Azure Sanal WAN ile SD-WAN bağlantı mimarisi
Azure Sanal WAN, birçok bulut bağlantısı ve güvenlik hizmetini tek bir işlem arabirimiyle bir araya getiren bir ağ hizmetidir. Bu hizmetler arasında dal (Siteden siteye VPN aracılığıyla), uzak kullanıcı (Noktadan siteye VPN aracılığıyla), özel (ExpressRoute) bağlantısı, sanal ağlar için bulut içi geçişli bağlantı, VPN ve ExpressRoute arasında bağlantı, yönlendirme, Azure Güvenlik Duvarı ve özel bağlantı için şifreleme yer alır.
Azure Sanal WAN, Azure birinci taraf bağlantı, yönlendirme ve güvenlik hizmetlerinden oluşan zengin bir paket sunan bulut tabanlı bir SD-WAN olsa da, Azure Sanal WAN ayrıca şirket içi SD-WAN ve SASE teknolojileri ve hizmetleriyle sorunsuz bir şekilde bağlantı kurmak için tasarlanmıştır. Bu tür hizmetlerin çoğu Sanal WAN ekosistemimiz ve Azure Ağ Yönetilen Hizmetleri iş ortaklarımız (MSP)tarafından sunulmaktadır. Özel WAN'larını SD-WAN'a dönüştüren kuruluşlar, özel SD-WAN'larını Azure Sanal WAN ile birbirine bağladığında seçeneklere sahiptir. Kuruluşlar şu seçenekler arasından seçim yapabilir:
- Doğrudan Bağlantı modeli
- NVA-in-VWAN-hub ile Doğrudan Bağlantı modeli
- Dolaylı Bağlantı modeli
- Sık kullandıkları yönetilen hizmet sağlayıcısı MSP'sini kullanarak yönetilen Karma WAN modeli
Tüm bu durumlarda, Sanal WAN SD-WAN ile bağlantısı bağlantı tarafında benzerdir, ancak düzenleme ve işlem tarafında farklılık gösterebilir.
Doğrudan Bağlantı modeli
Bu mimari modelinde, SD-WAN şubesi müşteri şirket içi donanımı (CPE) IPsec bağlantıları aracılığıyla Sanal WAN hub'lara doğrudan bağlanır. Dal CPE, özel SD-WAN aracılığıyla diğer dallara da bağlanabilir veya daldan dala bağlantı için Sanal WAN kullanabilir. Azure'da iş yüklerine erişmesi gereken dallar, Sanal WAN hub'larında sonlandırılan IPsec tünelleri aracılığıyla Azure'a doğrudan ve güvenli bir şekilde erişebilir.
SD-WAN CPE iş ortakları, ilgili CPE cihazlarından normalde sıkıcı ve hataya eğilimli IPsec bağlantısını otomatikleştirmek için otomasyonu etkinleştirebilir. Otomasyon, SD-WAN denetleyicisinin Sanal WAN sitelerini yapılandırmak için Sanal WAN API'sini kullanarak Azure'la konuşmasına ve dal CPU'larına gerekli IPsec tünel yapılandırmasını göndermesine olanak tanır. Çeşitli SD-WAN iş ortakları tarafından Sanal WAN bağlantı otomasyonu açıklaması için bkz. Otomasyon yönergeleri.
SD-WAN CPE, trafik iyileştirme ve yol seçiminin uygulandığı ve uygulandığı yer olmaya devam eder.
Bu modelde, Sanal WAN bağlantısı IPsec üzerinden olduğundan ve IPsec VPN Sanal WAN VPN ağ geçidinde sonlandırıldığı için gerçek zamanlı trafik özelliklerine dayalı bazı satıcıya özel trafik iyileştirmesi desteklenmeyebilir. Örneğin, dal CPE'de dinamik yol seçimi, dal cihazının farklı ağ paketi bilgilerini başka bir SD-WAN düğümüyle değiştirmesi ve bu nedenle dalda dinamik olarak çeşitli öncelikli trafik için kullanılacak en iyi bağlantıyı belirlemesi nedeniyle uygulanabilir. Bu özellik, son kilometre iyileştirmesinin (en yakın Microsoft POP'a dal) gerekli olduğu alanlarda yararlı olabilir.
Sanal WAN ile kullanıcılar, BGBE dalından Sanal WAN VPN ağ geçitlerine kadar birden çok ISS bağlantısı arasında ilke tabanlı yol seçimi olan Azure Yol Seçimi'ni alabilir. Sanal WAN aynı SD-WAN dalı CPE'sinden birden çok bağlantının (yol) ayarlanmasına olanak tanır; her bağlantı, SD-WAN CPE'nin benzersiz bir genel IP'sinden Azure Sanal WAN VPN ağ geçidinin iki farklı örneğine çift tünel bağlantısını temsil eder. SD-WAN satıcıları, CPE bağlantılarında ilke altyapıları tarafından ayarlanan trafik ilkelerine göre Azure'a en uygun yolu uygulayabilir. Azure tarafında, gelen tüm bağlantılar eşit şekilde ele alır.
NVA-in-VWAN-hub ile Doğrudan Bağlantı modeli
Bu mimari modeli, bir üçüncü taraf Ağ Sanal Gereci'nin (NVA) doğrudan sanal hub'a dağıtımını destekler. Bu, dal CPE'sini sanal hub'daki aynı marka NVA'ya bağlamak isteyen müşterilerin Azure iş yüklerine bağlanırken özel uçtan uca SD-WAN özelliklerinden yararlanabilmesini sağlar.
Birkaç Sanal WAN İş Ortağı, NVA'yi dağıtım işleminin bir parçası olarak otomatik olarak yapılandıran bir deneyim sağlamak için çalışmıştır. NVA sanal hub'a sağlandıktan sonra, NVA için gerekli olabilecek tüm ek yapılandırmaların NVA iş ortakları portalı veya yönetim uygulaması aracılığıyla yapılması gerekir. NVA'ya doğrudan erişim kullanılamaz. Doğrudan Azure Sanal WAN hub'ına dağıtılacak NVA'lar, sanal hub'da kullanılmak üzere özel olarak geliştirilmiştir. VWAN hub'ında NVA'yı destekleyen iş ortakları ve dağıtım kılavuzları için lütfen Sanal WAN İş Ortakları makalesine bakın.
SD-WAN CPE, trafik iyileştirme ve yol seçiminin uygulandığı ve uygulandığı yer olmaya devam eder. Bu modelde, Sanal WAN bağlantısı merkezdeki SD-WAN NVA üzerinden olduğundan gerçek zamanlı trafik özelliklerine dayalı satıcıya özel trafik iyileştirmesi desteklenir.
Dolaylı Bağlantı modeli
Bu mimari modelinde SD-WAN dal CPU'ları dolaylı olarak Sanal WAN hub'lara bağlanır. Şekilde gösterildiği gibi, SD-WAN sanal CPE bir kurumsal sanal ağa dağıtılır. Bu sanal CPE de IPsec kullanılarak Sanal WAN hub'larına bağlanır. Sanal CPE, Azure'a bir SD-WAN ağ geçidi görevi görür. Azure'da iş yüklerine erişmesi gereken dallar bunlara v-CPE ağ geçidi üzerinden erişebilir.
Azure bağlantısı v-CPE ağ geçidi (NVA) üzerinden olduğundan, Azure iş yükü sanal ağlarından diğer SD-WAN dallarına giden ve giden tüm trafik NVA üzerinden gider. Bu modelde kullanıcı, yüksek kullanılabilirlik, ölçeklenebilirlik ve yönlendirme dahil olmak üzere SD-WAN NVA'yı yönetmekten ve çalıştırmakla sorumludur.
Yönetilen Karma WAN modeli
Bu mimari modelinde kuruluşlar, Yönetilen Hizmet Sağlayıcısı (MSP) iş ortağı tarafından sunulan yönetilen bir SD-WAN hizmetinden yararlanabilir. Bu model, yukarıda açıklanan doğrudan veya dolaylı modellere benzer. Ancak bu modelde SD-WAN tasarımı, düzenlemesi ve işlemleri SD-WAN Sağlayıcısı tarafından teslim edilir.
Azure Ağ MSP iş ortaklarıAzure Lighthouse'ı kullanarak kurumsal müşterinin Azure aboneliğinde SD-WAN ve Sanal WAN hizmetini uygulayabilir ve müşteri adına uçtan uca karma WAN'ı çalıştırabilir. Bu MSP'ler Sanal WAN Azure ExpressRoute'u uygulayabilir ve uçtan uca yönetilen bir hizmet olarak çalıştırabilir.