Microsoft Azure 虚拟广域网
Microsoft Azure 虚拟 WAN 和 Citrix SD-WAN 可以在混合云工作负载中提供简化的网络连接和集中化的管理。可以自动执行分支设备的配置,以连接到 Azure WAN 并根据业务要求配置分支流量管理策略。内置控制板界面提供了即时故障排除见解,可以节省时间,并提供大规模的站点到站点间连接的可见性。
使用 Microsoft Azure 虚拟 WAN,可以简化与 Azure 云工作负载的连接,并可在 Azure 主干网之间路由流量。Azure 在地球 Azure 区域中提供了54个和多个存在点,用作可以选择连接到分支机构的集线器。连接分支后,请通过 hub 到 hub 连接使用 Azure 云服务。可以通过对 Azure VNETs 应用多个 Azure 服务(包括中枢对等)来简化连接。中心充当分支机构的流量网关。
Microsoft Azure 虚拟 WAN 具有以下优点:
-
集线器和辐射式集成连接解决方案-自动执行内部部署和 Azure 中心之间的站点到站点连接和配置,包括互联合伙伴解决方案。
-
自动设置和配置 — 将虚拟网络无缝连接到 Azure 中心。
-
直观的故障排除–您可以在 Azure 中看到端到端流,并使用此信息来执行所需的操作。
中心到集线器的通信
在 11.1.0 版本中,使用 标准 类型方法支持 Azure 虚拟 WAN 的集线器到集线器通信。
Azure 虚拟 WAN 客户现在可以利用微软的全球骨干网络进行区域间集线器到集线器通信(全球交通网络架构)。这使分支到 Azure、Azure 骨干上的分支机构到分支机构以及分支到中心(在所有 Azure 区域中)进行通信。
只有在购买 Azure 虚拟 WAN 的标准 SKU 时,才能利用 Azure 的主干进行区域间通信。有关定价详情,请参阅 虚拟广域网定价。使用基本 SKU,您不能使用 Azure 的主干进行区域间枢纽到集线器之间的通信。有关更多详细信息,请参阅全球交通网络架构和虚拟广域网。
集线器都在虚拟 WAN 中彼此连接。这意味着连接到本地集线器的分支机构、用户或 VNet 可以使用连接集线器的完整网格体系结构与另一个分支或 VNet 进行通信。
您还可以使用集线器到集线器连接框架,在通过虚拟中心过境的集线器内连接 VNet,并在中心之间连接 VNet。
虚拟 WAN 有两种类型:
-
基本:使用基本方法,集线器到集线器的通信在一个区域内进行。基本 WAN 类型有助于创建基本集线器(SKU = Basic)。基本中心仅限于站点到站点 VPN 功能。
-
标准:使用 标准 方法,中心到集线器的通信在不同区域之间进行。标准广域网有助于创建标准中心(SKU = 标准)。标准中心包含 ExpressRoute、用户 VPN (P2S)、全网状集线器和通过集线器的 VNET 到 VNet 传输。
在微软 Azure 中创建 Azure 虚拟 WAN 服务
要创建 Azure 虚拟 WAN 资源,请执行以下步骤:
-
登录 Azure 门户,然后单击 创建资源。
-
搜索 虚拟广域网 ,然后单击 创建。
-
在基本下,提供以下字段的值:
-
订阅:从下拉列表中选择并提供订阅详细信息。
-
资源组:选择现有资源组或创建新资源组。
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限对启用自动连接的 Azure 虚拟 WAN API 进行身份验证。
-
资源组位置:从下拉列表中选择 Azure 区域。
- 名称:提供新虚拟 WAN 的名称。
- 类型:如果要在不同区域之间使用集线器到集线器通信,请选择 标准 类型,否则选择 “ 基本”。
-
- 单击 查看 + 创建。
- 查看您输入的创建虚拟广域网的详细信息,然后单击 创建 以完成虚拟 WAN 的创建。
资源的部署需要不到一分钟的时间。
注意:
您可以从基本升级到标准版,但不能从标准恢复到基本。有关升级虚拟 WAN 的步骤,请参阅 将虚拟 WAN 从基本升级到标准。
在 Azure 虚拟 WAN 中创建中心
执行以下步骤创建集线器以启用来自各种不同端点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:
- 选择之前创建的 Azure 虚拟 WAN。
-
在 连接 部分下选择中 心 ,然后单击 + 新中心。
-
在基本下,提供以下字段的值:
- 区域 — 从下拉列表中选择 Azure 区域。
- 名称 — 输入新 Hub 的名称。
- 集线器私有地址空间 — 在 CIDR 中输入地址范围。选择仅专用于集线器的唯一网络。
-
单击 下一步:站点到站点 > 并提供以下字段的值:
- 您想创建站点到站点(VPN 网关)吗? — 选择 是。
-
网关比例单位 — 根据需要从下拉列表中选择比例单位。
- 单击 查看 + 创建。
- 查看设置,然后单击 创建 以开始创建虚拟中心。
资源的部署最多可能需要 30 分钟。
为 Azure 虚拟 WAN 创建服务主体并识别 ID
要使 SD-WAN Orchestrator 通过 Azure Virtual WAN API 进行身份验证并启用自动连接,必须创建注册的应用程序并使用以下身份验证凭据进行标识:
- 订阅 ID
- 客户端 ID
- 客户端密钥
- 租户 ID
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限对启用自动连接的 Azure 虚拟 WAN API 进行身份验证。
请执行以下步骤来创建新的应用程序注册:
- 在 Azure 门户中,导航到 Azure Active Directory。
- 在管理下,选择 应用程序注册。
-
单击 + 新注册。
-
为以下字段提供值以注册应用程序:
- 名称 — 提供申请注册的名称。
- 支持的帐户类型 — 选择仅在此组织目录中的帐户 (*-单租户) 选项。
- 重定向 URI(可选) — 从下拉列表中选择 Web,然后输入随机的唯一 URL(例如 https://localhost: 4980)
- 单击“注册”。
您可以复制并存储可在 SD-WAN Orchestrator 中使用的应用 程序(客户端)ID和目录(租 户)ID,用于对 Azure 订阅进行身份验证,以便使用 API。
应用程序注册的下一步是为身份验证目的创建服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到 Azure Active Directory。
- 在 管理下,导航到 应用程序注册。
- 选择已注册的应用程序(之前创建)。
- 在“管理”下,选择“证书和机密”。
-
在 客户端密钥下,单击 + 新建客户端密钥。
- 要添加客户端密钥,请为以下字段提供值:
- 说明:提供服务主体密钥的名称。
- 过期:根据需要选择过期的持续时间。
- 单击添加。
-
在值列中禁用了客户端保密。将密钥复制到剪贴板。这是您必须在 SD-WAN Orchestrator 中输入的客户端密钥。
注意
在重新加载页面之前,您必须复制并存储密钥值,因为之后将不再显示密钥值。
执行以下步骤为身份验证目的分配适当的角色:
- 在 Azure 门户中,导航到创建虚拟 WAN 的资源组。
- 导航到访问控制 (IAM)。
-
单击 + 添加 ,然后选择 添加角色分配。
-
要添加角色分配,请为以下字段提供值:
- 角色 — 从下拉列表中选择所有者。此角色允许管理包括资源访问在内的所有内容。
- 将访问权限分配给 — 选择 Azure AD 用户、组 或 服务主体。
- 选择 — 提供之前创建的注册应用程序的名称,然后在出现时选择相应的条目。
-
单击保存。
最后,您需要获取 Azure 帐户的订阅 ID。您可以通过在 Azure 门户中搜索订阅来识别您的订阅 ID 。
创建虚拟 WAN 后,请登录 SD-WAN 中心 UI > 配置 > Azure > 虚拟广域网。
选择两个不同的站点并开始部署。部署站点后,您可以将两个站点关联到两个不同的中心。
注意 默认情况下,分支到分支机构和 BGP 处于禁用状态。您可以创建静态路由或启用 BGP(在 “设置” 下)和分支机构到分支机构的连接。
启用 BGP 和分支机构到分支复选框并部署隧道。成功部署隧道后,您可以在 Microsoft Azure > 资源组 > 选择您创建的资源组** 中验证状态,然后单击 **VPN 站点。
