Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет разные облачные возможности подключения и службы безопасности с единым рабочим интерфейсом. Сюда относятся возможности подключения филиалов (через VPN типа "сеть — сеть"), удаленных пользователей (через VPN типа "точка — сеть"), частных сетей (через ExpressRoute), транзитивные облачные подключения для виртуальных сетей, подключения между VPN и ExpressRoute, а также маршрутизация, Брандмауэр Azure и шифрование для частного подключения.
Хотя Виртуальная глобальная сеть Azure — это облачная SD-WAN, которая предоставляет обширный набор средств собственных служб Azure подключения, маршрутизации и безопасности, Виртуальная глобальная сеть Azure также обеспечивает простое взаимодействие локальных технологий SD-WAN и SASE со службами. Многие такие службы предлагаются в нашей экосистеме Виртуальной глобальной сети и партнерами по управляемым сетевым службам Azure (MSP). Предприятия, которые преобразуют частную глобальную сеть в SD-WAN, могут воспользоваться разными возможностями подключения этих частных SD-WAN к Виртуальной глобальной сети Azure. Доступны следующие варианты:
- Модель прямого подключения.
- Модель прямого подключения с сетевым виртуальным модулем в концентраторе виртуальной глобальной сети.
- Модель непрямого подключения
- Модель управляемой гибридной глобальной сети через избранного поставщика управляемых услуг MSP.
Во всех этих случаях подключение Виртуальной глобальной сети к SD-WAN мало чем отличается в аспектах подключения, но возможны существенные различия в вопросах оркестрации и эксплуатации.
Модель прямого подключения.
В этой модели архитектуры абонентское оборудование филиала SD-WAN напрямую подключается к концентраторам Виртуальной глобальной сети через подключения IPsec. Абонентское оборудование филиала может быть подключено к другим филиалам через частные SD-WAN или через Виртуальную глобальную сеть. Филиалы, которым нужен доступ к рабочим нагрузкам в Azure, смогут напрямую и безопасно обращаться к ним через туннели IPsec, которые завершаются на концентраторах Виртуальной глобальной сети.
Партнеры по CPE для SD-WAN могут использовать автоматизацию для упрощения традиционно трудоемкого и склонного к ошибкам процесса установления IPsec соединений на своих устройствах. Такая автоматизация позволяет контроллеру SD-WAN взаимодействовать с Azure через API Виртуальной глобальной сети для настройки сайтов Виртуальной глобальной сети и отправки требуемой конфигурации туннелей IPsec на абонентское оборудование филиала. См. Рекомендации по автоматизации для описания автоматизации межсетевых соединений Виртуальной WAN различными партнерами по SD-WAN.
Абонентское оборудование SD-WAN продолжает оставаться местом, где осуществляется оптимизация трафика и реализация выбора пути.
В этой модели могут не поддерживаться некоторые проприетарные виды оптимизации трафика, реализуемые поставщиками на основе характеристик трафика в реальном времени, так как подключение к Виртуальной глобальной сети осуществляется по протоколу IPsec, а VPN-подключение для IPsec завершается на VPN-шлюзе Виртуальной глобальной сети. Например, динамический выбор пути на CPE филиала возможен благодаря обмену устройством филиала различной информацией о сетевых пакетах с другим узлом SD-WAN, тем самым в реальном времени определяя лучший канал для использования различными видами приоритизированного трафика на уровне филиала. Эта возможность может быть полезной в тех ситуациях, когда требуется оптимизация последней мили (сегмента сети от филиала до ближайшей точки присутствия сети Майкрософт).
С помощью Виртуальной WAN пользователи могут получить доступ к выбору пути Azure, который основывается на политике и осуществляет выбор маршрута через несколько каналов связи от абонентского оборудования филиала (CPE) к VPN-шлюзам Виртуальной WAN. Виртуальная сеть WAN позволяет настроить несколько каналов (путей) от абонентского оборудования одного филиала SD-WAN; каждый канал представляет собой двойное туннельное соединение от уникального общедоступного IP-адреса абонентского оборудования SD-WAN к двум разным экземплярам VPN-шлюза Виртуальной сети Azure. Поставщики SD-WAN могут реализовать оптимальный путь к Azure на основе политик для трафика, настроенных подсистемой политик для каналов подключения абонентского оборудования. На стороне Azure все входящие подключения считаются равноправными.
Модель прямого подключения с NVA в хабе VWAN.
Эта модель архитектуры поддерживает развертывание сетевого виртуального модуля стороннего производителя (NVA) непосредственно на виртуальном концентраторе. Это позволяет клиентам подключить оборудование конечного потребителя в своём филиале к сетевому виртуальному устройству той же марки на виртуальном концентраторе, чтобы воспользоваться преимуществами фирменных комплексных возможностей SD-WAN при подключении к рабочим нагрузкам Azure.
Некоторые из участников Виртуальной глобальной сети разработали процесс автоматической настройки NVA в процессе развертывания. После подготовки NVA на виртуальном концентраторе любые дополнительные настройки, которые могут потребоваться для этого NVA, должны выполняться через портал партнёров NVA или управляющее приложение. Прямой доступ к NVA отсутствует. NVA, доступные для развертывания непосредственно на концентраторе Виртуальной глобальной сети Azure, разработаны специально для использования на виртуальном концентраторе. Сведения о партнерах, которые поддерживают NVA на концентраторе виртуальной глобальной сети, а также соответствующие инструкции по развертыванию см. в статье Участники Виртуальной глобальной сети.
Абонентское оборудование CPE SD-WAN продолжает быть местом, где происходит оптимизация трафика и осуществляется выбор пути. В этой модели поддерживается специально разработанная схема оптимизации трафика на основе его характеристик в реальном времени, поскольку подключение к Виртуальной глобальной сети осуществляется через SD-WAN NVA на концентраторе.
Модель непрямого подключения
В этой модели архитектуры абонентское оборудование филиала SD-WAN косвенно подключается к концентраторам Виртуальной глобальной сети. Как показано на рисунке, в корпоративной виртуальной сети развертывается виртуальное абонентское оборудование SD-WAN. Это виртуальное абонентское оборудование, в свою очередь, подключается к концентраторам виртуальной глобальной сети с использованием протокола IPsec. Виртуальный CPE служит шлюзом SD-WAN в Azure. Филиалы, которым необходим доступ к рабочим нагрузкам в Azure, могут получить его через виртуальный CPE-шлюз.
Так как подключение к Azure осуществляется через шлюз виртуального абонентского оборудования (виртуальный сетевой модуль), весь входящий и исходящий трафик виртуальных сетей, где размещаются рабочие нагрузки Azure, до других филиалов SD-WAN направляется через этот виртуальный сетевой модуль. В этой модели пользователь отвечает за управление виртуальным сетевым модулем SD-WAN и его эксплуатацию, включая обеспечение высокого уровня доступности, масштабируемость и маршрутизацию.
Модель управляемой гибридной глобальной сети
В этой модели архитектуры предприятия могут использовать управляемую службу SD-WAN, предоставляемую поставщиком управляемых услуг (MSP). Эта модель аналогична моделям прямого или косвенного типа, описанным выше. Но в этой модели проектирование, оркестрацию и эксплуатацию SD-WAN выполняет поставщик SD-WAN.
Партнеры MSP по сети Azure могут использовать Azure Lighthouse для реализации служб SD-WAN и Виртуальной глобальной сети в подписке Azure для корпоративного клиента, а также осуществлять эксплуатацию гибридной глобальной сети от имени клиента. Партнеры компании MSP могут также интегрировать Microsoft Azure ExpressRoute в виртуальную WAN-сеть и эксплуатировать её как полностью управляемую службу.