Azure Virtual WAN
Virtual WAN是一个网络服务,将网络、安全、路由等功能集合再一起 提供一个统一的操作界面,功能包括分支机构链接,通过Virtual WAN可以自动链接到合作伙伴的设备,比如SD-WAN或者VPN CPE, S2S VPN,远程用户VPN链接,私有链接ER链接,intra-cloud链接,transitive 虚拟网络连接,VPN ExpressRoute连接,路由,Firewall,加密私有连接。
The virtual VAN 架构就像个hub spoke结构,可以扩展 性能好,专门支持分支连接,VPN 和SD-WAN设备,也可以支持用户级别的连接,Azure VPN Open VPN IKEv2 客户端,ER专线,虚拟网络,就像全球transit network architecture 一样, 其中云上网络hub为transitive 连接,将终结点和各个spoke连接起来。
Azure 的各个region就像一个hub,你想连接哪个就连接哪个,所有的hub都由full mesh的方式连接,这样就可以利用微软的主干网,实现any-to-any的连接方式。对于由SD-WAN和VPN设备的spoke 连接,用户可以手动配置Azure Virtual WAN,或者使用Virtual WAN CPE 合作伙伴解决方案来配置到Azure的连接。
Virtual WAN 能干啥?
- hub spoke 解决方案:自动将本地占地连到Azure Hub
- 自动spoke配置,无痕地连接虚拟网络和负载
- 可以排错
有两种Virtual WAN,一个basic standard
Basic:只支持S2S VPN
Standard:支持ER VPN,inter-hub V2V transiting though virtual hub azure firewall,NVA in a virtual WAN
virtual WAN 资源
如果要创建端到端的virtual WAN需要以下资源:
- virtual WAN代表了一系列的网络资源。
- hub:微软托管的虚拟网络,hub里面包含很多终结点可以进行连接,从本地网络,你可以连接VPN网关,连接ER 链路到virtual hub。hub是网络的核心。
- hub virtual network 连接,hub虚拟网络连接用来将虚拟网络和hub 无痕地连接起来,一个虚拟网络只能连接一个hub。
- hub-to-hub 连接,virtual WAN里面的所有hub都是互联的,也就是说,所有分支机构,用户 虚拟网络连到本地hub之后,都可以彼此通信,hub route table。
连接
S2S VPN 连接
架构 - Global transit network architecture and Virtual WAN
global transit network是基于hub-spoke连接墨香,云网络基于hub,hub可以连通各个终结点,spoke可以连接,VNET,真实的分支机构站点,远程的用户和互联网。
Virtual WAN是微软托管的网络服务,所有的网络组件都由微软来托管,Virtual WAN 可以实现global any-to-any的连接。
Azure Virtual WAN hub要分区域的,一般hub要放在用户最多的地方,然后连到其他region的hub。
Hub-to-hub 连接
企业云可以遍布多个区域,为了保证低延迟,建议将hub放在离物理站点近的地方,transit network架构一个关键功能就是能够实现跨区域的网络连接,这就意味着,来自一个分支机构的流量,可以通过azure云全球骨干网络连接到另外一个region的机构。
如果一个virtual WAN里面有好几个hub,那这些hub都回自动互联,这样可以使得各个分支机构之间实现全球互联。这个架构就不需要full mesh 或者partial mesh的连接,这种连接部署和维护起来都很麻烦,此外hub-spoke模式的路由控制,比起mesh 网络更容易部署和维护。
any-to-any连接能够实现全球范围内的用户、机构、数据中心、虚拟网络、应用程序互联,实现一个transit 中心,Azure Virtual WAN可以看作一个全球互联互通的系统.