Архитектура подключения SD-WAN к Виртуальной глобальной сети Azure
Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет разные облачные возможности подключения и службы безопасности с единым рабочим интерфейсом. Сюда относятся возможности подключения филиалов (через VPN типа "сеть — сеть"), удаленных пользователей (через VPN типа "точка — сеть"), частных сетей (через ExpressRoute), транзитивные облачные подключения для виртуальных сетей, подключения между VPN и ExpressRoute, а также маршрутизация, Брандмауэр Azure и шифрование для частного подключения.
Хотя Виртуальная глобальная сеть Azure — это облачная SD-WAN, которая предоставляет обширный набор средств собственных служб Azure подключения, маршрутизации и безопасности, Виртуальная глобальная сеть Azure также обеспечивает простое взаимодействие локальных технологий SD-WAN и SASE со службами. Многие такие службы предлагаются в нашей экосистеме Виртуальной глобальной сети и партнерами по управляемым сетевым службам Azure (MSP). Предприятия, которые преобразуют частную глобальную сеть в SD-WAN, могут воспользоваться разными возможностями подключения этих частных SD-WAN к Виртуальной глобальной сети Azure. Доступны следующие варианты:
- Модель прямого подключения.
- Модель прямого подключения с сетевым виртуальным модулем в концентраторе виртуальной глобальной сети.
- Модель непрямого подключения
- Модель управляемой гибридной глобальной сети через избранного поставщика управляемых услуг MSP.
Во всех этих случаях подключение Виртуальной глобальной сети к SD-WAN мало чем отличается в аспектах подключения, но возможны существенные различия в вопросах оркестрации и эксплуатации.
Модель прямого подключения
В этой модели архитектуры абонентское оборудование филиала SD-WAN напрямую подключается к концентраторам Виртуальной глобальной сети через подключения IPsec. Абонентское оборудование филиала может быть подключено к другим филиалам через частные SD-WAN или через Виртуальную глобальную сеть. Филиалы, которым нужен доступ к рабочим нагрузкам в Azure, смогут напрямую и безопасно обращаться к ним через туннели IPsec, которые завершаются на концентраторах Виртуальной глобальной сети.
Партнеры по абонентскому оборудованию для SD-WAN могут включить автоматизацию для традиционно трудоемких и подверженных ошибкам процессов создания подключений IPsec на соответствующих устройствах абонентского оборудования. Такая автоматизация позволяет контроллеру SD-WAN взаимодействовать с Azure через API Виртуальной глобальной сети для настройки сайтов Виртуальной глобальной сети и отправки требуемой конфигурации туннелей IPsec на абонентское оборудование филиала. Рекомендации по автоматизации описывают процессы автоматизации подключения к Виртуальной глобальной сети через разных партнеров по SD-WAN.
Абонентское оборудование SD-WAN отвечает за оптимизацию трафика, а также за реализацию и применение выбора пути.
В этой модели могут не поддерживаться некоторые проприетарные виды оптимизации трафика, реализуемые поставщиками на основе характеристик трафика в реальном времени, так как подключение к Виртуальной глобальной сети осуществляется по протоколу IPsec, а VPN-подключение для IPsec завершается на VPN-шлюзе Виртуальной глобальной сети. Например, динамический выбор пути на абонентском оборудовании филиала возможен благодаря тому, что устройство филиала обменивается сведениями о сетевых пакетах с другим узлом SD-WAN, определяя оптимальный канал для динамического распределения трафика на уровне филиала. Эта возможность может быть полезной в тех ситуациях, когда требуется оптимизация последней мили (сегмента сети от филиала до ближайшей точки присутствия сети Майкрософт).
С Виртуальной глобальной сетью пользователи могут использовать выбор пути передачи данных Azure, который на основе политик выбирает оптимальный вариант для подключения абонентского оборудования филиала к VPN-шлюзам Виртуальной глобальной сети из нескольких каналов, предоставленных разными поставщиками услуг Интернета. Виртуальная глобальная сеть позволяет настроить несколько каналов (путей) от абонентского оборудования одного филиала SD-WAN, где каждый канал представляет собой дуплексный туннель от уникального общедоступного IP-адреса, присвоенного абонентскому оборудованию в SD-WAN, до двух разных экземпляров VPN-шлюза Виртуальной глобальной сети Azure. Поставщики SD-WAN могут реализовать оптимальный путь к Azure на основе политик для трафика, настроенных подсистемой политик для каналов подключения абонентского оборудования. На стороне Azure все входящие подключения считаются равноправными.
Модель прямого подключения с сетевым виртуальным модулем в концентраторе виртуальной глобальной сети.
Эта модель архитектуры поддерживает развертывание сетевого виртуального модуля стороннего производителя (NVA) непосредственно на виртуальном концентраторе. Это позволяет клиентам подключить абонентское оборудование своей ветви к сетевому виртуальному модулю той же марки на виртуальном концентраторе, чтобы воспользоваться преимуществами комплексных возможностей SD-WAN при подключении к рабочим нагрузкам Azure.
Некоторые из участников Виртуальной глобальной сети разработали процесс автоматической настройки NVA в процессе развертывания. После подготовки NVA на виртуальном концентраторе любые дополнительные параметры, необходимые для этого NVA, настраиваются через портал NVA Partners или приложение управления. Прямой доступ к NVA отсутствует. NVA, доступные для развертывания непосредственно на концентраторе Виртуальной глобальной сети Azure, разработаны специально для использования на виртуальном концентраторе. Сведения о партнерах, которые поддерживают NVA на концентраторе виртуальной глобальной сети, а также соответствующие инструкции по развертыванию см. в статье Участники Виртуальной глобальной сети.
Абонентское оборудование SD-WAN отвечает за оптимизацию трафика, а также за реализацию и применение выбора пути. В этой модели поддерживается специально разработанная схема оптимизации трафика на основе его характеристик в реальном времени, поскольку подключение к Виртуальной глобальной сети осуществляется через SD-WAN NVA на концентраторе.
Модель непрямого подключения
В этой модели архитектуры абонентское оборудование филиала SD-WAN косвенно подключается к концентраторам Виртуальной глобальной сети. Как показано на рисунке, в корпоративной виртуальной сети развертывается виртуальное абонентское оборудование SD-WAN. Это виртуальное абонентское оборудование подключается к концентраторам Виртуальной глобальной сети по протоколу IPsec и выполняет роль шлюза SD-WAN в Azure. Филиалы, которым требуется доступ к рабочим нагрузкам в Azure, могут обращаться к ним через шлюз виртуального абонентского оборудования.
Так как подключение к Azure осуществляется через шлюз виртуального абонентского оборудования (виртуальный сетевой модуль), весь входящий и исходящий трафик виртуальных сетей, где размещаются рабочие нагрузки Azure, до других филиалов SD-WAN направляется через этот виртуальный сетевой модуль. В этой модели пользователь отвечает за управление виртуальным сетевым модулем SD-WAN и его эксплуатацию, включая обеспечение высокого уровня доступности, масштабируемость и маршрутизацию.
Модель управляемой гибридной глобальной сети
В этой модели архитектуры предприятия могут использовать управляемую службу SD-WAN, предоставляемую поставщиком управляемых услуг (MSP). Эта модель реализуется так же, как модель прямого или косвенного подключения, которые описаны выше. Но в этой модели проектирование, оркестрацию и эксплуатацию SD-WAN выполняет поставщик SD-WAN.
Партнеры MSP по сети Azure могут использовать Azure Lighthouse для реализации служб SD-WAN и Виртуальной глобальной сети в подписке Azure для корпоративного клиента, а также осуществлять эксплуатацию гибридной глобальной сети от имени клиента. Также партнеры MSP могут создать подключение Microsoft Azure ExpressRoute до Виртуальной глобальной сети и работать с ней как с комплексной управляемой службой.