Microsoft Azure Virtual WAN
Microsoft Azure Virtual WAN 和 Citrix SD-WAN™ 提供简化的网络连接和混合云工作负载的集中管理。您可以自动配置分支设备以连接到 Azure WAN,并根据业务需求配置分支流量管理策略。内置的仪表板界面提供即时故障排除见解,可节省时间并为大规模站点到站点连接提供可见性。
Microsoft Azure Virtual WAN 允许您简化与 Azure 云工作负载的连接,并通过 Azure 骨干网络及其他网络路由流量。Azure 在全球提供 54 个以上区域和多个接入点。Azure 区域充当中心,您可以选择连接到分支。分支连接后,通过中心到中心连接使用 Azure 云服务。您可以通过应用多个 Azure 服务(包括与 Azure VNet 的中心对等互连)来简化连接。中心充当分支的流量网关。
Microsoft Azure Virtual WAN 具有以下优势:
-
集成的中心辐射型连接解决方案 - 自动执行本地与 Azure 中心之间的站点到站点连接和配置,来源包括连接的合作伙伴解决方案。
-
自动化设置和配置 – 将您的虚拟网络无缝连接到 Azure 中心。
-
直观的故障排除 – 您可以查看 Azure 中的端到端流,并使用此信息采取所需的操作。
中心到中心通信
通过 11.1.0 版本,Azure Virtual WAN 支持使用 Standard 类型方法进行中心到中心通信。
Azure Virtual WAN 客户现在可以利用 Microsoft 的全球骨干网络进行区域间中心到中心通信(全球中转网络架构)。这支持分支到 Azure、通过 Azure 骨干网进行分支到分支以及分支到中心(在所有 Azure 区域)的通信。
仅当您购买 Azure Virtual WAN 的 Standard SKU 时,才能利用 Azure 的骨干网进行区域间通信。有关定价详细信息,请参阅 Virtual WAN 定价。使用 Basic SKU,您无法使用 Azure 的骨干网进行区域间中心到中心通信。有关更多详细信息,请参阅 全球中转网络架构和 Virtual WAN。
在 Virtual WAN 中,所有中心都相互连接。这意味着连接到本地分支、用户或 VNet 的中心可以使用连接中心的完全网状架构与其他分支或 VNet 进行通信。
您还可以使用中心到中心连接框架,连接通过虚拟中心中转的中心内的 VNet,以及跨中心的 VNet。
Virtual WAN 有两种类型:
-
Basic:使用 Basic 方法时,中心到中心通信在一个区域内进行。Basic WAN 类型有助于创建基本中心(SKU = Basic)。基本中心仅限于站点到站点 VPN 功能。
-
Standard:使用 Standard 方法时,中心到中心通信在不同区域之间进行。Standard WAN 有助于创建标准中心(SKU = Standard)。Standard 中心包含 ExpressRoute、用户 VPN (P2S)、完全网状中心以及通过中心进行的 VNet 到 VNet 中转。
在 Microsoft Azure 中创建 Azure Virtual WAN 服务
要创建 Azure Virtual WAN 资源,请执行以下步骤:
-
登录到 Azure 门户,然后单击“创建资源”。
-
搜索“Virtual WAN”,然后单击“创建”。
-
在“基本信息”下,为以下字段提供值:
-
订阅:从下拉列表中选择并提供订阅详细信息。
-
资源组:选择现有资源组或创建新资源组。
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含 Virtual WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限来对启用自动化连接的 Azure Virtual WAN API 进行身份验证。
-
资源组位置:从下拉列表中选择 Azure 区域。
- 名称:为新的 Virtual WAN 提供名称。
- 类型:如果要使用不同区域之间的中心到中心通信,请选择 Standard 类型;否则,请选择 Basic。
-
- 单击“查看 + 创建”。
- 查看您输入的详细信息以创建 Virtual WAN,然后单击“创建”以完成 Virtual WAN 的创建。
资源的部署耗时不到一分钟。
注意
您可以从 Basic 升级到 Standard,但不能从 Standard 降级到 Basic。有关升级 Virtual WAN 的步骤,请参阅 将 Virtual WAN 从 Basic 升级到 Standard。
在 Azure Virtual WAN 中创建中心
执行以下步骤以创建中心,从而启用来自各种不同端点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:
- 选择之前创建的 Azure Virtual WAN。
-
在“连接”部分下选择“中心”,然后单击“+ 新建中心”。
-
在“基本信息”下,为以下字段提供值:
- 区域 – 从下拉列表中选择 Azure 区域。
- 名称 – 输入新中心的名称。
- 中心专用地址空间 – 以 CIDR 格式输入地址范围。选择专用于该中心的唯一网络。
-
单击“下一步: 站点到站点 >”,并为以下字段提供值:
- 是否要创建站点到站点 (VPN 网关)? – 选择“是”。
-
网关缩放单元 – 根据需要从下拉列表中选择缩放单元。
- 单击“查看 + 创建”。
- 查看设置,然后单击“创建”以开始虚拟中心的创建。
资源的部署可能需要长达 30 分钟。
为 Azure Virtual WAN 创建服务主体并识别 ID
为了使 SD-WAN Orchestrator 能够通过 Azure Virtual WAN API 进行身份验证并启用自动化连接,必须创建注册的应用程序并使用以下身份验证凭据进行识别:
- 订阅 ID
- 客户端 ID
- 客户端密钥
- 租户 ID
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含 Virtual WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限来对启用自动化连接的 Azure Virtual WAN API 进行身份验证。
执行以下步骤以创建新的应用程序注册:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,选择“应用注册”。
-
单击“+ 新建注册”。
-
为以下字段提供值以注册应用程序:
- 名称 – 为应用程序注册提供名称。
- 支持的帐户类型 – 选择“仅此组织目录中的帐户 (* - 单一租户)”选项。
- 重定向 URI (可选) – 从下拉列表中选择“Web”,然后输入一个随机的唯一 URL(例如,https:// localhost:4980)。
- 单击“注册”。
您可以复制并存储“应用程序 (客户端) ID”和“目录 (租户) ID”,这些 ID 可用于 SD-WAN Orchestrator 中对 Azure 订阅进行身份验证以使用 API。
应用程序注册的下一步是创建用于身份验证的服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,导航到“应用注册”。
- 选择已注册的应用程序(之前创建的)。
- 在“管理”下,选择“证书和机密”。
-
在“客户端机密”下,单击“+ 新建客户端机密”。
- 要添加客户端机密,请为以下字段提供值:
- 说明:为服务主体密钥提供名称。
- 过期:根据需要选择过期持续时间。
- 单击“添加”。
-
客户端机密在“值”列中处于禁用状态。将密钥复制到剪贴板。这是您必须输入到 SD-WAN Orchestrator 中的客户端密钥。
注意
您必须在重新加载页面之前复制并存储密钥值,因为之后将不再显示。
执行以下步骤以分配适当的角色用于身份验证:
- 在 Azure 门户中,导航到创建 Virtual WAN 的“资源组”。
- 导航到“访问控制 (IAM)”。
-
单击“+ 添加”,然后选择“添加角色分配”。
-
要添加角色分配,请为以下字段提供值:
- 角色 – 从下拉列表中选择“所有者”。此角色允许管理所有内容,包括对资源的访问。
- 分配访问权限到 – 选择“Azure AD 用户、组”或“服务主体”。
- 选择 – 提供之前创建的注册应用程序的名称,并在出现时选择相应的条目。
-
单击“保存”。
最后,您需要获取 Azure 帐户的订阅 ID。您可以通过在 Azure 门户中搜索“订阅”来识别您的“订阅 ID”。
创建 Virtual WAN 后,登录到 SD-WAN Center UI > 配置 > Azure > Virtual WAN。
选择两个不同的站点并开始部署。站点部署后,您可以将这两个站点关联到两个不同的中心。
注意 默认情况下,分支到分支和 BGP 处于禁用状态。您可以创建静态路由或启用 BGP(在“设置”下)以及分支到分支连接。
启用 BGP 和分支到分支复选框并部署隧道。隧道成功部署后,您可以在 Microsoft Azure > 资源组 > 选择您创建的资源组,然后单击“VPN 站点”来验证状态。
