Arquitetura de conectividade SD-WAN com WAN Virtual do Azure
A WAN Virtual do Azure é um serviço de rede que reúne muitos serviços de conectividade e segurança na nuvem com uma única interface operacional. Esses serviços incluem ramificação (via VPN site a site), usuário remoto (VPN ponto a site), conectividade privada (Rota Expressa), conectividade transitiva dentro da nuvem para redes virtuais, interconectividade VPN e Rota Expressa, roteamento, Firewall do Azure e criptografia para conectividade privada.
Embora a WAN Virtual do Azure seja uma SD-WAN baseada em nuvem que fornece um conjunto avançado de serviços de conectividade, roteamento e segurança de primeira parte do Azure, a WAN Virtual do Azure também foi projetada para permitir a interconexão perfeita com tecnologias e serviços SD-WAN e SASE baseados em instalações. Muitos desses serviços são oferecidos pelo nosso ecossistema de WAN Virtual e pelos parceiros de Serviços Geridos de Rede (MSPs) do Azure. As empresas que estão transformando sua WAN privada em SD-WAN têm opções ao interconectar sua SD-WAN privada com a WAN Virtual do Azure. As empresas podem escolher entre estas opções:
- Modelo de interconexão direta
- Modelo de interconexão direta com NVA-in-VWAN-hub
- Modelo de interconexão indireta
- Modelo de WAN híbrida gerenciada usando seu provedor de serviços gerenciados favorito MSP
Em todos esses casos, a interconexão da WAN Virtual com a SD-WAN é semelhante do lado da conectividade, mas pode variar no lado da orquestração e operacional.
Modelo de interconexão direta
Neste modelo de arquitetura, o equipamento de instalações do cliente (CPE) da filial SD-WAN é conectado diretamente aos hubs WAN virtuais por meio de conexões IPsec. O CPE da filial também pode ser conectado a outras filiais por meio da SD-WAN privada ou usar a WAN virtual para conectividade de ramificação a ramificação. As filiais que precisam acessar suas cargas de trabalho no Azure poderão acessar o Azure de forma direta e segura por meio do(s) túnel(es) IPsec que são encerrados no(s) hub(s) da WAN Virtual.
Os parceiros CPE SD-WAN podem habilitar a automação para automatizar a conectividade IPsec normalmente tediosa e propensa a erros de seus respetivos dispositivos CPE. A automação permite que o controlador SD-WAN fale com o Azure por meio da API da WAN Virtual para configurar os sites da WAN Virtual e enviar a configuração de túnel IPsec necessária para os CPEs de filial. Consulte Diretrizes de automação para obter a descrição da automação de interconexão de WAN virtual por vários parceiros SD-WAN.
O CPE SD-WAN continua a ser o local onde a otimização do tráfego e a seleção de caminhos são implementadas e aplicadas.
Neste modelo, algumas otimizações de tráfego proprietárias do fornecedor com base em características de tráfego em tempo real podem não ser suportadas porque a conectividade com a WAN Virtual é por IPsec e a VPN IPsec é encerrada no gateway VPN WAN Virtual. Por exemplo, a seleção de caminho dinâmico no CPE da filial é viável devido ao dispositivo da filial trocar várias informações de pacotes de rede com outro nó SD-WAN, identificando assim o melhor link a ser usado para vários tráfegos priorizados dinamicamente na filial. Esse recurso pode ser útil em áreas onde a otimização de última milha (ramificação para o Microsoft POP mais próximo) é necessária.
Com a WAN Virtual, os usuários podem obter a Seleção de Caminho do Azure, que é a seleção de caminho baseada em políticas em vários links de ISP do CPE da filial para gateways VPN de WAN Virtual. Virtual WAN permite a configuração de vários links (caminhos) a partir do mesmo CPE de ramificação SD-WAN; cada link representa uma conexão de túnel duplo de um IP público exclusivo do CPE SD-WAN para duas instâncias diferentes do gateway VPN WAN Virtual do Azure. Os fornecedores de SD-WAN podem implementar o caminho mais ideal para o Azure, com base nas políticas de tráfego definidas pelo seu mecanismo de política nos links CPE. Na extremidade do Azure, todas as conexões que entram são tratadas igualmente.
Modelo de interconexão direta com NVA-in-VWAN-hub
Este modelo de arquitetura suporta a implantação de um Network Virtual Appliance (NVA) de terceiros diretamente no hub virtual. Isso permite que os clientes que desejam conectar seu CPE de filial à mesma marca NVA no hub virtual para que possam aproveitar os recursos proprietários de SD-WAN de ponta a ponta ao se conectarem a cargas de trabalho do Azure.
Vários parceiros de WAN virtual trabalharam para fornecer uma experiência que configura o NVA automaticamente como parte do processo de implantação. Depois que o NVA tiver sido provisionado no hub virtual, qualquer configuração adicional que possa ser necessária para o NVA deve ser feita por meio do portal de parceiros NVA ou do aplicativo de gerenciamento. O acesso direto ao NVA não está disponível. Os NVAs que estão disponíveis para serem implantados diretamente no hub WAN Virtual do Azure são projetados especificamente para serem usados no hub virtual. Para parceiros que suportam NVA no hub VWAN e seus guias de implantação, consulte o artigo Parceiros de WAN Virtual.
O CPE SD-WAN continua a ser o local onde a otimização do tráfego e a seleção de caminhos são implementadas e aplicadas. Neste modelo, a otimização de tráfego proprietária do fornecedor com base em características de tráfego em tempo real é suportada porque a conectividade com a WAN Virtual é através do SD-WAN NVA no hub.
Modelo de interconexão indireta
Neste modelo de arquitetura, os CPEs de ramificação SD-WAN são conectados indiretamente aos hubs WAN Virtual. Como mostra a figura, um CPE virtual SD-WAN é implantado em uma rede virtual corporativa. Esse CPE virtual é, por sua vez, conectado ao(s) hub(s) da WAN Virtual usando IPsec. O CPE virtual serve como um gateway SD-WAN no Azure. As filiais que precisam acessar suas cargas de trabalho no Azure poderão acessá-las por meio do gateway v-CPE.
Como a conectividade com o Azure é feita por meio do gateway v-CPE (NVA), todo o tráfego de e para VNets de carga de trabalho do Azure para outras ramificações SD-WAN passa pelo NVA. Neste modelo, o usuário é responsável por gerenciar e operar o SD-WAN NVA, incluindo alta disponibilidade, escalabilidade e roteamento.
Modelo de WAN híbrida gerenciada
Nesse modelo de arquitetura, as empresas podem aproveitar um serviço gerenciado de SD-WAN oferecido por um parceiro MSP (Managed Service Provider). Este modelo é semelhante aos modelos diretos ou indiretos descritos acima. No entanto, neste modelo, o design, a orquestração e as operações da SD-WAN são fornecidos pelo provedor da SD-WAN.
Os parceiros MSP do Azure Networking podem usar o Azure Lighthouse para implementar o serviço SD-WAN e WAN Virtual na assinatura do Azure do cliente corporativo, bem como operar a WAN híbrida de ponta a ponta em nome do cliente. Esses MSPs também podem implementar o Azure ExpressRoute na WAN Virtual e operá-lo como um serviço gerenciado de ponta a ponta.