Informace o síťových virtuálních zařízeních v centru Virtual WAN
Zákazníci můžou nasadit výběr síťových virtuálních zařízení (NVA) přímo do centra Virtual WAN v řešení, které společně spravuje Microsoft Azure a dodavatelé síťových virtuálních zařízení třetích stran. Ne všechna síťová virtuální zařízení na Azure Marketplace je možné nasadit do centra Virtual WAN. Úplný seznam dostupných partnerů najdete v části Partneři tohoto článku.
Klíčové výhody
Když je síťové virtuální zařízení nasazené do centra Virtual WAN, může sloužit jako brána třetí strany s různými funkcemi. Může sloužit jako brána SD-WAN, brána firewall nebo kombinace obou.
Nasazení síťových virtuálních zařízení do centra Virtual WAN nabízí následující výhody:
- Předdefinovaný a předem otestovaný výběr možností infrastruktury (jednotky infrastruktury NVA): Microsoft a partner spolupracují na ověření limitů propustnosti a šířky pásma před zpřístupněním řešení zákazníkům.
- Integrovaná dostupnost a odolnost: Nasazení síťových virtuálních zařízení virtual WAN jsou s podporou zóny dostupnosti (AZ) a jsou automaticky nakonfigurovaná tak, aby byla vysoce dostupná.
- Zřizování bez potíží a spouštění: Spravovaná aplikace je předem kvalifikovaná pro zřizování a spouštění pro platformu Virtual WAN. Tato spravovaná aplikace je dostupná prostřednictvím odkazu na Azure Marketplace.
- Zjednodušené směrování: Využijte inteligentní systémy směrování služby Virtual WAN. Řešení síťového virtuálního zařízení jsou v partnerském vztahu se směrovačem rozbočovače Virtual WAN a účastní se rozhodovacího procesu směrování virtual WAN podobně jako brány Microsoft Gateway.
- Integrovaná podpora: Partneři mají speciální smlouvu o podpoře se službou Microsoft Azure Virtual WAN, která umožňuje rychle diagnostikovat a řešit případné problémy zákazníků.
- Volitelná správa životního cyklu poskytovaná platformou: Upgrady a opravy spravujete buď přímo vy, nebo jako součást služby Azure Virtual WAN. Osvědčené postupy související se správou životního cyklu softwaru pro síťové virtuální zařízení ve službě Virtual WAN najdete v dokumentaci k poskytovateli síťového virtuálního zařízení nebo referenční dokumentaci.
- Integrovaná s funkcemi platformy: Přenos s bránami Microsoftu a virtuálními sítěmi, šifrované překrytí SD-WAN spuštěné přes okruh ExpressRoute) a směrovací tabulky virtuálních center bezproblémově komunikují.
Důležité
Abyste měli jistotu, že získáte nejlepší podporu pro toto integrované řešení, ujistěte se, že máte podobné úrovně nároků na podporu jak u Microsoftu, tak u poskytovatele síťového virtuálního zařízení.
Partneři
Následující tabulky popisují síťová virtuální zařízení, která mají nárok na nasazení v centru Virtual WAN, a relevantní případy použití (připojení nebo brána firewall). Sloupec Identifikátor dodavatele síťového virtuálního zařízení virtual WAN odpovídá dodavateli síťového virtuálního zařízení, který se zobrazí na webu Azure Portal při nasazení nového síťového virtuálního zařízení nebo zobrazení existujících síťových virtuálních zařízení nasazených ve virtuálním centru.
V centru Virtual WAN je možné nasadit následující síťová síťová zařízení připojení SD-WAN.
| Partneři | Identifikátor dodavatele síťového virtuálního zařízení virtual WAN | Konfigurace/ Postupy / Průvodce nasazením | Vyhrazený model podpory |
|---|---|---|---|
| Barracuda Networks | barracudasdwanrelease | Barracuda SecureEdge pro nasazení služby Virtual WAN | Ano |
| Cisco SD-WAN | ciscosdwan | Integrace řešení Cisco SD-WAN s Azure Virtual WAN vylepšuje Cloud OnRamp pro nasazení s více cloudy a umožňuje konfiguraci softwaru Cisco Catalyst 8000V Edge (Cisco Catalyst 8000V) jako síťového virtuálního zařízení (NVA) v centrech Azure Virtual WAN. Zobrazení průvodce konfigurací Cisco SD-WAN Cloud OnRamp, Cisco IOS XE Release 17.x | Ano |
| VMware SD-WAN | vmwaresdwaninvwan | Průvodce nasazením centra VMware SD-WAN ve službě Virtual WAN Spravovaná aplikace pro nasazení najdete na tomto odkazu na Azure Marketplace. | Ano |
| Naopak sítě | versanetworks | Pokud jste stávajícím zákazníkem služby Versa Networks, přihlaste se ke svému účtu Versa a přejděte k průvodci nasazením pomocí následujícího odkazu Průvodce nasazením naopak. Pokud jste novým zákazníkem Naopak, zaregistrujte se pomocí odkazu pro registraci k verzi Versa Preview. | Ano |
| Aruba EdgeConnect | arubaedgeconnectenterprise | Průvodce nasazením Aruba EdgeConnect SD-WAN Aktuálně ve verzi Preview: Odkaz na Azure Marketplace | No |
V centru Virtual WAN je možné nasadit následující bezpečnostní síťové virtuální zařízení. Toto virtuální zařízení se dá použít ke kontrole veškerého provozu směřujícího na sever, východ a západ.
| Partneři | Dodavatel síťového virtuálního zařízení Virtual WAN | Konfigurace/ Postupy / Průvodce nasazením | Vyhrazený model podpory |
|---|---|---|---|
| Zabezpečení sítě Check Point CloudGuard pro Azure Virtual WAN | checkpoint | Průvodce nasazením služby Check Point Network Security for Virtual WAN | No |
| Fortinet Next-Generation Firewall (NGFW) | fortinet-ngfw | Průvodce nasazením fortinet NGFW Fortinet NGFW podporuje až 80 jednotek škálování a nedoporučuje se používat pro ukončení tunelu SD-WAN. Informace o ukončení tunelu Fortigate SD-WAN najdete v dokumentaci k síti Fortinet SD-WAN a NGFW. | No |
| (Preview) Cisco Secure Firewall Threat Defense pro Azure Virtual WAN | cisco-tdv-vwan-nva | Cisco Secure Firewall Threat Defense pro Azure Virtual WAN pro průvodce nasazením virtual WAN | No |
V centru Virtual WAN je možné nasadit následující síťová virtuální zařízení s duální rolí SD-WAN a zabezpečení (brána firewall nové generace). Tato virtuální zařízení se dají použít ke kontrole veškerého provozu směřujícího na sever– jih, východ – západ a internet.
| Partneři | Dodavatel síťového virtuálního zařízení Virtual WAN | Konfigurace/ Postupy / Průvodce nasazením | Vyhrazený model podpory |
|---|---|---|---|
| Fortinet Next-Generation Firewall (NGFW) | fortinet-sdwan-and-ngfw | Průvodce nasazením síťového virtuálního zařízení Fortinet SD-WAN a NGFW Fortinet SD-WAN a síťové virtuální zařízení NGFW podporují až 20 jednotek škálování a podporují ukončení tunelu SD-WAN i možnosti brány firewall nové generace. | No |
Základní případy použití
Připojení any-to-any
Zákazníci můžou nasadit síťové virtuální zařízení v každé oblasti Azure, kde mají nároky. Pobočky jsou připojené k Azure prostřednictvím tunelů SD-WAN, které končí na nejbližším síťovém virtuálním zařízení nasazené v centru Azure Virtual WAN.
Pobočky pak můžou přistupovat k úlohám v Azure nasazeným ve virtuálních sítích ve stejné oblasti nebo v jiných oblastech prostřednictvím globální páteřní sítě Microsoftu. Připojené lokality SD-WAN můžou také komunikovat s dalšími větvemi, které jsou připojené k Azure prostřednictvím ExpressRoute, VPN typu Site-to-Site nebo připojení vzdáleného uživatele.
Zabezpečení poskytované službou Azure Firewall spolu s připojením síťového virtuálního zařízení
Zákazníci můžou nasadit službu Azure Firewall vedle svých síťových virtuálních zařízení založených na připojení. Směrování virtual WAN je možné nakonfigurovat tak, aby posílaly veškerý provoz do služby Azure Firewall za účelem kontroly. Virtual WAN můžete také nakonfigurovat tak, aby posílala veškerý internetový provoz do služby Azure Firewall kvůli kontrole.
Zabezpečení poskytované branami firewall síťového virtuálního zařízení
Zákazníci můžou také nasadit síťová virtuální zařízení do centra Virtual WAN, které provádí připojení SD-WAN i možnosti brány firewall nové generace. Zákazníci můžou připojit místní zařízení k síťovému virtuálnímu zařízení v centru a také použít stejné zařízení ke kontrole veškerého provozu směřujícího na sever, východ a internet. Směrování pro povolení těchto scénářů je možné nakonfigurovat prostřednictvím zásad záměru směrování a směrování.
Partneři, kteří podporují tyto toky přenosů, jsou v části Partneři uvedeni jako síťová virtuální zařízení s duální rolí SD-WAN a zabezpečení (brána firewall nové generace).
Jak to funguje?
Síťová virtuální zařízení, která jsou dostupná k nasazení přímo do centra Azure Virtual WAN, jsou navržená speciálně pro použití v centru Virtual WAN. Nabídka síťového virtuálního zařízení se publikuje na Azure Marketplace jako spravovaná aplikace a zákazníci můžou nabídku nasadit přímo z Azure Marketplace.
Nabídka síťového virtuálního zařízení každého partnera bude mít trochu jiné prostředí a funkce na základě požadavků na nasazení.
Spravovaná aplikace
Všechny nabídky síťového virtuálního zařízení, které je možné nasadit do centra Virtual WAN, budou mít spravovanou aplikaci dostupnou na Azure Marketplace. Spravované aplikace umožňují partnerům provádět následující akce:
- Vytvořte vlastní prostředí nasazení pro své síťové virtuální zařízení.
- Zadejte specializovanou šablonu Resource Manageru, která jim umožňuje vytvořit síťové virtuální zařízení přímo v centru Virtual WAN.
- Vyúčtování nákladů na licencování softwaru přímo nebo prostřednictvím Azure Marketplace
- Zveřejnění vlastních vlastností a měřičů prostředků
Partneři síťového virtuálního zařízení můžou vytvářet různé prostředky v závislosti na potřebách jejich nasazení zařízení, licencování konfigurace a správy. Když zákazník vytvoří síťové virtuální zařízení v centru Virtual WAN, podobně jako všechny spravované aplikace, vytvoří se ve svém předplatném dvě skupiny prostředků.
- Skupina prostředků zákazníka – Obsahuje zástupný symbol aplikace pro spravovanou aplikaci. Partneři můžou tuto možnost použít k zveřejnění jakýchkoli vlastností zákazníků, které zde vyberou.
- Spravovaná skupina prostředků – Zákazníci nemůžou konfigurovat ani měnit prostředky v této skupině prostředků přímo, protože to řídí vydavatel spravované aplikace. Tato skupina prostředků obsahuje prostředek NetworkVirtualAppliances .
Oprávnění spravované skupiny prostředků
Ve výchozím nastavení mají všechny spravované skupiny prostředků přiřazení Microsoft Entra odepřít. Zakázat všechna přiřazení brání zákazníkům v volání operací zápisu u všech prostředků ve spravované skupině prostředků, včetně prostředků síťového virtuálního zařízení.
Partneři ale můžou vytvářet výjimky pro konkrétní akce, které můžou zákazníci provádět s prostředky nasazenými ve spravovaných skupinách prostředků.
Oprávnění k prostředkům ve stávajících spravovaných skupinách prostředků se dynamicky neaktualizují, protože partneři přidávají nové povolené akce a vyžadují ruční aktualizaci.
Pokud chcete aktualizovat oprávnění pro spravované skupiny prostředků, můžou zákazníci využít rozhraní REST API pro aktualizace oprávnění .
Poznámka:
Aby bylo možné správně použít nová oprávnění, musí být rozhraní API pro aktualizace volána pomocí dalšího parametru dotazu targetVersion. Hodnota pro targetVersion je specifická pro zprostředkovatele. Informace o nejnovější verzi najdete v dokumentaci vašeho poskytovatele.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
Jednotky infrastruktury síťového virtuálního zařízení
Při vytváření síťového virtuálního zařízení v centru Virtual WAN musíte zvolit počet jednotek infrastruktury síťového virtuálního zařízení, se kterými ho chcete nasadit. Jednotka infrastruktury síťového virtuálního zařízení je jednotka agregované kapacity šířky pásma síťového virtuálního zařízení v centru Virtual WAN. Jednotka infrastruktury síťového virtuálního zařízení se podobá jednotce škálování sítě VPN z hlediska způsobu, jakým uvažujete o kapacitě a velikosti.
- Jednotky infrastruktury síťového virtuálního zařízení představují vodítko pro to, kolik agregované propustnosti sítě může podporovat infrastruktura virtuálních počítačů, na kterých jsou nasazená síťová virtuální zařízení. 1 jednotka infrastruktury síťového virtuálního zařízení odpovídá 500 Mb/s agregované propustnosti. Toto číslo 500 Mb/s nebere v úvahu rozdíly mezi softwarem, který běží na síťových virtuálních zařízeních. V závislosti na funkcích zapnutých v implementaci síťového virtuálního zařízení nebo softwaru specifické pro partnery můžou být síťové funkce, jako je šifrování/dešifrování, zapouzdření/zapouzdření nebo hloubková kontrola paketů, náročnější. To znamená, že se může zobrazit menší propustnost než jednotka infrastruktury síťového virtuálního zařízení. Pokud chcete namapovat jednotky infrastruktury síťového virtuálního zařízení Virtual WAN na očekávané propustnosti, obraťte se na dodavatele.
- podpora Azure nasazení od 2–80 jednotek infrastruktury síťového virtuálního zařízení pro dané nasazení virtuálního centra síťového virtuálního zařízení, ale partneři můžou zvolit, které jednotky škálování podporují. Proto možná nebudete moct nasadit všechny možné konfigurace jednotek škálování.
Síťová virtuální zařízení ve službě Virtual WAN se nasazují, abyste měli jistotu, že pro konkrétní vybranou jednotku škálování budete mít vždy možnost dosáhnout minimálně čísel propustnosti specifických pro dodavatele. Aby toho bylo dosaženo, jsou síťová virtuální zařízení ve službě Virtual WAN nadměrně zřízených s další kapacitou ve formě několika instancí způsobem n+1. To znamená, že v každém okamžiku se může zobrazit agregovaná propustnost napříč instancemi, aby byla větší než čísla propustnosti specifická pro dodavatele. Tím se zajistí, že pokud instance není v pořádku, zbývající instance "n" můžou obsluhovat zákaznický provoz a poskytnout propustnost specifickou pro dodavatele pro danou jednotku škálování.
Pokud celkový objem provozu procházejících síťovým virtuálním zařízením v daném okamžiku překračuje čísla propustnosti specifická pro dodavatele pro vybranou jednotku škálování, události, které můžou způsobit nedostupnost instance síťového virtuálního zařízení, včetně mimo jiné rutinních aktivit údržby platformy Azure nebo upgradů softwaru, můžou vést k přerušení služby nebo připojení. Pokud chcete minimalizovat přerušení služeb, měli byste pro konkrétní jednotku škálování zvolit jednotku škálování na základě profilu špičky provozu a čísel propustnosti specifická pro dodavatele, a ne na to, že se při testování spoléháte na čísla propustnosti nejlepších případů.
Proces konfigurace síťového virtuálního zařízení
Partneři pracovali na tom, aby v rámci procesu nasazení automaticky nakonfigurovali síťové virtuální zařízení. Jakmile je síťové virtuální zařízení zřízené ve virtuálním centru, je potřeba provést jakoukoli další konfiguraci, která může být vyžadována pro síťové virtuální zařízení, prostřednictvím portálu partnerů síťového virtuálního zařízení nebo aplikace pro správu. Přímý přístup k síťovému virtuálnímu zařízení není k dispozici.
Prostředky lokality a připojení pomocí síťových virtuálních zařízení
Na rozdíl od konfigurací brány VPN typu Site-to-Site služby Virtual WAN nemusíte vytvářet prostředky lokality, prostředky připojení typu Site-to-Site ani prostředky připojení typu point-to-site, abyste mohli připojit pobočky k síťovému virtuálnímu zařízení v centru Virtual WAN.
Stále potřebujete vytvořit připojení typu Hub-to-VNet pro připojení centra Virtual WAN k virtuálním sítím Azure a také připojení ExpressRoute, VPN typu Site-to-Site nebo připojení VPN vzdáleného uživatele.
Podporované oblasti
Síťové virtuální zařízení ve virtuálním centru je dostupné v následujících oblastech:
| Geopolitická oblast | Oblasti Azure |
|---|---|
| Severní Amerika | Kanada – střed, Kanada – východ, USA – střed, USA – východ, USA – východ 2, USA – středojiž, USA – středosever, USA – středozápad, USA – západ, USA – západ 2 |
| Jižní Amerika | Brazílie – jih, Brazílie – jihovýchod |
| Evropě | Francie – střed, Francie – jih, Německo – středozápad, Severní Evropa, Norsko – východ, Norsko – západ, Švýcarsko – sever, Švýcarsko – západ, Švýcarsko – západ, Velká Británie – západ, Západní Evropa, Švédsko – střed, Itálie – sever |
| Střední východ | Spojené arabské emiráty – sever, Katar – střed, Izrael – střed |
| Asie | Východní Asie, Japonsko – východ, Japonsko – západ, Korea – střed, Korea – jih, Jihovýchodní Asie |
| Austrálie | Austrálie – jihovýchod, Austrálie – východ, Austrálie – střed, Austrálie – střed 2 |
| Afrika | Jižní Afrika – sever |
| Indie | Indie – jih, Indie – západ, Indie – střed |
Nejčastější dotazy k síťovému virtuálnímu zařízení
Jsem partner síťového virtuálního zařízení a chci naše síťové virtuální zařízení dostat do centra. Můžu se připojit k tomuto partnerskému programu?
V tuto chvíli bohužel nemáme kapacitu pro on-board žádné nové nabídky partnerů. Vraťte se s námi na pozdější datum!
Můžu do centra Virtual WAN nasadit jakékoli síťové virtuální zařízení z Azure Marketplace?
Do centra Virtual WAN je možné nasadit jenom partnery uvedené v části Partneři .
Jaké jsou náklady na síťové virtuální zařízení?
Musíte zakoupit licenci síťového virtuálního zařízení od dodavatele síťového virtuálního zařízení. Používání vlastní licence (BYOL) je jediným modelem licencování, který se dnes podporuje. Kromě toho Microsoft účtuje poplatky za spotřebované jednotky infrastruktury síťového virtuálního zařízení a všechny další prostředky, které používáte. Další informace najdete v tématu Koncepty cen.
Můžu nasadit síťové virtuální zařízení do centra Basic?
Ne, pokud chcete nasadit síťové virtuální zařízení, musíte použít centrum Standard.
Můžu síťové virtuální zařízení nasadit do zabezpečeného centra?
Ano. Partnerské síťové virtuální zařízení je možné nasadit do centra pomocí služby Azure Firewall.
Můžu připojit jakékoli zařízení v pobočce k síťovému virtuálnímu zařízení v centru?
Ne, Barracuda CloudGen WAN je kompatibilní pouze s hraničními zařízeními Barracuda. Další informace o požadavcích na CloudGen WAN najdete na stránce Barracuda CloudGen WAN. Pro Cisco existuje několik zařízení SD-WAN, která jsou kompatibilní. Informace o kompatibilních zařízeních najdete v dokumentaci Cisco Cloud OnRamp pro Multi-Cloud . S případnými dotazy se obraťte na svého poskytovatele.
Jaké scénáře směrování se podporují u síťového virtuálního zařízení v centru?
Všechny scénáře směrování podporované službou Virtual WAN se podporují u síťových virtuálních zařízení v centru.
Jaké regiony jsou podporovány?
Podporované oblasti najdete v tématu Podporované oblasti síťového virtuálního zařízení.
Návody odstranit moje síťové virtuální zařízení v centru?
Pokud byl prostředek síťového virtuálního zařízení nasazený prostřednictvím spravované aplikace, odstraňte spravovanou aplikaci. Odstraněním spravované aplikace se automaticky odstraní spravovaná skupina prostředků a přidružený prostředek síťového virtuálního zařízení.
Síťové virtuální zařízení, které je prostředkem dalšího směrování pro zásady směrování, nemůžete odstranit. Pokud chcete síťové virtuální zařízení odstranit, nejprve odstraňte zásady směrování.
Pokud byl prostředek síťového virtuálního zařízení nasazený prostřednictvím softwaru pro orchestraci partnerů, referenční dokumentace partnera k odstranění síťového virtuálního zařízení.
Případně můžete spuštěním následujícího příkazu PowerShellu odstranit síťové virtuální zařízení.
Najděte skupinu prostředků Azure síťového virtuálního zařízení, které chcete odstranit. Skupina prostředků Azure se obvykle liší od skupiny prostředků, ve které je centrum Virtual WAN nasazené. Ujistěte se, že vlastnost virtuálního centra prostředku síťového virtuálního zařízení odpovídá síťovému virtuálnímu zařízení, které chcete odstranit. Následující příklad předpokládá, že všechna síťová virtuální zařízení ve vašem předplatném mají odlišné názvy. Pokud existuje více síťových virtuálních zařízení se stejným názvem, nezapomeňte shromáždit informace přidružené k síťovému virtuálnímu zařízení, které chcete odstranit.
$nva = Get-AzNetworkVirtualAppliance -Name <NVA name> $nva.VirtualHubOdstraňte síťové virtuální zařízení.
Remove-AzNetworkVirtualAppliance -Name $nva.Name -ResourceGroupName $nva.ResourceGroupName
Stejnou řadu kroků je možné spustit z Azure CLI.
- Najděte skupinu prostředků Azure síťového virtuálního zařízení, které chcete odstranit. Skupina prostředků Azure se obvykle liší od skupiny prostředků, ve které je centrum Virtual WAN nasazené. Ujistěte se, že vlastnost virtuálního centra prostředku síťového virtuálního zařízení odpovídá síťovému virtuálnímu zařízení, které chcete odstranit.
az network virtual-appliance list - Odstranění síťového virtuálního zařízení
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <NVA name>
Další kroky
Další informace o službě Virtual WAN najdete v článku Přehled služby Virtual WAN.