Architectuur van SD-WAN-connectiviteit met Azure Virtual WAN
Azure Virtual WAN is een netwerkservice die veel cloudconnectiviteits- en beveiligingsservices samenbrengen met één operationele interface. Deze services omvatten vertakking (via site-naar-site VPN), externe gebruikers (punt-naar-site-VPN), privéconnectiviteit (ExpressRoute), transitieve connectiviteit binnen de cloud voor Vnets, VPN en ExpressRoute-interconnectiviteit, routering, Azure Firewall en versleuteling voor privéconnectiviteit.
Hoewel Azure Virtual WAN zelf een Software Defined WAN (SD-WAN) is, is het ook ontworpen om naadloze verbinding met de on-premises SD-WAN-technologieën en -services mogelijk te maken. Veel van deze services worden aangeboden door ons Virtual WAN ecosysteem en Azure-netwerken Managed Services-partners (MSP's). Ondernemingen die hun privé-WAN transformeren naar SD-WAN, hebben opties bij het verbinden van hun privé-SD-WAN met Azure Virtual WAN. Ondernemingen kunnen kiezen uit deze opties:
- Direct Interconnect Model
- Direct Interconnect Model met NVA-in-VWAN-hub
- Indirect interconnect-model
- Beheerd hybride WAN-model met behulp van hun favoriete beheerde serviceprovider MSP
In al deze gevallen is de interconnectie van Virtual WAN met SD-WAN vergelijkbaar van de connectiviteitszijde, maar kan dit variëren aan de kant van de orchestration en operationele kant.
Direct Interconnect-model
In dit architectuurmodel is de klant-premises apparatuur (CPE) van de SD-WAN-vertakking rechtstreeks verbonden met Virtual WAN hubs via IPsec-verbindingen. De CPE van de vertakking kan ook zijn verbonden met andere vertakkingen via de privé-SD-WAN, of gebruikmaken van Virtual WAN voor connectiviteit tussen vertakkingen. Vertakkingen die toegang nodig hebben tot hun workloads in Azure, hebben rechtstreeks en veilig toegang tot Azure via de IPsec-tunnel(s) die worden beëindigd in de Virtual WAN-hub(s).
SD-WAN CPE-partners kunnen automatisering inschakelen om de normaal omslachtig en foutgevoelige IPsec-connectiviteit van hun respectieve CPE-apparaten te automatiseren. Met Automatisering kan de SD-WAN-controller met Azure praten via de Virtual WAN-API om de Virtual WAN-sites te configureren en de benodigde configuratie van de IPsec-tunnel naar de vertakkings-CPE's te pushen. Zie Automation-richtlijnen voor de beschrijving van Virtual WAN automatisering van verbindingen door verschillende SD-WAN-partners.
De SD-WAN CPE blijft de plek waar verkeersoptimalisatie en padselectie worden geïmplementeerd en afgedwongen.
In dit model wordt verkeersoptimalisatie van een leverancier op basis van realtime verkeerskenmerken mogelijk niet ondersteund omdat de connectiviteit met Virtual WAN via IPsec is en de IPsec-VPN wordt beëindigd op de Virtual WAN VPN-gateway. Dynamische padselectie in de vertakking CPE is bijvoorbeeld haalbaar omdat het vertakkingsapparaat verschillende netwerkpakketgegevens uitwisselt met een ander SD-WAN-knooppunt, waardoor de beste koppeling wordt gevonden om dynamisch te gebruiken voor verschillende geprioriteerde verkeer in de vertakking. Deze functie kan nuttig zijn in gebieden waar optimalisatie van de laatste mijl (vertakking naar de dichtstbijzijnde Microsoft POP) is vereist.
Met Virtual WAN kunnen gebruikers Azure-padselectie krijgen. Dit is een padselectie op basis van beleid voor meerdere ISP-koppelingen van de CPE-vertakking naar Virtual WAN VPN-gateways. Virtual WAN voor het instellen van meerdere koppelingen (paden) van dezelfde SD-WAN-vertakking CPE; Elke koppeling vertegenwoordigt een dubbele tunnelverbinding van een uniek openbaar IP-adres van de SD-WAN CPE naar twee verschillende exemplaren van Azure Virtual WAN VPN-gateway. SD-WAN-leveranciers kunnen het meest optimale pad naar Azure implementeren op basis van het verkeersbeleid dat door hun beleidsen engine is ingesteld op de CPE-koppelingen. Aan de Azure-kant worden alle verbindingen die binnen komen, gelijk behandeld.
Direct Interconnect Model met NVA-in-VWAN-hub
Dit architectuurmodel ondersteunt de implementatie van een virtueel netwerkapparaat (NVA)van derden rechtstreeks in de virtuele hub . Hierdoor kunnen klanten die hun CPE-vertakking willen verbinden met dezelfde merk-NVA in de virtuele hub, profiteren van eigen end-to-end SD-WAN-mogelijkheden wanneer ze verbinding maken met Azure-workloads.
Verschillende Virtual WAN-partners hebben ervoor gewerkt om een ervaring te bieden die de NVA automatisch configureert als onderdeel van het implementatieproces. Zodra de NVA is ingericht in de virtuele hub, moet elke aanvullende configuratie die mogelijk vereist is voor de NVA, worden uitgevoerd via de NVA-partnerportal of beheertoepassing. Directe toegang tot de NVA is niet beschikbaar. De NNA's die rechtstreeks in de Azure Virtual WAN-hub kunnen worden geïmplementeerd, zijn specifiek ontworpen voor gebruik in de virtuele hub. Voor partners die ondersteuning bieden voor NVA in de VWAN-hub en hun implementatiehandleidingen, raadpleegt u het artikel Virtual WAN Partners.
De SD-WAN CPE blijft de plek waar verkeersoptimalisatie en padselectie worden geïmplementeerd en afgedwongen. In dit model wordt bedrijfseigen verkeersoptimalisatie van leveranciers op basis van realtime verkeerskenmerken ondersteund omdat de connectiviteit met Virtual WAN via de SD-WAN NVA in de hub is.
Indirect Interconnect-model
In dit architectuurmodel zijn SD-WAN-vertakkings-CPE's indirect verbonden met Virtual WAN hubs. Zoals u in de afbeelding ziet, wordt een virtuele SD-WAN-CPE geïmplementeerd in een bedrijfs-VNet. Deze virtuele CPE is op zijn beurt verbonden met de Virtual WAN hub(s) met behulp van IPsec. De virtuele CPE fungeert als een SD-WAN-gateway in Azure. Vertakkingen die toegang nodig hebben tot hun workloads in Azure, hebben er toegang toe via de v-CPE-gateway.
Omdat de verbinding met Azure via de V-CPE-gateway (NVA) is, gaat al het verkeer van en naar Azure-workload-VNets naar andere SD-WAN-vertakkingen via de NVA. In dit model is de gebruiker verantwoordelijk voor het beheren en beheren van de SD-WAN NVA, inclusief hoge beschikbaarheid, schaalbaarheid en routering.
Beheerd hybride WAN-model
In dit architectuurmodel kunnen ondernemingen gebruikmaken van een beheerde SD-WAN-service die wordt aangeboden door een MSP-partner (Managed Service Provider). Dit model is vergelijkbaar met de directe of indirecte modellen die hierboven worden beschreven. In dit model worden het SD-WAN-ontwerp, de orchestration en de bewerkingen echter geleverd door de SD-WAN-provider.
Azure-netwerken MSP-partners kunnen Azure Lighthouse gebruiken om de SD-WAN- en Virtual WAN-service te implementeren in het Azure-abonnement van de enterprise-klant, en om het end-to-end hybride WAN namens de klant te gebruiken. Deze MSP's kunnen mogelijk ook Azure ExpressRoute in de Virtual WAN en deze uitvoeren als een end-to-end beheerde service.