SD-WAN-connectiviteitsarchitectuur met Azure Virtual WAN
Azure Virtual WAN is een netwerkservice die veel cloudconnectiviteits- en beveiligingsservices combineert met één operationele interface. Deze services omvatten vertakking (via site-naar-site-VPN), externe gebruiker (punt-naar-site-VPN), privéconnectiviteit (ExpressRoute), transitieve connectiviteit binnen de cloud voor VNets, VPN- en ExpressRoute-interconnectiviteit, routering, Azure Firewall en versleuteling voor privéconnectiviteit.
Hoewel Azure Virtual WAN een SD-WAN in de cloud is dat een uitgebreide suite van eigen Azure-connectiviteits-, routerings- en beveiligingsservices biedt, is Azure Virtual WAN ook ontworpen om naadloze verbindingen mogelijk te maken met op de locatie gebaseerde SD-WAN- en SASE-technologieën en -services. Veel van dergelijke services worden aangeboden door ons Virtual WAN-ecosysteem en Azure Networking Managed Services-partners (MSP's). Ondernemingen die hun privé-WAN transformeren naar SD-WAN hebben opties bij het verbinden van hun privé-SD-WAN met Azure Virtual WAN. Ondernemingen kunnen kiezen uit deze opties:
- Direct Interconnect-model
- Direct Interconnect-model met NVA-in-VWAN-hub
- Indirect Interconnect-model
- Beheerd hybride WAN-model met behulp van hun favoriete MSP voor beheerde serviceproviders
In al deze gevallen is de interconnectie van Virtual WAN met SD-WAN vergelijkbaar aan de connectiviteitszijde, maar kan variëren aan de indelings- en operationele kant.
Direct Interconnect-model
In dit architectuurmodel is de SD-WAN-branch customer-premises equipment (CPE) rechtstreeks verbonden met Virtual WAN hubs via IPsec-verbindingen. De CPE van de vertakking kan ook worden verbonden met andere vertakkingen via de privé-SD-WAN of Virtual WAN gebruiken voor vertakkings-naar-vertakkingsconnectiviteit. Vertakkingen die toegang moeten hebben tot hun workloads in Azure, kunnen rechtstreeks en veilig toegang krijgen tot Azure via de IPsec-tunnel(s) die worden beëindigd in de Virtual WAN hub(s).
SD-WAN CPE-partners kunnen automatisering inschakelen om de normaal tijdrovende en foutgevoelige IPsec-connectiviteit van hun respectieve CPE-apparaten te automatiseren. Met Automation kan de SD-WAN-controller communiceren met Azure via de Virtual WAN-API om de Virtual WAN-sites te configureren en de benodigde IPsec-tunnelconfiguratie naar de CPO's van de vertakking te pushen. Zie Automation-richtlijnen voor de beschrijving van Virtual WAN automatisering van verbindingen door verschillende SD-WAN-partners.
De SD-WAN CPE blijft de plek waar verkeersoptimalisatie en padselectie wordt geïmplementeerd en afgedwongen.
In dit model wordt bepaalde bedrijfseigen optimalisatie van verkeer van de leverancier op basis van realtime verkeerskenmerken mogelijk niet ondersteund omdat de connectiviteit met Virtual WAN via IPsec verloopt en de IPsec-VPN wordt beëindigd op de Virtual WAN VPN-gateway. Dynamische padselectie op de CPE van de vertakking is bijvoorbeeld haalbaar omdat het vertakkingsapparaat verschillende netwerkpakketgegevens uitwisselt met een ander SD-WAN-knooppunt, waardoor de beste koppeling wordt geïdentificeerd die dynamisch moet worden gebruikt voor verschillende verkeer met prioriteit in de vertakking. Deze functie kan handig zijn in gebieden waar laatste-mijloptimalisatie (vertakking naar de dichtstbijzijnde Microsoft POP) is vereist.
Met Virtual WAN kunnen gebruikers Azure-padselectie ophalen. Dit is een op beleid gebaseerde padselectie tussen meerdere internetproviders van de vertakkings-CPE naar Virtual WAN VPN-gateways. Virtual WAN maakt het mogelijk om meerdere koppelingen (paden) in te stellen vanaf dezelfde SD-WAN-vertakking CPE; elke koppeling vertegenwoordigt een verbinding met twee tunnels van een uniek openbaar IP-adres van de SD-WAN CPE naar twee verschillende exemplaren van Azure Virtual WAN VPN-gateway. SD-WAN-leveranciers kunnen het meest optimale pad naar Azure implementeren op basis van verkeersbeleid dat is ingesteld door hun beleidsengine op de CPE-koppelingen. Aan de Azure-zijde worden alle binnenkomende verbindingen gelijk behandeld.
Direct Interconnect-model met NVA-in-VWAN-hub
Dit architectuurmodel ondersteunt de implementatie van een nva (network virtual appliance) van derden rechtstreeks in de virtuele hub. Hierdoor kunnen klanten die hun vertakking CPE willen verbinden met hetzelfde merk NVA in de virtuele hub, zodat ze kunnen profiteren van eigen end-to-end SD-WAN-mogelijkheden bij het maken van verbinding met Azure-workloads.
Verschillende Virtual WAN partners hebben gewerkt om een ervaring te bieden waarmee de NVA automatisch wordt geconfigureerd als onderdeel van het implementatieproces. Zodra de NVA is ingericht in de virtuele hub, moet eventuele aanvullende configuratie die voor de NVA is vereist, worden uitgevoerd via de NVA-partnersportal of -beheertoepassing. Directe toegang tot de NVA is niet beschikbaar. De NVA's die rechtstreeks in de Azure Virtual WAN-hub kunnen worden geïmplementeerd, zijn speciaal ontworpen om te worden gebruikt in de virtuele hub. Voor partners die NVA in VWAN Hub en hun implementatiehandleidingen ondersteunen, raadpleegt u het artikel Virtual WAN Partners.
De SD-WAN CPE blijft de plek waar verkeersoptimalisatie en padselectie wordt geïmplementeerd en afgedwongen. In dit model wordt door de leverancier eigen verkeersoptimalisatie op basis van realtime verkeerskenmerken ondersteund omdat de connectiviteit met Virtual WAN verloopt via de SD-WAN NVA in de hub.
Indirect Interconnect-model
In dit architectuurmodel zijn CPO's van SD-WAN-vertakkingen indirect verbonden met Virtual WAN hubs. Zoals in de afbeelding wordt weergegeven, wordt een virtuele CPE van SD-WAN geïmplementeerd in een ondernemings-VNet. Deze virtuele CPE is op zijn beurt verbonden met de Virtual WAN hub(s) met behulp van IPsec. De virtuele CPE fungeert als een SD-WAN-gateway in Azure. Vertakkingen die toegang nodig hebben tot hun workloads in Azure, hebben toegang tot deze workloads via de v-CPE-gateway.
Aangezien de connectiviteit met Azure verloopt via de v-CPE-gateway (NVA), gaat al het verkeer van en naar VNets van Azure-workloads naar andere SD-WAN-vertakkingen via de NVA. In dit model is de gebruiker verantwoordelijk voor het beheren en uitvoeren van de SD-WAN NVA, inclusief hoge beschikbaarheid, schaalbaarheid en routering.
Beheerd hybride WAN-model
In dit architectuurmodel kunnen ondernemingen gebruikmaken van een beheerde SD-WAN-service die wordt aangeboden door een MSP-partner (Managed Service Provider). Dit model is vergelijkbaar met de directe of indirecte modellen die hierboven worden beschreven. In dit model worden het SD-WAN-ontwerp, de indeling en de bewerkingen echter geleverd door de SD-WAN-provider.
Azure Networking MSP-partners kunnen Azure Lighthouse gebruiken om de SD-WAN- en Virtual WAN-service te implementeren in het Azure-abonnement van de zakelijke klant, en om het end-to-end hybride WAN namens de klant te gebruiken. Deze MSP's kunnen mogelijk ook Azure ExpressRoute implementeren in de Virtual WAN en deze gebruiken als een end-to-end beheerde service.