使用Azure 虚拟WAN 的SDWAN 连线架构
发布时间:2022-03-09作者:小编阅读:0
Azure 虚拟WAN 是一种网路服务,透过单一操作介面整合许多云端连线能力和安全性服务。这些服务包括透过站对站VPN 的分支() 、远端使用者(点对站VPN) 、私用(ExpressRoute) 连线能力、适用于Vnet 的云端间可转移连线、VPN 和ExpressRoute 互连能力、路由、Azure 防火墙,以及私人连线的加密。
虽然Azure 虚拟WAN 是以云端为基础的SD-WAN,可提供丰富的Azure 第一方连线、路由和安全性服务套件,但Azure 虚拟WAN 也设计为可让您顺畅地与以内部部署为基础的SD-WAN 和SASE 技术与服务互相连线。这类服务大多数由我们的虚拟WAN生态系统和Azure 网路受控服务合作伙伴(MSP)所提供。将私人WAN 转换至SD-WAN 的企业在将其私人SD-WAN 与Azure 虚拟WAN 进行互连时,有数种选择。企业可从下列选项中选择:
直接互连模型
使用NVA 的直接互连模型-VWAN-中枢
间接互连模型
使用其最爱的受控服务提供者MSP管理的混合式WAN 模型
在所有这些情况下,虚拟WAN 与SD-WAN 的互连从连线方面来看是相似的,但在协调流程和操作方面可能有所不同。
直接互连模型
Diagram of direct interconnect model.
在此架构模式中,SD-WAN 分支用户端设备(CPE) 会透过IPsec 连线直接连线至虚拟WAN 中枢。分支CPE 也可以透过私人SD-WAN 连接到其他分支,或使用虚拟WAN 进行分支对分支连线。需要在Azure 中存取其工作负载的分支将能够透过终止于虚拟WAN 中枢内的IPsec 通道,直接安全地存取Azure。
SD-WAN CPE 合作伙伴可以启用自动化,以便从其各自的CPE 装置上自动完成通常繁琐且容易出错的IPsec 连线。自动化可让SD WAN 控制器透过虚拟WAN API 与Azure 进行通讯,以设定虚拟WAN 网站,并将必要的IPsec 通道设定推送至分支CPEs。
SD-WAN CPE 会继续成为执行和强制执行流量优化和路径选取的位置。
在此模型中,因为与虚拟WAN 的连线是透过IPsec 进行,且IPsec VPN 是终止于虚拟WAN VPN 闸道上,所以可能不支援某些厂商以即时流量特性为基础的专属流量最佳化。例如,在分支CPE 的动态路径选择是可行的,因为分支装置会与另一个SD WAN 节点交换各种网路封包资讯,因此,可于分支中动态识别最佳连结,以用于各种已排定优先顺序的流量。此功能在最后关键最佳化的所在区域中(分支到最接近的Microsoft POP) 可能会很有帮助。
透过虚拟WAN,使用者可以取得Azure 路径选择,这是跨多个ISP 连结(从分支CPE 到虚拟WAN VPN 闸道) 的原则式路径选则。虚拟WAN 可让您从相同的SD-WAN 分支CPE 设定多个连结(路径);每个连结代表从SD-WAN CPE 的唯一公用IP 到两个不同的Azure 虚拟WAN VPN 闸道执行个体的双通道连线。SD-WAN 厂商可以根据其原则引擎在CPE 连结上设定的流量原则,对Azure 实作最佳路径。在Azure 端,所有传入的连接都会平等处理。
使用NVA 的直接互连模型-VWAN-中枢
Diagram of direct interconnect model with NVA-in-VWAN-hub.
此架构模型支援协力厂商 网路虚拟装置的部署(NVA 直接) 至虚拟中枢。这可让想要将分支CPE 连线到虚拟中枢内相同品牌NVA 的客户,让他们能够在连线到Azure 工作负载时利用专属的端对端SD WAN 功能。
有几个虚拟WAN 伙伴可提供在部署过程中自动设定NVA 的体验。将NVA 布建到虚拟中枢之后,NVA 所需的任何其他设定都必须透过NVA 合作伙伴入口网站或管理应用程式来完成。无法直接存取NVA。可以直接部署到Azure 虚拟WAN 中枢的Nva,是专门用在虚拟中枢的程式设计。
SD-WAN CPE 会继续成为执行和强制执行流量优化和路径选取的位置。在此模型中,支援以即时流量特性为基础的厂商专属流量优化,因为虚拟WAN 的连线是透过中枢内的SD-WAN NVA。
间接互连模型
Diagram of indirect interconnect model.
在此架构模型中,SD-WAN 分支CPE 会间接连线到虚拟WAN 中枢。如图所示,SD WAN 虚拟CPE 部署在企业VNet 中。接下来,这个虚拟CPE 会使用IPsec 连线到虚拟WAN 中枢。使用虚拟CPE 作为进入Azure 的SD WAN 闸道。需要在Azure 中存取其工作负载的分支将能够透过v-CPE 闸道存取工作负载。
由于与Azure 的连线是透过v-CPE 闸道(NVA) 进行的,因此,所有进出Azure 工作负载VNet 到其他SD-WAN 分支的流量都要透过NVA 进行。在此模型中,使用者负责管理和操作SD-WAN NVA,包括高可用性、可扩缩性和路由。
受控混合式WAN 模型
Diagram of managed hybrid WAN model.
在此架构模型中,企业可以利用受控服务提供者(MSP) 合作伙伴所提供的受控SD WAN服务。此模型与上述的直接或间接模型类似。不过,在此模型中,SD-WAN 设计、协调流程和作业是由SD WAN 提供者所传递。
亿联云是一家云网服务提供商、大带宽租赁、光纤专线接入、云服务器等行业,提供性价比高的产品和优质的技术服务,赢得了数十万用户的青睐,如有疑问,欢迎致电010-53390328!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,请联系站长邮箱:shawn.lee@eliancloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:使用Azure 虚拟WAN 的SDWAN 连线架构
TAG标签:SDWAN
地址:https://www.elinkcloud.cn/article/20220309160814.html