Tudnivalók a Virtual WAN Hub NVA-jairól
Az ügyfelek közvetlenül a Virtual WAN-központba helyezhetik üzembe a hálózati virtuális berendezéseket (NVA-kat) egy olyan megoldásban, amelyet a Microsoft Azure és a külső hálózati virtuális berendezések gyártói közösen kezelnek. Az Azure Marketplace-en nem minden hálózati virtuális berendezés helyezhető üzembe egy Virtual WAN-központban. Az elérhető partnerek teljes listáját a cikk Partnerek szakaszában találja.
Fő előnyök
Ha egy NVA-t üzembe helyeznek egy Virtual WAN-központban, az külső átjáróként is szolgálhat különböző funkciókkal. SD-WAN-átjáróként, tűzfalként vagy mindkettő kombinációjáként szolgálhat.
Az NVA-k virtual WAN-központba történő üzembe helyezése a következő előnyöket biztosítja:
- Előre definiált és előre tesztelt infrastruktúra-választási lehetőségek (NVA-infrastruktúraegységek) kiválasztása: A Microsoft és a partner együttműködve ellenőrzi az átviteli sebesség és a sávszélesség korlátait, mielőtt a megoldás elérhetővé válik az ügyfelek számára.
- Beépített rendelkezésre állás és rugalmasság: A Virtual WAN NVA üzemelő példányai a rendelkezésre állási zónával (AZ) tisztában vannak, és automatikusan magas rendelkezésre állásra vannak konfigurálva.
- Nincs gond a kiépítéssel és a rendszerindítási pántokkal: A felügyelt alkalmazások előre konkifikálva vannak a Virtual WAN-platform kiépítéséhez és rendszerindítási pántolásához. Ez a felügyelt alkalmazás az Azure Marketplace-hivatkozáson keresztül érhető el.
- Egyszerűsített útválasztás: Használja ki a Virtual WAN intelligens útválasztási rendszereit. Az NVA-megoldások a Virtual WAN hub útválasztójával társviszonyban vannak, és a Microsoft Gatewayekhez hasonlóan részt vesznek a Virtual WAN útválasztási döntési folyamatában.
- Integrált támogatás: A partnerek speciális támogatási szerződéssel rendelkeznek a Microsoft Azure Virtual WAN-jal az ügyfélproblémák gyors diagnosztizálásához és megoldásához.
- Választható platformalapú életciklus-kezelés: A frissítéseket és javításokat közvetlenül Ön vagy az Azure Virtual WAN szolgáltatás részeként kezeli. A Virtual WAN-beli NVA-k szoftveréletciklus-kezelésével kapcsolatos ajánlott eljárásokért forduljon az NVA-szolgáltatóhoz vagy a referenciaszolgáltató dokumentációjához.
- A platformfunkciókkal integrálva: a Microsoft-átjárókkal és virtuális hálózatokkal való tranzitkapcsolat, a titkosított ExpressRoute (ExpressRoute-kapcsolatcsoporton futó SD-WAN átfedés) és a virtuális központ útvonaltáblái zökkenőmentesen működnek együtt.
Fontos
Annak érdekében, hogy a lehető legjobb támogatást kapja ehhez az integrált megoldáshoz, győződjön meg arról, hogy a Microsoft és a hálózati virtuális berendezés szolgáltatójánál is hasonló szintű támogatási jogosultsággal rendelkezik.
Partnerek
Az alábbi táblázatok ismertetik a Virtual WAN hubon üzembe helyezhető hálózati virtuális berendezéseket és a vonatkozó használati eseteket (kapcsolat és/vagy tűzfal). A Virtual WAN NVA szállítóazonosító oszlopa az Azure Portalon megjelenő NVA-szállítónak felel meg, amikor új NVA-t helyez üzembe, vagy megtekinti a virtuális központban üzembe helyezett meglévő NVA-kat.
A következő SD-WAN kapcsolati hálózati virtuális berendezések üzembe helyezhetők a Virtual WAN hubon.
| Partnerek | Virtual WAN NVA-szállító azonosítója | Konfigurációs/útmutató/üzembe helyezési útmutató | Dedikált támogatási modell |
|---|---|---|---|
| Barracuda Networks | barracudasdwanrelease | A Barracuda SecureEdge for Virtual WAN üzembe helyezési útmutatója | Igen |
| Cisco SD-WAN | ciscosdwan | A Cisco SD-WAN megoldás és az Azure virtual WAN integrációja fokozza a Cloud OnRamp többfelhős üzembe helyezését, és lehetővé teszi a Cisco Catalyst 8000V Edge Software (Cisco Catalyst 8000V) hálózati virtuális berendezésként (NVA) való konfigurálását az Azure Virtual WAN-központokban. A Cisco SD-WAN Cloud OnRamp, Cisco IOS XE Release 17.x konfigurációs útmutatójának megtekintése | Igen |
| VMware SD-WAN | vmwaresdwaninvwan | VMware SD-WAN a Virtual WAN hub üzembehelyezési útmutatójában. Az üzembe helyezéshez használt felügyelt alkalmazás ezen az Azure Marketplace-hivatkozáson található. | Igen |
| Versa Networks | versanetworks | Ha Ön egy meglévő Versa Networks-ügyfél, jelentkezzen be Versa-fiókjába, és a versa-i üzembe helyezési útmutatóban található alábbi hivatkozással érheti el az üzembe helyezési útmutatót. Ha Ön új Versa-ügyfél, regisztráljon a Versa előzetes verzió regisztrációs hivatkozásával. | Igen |
| Aruba Edge Csatlakozás | arubaedgeconnectenterprise | Aruba Edge Csatlakozás SD-WAN üzembe helyezési útmutató. Jelenleg előzetes verzióban: Azure Marketplace-hivatkozás | Nem |
A következő biztonsági hálózati virtuális berendezés üzembe helyezhető a Virtual WAN hubon. Ez a virtuális berendezés az összes észak-déli, kelet-nyugati és internethez kötött forgalom vizsgálatára használható.
| Partnerek | Virtual WAN NVA-szállító | Konfigurációs/útmutató/üzembe helyezési útmutató | Dedikált támogatási modell |
|---|---|---|---|
| Check Point CloudGuard Network Security for Azure Virtual WAN | Ellenőrzőpont | Check Point Network Security for Virtual WAN üzembe helyezési útmutató | Nem |
| Fortinet következő generációs tűzfal (NGFW) | fortinet-ngfw | Fortinet NGFW üzembe helyezési útmutató. A Fortinet NGFW legfeljebb 80 méretezési egységet támogat, és nem ajánlott SD-WAN alagútvégzítéshez használni. A Fortigate SD-WAN alagútvégzítéséről lásd a Fortinet SD-WAN és az NGFW dokumentációját. | Nem |
A következő kétszerepkörű SD-WAN kapcsolat és biztonság (következő generációs tűzfal) hálózati virtuális berendezések üzembe helyezhetők a Virtual WAN hubon. Ezek a virtuális berendezések az összes észak-déli, kelet-nyugati és internethez kötött forgalom vizsgálatára használhatók.
| Partnerek | Virtual WAN NVA-szállító | Konfigurációs/útmutató/üzembe helyezési útmutató | Dedikált támogatási modell |
|---|---|---|---|
| Fortinet következő generációs tűzfal (NGFW) | fortinet-sdwan-and-ngfw | Fortinet SD-WAN és NGFW NVA üzembe helyezési útmutató. A Fortinet SD-WAN és az NGFW NVA legfeljebb 20 méretezési egységet támogat, és támogatja az SD-WAN alagútvégzítést és a következő generációs tűzfal képességeit is. | Nem |
Alapszintű használati esetek
Bármilyen kapcsolat
Az ügyfelek üzembe helyezhetnek egy NVA-t minden Olyan Azure-régióban, ahol lábnyomuk van. A fiókwebhelyek az Azure-hoz SD-WAN-alagutakon keresztül csatlakoznak, amelyek az Azure Virtual WAN-központban üzembe helyezett legközelebbi NVA-n végződnek.
A fiókwebhelyek ezután a Microsoft globális gerinchálózatán keresztül elérhetik az Azure-ban az ugyanabban a régióban vagy más régiókban üzembe helyezett virtuális hálózatokban üzembe helyezett számítási feladatokat. Az SD-WAN-hoz csatlakoztatott webhelyek más, az Azure-hoz expressRoute-on, helyek közötti VPN-en vagy távoli felhasználói kapcsolaton keresztül csatlakozó ágakkal is kommunikálhatnak.
Az Azure Firewall által biztosított biztonság és a kapcsolati NVA
Az ügyfelek üzembe helyezhetnek egy Azure Firewall-t a kapcsolatalapú NVA-k mellett. A Virtual WAN-útválasztás konfigurálható úgy, hogy az összes forgalmat az Azure Firewallra küldje vizsgálat céljából. Úgy is konfigurálhatja a Virtual WAN-t, hogy az összes internethez kötött forgalmat elküldje az Azure Firewallnak ellenőrzés céljából.
NVA-tűzfalak által biztosított biztonság
Az ügyfelek NVA-kat is üzembe helyezhetnek egy virtuális WAN-központban, amely az SD-WAN-kapcsolatot és a következő generációs tűzfalfunkciókat is végrehajtja. Az ügyfelek csatlakoztathatják a helyszíni eszközöket a központ NVA-hoz, és ugyanazt a berendezést használják az észak-déli, a kelet-nyugati és az internethez kötött forgalom vizsgálatára is. A forgatókönyvek engedélyezéséhez az útválasztási szándék és az útválasztási szabályzatok segítségével konfigurálható.
Az ezeket a forgalmi folyamatokat támogató partnerek a Partnerek szakaszban kétszerepkörű SD-WAN kapcsolat és biztonság (következő generációs tűzfal) hálózati virtuális berendezésekként jelennek meg.
Hogyan működik?
A közvetlenül az Azure Virtual WAN hubon üzembe helyezhető NVA-k kifejezetten a Virtual WAN-központban való használatra vannak tervezve. Az NVA-ajánlat felügyelt alkalmazásként van közzétéve az Azure Marketplace-en, és az ügyfelek közvetlenül az Azure Marketplace-ről helyezhetik üzembe az ajánlatot.
Minden partner NVA-ajánlata az üzembe helyezési követelményektől függően kissé eltérő felhasználói felülettel és funkciókkal rendelkezik.
Felügyelt alkalmazás
A Virtual WAN-központban üzembe helyezhető összes NVA-ajánlathoz tartozik egy felügyelt alkalmazás , amely elérhető az Azure Marketplace-en. A felügyelt alkalmazások lehetővé teszik a partnerek számára a következőket:
- Egyéni üzembehelyezési felület létrehozása az NVA-hoz.
- Adjon meg egy speciális Resource Manager-sablont, amely lehetővé teszi számukra az NVA létrehozását közvetlenül egy Virtual WAN-központban.
- Szoftverlicencelési költségek számlázása közvetlenül vagy az Azure Marketplace-en keresztül.
- Egyéni tulajdonságok és erőforrás-mérők elérhetővé tehetők.
Az NVA-partnerek különböző erőforrásokat hozhatnak létre a berendezés üzembe helyezésétől, a konfigurációs licenceléstől és a felügyeleti igényektől függően. Amikor egy ügyfél létrehoz egy NVA-t egy Virtual WAN-központban, mint minden felügyelt alkalmazás, két erőforráscsoport jön létre az előfizetésében.
- Ügyfélerőforrás-csoport – Ez egy alkalmazáshelyőrzőt tartalmaz a felügyelt alkalmazáshoz. A partnerek ezzel közzétehetik az itt kiválasztott ügyféltulajdonságokat.
- Felügyelt erőforráscsoport – Az ügyfelek nem konfigurálhatják vagy módosíthatják közvetlenül ebben az erőforráscsoportban az erőforrásokat, mivel ezt a felügyelt alkalmazás közzétevője szabályozza. Ez az erőforráscsoport a NetworkVirtualAppliances erőforrást tartalmazza.
Felügyelt erőforráscsoport engedélyei
Alapértelmezés szerint minden felügyelt erőforráscsoport rendelkezik a Microsoft Entra-hozzárendelés megtagadásával. A megtagadási hozzárendelések megakadályozzák, hogy az ügyfelek írási műveleteket hívjanak meg a felügyelt erőforráscsoport bármely erőforrásán, beleértve a Hálózati virtuális berendezés erőforrásait is.
Előfordulhat azonban, hogy a partnerek kivételeket hoznak létre a felügyelt erőforráscsoportokban üzembe helyezett erőforrásokon az ügyfelek által végrehajtható konkrét műveletekhez.
A meglévő felügyelt erőforráscsoportok erőforrásaira vonatkozó engedélyek nem frissülnek dinamikusan, mivel a partnerek új engedélyezett műveleteket adnak hozzá, és manuális frissítést igényelnek.
A felügyelt erőforráscsoportok engedélyeinek frissítéséhez az ügyfelek használhatják a Frissítési engedélyek REST API-t .
Feljegyzés
Az új engedélyek megfelelő alkalmazásához a frissítési engedélyek API-t egy további targetVersion lekérdezési paraméterrel kell meghívni. A targetVersion értéke szolgáltatóspecifikus. A legújabb verziószámmal kapcsolatban tekintse meg a szolgáltató dokumentációját.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
NVA-infrastruktúraegységek
Amikor létrehoz egy NVA-t egy Virtual WAN-központban, ki kell választania az üzembe helyezni kívánt NVA-infrastruktúraegységek számát. Az NVA-infrastruktúraegység egy virtuális WAN-központban lévő NVA összesített sávszélesség-kapacitásának egysége. Az NVA-infrastruktúraegységek a vpn-méretezési egységhez hasonlóak a kapacitás és a méretezés szempontjából.
- Az NVA-infrastruktúraegységek útmutatást nyújtanak ahhoz, hogy az üzembe helyezett virtuálisgép-infrastruktúra mennyi összesített hálózati átviteli sebességet támogat. 1 NVA-infrastruktúraegység 500 Mb/s összesített átviteli sebességnek felel meg. Ez az 500 Mb/s-os szám nem veszi figyelembe a hálózati virtuális berendezéseken futó szoftverek közötti különbségeket. Az NVA-ban vagy a partnerspecifikus szoftveres implementációban bekapcsolt funkcióktól függően a hálózatkezelési funkciók, például a titkosítás/visszafejtés, a beágyazás/a lefejezés vagy a mély csomagvizsgálat intenzívebbek lehetnek. Ez azt jelenti, hogy kevesebb átviteli sebességet láthat, mint az NVA-infrastruktúraegység. Ha a Virtual WAN NVA-infrastruktúraegységeket a várt átviteli sebességre szeretné megfeleltetni, forduljon a szállítóhoz.
- Azure-támogatás üzemelő példányok 2–80 NVA-infrastruktúraegységet tartalmaznak egy adott NVA virtuális központ üzembe helyezéséhez, de a partnerek kiválaszthatják, hogy mely skálázási egységeket támogatják. Ezért előfordulhat, hogy nem tudja üzembe helyezni az összes lehetséges skálázási egységkonfigurációt.
A Virtual WAN NVA-k üzembe helyezése biztosítja, hogy mindig elérhető legyen a gyártóspecifikus átviteli sebesség egy adott kiválasztott skálázási egységhez. Ennek érdekében a Virtual WAN NVA-jai túlterjedtek további kapacitással, több példány formájában, "n+1" módon. Ez azt jelenti, hogy a példányok összesített átviteli sebessége bármikor nagyobb lehet, mint a szállítóspecifikus átviteli sebesség. Ez biztosítja, hogy egy példány nem megfelelő állapotban legyen, a többi "n" példány kiszolgálhatja az ügyfélforgalmat, és megadhatja az adott méretezési egység szállítóspecifikus átviteli sebességét.
Ha egy adott időpontban az NVA-n áthaladó forgalom teljes mennyisége meghaladja a kiválasztott skálázási egység szállítóspecifikus átviteli sebességszámait, az NVA-példány elérhetetlenné válhat, többek között a rutinszerű Azure-platformkarbantartási tevékenységek vagy szoftverfrissítések miatt szolgáltatás- vagy kapcsolatkimaradást okozhat. A szolgáltatáskimaradások minimalizálása érdekében a skálázási egységet a forgalom csúcsprofilja és egy adott skálázási egység szállítóspecifikus átviteli sebességszámai alapján kell kiválasztania, nem pedig a tesztelés során megfigyelt legjobb esetek átviteli sebességére kell támaszkodnia.
NVA-konfigurációs folyamat
A partnerek azon dolgoztak, hogy olyan élményt nyújtsanak, amely automatikusan konfigurálja az NVA-t az üzembe helyezési folyamat részeként. Miután kiépült az NVA a virtuális központba, az NVA-hoz esetleg szükséges további konfigurációt az NVA-partnerek portálján vagy felügyeleti alkalmazásán keresztül kell elvégezni. Az NVA közvetlen elérése nem érhető el.
Hely- és kapcsolati erőforrások NVA-kkal
A Virtual WAN helyek közötti VPN-átjáró konfigurációitól eltérően nem kell helyerőforrásokat, helyek közötti kapcsolati erőforrásokat vagy pont–hely kapcsolati erőforrásokat létrehoznia ahhoz, hogy a fiókwebhelyeket az NVA-hoz csatlakoztathassa egy Virtuális WAN-központban.
Továbbra is létre kell hoznia a virtuális hálózatok közötti kapcsolatokat a Virtual WAN-központ Azure-beli virtuális hálózatokhoz való csatlakoztatásához, valamint expressRoute-, helyek közötti VPN- vagy távoli felhasználói VPN-kapcsolatok csatlakoztatásához.
Támogatott régiók
A virtuális központban található NVA a következő régiókban érhető el:
| Geopolitikai régió | Azure-régiók |
|---|---|
| Észak-Amerika | Kanada középső régiója, Kelet-Kanada, USA középső régiója, USA 2. keleti régiója, USA déli középső régiója, USA északi középső régiója, USA nyugati középső régiója, USA nyugati régiója, USA 2. nyugati régiója |
| Dél-Amerika | Dél-Brazília, Délkelet-Brazília |
| Európa | Közép-Franciaország, Dél-Franciaország, Észak-Németország, Nyugat-Közép-Németország, Észak-Európa, Kelet-Norvégia, Nyugat-Norvégia, Észak-Svájc, Nyugat-Svájc, Egyesült Királyság déli régiója, Egyesült Királyság nyugati régiója, Nyugat-Európa, Közép-Svédország, Észak-Olaszország |
| Közel-Kelet | Észak-Egyesült Arab Emírségek, Katar középső régiója, Izrael középső régiója |
| Ázsia | Kelet-Ázsia, Kelet-Japán, Nyugat-Japán, Közép-Korea, Dél-Korea, Délkelet-Ázsia |
| Ausztrália | Délkelet-Ausztrália, Kelet-Ausztrália, Közép-Ausztrália, Közép-Ausztrália 2 |
| Afrika | Dél-Afrika északi régiója |
| India | Dél-India, Nyugat-India, Közép-India |
NVA – GYAKORI KÉRDÉSEK
Hálózati berendezés-partner vagyok, és szeretném, ha az NVA-nk a központba kerül. Csatlakozhatok ehhez a partnerprogramhoz?
Sajnos jelenleg nincs kapacitásunk új partnerajánlatok beszállására. Látogasson vissza hozzánk egy későbbi időpontban!
Üzembe helyezhetek bármilyen NVA-t az Azure Marketplace-ről a Virtual WAN-központba?
A Virtual WAN hubon csak a Partnerek szakaszban felsorolt partnerek helyezhetők üzembe.
Mi az NVA költsége?
Meg kell vásárolnia egy licencet az NVA-hoz az NVA szállítójától. A saját licenc (BYOL) az egyetlen, ma támogatott licencelési modell. Emellett díjakat is felszámíthat a Microsofttól a felhasznált NVA-infrastruktúraegységekért és az ön által használt egyéb erőforrásokért. További információ: Díjszabási fogalmak.
Üzembe helyezhetek egy NVA-t egy alapszintű központban?
Szám Ha NVA-t szeretne üzembe helyezni, standard központot kell használnia.
Üzembe helyezhetek egy NVA-t egy Biztonságos központban?
Igen. A partner NVA-k üzembe helyezhetők egy központban az Azure Firewall használatával.
Csatlakoztathatok bármilyen CPE-eszközt a fiókirodámban az NVA-hoz a központban?
Szám A Barracuda CloudGen WAN csak Barracuda CPE-eszközökkel kompatibilis. A CloudGen WAN követelményeiről további információt a Barracuda CloudGen WAN-oldalán talál. A Cisco esetében számos kompatibilis SD-WAN CPE-eszköz található. A kompatibilis cpu-król a Cisco Cloud OnRamp for Multi-Cloud dokumentációjában olvashat. Bármilyen kérdés esetén forduljon a szolgáltatójához.
Milyen útválasztási forgatókönyveket támogat az NVA a központban?
A Virtual WAN által támogatott összes útválasztási forgatókönyvet a központi NVA-k támogatják.
Mely régiók támogatottak?
A támogatott régiókról lásd az NVA által támogatott régiókat.
Hogyan törölni az NVA-t a központban?
Ha a hálózati virtuális berendezés erőforrása felügyelt alkalmazáson keresztül lett üzembe helyezve, törölje a felügyelt alkalmazást. Ez automatikusan törli a felügyelt erőforráscsoportot és a társított hálózati virtuális berendezés-erőforrást.
Vegye figyelembe, hogy nem törölhet olyan NVA-t, amely az útválasztási szabályzat következő ugrási erőforrása. Az NVA törléséhez először törölje az útválasztási szabályzatot.
Ha a hálózati virtuális berendezés erőforrása partnervezénylő szoftveren keresztül lett üzembe helyezve, a hálózati virtuális berendezés törléséhez tekintse meg a partnerdokumentációt.
Másik lehetőségként futtathatja a következő PowerShell-parancsot a hálózati virtuális berendezés törléséhez.
Remove-AzNetworkVirtualAppliance -Name <NVA name> -ResourceGroupName <resource group name>
Ugyanez a parancs a parancssori felületről is futtatható.
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <Network Virtual Appliance name>
Következő lépések
A Virtual WAN-ról a Virtual WAN áttekintési cikkében olvashat bővebben.