Informacje o urządzeniach WUS w koncentratorze usługi Virtual WAN
Klienci mogą wdrażać wybrane wirtualne urządzenia sieciowe (WUS) bezpośrednio w koncentratorze usługi Virtual WAN w rozwiązaniu, które jest wspólnie zarządzane przez platformę Microsoft Azure i innych dostawców wirtualnych urządzeń sieciowych. Nie wszystkie wirtualne urządzenia sieciowe w witrynie Azure Marketplace można wdrożyć w koncentratorze usługi Virtual WAN. Aby uzyskać pełną listę dostępnych partnerów, zobacz sekcję Partnerzy tego artykułu.
Główne korzyści
Po wdrożeniu urządzenia WUS w koncentratorze usługi Virtual WAN może ona służyć jako brama innej firmy z różnymi funkcjami. Może ona służyć jako brama SD-WAN, Zapora lub kombinacja obu.
Wdrażanie urządzeń WUS w koncentratorze usługi Virtual WAN zapewnia następujące korzyści:
- Wstępnie zdefiniowany i wstępnie przetestowany wybór opcji infrastruktury (jednostki infrastruktury urządzenia WUS): firma Microsoft i partner współpracują ze sobą, aby zweryfikować limity przepływności i przepustowości przed udostępnieniem rozwiązania klientom.
- Wbudowana dostępność i odporność: wdrożenia wirtualnego urządzenia WAN WAN są świadome strefy dostępności (AZ) i są automatycznie skonfigurowane pod kątem wysokiej dostępności.
- Bez problemów z aprowizowaniem i przywiązaniem rozruchu: aplikacja zarządzana jest wstępnie zakwalifikowana do aprowizacji i przypinania rozruchu dla platformy Virtual WAN. Ta aplikacja zarządzana jest dostępna za pośrednictwem linku witryny Azure Marketplace.
- Uproszczony routing: skorzystaj z inteligentnych systemów routingu usługi Virtual WAN. Rozwiązania WUS są równorzędne z routerem koncentratora usługi Virtual WAN i uczestniczą w procesie podejmowania decyzji o routingu usługi Virtual WAN podobnie jak w przypadku bram firmy Microsoft.
- Zintegrowana pomoc techniczna: Partnerzy mają specjalną umowę pomocy technicznej z usługą Microsoft Azure Virtual WAN w celu szybkiego diagnozowania i rozwiązywania problemów klientów.
- Opcjonalne zarządzanie cyklem życia zapewniane przez platformę: uaktualnienia i poprawki są zarządzane bezpośrednio przez Ciebie lub w ramach usługi Azure Virtual WAN. Aby uzyskać najlepsze rozwiązania związane z zarządzaniem cyklem życia oprogramowania dla urządzeń WAN w usłudze Virtual WAN, skontaktuj się z dostawcą urządzenia WUS lub dokumentacją dostawcy referencyjnego.
- Zintegrowane z funkcjami platformy: Łączność tranzytowa z bramami firmy Microsoft i sieciami wirtualnymi, szyfrowana usługa ExpressRoute (nakładka SD-WAN uruchomiona za pośrednictwem obwodu usługi ExpressRoute) i tabele tras koncentratora wirtualnego bezproblemowo współdziałają.
Ważne
Aby zapewnić najlepszą obsługę tego zintegrowanego rozwiązania, upewnij się, że masz podobne poziomy uprawnień do pomocy technicznej zarówno u firmy Microsoft, jak i dostawcy wirtualnego urządzenia sieciowego.
Partnerzy
W poniższych tabelach opisano wirtualne urządzenia sieciowe, które kwalifikują się do wdrożenia w koncentratorze usługi Virtual WAN oraz odpowiednie przypadki użycia (łączność i/lub zapora). Kolumna Identyfikator dostawcy wirtualnego urządzenia WAN sieci WAN odpowiada dostawcy urządzenia WUS wyświetlanemu w witrynie Azure Portal podczas wdrażania nowego urządzenia WUS lub wyświetlania istniejących urządzeń WUS wdrożonych w koncentratorze wirtualnym.
Następujące wirtualne urządzenia sieciowe łączności SD-WAN można wdrożyć w koncentratorze usługi Virtual WAN.
| Partnerzy | Identyfikator dostawcy wirtualnego urządzenia sieciowego sieci WAN | Przewodnik konfiguracji/instrukcji/wdrażania | Dedykowany model pomocy technicznej |
|---|---|---|---|
| Barracuda Networks | barracudasdwanrelease | Barracuda SecureEdge for Virtual WAN Deployment Guide | Tak |
| Cisco SD-WAN | ciscosdwan | Integracja rozwiązania Cisco SD-WAN z wirtualną siecią WAN platformy Azure rozszerza usługę Cloud OnRamp na potrzeby wdrożeń w wielu chmurach i umożliwia konfigurowanie oprogramowania Cisco Catalyst 8000V Edge Software (Cisco Catalyst 8000V) jako wirtualnego urządzenia sieciowego (NVA) w koncentratorach usługi Azure Virtual WAN. Zobacz Przewodnik konfiguracji aplikacji Cisco SD-WAN Cloud OnRamp, Cisco IOS XE Release 17.x | Tak |
| VMware SD-WAN | vmwaresdwaninvwan | Przewodnik wdrażania koncentratora VMware SD-WAN w usłudze Virtual WAN. Aplikację zarządzaną do wdrożenia można znaleźć pod tym linkiem do witryny Azure Marketplace. | Tak |
| Versa Networks | versanetworks | Jeśli jesteś istniejącym klientem Versa Networks, zaloguj się do swojego konta Versa i uzyskaj dostęp do przewodnika wdrażania, korzystając z poniższego linku Versa Deployment Guide (Podręcznik wdrażania odwrotnego). Jeśli jesteś nowym klientem Versa, zarejestruj się przy użyciu linku rejestracji w wersji zapoznawczej Versa. | Tak |
| Krawędź w Brzegu Połączenie | argentynaconnectenterprise | Przewodnik wdrażania standardu SD-WAN w usłudze Intune Edge Połączenie. Obecnie w wersji zapoznawczej: link do witryny Azure Marketplace | Nie. |
Następujące zabezpieczenia Wirtualne urządzenie sieciowe można wdrożyć w koncentratorze usługi Virtual WAN. To urządzenie wirtualne może służyć do inspekcji całego ruchu północno-południowego, wschodniego i zachodniego oraz ruchu powiązanego z Internetem.
| Partnerzy | Dostawca wirtualnego urządzenia WAN WAN | Przewodnik konfiguracji/instrukcji/wdrażania | Dedykowany model pomocy technicznej |
|---|---|---|---|
| Check Point CloudGuard Network Security for Azure Virtual WAN | checkpoint | Przewodnik wdrażania usługi Check Point Network Security for Virtual WAN | Nie. |
| Zapora nowej generacji fortinet (NGFW) | fortinet-ngfw | Fortinet NGFW deployment guide (Przewodnik wdrażania fortinet NGFW ). Fortinet NGFW obsługuje maksymalnie 80 jednostek skalowania i nie zaleca się ich używać do kończenia tunelu SD-WAN. Aby zapoznać się z kończeniem tunelu SD-WAN, zobacz dokumentację fortinet SD-WAN i NGFW. | Nie. |
Następujące wirtualne urządzenia wirtualne SD-WAN o podwójnej roli (Zapora nowej generacji) można wdrożyć w koncentratorze usługi Virtual WAN. Te urządzenia wirtualne mogą służyć do inspekcji całego ruchu północno-południowego, wschodniego i internetowego.
| Partnerzy | Dostawca wirtualnego urządzenia WAN WAN | Przewodnik konfiguracji/instrukcji/wdrażania | Dedykowany model pomocy technicznej |
|---|---|---|---|
| Zapora nowej generacji fortinet (NGFW) | fortinet-sdwan-and-ngfw | Fortinet SD-WAN i NGFW NVA deployment guide (Przewodnik wdrażania urządzenia WAN fortinet SD-WAN i NGFW NVA ). Fortinet SD-WAN i NGFW NVA obsługuje do 20 jednostek skalowania i obsługuje zarówno kończenie tunelu SD-WAN, jak i możliwości zapory nowej generacji. | Nie. |
Podstawowe przypadki użycia
Łączność typu dowolna-dowolna
Klienci mogą wdrażać urządzenie WUS w każdym regionie świadczenia usługi Azure, w którym mają ślad. Lokacje gałęzi są połączone z platformą Azure za pośrednictwem tuneli SD-WAN kończących się na najbliższym urządzeniu WUS wdrożonym w koncentratorze usługi Azure Virtual WAN.
Lokacje oddziałów mogą następnie uzyskiwać dostęp do obciążeń na platformie Azure wdrożonych w sieciach wirtualnych w tym samym regionie lub w innych regionach za pośrednictwem globalnej sieci szkieletowej firmy Microsoft. Połączone lokacje SD-WAN mogą również komunikować się z innymi gałęziami połączonymi z platformą Azure za pośrednictwem usługi ExpressRoute, sieci VPN typu lokacja-lokacja lub łączności użytkownika zdalnego.
Zabezpieczenia udostępniane przez usługę Azure Firewall wraz z urządzeniem WUS łączności
Klienci mogą wdrożyć usługę Azure Firewall obok swoich urządzeń WUS opartych na łączności. Routing usługi Virtual WAN można skonfigurować do wysyłania całego ruchu do usługi Azure Firewall w celu przeprowadzenia inspekcji. Możesz również skonfigurować usługę Virtual WAN tak, aby wysyłała cały ruch powiązany z Internetem do usługi Azure Firewall w celu przeprowadzenia inspekcji.
Zabezpieczenia zapewniane przez zapory urządzenia WUS
Klienci mogą również wdrażać urządzenia WUS w koncentratorze usługi Virtual WAN, które wykonują zarówno łączność SD-WAN, jak i zaporę nowej generacji. Klienci mogą łączyć urządzenia lokalne z urządzeniem WUS w centrum, a także używać tego samego urządzenia do inspekcji całego ruchu północno-południowego, wschodniego i internetowego. Routing umożliwiający włączenie tych scenariuszy można skonfigurować za pomocą intencji routingu i zasad routingu.
Partnerzy, którzy obsługują te przepływy ruchu, są wymienieni jako wirtualne urządzenia sieciowe o podwójnej roli SD-WAN i zabezpieczenia (Zapora nowej generacji) w sekcji Partnerzy.
Jak to działa?
Urządzenia WUS, które są dostępne do wdrożenia bezpośrednio w koncentratorze usługi Azure Virtual WAN, są przeznaczone specjalnie do użycia w koncentratorze usługi Virtual WAN. Oferta urządzenia WUS jest publikowana w witrynie Azure Marketplace jako aplikacja zarządzana, a klienci mogą wdrażać ofertę bezpośrednio z witryny Azure Marketplace.
Każda oferta urządzenia WUS partnera będzie mieć nieco inne środowisko i funkcjonalność na podstawie wymagań dotyczących wdrożenia.
Aplikacja zarządzana
Wszystkie oferty urządzeń WUS, które są dostępne do wdrożenia w koncentratorze usługi Virtual WAN, będą miały zarządzaną aplikację dostępną w witrynie Azure Marketplace. Aplikacje zarządzane umożliwiają partnerom wykonywanie następujących czynności:
- Utwórz niestandardowe środowisko wdrażania dla swojego urządzenia WUS.
- Podaj wyspecjalizowany szablon usługi Resource Manager, który umożliwia tworzenie urządzenia WUS bezpośrednio w koncentratorze usługi Virtual WAN.
- Rozliczanie kosztów licencjonowania oprogramowania bezpośrednio lub za pośrednictwem witryny Azure Marketplace.
- Uwidaczniaj właściwości niestandardowe i mierniki zasobów.
Partnerzy urządzenia WUS mogą tworzyć różne zasoby w zależności od ich wdrożenia urządzenia, licencjonowania konfiguracji i potrzeb w zakresie zarządzania. Gdy klient utworzy urządzenie WUS w koncentratorze usługi Virtual WAN, podobnie jak wszystkie aplikacje zarządzane, w ramach subskrypcji będą tworzone dwie grupy zasobów.
- Grupa zasobów klienta — zawiera symbol zastępczy aplikacji dla aplikacji zarządzanej. Partnerzy mogą użyć tej funkcji, aby uwidocznić wszystkie wybrane tutaj właściwości klienta.
- Zarządzana grupa zasobów — klienci nie mogą bezpośrednio konfigurować ani zmieniać zasobów w tej grupie zasobów, ponieważ jest to kontrolowane przez wydawcę aplikacji zarządzanej. Ta grupa zasobów zawiera zasób NetworkVirtualAppliances .
Uprawnienia zarządzanej grupy zasobów
Domyślnie wszystkie zarządzane grupy zasobów mają przypisanie odmów całej firmy Microsoft. Odmów wszystkich przypisań uniemożliwia klientom wywoływanie operacji zapisu na dowolnych zasobach w zarządzanej grupie zasobów, w tym zasobów wirtualnego urządzenia sieciowego.
Jednak partnerzy mogą tworzyć wyjątki dla określonych akcji, które klienci mogą wykonywać na zasobach wdrożonych w zarządzanych grupach zasobów.
Uprawnienia do zasobów w istniejących zarządzanych grupach zasobów nie są dynamicznie aktualizowane, ponieważ nowe dozwolone akcje są dodawane przez partnerów i wymagają ręcznego odświeżania.
Aby odświeżyć uprawnienia do zarządzanych grup zasobów, klienci mogą korzystać z interfejsu API REST uprawnień odświeżania.
Uwaga
Aby prawidłowo zastosować nowe uprawnienia, interfejs API uprawnień odświeżania musi być wywoływany z dodatkowym parametrem query targetVersion. Wartość targetVersion jest specyficzna dla dostawcy. Zapoznaj się z dokumentacją dostawcy, aby uzyskać najnowszy numer wersji.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
Jednostki infrastruktury urządzenia WUS
Podczas tworzenia urządzenia WUS w koncentratorze usługi Virtual WAN należy wybrać liczbę jednostek infrastruktury urządzenia WUS, za pomocą których ma zostać wdrożona. Jednostka infrastruktury urządzenia WUS to jednostka zagregowanej pojemności przepustowości dla urządzenia WUS w koncentratorze usługi Virtual WAN. Jednostka infrastruktury urządzenia WUS jest podobna do jednostki skalowania sieci VPN pod względem sposobu, w jaki myślisz o pojemności i rozmiarze.
- Jednostki infrastruktury urządzenia WUS są wytycznymi dotyczącymi przepływności zagregowanej sieci infrastruktury maszyny wirtualnej, na której są wdrażane urządzenia WUS. 1 Jednostka infrastruktury urządzenia WUS odpowiada 500 Mb/s zagregowanej przepływności. Ta liczba 500 Mb/s nie uwzględnia różnic między oprogramowaniem uruchomionym na wirtualnych urządzeniach sieciowych. W zależności od funkcji włączonych w urządzeniu WUS lub implementacji oprogramowania specyficznego dla partnera funkcje sieciowe, takie jak szyfrowanie/odszyfrowywanie, hermetyzacja/decapsulation lub głęboka inspekcja pakietów mogą być bardziej intensywne. Oznacza to, że może być widoczna mniejsza przepływność niż jednostka infrastruktury urządzenia WUS. Aby uzyskać mapowanie jednostek infrastruktury wirtualnego urządzenia WAN na oczekiwane przepływności, skontaktuj się z dostawcą.
- pomoc techniczna platformy Azure wdrożenia od 2 do 80 jednostek infrastruktury urządzenia WUS dla danego wdrożenia koncentratora wirtualnego urządzenia WUS, ale partnerzy mogą wybrać, które jednostki skalowania obsługują. W związku z tym może nie być możliwe wdrożenie wszystkich możliwych konfiguracji jednostek skalowania.
Urządzenia WUS w wirtualnej sieci WAN są wdrażane, aby mieć pewność, że zawsze można osiągnąć co najmniej numery przepływności specyficzne dla dostawcy dla określonej wybranej jednostki skalowania. Aby to osiągnąć, urządzenia WUS w wirtualnej sieci WAN są nadmiernie aprowizowane z dodatkową pojemnością w postaci wielu wystąpień w sposób "n+1". Oznacza to, że w dowolnym momencie może być widoczna zagregowana przepływność w wystąpieniach, która będzie większa niż liczba przepływności specyficznych dla dostawcy. Gwarantuje to, że wystąpienie jest w złej kondycji, pozostałe wystąpienia "n" mogą obsługiwać ruch klientów i zapewnić przepływność specyficzną dla dostawcy dla tej jednostki skalowania.
Jeśli łączna ilość ruchu przechodzącego przez urządzenie WUS w danym momencie przekroczy numery przepływności specyficzne dla dostawcy dla wybranej jednostki skalowania, zdarzenia, które mogą spowodować niedostępność wystąpienia urządzenia WUS, w tym, ale nie tylko rutynowe działania konserwacyjne platformy Azure lub uaktualnienia oprogramowania, mogą spowodować zakłócenia usługi lub łączności. Aby zminimalizować przerwy w działaniu usługi, należy wybrać jednostkę skalowania na podstawie szczytowego profilu ruchu i numerów przepływności specyficznych dla dostawcy dla określonej jednostki skalowania, w przeciwieństwie do polegania na liczbach przepływności najlepszych przypadków zaobserwowanych podczas testowania.
Proces konfiguracji urządzenia WUS
Partnerzy pracowali nad zapewnieniem środowiska, które automatycznie konfiguruje urządzenie WUS w ramach procesu wdrażania. Po aprowizacji urządzenia WUS w koncentratonie wirtualnym należy wykonać dodatkową konfigurację, która może być wymagana dla urządzenia WUS za pośrednictwem portalu partnerów urządzenia WUS lub aplikacji do zarządzania. Bezpośredni dostęp do urządzenia WUS nie jest dostępny.
Zasoby lokacji i połączenia z urządzeniami WUS
W przeciwieństwie do konfiguracji bramy sieci VPN typu lokacja-lokacja usługi Virtual WAN nie trzeba tworzyć zasobów lokacji, zasobów połączenia lokacja-lokacja ani zasobów połączenia punkt-lokacja, aby połączyć lokacje oddziałów z urządzeniem WAN w koncentratorze usługi Virtual WAN.
Nadal musisz utworzyć połączenia typu koncentrator-sieć wirtualna, aby połączyć koncentrator usługi Virtual WAN z sieciami wirtualnymi platformy Azure, a także połączyć usługę ExpressRoute, sieć VPN typu lokacja-lokacja lub połączenia sieci VPN użytkownika zdalnego.
Obsługiwane regiony
Urządzenie WUS w koncentratonie wirtualnym jest dostępne w następujących regionach:
| Region geopolityczny | Regiony platformy Azure |
|---|---|
| Ameryka Północna | Kanada Środkowa, Kanada Wschodnia, Środkowe stany USA, Wschodnie stany USA, Wschodnie stany USA 2, Południowo-środkowe stany USA, Północno-środkowe stany USA, Zachodnio-środkowe stany USA, Zachodnie stany USA 2 |
| SAmeryka Południowa | Brazylia Południowa, Brazylia Południowo-Wschodnia |
| Europa | Francja Środkowa, Francja Południowa, Niemcy Północne, Niemcy Zachodnio-środkowe, Europa Północna, Norwegia Wschodnia, Norwegia Zachodnia, Szwajcaria Północna, Szwajcaria Zachodnia, Południowe Zjednoczone Królestwo, Europa Zachodnia, Europa Zachodnia, Szwecja Środkowa, Włochy Północne |
| Bliski Wschód | Zjednoczone Emiraty Arabskie, Katar Środkowy, Izrael Środkowy |
| Azja | Azja Wschodnia, Japonia Wschodnia, Japonia Zachodnia, Korea Środkowa, Korea Południowa, Azja Południowo-Wschodnia |
| Australia | Australia Południowo-Wschodnia, Australia Wschodnia, Australia Środkowa, Australia Środkowa 2 |
| Afryka | Północna Republika Południowej Afryki |
| Indie | Indie Południowe, Indie Zachodnie, Indie Środkowe |
Urządzenie WUS — często zadawane pytania
Jestem partnerem urządzenia sieciowego i chcę uzyskać nasze urządzenie WUS w centrum. Czy mogę dołączyć do tego programu partnerskiego?
Niestety, obecnie nie mamy możliwości dołączania żadnych nowych ofert partnerów. Wróć do nas w późniejszym terminie!
Czy mogę wdrożyć dowolne urządzenie WUS z witryny Azure Marketplace w koncentratorze usługi Virtual WAN?
Tylko partnerzy wymienieni w sekcji Partnerzy mogą być wdrażani w koncentratorze usługi Virtual WAN.
Jaki jest koszt urządzenia WUS?
Musisz kupić licencję urządzenia WUS od dostawcy urządzenia WUS. Bring-your-own license (BYOL) to jedyny obsługiwany obecnie model licencjonowania. Ponadto zostaną naliczone opłaty od firmy Microsoft za używane jednostki infrastruktury urządzenia WUS oraz wszelkie inne używane zasoby. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące cen.
Czy mogę wdrożyć urządzenie WUS w centrum w warstwie Podstawowa?
L.p. Jeśli chcesz wdrożyć urządzenie WUS, musisz użyć centrum w warstwie Standardowa.
Czy mogę wdrożyć urządzenie WUS w bezpiecznym centrum?
Tak. Wirtualne urządzenia WUS partnera można wdrożyć w centrum za pomocą usługi Azure Firewall.
Czy mogę połączyć dowolne urządzenie CPE w oddziale z urządzeniem WUS w centrum?
L.p. Barracuda CloudGen WAN jest zgodny tylko z urządzeniami Barracuda CPE. Aby dowiedzieć się więcej o wymaganiach usługi CloudGen WAN, zobacz stronę CloudGen WAN firmy Barracuda. W przypadku firmy Cisco istnieje kilka urządzeń SD-WAN CPE, które są zgodne. Zobacz dokumentację cisco Cloud OnRamp for Multi-Cloud , aby zapoznać się z zgodnymi procesorami CPE. Skontaktuj się z dostawcą, aby uzyskać odpowiedzi na wszelkie pytania.
Jakie scenariusze routingu są obsługiwane w przypadku urządzenia WUS w centrum?
Wszystkie scenariusze routingu obsługiwane przez usługę Virtual WAN są obsługiwane w przypadku urządzeń WUS w centrum.
Jakie regiony są obsługiwane?
Aby uzyskać informacje o obsługiwanych regionach, zobacz Regiony obsługiwane przez urządzenie WUS.
Jak mogę usunąć moje urządzenie WUS w centrum?
Jeśli zasób wirtualnego urządzenia sieciowego został wdrożony za pośrednictwem aplikacji zarządzanej, usuń aplikację zarządzaną. Spowoduje to automatyczne usunięcie zarządzanej grupy zasobów i skojarzonego zasobu wirtualnego urządzenia sieciowego.
Należy pamiętać, że nie można usunąć urządzenia WUS będącego zasobem następnego przeskoku dla zasad routingu. Aby usunąć urządzenie WUS, najpierw usuń zasady routingu.
Jeśli zasób wirtualnego urządzenia sieciowego został wdrożony za pośrednictwem oprogramowania orkiestracji partnera, zapoznaj się z dokumentacją partnera, aby usunąć wirtualne urządzenie sieciowe.
Alternatywnie możesz uruchomić następujące polecenie programu PowerShell, aby usunąć wirtualne urządzenie sieciowe.
Remove-AzNetworkVirtualAppliance -Name <NVA name> -ResourceGroupName <resource group name>
To samo polecenie można również uruchomić z poziomu interfejsu wiersza polecenia.
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <Network Virtual Appliance name>
Następne kroki
Aby dowiedzieć się więcej o usłudze Virtual WAN, zobacz artykuł Omówienie usługi Virtual WAN.