Tento článek je určený pro síťové architekty, kteří chtějí navrhnout softwarově definované sítě SD WAN (Software-Defined Wide Area Networks), aby vzájemně spojili místní zařízení s Azure. Popisuje architekturu, která umožňuje zákazníkům Azure využívat své stávající investice do platformy tím, že vytváří efektivní globální překryvy SD-WAN nad páteřní sítí Microsoftu.
Použitelné scénáře
Doporučení v tomto článku jsou nezávislá na dodavatelích a vztahují se na všechny technologie SD-WAN jiné společnosti než Microsoft, které splňují dvě základní požadavky:
- Závislost na tunelových protokolech, které používají protokol TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol) jako základní přenos, jako je například tunelový režim IPSec ESP s NAT-Traversal.
- Podpora protokolu BGP (Border Gateway Protocol) v4 pro výměnu tras s externími entitami V směrovacím protokolu používaném zařízeními SD-WAN jiných společností než Microsoftu se nepředkládají žádné předpoklady pro výměnu informací o směrování mezi sebou.
Zákazníci, kteří dodržují tato doporučení, můžou k dosažení následujících cílů využít technologii SD-WAN, která je vybraná:
- Integrujte produkty SD-WAN do existující hvězdicové sítě Azure tím, že automatizuje výměnu tras mezi zařízeními Azure Virtual Network a SD-WAN.
- Optimalizujte připojení (jak k Azure, tak k místním datovým centrům) pro větve s místními internetovými přerušeními. Dosah páteřní sítě Microsoftu v kombinaci s jeho kapacitou, odolností a "studenými bramborovými" směrovacími zásadami naznačuje, že je možné ji použít jako vysoce výkonný podplatný pro globální sítě SD-WAN.
- Použijte páteřní síť Microsoftu pro veškerý provoz z Azure do Azure (napříč oblastmi a napříč geografickými oblastmi).
- Používejte stávající sítě MPLS (Multi-Protocol-Label-Switching) jako vysoce výkonné podklady. Dá se také použít k nahrazení stávající sítě MPLS ve fázovaném přístupu, který minimalizuje vliv na firmu.
Následující části předpokládají, že čtenář je obeznámen se základy paradigmatu SD-WAN a architekturou páteřní sítě Microsoft. Páteřní síť Microsoftu vzájemně propojuje oblasti Azure a veřejný internet.
Architektura
Organizace s globální přítomností a stopou Azure pro více oblastí obvykle používají kombinaci služeb připojení k implementaci podnikových sítí a připojení k páteřní síti Microsoftu:
- Vyhrazené služby připojení, například MPLS Internet-Protocol-Virtual-Private-Networks (IPVPN), je možné použít v největších lokalitách, jako jsou datacentra nebo ústředí.
- Velké lokality můžou zahrnovat vyhrazené připojení k páteřní síti Microsoftu prostřednictvím okruhů ExpressRoute pomocí jednoho z podporovaných modelů připojení. Konkrétně může lokalita používat vyhrazené okruhy typu point-to-point pro připojení k nejbližšímu umístění partnerského vztahu ExpressRoute. Nebo může použít IPVPN MPLS pro přístup k okruhům ExpressRoute poskytovaným operátorem MPLS.
- Pobočky, které mají pouze připojení k internetu, můžou k připojení k nejbližšímu místnímu datacentru používat sítě VPN IPSec a používat připojení ExpressRoute daného datacentra pro přístup k prostředkům Azure. Nebo můžou k přímému připojení k hvězdicovým sítím Azure použít sítě VPN IPSec.
Projekty SD-WAN můžou mít různé rozsahy, z hlediska kterých tradiční síťové služby, které mají v úmyslu nahradit. Některé organizace se můžou chtít držet vyhrazených odkazů nebo seznamů MPLS pro velká zařízení a nasadit síť SD-WAN pouze tak, aby nahradila starší internetové sítě VPN IPSec v malých lokalitách. Jiné organizace můžou chtít rozšířit svou síť SD-WAN na lokality připojené k MPLS a použít stávající síť MPLS jako vysoce výkonnou podtrácenou síť. A konečně, některé organizace můžou chtít ip adresy MPLS zavřít. nebo jakoukoli vyhrazenou službu připojení pro přijetí paradigmatu SD-WAN. Tímto způsobem můžou vytvořit celou podnikovou síť jako logický překryv nad veřejnými nebo sdílenými podklady (veřejný internet a páteřní síť Microsoftu).
Architektura popsaná v tomto článku podporuje všechny dříve uvedené obory a vychází z následujících principů:
- Zařízení SD-WAN se nasazují jako síťová virtuální zařízení (NVA) v centrální a paprskové síti Azure a konfigurují se jako rozbočovače SD-WAN, které ukončují tunely z místních lokalit.
- Zařízení SD-WAN v Azure se konfigurují tak, aby navazovala tunely mezi sebou, a tím se vytvoří plně sítová překryvná vrstva typu hub-to-hub, která dokáže efektivně přenášet provoz mezi oblastmi Azure a přenosy mezi geograficky vzdálenými místními lokalitami nad páteřní sítí Microsoftu.
- Zařízení SD-WAN se nasazují ve všech místních lokalitách, na které se vztahuje řešení SD-WAN, a konfigurují se tak, aby navazovaly tunely k síťovým virtuálním zařízením SD-WAN v nejbližších oblastech Azure. Různé lokality můžou používat různé dopravní služby jako podklady pro tunely, jako je veřejný internet, připojení ExpressRoute atd.
- Provoz z lokality do libovolného cíle, ať už v Azure nebo v jiné místní lokalitě, se směruje do síťových virtuálních zařízení SD-WAN v nejbližší oblasti Azure. Pak se směruje přes překryvné vrstvy centra do centra.
Produkty SD-WAN můžou používat vlastní protokoly a funkce k detekci, jakmile se dynamicky naváže, přímé tunely mezi dvěma lokalitami můžou poskytovat lepší výkon než přenosy přes síťové virtuální zařízení SD-WAN v Azure.
Základní architektura globální sítě SD-WAN, která využívá páteřní síť Microsoftu, veřejný internet a vyhrazená připojení ER, jak je znázorněno na následujícím obrázku.
Obrázek 1: Základní architektura globální sítě SD-WAN, která využívá páteřní síť Microsoftu, veřejný internet a vyhrazená připojení ER jako podklady. Černá přerušovaná čára ukazuje, jak se provoz mezi dvěma místními lokalitami dá směrovat přes síťová virtuální zařízení SD-WAN nasazená v oblastech Azure geograficky blízko lokalit. Páteřní síť Microsoftu, protože její dosah, kapacita a "studené brambory" směrovací zásady mohou vést k podstatně lepšímu/předvídatelnějšímu výkonu než veřejný internet, zejména u dlouhých připojení.
Produkty SD-WAN v hvězdicových sítích Azure
Tato část obsahuje doporučení pro nasazení zařízení CPE jiných společností než Microsoft SD-WAN jako síťových virtuálních zařízení v existující hvězdicové síti Azure.
Síťové virtuální zařízení SD-WAN v centrální virtuální síti
Hvězdicová topologie, kterou Microsoft doporučuje k vytváření škálovatelných sítí v oblasti Azure pomocí virtuálních sítí spravovaných zákazníkem. Virtuální síť rozbočovače hostuje sdílené komponenty, jako jsou síťová virtuální zařízení jiných společností než Microsoft a nativní služby, které poskytují síťové funkce, jako jsou brány firewall, vyrovnávání zatížení a připojení k místním lokalitám prostřednictvím sítí VPN typu site-2 nebo ExpressRoute. Virtuální síť centra je přirozeným umístěním síťových virtuálních zařízení SD-WAN, což jsou brány jiných společností než Microsoft, které poskytují přístup ke vzdáleným sítím.
Síťové virtuální zařízení SD-WAN by se měly nasadit v centrálních virtuálních sítích následujícím způsobem:
- Jeden řadič síťového rozhraní (NIC) se používá pro veškerý provoz SD-WAN. Další síťové karty, jako je síťová karta pro správu, je možné přidat, aby splňovaly požadavky na zabezpečení a dodržování předpisů nebo dodržovaly pokyny dodavatele pro nasazení Azure.
- Síťová karta používaná pro provoz SD-WAN musí být připojená k vyhrazené podsíti. Velikost podsítě musí být definována na základě počtu síťových virtuálních zařízení SD-WAN nasazených za účelem splnění požadavků na vysokou dostupnost (HA) a škálování nebo propustnosti, které jsou popsány dále v tomto článku.
- Skupiny zabezpečení sítě (NSG) musí být přidružené k síťovému rozhraní síťové karty síťového přenosu SD-WAN, a to buď přímo, nebo na úrovni podsítě. Toto přidružení umožňuje připojení ze vzdálených místních lokalit přes porty TCP/UDP používané řešením SD-WAN.
- Předávání IP musí být na síťové kartě používané pro provoz SD-WAN povolené.
Azure Route Server ve virtuální síti centra
Azure Route Server automatizuje výměnu tras mezi síťovými virtuálními zařízeními SD-WAN a zásobníkem SDN (Software Defined Networking). Směrovací server podporuje protokol BGP jako protokol dynamického směrování. Vytvořením sousedství protokolu BGP mezi směrovacím serverem a síťovými virtuálními zařízeními SD-WAN:
- Trasy pro všechny místní lokality připojené k síti SD-WAN se vloží do směrovacích tabulek virtuální sítě a naučí se to všemi virtuálními počítači Azure.
- Trasy pro všechny předpony IP, které jsou součástí adresního prostoru virtuálních sítí, se šíří do všech lokalit připojených přes SD-WAN.
Směrovací server by měl být nakonfigurovaný následujícím způsobem.
- Musí být nasazená ve vyhrazené podsíti ve virtuální síti centra podle postupu vytvoření a konfigurace směrového serveru pomocí webu Azure Portal.
- Aby bylo možné povolit automatickou výměnu tras pro všechny paprskové virtuální sítě, musí být partnerský vztah virtuálních sítí nakonfigurovaný tak, aby paprskové virtuální sítě mohly používat bránu centrální virtuální sítě a směrovací server. Podrobnosti najdete v nejčastějších dotazech k Azure Route Serveru.
- Vzhledem k tomu, že jsou směrovací server a síťová virtuální zařízení SD-WAN připojená k různým podsítím, musí být relace protokolu BGP mezi síťovými virtuálními zařízeními SD-WAN nakonfigurované s podporou multihopu eBGP. Je možné nastavit libovolný počet segmentů směrování mezi 2 a maximální podporou síťového virtuálního zařízení SD-WAN. Podrobnosti o konfiguraci sousedství protokolu BGP pro směrovací server jsou k dispozici na webu Create a configure Route Server pomocí webu Azure Portal.
- Na síťovém virtuálním zařízení SD-WAN musí být nakonfigurované dvě
/32statické trasy pro koncové body protokolu BGP vystavené směrovacím serverem. Tato konfigurace zajišťuje, že směrovací tabulka síťového virtuálního zařízení vždy obsahuje trasy pro své partnerské vztahy protokolu BGP (ne přímo připojené).
Směrovací server není v cestě k datům. Jedná se o entitu řídicí roviny. Šíří trasy mezi síťovým virtuálním zařízením SD-WAN a zásobníkem SDN virtuální sítě, ale skutečný přenos dat mezi síťovým virtuálním zařízením SD-WAN a virtuálními počítači ve virtuální síti provádí zásobník SDN Azure, jak je znázorněno na následujícím obrázku. Aby bylo možné toto chování směrování získat, směrovací server vloží všechny trasy, které se učí z síťových virtuálních zařízení SD-WAN s dalším segmentem směrování nastaveným na vlastní adresu síťového virtuálního zařízení.
Route Server teď nepodporuje protokol IPv6. Tato architektura je určená pouze pro protokol IPv4.
Obrázek 2 Směrovací server podporuje šíření tras mezi SD-WAN CPE a zásobníkem SDN virtuální sítě, ale nepředává provoz mezi SD-WAN CPE a virtuálními počítači ve virtuální síti.
Vysoká dostupnost síťových virtuálních zařízení SD-WAN se směrovacím serverem
Route Server má integrovanou vysokou dostupnost. Dva výpočetní uzly zálohují jednu instanci směrového serveru. Nasazují se v různých zónách dostupnosti, pro oblasti, které mají podporu zóny dostupnosti, nebo ve stejné skupině dostupnosti. Zpřístupňují dva koncové body protokolu BGP. Vysoká dostupnost síťových virtuálních zařízení SD-WAN se dosahuje nasazením několika instancí do různých zón dostupnosti, oblastí, které je podporují, nebo ve stejné skupině dostupnosti. Každé síťové virtuální zařízení SD-WAN vytváří dvě relace protokolu BGP s oběma koncovými body vystavenými směrovacím serverem.
Architektura popsaná v tomto článku nespoléhá na Nástroje pro vyrovnávání zatížení Azure. Konkrétně:
Žádné veřejné nástroje pro vyrovnávání zatížení nezpřístupňují koncové body tunelu SD-WAN. Každé síťové virtuální zařízení SD-WAN zveřejňuje svůj vlastní koncový bod tunelu. Vzdálený partnerský vztah vytváří několik tunelů, jeden pro každé síťové virtuální zařízení SD-WAN v Azure.
Žádné interní nástroje pro vyrovnávání zatížení distribuují provoz pocházející z virtuálních počítačů Azure do síťových virtuálních zařízení SD-WAN. Směrovací server a zásobník SDN Azure podporují směrování ECMP (Equal-Cost Multipath). Pokud několik síťových virtuálních zařízení nastaví sousední protokol BGP se směrovacím serverem a oznámí trasy pro stejné cíle (jako ve vzdálených sítích a lokalitách připojených k síti SD-WAN) pomocí stejného stupně předvoleb, směrovací server:
- Vloží více tras pro tyto cíle do směrovací tabulky virtuální sítě.
- Nastaví každou trasu tak, aby jako další segment směrování používala jiné síťové virtuální zařízení.
Zásobník SDN pak distribuuje provoz do těchto cílů napříč všemi dostupnými dalšími segmenty směrování.
Výsledná architektura vysoké dostupnosti je znázorněná na následujícím obrázku:
Obrázek 3 Směrovací server podporuje směrování ECMP (Equal-Cost Multipath). Azure Load Balancery nejsou potřeba, pokud se pro účely dostupnosti a škálovatelnosti používá více síťových virtuálních zařízení SD-WAN.
N-active versus aktivní vysoká dostupnost
Pokud používáte více síťových virtuálních zařízení SD-WAN a nasměrujete je na partnerský vztah se směrovacím serverem, BGP řídí převzetí služeb při selhání. Pokud síťové virtuální zařízení SD-WAN přejde do režimu offline, zastaví inzerci tras na směrovací server. Trasy získané ze zařízení, které selhalo, se pak z směrovací tabulky virtuální sítě odvolají. Takže pokud síťové virtuální zařízení SD-WAN už kvůli chybě neposkytuje připojení ke vzdáleným lokalitám SD-WAN, v samotném zařízení nebo v podstavci se už nezobrazuje jako možný další segment směrování směrem ke vzdáleným lokalitám ve směrovací tabulce virtuální sítě. Veškerý provoz směřuje do zbývajících zařízení, která jsou v pořádku. Další informace o šíření tras mezi síťovými virtuálními zařízeními SD-WAN a směrovacím serverem naleznete v tématu Trasy inzerované partnerským partnerským vztahem protokolu BGP na směrovací server.
Obrázek 4 Převzetí služeb při selhání řízené protokolem BGP Pokud síťové virtuální zařízení SD-WAN č. 0 přejde do režimu offline, zavře se relace protokolu BGP se směrovacím serverem. Síťové virtuální zařízení SD-WAN č. 0 se z směrovací tabulky virtuální sítě odebere jako možný další segment směrování provozu z Azure do místní lokality.
Převzetí služeb při selhání řízené protokolem BGP a směrování ECMP přirozeně umožňují architekturu N-aktivní ha se zařízeními N souběžně zpracovávající provoz. Protokol BGP ale můžete také použít k implementaci aktivních a pasivních architektur vysoké dostupnosti: nakonfigurujte pasivní zařízení tak, aby oznámilo směrování serveru tras s nižším stupněm preference než jeho aktivní partnerský vztah. Směrovací server zahodí trasy přijaté z pasivního zařízení, pokud z aktivního zařízení obdrží jakékoli trasy pro stejné cíle s vyšším stupněm preference. A instaluje pouze ty druhé trasy v směrovací tabulce virtuální sítě.
Pokud aktivní zařízení selže nebo stáhne některé ze svých tras, směrovací server:
- Vybere odpovídající trasy oznámené pasivním zařízením.
- Instaluje trasy v směrovací tabulce virtuální sítě.
Jedinými atributy protokolu BGP, které můžou síťové virtuální zařízení SD-WAN použít k vyjádření určité míry preferencí pro trasy, které oznamují směrovacímu serveru, jsou AS Path.
Doporučujeme n-aktivní architektury vysoké dostupnosti, protože umožňují optimální využití prostředků (neexistují žádná síťová virtuální zařízení SD-WAN) a horizontální škálovatelnost. Pokud chcete zvýšit propustnost, může několik síťových virtuálních zařízení běžet paralelně až po maximální počet partnerských uzlů protokolu BGP podporovaných směrovacím serverem. Další informace najdete v tématu Partnerské vztahy protokolu BGP. Model N-active HA ale vyžaduje, aby síťová virtuální zařízení SD-WAN fungovala jako bezstavové směrovače vrstvy 3. Pokud existuje více tunelů k lokalitě, lze připojení TCP směrovat asymetricky. To znamená, že toky ORIGINAL a REPLY stejného připojení TCP lze směrovat prostřednictvím různých tunelů a různých síťových virtuálních zařízení. Následující obrázek ukazuje příklad asymetrického směrování připojení TCP. Takové asymetrie směrování jsou možné pro připojení TCP iniciovaná buď ve virtuální síti, nebo v místní lokalitě.
Obrázek 5 Asymetrické směrování v architekturách vysoké dostupnosti v aktivní/aktivní. Síťové virtuální zařízení SD-WAN #0 a síťové virtuální zařízení SD-WAN #1 oznámí stejnou trasu pro cíl 192.168.1.0/24 (vzdálená lokalita SD-WAN) se stejnou délkou cesty AS na směrovací server. Původní tok (ze vzdálené lokality SD-WAN do Azure, červená cesta) je směrován přes tunel ukončený síťovým virtuálním zařízením SD-WAN #1. Místní SD-WAN CPE vybere tento tunel. Zásobník SDN Azure směruje tok ODPOVĚDI (z Azure do vzdálené lokality SD-WAN, zelená cesta) do síťového virtuálního zařízení SD-WAN č. 0, což je jeden z možných dalších segmentů směrování pro směrovací tabulku virtuální sítě 192.168.1.0/24. Není možné zaručit, že další segment směrování zvolený zásobníkem SDN Azure je vždy stejný SD-WAN CPE, který přijal tok ORIGINAL.
Aktivní a pasivní architektury vysoké dostupnosti by se měly brát v úvahu jenom v případě, že síťová virtuální zařízení SD-WAN v Azure provádějí další síťové funkce, které vyžadují symetrii směrování, jako je stavová brána firewall. Tento přístup nedoporučujeme kvůli jeho dopadům na škálovatelnost. Spouštění dalších síťových funkcí na síťových virtuálních zařízeních SD-WAN zvyšuje spotřebu prostředků. Současně aktivní a pasivní architektura vysoké dostupnosti umožňuje mít v každém okamžiku jeden provoz zpracování síťového virtuálního zařízení. To znamená, že celou vrstvu SD-WAN je možné vertikálně navýšit až na maximální velikost virtuálního počítače Azure, kterou podporuje, a ne vertikálně navýšit kapacitu. Spouštění stavových síťových funkcí, které vyžadují symetrii směrování na samostatných clusterech síťových virtuálních zařízení, které spoléhají na Load Balancer úrovně Standard pro n-aktivní vysokou dostupnost.
Důležité informace o připojení ExpressRoute
Architektura popsaná v tomto článku umožňuje zákazníkům plně využít paradigmatu SD-WAN a vytvořit jejich podnikovou síť jako logický překryv nad veřejným internetem a páteřní sítí Microsoftu. Podporuje také použití vyhrazených okruhů ExpressRoute k řešení konkrétních scénářů popsaných později.
Scénář č. 1: Koexistence ExpressRoute a SD-WAN
Řešení SD-WAN můžou existovat společně s připojením ExpressRoute, když jsou zařízení SD-WAN nasazená pouze v podmnožině lokalit. Některé organizace můžou například nasazovat řešení SD-WAN jako náhradu tradičních sítí VPN IPSec v lokalitách s připojením k internetu. Pak používají služby MPLS a okruhy ExpressRoute pro velké lokality a datacentra, jak je znázorněno na následujícím obrázku.
Obrázek 6 Řešení SD-WAN můžou existovat společně s připojením ExpressRoute, když jsou zařízení CPE SD-WAN nasazená pouze v podmnožině lokalit.
Tento scénář koexistence vyžaduje, aby síťová virtuální zařízení SD-WAN nasazená v Azure mohla směrovat provoz mezi lokalitami připojenými k okruhům SD-WAN a lokalitami připojenými k okruhům ExpressRoute. Směrovací server je možné nakonfigurovat tak, aby šířil trasy mezi bránami virtuální sítě ExpressRoute a síťovými virtuálními zařízeními SD-WAN v Azure povolením AllowBranchToBranch této funkce, jak je uvedeno tady. Šíření tras mezi bránou virtuální sítě ExpressRoute a síťovými virtuálními zařízeními SD-WAN probíhá přes protokol BGP. Směrovací server vytváří relace protokolu BGP s oběma a šíří do každého partnerského vztahu trasy získané z druhého. Platforma spravuje relace protokolu BGP mezi route serverem a bránou virtuální sítě ExpressRoute. Uživatelé je nemusí explicitně konfigurovat, ale pouze povolit AllowBranchToBranch příznak při nasazování směrového serveru.
Obrázek 7 Šíření tras mezi bránou virtuální sítě ExpressRoute a síťovými virtuálními zařízeními SD-WAN probíhá přes protokol BGP. Směrovací server vytváří relace protokolu BGP s oběma směry a šíří trasy v obou směrech, pokud je nakonfigurovaná možnost AllowBranchToBranch=TRUE. Směrovací server funguje jako odrazovač trasy, to znamená, že není součástí cesty k datům.
Tento scénář koexistence SD-WAN a ExpressRoute umožňuje migraci ze sítí MPLS do SD-WAN. Nabízí cestu mezi staršími lokalitami MPLS a nově migrovanými lokalitami SD-WAN a eliminuje nutnost směrovat provoz přes místní datová centra. Tento model lze použít nejen během migrací, ale také ve scénářích vyplývajících z fúze a akvizice společnosti, což poskytuje bezproblémové propojení různorodých sítí.
Scénář č. 2: ExpressRoute jako podklad SD-WAN
Pokud vaše místní lokality mají připojení ExpressRoute, můžete nakonfigurovat zařízení SD-WAN tak, aby nastavovala tunely k síťovým virtuálním zařízením centra SD-WAN spuštěným v Azure nad okruhem nebo okruhy ExpressRoute. Připojení ExpressRoute je možné provést prostřednictvím okruhů typu point-to-point nebo sítě MPLS. Můžete použít privátní partnerský vztah ExpressRoute i partnerský vztah Microsoftu.
Soukromý peering
Když jako podkladový partnerský vztah použijete privátní partnerský vztah ExpressRoute, všechny místní lokality SD-WAN navazují tunely k síťovým virtuálním zařízením centra SD-WAN v Azure. V tomto scénáři není potřeba šíření tras mezi síťovými virtuálními zařízeními SD-WAN a bránou virtuální sítě ExpressRoute (to znamená, že směrovací server musí být nakonfigurovaný s příznakem AllowBranchToBranch nastaveným na hodnotu false).
Tento přístup vyžaduje správnou konfiguraci protokolu BGP na směrovačích na straně zákazníka nebo poskytovatele, které ukončují připojení ExpressRoute. Ve skutečnosti směrovače Microsoft Enterprise Edge (MSEE) oznamují všechny trasy pro virtuální sítě připojené k okruhu (buď přímo, nebo prostřednictvím partnerského vztahu virtuálních sítí). Aby ale bylo možné směrovat provoz směřující do virtuálních sítí prostřednictvím tunelu SD-WAN, měl by místní lokalita tyto trasy zjistit ze zařízení SD-WAN – ne z okruhu ER.
Proto musí směrovače na straně zákazníka nebo poskytovatele, které ukončují připojení ExpressRoute, odfiltrovat trasy přijaté z Azure. Jediné trasy nakonfigurované v podsítě by měly být ty, které místním zařízením SD-WAN umožňují přístup k síťovým virtuálním zařízením centra SD-WAN v Azure. Zákazníci, kteří chtějí používat privátní partnerský vztah ExpressRoute jako podtržení SD-WAN, by měli ověřit, že můžou odpovídajícím způsobem nakonfigurovat svá směrovací zařízení. To platí hlavně pro zákazníky, kteří nemají přímou kontrolu nad hraničními zařízeními pro ExpressRoute. Příkladem je, že okruh ExpressRoute poskytuje operátor MPLS nad službou IPVPN.
Obrázek 8 Privátní partnerský vztah ExpressRoute jako podtržení SD-WAN V tomto scénáři obdrží směrovače na straně zákazníka a poskytovatele trasy pro virtuální síť, které ukončují připojení ExpressRoute, v relacích protokolu BGP privátního partnerského vztahu ER a SD-WAN CPE. Pouze SD-WAN CPE by měly rozšířit trasy Azure do sítě LAN lokality.
Partnerský vztah s Microsoftem
Partnerský vztah Microsoftu ExpressRoute můžete použít také jako podklad pro tunely SD-WAN. V tomto scénáři zpřístupňují síťová virtuální zařízení rozbočovače SD-WAN v Azure jenom koncové body veřejného tunelu, které používají obě sítě CPE SD-WAN v lokalitách připojených k internetu, pokud existují, a protokoly CPEs SD-WAN v lokalitách připojených k Expressroute. I když partnerský vztah ExpressRoute Microsoftu má složitější požadavky než soukromý partnerský vztah, doporučujeme tuto možnost použít jako podklady z těchto dvou výhod:
Nevyžaduje brány virtuální sítě ExpressRoute v centrální virtuální síti. Eliminuje složitost, snižuje náklady a umožňuje řešení SD-WAN škálovat nad rámec limitů šířky pásma samotné brány, pokud nepoužíváte ExpressRoute FastPath.
Poskytuje čisté oddělení mezi překryvnou a podkladovou trasou. MsEEs oznámí pouze veřejné předpony sítě Microsoftu hraniční síti zákazníka nebo poskytovatele. Tyto trasy můžete spravovat v samostatné síti VRF a šířit je pouze do segmentu DMZ sítě LAN lokality. Zařízení SD-WAN šíří trasy pro podnikovou síť zákazníka v překryvné síti, včetně tras pro virtuální sítě. Zákazníci, kteří uvažují o tomto přístupu, by měli ověřit, že můžou odpovídajícím způsobem nakonfigurovat směrovací zařízení nebo požádat o správnou službu pro svého operátora MPLS.
Důležité informace o mpls
Migrace z tradičních podnikových sítí MPLS na modernější síťové architektury založené na paradigmatu SD-WAN vyžaduje značné úsilí a značné množství času. Architektura popsaná v tomto článku umožňuje fázované migrace SD-WAN. O dvou typických scénářích migrace se budeme zabývat později.
Vyřazení z provozu ve fázovaném programu MPLS
Zákazníci, kteří chtějí vytvořit síť SD-WAN nad veřejným internetem a páteřní sítí Microsoftu a úplně vyřadit ip adresy MPLS z provozu nebo jiné vyhrazené služby připojení, můžou použít scénář koexistence ExpressRoute a SD-WAN popsaný v předchozí části během migrace. Umožňuje webům připojeným k síti SD-WAN přístup k webům, které jsou stále připojené ke starší verzi služby MPLS. Jakmile se lokalita migruje na zařízení SD-WAN a CPE, je možné propojení MPLS vyřadit z provozu. Lokalita má přístup k celé podnikové síti prostřednictvím tunelů SD-WAN k nejbližším oblastem Azure.
Obrázek 9 Scénář koexistence ExpressRoute a SD-WAN umožňuje postupné vyřazení mpLS z provozu.
Při migraci všech lokalit je možné vyřadit IPVPN MPLS společně s okruhy ExpressRoute, které ho připojují k páteřní síti Microsoftu. Brány virtuální sítě ExpressRoute už nejsou potřeba a je možné je zrušit. Síťová virtuální zařízení rozbočovače SD-WAN v každé oblasti se stanou jediným vstupním bodem do hvězdicové sítě dané oblasti.
Integrace MPLS
Organizace, které nedůvěřují veřejným a sdíleným sítím, aby poskytovaly požadovaný výkon a spolehlivost, se můžou rozhodnout použít existující síť MPLS jako podlimitní podnikové třídy. Existují dvě možnosti:
- Podmnožina webů, jako jsou datacentra nebo velké pobočky.
- Podmnožina připojení, obvykle citlivá na latenci nebo kritický provoz.
Scénář ExpressRoute jako podsložka SD-WAN popsaná výše umožňuje integraci SD-WAN a MPLS. Partnerský vztah ExpressRoute Microsoftu by se měl upřednostňovat před privátním partnerským vztahem z důvodů, které jsme probírali dříve. Při použití partnerského vztahu Microsoftu se síť MPLS a veřejný internet stanou funkčně ekvivalentními podklady. Poskytují přístup ke všem koncovým bodům tunelu SD-WAN vystaveným síťovým virtuálním zařízením rozbočovače SD-WAN v Azure. SD-WAN CPE nasazené v lokalitě s připojením k internetu i MPLS může navázat několik tunelů do center SD-WAN v Azure v obou podsítích. Pak mohou směrovat různá připojení prostřednictvím různých tunelů na základě zásad na úrovni aplikace spravovaných řídicí rovinou SD-WAN.
Obrázek 10 Scénář "ExpressRoute jako podsítě SD-WAN" umožňuje integraci SD-WAN a MPLS.
Předvolba směrování směrovacího serveru
V obouscénářch V důsledku toho se instance směrového serveru nasazené v centrálních virtuálních sítích mohou učit stejné trasy z bran ExpressRoute a síťových virtuálních zařízení SD-WAN. Předvolba směrování směrovacího serveru umožňuje řídit, která cesta by se měla upřednostňovat a vložit do směrovacích tabulek virtuálních sítí. Předvolba směrování je užitečná v případech, kdy není možné použít předběžné nastavení cesty AS. Příkladem je služby MPLS IPVPN, které nepodporují vlastní konfigurace protokolu BGP v PE, které ukončují připojení ExpressRoute.
Aspekty omezení a návrhu směrovacích serverů
Route Server je základním kamenem architektury popsané v tomto článku. Šíří trasy mezi síťovými virtuálními zařízeními SD-WAN nasazenými ve virtuálních sítích a podkladovým zásobníkem SDN Azure. Poskytuje přístup založený na protokolu BGP pro spouštění více síťových virtuálních zařízení SD-WAN pro zajištění vysoké dostupnosti a horizontální škálovatelnosti. Při návrhu velkých sítí SD-WAN na základě této architektury musí být zatěžována omezení škálovatelnosti směrovacího serveru .
Následující části obsahují pokyny k maximální škálovatelnosti a postupu při řešení jednotlivých limitů.
Trasy inzerované partnerským vztahem protokolu BGP na směrovací server
Route Server nedefinuje explicitní limit počtu tras, které je možné inzerovat branám virtuální sítě ExpressRoute při nastavení příznaku AllowBranchToBranch . Brány ExpressRoute ale dál šíří trasy, které se učí ze směrového serveru, do okruhů ExpressRoute, ke kterým jsou připojené.
Existuje omezení počtu tras, které můžou brány ExpressRoute inzerovat do okruhů ExpressRoute přes privátní partnerský vztah, zdokumentované v limitech předplatného a službách Azure, kvótách a omezeních. Při navrhování řešení SD-WAN na základě pokynů v tomto článku je důležité zajistit, aby trasy SD-WAN nezpůsobily dosažení tohoto limitu. Pokud dojde k dosažení, relace protokolu BGP mezi bránami ExpressRoute a okruhy ExpressRoute se zahodí a připojení mezi virtuálními sítěmi a vzdálenými sítěmi připojenými přes ExpressRoute se ztratí.
Celkový počet tras inzerovaných do okruhů bran ExpressRoute je součet počtu tras získaných ze směrového serveru a počtu předpon, které tvoří adresní prostor hvězdicové sítě Azure. Pokud se chcete vyhnout výpadkům kvůli ukončeným relacím protokolu BGP, doporučujeme implementovat následující omezení rizik:
- Pomocí funkcí nativních zařízení SD-WAN omezte počet tras oznámených na Route Server, pokud je tato funkce dostupná.
- Pomocí upozornění služby Azure Monitor můžete proaktivně zjišťovat špičky v počtu tras oznámených bránami ExpressRoute. Metrika, která se má monitorovat, má název Počet tras inzerovaných do partnerského vztahu, jak je uvedeno v monitorování ExpressRoute.
Partnerské vztahy protokolu BGP
Směrovací server může navázat relace protokolu BGP s až maximálním počtem partnerských uzlů protokolu BGP. Tento limit určuje maximální počet síťových virtuálních zařízení SD-WAN, které můžou navázat sousedství protokolu BGP se směrovacím serverem, a proto maximální agregovanou propustnost, kterou lze podporovat napříč všemi tunely SD-WAN. Očekává se, že tento limit dosáhne jenom velkých sítí SD-WAN. Neexistuje žádné alternativní řešení, které by bylo možné překonat nad rámec vytváření více hvězdicových sítí, z nichž každý má vlastní brány a směrovací servery.
Účast na virtuálních počítačích
Brány virtuální sítě a směrovací server konfigurují trasy, které se učí od vzdálených partnerských vztahů pro všechny virtuální počítače ve své vlastní virtuální síti a přímo v partnerských virtuálních sítích. Kvůli ochraně směrovacího serveru před nadměrným využitím prostředků kvůli aktualizacím směrování virtuálních počítačů definuje Azure limit počtu virtuálních počítačů, které mohou existovat v jedné hvězdicové síti. Neexistuje žádné alternativní řešení pro překonání tohoto limitu nad rámec vytváření více hvězdicových sítí, přičemž každý z nich má vlastní brány a směrovací servery ve stejné oblasti.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Federico Guerrini | Vedoucí architekt cloudových řešení
- Khush Kaviraj | Architekt cloudového řešení
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.