SD-WAN kapcsolati architektúra az Azure Virtual WAN használatával
Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos felhőkapcsolati és biztonsági szolgáltatást egyetlen működési felülettel fog össze. Ezek a szolgáltatások közé tartozik az ág (helyek közötti VPN-en keresztül), a távoli felhasználó (pont–hely VPN), a privát (ExpressRoute) kapcsolat, a virtuális hálózatok felhőn belüli tranzitív kapcsolata, a VPN és az ExpressRoute összekapcsolhatósága, az útválasztás, az Azure Firewall és a privát kapcsolatok titkosítása.
Bár az Azure Virtual WAN egy felhőalapú SD-WAN, amely az Azure belső kapcsolati, útválasztási és biztonsági szolgáltatásainak gazdag csomagját biztosítja, az Azure Virtual WAN a helyszíni SD-WAN- és SASE-technológiákkal és szolgáltatásokkal való zökkenőmentes összekapcsolást is lehetővé teszi. Számos ilyen szolgáltatást a Virtual WAN-ökoszisztéma és az Azure Networking Managed Services-partnerek (MSP-k) kínálnak. Azok a vállalatok, amelyek saját WAN-jukat SD-WAN-vá alakítják át, lehetőségekkel rendelkeznek a privát SD-WAN és az Azure Virtual WAN összekapcsolásakor. A vállalatok az alábbi lehetőségek közül választhatnak:
- Közvetlen összekapcsolási modell
- Közvetlen összekapcsolási modell az NVA-in-VWAN-hubbal
- Közvetett összekapcsolási modell
- Felügyelt hibrid WAN-modell a kedvenc felügyelt szolgáltató MSP használatával
Ezekben az esetekben a Virtual WAN és az SD-WAN összekapcsolása a kapcsolati oldalról hasonló, de a vezénylési és üzemeltetési oldalon eltérő lehet.
Közvetlen összekapcsolási modell
Ebben az architektúramodellben az SD-WAN-fiók ügyfél-helyszíni berendezései (CPE) közvetlenül IPsec-kapcsolatokon keresztül csatlakoznak a Virtual WAN hubokhoz. Az ág CPE a privát SD-WAN-on keresztül más ágakhoz is csatlakoztatható, vagy a Virtual WAN használatával ágkapcsolatot létesíthet. Azok az ágak, amelyeknek hozzá kell férniük a számítási feladataikhoz az Azure-ban, közvetlenül és biztonságosan hozzáférhetnek az Azure-hoz a Virtual WAN-központ(ok)ban leállított IPsec-alagút(ok)on keresztül.
Az SD-WAN CPE-partnerek automatizálhatják az automatizálást, hogy automatizálhassák a szokásosan unalmas és hibalehetőséget okozó IPsec-kapcsolatot a megfelelő CPE-eszközeikről. Az Automatizálás lehetővé teszi, hogy az SD-WAN-vezérlő a Virtual WAN API-val kommunikáljon az Azure-nal a Virtual WAN-helyek konfigurálásához, és küldje el a szükséges IPsec-alagútkonfigurációt az ág-processzorokhoz. A virtuális WAN-összekapcsolás automatizálásának leírását a különböző SD-WAN-partnerek automatizálási irányelvei között tekintheti meg.
Az SD-WAN CPE továbbra is az a hely, ahol a forgalomoptimalizálás és az útvonalválasztás implementálva és kényszerítve van.
Ebben a modellben előfordulhat, hogy a valós idejű forgalom jellemzőin alapuló, gyártó által védett forgalomoptimalizálás nem támogatott, mert a Virtual WAN-hoz való kapcsolódás IPsec-en keresztül történik, és az IPsec VPN leáll a Virtual WAN VPN-átjárón. Az ág CPE-n például a dinamikus útvonalválasztás megvalósítható, mivel az ágeszköz különböző hálózati csomaginformációkat cserél egy másik SD-WAN-csomóponttal, így azonosítja a legjobb hivatkozást, amelyet dinamikusan használhat a különböző rangsorolt forgalomhoz az ágon. Ez a funkció olyan területeken lehet hasznos, ahol az utolsó mérföld optimalizálása (a legközelebbi Microsoft POP-hoz tartozó ág) szükséges.
A Virtual WAN használatával a felhasználók lekérhetik az Azure Path Selectiont, amely szabályzatalapú útvonalválasztás a CPE ágtól a Virtual WAN VPN-átjárókig több internetszolgáltatói hivatkozás között. A Virtual WAN lehetővé teszi több hivatkozás (elérési út) beállítását ugyanabból az SD-WAN ág cpE-ből; mindegyik hivatkozás egy kettős alagútkapcsolatot jelöl az SD-WAN CPE egyedi nyilvános IP-címéről az Azure Virtual WAN VPN-átjáró két különböző példányára. Az SD-WAN-gyártók a CPE-hivatkozásokon beállított szabályzatmotor által beállított forgalmi szabályzatok alapján implementálhatják az Azure legoptimálisabb útvonalát. Az Azure-ban az összes bejövő kapcsolat egyformán lesz kezelve.
Közvetlen összekapcsolási modell az NVA-in-VWAN-hubbal
Ez az architektúramodell támogatja egy külső hálózati virtuális berendezés (NVA) üzembe helyezését közvetlenül a virtuális központban. Ez lehetővé teszi, hogy azok az ügyfelek, akik az ág CPE-jét a virtuális központban lévő azonos márkájú NVA-hoz szeretnék csatlakoztatni, kihasználhassák a saját fejlesztésű, végpontok közötti SD-WAN-képességek előnyeit az Azure-számítási feladatokhoz való csatlakozáskor.
Számos Virtual WAN-partner dolgozott azon, hogy olyan élményt nyújtson, amely automatikusan konfigurálja az NVA-t az üzembe helyezési folyamat részeként. Miután az NVA üzembe lett helyezve a virtuális központban, az NVA-hoz esetleg szükséges további konfigurációt az NVA-partnerek portálján vagy felügyeleti alkalmazásán keresztül kell elvégezni. Az NVA közvetlen elérése nem érhető el. A közvetlenül az Azure Virtual WAN hubon üzembe helyezhető NVA-k kifejezetten a virtuális központban való használatra vannak tervezve. Az NVA-t a VWAN hubon támogató partnerek és azok üzembe helyezési útmutatóiért tekintse meg a Virtual WAN-partnerekről szóló cikket.
Az SD-WAN CPE továbbra is az a hely, ahol a forgalomoptimalizálás és az útvonalválasztás implementálva és kényszerítve van. Ebben a modellben a gyártó által a valós idejű forgalom jellemzőin alapuló, saját fejlesztésű forgalomoptimalizálás támogatott, mivel a Virtual WAN-hoz való kapcsolódás a központ SD-WAN NVA-n keresztül történik.
Közvetett összekapcsolási modell
Ebben az architektúramodellben az SD-WAN ág cpu-k közvetetten csatlakoznak a Virtual WAN hubokhoz. Az ábrán látható, hogy egy SD-WAN virtuális CPE egy vállalati virtuális hálózaton van üzembe helyezve. Ez a virtuális CPE viszont IPsec használatával csatlakozik a Virtual WAN hub(ok)hoz. A virtuális CPE SD-WAN-átjáróként szolgál az Azure-ba. Azok az ágak, amelyeknek hozzá kell férniük a számítási feladataikhoz az Azure-ban, a v-CPE-átjárón keresztül érhetik el őket.
Mivel az Azure-hoz való kapcsolódás a v-CPE-átjárón (NVA) keresztül történik, az Azure-beli számítási feladatok virtuális hálózatai és más SD-WAN-ágak közötti összes forgalom az NVA-n keresztül történik. Ebben a modellben a felhasználó feladata az SD-WAN NVA kezelése és üzemeltetése, beleértve a magas rendelkezésre állást, a méretezhetőséget és az útválasztást.
Felügyelt hibrid WAN-modell
Ebben az architektúramodellben a vállalatok egy felügyelt szolgáltatói (MSP) partner által kínált felügyelt SD-WAN szolgáltatást használhatnak. Ez a modell hasonló a fent leírt közvetlen vagy közvetett modellekhez. Ebben a modellben azonban az SD-WAN tervezését, vezénylését és műveleteit az SD-WAN-szolgáltató biztosítja.
Az Azure Networking MSP-partnerei az Azure Lighthouse használatával implementálhatják az SD-WAN és a Virtual WAN szolgáltatást a vállalati ügyfél Azure-előfizetésében, valamint az ügyfél nevében üzemeltethetik a végpontok közötti hibrid WAN-t. Ezek az MSP-k az Azure ExpressRoute-ot is implementálhatják a Virtual WAN-ban, és végpontok közötti felügyelt szolgáltatásként üzemeltethetik.