Arquitetura de conectividade SD-WAN com o Azure WAN Virtual
O Azure WAN Virtual é um serviço de rede que reúne muitos serviços de conectividade e segurança da cloud com uma única interface operacional. Estes serviços incluem conectividade de ramo (através de VPN site a site), conectividade de utilizador remoto (VPN ponto a site), conectividade privada (ExpressRoute), conectividade transitiva intra-cloud para VNets, interconectividade VPN e ExpressRoute, encaminhamento, Azure Firewall e encriptação para conectividade privada.
Embora o Azure WAN Virtual seja uma SD-WAN baseada na cloud que fornece um conjunto avançado de serviços de conectividade, encaminhamento e segurança originais do Azure, o Azure WAN Virtual também foi concebido para permitir uma interligação totalmente integrada com tecnologias e serviços SD-WAN e SASE baseados no local. Muitos desses serviços são oferecidos pelo nosso ecossistema de WAN Virtual e parceiros de Serviços Geridos de Rede do Azure (MSPs). As empresas que estão a transformar a sua WAN privada em SD-WAN têm opções ao interligar o SD-WAN privado com o Azure WAN Virtual. As empresas podem escolher entre estas opções:
- Modelo de Interligação Direta
- Modelo Direct Interconnect com NVA-in-VWAN-hub
- Modelo de Interligação Indireta
- Modelo de WAN Híbrida Gerida com o respetivo fornecedor de serviços geridos favorito MSP
Em todos estes casos, a interligação de WAN Virtual com SD-WAN é semelhante do lado da conectividade, mas pode variar no lado da orquestração e operacional.
Modelo de Interligação Direta
Neste modelo de arquitetura, o equipamento de instalação do cliente (CPE) do ramo SD-WAN está diretamente ligado a hubs de WAN Virtual através de ligações IPsec. O CPE do ramo também pode estar ligado a outros ramos através da SD-WAN privada ou utilizar WAN Virtual para a conectividade ramo a ramo. Os ramos que precisam de aceder às respetivas cargas de trabalho no Azure poderão aceder direta e de forma segura ao Azure através dos túneis IPsec que são terminados nos hubs WAN Virtual.
Os parceiros CPE SD-WAN podem ativar a automatização para automatizar a conectividade IPsec normalmente entediante e propensa a erros a partir dos respetivos dispositivos CPE. A Automatização permite que o controlador SD-WAN fale com o Azure através da API de WAN Virtual para configurar os sites de WAN Virtual e emitir a configuração de túnel IPsec necessária para as CPEs do ramo. Veja Diretrizes de automatização para obter a descrição da automatização de interligação WAN Virtual por vários parceiros SD-WAN.
O SD-WAN CPE continua a ser o local onde a otimização do tráfego e a seleção do caminho são implementadas e impostas.
Neste modelo, alguma otimização de tráfego proprietário do fornecedor com base nas características de tráfego em tempo real pode não ser suportada porque a conectividade ao WAN Virtual é através de IPsec e a VPN IPsec é terminada no gateway de VPN WAN Virtual. Por exemplo, a seleção de caminho dinâmico no ramo CPE é viável devido ao dispositivo de ramo trocar várias informações de pacotes de rede com outro nó SD-WAN, identificando assim a melhor ligação a utilizar para vários tráfegos priorizados dinamicamente no ramo. Esta funcionalidade pode ser útil em áreas onde é necessária a otimização da última milha (ramo para o MICROSOFT POP mais próximo).
Com WAN Virtual, os utilizadores podem obter a Seleção de Caminho do Azure, que é a seleção de caminho baseada em políticas em várias ligações ISP do ramo CPE para WAN Virtual gateways de VPN. WAN Virtual permite a configuração de várias ligações (caminhos) a partir do mesmo CPE do ramo SD-WAN; cada ligação representa uma ligação de túnel duplo a partir de um IP público exclusivo do CPE SD-WAN para duas instâncias diferentes do gateway de VPN do Azure WAN Virtual. Os fornecedores de SD-WAN podem implementar o caminho mais ideal para o Azure, com base nas políticas de tráfego definidas pelo respetivo motor de política nas ligações CPE. No lado do Azure, todas as ligações que entram são tratadas de forma igual.
Modelo Direct Interconnect com NVA-in-VWAN-hub
Este modelo de arquitetura suporta a implementação de uma Aplicação Virtual de Rede (NVA) de terceiros diretamente no hub virtual. Isto permite que os clientes que pretendem ligar o CPE do ramo à mesma marca NVA no hub virtual, para que possam tirar partido das capacidades SD-WAN de ponto a ponto proprietárias ao ligarem-se a cargas de trabalho do Azure.
Vários WAN Virtual Parceiros trabalharam para proporcionar uma experiência que configura automaticamente a NVA como parte do processo de implementação. Assim que a NVA tiver sido aprovisionada no hub virtual, qualquer configuração adicional que possa ser necessária para a NVA tem de ser efetuada através do portal de parceiros da NVA ou da aplicação de gestão. O acesso direto à NVA não está disponível. As NVAs que estão disponíveis para serem implementadas diretamente no hub WAN Virtual do Azure são concebidas especificamente para serem utilizadas no hub virtual. Para parceiros que suportam a NVA no hub VWAN e os respetivos guias de implementação, veja o artigo WAN Virtual Partners (Parceiros do WAN Virtual).
O SD-WAN CPE continua a ser o local onde a otimização do tráfego e a seleção do caminho são implementadas e impostas. Neste modelo, a otimização do tráfego proprietário do fornecedor com base nas características de tráfego em tempo real é suportada porque a conectividade ao WAN Virtual é através da NVA SD-WAN no hub.
Modelo de Interligação Indireta
Neste modelo de arquitetura, as CPEs do ramo SD-WAN estão indiretamente ligadas a WAN Virtual hubs. Como mostra a figura, é implementado um CPE virtual SD-WAN numa VNet empresarial. Este CPE virtual está, por sua vez, ligado ao(s) hub(s) WAN Virtual através de IPsec. O CPE virtual serve como um gateway SD-WAN para o Azure. Os ramos que precisam de aceder às respetivas cargas de trabalho no Azure poderão aceder às mesmas através do gateway v-CPE.
Uma vez que a conectividade ao Azure é feita através do gateway v-CPE (NVA), todo o tráfego de e para as VNets de carga de trabalho do Azure para outros ramos SD-WAN passa pela NVA. Neste modelo, o utilizador é responsável por gerir e operar a NVA SD-WAN, incluindo elevada disponibilidade, escalabilidade e encaminhamento.
Modelo de WAN Híbrida Gerida
Neste modelo de arquitetura, as empresas podem tirar partido de um serviço SD-WAN gerido oferecido por um parceiro fornecedor de serviços geridos (MSP). Este modelo é semelhante aos modelos diretos ou indiretos descritos acima. No entanto, neste modelo, a estrutura, orquestração e operações SD-WAN são fornecidas pelo Fornecedor SD-WAN.
Os parceiros do Azure Networking MSP podem utilizar o Azure Lighthouse para implementar o serviço SD-WAN e WAN Virtual na subscrição do Azure do cliente empresarial, bem como operar a WAN híbrida ponto a ponto em nome do cliente. Estes MSPs também podem implementar o Azure ExpressRoute no WAN Virtual e operá-lo como um serviço gerido ponto a ponto.