Microsoft Azure Virtual WAN

Microsoft Azure Virtual WAN und Citrix SD-WAN™ bieten vereinfachte Netzwerkkonnektivität und zentralisierte Verwaltung für hybride Cloud-Workloads. Sie können die Konfiguration von Zweigstellen-Appliances automatisieren, um eine Verbindung mit dem Azure WAN herzustellen, und Richtlinien für die Zweigstellen-Datenverkehrsverwaltung gemäß Ihren Geschäftsanforderungen konfigurieren. Die integrierte Dashboard-Oberfläche bietet sofortige Einblicke zur Fehlerbehebung, die Zeit sparen und Transparenz für groß angelegte Site-to-Site-Konnektivität bieten.

Microsoft Azure Virtual WAN ermöglicht Ihnen die vereinfachte Konnektivität zu Azure Cloud-Workloads und das Routing von Datenverkehr über das Azure Backbone-Netzwerk und darüber hinaus. Azure bietet über 54 Regionen und mehrere Präsenzpunkte weltweit. Azure-Regionen dienen als Hubs, mit denen Sie sich mit den Zweigstellen verbinden können. Nachdem die Zweigstellen verbunden sind, nutzen Sie den Azure Cloud-Dienst über die Hub-zu-Hub-Konnektivität. Sie können die Konnektivität vereinfachen, indem Sie mehrere Azure-Dienste anwenden, einschließlich Hub-Peering mit Azure VNETs. Hubs dienen als Traffic-Gateways für die Zweigstellen.

Microsoft Azure Virtual WAN bietet die folgenden Vorteile:

• Integrierte Konnektivitätslösungen in Hub-and-Spoke-Topologien – Automatisieren Sie die Site-to-Site-Konnektivität und -Konfiguration zwischen lokalen Umgebungen und dem Azure-Hub aus verschiedenen Quellen, einschließlich verbundener Partnerlösungen.

• Automatisierte Einrichtung und Konfiguration – Verbinden Sie Ihre virtuellen Netzwerke nahtlos mit dem Azure-Hub.

• Intuitive Fehlerbehebung – Sie können den End-to-End-Fluss innerhalb von Azure sehen und diese Informationen nutzen, um die erforderlichen Maßnahmen zu ergreifen.

Hub-zu-Hub-Kommunikation

Ab Version 11.1.0 wird die Hub-zu-Hub-Kommunikation in Azure Virtual WAN mit der Methode vom Typ Standard unterstützt.

Kunden von Azure Virtual WAN können jetzt das globale Backbone-Netzwerk von Microsoft für die regionsübergreifende Hub-zu-Hub-Kommunikation (globale Transitnetzwerkarchitektur) nutzen. Dies ermöglicht die Kommunikation von Zweigstelle zu Azure, Zweigstelle zu Zweigstelle über das Azure-Backbone und Zweigstelle zu Hub (in allen Azure-Regionen).

Sie können das Azure-Backbone für die regionsübergreifende Kommunikation nur nutzen, wenn Sie die Standard-SKU für Azure Virtual WAN erwerben. Preisdetails finden Sie unter Virtual WAN-Preise. Mit der Basic-SKU können Sie das Azure-Backbone nicht für die regionsübergreifende Hub-zu-Hub-Kommunikation verwenden. Weitere Details finden Sie unter Globale Transitnetzwerkarchitektur und Virtual WAN.

Hubs sind in einem virtuellen WAN alle miteinander verbunden. Dies bedeutet, dass eine Zweigstelle, ein Benutzer oder ein VNet, das mit einem lokalen Hub verbunden ist, mit einer anderen Zweigstelle oder einem anderen VNet über die Full-Mesh-Architektur der verbundenen Hubs kommunizieren kann.

Sie können auch VNets innerhalb eines Hubs, die über den virtuellen Hub transitieren, und VNets über Hubs hinweg mithilfe des Hub-zu-Hub-Verbindungsframeworks verbinden.

Es gibt zwei Arten von Virtual WAN:

• Basic: Bei Verwendung der Basic-Methode erfolgt die Hub-zu-Hub-Kommunikation innerhalb einer Region. Der Basic WAN-Typ hilft bei der Erstellung eines Basic-Hubs (SKU = Basic). Basic-Hubs sind auf Site-to-Site-VPN-Funktionalität beschränkt.

• Standard: Bei Verwendung der Standard-Methode erfolgt die Hub-zu-Hub-Kommunikation zwischen verschiedenen Regionen. Ein Standard WAN hilft bei der Erstellung eines Standard-Hubs (SKU = Standard). Standard-Hubs umfassen ExpressRoute, Benutzer-VPN (P2S), Full-Mesh-Hub und VNet-zu-VNet-Transit über die Hubs.

  

Erstellen eines Azure Virtual WAN-Dienstes in Microsoft Azure

Führen Sie die folgenden Schritte aus, um die Azure Virtual WAN-Ressource zu erstellen:

1. Melden Sie sich beim Azure-Portal an und klicken Sie auf Ressource erstellen.

   

2. Suchen Sie nach Virtual WAN und klicken Sie auf Erstellen.

3. Geben Sie unter Grundlagen die Werte für die folgenden Felder an:

   • Abonnement: Wählen Sie das Abonnement aus der Dropdown-Liste aus und geben Sie die Abonnementdetails an.

   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue.

     Hinweis

     Stellen Sie beim Erstellen des Dienstprinzipals für die Azure API-Kommunikation sicher, dass Sie dieselbe Ressourcengruppe verwenden, die das Virtual WAN enthält. Andernfalls verfügt der SD-WAN Orchestrator nicht über ausreichende Berechtigungen, um sich bei den Azure Virtual WAN APIs zu authentifizieren, die eine automatisierte Konnektivität ermöglichen.

   • Ressourcengruppenstandort: Wählen Sie die Azure-Region aus der Dropdown-Liste aus.

   • Name: Geben Sie den Namen für das neue Virtual WAN an.
   • Typ: Wählen Sie den Typ Standard, wenn Sie die Hub-zu-Hub-Kommunikation zwischen verschiedenen Regionen verwenden möchten, andernfalls wählen Sie Basic.

   

4. Klicken Sie auf Überprüfen + erstellen.
5. Überprüfen Sie die von Ihnen eingegebenen Details zur Erstellung des Virtual WAN und klicken Sie auf Erstellen, um die Virtual WAN-Erstellung abzuschließen.

Die Bereitstellung der Ressource dauert weniger als eine Minute.

Hinweis

Sie können von Basic auf Standard upgraden, aber nicht von Standard zurück auf Basic wechseln. Schritte zum Upgrade eines virtuellen WAN finden Sie unter Upgrade eines virtuellen WAN von Basic auf Standard.

Erstellen eines Hubs im Azure Virtual WAN

Führen Sie die folgenden Schritte aus, um einen Hub zu erstellen, um die Konnektivität von verschiedenen Endpunkten (z. B. lokalen VPN-Geräten oder SD-WAN-Geräten) zu ermöglichen:

1. Wählen Sie das zuvor erstellte Azure Virtual WAN aus.

2. Wählen Sie unter dem Abschnitt Konnektivität die Option Hubs aus und klicken Sie auf + Neuer Hub.

   

3. Geben Sie unter Grundlagen die Werte für die folgenden Felder an:

   • Region – Wählen Sie die Azure-Region aus der Dropdown-Liste aus.
   • Name – Geben Sie den Namen für den neuen Hub ein.
   • Privater Hub-Adressraum – Geben Sie den Adressbereich im CIDR-Format ein. Wählen Sie ein eindeutiges Netzwerk, das ausschließlich für den Hub vorgesehen ist.

4. Klicken Sie auf Weiter: Site-to-Site > und geben Sie die Werte für die folgenden Felder an:

   • Möchten Sie ein Site-to-Site (VPN-Gateway) erstellen? – Wählen Sie Ja.

   • Gateway-Skalierungseinheiten – Wählen Sie die Skalierungseinheiten aus der Dropdown-Liste nach Bedarf aus.

     

5. Klicken Sie auf Überprüfen + erstellen.
6. Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen, um die Erstellung des virtuellen Hubs zu starten.

Die Bereitstellung der Ressource kann bis zu 30 Minuten dauern.

Erstellen eines Dienstprinzipals für Azure Virtual WAN und Identifizieren von IDs

Damit der SD-WAN Orchestrator sich über Azure Virtual WAN APIs authentifizieren und automatisierte Konnektivität ermöglichen kann, muss eine registrierte Anwendung erstellt und mit den folgenden Authentifizierungsdaten identifiziert werden:

• Abonnement-ID
• Client-ID
• Client-Geheimnis
• Mandanten-ID

Hinweis

Stellen Sie beim Erstellen des Dienstprinzipals für die Azure API-Kommunikation sicher, dass Sie dieselbe Ressourcengruppe verwenden, die das Virtual WAN enthält. Andernfalls verfügt der SD-WAN Orchestrator nicht über ausreichende Berechtigungen, um sich bei den Azure Virtual WAN APIs zu authentifizieren, die eine automatisierte Konnektivität ermöglichen.

Führen Sie die folgenden Schritte aus, um eine neue Anwendungsregistrierung zu erstellen:

1. Navigieren Sie im Azure-Portal zu Azure Active Directory.
2. Wählen Sie unter „Verwalten“ die Option App-Registrierungen aus.

3. Klicken Sie auf + Neue Registrierung.

   

4. Geben Sie Werte für die folgenden Felder an, um eine Anwendung zu registrieren:

   • Name – Geben Sie den Namen für die Anwendungsregistrierung an.
   • Unterstützte Kontotypen – Wählen Sie die Option „Nur Konten in diesem Organisationsverzeichnis (* – Einzelner Mandant)“ aus.
   • Umleitungs-URI (optional) – Wählen Sie „Web“ aus der Dropdown-Liste aus und geben Sie eine zufällige, eindeutige URL ein (z. B. https:// localhost:4980).
   • Klicken Sie auf Registrieren.

   

   Sie können die Anwendungs- (Client-) ID und die Verzeichnis- (Mandanten-) ID kopieren und speichern, die im SD-WAN Orchestrator zur Authentifizierung beim Azure-Abonnement für die API-Nutzung verwendet werden können.

   

   Der nächste Schritt für die Anwendungsregistrierung ist die Erstellung eines Dienstprinzipal-Schlüssels zu Authentifizierungszwecken.

Führen Sie die folgenden Schritte aus, um den Dienstprinzipal-Schlüssel zu erstellen:

1. Navigieren Sie im Azure-Portal zu Azure Active Directory.
2. Navigieren Sie unter Verwalten zu App-Registrierungen.
3. Wählen Sie die registrierte Anwendung aus (zuvor erstellt).
4. Wählen Sie unter Verwalten die Option Zertifikate & Geheimnisse aus.

5. Klicken Sie unter Clientgeheimnisse auf + Neues Clientgeheimnis.

   

6. Um ein Clientgeheimnis hinzuzufügen, geben Sie Werte für die folgenden Felder an:
   • Beschreibung: Geben Sie einen Namen für den Dienstprinzipal-Schlüssel an.
   • Läuft ab: Wählen Sie die Dauer des Ablaufs nach Bedarf aus.

   

7. Klicken Sie auf Hinzufügen.

8. Das Clientgeheimnis ist in der Spalte Wert deaktiviert. Kopieren Sie den Schlüssel in Ihre Zwischenablage. Dies ist das Client-Geheimnis, das Sie in den SD-WAN Orchestrator eingeben müssen.

   

   Hinweis

   Sie müssen den Wert des geheimen Schlüssels kopieren und speichern, bevor Sie die Seite neu laden, da er danach nicht mehr angezeigt wird.

Führen Sie die folgenden Schritte aus, um die entsprechenden Rollen für Authentifizierungszwecke zuzuweisen:

1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, in der das Virtual WAN erstellt wurde.
2. Navigieren Sie zu Zugriffssteuerung (IAM).

3. Klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.

   

4. Um eine Rollenzuweisung hinzuzufügen, geben Sie Werte für die folgenden Felder an:

   • Rolle – Wählen Sie „Besitzer“ aus der Dropdown-Liste aus. Diese Rolle ermöglicht die Verwaltung von allem, einschließlich des Zugriffs auf Ressourcen.
   • Zugriff zuweisen an – Wählen Sie Azure AD-Benutzer, -Gruppe oder Dienstprinzipal aus.
   • Auswählen – Geben Sie den Namen der zuvor erstellten registrierten Anwendung an und wählen Sie den entsprechenden Eintrag aus, wenn er angezeigt wird.

5. Klicken Sie auf Speichern.

   

Zuletzt müssen Sie die Abonnement-ID für das Azure-Konto abrufen. Sie können Ihre Abonnement-ID ermitteln, indem Sie im Azure-Portal nach „Abonnements“ suchen.

Nachdem Sie das Virtual WAN erstellt haben, melden Sie sich bei der SD-WAN Center UI > Konfiguration > Azure > Virtual WAN an.

Wählen Sie zwei verschiedene Standorte aus und starten Sie die Bereitstellung. Sobald die Standorte bereitgestellt sind, können Sie beide Standorte zwei verschiedenen Hubs zuordnen.

HINWEIS Standardmäßig sind Branch-to-Branch und BGP deaktiviert. Sie können eine statische Route erstellen oder BGP (unter Einstellungen) und Branch-to-Branch-Konnektivität aktivieren.

Aktivieren Sie die Kontrollkästchen für BGP und Branch-to-Branch und stellen Sie die Tunnel bereit. Nachdem die Tunnel erfolgreich bereitgestellt wurden, können Sie den Status in Microsoft Azure > Ressourcengruppen > überprüfen, indem Sie die von Ihnen erstellte Ressourcengruppe auswählen und auf VPN-Standorte klicken.