Microsoft Azure Virtual WAN
Microsoft Azure Virtual WAN 和 Citrix SD-WAN™ 提供简化的网络连接和集中管理,可跨混合云工作负载使用。您可以自动配置分支设备以连接到 Azure WAN,并根据您的业务需求配置分支流量管理策略。内置仪表板界面提供即时故障排除见解,可节省时间并为大规模站点到站点连接提供可见性。
Microsoft Azure Virtual WAN 允许您启用与 Azure 云工作负载的简化连接,并跨 Azure 骨干网络及其他网络路由流量。Azure 提供 54 个以上区域和全球多个接入点。Azure 区域充当中心,您可以选择连接到分支。分支连接后,通过中心到中心连接使用 Azure 云服务。您可以通过应用多个 Azure 服务(包括与 Azure VNETs 的中心对等互连)来简化连接。中心充当分支的流量网关。
Microsoft Azure Virtual WAN 提供以下优势:
-
集成式中心辐射型连接解决方案 - 自动化本地与 Azure 中心之间的站点到站点连接和配置,来源包括连接的合作伙伴解决方案。
-
自动化设置和配置 – 将您的虚拟网络无缝连接到 Azure 中心。
-
直观的故障排除 – 您可以查看 Azure 中的端到端流,并使用此信息采取所需操作。
中心到中心通信
从 11.1.0 版本开始,Azure Virtual WAN 支持使用 Standard 类型方法的中心到中心通信。
Azure Virtual WAN 客户现在可以利用 Microsoft 的全球骨干网络进行区域间中心到中心通信(全球中转网络架构)。这实现了分支到 Azure、跨 Azure 骨干网的分支到分支以及分支到中心(在所有 Azure 区域中)的通信。
仅当您购买 Azure Virtual WAN 的 Standard SKU 时,才能利用 Azure 骨干网进行区域间通信。有关定价详细信息,请参阅 Virtual WAN 定价。使用 Basic SKU,您无法使用 Azure 骨干网进行区域间中心到中心通信。有关更多详细信息,请参阅 全球中转网络架构和 Virtual WAN。
虚拟 WAN 中的所有中心都相互连接。这意味着连接到本地中心的分支、用户或 VNet 可以使用连接中心的完全网状架构与另一个分支或 VNet 通信。
您还可以使用中心到中心连接框架,连接通过虚拟中心中转的中心内的 VNet 以及跨中心的 VNet。
虚拟 WAN 有两种类型:
-
Basic:使用 Basic 方法,中心到中心通信在一个区域内进行。Basic WAN 类型有助于创建基本中心(SKU = Basic)。基本中心仅限于站点到站点 VPN 功能。
-
Standard:使用 Standard 方法,中心到中心通信在不同区域之间进行。Standard WAN 有助于创建标准中心(SKU = Standard)。Standard 中心包含 ExpressRoute、用户 VPN (P2S)、完全网状中心以及通过中心进行的 VNet 到 VNet 中转。
在 Microsoft Azure 中创建 Azure Virtual WAN 服务
要创建 Azure Virtual WAN 资源,请执行以下步骤:
-
登录到 Azure 门户并单击“创建资源”。
-
搜索“Virtual WAN”并单击“创建”。
-
在“基本信息”下,提供以下字段的值:
-
订阅:从下拉列表中选择并提供订阅详细信息。
-
资源组:选择现有资源组或创建新资源组。
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含 Virtual WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限验证 Azure Virtual WAN API 以启用自动化连接。
-
资源组位置:从下拉列表中选择 Azure 区域。
- 名称:提供新 Virtual WAN 的名称。
- 类型:如果要在不同区域之间使用中心到中心通信,请选择 Standard 类型;否则选择 Basic。
-
- 单击“查看 + 创建”。
- 查看您输入的用于创建 Virtual WAN 的详细信息,然后单击“创建”以完成 Virtual WAN 创建。
资源的部署时间不到一分钟。
注意
您可以从 Basic 升级到 Standard,但不能从 Standard 降级回 Basic。有关升级虚拟 WAN 的步骤,请参阅 将虚拟 WAN 从 Basic 升级到 Standard。
在 Azure Virtual WAN 中创建中心
执行以下步骤以创建中心,从而启用来自各种不同终结点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:
- 选择之前创建的 Azure Virtual WAN。
-
在“连接”部分下选择“中心”并单击“+ 新建中心”。
-
在“基本信息”下,提供以下字段的值:
- 区域 – 从下拉列表中选择 Azure 区域。
- 名称 – 输入新中心的名称。
- 中心专用地址空间 – 以 CIDR 格式输入地址范围。选择一个专用于中心的唯一网络。
-
单击“下一步: 站点到站点 >”并提供以下字段的值:
- 是否要创建站点到站点 (VPN 网关)? – 选择“是”。
-
网关缩放单元 – 根据需要从下拉列表中选择缩放单元。
- 单击“查看 + 创建”。
- 查看设置,然后单击“创建”以开始虚拟中心创建。
资源的部署可能需要长达 30 分钟。
为 Azure Virtual WAN 创建服务主体并识别 ID
为了让 SD-WAN Orchestrator 通过 Azure Virtual WAN API 进行身份验证并启用自动化连接,必须创建注册应用程序并使用以下身份验证凭据进行识别:
- 订阅 ID
- 客户端 ID
- 客户端密码
- 租户 ID
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含 Virtual WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限验证 Azure Virtual WAN API 以启用自动化连接。
执行以下步骤以创建新的应用程序注册:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,选择“应用注册”。
-
单击“+ 新建注册”。
-
提供以下字段的值以注册应用程序:
- 名称 – 提供应用程序注册的名称。
- 支持的帐户类型 – 选择“仅此组织目录中的帐户 (* - 单租户)”选项。
- 重定向 URI(可选) – 从下拉列表中选择“Web”并输入一个随机的唯一 URL(例如,https:// localhost:4980)。
- 单击“注册”。
您可以复制并存储“应用程序(客户端)ID”和“目录(租户)ID”,它们可用于 SD-WAN Orchestrator 中,以便对 Azure 订阅进行身份验证以使用 API。
应用程序注册的下一步是创建用于身份验证的服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到“Azure Active Directory”。
- 在“管理”下,导航到“应用注册”。
- 选择已注册的应用程序(之前创建的)。
- 在“管理”下,选择“证书和密码”。
-
在“客户端密码”下,单击“+ 新建客户端密码”。
- 要添加客户端密码,请提供以下字段的值:
- 说明:提供服务主体密钥的名称。
- 过期时间:根据需要选择过期持续时间。
- 单击“添加”。
-
客户端密码在“值”列中已禁用。将密钥复制到剪贴板。这是您必须输入到 SD-WAN Orchestrator 中的客户端密码。
注意
您必须在重新加载页面之前复制并存储密钥值,因为之后将不再显示它。
执行以下步骤以分配用于身份验证的相应角色:
- 在 Azure 门户中,导航到创建 Virtual WAN 的“资源组”。
- 导航到“访问控制 (IAM)”。
-
单击“+ 添加”并选择“添加角色分配”。
-
要添加角色分配,请提供以下字段的值:
- 角色 – 从下拉列表中选择“所有者”。此角色允许管理所有内容,包括对资源的访问。
- 分配访问权限 – 选择“Azure AD 用户、组”或“服务主体”。
- 选择 – 提供之前创建的注册应用程序的名称,并在出现时选择相应的条目。
-
单击“保存”。
最后,您需要获取 Azure 帐户的订阅 ID。您可以通过在 Azure 门户中搜索“订阅”来识别您的“订阅 ID”。
创建虚拟 WAN 后,登录到 SD-WAN Center UI > 配置 > Azure > Virtual WAN。
选择两个不同的站点并开始部署。站点部署完成后,您可以将这两个站点关联到两个不同的中心。
注意 默认情况下,分支到分支和 BGP 已禁用。您可以创建静态路由或启用 BGP(在“设置”下)以及分支到分支连接。
启用 BGP 和分支到分支复选框并部署隧道。隧道成功部署后,您可以在“Microsoft Azure > 资源组 >”中验证状态,选择您创建的“资源组”并单击“VPN 站点”。
