Microsoft Azure Virtual WAN

Microsoft Azure Virtual WAN und Citrix SD-WAN™ bieten vereinfachte Netzwerkkonnektivität und zentralisierte Verwaltung für hybride Cloud-Workloads. Sie können die Konfiguration von Zweigstellen-Appliances automatisieren, um eine Verbindung zum Azure WAN herzustellen, und Richtlinien für die Zweigstellen-Datenverkehrsverwaltung gemäß Ihren Geschäftsanforderungen konfigurieren. Die integrierte Dashboard-Oberfläche bietet sofortige Einblicke zur Fehlerbehebung, die Zeit sparen und Transparenz für groß angelegte Site-to-Site-Konnektivität bieten.

Microsoft Azure Virtual WAN ermöglicht Ihnen die vereinfachte Konnektivität zu Azure Cloud-Workloads und das Routing von Datenverkehr über das Azure-Backbone-Netzwerk und darüber hinaus. Azure bietet über 54 Regionen und mehrere Präsenzpunkte weltweit. Azure-Regionen dienen als Hubs, die Sie für die Verbindung mit den Zweigstellen auswählen können. Nachdem die Zweigstellen verbunden sind, nutzen Sie den Azure Cloud-Dienst über Hub-zu-Hub-Konnektivität. Sie können die Konnektivität durch die Anwendung mehrerer Azure-Dienste, einschließlich Hub-Peering mit Azure VNETs, vereinfachen. Hubs dienen als Traffic-Gateways für die Zweigstellen.

Microsoft Azure Virtual WAN bietet die folgenden Vorteile:

• Integrierte Konnektivitätslösungen in Hub-and-Spoke-Architekturen – Automatisieren Sie die Site-to-Site-Konnektivität und -Konfiguration zwischen lokalen Umgebungen und dem Azure-Hub aus verschiedenen Quellen, einschließlich verbundener Partnerlösungen.

• Automatisierte Einrichtung und Konfiguration – Verbinden Sie Ihre virtuellen Netzwerke nahtlos mit dem Azure-Hub.

• Intuitive Fehlerbehebung – Sie können den End-to-End-Fluss innerhalb von Azure sehen und diese Informationen nutzen, um die erforderlichen Maßnahmen zu ergreifen.

Hub-zu-Hub-Kommunikation

Ab Version 11.1.0 wird die Hub-zu-Hub-Kommunikation in Azure Virtual WAN mit der Methode vom Typ Standard unterstützt.

Kunden von Azure Virtual WAN können jetzt das globale Backbone-Netzwerk von Microsoft für die regionsübergreifende Hub-zu-Hub-Kommunikation (globale Transitnetzwerkarchitektur) nutzen. Dies ermöglicht die Kommunikation von Zweigstelle zu Azure, Zweigstelle zu Zweigstelle über das Azure-Backbone und Zweigstelle zu Hub (in allen Azure-Regionen).

Sie können das Azure-Backbone für die regionsübergreifende Kommunikation nur nutzen, wenn Sie die Standard-SKU für Azure Virtual WAN erwerben. Preisdetails finden Sie unter Virtual WAN-Preise. Mit der Basic-SKU können Sie das Azure-Backbone nicht für die regionsübergreifende Hub-zu-Hub-Kommunikation verwenden. Weitere Informationen finden Sie unter Globale Transitnetzwerkarchitektur und Virtual WAN.

Hubs sind in einem Virtual WAN alle miteinander verbunden. Dies bedeutet, dass eine Zweigstelle, ein Benutzer oder ein VNet, das mit einem lokalen Hub verbunden ist, mit einer anderen Zweigstelle oder einem anderen VNet über die vollständige Mesh-Architektur der verbundenen Hubs kommunizieren kann.

Sie können auch VNets innerhalb eines Hubs, die über den virtuellen Hub transitieren, und VNets über Hubs hinweg mithilfe des Hub-zu-Hub-Verbindungsframeworks verbinden.

Es gibt zwei Arten von Virtual WAN:

• Basic: Bei Verwendung der Basic-Methode erfolgt die Hub-zu-Hub-Kommunikation innerhalb einer Region. Der WAN-Typ Basic hilft bei der Erstellung eines grundlegenden Hubs (SKU = Basic). Basic-Hubs sind auf Site-to-Site-VPN-Funktionalität beschränkt.

• Standard: Bei Verwendung der Standard-Methode erfolgt die Hub-zu-Hub-Kommunikation zwischen verschiedenen Regionen. Ein Standard-WAN hilft bei der Erstellung eines Standard-Hubs (SKU = Standard). Standard-Hubs umfassen ExpressRoute, Benutzer-VPN (P2S), Full-Mesh-Hub und VNet-zu-VNet-Transit über die Hubs.

  

Azure Virtual WAN-Dienst in Microsoft Azure erstellen

Um die Azure Virtual WAN-Ressource zu erstellen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Azure-Portal an und klicken Sie auf Ressource erstellen.

   

2. Suchen Sie nach Virtual WAN und klicken Sie auf Erstellen.

3. Geben Sie unter Grundlagen die Werte für die folgenden Felder an:

   • Abonnement: Wählen Sie das Abonnementdetail aus der Dropdown-Liste aus und geben Sie es an.

   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue.

     Hinweis

     Stellen Sie beim Erstellen des Dienstprinzipals zur Ermöglichung der Azure API-Kommunikation sicher, dass Sie dieselbe Ressourcengruppe verwenden, die das Virtual WAN enthält. Andernfalls verfügt der SD-WAN Orchestrator nicht über ausreichende Berechtigungen, um sich bei den Azure Virtual WAN APIs zu authentifizieren, die eine automatisierte Konnektivität ermöglichen.

   • Speicherort der Ressourcengruppe: Wählen Sie die Azure-Region aus der Dropdown-Liste aus.

   • Name: Geben Sie den Namen für das neue Virtual WAN an.
   • Typ: Wählen Sie den Typ Standard, wenn Sie die Hub-zu-Hub-Kommunikation zwischen verschiedenen Regionen verwenden möchten, andernfalls wählen Sie Basic.

   

4. Klicken Sie auf Überprüfen + erstellen.
5. Überprüfen Sie die von Ihnen eingegebenen Details zur Erstellung des Virtual WAN und klicken Sie auf Erstellen, um die Virtual WAN-Erstellung abzuschließen.

Die Bereitstellung der Ressource dauert weniger als eine Minute.

Hinweis

Sie können von Basic auf Standard aktualisieren, aber nicht von Standard auf Basic zurückwechseln. Schritte zum Upgrade eines Virtual WAN finden Sie unter Upgrade eines Virtual WAN von Basic auf Standard.

Einen Hub im Azure Virtual WAN erstellen

Führen Sie die folgenden Schritte aus, um einen Hub zu erstellen, um die Konnektivität von verschiedenen Endpunkten (z. B. lokalen VPN-Geräten oder SD-WAN-Geräten) zu ermöglichen:

1. Wählen Sie das zuvor erstellte Azure Virtual WAN aus.

2. Wählen Sie unter dem Abschnitt Konnektivität die Option Hubs aus und klicken Sie auf + Neuer Hub.

   

3. Geben Sie unter Grundlagen die Werte für die folgenden Felder an:

   • Region – Wählen Sie die Azure-Region aus der Dropdown-Liste aus.
   • Name – Geben Sie den Namen für den neuen Hub ein.
   • Privater Adressraum des Hubs – Geben Sie den Adressbereich im CIDR-Format ein. Wählen Sie ein eindeutiges Netzwerk, das ausschließlich für den Hub vorgesehen ist.

4. Klicken Sie auf Weiter: Site-to-Site > und geben Sie die Werte für die folgenden Felder an:

   • Möchten Sie ein Site-to-Site (VPN-Gateway) erstellen? – Wählen Sie Ja.

   • Gateway-Skalierungseinheiten – Wählen Sie die Skalierungseinheiten aus der Dropdown-Liste nach Bedarf aus.

     

5. Klicken Sie auf Überprüfen + erstellen.
6. Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen, um die Erstellung des virtuellen Hubs zu starten.

Die Bereitstellung der Ressource kann bis zu 30 Minuten dauern.

Dienstprinzipal für Azure Virtual WAN erstellen und IDs identifizieren

Damit sich der SD-WAN Orchestrator über Azure Virtual WAN APIs authentifizieren und automatisierte Konnektivität ermöglichen kann, muss eine registrierte Anwendung erstellt und mit den folgenden Authentifizierungsdaten identifiziert werden:

• Abonnement-ID
• Client-ID
• Client-Geheimnis
• Mandanten-ID

Hinweis

Stellen Sie beim Erstellen des Dienstprinzipals zur Ermöglichung der Azure API-Kommunikation sicher, dass Sie dieselbe Ressourcengruppe verwenden, die das Virtual WAN enthält. Andernfalls verfügt der SD-WAN Orchestrator nicht über ausreichende Berechtigungen, um sich bei den Azure Virtual WAN APIs zu authentifizieren, die eine automatisierte Konnektivität ermöglichen.

Führen Sie die folgenden Schritte aus, um eine neue Anwendungsregistrierung zu erstellen:

1. Navigieren Sie im Azure-Portal zu Azure Active Directory.
2. Wählen Sie unter “Verwalten” die Option App-Registrierungen aus.

3. Klicken Sie auf + Neue Registrierung.

   

4. Geben Sie Werte für die folgenden Felder an, um eine Anwendung zu registrieren:

   • Name – Geben Sie den Namen für die Anwendungsregistrierung an.
   • Unterstützte Kontotypen – Wählen Sie die Option “Konten nur in diesem Organisationsverzeichnis” (* - Einzelner Mandant) aus.
   • Umleitungs-URI (optional) – Wählen Sie “Web” aus der Dropdown-Liste aus und geben Sie eine zufällige, eindeutige URL ein (z. B. https:// localhost:4980).
   • Klicken Sie auf Registrieren.

   

   Sie können die Anwendungs- (Client-) ID und die Verzeichnis- (Mandanten-) ID kopieren und speichern, die im SD-WAN Orchestrator zur Authentifizierung beim Azure-Abonnement für die API-Nutzung verwendet werden können.

   

   Der nächste Schritt für die Anwendungsregistrierung ist die Erstellung eines Dienstprinzipalschlüssels für Authentifizierungszwecke.

   Um den Dienstprinzipalschlüssel zu erstellen, führen Sie die folgenden Schritte aus:

   1. Navigieren Sie im Azure-Portal zu Azure Active Directory.
   2. Navigieren Sie unter Verwalten zu App-Registrierungen.
   3. Wählen Sie die registrierte Anwendung (zuvor erstellt) aus.
   4. Wählen Sie unter Verwalten die Option Zertifikate & Geheimnisse aus.

   5. Klicken Sie unter Clientgeheimnisse auf + Neues Clientgeheimnis.

      

   6. Um ein Clientgeheimnis hinzuzufügen, geben Sie Werte für die folgenden Felder an:
      • Beschreibung: Geben Sie einen Namen für den Dienstprinzipalschlüssel an.
      • Läuft ab: Wählen Sie die Dauer für den Ablauf nach Bedarf aus.

      

   7. Klicken Sie auf Hinzufügen.

   8. Das Clientgeheimnis ist in der Spalte Wert deaktiviert. Kopieren Sie den Schlüssel in Ihre Zwischenablage. Dies ist das Client-Geheimnis, das Sie in den SD-WAN Orchestrator eingeben müssen.

      

      Hinweis

      Sie müssen den Wert des geheimen Schlüssels kopieren und speichern, bevor Sie die Seite neu laden, da er danach nicht mehr angezeigt wird.

Führen Sie die folgenden Schritte aus, um die entsprechenden Rollen für Authentifizierungszwecke zuzuweisen:

1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, in der das Virtual WAN erstellt wurde.
2. Navigieren Sie zu Zugriffssteuerung (IAM).

3. Klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.

   

4. Um eine Rollenzuweisung hinzuzufügen, geben Sie Werte für die folgenden Felder an:

   • Rolle – Wählen Sie “Besitzer” aus der Dropdown-Liste aus. Diese Rolle ermöglicht die Verwaltung von allem, einschließlich des Zugriffs auf Ressourcen.
   • Zugriff zuweisen an – Wählen Sie Azure AD-Benutzer, -Gruppe oder Dienstprinzipal aus.
   • Auswählen – Geben Sie den Namen der zuvor erstellten registrierten Anwendung an und wählen Sie den entsprechenden Eintrag aus, wenn er angezeigt wird.

5. Klicken Sie auf Speichern.

   

Zuletzt müssen Sie die Abonnement-ID für das Azure-Konto abrufen. Sie können Ihre Abonnement-ID ermitteln, indem Sie im Azure-Portal nach “Abonnements” suchen.

Nachdem Sie das Virtual WAN erstellt haben, melden Sie sich bei der SD-WAN Center UI > Konfiguration > Azure > Virtual WAN an.

Wählen Sie zwei verschiedene Standorte aus und starten Sie die Bereitstellung. Sobald die Standorte bereitgestellt sind, können Sie beide Standorte zwei verschiedenen Hubs zuordnen.

HINWEIS Standardmäßig sind Branch-to-Branch und BGP deaktiviert. Sie können eine statische Route erstellen oder BGP (unter Einstellungen) und Branch-to-Branch-Konnektivität aktivieren.

Aktivieren Sie das Kontrollkästchen für BGP und Branch-to-Branch und stellen Sie die Tunnel bereit. Nachdem die Tunnel erfolgreich bereitgestellt wurden, können Sie den Status in Microsoft Azure > Ressourcengruppen > die von Ihnen erstellte Ressourcengruppe auswählen und auf VPN-Standorte klicken.