余，选择相应 SKU（如 VpnGw1AZ、VpnGw2AZ）。 * 其他设置（如路由选项、主动/主动配置等）应符合现有配置。 5. **重新配置连接：** 根据收集的配置信息，为新的 VPN Gateway 重新建立 VPN 连接（如站点到站点、VNet 到 VNet 等）。重置 IPsec/IKE 策略、共享密钥、BGP 对等等。 6. **重新配置路由：** 如必要，调整自定义路由和路由表以指向新的 VPN Gateway。 7. **测试并验证连接：** 确认所有连接正确建立且流量正常流动。 ### 优势： * 可以立即开始迁移：无需等待迁移工具。 * 在现有虚拟网络中完成：无需创建新虚拟网络。 ### 注意事项： * 会发生中断：VPN Gateway 删除和重新创建期间，所有 VPN 连接都会中断。中断时长取决于 VPN Gateway 的创建时间和连接重新配置时间。 * 需要手动输入配置信息：必须手动收集现有 VPN Gateway 配置并输入到新网关，可能导致输入错误。 ### 注意事项： * 如果中断是可以接受的，请考虑此方法。 * 删除前记录当前配置细节。 * IP 地址可能根据情况发生变化。 * 所有 VPN 隧道需要重新建立。 * 如果有防火墙，必须将新公共 IP 添加到白名单。 ## 3\. 在新虚拟网络中设置 Standard SKU VPN Gateway 并逐步迁移一种方法是在单独的虚拟网络中设置 Standard SKU VPN Gateway，并逐步过渡到它。这样可以在保持当前 VPN Gateway 运行的同时建立新环境，从而最小化中断。详细规划和测试是防止路由切换错误和连接配置问题的关键。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIzMTA3LVp6Vk1zVw?image-dimensions=584x999&revision=26) ### 步骤： 1. **创建新虚拟网络和 VPN Gateway：** * 创建新虚拟网络以部署带有 Standard SKU 公共 IP 地址的新的 VPN Gateway。 * 在新虚拟网络中创建网关子网（推荐 /27 或更大）。 * 分配 Standard SKU 公共 IP 地址并创建新的 VPN Gateway (Standard SKU)。选择必要 SKU（如 VPNGW1-5），并如果需要可用区冗余（如 VPNGW1AZ-5）。 2. **配置新 VPN Gateway 与本地 VPN 设备的连接：** * 根据新 VPN Gateway 的公共 IP 地址和本地 VPN 设备信息配置 IPsec/IKE 连接（如站点到站点 VPN）。如果必要，配置 BGP。 3. **调整路由：** * 调整路由，使本地网络到 Azure 的流量通过新的 VPN Gateway。这涉及更改本地 VPN 设备设置并更新网络设备的路由策略。 * 如果必要，调整 Azure 侧路由（如用户定义路由：UDR 等）。在中心辐射 (hub-and-spoke) 架构中，建立辐条虚拟网络与新虚拟网络之间的对等互连。此外，确保“启用 'Spoke-xxx’ 使用 'Hub-yyy' 的远程网关或路由服务器”选项配置正确。 4. **切换并监控流量：** * 逐步将流量切换到新的 VPN Gateway。 * 在切换期间监控 VPN 连接的稳定性和性能。 5. **停止并删除旧 VPN Gateway：** * 一旦确认所有流量通过新的 VPN Gateway，停止并删除与 Basic SKU 公共 IP 地址关联的旧 VPN Gateway。 * 删除与旧 VPN Gateway 关联的 Basic SKU 公共 IP 地址。 ### 优势： * 最小化中断：保持现有 VPN 连接运行的同时构建新环境，大大减少服务中断时间。 * 易于回滚：如果出现问题，可以轻松返回到旧环境。 * 灵活配置：在新虚拟网络中考虑更灵活的网络配置。 ### 注意事项： * 额外成本：临时部署新的 VPN Gateway 会产生额外费用。 * 配置复杂性：管理多个 VPN Gateway 和连接可能使配置复杂化。 * IP 地址变化：新的 VPN Gateway 将分配新公共 IP 地址，需要更改本地 VPN 设备设置。 ### 注意事项： * 详细迁移规划和测试至关重要。 * 必须为新创建的 Standard SKU 公共 IP 地址建立新的 VPN 隧道。 * 如果有防火墙，必须将新公共 IP 添加到白名单。 * 注意路由切换错误。 ### 推荐场景： * 当优先最小化中断时。 * 当涉及网络配置变化时。 * 当需要准备回滚时。 ## 迁移方法比较表 **迁移方法** | **中断时长** | **IP 地址变化** | **回滚** | **配置复杂性** ---|---|---|---|--- **使用 Microsoft 的迁移工具** | 较短（不超过 10 分钟） | 无（保持不变） | 可能（直到最终阶段） | 低 **在现有虚拟网络中删除并重新创建** | 较长 | 视情况而定 | 不可能 | 中等 **逐步迁移到新虚拟网络** | 非常短 | 是（新地址） | 可能 | 高 ## 结论如果需要最小化中断，使用 Microsoft 的迁移工具或逐步迁移到新虚拟网络是选项。在现有虚拟网络中删除并重新创建的方法会涉及中断，应仔细评估。迁移方法的選擇应基于需求、可接受的中断、网络配置复杂性和可用资源。 ## 重要注意事项（适用于所有方法） * Basic SKU 公共 IP 地址计划于 2025 年 9 月停用。必须在截止日期前完成迁移到 Standard SKU。 * 迁移后，VPN Gateway SKU 可能自动更新为可用区冗余 SKU。请参考网关 SKU 合并和迁移的相关信息。 * 要了解更多关于网关 SKU 合并和迁移的信息，请参阅 [关于 VPN Gateway SKU 合并和迁移](<https://learn.microsoft.com/azure/vpn-gateway/gateway-sku-consolidation>)。更新于 2025 年 6 月 13 日版本 1.0