Microsoft Azure 虚拟 WAN
Microsoft Azure 虚拟 WAN 和 Citrix SD-WAN™ 提供简化的网络连接和跨混合云工作负载的集中管理。您可以自动配置分支设备以连接到 Azure WAN,并根据业务需求配置分支流量管理策略。内置的仪表板界面提供即时故障排除见解,可节省时间并为大规模站点到站点连接提供可见性。
Microsoft Azure 虚拟 WAN 允许您为 Azure 云工作负载启用简化的连接,并将流量路由到 Azure 主干网络及其他区域。Azure 在全球提供 54 个以上区域和多个接入点。Azure 区域充当中心,您可以选择连接到分支。分支连接后,通过中心到中心连接使用 Azure 云服务。您可以通过应用多个 Azure 服务(包括与 Azure VNETs 的中心对等互连)来简化连接。中心充当分支的流量网关。
Microsoft Azure 虚拟 WAN 具有以下优势:
-
集线器和分支中的集成连接解决方案 - 自动执行本地与 Azure 中心之间的站点到站点连接和配置,来源包括连接的合作伙伴解决方案。
-
自动化设置和配置 – 将您的虚拟网络无缝连接到 Azure 中心。
-
直观的故障排除 – 您可以查看 Azure 中的端到端流,并使用此信息采取所需的操作。
中心到中心通信
从 11.1.0 版本开始,Azure 虚拟 WAN 支持使用 Standard 类型方法的中心到中心通信。
Azure 虚拟 WAN 客户现在可以利用 Microsoft 的全球主干网络进行区域间中心到中心通信(全球中转网络体系结构)。这支持分支到 Azure、通过 Azure 主干的分支到分支以及分支到中心(在所有 Azure 区域)的通信。
只有在购买 Azure 虚拟 WAN 的 Standard SKU 时,才能利用 Azure 的主干进行区域间通信。有关定价详细信息,请参阅虚拟 WAN 定价。使用 Basic SKU 时,无法使用 Azure 的主干进行区域间中心到中心通信。有关更多详细信息,请参阅全球中转网络体系结构和虚拟 WAN。
在虚拟 WAN 中,所有中心都相互连接。这意味着连接到本地中心的分支、用户或 VNet 可以使用连接中心的完全网状体系结构与另一个分支或 VNet 进行通信。
您还可以使用中心到中心连接框架,连接通过虚拟中心中转的中心内的 VNet 以及跨中心的 VNet。
虚拟 WAN 有两种类型:
-
Basic:使用 Basic 方法,中心到中心通信在一个区域内进行。Basic WAN 类型有助于创建基本中心(SKU = Basic)。基本中心仅限于站点到站点 VPN 功能。
-
Standard:使用 Standard 方法,中心到中心通信在不同区域之间进行。Standard WAN 有助于创建标准中心(SKU = Standard)。Standard 中心包含 ExpressRoute、用户 VPN (P2S)、完全网状中心以及通过中心的 VNet 到 VNet 中转。
在 Microsoft Azure 中创建 Azure 虚拟 WAN 服务
要创建 Azure 虚拟 WAN 资源,请执行以下步骤:
-
登录到 Azure 门户,然后单击“创建资源”。
-
搜索“虚拟 WAN”,然后单击“创建”。
-
在“基本信息”下,提供以下字段的值:
-
订阅:从下拉列表中选择并提供订阅详细信息。
-
资源组:选择现有资源组或创建新资源组。
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限来对启用自动化连接的 Azure 虚拟 WAN API 进行身份验证。
-
资源组位置:从下拉列表中选择 Azure 区域。
- 名称:提供新虚拟 WAN 的名称。
- 类型:如果要使用不同区域之间的中心到中心通信,请选择 Standard 类型,否则选择 Basic。
-
- 单击“查看 + 创建”。
- 查看您输入的用于创建虚拟 WAN 的详细信息,然后单击“创建”以完成虚拟 WAN 的创建。
资源的部署耗时不到一分钟。
注意
您可以从 Basic 升级到 Standard,但不能从 Standard 恢复到 Basic。有关升级虚拟 WAN 的步骤,请参阅将虚拟 WAN 从 Basic 升级到 Standard。
在 Azure 虚拟 WAN 中创建中心
执行以下步骤以创建中心,从而启用来自各种不同端点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:
- 选择之前创建的 Azure 虚拟 WAN。
-
在“连接”部分下选择“中心”,然后单击“+ 新建中心”。
-
在“基本信息”下,提供以下字段的值:
- 区域 – 从下拉列表中选择 Azure 区域。
- 名称 – 输入新中心的名称。
- 中心专用地址空间 – 以 CIDR 格式输入地址范围。选择仅专用于中心的唯一网络。
-
单击“下一步: 站点到站点 >”,然后提供以下字段的值:
- 是否要创建站点到站点 (VPN 网关)? – 选择“是”。
- 网关缩放单元 – 根据需要从下拉列表中选择缩放单元。
- 单击“查看 + 创建”。
- 查看设置,然后单击“创建”以开始虚拟中心的创建。
资源的部署可能需要长达 30 分钟。
为 Azure 虚拟 WAN 创建服务主体并识别 ID
为了使 SD-WAN Orchestrator 能够通过 Azure 虚拟 WAN API 进行身份验证并启用自动化连接,必须创建注册应用程序并使用以下身份验证凭据进行识别:
- 订阅 ID
- 客户端 ID
- 客户端密码
- 租户 ID
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限来对启用自动化连接的 Azure 虚拟 WAN API 进行身份验证。
执行以下步骤以创建新的应用程序注册:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,选择“应用注册”。
-
单击“+ 新建注册”。
-
为以下字段提供值以注册应用程序:
- 名称 – 提供应用程序注册的名称。
- 支持的帐户类型 – 选择“仅此组织目录中的帐户 (* - 单租户)”选项。
- 重定向 URI (可选) – 从下拉列表中选择“Web”,然后输入一个随机的唯一 URL(例如,https:// localhost:4980)。
- 单击“注册”。
您可以复制并存储应用程序(客户端)ID 和目录(租户)ID,这些 ID 可用于 SD-WAN Orchestrator 中对 Azure 订阅进行身份验证以使用 API。
应用程序注册的下一步是创建用于身份验证的服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,导航到“应用注册”。
- 选择已注册的应用程序(之前创建的)。
- 在“管理”下,选择“证书和密码”。
-
在“客户端密码”下,单击“+ 新建客户端密码”。
- 要添加客户端密码,请提供以下字段的值:
- 说明:提供服务主体密钥的名称。
- 过期时间:根据需要选择过期持续时间。
- 单击“添加”。
-
客户端密码在“值”列中已禁用。将密钥复制到剪贴板。这是您必须输入到 SD-WAN Orchestrator 中的客户端密码。
注意
您必须在重新加载页面之前复制并存储密钥值,因为它之后将不再显示。
执行以下步骤以分配用于身份验证的相应角色:
- 在 Azure 门户中,导航到创建虚拟 WAN 的“资源组”。
- 导航到“访问控制 (IAM)”。
-
单击“+ 添加”,然后选择“添加角色分配”。
-
要添加角色分配,请提供以下字段的值:
- 角色 – 从下拉列表中选择“所有者”。此角色允许管理所有内容,包括对资源的访问。
- 将访问权限分配给 – 选择“Azure AD 用户、组”或“服务主体”。
- 选择 – 提供之前创建的注册应用程序的名称,并在出现时选择相应的条目。
-
单击“保存”。
最后,您需要获取 Azure 帐户的订阅 ID。您可以通过在 Azure 门户中搜索“订阅”来识别您的订阅 ID。
创建虚拟 WAN 后,登录到 SD-WAN Center UI > 配置 > Azure > 虚拟 WAN。
选择两个不同的站点并开始部署。站点部署后,您可以将这两个站点关联到两个不同的中心。
注意 默认情况下,分支到分支和 BGP 已禁用。您可以创建静态路由或启用 BGP(在“设置”下)和分支到分支连接。
启用 BGP 和分支到分支复选框并部署隧道。隧道成功部署后,您可以在 Microsoft Azure > 资源组 > 中验证状态,选择您创建的资源组,然后单击“VPN 站点”。
