Co to jest usługa Azure Virtual WAN?
Azure Virtual WAN to usługa sieciowa, która łączy ze sobą liczne funkcje sieci, zabezpieczeń i routingu w celu zapewnienia pojedynczego interfejsu operacyjnego. Oto niektóre z głównych funkcji:
- Łączność z gałęzią (za pośrednictwem automatyzacji łączności z urządzeń partnerów usługi Virtual WAN, takich jak SD-WAN lub VPN CPE).
- Łączność sieci VPN typu lokacja-lokacja.
- Łączność sieci VPN użytkownika zdalnego (punkt-lokacja).
- Łączność prywatna (ExpressRoute).
- Łączność wewnątrz chmury (przechodnia łączność dla sieci wirtualnych).
- Łączność między sieciami VPN ExpressRoute.
- Routing, usługa Azure Firewall i szyfrowanie na potrzeby łączności prywatnej.
Nie musisz mieć wszystkich tych przypadków użycia, aby rozpocząć korzystanie z usługi Virtual WAN. Możesz rozpocząć pracę tylko z jednym przypadkiem użycia, a następnie dostosować sieć w miarę rozwoju.
Architektura usługi Virtual WAN to architektura piasty i szprych z skalowaniem i wydajnością wbudowaną w gałęzie (urządzenia VPN/SD-WAN), użytkownikami (klientami azure VPN/OpenVPN/IKEv2), obwodami usługi ExpressRoute i sieciami wirtualnymi. Umożliwia ona globalną architekturę sieci tranzytowej, w której sieć hostowana w chmurze "hub" umożliwia przechodnią łączność między punktami końcowymi, które mogą być dystrybuowane między różnymi typami "szprych".
Regiony platformy Azure służą jako koncentratory, z którymi można nawiązać połączenie. Wszystkie koncentratory są połączone w pełnej siatce w standardowej wirtualnej sieci WAN, co ułatwia użytkownikowi korzystanie z sieci szkieletowej firmy Microsoft na potrzeby łączności typu dowolna-dowolna (dowolna szprycha).
W przypadku łączności szprych z urządzeniami SD-WAN/VPN użytkownicy mogą ręcznie skonfigurować ją w usłudze Azure Virtual WAN lub użyć rozwiązania partnerskiego Virtual WAN CPE (SD-WAN/VPN), aby skonfigurować łączność z platformą Azure. Mamy listę partnerów, którzy obsługują automatyzację łączności (możliwość eksportowania informacji o urządzeniu na platformę Azure, pobierania konfiguracji platformy Azure i ustanawiania łączności) za pomocą usługi Azure Virtual WAN. Aby uzyskać więcej informacji, zobacz artykuł Virtual WAN partners and locations (Partnerzy i lokalizacje usługi Virtual WAN).
Usługa Virtual WAN oferuje następujące korzyści:
- Zintegrowane rozwiązania łączności w piastze i szprychach: Automatyzowanie konfiguracji lokacja-lokacja i łączności między lokacjami lokalnymi i koncentratorem platformy Azure.
- Automatyczna instalacja i konfiguracja szprych: bezproblemowe łączenie sieci wirtualnych i obciążeń z koncentratorem na platformie Azure.
- Intuicyjne rozwiązywanie problemów: możesz zobaczyć pełny przepływ na platformie Azure, a następnie użyć tych informacji do podjęcia wymaganych akcji.
Architektura
Aby uzyskać informacje o architekturze usługi Virtual WAN i sposobie migracji do usługi Virtual WAN, zobacz następujące artykuły:
Dostępne regiony i lokalizacje
Aby uzyskać informacje o dostępnych regionach i lokalizacjach, zobacz Virtual WAN partners, regions, and locations (Partnerzy, regiony i lokalizacje usługi Virtual WAN).
Zasoby usługi Virtual WAN
Aby skonfigurować kompleksową wirtualną sieć WAN, należy utworzyć następujące zasoby:
Wirtualna sieć WAN: zasób virtualWAN reprezentuje wirtualną nakładkę sieci platformy Azure i jest kolekcją wielu zasobów. Zawiera linki do wszystkich koncentratorów wirtualnych, które mają się znaleźć w wirtualnej sieci WAN. Wirtualne sieci WAN są odizolowane od siebie i nie mogą zawierać wspólnego koncentratora. Koncentratory wirtualne w różnych wirtualnych sieciach WAN nie komunikują się ze sobą.
Koncentrator: koncentrator wirtualny to sieć wirtualna zarządzana przez firmę Microsoft. Centrum zawiera różne punkty końcowe usługi umożliwiające łączność. Z sieci lokalnej (vpnsite) można nawiązać połączenie z bramą sieci VPN wewnątrz koncentratora wirtualnego, połączyć obwody usługi ExpressRoute z koncentratorem wirtualnym, a nawet połączyć użytkowników mobilnych z bramą typu punkt-lokacja w koncentratorze wirtualnym. Koncentrator to podstawowy element sieci w danym regionie. W tym samym regionie można utworzyć wiele koncentratorów wirtualnych.
Brama koncentratora nie jest taka sama jak brama sieci wirtualnej, która jest używana dla usługi ExpressRoute i usługi VPN Gateway. Na przykład w przypadku korzystania z usługi Virtual WAN połączenie typu lokacja-lokacja nie jest tworzone bezpośrednio z lokacji lokalnej do sieci wirtualnej. Zamiast tego należy utworzyć połączenie lokacja-lokacja z centrum. Ruch zawsze jest kierowany przez bramę koncentratora. Oznacza to, że sieci wirtualne nie potrzebują własnej bramy sieci wirtualnej. Usługa Virtual WAN umożliwia łatwe skalowanie sieci wirtualnych za pośrednictwem koncentratora wirtualnego i bramy koncentratora wirtualnego.
Połączenie sieci wirtualnej koncentratora: zasób połączenia sieci wirtualnej koncentratora służy do bezproblemowego łączenia koncentratora z siecią wirtualną. Jedną sieć wirtualną można połączyć tylko z jednym koncentratorem wirtualnym.
Połączenie koncentratora z koncentratorem: wszystkie koncentratory są ze sobą połączone w wirtualnej sieci WAN. Oznacza to, że gałąź, użytkownik lub sieć wirtualna połączona z koncentratorem lokalnym może komunikować się z inną gałęzią lub siecią wirtualną przy użyciu architektury pełnej siatki połączonych koncentratorów. Sieci wirtualne można również łączyć w ramach centrum tranzytowego za pośrednictwem koncentratora wirtualnego, a także sieci wirtualnych w koncentratonie przy użyciu połączonej platformy koncentratora.
Tabela tras koncentratora: możesz utworzyć trasę koncentratora wirtualnego i zastosować tę trasę do tabeli tras koncentratora wirtualnego. Możesz zastosować wiele tras do tabeli tras koncentratora wirtualnego.
Dodatkowe zasoby usługi Virtual WAN
- Lokacja: ten zasób jest używany tylko dla połączeń typu lokacja-lokacja. Zasób lokacji to vpnsite. Reprezentuje on lokalne urządzenie sieci VPN i jego ustawienia. Dzięki współpracy z partnerem usługi Virtual WAN otrzymasz wbudowane rozwiązanie do automatycznego eksportowania tych informacji na platformę Azure.
Typy wirtualnej sieci WAN
Istnieją dwa typy wirtualnych sieci WAN: Podstawowa i Standardowa. W poniższej tabeli przedstawiono dostępne konfiguracje dla każdego typu.
Typ wirtualnej sieci WAN | Typ koncentratora | Dostępne konfiguracje |
---|---|---|
Podstawowy | Podstawowy | Tylko sieć VPN typu lokacja-lokacja |
Standardowa | Standardowa | ExpressRoute Sieć VPN użytkownika (P2S) Sieć VPN (lokacja-lokacja) Tranzyt między koncentratorami i sieciami wirtualnymi za pośrednictwem koncentratora wirtualnego Azure Firewall Urządzenie WUS w wirtualnej sieci WAN |
Uwaga
Można uaktualnić z warstwy Podstawowa do warstwy Standardowa, ale nie można przywrócić z powrotem z warstwy Standardowa do warstwy Podstawowa.
Aby uzyskać instrukcje uaktualniania wirtualnej sieci WAN, zobacz Uaktualnianie wirtualnej sieci WAN z warstwy Podstawowa do Standardowa.
Łączność
Połączenia sieci VPN typu lokacja-lokacja
Możesz nawiązać połączenie z zasobami na platformie Azure za pośrednictwem połączenia IPsec/IKE (IKEv2) typu lokacja-lokacja. Aby uzyskać więcej informacji, zobacz Create a site-to-site connection using Virtual WAN (Tworzenie połączenia lokacja-lokacja przy użyciu usługi Virtual WAN).
Ten typ połączenia wymaga urządzenia sieci VPN lub urządzenia partnera usługi Virtual WAN. Partnerzy usługi Virtual WAN zapewniają automatyzację łączności, czyli możliwość eksportowania informacji o urządzeniu na platformę Azure, pobierania konfiguracji platformy Azure i nawiązywania łączności z koncentratorem usługi Azure Virtual WAN. Listę dostępnych partnerów i lokalizacji można znaleźć w artykule Virtual WAN partners, regions, and locations (Partnerzy, regiony i lokalizacje usługi Virtual WAN). Jeśli dostawca urządzeń sieci VPN/SD-WAN nie znajduje się na liście wymienionego linku, skorzystaj z instrukcji krok po kroku w artykule Tworzenie połączenia lokacja-lokacja przy użyciu usługi Virtual WAN , aby skonfigurować połączenie.
Połączenia sieci VPN użytkownika (punkt-lokacja)
Możesz nawiązać połączenie z zasobami na platformie Azure za pośrednictwem połączenia IPsec/IKE (IKEv2) lub OpenVPN. Ten typ połączenia wymaga skonfigurowania klienta sieci VPN na komputerze klienckim. Aby uzyskać więcej informacji, zobacz Tworzenie połączenia typu punkt-lokacja.
Połączenia ExpressRoute
Usługa ExpressRoute umożliwia łączenie sieci lokalnej z platformą Azure za pośrednictwem połączenia prywatnego. Aby utworzyć połączenie, zobacz Tworzenie połączenia usługi ExpressRoute przy użyciu usługi Virtual WAN.
Szyfrowanie ruchu usługi ExpressRoute
Usługa Azure Virtual WAN umożliwia szyfrowanie ruchu usługi ExpressRoute. Technika ta zapewnia zaszyfrowany tranzyt między sieciami lokalnymi i sieciami wirtualnymi platformy Azure za pośrednictwem usługi ExpressRoute bez przechodzenia przez publiczny Internet lub korzystania z publicznych adresów IP. Aby uzyskać więcej informacji, zobacz IPsec over ExpressRoute for Virtual WAN (Protokół IPsec za pośrednictwem usługi ExpressRoute dla wirtualnej sieci WAN).
Połączenia koncentratora-sieć wirtualna
Sieć wirtualną platformy Azure można połączyć z koncentratorem wirtualnym. Aby uzyskać więcej informacji, zobacz Łączenie sieci wirtualnej z koncentratorem.
Łączność tranzytowa
Łączność tranzytowa między sieciami wirtualnymi
Usługa Virtual WAN umożliwia łączność tranzytową między sieciami wirtualnymi. Sieci wirtualne łączą się z koncentratorem wirtualnym za pośrednictwem połączenia sieci wirtualnej. Łączność tranzytowa między sieciami wirtualnymi w standardowej wirtualnej sieci WAN jest włączona z powodu obecności routera w każdym koncentratorze wirtualnym. Ten router jest tworzony po utworzeniu koncentratora wirtualnego.
Router koncentratora może mieć cztery stany routingu: Aprowizowanie, Aprowizowanie, Niepowodzenie lub Brak. Stan routingu znajduje się w witrynie Azure Portal, przechodząc do strony Koncentrator wirtualny.
- Stan Brak wskazuje, że koncentrator wirtualny nie aprowizować routera. Może się tak zdarzyć, jeśli usługa Virtual WAN jest typu Podstawowa lub jeśli centrum wirtualne zostało wdrożone przed udostępnieniem usługi.
- Stan Niepowodzenie wskazuje błąd podczas tworzenia wystąpienia. Aby utworzyć wystąpienie lub zresetować router, możesz zlokalizować opcję Resetuj router , przechodząc do strony Przegląd koncentratora wirtualnego w witrynie Azure Portal.
Każdy router koncentratora wirtualnego obsługuje zagregowaną przepływność do 50 Gb/s.
Łączność między połączeniami sieci wirtualnej zakłada domyślnie maksymalne obciążenie 2000 maszyn wirtualnych we wszystkich sieciach wirtualnych połączonych z jednym koncentratorem wirtualnym. Jednostki infrastruktury piasty można dostosować do obsługi dodatkowych maszyn wirtualnych. Aby uzyskać więcej informacji na temat jednostek infrastruktury koncentratora, zobacz Ustawienia centrum.
Łączność tranzytowa między siecią VPN i usługą ExpressRoute
Usługa Virtual WAN umożliwia łączność tranzytową między siecią VPN i usługą ExpressRoute. Oznacza to, że połączone lokacje sieci VPN lub użytkownicy zdalni mogą komunikować się z połączonymi lokacjami usługi ExpressRoute. Istnieje również niejawne założenie, że flaga Gałąź-gałąź jest włączona, a protokół BGP jest obsługiwany w połączeniach sieci VPN i usługi ExpressRoute. Tę flagę można znaleźć w ustawieniach usługi Azure Virtual WAN w witrynie Azure Portal. Wszystkie zarządzanie trasami jest zapewniane przez router koncentratora wirtualnego, który umożliwia również łączność tranzytową między sieciami wirtualnymi.
Routing niestandardowy
Usługa Virtual WAN oferuje zaawansowane ulepszenia routingu. Możliwość konfigurowania niestandardowych tabel tras, optymalizowania routingu sieci wirtualnej za pomocą skojarzenia tras i propagacji, logicznego grupowania tabel tras z etykietami i upraszczania wielu wirtualnych urządzeń sieciowych (WUS) lub scenariuszy routingu usług udostępnionych.
Globalna komunikacja równorzędna sieci wirtualnych
Globalna komunikacja równorzędna sieci wirtualnych udostępnia mechanizm łączenia dwóch sieci wirtualnych w różnych regionach. W usłudze Virtual WAN połączenia sieci wirtualnej łączą sieci wirtualne z koncentratorami wirtualnymi. Użytkownik nie musi jawnie konfigurować globalnej komunikacji równorzędnej sieci wirtualnych. Sieci wirtualne połączone z koncentratorem wirtualnym w tym samym regionie generują opłaty za komunikację równorzędną sieci wirtualnych. Sieci wirtualne połączone z koncentratorem wirtualnym w innym regionie generują globalne opłaty za komunikację równorzędną sieci wirtualnych.
Tabele tras
Tabele tras mają teraz funkcje skojarzenia i propagacji. Istniejąca tabela tras to tabela tras, która nie ma tych funkcji. Jeśli masz wstępnie istniejące trasy w routingu koncentratora i chcesz użyć nowych funkcji, rozważ następujące kwestie:
Klienci usługi Virtual WAN w warstwie Standardowa ze wstępnie istniejącymi trasami w koncentratorze wirtualnym: jeśli masz wstępnie istniejące trasy w sekcji Routing dla centrum w witrynie Azure Portal, musisz najpierw je usunąć, a następnie spróbować utworzyć nowe tabele tras (dostępne w sekcji Tabele tras dla centrum w witrynie Azure Portal). Najlepiej wykonać krok usuwania dla wszystkich centrów w wirtualnej sieci WAN.
Podstawowi klienci usługi Virtual WAN ze wstępnie istniejącymi trasami w koncentratorze wirtualnym: jeśli masz wstępnie istniejące trasy w sekcji Routing dla centrum w witrynie Azure Portal, musisz je najpierw usunąć, a następnie uaktualnić podstawową usługę Virtual WAN do usługi Virtual WAN w warstwie Standardowa. Zobacz Uaktualnianie wirtualnej sieci WAN z warstwy Podstawowa do Standardowa. Najlepiej wykonać krok usuwania dla wszystkich centrów w wirtualnej sieci WAN.
Często zadawane pytania
Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Virtual WAN.
Wersje zapoznawcze i Co nowego?
- Aby uzyskać informacje o najnowszych wersjach, w toku wersji zapoznawczych, ograniczeniach wersji zapoznawczej, znanych problemach i przestarzałych funkcjach, zobacz Co nowego?
- Zasubskrybuj kanał informacyjny RSS i wyświetl najnowsze aktualizacje funkcji usługi Virtual WAN na stronie Azure Updates — Virtual WAN .