Informazioni sulle appliance virtuali di rete in un hub di rete WAN virtuale
I clienti possono distribuire appliance virtuali di rete (APPLIANCE virtuali di rete) direttamente in un hub rete WAN virtuale in una soluzione gestita congiuntamente da Microsoft Azure e dai fornitori di appliance virtuali di rete di terze parti. Non tutte le appliance virtuali di rete in Azure Marketplace possono essere distribuite in un hub rete WAN virtuale. Per un elenco completo dei partner disponibili, vedere la sezione Partner di questo articolo.
Vantaggi chiave
Quando un'appliance virtuale di rete viene distribuita in un hub rete WAN virtuale, può fungere da gateway di terze parti con varie funzionalità. Può fungere da gateway SD-WAN, firewall o una combinazione di entrambi.
La distribuzione di appliance virtuali di rete in un hub rete WAN virtuale offre i vantaggi seguenti:
- Selezione predefinita e pre-testata delle opzioni di infrastruttura (NVA Infrastructure Units) : Microsoft e il partner collaborano per convalidare i limiti di velocità effettiva e larghezza di banda prima che la soluzione venga resa disponibile ai clienti.
- Disponibilità e resilienza predefinite: rete WAN virtuale le distribuzioni dell'appliance virtuale di rete sono in grado di rilevare la zona di disponibilità (AZ) e vengono configurate automaticamente per essere a disponibilità elevata.
- Provisioning e boot-strapping senza problemi: un'applicazione gestita è prequalificata per il provisioning e l'strapping di avvio per la piattaforma rete WAN virtuale. Questa applicazione gestita è disponibile tramite il collegamento di Azure Marketplace.
- Routing semplificato: sfruttare i sistemi di routing intelligenti di rete WAN virtuale. Le soluzioni di appliance virtuale di rete eselaborano il peering con il router hub rete WAN virtuale e partecipano al processo decisionale di routing rete WAN virtuale in modo analogo ai gateway Microsoft.
- Supporto integrato: i partner hanno un contratto di supporto speciale con Microsoft Azure rete WAN virtuale per diagnosticare e risolvere rapidamente eventuali problemi dei clienti.
- Gestione del ciclo di vita facoltativa fornita dalla piattaforma: gli aggiornamenti e le patch vengono gestiti direttamente dall'utente o come parte del servizio Azure rete WAN virtuale. Per le procedure consigliate relative alla gestione del ciclo di vita del software per le appliance virtuali di rete in rete WAN virtuale, contattare il provider di appliance virtuali di rete o la documentazione del provider di riferimento.
- Integrato con le funzionalità della piattaforma: connettività di transito con gateway Microsoft e Rete virtuale, Encrypted ExpressRoute (sovrimpressione SD-WAN in esecuzione su un circuito ExpressRoute) e le tabelle di route dell'hub virtuale interagiscono senza problemi.
Importante
Per garantire il supporto migliore per questa soluzione integrata, assicurarsi di disporre di livelli simili di diritti di supporto sia con Microsoft che con il provider di appliance virtuali di rete.
Partner
Le tabelle seguenti descrivono le appliance virtuali di rete idonee per la distribuzione nell'hub rete WAN virtuale e i casi d'uso pertinenti (connettività e/o firewall). La colonna identificatore fornitore dell'appliance virtuale di rete rete WAN virtuale corrisponde al fornitore dell'appliance virtuale di rete visualizzato in portale di Azure quando si distribuisce una nuova appliance virtuale di rete o si visualizzano le appliance virtuali di rete esistenti distribuite nell'hub virtuale.
Le appliance virtuali di rete di rete SD-WAN seguenti possono essere distribuite nell'hub rete WAN virtuale.
| Partner | identificatore fornitore dell'appliance virtuale di rete rete WAN virtuale | Guida alla configurazione/procedura/distribuzione | Modello di supporto dedicato |
|---|---|---|---|
| Barracuda Networks | barracudasdwanrelease | Barracuda SecureEdge per rete WAN virtuale Guida alla distribuzione | Sì |
| Cisco SD-WAN | ciscosdwan | L'integrazione della soluzione Cisco SD-WAN con la rete WAN virtuale di Azure migliora Cloud OnRamp per le distribuzioni multi-cloud e consente di configurare Cisco Catalyst 8000V Edge Software (Cisco Catalyst 8000V) come appliance virtuale di rete (NVA) negli hub di Azure rete WAN virtuale. Visualizzare la guida alla configurazione di Cisco SD-WAN Cloud OnRamp, Cisco IOS XE Release 17.x | Sì |
| VMware SD-WAN | vmwaresdwaninvwan | VMware SD-WAN nella guida alla distribuzione dell'hub rete WAN virtuale. L'applicazione gestita per la distribuzione è disponibile in questo collegamento ad Azure Marketplace. | Sì |
| Reti Versa | versanetworks | Se si è un cliente di Versa Networks esistente, accedere all'account Versa e accedere alla guida alla distribuzione usando il collegamento seguente Versa Deployment Guide (Guida alla distribuzione versa). Se si è un nuovo cliente Versa, iscriversi usando il collegamento di iscrizione all'anteprima versa. | Sì |
| Aruba Edge Connessione | arubaedgeconnectenterprise | Aruba Edge Connessione guida alla distribuzione SD-WAN. Attualmente in anteprima: collegamento ad Azure Marketplace | No |
L'appliance virtuale di rete di sicurezza seguente può essere distribuita nell'hub rete WAN virtuale. Questa appliance virtuale può essere usata per controllare tutto il traffico a nord-sud, est-ovest e a Internet.
| Partner | rete WAN virtuale fornitore dell'appliance virtuale di rete | Guida alla configurazione/procedura/distribuzione | Modello di supporto dedicato |
|---|---|---|---|
| Check Point CloudGuard Network Security for Azure rete WAN virtuale | checkpoint | Guida alla distribuzione di Check Point Network Security for rete WAN virtuale | No |
| Firewall fortinet di nuova generazione (NGFW) | fortinet-ngfw | Guida alla distribuzione di Fortinet NGFW . Fortinet NGFW supporta fino a 80 unità di scala e non è consigliabile usare per la terminazione del tunnel SD-WAN. Per la terminazione del tunnel SD-WAN fortigate, vedere la documentazione di Fortinet SD-WAN e NGFW. | No |
Nel rete WAN virtuale hub di rete WAN virtuale è possibile distribuire le appliance virtuali di rete SD-WAN con doppio ruolo (firewall di nuova generazione). Queste appliance virtuali possono essere usate per controllare tutto il traffico a nord-sud, est-ovest e a Internet.
| Partner | rete WAN virtuale fornitore dell'appliance virtuale di rete | Guida alla configurazione/procedura/distribuzione | Modello di supporto dedicato |
|---|---|---|---|
| Firewall fortinet di nuova generazione (NGFW) | fortinet-sdwan-and-ngfw | Guida alla distribuzione di appliance virtuali di rete Fortinet SD-WAN e NGFW . Fortinet SD-WAN e NGFW NVA supporta fino a 20 unità di scala e supporta sia la terminazione del tunnel SD-WAN che le funzionalità del firewall di nuova generazione. | No |
Casi d'uso di base
Connettività any-to-any
I clienti possono distribuire un'appliance virtuale di rete in ogni area di Azure in cui hanno un footprint. I siti di succursale sono connessi ad Azure tramite tunnel SD-WAN che terminano sull'appliance virtuale di rete più vicina distribuita in un hub di rete WAN virtuale di Azure.
I siti di succursale possono quindi accedere ai carichi di lavoro in Azure distribuiti in reti virtuali nella stessa area o in altre aree tramite il backbone globale Microsoft. I siti connessi sd-WAN possono anche comunicare con altri rami connessi ad Azure tramite ExpressRoute, VPN da sito a sito o connettività utente remoto.
Sicurezza fornita da Firewall di Azure insieme all'appliance virtuale di rete di connettività
I clienti possono distribuire un Firewall di Azure insieme alle appliance virtuali di rete basate sulla connettività. rete WAN virtuale routing può essere configurato per inviare tutto il traffico a Firewall di Azure per l'ispezione. È anche possibile configurare rete WAN virtuale per inviare tutto il traffico associato a Internet a Firewall di Azure per l'ispezione.
Sicurezza fornita dai firewall dell'appliance virtuale di rete
I clienti possono anche distribuire appliance virtuali di rete in un hub rete WAN virtuale che eseguono sia la connettività SD-WAN che le funzionalità del firewall di nuova generazione. I clienti possono connettere i dispositivi locali all'appliance virtuale di rete nell'hub e usare la stessa appliance per controllare tutto il traffico a nord-sud, est-ovest e a Internet. Il routing per abilitare questi scenari può essere configurato tramite la finalità di routing e i criteri di routing.
I partner che supportano questi flussi di traffico sono elencati come connettività e sicurezza SD-WAN a doppio ruolo (Firewall di nuova generazione) Appliance virtuali di rete nella sezione Partner.
Come funziona?
Le appliance virtuali di rete disponibili per essere distribuite direttamente nell'hub di Rete WAN virtuale di Azure vengono progettati appositamente per essere usati in un hub rete WAN virtuale. L'offerta dell'appliance virtuale di rete viene pubblicata in Azure Marketplace come applicazione gestita e i clienti possono distribuire l'offerta direttamente da Azure Marketplace.
L'offerta dell'appliance virtuale di rete di ogni partner avrà un'esperienza e funzionalità leggermente diverse in base ai requisiti di distribuzione.
Applicazione gestita
Tutte le offerte di appliance virtuali di rete disponibili per la distribuzione in un hub rete WAN virtuale avranno un'applicazione gestita disponibile in Azure Marketplace. Le applicazioni gestite consentono ai partner di eseguire le operazioni seguenti:
- Creare un'esperienza di distribuzione personalizzata per l'appliance virtuale di rete.
- Fornire un modello di Resource Manager specializzato che consente di creare l'appliance virtuale di rete direttamente in un hub rete WAN virtuale.
- Fatturare i costi di licenza software direttamente o tramite Azure Marketplace.
- Esporre proprietà personalizzate e contatori delle risorse.
I partner dell'appliance virtuale di rete possono creare risorse diverse a seconda della distribuzione dell'appliance, delle licenze di configurazione e delle esigenze di gestione. Quando un cliente crea un'appliance virtuale di rete in un hub rete WAN virtuale, come tutte le applicazioni gestite, nella sottoscrizione verranno creati due gruppi di risorse.
- Gruppo di risorse del cliente: contiene un segnaposto dell'applicazione per l'applicazione gestita. I partner possono usarlo per esporre le proprietà dei clienti scelte qui.
- Gruppo di risorse gestite: i clienti non possono configurare o modificare direttamente le risorse in questo gruppo di risorse, perché questo è controllato dal server di pubblicazione dell'applicazione gestita. Questo gruppo di risorse contiene la risorsa NetworkVirtualAppliances .
Autorizzazioni del gruppo di risorse gestite
Per impostazione predefinita, tutti i gruppi di risorse gestite hanno un'assegnazione Deny-all Microsoft Entra. Le assegnazioni negate impediscono ai clienti di chiamare operazioni di scrittura su qualsiasi risorsa nel gruppo di risorse gestite, incluse le risorse dell'appliance virtuale di rete.
Tuttavia, i partner potrebbero creare eccezioni per azioni specifiche che i clienti possono eseguire sulle risorse distribuite nei gruppi di risorse gestite.
Le autorizzazioni per le risorse nei gruppi di risorse gestite esistenti non vengono aggiornate dinamicamente perché le nuove azioni consentite vengono aggiunte dai partner e richiedono un aggiornamento manuale.
Per aggiornare le autorizzazioni per i gruppi di risorse gestite, i clienti possono sfruttare l'API REST Delle autorizzazioni di aggiornamento.
Nota
Per applicare correttamente le nuove autorizzazioni, è necessario chiamare l'API delle autorizzazioni di aggiornamento con un parametro di query aggiuntivo targetVersion. Il valore per targetVersion è specifico del provider. Fare riferimento alla documentazione del provider per il numero di versione più recente.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
Unità di infrastruttura dell'appliance virtuale di rete
Quando si crea un'appliance virtuale di rete in un hub rete WAN virtuale, è necessario scegliere il numero di unità di infrastruttura dell'appliance virtuale di rete con cui si vuole distribuirlo. Un'unità di infrastruttura dell'appliance virtuale di rete è un'unità di capacità di larghezza di banda aggregata per un'appliance virtuale di rete in un hub rete WAN virtuale. Un'unità di infrastruttura dell'appliance virtuale di rete è simile a un'unità di scala VPN in termini di capacità e dimensionamento.
- Le unità di infrastruttura dell'appliance virtuale di rete sono linee guida per la quantità di velocità effettiva di rete aggregata che possono essere supportate dall'infrastruttura di macchine virtuali in cui vengono distribuite le appliance virtuali di rete. 1 Unità infrastruttura appliance virtuale di rete corrisponde a 500 Mbps di velocità effettiva aggregata. Questo numero di 500 Mbps non prende in considerazione le differenze tra il software eseguito nelle appliance virtuali di rete. A seconda delle funzionalità attivate nell'appliance virtuale di rete o nell'implementazione software specifica del partner, le funzioni di rete, ad esempio la crittografia/decrittografia, l'incapsulamento/decapsulation o l'ispezione approfondita dei pacchetti potrebbero essere più intensi. Ciò significa che è possibile che venga visualizzata una velocità effettiva inferiore rispetto all'unità dell'infrastruttura dell'appliance virtuale di rete. Per un mapping delle unità di infrastruttura dell'appliance virtuale di rete rete WAN virtuale alle velocità effettiva previste, contattare il fornitore.
- supporto tecnico di Azure distribuzioni che vanno da 2 a 80 unità di infrastruttura dell'appliance virtuale di rete per una determinata distribuzione dell'hub virtuale di rete virtuale, ma i partner possono scegliere le unità di scala supportate. Di conseguenza, potrebbe non essere possibile distribuire tutte le possibili configurazioni di unità di scala.
Le appliance virtuali di rete in rete WAN virtuale vengono distribuite per garantire che sia sempre possibile ottenere almeno i numeri di velocità effettiva specifici del fornitore per una determinata unità di scala scelta. A tale scopo, le appliance virtuali di rete in rete WAN virtuale vengono sovraprovisionate con capacità aggiuntiva sotto forma di più istanze in modo "n+1". Ciò significa che in qualsiasi momento è possibile che la velocità effettiva aggregata tra le istanze sia maggiore dei numeri di velocità effettiva specifici del fornitore. In questo modo, se un'istanza non è integra, le istanze 'n' rimanenti possono fornire il traffico dei clienti e fornire la velocità effettiva specifica del fornitore per tale unità di scala.
Se la quantità totale di traffico che passa attraverso un'appliance virtuale di rete in un determinato momento supera i numeri di velocità effettiva specifici del fornitore per l'unità di scala scelta, gli eventi che potrebbero causare l'indisponibilità di un'istanza dell'appliance virtuale di rete, incluse le attività di manutenzione routine della piattaforma Azure o gli aggiornamenti software, possono causare interruzioni del servizio o della connettività. Per ridurre al minimo le interruzioni del servizio, è consigliabile scegliere l'unità di scala in base al profilo di traffico di picco e ai numeri di velocità effettiva specifici del fornitore per una particolare unità di scala anziché basarsi sui numeri di velocità effettiva del caso migliore osservati durante i test.
Processo di configurazione dell'appliance virtuale di rete
I partner hanno lavorato per offrire un'esperienza che configura automaticamente l'appliance virtuale di rete come parte del processo di distribuzione. Dopo aver effettuato il provisioning dell'appliance virtuale di rete nell'hub virtuale, è necessario eseguire qualsiasi configurazione aggiuntiva necessaria per l'appliance virtuale di rete tramite il portale dei partner dell'appliance virtuale di rete o l'applicazione di gestione. L'accesso diretto all'appliance virtuale di rete non è disponibile.
Risorse del sito e della connessione con appliance virtuali di rete
A differenza di rete WAN virtuale configurazioni del gateway VPN da sito a sito, non è necessario creare risorse del sito, risorse di connessione da sito a sito o risorse di connessione da punto a sito per connettere i siti di succursale all'appliance virtuale di rete in un hub rete WAN virtuale.
È comunque necessario creare connessioni da hub a rete virtuale per connettere l'hub rete WAN virtuale alle reti virtuali di Azure, nonché connettere ExpressRoute, VPN da sito a sito o connessioni VPN utente remoto.
Aree geografiche supportate
L'appliance virtuale di rete nell'hub virtuale è disponibile nelle aree seguenti:
| Area geopolitica | Aree di Azure |
|---|---|
| America del Nord | Canada centrale, Canada orientale, Stati Uniti centrali, Stati Uniti orientali, Stati Uniti orientali 2, Stati Uniti centro-meridionali, Stati Uniti centro-settentrionali, Stati Uniti centro-occidentali, Stati Uniti occidentali 2 |
| America del Sud | Regione sud del Brasile, sud-est del Brasile |
| Europa | Francia centrale, Francia meridionale, Germania settentrionale, Germania occidentale, Europa settentrionale, Norvegia orientale, Norvegia occidentale, Svizzera settentrionale, Svizzera occidentale, Regno Unito meridionale, Regno Unito occidentale, Europa occidentale, Svezia centrale, Italia settentrionale |
| Medio Oriente | Emirati Arabi Uniti settentrionali, Qatar centrale, Israele centrale |
| Asia | Asia orientale, Giappone orientale, Giappone occidentale, Corea centrale, Corea meridionale, Asia sud-orientale |
| Australia | Australia sud-orientale, Australia orientale, Australia centrale, Australia centrale 2 |
| Africa | Sudafrica settentrionale |
| India | India meridionale, India occidentale, India centrale |
Domande frequenti su appliance virtuali di rete
Io sono un partner dell'appliance di rete e voglio ottenere l'appliance virtuale di rete nell'hub. Posso partecipare a questo programma partner?
Purtroppo non abbiamo la capacità di bordo di nuove offerte di partner in questo momento. Torna con noi in un secondo momento!
È possibile distribuire un'appliance virtuale di rete da Azure Marketplace nell'hub rete WAN virtuale?
Solo i partner elencati nella sezione Partner possono essere distribuiti nell'hub rete WAN virtuale.
Qual è il costo dell'appliance virtuale di rete?
È necessario acquistare una licenza per l'appliance virtuale di rete dal fornitore dell'appliance virtuale di rete. Bring Your Own License (BYOL) è l'unico modello di licenza attualmente supportato. Inoltre, verranno addebitati addebiti da Microsoft per le unità di infrastruttura dell'appliance virtuale di rete usate e per tutte le altre risorse usate. Per altre informazioni, vedere Concetti relativi ai prezzi.
È possibile distribuire un'appliance virtuale di rete in un hub Basic?
No. Se si vuole distribuire un'appliance virtuale di rete, è necessario usare un hub Standard.
È possibile distribuire un'appliance virtuale di rete in un hub protetto?
Sì. Le appliance virtuali di rete partner possono essere distribuite in un hub con Firewall di Azure.
È possibile connettere qualsiasi dispositivo CPE nella succursale all'appliance virtuale di rete nell'hub?
No. Barracuda CloudGen WAN è compatibile solo con i dispositivi Barracuda CPE. Per altre informazioni sui requisiti della rete WAN CloudGen, vedere la pagina CloudGen WAN di Barracuda. Per Cisco sono disponibili diversi dispositivi CPE SD-WAN compatibili. Vedere la documentazione di Cisco Cloud OnRamp for Multi-Cloud per cpes compatibili. Contattare il provider per eventuali domande.
Quali scenari di routing sono supportati con appliance virtuali di rete nell'hub?
Tutti gli scenari di routing supportati da rete WAN virtuale sono supportati con appliance virtuali di rete nell'hub.
Quali regioni sono supportate?
Per le aree supportate, vedere Aree supportate dall'appliance virtuale di rete.
Ricerca per categorie eliminare l'appliance virtuale di rete nell'hub?
Se la risorsa appliance virtuale di rete è stata distribuita tramite un'applicazione gestita, eliminare l'applicazione gestita. Verrà eliminato automaticamente il gruppo di risorse gestite e la risorsa appliance virtuale di rete associata.
Si noti che non è possibile eliminare un'appliance virtuale di rete che rappresenta la risorsa hop successiva per un criterio di routing. Per eliminare l'appliance virtuale di rete, eliminare prima di tutto i criteri di routing.
Se la risorsa appliance virtuale di rete è stata distribuita tramite software di orchestrazione partner, fare riferimento alla documentazione del partner per eliminare l'appliance virtuale di rete.
In alternativa, è possibile eseguire il comando powershell seguente per eliminare l'appliance virtuale di rete.
Remove-AzNetworkVirtualAppliance -Name <NVA name> -ResourceGroupName <resource group name>
Lo stesso comando può essere eseguito anche dall'interfaccia della riga di comando.
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <Network Virtual Appliance name>
Passaggi successivi
Per altre informazioni sulle rete WAN virtuale, vedere l'articolo panoramica di rete WAN virtuale.