SD-WAN connectivity architecture with Azure Virtual WAN
Azure 虚拟 WAN 是一种网络服务,它将许多云连接和安全服务与单个操作界面结合在一起。 这些服务包括分支(通过站点到站点 V-P-N)、远程用户(点到站点 V-P-N)、专用 (ExpressRoute) 连接、VNet 的云内传递连接、V-P-N 和 ExpressRoute 互连、路由、Azure 防火墙和 用于私人连接的加密。
尽管 Azure 虚拟广域网是一种基于云的 SD-WAN,可提供丰富的 Azure 第一方连接、路由和安全服务套件,但 Azure 虚拟广域网还旨在实现与基于本地的 SD-WAN 和 SASE 技术的无缝互连 和服务。 许多此类服务由我们的虚拟 WAN 生态系统和 Azure 网络托管服务合作伙伴 (MSP) 提供。 将私有 WAN 转换为 SD-WAN 的企业在将私有 SD-WAN 与 Azure 虚拟 WAN 互连时可以选择。 企业可以从以下选项中进行选择:
- Direct Interconnect model
- Direct Interconnect model with NVA-in-VWAN-hub
- Indirect Interconnect model
- Managed Hybrid WAN model using their favorite managed service provider MSP
在所有这些情况下,虚拟 WAN 与 SD-WAN 的互连在连接方面是相似的,但在编排和操作方面可能会有所不同。
Direct Interconnect model
在此架构模型中,SD-WAN 分支机构客户端设备 (CPE) 通过 IPsec 连接直接连接到vWAN Hub。 分支机构 CPE 也可以通过私有 SD-WAN 连接到其他分支机构,或使用vWAN 进行分支机构到分支机构的连接。 需要在 Azure 中访问其工作负载的分支机构将能够通过在vWAN Hub中终止的 IPsec 隧道直接安全地访问 Azure。
SD-WAN CPE 合作伙伴可以启用自动化,以便从其各自的 CPE 设备自动化通常繁琐且容易出错的 IPsec 连接。 自动化允许 SD-WAN 控制器通过vWAN API 与 Azure 对话,以配置vWAN 站点,并将必要的 IPsec 隧道配置推送到分支机构 CPE。 有关各种 SD-WAN 合作伙伴对vWAN 互连自动化的描述,请参阅自动化指南(Automation guidelines)。
SD-WAN CPE 仍然是实施和实施流量优化和路径选择的地方。
在此模型中,可能不支持某些基于实时流量特征的供应商专有流量优化,因为与vWAN 的连接是通过 IPsec 进行的,并且 IPsec V-P-N 在vWAN V-P-N 网关上终止。 例如,由于分支设备与另一个 SD-WAN 节点交换各种网络数据包信息,因此分支 CPE 处的动态路径选择是可行的,因此在分支处动态识别用于各种优先级流量的最佳链路。 在需要最后一英里优化(到最近的 Microsoft POP 的分支)的领域中(This feature may be useful in areas where last mile optimization),此功能可能很有用。
使用vWAN,用户可以获得 Azure 路径选择,这是跨多个 ISP 链路从分支 CPE 到vWAN V-P-N 网关的基于策略的路径选择。 vWAN 允许从同一个 SD-WAN 分支 CPE 设置多个链接(路径); 每个链接代表从 SD-WAN CPE 的唯一公共 IP 到 Azure 虚拟 WAN V-P-N 网关的两个不同实例的双隧道连接。 SD-WAN 供应商可以根据其策略引擎在 CPE 链路上设置的流量策略,实施通往 Azure 的最佳路径。 在 Azure 端,所有进入的连接都受到同等对待。
Direct Interconnect model with NVA-in-VWAN-hub
此架构模型支持将第三方网络虚拟设备 (NVA) 直接部署到vHub中。这允许希望将其分支机构 CPE 连接到vHub中的同一品牌 NVA 的客户,以便他们在连接到 Azure 工作负载时可以利用专有的端到端 SD-WAN 功能。
多个vWAN 合作伙伴致力于提供一种在部署过程中自动配置 NVA 的体验。将 NVA 配置到vHub后,NVA 可能需要的任何其他配置都必须通过 NVA 合作伙伴门户或管理应用程序完成。无法直接访问 NVA。可直接部署到 Azure vWAN 中心的 NVA 专为在vHub中使用而设计。对于在 VWAN 中心支持 NVA 的合作伙伴及其部署指南,请参阅虚拟 WAN 合作伙伴文章(Virtual WAN Partners)。
SD-WAN CPE 仍然是实施和实施流量优化和路径选择的地方。在此模型中,支持基于实时流量特征的供应商专有流量优化,因为与vWAN 的连接是通过Hub中的 SD-WAN NVA。
Indirect Interconnect model
在此架构模型中,SD-WAN 分支 CPE 间接连接到vWAN Hub。 如图所示,SD-WAN 虚拟 CPE 部署在企业 VNet 中。 该虚拟 CPE 又使用 IPsec 连接到vWAN hub。 虚拟 CPE 用作进入 Azure 的 SD-WAN 网关。 需要在 Azure 中访问其工作负载的分支机构将能够通过 v-CPE 网关访问它们。
由于与 Azure 的连接是通过 v-CPE 网关 (NVA) 进行的,因此往返于 Azure 工作负载 VNet 和其他 SD-WAN 分支的所有流量都通过 NVA。 在此模型中,用户负责管理和操作 SD-WAN NVA,包括高可用性、可扩展性和路由。
Managed Hybrid WAN model
在此架构模型中,企业可以利用托管服务提供商 (MSP) 合作伙伴提供的托管 SD-WAN 服务。 该模型类似于上述直接或间接模型。 但是,在此模型中,SD-WAN 设计、编排和操作由 SD-WAN 提供商提供。
Azure Networking MSP 合作伙伴可以使用 Azure Lighthouse 在企业客户的 Azure 订阅中实现 SD-WAN 和 Virtual WAN 服务,以及代表客户运营端到端的混合 WAN。 这些 MSP 还可以将 Azure ExpressRoute 实施到vWAN 中,并将其作为端到端托管服务运行。
Refer to:
https://docs.microsoft.com/en-us/azure/virtual-wan/sd-wan-connectivity-architecture