Azure虚拟广域网
Microsoft Azure Virtual WAN和Citrix SD-WAN提供了简化的网络连接和跨混合云工作负载的集中管理。您可以自动化分支设备的配置,以连接到Azure Virtual WAN集线器,并根据业务需求配置分支流量管理策略。内置的仪表板界面提供了即时的故障诊断见解,可以节省时间,并为大规模的站点到站点连接提供可视性。
微软Azure虚拟广域网允许您简化到Azure云工作负载的连接,并在Azure骨干网络内外路由流量。Azure在全球提供54个以上地区和多个网点。Azure区域作为枢纽,您可以选择连接到分支。分支连接完成后,通过中心到中心连接使用Azure云服务。你可以通过应用多个Azure服务来简化连接,包括使用Azure VNets进行集束对等。集线器作为分支的流量网关。
Microsoft Azure虚拟广域网具有以下优势:
集线器和辐条的集成连接解决方案-从各种来源(包括已连接的合作伙伴解决方案)自动化本地部署和Azure集线器之间的站点到站点的连接和配置。
自动设置和配置-将您的虚拟网络无缝连接到Azure集线器。
直观的故障排除-您可以看到Azure中的端到端流程,并使用这些信息采取所需的操作。
Hub-to-Hub沟通
从11.1.0版本开始,Azure Virtual WAN支持集线器到集线器的通信使用标准类型的方法。
Azure Virtual WAN客户现在可以使用微软的全球骨干网进行区域间的中心到中心通信(全球中转网络架构)。这使得分支到Azure、在Azure主干上的分支到分支、以及分支到中心(在所有Azure区域中)的通信成为可能。
您可以使用Azure的主干网进行跨地区通信,只有当您购买标准用于Azure虚拟广域网的SKU。有关定价的详细信息,请参见虚拟WAN定价.与基本的SKU,您不能使用Azure的主干进行区域间的中心到中心通信。有关详细信息,请参见全球中转网架构和虚拟广域网.
集线器在虚拟广域网中相互连接。这意味着连接到本地集线器的分支、用户或VNet可以使用连接集线器的完整网格体系结构与另一个分支或VNet通信。
您还可以使用集线器到集线器连接框架连接通过虚拟集线器传输的集线器内的VNets,以及跨集线器的VNets。
有两种类型的虚拟WAN:
基本:使用基本方法时,集线器对集线器通信发生在一个区域内。的基本WAN类型有助于创建基本集线器(SKU = basic)。基本集线器仅限于点对点VPN功能。
标准:使用标准方法是在不同的区域之间进行中心对中心的通信。一个标准WAN有助于创建标准集线器(SKU = standard)。一个标准hub包括ExpressRoute、User VPN (P2S)、full mesh hub,以及VNet到VNet通过hub传输。
在微软Azure中创建Azure虚拟广域网服务
要创建Azure Virtual WAN资源,执行以下步骤:
登录到Azure门户并单击创建一个资源.
![创建一个资源]()
搜索虚拟广域网并点击创建.
在下面基本,提供以下字段的值:
订阅:从下拉列表中选择并提供订阅详细信息。
资源组:选择已存在的资源组或新建资源组。
请注意
在创建允许Azure API通信的服务主体时,确保使用包含Virtual WAN的相同资源组。否则,Citrix SD-WAN Orchestrator服务将没有足够的权限对启用自动连接的Azure虚拟WAN api进行身份验证。
资源组位置:从下拉列表中选择Azure区域。
- 名称:为新的虚拟广域网提供名称。
- 类型:选择标准如果要使用不同区域之间的集线器到集线器通信,请键入,否则请选择基本.
![Azure类型]()
- 点击回顾+创造.
- 查看为创建虚拟Wan而输入的详细信息,然后单击创建以完成虚拟广域网的创建。
资源部署时间小于1分钟。
请注意
您可以从基本升级到标准,但不能从标准恢复到基本。有关升级虚拟广域网的步骤,请参见将虚拟广域网从基本升级到标准.
在Azure虚拟WAN中创建中心
执行以下步骤创建集线器,以启用不同端点(例如本地VPN设备或SD-WAN设备)的连接:
- 选择先前创建的Azure Virtual WAN。
选择中心下连接部分并单击+新中心.
![创造中心]()
在下面基本,提供以下字段的值:
- 区域—在下拉列表中选择Azure区域。
- 名称—输入新Hub的名称。
- 集线器专用地址空间–在CIDR中输入地址范围。选择仅用于集线器的唯一网络。
点击接下来:站点到站点>并提供以下字段的值:
- 是否创建“站点到站点(VPN网关)”?–选择对.
网关规模单位—根据需要在下拉列表中选择比例单位。
![网关规模单位]()
- 点击回顾+创造.
- 查看设置并单击创建启动虚拟中心的创建。
资源部署时间最长可达30分钟。
为Azure Virtual WAN创建一个服务主体,并识别id
为了让Citrix SD-WAN Orchestrator服务通过Azure Virtual WAN api进行身份验证并启用自动连接,必须创建一个已注册的应用程序,并使用以下身份验证凭证进行标识:
- 订阅ID
- 客户机ID
- 客户的秘密
- 承租者ID
请注意
在创建允许Azure API通信的服务主体时,确保使用包含Virtual WAN的相同资源组。否则,Citrix SD-WAN Orchestrator服务将没有足够的权限对启用自动连接的Azure虚拟WAN api进行身份验证。
执行以下步骤以创建应用程序注册:
- 在Azure门户中,导航到Azure Active Directory.
- 在管理下,选择应用程序注册.
点击+新的注册.
![新的注册Azure]()
为以下字段提供值以注册应用程序:
- 名称—提供注册应用程序的名称。
- 支持的帐户类型—选中“仅此组织目录下的帐户”(*—单租户)。
- 重定向的URI(可选)-从下拉列表中选择Web并输入一个随机的唯一URL(例如,https:// localhost: 4980)
- 点击注册.
![注册一个应用程序]()
您可以复制并存储应用程序(客户端)ID和目录(租户)ID可以在Citrix SD-WAN Orchestrator服务中使用,用于对使用API的Azure订阅进行身份验证。
![客户端和租户ID]()
应用程序注册的下一步是创建用于身份验证的服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在Azure门户中,导航到Azure Active Directory.
- 在下面管理,导航到应用程序注册.
- 选择已注册的应用程序(前面创建的)。
- 在下面管理中,选择证书和秘密.
在下面客户的秘密,点击+新客户端秘密.
![新客户的秘密]()
- 要添加客户端机密,请为以下字段提供值:
- 描述:提供服务主体密钥的名称。
- 到期:根据需要选择过期时间。
![添加客户端秘密]()
- 点击添加.
文件中禁用客户端秘密价值列。把钥匙复制到剪贴板上。这是您必须输入到Citrix SD-WAN Orchestrator服务中的客户端秘密。
![客户端密钥]()
请注意
在重新加载页面之前复制并存储秘密键值,因为之后它将不再显示。
执行以下步骤,为身份验证目的分配适当的角色:
- 在Azure门户中,导航到资源组其中创建了虚拟广域网。
- 导航到访问控制(我).
点击+添加并选择添加角色分配.
![添加角色分配]()
要添加角色分配,请为以下字段提供值:
- 角色—在下拉列表中选择“Owner”。这个角色允许管理一切,包括对资源的访问。
- 分配访问——选择Azure广告用户,组,或服务主体.
- 选择-提供前面创建的已注册应用程序的名称,并在出现时选择相应的条目。
点击保存.
![添加角色任务]()
最后,您需要获得Azure帐户的订阅ID。你可以识别你的订阅ID通过在Azure门户中搜索订阅。
在Citrix SD-WAN Orchestrator服务中配置Azure虚拟广域网交付服务
Microsoft Azure虚拟WAN和Citrix SD-WAN提供了简化的网络连接和跨云工作负载的集中管理。此服务提供分支设备的自动配置,以连接到Azure虚拟WAN,并根据您的业务需求配置分支流量管理策略。
提供Azure服务主体将任何Citrix SD-WAN站点映射到Azure虚拟WAN的信息。在将站点配置为Azure虚拟WAN服务之前,您需要在各自的Azure区域中创建具有站点到站点连接网关资源的Azure虚拟WAN集线器。Citrix SD-WAN设备和Azure之间建立了站点到站点的连接。
请注意
仅列出在Azure门户中为您的订阅创建的虚拟WAN集线器以进行映射。
作为将Citrix SD-WAN分支映射到Azure Virtual广域网的一部分,分支站点需要与Azure WAN资源相关联,以便使用预先选择的IPsec IKE/IPsec设置与Azure Virtual hub建立IPsec隧道。缺省情况下,site和Azure骨干路由通过BGP学习。当Citrix SD-WAN分支站点配置了多条internet广域网链路时,自动选择两条广域网链路提供冗余。所选的Citrix SD-WAN软件必须支持主IPsec隧道和从IPsec隧道之间的切换,这从11.1版本开始就得到了支持。
请注意
一个Citrix SD-WAN站点可以连接到相同或不同Azure区域的多个Azure虚拟hub。
某些Citrix SD-WAN设备对可支持的IPsec隧道数量有资源限制。因此,如果不满足Citrix SD-WAN设备隧道计数限制,配置映射可能会失败。
以下是基于SD-WAN平台的IPsec隧道限制:
| SD-WAN电器 | IPsec隧道的支持 |
|---|---|
| 4100、5100、6100 | 256 |
| 1100年,2100年 | 128 |
| 110,210,410, 1000, 2000 | 8 |
先决条件
在开始在Citrix SD-WAN Orchestrator服务中进行配置之前,需要完成以下先决条件:
- 完成Azure基础设施的设置(带有Hub的对等VNet,用于自动化的注册应用程序,等等)
- 获得作为云托管服务访问Citrix SD-WAN Orchestrator服务的权限。请确保使用一个经过正确的入职流程的Citrix Cloud帐户,否则认证会失败。
- 确保Azure订阅尚未与任何其他Citrix SD-WAN Orchestrator服务配置一起使用。
- 已部署MCN和branch SD-WAN节点,并确认Internet WAN链路类型上的虚拟路径。Citrix SD-WAN Orchestrator服务通过配置过程自动启用内部网服务。
- 确保分支SD-WAN节点设置为自动学习Internet WAN链路的公网IP地址。
完成Azure Virtual WAN的配置,并与SD-WAN设备建立IPsec隧道,具体步骤如下:
在Citrix SD-WAN Orchestrator服务上,从客户级别导航到交付渠道>带宽分配.为Azure Virtual WAN交付服务分配一定比例的带宽(例如,20%)。您可能必须从任何其他交付服务(例如,Virtual Path)中减去分配的百分比,以便总分配的百分比等于100。
![Azure虚拟广域网服务]()
请注意
为Azure Virtual WAN服务提供订阅带宽(以%为单位)。你可在环球(所有站点>配置>下发通道>带宽分配)及地点(>站点配置>广域网链路>业务)的水平。
或者,还可以为不同的站点分配不同的带宽。为此,请为所选站点执行特定于链接的配置。要执行此操作,请选择适当的站点>广域网链接选项卡>服务部分。通过选择,可以覆盖全局带宽分配联系特定的为服务带宽设置分配所需的带宽。
![服务带宽设置]()
从客户层导航到配置>下发通道. 在SaaS和云入口服务部分,单击Azure虚拟广域网瓷砖。的Azure虚拟广域网页面显示。
![Azure虚拟广域网服务设置]()
在右上角Azure虚拟广域网页面,点击身份验证链接。
提供Azure订阅ID,客户端ID,客户端秘密,和承租者ID在创建Azure服务主体之前捕获。如果凭据不正确,则身份验证失败,不允许进一步操作。点击保存.
![Azure虚拟广域网服务]()
认证成功后,必须将分支站点与Azure Virtual WAN资源关联起来才能建立IPsec隧道。一个分支可以连接到Azure Virtual WAN资源中的多个hub,一个Azure Virtual WAN资源可以连接到多个分支站点。
请注意
单击,可以清除身份验证设置明确的身份验证链接。在删除认证之前,请确保已删除站点映射。
在Azure身份验证成功后,单击添加网站添加一个站点。
![Azure虚拟WAN添加站点]()
请注意
的添加网站如果您没有预订订阅带宽,则禁用此选项。
提供以下详细资料:
按区域/自定义组筛选—可以选择全部或部分地区/组。
选择网站–您可以选择要映射的所有或选择性站点。
![Azure虚拟广域网站点选择器]()
Azure虚拟广域网-从与订阅关联的下拉列表中选择Azure Virtual WAN。同一站点不能连接多个广域网。
Azure中心-选择Azure集线器。仅列出具有Azure虚拟集线器的Azure虚拟WAN进行映射。您可以添加连接到同一站点的多个集线器。
请注意
的Azure虚拟广域网字段列出已经创建了相应集线器的虚拟广域网。
铝青铜内部IP—如果站点是Azure VPX,且部署为HA模式,需要输入Azure负载均衡器(ALB) IP。否则该字段是可选的。
点击保存
一旦站点部署,您可以看到以下信息:
![Azure虚拟WAN站点详细信息]()
下图描述了Citrix SD-WAN Orchestrator服务和Azure Virtual WAN连接的高级工作流。
- 信息—显示Azure Virtual WAN Tunnel配置的详细信息和状态。
- 网站的名字—显示已部署的站点名称。
- 虚拟广域网—显示对应站点映射的Azure虚拟广域网。
- 中心—显示集线器数量。
- 状态—以完成提示显示不同的部署状态。如果站点配置成功,则只能创建IPsec隧道。
- 行动——你可以编辑或删除配置的站点。
将Citrix SD-WAN站点映射到Azure Virtual WAN集线器可能需要一些时间,因为它涉及从Azure下载IPsec配置。分支映射状态显示为配置下载下载分支配置后。建议在激活配置之前刷新站点状态,以查看更新的状态。
成功设置站点后,您需要执行以下操作:验证阶段,和活跃的IPsec隧道的创建过程。
激活后,您可以通过导航到来查看每个站点的隧道状态所有站点>报表>实时报表>统计> IPsec隧道,选择所需站点,然后单击获取最新数据.如果不激活该配置,则隧道信息将不可用。为了达到冗余的目的,创建了两条隧道。
此外,您还可以通过导航查看每个站点到Azure Virtual WAN的路由>所有站点>实时报表>统计>路由,选择所需站点,然后单击获取最新数据.
在Azure Virtual WAN的初始配置过程中,与10.0.1.0/24 VNet相关联,本地SD-WAN已经学习到这条路由,并进入路由表azureVWANservice作为送货服务类型。类型说明动态和协议说明边界网关协议可以确定路由是通过BGP动态学习的。
在Azure门户中,可以在Azure Virtual WAN集线器中监视成功部署的VPN站点。此外,您将找到与内部SD-WAN设备学习到的集线器关联的地址空间。
选择任意一个连接的VPN站点可以提供连接SD-WAN的详细信息。包括终止IPsec隧道的公网IP地址/FQDN、私有IP地址空间和将作为SD-WAN的WAN接口VIP地址的BGP地址,更重要的是速度和到集线器的连接状态。
在Azure中,可以通过连接VNET添加虚拟网络连接,以使Azure中的资源可用。要完成此配置,请执行以下操作:
- 在Azure门户中,选择Virtual WAN资源。
- 在下面连接,导航到虚拟网络连接.
点击+添加连接.
![虚拟网络连接]()
要添加连接,请为以下字段指定值:
- 连接名—输入新连接的名称。
- 中心—在下拉列表中选择可用hub。
- 订阅—在下拉列表中选择可用订阅。
- 资源组–从部署虚拟WAN资源的下拉列表中选择资源组。
- 虚拟网络—在下拉列表中选择可用的虚拟网络。
![Azure添加连接]()
点击创建.
![创建虚拟网络连接]()
通过将新的VNet与Hub对接,本地SD-WAN设备可以通过BGP动态学习到新的路由。要在Citrix SD-WAN Orchestrator服务中检索SD-WAN设备的最新路由表,请导航到>所有站点>实时报表>统计>路由. 选择所需的站点并单击获取最新数据.
通过前面提到的配置步骤,Citrix SD-WAN部署的VPN站点可以访问部署在Azure Virtual WAN hub上的VNets中的资源。