SD-WAN kapcsolati architektúra az Azure Virtual WAN
Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos felhőkapcsolatot és biztonsági szolgáltatást egyesítve egyetlen operatív felülettel rendelkezik. Ezek közé a szolgáltatások közé tartozik az ág (helyek közötti VPN-en keresztül), a távoli felhasználó (pont–hely VPN), a privát (ExpressRoute-) kapcsolat, a virtuális hálózatok felhőn belüli tranzitív kapcsolata, a VPN és az ExpressRoute összekapcsolhatósága, az útválasztás, a Azure Firewall és a titkosítás a privát kapcsolatokhoz.
Bár az Azure Virtual WAN egy felhőalapú SD-WAN, amely az Azure belső kapcsolati, útválasztási és biztonsági szolgáltatásainak gazdag csomagját biztosítja, az Azure Virtual WAN úgy is tervezték, hogy zökkenőmentes kapcsolatot létesítsen a helyszíni SD-WAN- és SASE-technológiákkal és -szolgáltatásokkal. Számos ilyen szolgáltatást Virtual WAN ökoszisztémánk és az Azure Networking Managed Services-partnereink (MSP-k) kínálnak. Azok a vállalatok, amelyek privát WAN-jukat SD-WAN-ra alakítja át, lehetőség van a privát SD-WAN és az Azure Virtual WAN összekapcsolásakor. A vállalatok az alábbi lehetőségek közül választhatnak:
- Közvetlen összekapcsolási modell
- Közvetlen összekapcsolási modell NVA-in-VWAN-hubbal
- Közvetett összekapcsolási modell
- Felügyelt hibrid WAN-modell kedvenc felügyelt szolgáltató MSP-jük használatával
Az összes ilyen esetben a Virtual WAN és az SD-WAN összekapcsolása hasonló a kapcsolati oldalról, de a vezénylési és működési oldalon eltérő lehet.
Közvetlen összekapcsolási modell
Ebben az architektúramodellben az SD-WAN-ág ügyfél-helyszíni berendezései (CPE) közvetlenül csatlakoznak Virtual WAN hubokhoz IPsec-kapcsolatokon keresztül. Előfordulhat, hogy a cpe ág más ágakhoz is csatlakozik a privát SD-WAN-on keresztül, vagy Virtual WAN használ az ág és az ág közötti kapcsolathoz. Azok az ágak, amelyeknek hozzá kell férniük a számítási feladataikhoz az Azure-ban, közvetlenül és biztonságosan hozzáférhetnek az Azure-hoz a Virtual WAN hub(ok)ban leállított IPsec-alagút(ok)on keresztül.
Az SD-WAN CPE-partnerek automatizálhatják az automatizálást, hogy automatizálják a szokásosan fárasztó és hibalehetőségekkel teli IPsec-kapcsolatot a megfelelő CPE-eszközeikről. Az Automatizálás lehetővé teszi, hogy az SD-WAN-vezérlő az Virtual WAN API-val kommunikáljon az Azure-nal a Virtual WAN helyek konfigurálásához, és leküldje a szükséges IPsec-alagútkonfigurációt az ág processzorainak. A különböző SD-WAN-partnerek Virtual WAN összekapcsolási automatizálásának leírását lásd: Automatizálási irányelvek.
Az SD-WAN CPE továbbra is az a hely, ahol a forgalomoptimalizálás és az útvonalválasztás implementálva és kényszerítve van.
Ebben a modellben előfordulhat, hogy a valós idejű forgalom jellemzőin alapuló, gyártó által védett forgalomoptimalizálás nem támogatott, mert a Virtual WAN iPsec-en keresztüli kapcsolat, és az IPsec VPN leáll a Virtual WAN VPN-átjárón. Például a cpe ág dinamikus útvonalválasztása megvalósítható, mivel az ágeszköz különböző hálózati csomaginformációkat cserél egy másik SD-WAN-csomóponttal, így azonosítja a legjobb hivatkozást a különböző prioritású forgalomhoz dinamikusan az ágon. Ez a funkció olyan területeken lehet hasznos, ahol az utolsó mérföld optimalizálása (a legközelebbi Microsoft POP-hoz tartozó ág) szükséges.
A Virtual WAN a felhasználók az Azure Path Selectiont kapják meg, amely szabályzatalapú útvonalválasztás a CPE ágtól Virtual WAN VPN-átjárókig több isp-kapcsolaton keresztül. Virtual WAN lehetővé teszi több kapcsolat (elérési út) beállítását ugyanabból az SD-WAN-ág CPE-ből; minden kapcsolat két alagútkapcsolatot jelöl az SD-WAN CPE egyedi nyilvános IP-címéről az Azure Virtual WAN VPN Gateway két különböző példányára. Az SD-WAN-szállítók a CPE-hivatkozásokon beállított szabályzatmotor által beállított forgalmi szabályzatok alapján implementálhatják az Azure legoptimálisabb útvonalát. Az Azure-on az összes bejövő kapcsolat egyenlően lesz kezelve.
Közvetlen összekapcsolási modell NVA-in-VWAN-hubbal
Ez az architektúramodell támogatja egy külső hálózati virtuális berendezés (NVA) üzembe helyezését közvetlenül a virtuális központban. Ez lehetővé teszi, hogy azok az ügyfelek, akik az ág CPE-jét a virtuális központban lévő azonos márkájú NVA-hoz szeretnék csatlakoztatni, kihasználhassák a saját fejlesztésű végpontok közötti SD-WAN-képességeket az Azure számítási feladatokhoz való csatlakozáskor.
Számos Virtual WAN partner dolgozott azon, hogy olyan élményt nyújtson, amely automatikusan konfigurálja az NVA-t az üzembehelyezési folyamat részeként. Miután kiépítette az NVA-t a virtuális központban, az NVA-hoz esetleg szükséges további konfigurációt az NVA-partnerek portálján vagy a felügyeleti alkalmazáson keresztül kell elvégezni. Az NVA-hoz nem érhető el közvetlen hozzáférés. A közvetlenül az Azure Virtual WAN hubon üzembe helyezhető NVA-kat kifejezetten a virtuális központban való használathoz tervezték. A VWAN-központban az NVA-t támogató partnerek és azok üzembehelyezési útmutatóiért tekintse meg a Virtual WAN Partnerek című cikket.
Az SD-WAN CPE továbbra is az a hely, ahol a forgalomoptimalizálás és az útvonalválasztás implementálva és kényszerítve van. Ebben a modellben a valós idejű forgalom jellemzőin alapuló szállítói forgalomoptimalizálás támogatott, mivel a Virtual WAN a központ SD-WAN NVA-n keresztül kapcsolódik.
Közvetett összekapcsolási modell
Ebben az architektúramodellben az SD-WAN ági PROCESSZORok közvetetten kapcsolódnak Virtual WAN hubokhoz. Az ábrán látható, hogy egy SD-WAN virtuális CPE egy vállalati virtuális hálózaton van üzembe helyezve. Ez a virtuális CPE viszont IPsec használatával csatlakozik a Virtual WAN központ(ok)hoz. A virtuális CPE SD-WAN-átjáróként szolgál az Azure-ba. Azok az ágak, amelyeknek hozzá kell férniük a számítási feladataikhoz az Azure-ban, a v-CPE-átjárón keresztül érhetik el őket.
Mivel az Azure-hoz való kapcsolódás a v-CPE-átjárón (NVA- n) keresztül történik, az Azure számítási feladat virtuális hálózatai és más SD-WAN-ágak közötti összes forgalom az NVA-n keresztül halad át. Ebben a modellben a felhasználó felelős az SD-WAN NVA kezeléséért és működtetéséért, beleértve a magas rendelkezésre állást, a méretezhetőséget és az útválasztást.
Felügyelt hibrid WAN-modell
Ebben az architektúramodellben a vállalatok egy felügyelt szolgáltatói (MSP-) partner által kínált felügyelt SD-WAN-szolgáltatást használhatnak. Ez a modell hasonló a fent leírt közvetlen vagy közvetett modellekhez. Ebben a modellben azonban az SD-WAN tervezését, vezénylését és műveleteit az SD-WAN-szolgáltató biztosítja.
Az Azure Networking MSP-partnerek az Azure Lighthouse használatával implementálhatják az SD-WAN-t és a Virtual WAN szolgáltatást a vállalati ügyfél Azure-előfizetésében, valamint üzemeltethetik a végpontok közötti hibrid WAN-t az ügyfél nevében. Ezek az MSP-k az Azure ExpressRoute-ot is implementálhatják a Virtual WAN, és végpontok közötti felügyelt szolgáltatásként üzemeltethetik.