Architektura připojení SD-WAN s využitím Azure Virtual WAN
Azure Virtual WAN je síťová služba, která spojuje mnoho služeb cloudového připojení a zabezpečení s jedním provozním rozhraním. Mezi tyto služby patří pobočka (prostřednictvím vpn site-to-site), vzdálený uživatel (VPN typu point-to-site), privátní připojení (ExpressRoute), přenosná připojení v rámci cloudu pro virtuální sítě, propojení VPN a ExpressRoute, směrování, Azure Firewall a šifrování pro privátní připojení.
Přestože azure Virtual WAN je cloudová síť SD-WAN, která poskytuje bohatou sadu služeb připojení, směrování a zabezpečení Azure první strany, azure Virtual WAN je také navržený tak, aby umožňoval bezproblémové propojení s místními technologiemi a službami SD-WAN a SASE. Mnoho takových služeb nabízí náš ekosystém Virtual WAN a partneři spravovaných služeb Azure Networking Managed Services (MSP). Podniky, které transformují privátní síť WAN na SD-WAN, mají možnosti při propojení privátní sítě SD-WAN s Azure Virtual WAN. Podniky si můžou vybrat z těchto možností:
- Model direct interconnect
- Model přímého propojení s síťovým virtuálním zařízením ve virtuální síti WAN
- Model nepřímého propojení
- Model spravované hybridní sítě WAN s využitím svého oblíbeného poskytovatele spravovaných služeb MSP
Ve všech těchto případech je propojení Virtual WAN s SD-WAN na straně připojení podobné, ale může se lišit na straně orchestrace a provozu.
Model direct interconnect
V tomto modelu architektury je zařízení SD-WAN branch customer-premises equipment (CPE) přímo připojeno k Virtual WAN rozbočovačům prostřednictvím připojení IPsec. CPE větve může být také připojen k jiným větvím prostřednictvím privátní sítě SD-WAN nebo použít Virtual WAN pro připojení mezi větvemi. Větve, které potřebují přístup ke svým úlohám v Azure, budou moct přímo a bezpečně přistupovat k Azure prostřednictvím tunelů IPsec, které jsou ukončeny v centrech Virtual WAN.
Partneři SD-WAN CPE můžou povolit automatizaci, aby z příslušných zařízení CPE automatizovali obvykle zdlouhavé připojení IPsec náchylné k chybám. Automatizace umožňuje kontroleru SD-WAN komunikovat s Azure přes rozhraní VIRTUAL WAN API za účelem konfigurace Virtual WAN lokalit a nabízení potřebné konfigurace tunelu IPsec do větví CPE. Popis automatizace Virtual WAN propojení od různých partnerů SD-WAN najdete v pokynech pro automatizaci.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty.
V tomto modelu nemusí být podporována optimalizace provozu proprietárního dodavatele na základě charakteristik provozu v reálném čase, protože připojení k Virtual WAN je přes protokol IPsec a vpn IPsec je ukončena na Virtual WAN bráně VPN. Například výběr dynamické cesty ve větvi CPE je možný díky tomu, že zařízení větve vyměňuje různé informace o síťových paketech s jiným uzlem SD-WAN, a proto identifikuje nejlepší propojení, které se má použít pro různé prioritní přenosy dynamicky ve větvi. Tato funkce může být užitečná v oblastech, kde se vyžaduje optimalizace poslední míle (větvení na nejbližší microsoft pop).
S Virtual WAN můžou uživatelé získat výběr cesty Azure, což je výběr cesty na základě zásad napříč několika odkazy poskytovatele internetových služeb z větve CPE do Virtual WAN bran VPN. Virtual WAN umožňuje nastavit více propojení (cest) ze stejné větve SD-WAN CPE; každé propojení představuje duální tunelové připojení z jedinečné veřejné IP adresy SD-WAN CPE do dvou různých instancí služby Azure Virtual WAN brány VPN. Dodavatelé SD-WAN můžou implementovat nejoptimálnější cestu do Azure na základě zásad provozu nastavených jejich modulem zásad na odkazech CPE. Na straně Azure se zachází se všemi příchozími připojeními stejně.
Model přímého propojení s síťovým virtuálním zařízením ve virtuální síti WAN
Tento model architektury podporuje nasazení síťového virtuálního zařízení třetí strany přímo do virtuálního centra. To umožňuje zákazníkům, kteří chtějí připojit svoji pobočku CPE k síťovému virtuálnímu virtuálnímu zařízení stejné značky ve virtuálním centru, aby mohli při připojování k úlohám Azure využívat proprietární komplexní funkce SD-WAN.
Několik Virtual WAN partnerů pracovalo na poskytování prostředí, které konfiguruje síťové virtuální zařízení automaticky v rámci procesu nasazení. Jakmile je síťové virtuální zařízení zřízené ve virtuálním centru, je nutné provést jakoukoli další konfiguraci, která může být pro síťové virtuální zařízení vyžadována, prostřednictvím portálu partnerů síťového virtuálního zařízení nebo aplikace pro správu. Přímý přístup k síťovému virtuálnímu virtuálnímu zařízení není k dispozici. Síťová virtuální zařízení, která je možné nasadit přímo do centra Azure Virtual WAN, jsou navržená speciálně pro použití ve virtuálním centru. Informace o partnerech, kteří podporují síťové virtuální zařízení v centru VWAN, a jejich průvodců nasazením najdete v článku Virtual WAN partneři.
SD-WAN CPE je i nadále místem, kde se implementuje a vynucuje optimalizace provozu a výběr cesty. V tomto modelu je podporována proprietární optimalizace provozu dodavatele na základě charakteristik provozu v reálném čase, protože připojení k Virtual WAN je prostřednictvím síťového virtuálního zařízení SD-WAN v centru.
Model nepřímého propojení
V tomto modelu architektury jsou SD-WAN branch CPE nepřímo připojeny k Virtual WAN rozbočovačům. Jak ukazuje obrázek, virtuální CPE SD-WAN je nasazená v podnikové virtuální síti. Tato virtuální cpe je zase připojena k Virtual WAN rozbočovačům pomocí protokolu IPsec. Virtuální CPE slouží jako brána SD-WAN do Azure. Větve, které potřebují přístup ke svým úlohám v Azure, k nim budou mít přístup přes bránu v-CPE.
Vzhledem k tomu, že připojení k Azure probíhá přes bránu v-CPE , veškerý provoz do a z virtuálních sítí úloh Azure do jiných větví SD-WAN prochází přes síťové virtuální zařízení. V tomto modelu je uživatel zodpovědný za správu a provoz síťového virtuálního zařízení SD-WAN, včetně vysoké dostupnosti, škálovatelnosti a směrování.
Model spravované hybridní sítě WAN
V tomto modelu architektury můžou podniky využívat spravovanou službu SD-WAN, kterou nabízí partner msp (Managed Service Provider). Tento model je podobný přímému nebo nepřímému modelu popsanému výše. V tomto modelu ale návrh, orchestrace a operace SD-WAN zajišťuje poskytovatel SD-WAN.
Partneři Msp pro sítě Azure můžou pomocí služby Azure Lighthouse implementovat služby SD-WAN a Virtual WAN v předplatném Azure podnikového zákazníka a také provozovat komplexní hybridní síť WAN jménem zákazníka. Tito poskytovatelé služeb také můžou implementovat Azure ExpressRoute do Virtual WAN a provozovat ji jako ucelenou spravovanou službu.