關於 Virtual WAN 中樞內的 NVA
客戶可以直接在由 Microsoft Azure 和第三方網路虛擬設備廠商共同管理的解決方案中,將選取的網路虛擬設備 (NVA) 部署至虛擬 WAN 中樞。 並非全部 Azure Marketplace 的網路虛擬設備都可以部署到虛擬 WAN 中樞。 如需可用合作夥伴的完整清單,請參閱本文中的合作夥伴一節。
重點優勢
當 NVA 部署至虛擬 WAN 中樞時,這可以作為具有各種功能的第三方閘道。 該裝置可以作為 SD-WAN 閘道、防火牆或兩者的組合。
將 NVA 部署至 Virtual WAN 中樞可提供下列優點:
- 預先定義且預先測試的基礎結構選擇 (NVA 基礎結構單位):Microsoft 和合作夥伴會共同合作,藉以在客戶提供解決方案之前驗證輸送量和頻寬限制。
- 內建可用性和復原能力:虛擬 WAN NVA 部署是可用性區域 (AZ) 感知,而且會自動設定為高可用性。
- 簡便的佈建和啟動載入:受控應用程式已預先針對為虛擬 WAN 平台的佈建和啟動載入通過審查。 此受控應用程式可透過 Azure Marketplace 連結取得。
- 簡化的路由:利用虛擬 WAN 智慧型路由系統。 NVA 解決方案會與虛擬 WAN中樞路由器對等互連,並參與類似於 Microsoft 閘道的虛擬 WAN 路由決策程序。
- 整合式支援:合作夥伴有與 Microsoft Azure 虛擬 WAN 的特殊支援合約,可快速診斷並解決任何客戶問題。
- 選擇性的平台提供生命週期管理:升級和修補程式是直接受控於您或受控於 Azure 虛擬 WAN 服務的一部分。 如需虛擬 WAN 中 NVA 的軟體生命週期管理相關最佳做法,請連絡您的 NVA 提供者或參考提供者文件。
- 與平台功能整合:透過 Microsoft 閘道和虛擬網路的傳輸連線、加密 ExpressRoute (透過 ExpressRoute 線路執行的 SD-WAN 重疊) 和虛擬中樞路由表順暢互動。
重要
為了確保您獲得此整合式解決方案的最佳支援,請確定您擁有 Microsoft 和網路虛擬裝置提供者的類似支援權利層級。
合作夥伴
下表說明有資格在虛擬 WAN 中樞部署的網路虛擬設備,以及相關的使用案例 (連線和/或防火牆)。 當您部署新的 NVA 或檢視虛擬中樞內部署的現有 NVA 時,虛擬 WAN NVA 廠商識別碼資料行會對應至 Azure 入口網站中顯示的 NVA 廠商。
下列 SD-WAN 連線網路虛擬裝置可以在虛擬 WAN 中樞部署。
合作夥伴 | 虛擬 WAN NVA 廠商識別碼 | 設定/操作說明/部署指南 | 專用支援模型 |
---|---|---|---|
Barracuda Networks | barracudasdwanrelease | 適用於虛擬 WAN 的 Barracuda SecureEdge 部署指南 | Yes |
Cisco SD-WAN (英文) | ciscosdwan | Cisco SD-WAN 解決方案與 Azure 虛擬 WAN 的整合可增強 Cloud OnRamp 以進行多雲端部署,且能在 Azure 虛擬 WAN 中樞內將 Cisco Factor 8000V Edge Software (Cisco Defender 8000V) 設定為網路虛擬裝置 (NVA)。 檢視 Cisco SD-WAN Cloud OnRamp,Cisco IOS XE 17.x 設定指南 | Yes |
VMware SD-WAN | vmwaresdwaninvwan | 虛擬 WAN 中樞部署指南中的 VMware SD-WAN。 您可以在此 Azure Marketplace 連結找到用於部署的受控應用程式。 | Yes |
Versa 網路 | versanetworks | 如果您是現有的 Versa Networks 客戶,請登入您的 Versa 帳戶,並使用下列連結存取部署指南:Versa 部署指南。 如果您是新的 Versa 客戶,請使用 Versa 預覽版註冊連結進行註冊。 | Yes |
Aruba EdgeConnect (英文) | arubaedgeconnectenterprise | Aruba EdgeConnect SD-WAN 部署指南 (英文)。 目前處於預覽狀態:Azure Marketplace 連結 | No |
下列安全性連線網路虛擬裝置可以在虛擬 WAN 中樞部署。 此虛擬裝置可用來檢查所有北-南、東-西和網際網路繫結流量。
合作夥伴 | 虛擬 WAN NVA 廠商 | 設定/操作說明/部署指南 | 專用支援模型 |
---|---|---|---|
適用於 Azure 虛擬 WAN 的 Check Point CloudGuard 網路安全性 | checkpoint | 適用於虛擬 WAN 的 Check Point 網路安全性部署指南 | No |
Forcepoint 新世代防火牆 (NGFW) | fortinet-ngfw | Fortinet NGFW 部署指南。 Fortinet NGFW 支援最多 80 個縮放單位,不建議用於 SD-WAN 通道終止。 如需 Fortigate SD-WAN 通道終止的相關資訊,請參閱 Fortinet SD-WAN 和 NGFW 文件。 | No |
(預覽) 適用於 Azure 虛擬 WAN 的 Cisco 安全防火牆威脅防禦 | cisco-tdv-vwan-nva | 適用於虛擬 WAN 的 Cisco 安全防火牆威脅防禦部署指南 | No |
下列雙角色 SD-WAN 連線和安全性 (新一代防火牆) 網路虛擬裝置可以在虛擬 WAN 中樞內部署。 這些虛擬裝置可用來檢查所有北-南、東-西和網際網路繫結流量。
合作夥伴 | 虛擬 WAN NVA 廠商 | 設定/操作說明/部署指南 | 專用支援模型 |
---|---|---|---|
Forcepoint 新世代防火牆 (NGFW) | fortinet-sdwan-and-ngfw | Fortinet SD-WAN 和 NGFW NVA 部署指南。 Fortinet SD-WAN 和 NGFW NVA 最多可支援 20 個縮放單位,並支援 SD-WAN 通道終止和新一代防火牆功能。 | No |
基本使用案例
任意對任意連線性
客戶可以在具有磁碟使用量的每個 Azure 區域中部署 NVA。 分支網站會透過 SD-WAN 通道連線至 Azure,這終止於部署在 Azure 虛擬 WAN 中樞而且最接近的 NVA 上。
接著,分支網站可以透過 Microsoft 全域骨幹,存取在相同區域或其他區域的虛擬網路中部署的工作負載。 SD-WAN 連線的網站也可以與透過 ExpressRoute、站對站 VPN 或遠端使用者連線的其他分支進行通訊。
Azure 防火牆以及連線 NVA 所提供的安全性
客戶可以一併部署 Azure 防火牆連線型 NVA。 虛擬 WAN 路由可以設定為將全部流量傳送至 Azure 防火牆以進行檢查。 您也可以設定虛擬 WAN,將全部網際網路繫結的流量傳送至 Azure 防火牆以進行檢查。
NVA 防火牆提供的安全性
客戶也可以將 NVA 部署至執行 SD-WAN 連線能力和新一代防火牆功能的虛擬 WAN 中樞。 客戶可以將內部部署設備連線至中樞內的 NVA,並使用相同的設備來檢查全部北-南、東-西和網際網路繫結流量。 您可以透過路由意圖和路由原則來設定這些案例的路由。
支援這些流量的合作夥伴會列在合作夥伴區段中,列為雙角色 SD-WAN 連線和安全性 (新一代防火牆) 網路虛擬裝置。
如何運作?
可直接部署至 Azure 虛擬 WAN 中樞的 NVA 會特別設計成用於虛擬 WAN 中樞。 NVA 供應項目會發佈至 Azure Marketplace 做為受控應用程式,而客戶可以直接從 Azure Marketplace 部署供應項目。
每個合作夥伴的 NVA 供應項目都會根據其部署需求,有不同的體驗和功能。
受控應用程式
全部可供部署到虛擬 WAN 中樞的 NVA 供應項目,都會有可在 Azure Marketplace 中使用的受控應用程式。 受控應用程式可讓合作夥伴執行下列動作:
- 為其 NVA 組建自訂部署體驗。
- 提供特製化 Resource Manager 範本,讓他們可以直接在虛擬 WAN 中樞內建立 NVA。
- 直接計費軟體授權成本,或透過 Azure Marketplace 計費。
- 公開自訂屬性和資源計量。
NVA 合作夥伴可能會根據其設備部署、設定授權和管理需求來建立不同的資源。 客戶在虛擬 WAN 中樞內建立 NVA 時 (如同全部受控應用程式),客戶的訂閱中會建立兩個資源群組。
- 客戶資源群組 - 這會包含受控應用程式的應用程式預留位置。 合作夥伴可以使用此項目,公開他們在此處選擇的任何客戶屬性。
- 受控資源群組 - 客戶無法直接設定或變更此資源群組中的資源,因為這是由受控應用程式的發行者所控制。 此資源群組包含 NetworkVirtualAppliances 資源。
移除資源群組權限
根據預設,所有受控資源群組都有全部拒絕的 Microsoft Entra 指派。 全部拒絕指派可防止客戶在受控資源群組中的任何資源上呼叫寫入作業,包括網路虛擬設備資源。
不過,合作夥伴可能會為特定動作建立例外狀況,允許客戶在受控資源群組中部署的資源上執行這些動作。
現有受控資源群組中資源的權限不會動態更新,因為合作夥伴會新增新的允許動作,且需要手動重新整理。
若要重新整理受控資源群組的權限,客戶可以利用重新整理權限 REST API。
注意
若要適當地套用新的權限,則必須使用額外的查詢參數 targetVersion 呼叫重新整理權限 API。 targetVersion 的值是提供者特定的。 如需最新版本號碼,請參閱提供者的文件。
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
NVA 基礎結構單位
當您在虛擬 WAN 中樞內建立 NVA 時,必須選擇要用來部署的 NVA 基礎結構單位數目。 NVA 基礎結構單位是虛擬 WAN 中樞內 NVA 的彙總頻寬容量單位。 NVA 基礎結構單位類似於 VPN 縮放單位,就您考量容量和調整大小的方式而言。
- NVA 基礎結構單位是一個指導方針,說明部署了 NVA 的虛擬機器基礎結構可以支援多少彙總網路輸送量。 1 NVA 基礎結構單位對應至 500 Mbps 的彙總輸送量。 此 500 Mbps 數目並未考量網路虛擬設備所執行軟體之間的差異。 根據 NVA 或合作夥伴特定軟體實作中開啟的功能,加密/解密、封裝/解除封裝或深層封包檢查等網路功能可能會更密集。 這表示您可能會看到小於 NVA 基礎結構單位的輸送量。 如需虛擬 WAN NVA 基礎結構單位與預期輸送量的對應,請連絡廠商。
- 針對指定的 NVA 虛擬中樞部署,Azure 可支援 2-80 NVA 基礎結構單位的部署,但合作夥伴可能會選擇其支援的縮放單位。 因此,您可能無法部署所有適用的縮放單位設定。
NVA 會部署在虛擬 WAN 中,以確保您一律能達到特定所選縮放單位的廠商特定最低輸送量。 為了達成此目的,虛擬 WAN 中的 NVA 會透過 'n+1' 方式,以多個執行個體的形式過度佈建額外容量。 這表示在任何指定時間,您可能會看到跨執行個體的彙總輸送量大於廠商特定輸送量數目。 若有一個執行個體狀況不良,其餘的 'n' 個執行個體即可傳送客戶的流量,並為該縮放單位提供廠商特定的輸送量。
如果在指定時間內通過 NVA 的流量總數,超過所選縮放單位的廠商特定輸送量數目,可能會發生 NVA 執行個體無法使用的事件,包括但不限於可能導致服務或連線中斷的例行 Azure 平台維護活動或軟體升級。 若要將服務中斷情形降到最低,您應該根據尖峰流量設定檔和特定縮放單位的廠商特定輸送量數目來選擇縮放單位,而不是仰賴測試期間觀察到的最佳輸送量數目。
NVA 設定程序
合作夥伴已致力於提供在部署過程中自動設定 NVA 的體驗。 將 NVA 佈建到虛擬中樞之後,必須透過 NVA 合作夥伴入口網站或管理應用程式,針對 NVA 進行任何必要的其他設定。 無法直接存取 NVA。
使用 NVA 的網站和連線資源
不同於虛擬 WAN 站對站 VPN 閘道設定,您不需要建立網站資源、站對站連線資源或點對站連線資源,將您的分支網站連線至虛擬 WAN 中樞內的 NVA。
您仍然需要建立中樞對 VNet 連線,藉以將虛擬 WAN 中樞連線至 Azure 虛擬網路,以及連線 ExpressRoute、站對站 VPN 或遠端使用者 VPN 連線。
支援的區域
虛擬中樞中的 NVA 可在下列區域中使用:
地緣政治區域 | Azure 區域 |
---|---|
北美洲 | 加拿大中部、加拿大東部、美國中部、美國東部、美國東部 2、美國中南部、美國中北部、美國中西部、美國西部、美國西部 2 |
南美洲 | 巴西南部、巴西東南部 |
歐洲 | 法國中部、法國南部、德國北部、德國中西部、北歐、挪威東部、挪威西部、瑞士北部、瑞士西部、英國南部、英國西部、西歐、瑞典中部、義大利北部 |
中東 | 阿拉伯聯合大公國北部、卡達中部、以色列中部 |
亞洲 | 東亞、日本東部、日本西部、韓國中部、韓國南部、東南亞 |
澳洲 | 澳大利亞東南部,澳大利亞東部,澳大利亞中部,澳大利亞中部 2 |
非洲 | 南非北部 |
印度 | 印度南部、印度西部、印度中部 |
NVA 常見問題
我是網路虛擬設備 (NVA) 合作夥伴,想要在中樞取得我們的 NVA。 我可以加入此合作夥伴計畫嗎?
不過,我們目前沒有容量可讓任何新的合作夥伴供應項目上線。 請稍後再與我們確認!
我可以將任何 NVA 從 Azure Marketplace 部署到虛擬 WAN 中樞嗎?
只有 [合作夥伴] 區段中所列的合作夥伴可以部署至 Virtual WAN 中樞。
NVA 的成本為何?
您必須向 NVA 廠商購買 NVA 的授權。 自備授權 (BYOL) 是目前唯一支援的授權模型。 此外,Microsoft 會向您所取用的 NVA 基礎結構單位以及您使用的任何其他資源收費。 如需詳細資訊,請參閱價格概念。
我可以將 NVA 部署至基本中樞嗎?
否,如果您想要部署 NVA,則必須使用標準中樞。
我可以將 NVA 部署到安全中樞嗎?
是。 合作夥伴 NVA 可以部署至具有 Azure 防火牆的中樞。
我可以將分公司中的任何裝置連線至中樞內的 NVA 嗎?
否,Barracuda CloudGen WAN 只與 Barracuda 邊線裝置相容。 若要深入瞭解 CloudGen WAN 需求,請參閱 Barracuda 的 CloudGen WAN 頁面。 針對 Cisco,有數個相容的 SD-WAN 裝置。 如需相容的 CPU,請參閱適用於多重雲端的 Cisco Cloud OnRamp 文件。 如何任何問題,請連絡您的提供者。
中樞的 NVA 支援哪些路由案例?
中樞的 NVA 支援虛擬 WAN支援的全部路由案例。
支援哪些地區?
如需支援的區域,請參閱 NVA 支援的區域。
如何在中樞裡刪除我的 NVA?
如果網路虛擬裝置資源是透過受控應用程式部署的,請刪除該受控應用程式。 刪除受管理應用程式會自動刪除受控資源群組和相關聯的網路虛擬裝置資源。
如果 NVA 是路由原則的下一個躍點資源,那麼您無法刪除該 NVA。 若要刪除 NVA,請先刪除路由原則。
如果網路虛擬裝置資源的部署是透過合作夥伴協調流程軟體來進行的,請參閱合作夥伴文件以刪除網路虛擬裝置。
或者,您可以執行下列 Powershell 命令來刪除網路虛擬裝置。
尋找您所要刪除 NVA 的 Azure 資源群組。 Azure 資源群組通常與部署虛擬 WAN 中樞的資源群組不同。 確定 NVA 資源的虛擬中樞屬性對應至您所要刪除的 NVA。 下列範例假設您訂用帳戶中的所有 NVA 都有相異的名稱。 如果有多個相同名稱的 NVA,請確定您所收集的資訊與您要刪除的 NVA 相關聯。
$nva = Get-AzNetworkVirtualAppliance -Name <NVA name> $nva.VirtualHub
刪除 NVA。
Remove-AzNetworkVirtualAppliance -Name $nva.Name -ResourceGroupName $nva.ResourceGroupName
您可以從 Azure CLI 執行相同系列的步驟。
- 尋找您所要刪除 NVA 的 Azure 資源群組。 Azure 資源群組通常與部署虛擬 WAN 中樞的資源群組不同。 確定 NVA 資源的虛擬中樞屬性對應至您所要刪除的 NVA。
az network virtual-appliance list
- 刪除 NVA
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <NVA name>
下一步
若要深入瞭解虛擬 WAN,請參閱虛擬 WAN 概觀頁面。