SD-WAN-anslutningsarkitektur med Azure Virtual WAN
Azure Virtual WAN är en nätverkstjänst som sammanför många molnanslutningar och säkerhetstjänster med ett enda driftsgränssnitt. Dessa tjänster omfattar grenanslutning (via plats-till-plats-VPN), fjärranvändare (punkt-till-plats-VPN), privat anslutning (ExpressRoute), transitiv anslutning mellan moln för virtuella nätverk, VPN och ExpressRoute-sammankoppling, routning, Azure Firewall och kryptering för privat anslutning.
Även Azure Virtual WAN är ett programvarudefinierat WAN (SD-WAN), är det också utformat för att möjliggöra sömlös koppling med lokal SD-WAN-teknik och -tjänster. Många sådana tjänster erbjuds av vårt Virtual WAN ekosystem Azure-nätverkstjänster partner för hanterade tjänster (MPS). Företag som omvandlar sitt privata WAN till SD-WAN har alternativ när de ansluter sitt privata SD-WAN med Azure Virtual WAN. Företag kan välja bland följande alternativ:
- Direct Interconnect-modell
- Direct Interconnect-modell med NVA-in-VWAN-hub
- Indirekt sammankopplingsmodell
- Hanterad Hybrid WAN-modell med sina favoritleverantörer av hanterade tjänster MSP
I samtliga dessa fall är sammankopplingen av Virtual WAN med SD-WAN liknande från anslutningssidan, men kan variera på orkestrerings- och driftsidan.
Direct Interconnect-modell
I den här arkitekturmodellen är SD-WAN-grenens kundlokala utrustning (CPE) direkt ansluten till Virtual WAN-hubbar via IPsec-anslutningar. Grenen CPE kan också vara ansluten till andra grenar via det privata SD-WAN eller använda en Virtual WAN för gren-till-gren-anslutning. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kommer att kunna komma åt Azure direkt och säkert via de IPsec-tunnlar som avslutas i de Virtual WAN hubbarna.
SD-WAN CPE-partner kan aktivera automatisering för att automatisera normalt omedveten och felbenägen IPsec-anslutning från sina respektive CPE-enheter. Automatisering gör att SD-WAN-kontrollanten kan prata med Azure via Virtual WAN-API:et för att konfigurera Virtual WAN-platserna och skicka nödvändig IPsec-tunnelkonfiguration till gren-CPE:erna. Se Automation-riktlinjer för beskrivning av Virtual WAN för sammankopplingsautomatisering av olika SD-WAN-partner.
SD-WAN CPE fortsätter att vara den plats där trafikoptimering och sökvägsval implementeras och framtvingas.
I den här modellen kanske vissa leverantörsspecifika trafikoptimeringar som baseras på trafikegenskaper i realtid inte stöds eftersom anslutningen till Virtual WAN är över IPsec och IPsec VPN avslutas på Virtual WAN VPN-gatewayen. Det är till exempel möjligt att välja dynamisk sökväg på grenen CPE på grund av att grenenheten utbyter olika nätverkspaketinformation med en annan SD-WAN-nod, vilket gör att den bästa länken kan användas för olika prioriterad trafik dynamiskt på grenen. Den här funktionen kan vara användbar inom områden där optimering av senaste mil (gren till närmaste Microsoft POP) krävs.
Med Virtual WAN kan användarna välja Azure-sökväg, vilket är principbaserat val av sökväg över flera ISP-länkar från grenen CPE till Virtual WAN VPN-gatewayer. Virtual WAN tillåter installation av flera länkar (sökvägar) från samma SD-WAN-gren CPE; varje länk representerar en dubbel tunnelanslutning från en unik offentlig IP-adress för SD-WAN CPE till två olika instanser Azure Virtual WAN VPN-gatewayen. SD-WAN-leverantörer kan implementera den mest optimala vägen till Azure, baserat på trafikprinciper som angetts av principmotorn på CPE-länkarna. I Azure behandlas alla anslutningar som kommer in på samma sätt.
Direct Interconnect-modell med NVA-in-VWAN-hub
Den här arkitekturmodellen stöder distribution av en virtuell nätverksinstallation (NVA) fråntredje part direkt till den virtuella hubben . På så sätt kan kunder som vill ansluta sin gren-CPE till samma nva-varumärke i den virtuella hubben så att de kan dra nytta av egenutvecklade SD-WAN-funktioner vid anslutning till Azure-arbetsbelastningar.
Flera Virtual WAN partner har arbetat med att tillhandahålla en upplevelse som konfigurerar NVA automatiskt som en del av distributionsprocessen. När NVA har etablerats i den virtuella hubben måste all ytterligare konfiguration som krävs för NVA göras via NVA-partnerportalen eller hanteringsprogrammet. Direktåtkomst till NVA är inte tillgängligt. NVA:erna som är tillgängliga för distribution direkt till Azure Virtual WAN-hubben är särskilt utformade för att användas i den virtuella hubben. Partner som stöder NVA i VWAN-hubben och deras distributionsguider finns i artikeln Virtual WAN Partner.
SD-WAN CPE fortsätter att vara den plats där trafikoptimering och sökvägsval implementeras och framtvingas. I den här modellen stöds leverantörsspecifik trafikoptimering baserat på trafikegenskaper i realtid eftersom anslutningen till Virtual WAN sker via SD-WAN NVA i hubben.
Modell för indirekt sammankoppling
I den här arkitekturmodellen är SD-WAN-grenens CPE:er indirekt anslutna Virtual WAN hubbar. Som bilden visar distribueras en virtuell SD-WAN-CPE i ett virtuellt företagsnätverk. Denna virtuella CPE är i sin tur ansluten till Virtual WAN med hjälp av IPsec. Den virtuella CPE:en fungerar som en SD-WAN-gateway till Azure. Grenar som behöver åtkomst till sina arbetsbelastningar i Azure kan komma åt dem via v-CPE-gatewayen.
Eftersom anslutningen till Azure sker via v-CPE-gatewayen (NVA) går all trafik till och från virtuella Azure-arbetsbelastningsnätverk till andra SD-WAN-grenar via NVA. I den här modellen ansvarar användaren för att hantera och driva SD-WAN NVA, inklusive hög tillgänglighet, skalbarhet och routning.
Hanterad Hybrid WAN-modell
I den här arkitekturmodellen kan företag utnyttja en hanterad SD-WAN-tjänst som erbjuds av en MSP-partner (Managed Service Provider). Den här modellen liknar de direkta eller indirekta modeller som beskrivs ovan. I den här modellen levereras dock SD-WAN-design, -orkestrering och -åtgärder av SD-WAN-providern.
Azure-nätverkstjänster MSP-partner kan använda Azure Lighthouse för att implementera SD-WAN- och Virtual WAN-tjänsten i företagskundens Azure-prenumeration, samt för att driva hybrid-WAN för kundernas räkning. Dessa MPP:er kan också implementera Azure ExpressRoute i Virtual WAN och använda dem som en hanterad tjänst från slutet till slut.