Co je Azure Virtual WAN?
Azure Virtual WAN je síťová služba, která spojuje mnoho síťových, bezpečnostních a směrovacích funkcí, které poskytují jediné provozní rozhraní. Mezi tyto funkce patří připojení poboček (prostřednictvím automatizace připojení ze zařízení Virtual WAN Partner, jako jsou SD-WAN nebo VPN CPE), připojení VPN site-to-site, připojení VPN vzdáleného uživatele (point-to-site), privátní připojení (ExpressRoute), připojení v rámci cloudu (tranzitivní připojení pro virtuální sítě), propojení VPN ExpressRoute, směrování, Azure Firewall a šifrování pro privátní připojení. Všechny tyto případy použití není začínáte používat, abyste je Virtual WAN. Můžete jednoduše začít s jedním případem použití a pak síť upravit podle toho, jak se vyvíjí.
Architektura Virtual WAN je architektura centra a paprsku s integrovaným škálováním a výkonem pro větve (zařízení VPN/SD-WAN), uživatele (klienty Azure VPN, OpenVPN/IKEv2), okruhy ExpressRoute a virtuální sítě. Umožňuje globální architekturu tranzitní sítě,kde "centrum" sítě hostované v cloudu umožňuje tranzitivní připojení mezi koncovými body, které je možné distribuovat mezi různé typy paprsků.
Oblasti Azure slouží jako centra, ke které se můžete připojit. Všechna rozbočovače jsou připojená v plné síti v Virtual WAN, což uživateli usnadňuje použití páteřní sítě Microsoftu pro připojení typu any-to-any (libovolný paprsk). V případě připojení paprsků se zařízeními SD-WAN/VPN je uživatelé mohou buď ručně nastavit v Azure Virtual WAN, nebo použít partnerské řešení Virtual WAN CPE (SD-WAN/VPN) k nastavení připojení k Azure. Máme seznam partnerů, kteří podporují automatizaci připojení (možnost exportu informací o zařízení do Azure, stažení konfigurace Azure a navázání připojení) s Azure Virtual WAN. Další informace najdete v článku Virtual WAN a umístěních.
Tento článek poskytuje rychlý přehled připojení k síti v Azure Virtual WAN. Virtual WAN nabízí následující výhody:
- Integrovaná řešení připojení v centru a paprsku: Automatizace konfigurace site-to-site a připojení mezi místními servery a centrem Azure
- Automatizované vytvoření a konfigurace koncových sítí: Připojte bez starostí své virtuální sítě a úlohy k rozbočovači Azure.
- Intuitivní řešení potíží: Můžete si zobrazit tok od konce v rámci Azure a pak tyto informace použít k provedení požadovaných akcí.
Základní a standardní virtuální sítě WAN
Existují dva typy virtuálních sítí WAN: Basic a Standard. Následující tabulka uvádí dostupné konfigurace pro jednotlivé typy.
| Typ virtuální sítě WAN | Typ centra | Dostupné konfigurace |
|---|---|---|
| Basic | Basic | Jenom síť Site-to-Site VPN |
| Standard | Standard | ExpressRoute SÍŤ VPN uživatele (P2S) SÍŤ VPN (site-to-site) Přenos mezi rozbočovači a propojení VNet-to-VNet přes virtuální rozbočovač Azure Firewall SÍŤOVÉ virtuální zařízení ve virtuální síti WAN |
Poznámka
Můžete upgradovat z úrovně Basic na standard, ale nepůjde se vrátit zpět na základní verzi.
Postup upgradu virtuální sítě WAN najdete v tématu Upgrade virtuální sítě WAN z verze Basic na úroveň Standard.
Architektura
Informace o architektuře Virtual WAN a migraci na Virtual WAN najdete v následujících článcích:
Prostředky pro Virtual WAN
Pro konfiguraci virtuální sítě WAN mezi koncovými body vytvořte následující prostředky:
virtualWAN: Prostředek virtualWAN představuje virtuální překrytí vaší sítě Azure a jde o kolekci několika prostředků. Obsahuje odkazy na všechny vaše virtuální rozbočovače, které chcete mít v rámci virtuální sítě WAN. Prostředky Virtual WAN jsou navzájem izolované a nemohou obsahovat společný rozbočovač. Virtuální rozbočovače mezi Virtual WAN vzájemně nekomunikují.
Rozbočovač: Virtuální rozbočovač je virtuální síť spravovaná Microsoftem. Centrum obsahuje různé koncové body služby, které umožňují připojení. Z místní sítě (vpnsite) se můžete připojit k virtuálnímu rozbočovači přes VPN Gateway, připojit okruhy ExpressRoute k virtuálnímu rozbočovači nebo dokonce připojit mobilní uživatele k bráně point-to-site ve virtuálním centru. Rozbočovač je základem vaší sítě v oblasti. Ve stejné oblasti je možné vytvořit více virtuálních center.
Brána rozbočovače není totéž, co brána virtuální sítě, kterou používáte pro ExpressRoute a VPN Gateway. Pokud například používáte Virtual WAN, nevytváříte připojení site-to-site z místní lokality přímo k vaší virtuální síti. Místo toho vytvoříte připojení site-to-site k centru. Provoz vždy prochází přes bránu rozbočovače. To znamená, že virtuální sítě nepotřebují své vlastní brány virtuální sítě. Virtual WAN umožňuje vašim virtuálním sítím využívat výhod snadného škálování prostřednictvím virtuálního rozbočovače a jeho brány.
Připojení virtuální sítě k rozbočovači: Prostředek připojení virtuální sítě k rozbočovači se používá k bezproblémovému propojení rozbočovače a virtuální sítě. Jedna virtuální síť může být připojená pouze k jednomu virtuálnímu rozbočovači.
Připojení mezi centrem: Všechna rozbočovače jsou vzájemně propojená ve virtuální síti WAN. Z toho vyplývá, že větev, uživatel nebo virtuální síť připojená k místnímu rozbočovači může komunikovat s jinou větví nebo virtuální sítí pomocí plně propojené architektury propojených center. Virtuální sítě můžete také propojit v rámci centra, které prochází virtuálním centrem, a také virtuální sítě napříč centrem pomocí propojené architektury mezi rozbočovači.
Směrovací tabulka rozbočovače: Můžete vytvořit trasu virtuálního rozbočovače a použít ji ve směrovací tabulce virtuálního rozbočovače. V uvedené tabulce můžete použít více tras.
Další Virtual WAN prostředků
- Stránky: Tento prostředek se používá pouze pro připojení typu site-to-site. Prostředek lokality je vpnsite. Představuje vaše místní zařízení VPN a jeho nastavení. Pokud využíváte služeb partnera pro Virtual WAN, máte integrované řešení, které automaticky exportuje tyto informace do Azure.
Připojení
Připojení VPN typu site-to-site
K prostředkům v Azure se můžete připojit přes připojení IPsec/IKE (IKEv2) site-to-site. Další informace najdete v tématu Vytvoření připojení site-to-site pomocí Virtual WAN.
Tento typ připojení vyžaduje zařízení VPN nebo zařízení Virtual WAN partnerem. Virtual WAN partneři poskytují automatizaci připojení, což je možnost exportovat informace o zařízení do Azure, stáhnout konfiguraci Azure a navázat připojení k Azure Virtual WAN centru. Seznam dostupných partnerů a umístění najdete v článku o Virtual WAN partnerů a umístění. Pokud váš poskytovatel zařízení VPN/SD-WAN není uvedený na uvedeném odkazu, můžete k nastavení připojení jednoduše použít podrobné pokyny Vytvoření připojení site-to-site pomocí Virtual WAN.
Připojení VPN uživatele (point-to-site)
K prostředkům v Azure se můžete připojit přes připojení IPsec/IKE (IKEv2) nebo OpenVPN. Tento typ připojení vyžaduje, aby byl na klientském počítači nakonfigurován klient VPN. Další informace najdete v tématu Vytvoření připojení point-to-site.
Připojení ExpressRoute
ExpressRoute umožňuje připojení místní sítě k Azure přes privátní připojení. Informace o vytvoření připojení najdete v tématu Vytvoření připojení ExpressRoute pomocí Virtual WAN.
Připojení mezi centrem a virtuálními sítěmi
Virtuální síť Azure můžete připojit k virtuálnímu rozbočovači. Další informace najdete v tématu Připojení virtuální sítě do centra.
Tranzitní připojení
Tranzitní připojení mezi virtuálními sítěmi
Virtual WAN umožňuje tranzitní připojení mezi virtuálními sítěmi. Virtuální sítě se připojují k virtuálnímu rozbočovači přes připojení k virtuální síti. Tranzitní připojení mezi virtuálními sítěmi ve Virtual WAN úrovni Standard je povolené kvůli přítomnosti směrovače v každém virtuálním rozbočovači. Instance tohoto směrovače se vytvoří při prvním vytvoření virtuálního rozbočovače.
Směrovač může mít čtyři stavy směrování: Zřízeno, Zřizování, Selhání nebo Žádné. Stav směrování se nachází v Azure Portal přechodem na stránku Virtuální centrum.
- Stav Žádný znamená, že virtuální rozbočovač nezřizuje směrovač. K tomu může dojít v Virtual WAN je typu Basic nebo pokud se virtuální centrum nasadilo před tím, než byla služba dostupná.
- Stav Selhání značí selhání během vytváření instance. Pokud chcete vytvořit instanci nebo resetovat směrovač, najdete možnost Resetovat směrovač tak, že přejdete na stránku Přehled virtuálního centra v Azure Portal.
Každý směrovač virtuálního rozbočovače podporuje agregovanou propustnost až do 50 Gb/s.
Připojení mezi připojeními virtuální sítě ve výchozím nastavení předpokládá, že ve výchozím nastavení je k dispozici maximálně 2 000 úloh virtuálních počítačů ve všech virtuálních sítích připojených k jednomu virtuálnímu rozbočovači. Toto omezení je možné zvýšit otevřením online žádosti o zákaznickou podporu. Informace o nákladech najdete v části Náklady na jednotku infrastruktury směrování na Azure Virtual WAN ceny.
Tranzitní připojení mezi VPN a ExpressRoute
Virtual WAN umožňuje tranzitní připojení mezi VPN a ExpressRoute. To znamená, že weby připojené k síti VPN nebo vzdálení uživatelé mohou komunikovat s weby připojenými k ExpressRoute. Existuje také implicitní předpoklad, že je příznak Mezi pobočkami povolený a protokol BGP se podporuje v připojeních VPN a ExpressRoute. Tento příznak může být umístěn v nastavení Azure Virtual WAN v Azure Portal. Veškerá správa tras je poskytována směrovačem virtuálního rozbočovače, který také umožňuje tranzitní připojení mezi virtuálními sítěmi.
Vlastní směrování
Virtual WAN poskytuje pokročilá vylepšení směrování. Možnost nastavit vlastní směrovací tabulky, optimalizovat směrování virtuální sítě pomocí přidružení a šíření tras, logicky seskupit směrovací tabulky s popisky a zjednodušit řadu scénářů směrování síťových virtuálních zařízení nebo sdílených služeb.
Globální VNet Peering
Globální VNet Peering poskytuje mechanismus pro propojení dvou virtuálních sítí v různých oblastech. V Virtual WAN připojení virtuálních sítí připojují virtuální sítě k virtuálním rozbočovačům. Uživatel nemusí globální partnerský vztah virtuálních sítí explicitně nastavovat. Virtuálním sítím připojeným k virtuálnímu rozbočovači ve stejné oblasti se platí poplatky za partnerský vztah virtuálních sítí. Virtuálním sítím připojeným k virtuálnímu rozbočovači v jiné oblasti se účtuje poplatky za globální partnerský vztah virtuálních sítí.
Šifrování provozu ExpressRoute
Azure Virtual WAN poskytuje možnost šifrovat provoz ExpressRoute. Tato technika zajišťuje šifrovaný průchod mezi místními sítěmi a virtuálními sítěmi Azure přes ExpressRoute, aniž by se šly přes veřejný internet nebo používat veřejné IP adresy. Další informace najdete v tématu Protokol IPsec přes ExpressRoute pro Virtual WAN.
Umístění
Informace o poloze najdete v článku Virtual WAN a umístěních.
Směrovací tabulky pro základní a standardní virtuální sítě WAN
Směrovací tabulky teď mají funkce pro přidružení a šíření. Existující směrovací tabulka je směrovací tabulka, která tyto funkce nemá. Pokud máte již existující trasy ve směrování centra a chcete použít nové možnosti, zvažte následující:
Zákazníci standardu Virtual WAN s již existujícími trasami ve virtuálním centru: Pokud máte v části Směrování pro centrum v Azure Portal již existující trasy, budete je muset nejprve odstranit a pak se pokusit vytvořit nové směrovací tabulky (dostupné v části Směrovací tabulky pro centrum v Azure Portal). Důrazně doporučujeme provést krok odstranění pro všechna centra v Virtual WAN.
Základní Virtual WAN Zákazníci s již existujícími trasami ve virtuálním centru: Pokud máte již existující trasy v části Směrování pro centrum v Azure Portal, musíte je nejprve odstranit a pak upgradovat základní Virtual WAN na úroveň Standard Virtual WAN. Viz Upgrade virtuální sítě WAN z verze Basic na úroveň Standard. Důrazně doporučujeme provést krok odstranění pro všechna centra v Virtual WAN.
Časté otázky
Nejčastější dotazy najdete v nejčastějších dotazech Virtual WAN.
Co je nového?
Přihlaste se k odběru informačního kanálu RSS a podívejte se Virtual WAN nejnovějších aktualizací funkcí na stránce Aktualizace Azure.