Microsoft Azure Virtual WAN
Microsoft Azure Virtual WAN und Citrix SD-WAN bieten vereinfachte Netzwerkkonnektivität und zentralisierte Verwaltung über hybride Cloud-Workloads hinweg. Sie können die Konfiguration von Zweiganwendungen automatisieren, um eine Verbindung mit dem Azure-WAN herzustellen und Richtlinien für die Verwaltung von Zweigstellen entsprechend Ihren geschäftlichen Anforderungen konfigurieren. Die integrierte Dashboard-Schnittstelle bietet sofortige Einblicke in die Problembehandlung, die Zeit sparen und Transparenz für große Site-zu-Site-Konnektivität bietet.
Mit Microsoft Azure Virtual WAN können Sie vereinfachte Konnektivität zu Azure Cloud-Arbeitslasten aktivieren und Datenverkehr über das Azure-Backbone-Netzwerk und darüber hinaus weiterleiten. Azure bietet über 54 Regionen und mehrere Anwesenheitspunkte auf der ganzen Welt dienen Azure Regionen als Hubs, die Sie für eine Verbindung mit den Zweigen auswählen können. Nachdem die Zweige verbunden sind, verwenden Sie den Azure-Clouddienst über Hub-zu-Hub-Konnektivität. Sie können die Konnektivität vereinfachen, indem Sie mehrere Azure-Dienste einschließlich Hub-Peering mit Azure VNETs anwenden. Hubs dienen als Verkehrs-Gateways für die Filialen.
Microsoft Azure Virtual WAN bietet folgende Vorteile:
-
Integrierte Konnektivitätslösungen in Hub und Spoke: Automatisieren der Konnektivität und Konfiguration zwischen on-premises und dem Azure Hub aus verschiedenen Quellen, einschließlich verbundener Partnerlösungen.
-
Automatisierte Einrichtung und Konfiguration — Verbinden Sie Ihre virtuellen Netzwerke nahtlos mit dem Azure-Hub.
-
Intuitive Problembehandlung — Sie können den End-to-End-Ablauf in Azure anzeigen und diese Informationen verwenden, um erforderliche Aktionen durchzuführen.
Hub-zu-Hub-Kommunikation
Mit Version 11.1.0 wird Azure Virtual WAN Hub-to-Hub-Kommunikation mit der Standardtypmethode unterstützt.
Azure Virtual WAN-Kunden können jetzt das globale Microsoft-Netzwerk für die regionsübergreifende Kommunikation zwischen Hubs und Hubs nutzen (Architektur mit globalem Transitnetzwerk). Dadurch können Sie Azure, eine Zweigstelle über den Azure Und eine Zweigstelle für Hub-Kommunikation (in allen Azure Regionen) erreichen.
Sie können Azure nur für die regionsübergreifende Kommunikation verwenden, wenn Sie die Standard-SKU für Azure Virtual WAN erwerben. Die Preise finden Sie unter Virtual WAN – Preise . Mit der Basic-SKU können Sie die Angaben von Azure für die regionsübergreifende Hub-zu-Hub-Kommunikation nicht verwenden. Weitere Informationen finden Sie unter Architektur des globalen Transitnetzwerks und virtuelles WAN.
Hubs werden in einem virtuellen WAN miteinander verbunden. Damit wird bedeutet, dass eine mit einem lokalen Hub verbundene Zweigstelle, ein Benutzer oder ein VNet mit einem anderen Zweigstellen oder VNet über die vollständige Mesh-Architektur der verbundenen Hubs kommunizieren kann.
Mit dem über Einen Hub verbundenen Framework können Sie auch VNets in einem Hub verbinden, der durch den virtuellen Hub übertragen wird, und VNets über einen Hub.
Es gibt zwei Typen des virtuellen WAN:
-
Basic:Mit der Methode “Basic” erfolgt die Kommunikation zwischen Hub und Hub innerhalb einer Region. Mit dem WAN-Typ “Basic” können Sie einen Basic Hub (SKU = Basic) erstellen. Einfache Hubs sind auf die Site-to-Site-VPN-Funktionalität beschränkt.
-
Standard:Bei Verwendung der Standardmethode erfolgt die Kommunikation zwischen Hub und Hub zwischen verschiedenen Regionen. Ein Standard-WAN trägt zur Erstellung eines Standardhubs (SKU = Standard) bei. Standardhubs enthalten ExpressRoute, Benutzer-VPN (P2S), vollständigen Mesh-Hub und VNet-zu-VNet-Übertragung über die Hubs.
Erstellen von Azure Virtual WAN Service in Microsoft Azure
Führen Sie folgende Schritte aus, um die Azure Virtual WAN-Ressource zu erstellen:
-
Melden Sie sich am Azure Portal an und klicken Sie auf Create a resource.
-
Suchen Sie “Virtual WAN” und klicken Sie auf “Create”.
-
Geben Sie unter “Basic”die Werte für die folgenden Felder ein:
-
Subscription:Wählen Sie die Abonnementdetails aus der Dropdownliste aus und geben Sie sie an.
-
Ressourcengruppe:Wählen Sie eine vorhandene Ressourcengruppe oder erstellen Sie eine neue.
Hinweis
Wenn Sie den Dienstprinzipal für die Azure-API-Kommunikation erstellen, müssen Sie dieselbe Ressourcengruppe verwenden, die das virtuelle WAN enthält. Andernfalls verfügen SD-WAN Orchestrator nicht über ausreichende Berechtigungen für die Authentifizierung bei Azure Virtual WAN-APIs, die eine automatisierte Konnektivität ermöglichen.
-
Ressourcengruppenstandort:Wählen Sie die Region Azure aus der Dropdownliste aus.
- Name:Geben Sie den Namen für das neue virtuelle WAN ein.
- Typ:Wählen Sie Standardtyp, wenn Sie die Hub-zu-Hub-Kommunikation zwischen verschiedenen Regionen verwenden möchten, andernfalls wählen Sie Basic.
-
- Klicken Sie auf “Überprüfung + erstellen”.
- Überprüfen Sie die zum Erstellen des virtuellen WAN eingegebenen Informationen und klicken Sie auf Erstellen, um die Erstellung des virtuellen WAN abzuschließen.
Die Bereitstellung der Ressource dauert weniger als eine Minute.
Hinweis
Sie können ein Upgrade von Basic auf Standard durchführen, jedoch nicht von Standard zurück auf Basic. Schritte zum Upgrade eines virtuellen WAN finden Sie unter Aktualisieren eines virtuellen WAN von Basic auf Standard .
Erstellen eines Hubs im Azure Virtual WAN
Führen Sie die folgenden Schritte aus, um einen Hub zu erstellen, um die Verbindung von verschiedenen Endpunkten (z. B. on-premises VPN-Geräte oder SD-WAN-Geräte) zu ermöglichen:
- Wählen Sie das zuvor erstellte Azure Virtual WAN aus.
-
Wählen Sie im Bereich Verbindung die Option Hubs aus und klicken Sie auf +New Hub.
-
Geben Sie unter “Basic”die Werte für die folgenden Felder ein:
- Region: Wählen Sie die region Azure aus der Dropdownliste aus.
- Name: Geben Sie den Namen für den neuen Hub ein.
- Privater Hub-Adressraum: Geben Sie den Adressbereich in CIDR ein. Wählen Sie ein eindeutiges Netzwerk aus, das nur für den Hub reserviert ist.
-
Klicken Sie auf “Weiter”: Site zu Site > und geben Sie die Werte für folgende Felder ein:
- Möchten Sie eine Site zu Site erstellen (VPN-Gateway)? : Wählen Sie “Yes”.
-
Gateway Skalierungseinheiten: Wählen Sie die Skalierungseinheiten nach Bedarf aus der Dropdownliste aus.
- Klicken Sie auf “Überprüfung + erstellen”.
- Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen, um die Erstellung des virtuellen Hubs zu starten.
Die Bereitstellung der Ressource kann bis zu 30 Minuten dauern.
Erstellen eines Dienstprinzipals für Azure Virtual WAN und Identifizieren von IDs
Damit SD-WAN Orchestrator sich über Azure Virtual WAN-APIs authentifizieren und die automatische Konnektivität aktivieren können, muss eine registrierte Anwendung erstellt und mit den folgenden Anmeldeinformationen für die Authentifizierung identifiziert werden:
- Abonnement-ID
- Client-ID
- Geheimer Clientschlüssel
- Mandanten-ID
Hinweis
Wenn Sie den Dienstprinzipal für die Azure-API-Kommunikation erstellen, müssen Sie dieselbe Ressourcengruppe verwenden, die das virtuelle WAN enthält. Andernfalls verfügen SD-WAN Orchestrator nicht über ausreichende Berechtigungen für die Authentifizierung bei Azure Virtual WAN-APIs, die eine automatisierte Konnektivität ermöglichen.
Führen Sie die folgenden Schritte aus, um eine neue Anwendungsregistrierung zu erstellen:
- Navigieren Sie im Azure Portal zu Azure Active Directory.
- Wählen Sie unter “Verwalten” die Option “App-Registrierung”.
-
Klicken Sie auf + Neue Registrierung.
-
Geben Sie Werte für die folgenden Felder zum Registrieren einer Anwendung an:
- Name: Geben Sie den Namen für die Anwendungsregistrierung an.
- Unterstützte Kontotypen: Wählen Sie Konten in diesem Organisationsverzeichnis nur (* - Einzelmandanten) aus.
- Umleitungs-URI (optional): Wählen Sie Web aus der Dropdownliste aus und geben Sie eine zufällige, eindeutige URL ein (z. B. https:// localhost:4980).
- Klicken Sie auf Registrieren.
Sie können die Anwendungs-ID (Client) und die Verzeichnis- (Mandanten)-ID kopieren und speichern, die in SD-WAN Orchestrator für die Authentifizierung beim Azure-Abonnement für die Verwendung der API verwendet werden können.
Erstellen Sie im nächsten Schritt für die Anwendungsregistrierung einen Dienstprinzipalschlüssel für Authentifizierungszwecke.
Führen Sie folgende Schritte aus, um den Dienstprinzipalschlüssel zu erstellen:
- Navigieren Sie im Azure Portal zu Azure Active Directory.
- Navigieren Sie unter “Verwalten”zu “App-Registrierung”.
- Wählen Sie die zuvor erstellte registrierte Anwendung aus.
- Wählen Sie unter Verwaltendie Option Zertifikate und Geheimnisseaus.
-
Klicken Sie unter Client secretsauf + New client secret.
- Geben Sie Werte für die folgenden Felder an, um einen geheimen Clientschlüssel hinzuzufügen:
- Beschreibung:Geben Sie einen Namen für den Dienstprinzipalschlüssel ein.
- Ablauf:Wählen Sie die Dauer für den Ablauf nach Bedarf aus.
- Klicken Sie auf Hinzufügen.
-
Der geheime Clientschlüssel wird in der Spalte “Wert” deaktiviert. Kopieren Sie den Schlüssel in die Zwischenablage. Dies ist der geheime Clientschlüssel, den Sie in SD-WAN Orchestrator eingeben müssen.
Hinweis
Sie müssen den geheimen Schlüssel vor dem erneuten Laden der Seite kopieren und speichern, da er anschließend nicht mehr angezeigt wird.
Führen Sie die folgenden Schritte aus, um die entsprechenden Rollen für den Authentifizierungszweck zuzuweisen:
- Navigieren Sie im Azure Portal zu der Ressourcengruppe, in der das virtuelle WAN erstellt wurde.
- Navigieren Sie zur Zugriffssteuerung (IAM).
-
Klicken Sie auf ” Hinzufügen” und wählen Sie “Rollenzuweisung hinzufügen”.
-
Geben Sie zum Hinzufügen einer Rollenzuweisung Werte für die folgenden Felder an:
- Role: Wählen Sie “Besitzer” in der Dropdownliste aus. Diese Rolle ermöglicht die Verwaltung aller Ressourcen, einschließlich des Zugriffs auf Ressourcen.
- Assign access to: Wählen Sie Azure AD Benutzer, Gruppe oder Dienstprinzipalaus.
- Select: Geben Sie den Namen der zuvor erstellten registrierten Anwendung an und wählen Sie den entsprechenden Eintrag, wenn er angezeigt wird.
-
Klicken Sie auf Save.
Zuletzt müssen Sie die Abonnement-ID für das Azure-Konto abrufen. Sie können Ihre Abonnement-ID identifizieren, indem Sie im Azure Portal nach Abonnements suchen.
Nach dem Erstellen des virtuellen WAN melden Sie sich bei der SD-WAN Center-Benutzeroberfläche > Configuration > Azure > Virtual WANan.
Wählen Sie zwei verschiedene Sites aus und starten Sie die Bereitstellung. Nachdem die Sites bereitgestellt wurden, können Sie beide Sites zwei verschiedenen Hubs zuordnen.
Hinweis Standardmäßig ist Branch-to-Branch und BGP deaktiviert. Sie können eine statische Route erstellen oder BGP (unter “Einstellungen”) und eine Branch-to-Branch-Konnektivität aktivieren.
Aktivieren Sie das Kontrollkästchen BGP und Branch-to-Branch und stellen Sie die Tunnel bereit. Nachdem die Tunnel erfolgreich bereitgestellt wurden, können Sie den Status in Microsoft Azure > Ressourcengruppen überprüfen > die ressourcengruppe auswählen, die Sie erstellt haben, und auf VPN-Sitesklicken.