Arsitektur konektivitas SD-WAN dengan Azure Virtual WAN
Azure Virtual WAN adalah layanan jaringan yang menyatukan banyak layanan konektivitas dan keamanan cloud dengan satu antarmuka operasional. Layanan ini termasuk cabang (melalui VPN Situs-ke-situs), konektivitas pengguna jarak jauh (Point-to-site VPN), konektivitas privat (ExpressRoute), konektivitas transitif intra-cloud untuk interkoneksi Vnets, VPN dan ExpressRoute, perutean, Azure Firewall, dan enkripsi untuk konektivitas privat.
Meskipun Azure Virtual WAN adalah SD-WAN berbasis cloud yang menyediakan rangkaian layanan konektivitas, perutean, dan keamanan pihak pertama Azure yang kaya, Azure Virtual WAN juga dirancang untuk memungkinkan interkoneksi tanpa batas dengan teknologi dan layanan SD-WAN dan SASE berbasis lokal. Banyak layanan tersebut ditawarkan oleh ekosistem Virtual WAN kami dan mitra Layanan Terkelola Jaringan Azure (MSP). Perusahaan yang mengubah WAN privat mereka menjadi SD-WAN memiliki opsi saat menghubungkan SD-WAN privat mereka dengan Azure Virtual WAN. Perusahaan dapat memilih dari opsi ini:
- Model Interkoneksi Langsung
- Model interkoneksi langsung dengan NVA-in-VWAN-hub
- Model Interkoneksi Tidak Langsung
- Model WAN Hybrid terkelola menggunakan penyedia layanan terkelola favorit mereka MSP
Dalam semua kasus ini, interkoneksi Virtual WAN dengan SD-WAN mirip dari sisi konektivitas, tetapi dapat bervariasi di sisi orkestrasi dan operasional.
Model Interkoneksi Langsung
Dalam model arsitektur ini, peralatan tempat pelanggan (CPE) cabang SD-WAN terhubung langsung ke hub Virtual WAN melalui koneksi IPsec. CPE cabang juga dapat terhubung ke cabang lain melalui SD-WAN privat, atau menggunakan Virtual WAN untuk konektivitas cabang ke cabang. Cabang yang perlu mengakses beban kerja mereka di Azure dapat mengakses Azure secara langsung dan aman melalui terowongan IPsec yang dihentikan di hub Virtual WAN.
Mitra CPE SD-WAN dapat mengaktifkan otomatisasi konektivitas IPsec yang biasanya membosankan dan rawan kesalahan dari perangkat CPE masing-masing. Otomatisasi memungkinkan pengontrol SD-WAN berbicara dengan Azure melalui API VIRTUAL WAN untuk mengonfigurasi situs VIRTUAL WAN, dan mendorong konfigurasi terowongan IPsec yang diperlukan ke CPA cabang. Lihat Panduan otomatisasi untuk deskripsi otomatisasi interkoneksi Virtual WAN oleh berbagai mitra SD-WAN.
SD-WAN CPE terus menjadi tempat saat optimalisasi lalu lintas dan pemilihan jalur dilaksanakan dan diberlakukan.
Dalam model ini, beberapa pengoptimalan lalu lintas milik vendor berdasarkan karakteristik lalu lintas real-time mungkin tidak didukung karena konektivitas ke VIRTUAL WAN lebih dari IPsec dan IPsec VPN dihentikan di gateway Virtual WAN VPN. Misalnya, pemilihan jalur dinamis di CPE cabang layak karena perangkat cabang bertukar berbagai informasi paket jaringan dengan simpul SD-WAN lain, karenanya mengidentifikasi tautan terbaik untuk digunakan pada berbagai lalu lintas yang diprioritaskan secara dinamis di cabang. Fitur ini mungkin berguna di area tempat pengoptimalan terakhir (cabang ke Microsoft POP terdekat) diperlukan.
Dengan Virtual WAN, pengguna bisa mendapatkan Azure Path Selection, yang merupakan pemilihan jalur berbasis kebijakan di beberapa tautan ISP dari CPE cabang ke gateway Virtual WAN VPN. VIRTUAL WAN memungkinkan pengaturan beberapa tautan (jalur) dari CPE cabang SD-WAN yang sama; setiap tautan mewakili koneksi terowongan ganda dari IP publik unik SD-WAN CPE ke dua instans gateway Azure Virtual WAN VPN yang berbeda. Vendor SD-WAN dapat menerapkan jalur paling optimal ke Azure, berdasarkan kebijakan lalu lintas yang ditetapkan oleh mesin kebijakan mereka pada tautan CPE. Di ujung Azure, semua koneksi yang masuk diperlakukan sama.
Model interkoneksi langsung dengan NVA-in-VWAN-hub
Model arsitektur ini mendukung penyebaran Network Virtual Appliance (NVA) pihak ketiga langsung ke hub virtual. Ini memungkinkan pelanggan yang ingin menghubungkan CPE cabang mereka ke NVA merek yang sama di hub virtual sehingga mereka dapat memanfaatkan kemampuan SD-WAN end-to-end eksklusif saat terhubung ke beban kerja Azure.
Beberapa Mitra WAN Virtual telah bekerja untuk memberikan pengalaman yang mengonfigurasi NVA secara otomatis sebagai bagian dari proses penyebaran. Setelah NVA disediakan ke hub virtual, konfigurasi tambahan apa pun yang mungkin diperlukan untuk NVA harus dilakukan melalui portal atau aplikasi manajemen mitra NVA. Akses langsung ke NVA tidak tersedia. NVAs yang tersedia untuk disebarkan langsung ke hub Azure Virtual WAN direkayasa khusus untuk digunakan di hub virtual. Untuk mitra yang mendukung NVA di hub VWAN dan panduan penyebaran mereka, silakan lihat artikel Virtual WAN Partners.
SD-WAN CPE terus menjadi tempat saat optimalisasi lalu lintas dan pemilihan jalur dilaksanakan dan diberlakukan. Dalam model ini, optimalisasi lalu lintas milik vendor didasarkan pada karakteristik lalu lintas real-time yang didukung, mengingat konektivitas ke Virtual WAN melalui SD-WAN NVA di hub.
Model Interkoneksi Tidak Langsung
Dalam model arsitektur ini, CPU cabang SD-WAN secara tidak langsung terhubung ke hub Virtual WAN. Seperti yang ditunjukkan oleh gambar, CPE virtual SD-WAN disebarkan di VNet perusahaan. CPE virtual ini, pada gilirannya, terhubung ke hub WAN Virtual menggunakan IPsec. CPE virtual berfungsi sebagai gateway SD-WAN ke Azure. Cabang yang perlu mengakses beban kerja mereka di Azure akan dapat mengaksesnya melalui gateway v-CPE.
Karena konektivitas ke Azure adalah melalui gateway v-CPE (NVA), semua lalu lintas ke dan dari VNet beban kerja Azure ke cabang SD-WAN lainnya melalui NVA. Dalam model ini, pengguna bertanggung jawab untuk mengelola dan mengoperasikan SD-WAN NVA termasuk ketersediaan tinggi, scalability, dan perutean.
Model Hybrid WAN yang dikelola
Dalam model arsitektur ini, perusahaan dapat memanfaatkan layanan SD-WAN terkelola yang ditawarkan oleh mitra Penyedia Layanan Terkelola (MSP). Model ini mirip dengan model langsung atau tidak langsung yang dijelaskan di atas. Namun dalam model ini, desain, orkestrasi, dan operasi SD-WAN disampaikan oleh Penyedia SD-WAN.
Mitra Azure Networking MSP dapat menggunakan Azure Lighthouse untuk mengimplementasikan layanan SD-WAN dan Virtual WAN dalam langganan Azure pelanggan perusahaan, serta mengoperasikan WAN hibrid end-to-end atas nama pelanggan. MSP ini juga dapat mengimplementasikan Azure ExpressRoute ke dalam VIRTUAL WAN dan mengoperasikannya sebagai layanan terkelola end-to-end.