Azure 虚拟广域网
Microsoft Azure 虚拟 WAN 和 Citrix SD-WAN 可以在混合云工作负载中提供简化的网络连接和集中化的管理。你可以自动配置分支设备以连接到 Azure Virtual WAN 中心,并根据业务需求配置分支机构流量管理策略。内置的仪表板界面可提供即时故障排除见解,从而节省时间,并为大规模的站点间连接提供可见性。
Microsoft Azure 虚拟广域网允许你简化与 Azure 云工作负载的连接,并通过 Azure 骨干网络及其他网络路由流量。Azure 在全球范围内提供了 54 多个区域和多个接入点。Azure 区域充当中心,你可以选择连接到分支机构。连接分支后,通过集线器到集线器连接使用 Azure 云服务。你可以通过应用多个 Azure 服务来简化连接,包括使用 Azure VNet 的中心对等。中心充当分支机构的流量网关。
微软 Azure 虚拟广域网具有以下优点:
-
集线@@器和分支中的集成连接解决方案 -在本地和 Azure 中心之间自动进行点对点连接和配置,这些来源包括互联合作伙伴解决方案。
-
自动设置和配置 -将虚拟网络无缝连接到 Azure 中心。
-
直观的故障排除 -你可以查看 Azure 中的端到端流程,并使用这些信息采取必要的操作。
中心到集线器的通信
从 11.1.0 版本开始,Azure Virtual WAN 支持使用 标准 类型方法进行集线器到集线器通信。
Azure Virtual WAN 客户现在可以使用微软的全球骨干网络进行区域间集线器到集线器通信(全球交通网络架构)。这使分支到 Azure、Azure 骨干上的分支机构到分支机构以及分支到中心(在所有 Azure 区域中)进行通信。
只有在购买 Azure 虚拟广域网的 标准 SKU 时,才能使用 Azure 的主干进行区域间通信。有关定价的详细信息,请参阅 虚拟 WAN 定价。使用 基本 SKU,你无法使用 Azure 的主干网进行区域间集线器到集线器通信。有关更多详细信息,请参阅 全球中转网络架构和虚拟 WAN。
集线器都在虚拟广域网中彼此连接。这意味着连接到本地集线器的分支机构、用户或 VNet 可以使用连接集线器的完整网格体系结构与另一个分支或 VNet 进行通信。
您还可以使用集线器到集线器连接框架,在通过虚拟中心过境的集线器内连接 VNet,并在集线器之间连接 VNet。
虚拟广域网有两种类型:
-
基本:使用 基本 方法,集线器到集线器的通信发生在一个区域内。 基本 WAN 类型有助于创建基本集线器(SKU = 基本)。基本中心仅限于站点到站点 VPN 功能。
-
标准:使用 标准 方法,集线器到集线器的通信在不同区域之间进行。 标准 WAN 有助于创建标准集线器(SKU = 标准)。 标准 集线器包含 ExpressRoute、用户 VPN (P2S)、全网状集线器和通过集线器的 VNet 到 VNet 传输。
在微软 Azure 中创建 Azure 虚拟 WAN 服务
要创建 Azure 虚拟 WAN 资源,请执行以下步骤:
-
登录 Azure 门户并单击 “ 创建资源”。
-
搜索 虚拟 WAN ,然后单击 “ 创建”。
-
在 “ 基本” 下,为以下字段提供值:
-
订阅:从下拉列表中选择并提供订阅详情。
-
资源组:选择现有资源组或创建新资源组。
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的相同资源组。否则,Citrix SD-WAN Orchestrator 服务将没有足够的权限对启用自动连接的 Azure Virtual WAN API 进行身份验证。
-
资源组位置:从下拉列表中选择 Azure 区域。
- 名称:提供新虚拟 WAN 的名称。
- 类型:如果要在不同区域之间使用集线器到集线器通信,请选择 标准 类型,否则选择 基本。
-
- 单击查看 + 创建。
- 查看您在创建 Virtual Wan 时输入的详细信息,然后单击 “ 创建 ” 以完成虚拟 WAN 的创建。
资源的部署需要不到一分钟的时间。
注意:
您可以从基本升级到标准版,但不能从标准恢复到基本。有关升级虚拟 WAN 的步骤,请参阅将 虚拟 WAN 从基本升级到标准。
在 Azure 虚拟 WAN 中创建中心
执行以下步骤创建集线器以启用来自各种不同端点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:
- 选择之前创建的 Azure 虚拟 WAN。
-
在 “ 连接 ” 部分下选择 “ 集线器 ”,然后单击 + 新建集线器。
-
在 “ 基本” 下,为以下字段提供值:
- 区域 — 从下拉列表中选择 Azure 区域。
- 名称 — 输入新集线器的名称。
- 集线器私有地址空间 -在 CIDR 中输入地址范围。选择仅专用于集线器的唯一网络。
-
单击 “ 下一步:站点到站点” ,然后为以下字段提供值:
- 是否要创建站点到站点(VPN 网关)? — 选择 “ 是”。
-
网关比例单位 -根据需要从下拉列表中选择比例单位。
- 单击查看 + 创建。
- 查看设置并单击 “ 创建 ” 以开始创建虚拟中心。
资源的部署最多可能需要 30 分钟。
为 Azure 虚拟 WAN 创建服务主体并识别 ID
要使 Citrix SD-WAN Orchestrator 服务通过 Azure Virtual WAN API 进行身份验证并启用自动连接,必须创建注册的应用程序并使用以下身份验证凭据进行标识:
- 订阅 ID
- 客户端 ID
- 客户端密码
- 租户 ID
注意
创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的相同资源组。否则,Citrix SD-WAN Orchestrator 服务将没有足够的权限对启用自动连接的 Azure Virtual WAN API 进行身份验证。
执行以下步骤来创建应用程序注册:
- 在 Azure 门户中,导航到 Az ure Active Directory。
- 在 “管理” 下,选择 “ 应用程序注册”。
-
点击 + 新注册。
-
为以下字段提供值以注册应用程序:
- 名称 — 提供应用程序注册的名称。
- 支持的账户类型 — 选择 “仅限此组织目录中的账户(*-单租户)” 选项。
- 重定向 URI(可选) — 从下拉列表中选择 Web,然后输入一个随机的唯一 URL(例如,https://localhost: 4980)
- 单击注册。
您可以复制和存储在 Citrix SD-WAN Orchestrator 服务中使用的 应用程序(客户端)ID和目录(租户)ID ,用于对 Azure 订阅进行身份验证,以便使用 API。
应用程序注册的下一步是为身份验证目的创建服务主体密钥。
要创建服务主体密钥,请执行以下步骤:
- 在 Azure 门户中,导航到 Az ure Active Directory。
- 在 “ 管理” 下,导航到 “ 应用程序注册”。
- 选择已注册的应用程序(之前创建)。
- 在 Manage(管理)下,选择 Certificates & secrets(证书和密码)。
-
在 “ 客户端密钥” 下,单击 + 新建客户端密钥。
- 要添加客户端密钥,请为以下字段提供值:
- 描述:提供服务主体密钥的名称。
- 过期:根据需要选择到期时间。
- 单击添加。
-
在 “ 值 ” 列中禁用了客户端密钥。将密钥复制到剪贴板。这是您必须在 Citrix SD-WAN Orchestrator 服务中输入的客户端密钥。
注意在重新加载页面之前,请
复制并存储密钥值,因为之后它将不再显示。
执行以下步骤为身份验证目的分配适当的角色:
- 在 Azure 门户中,导航到创建虚拟 WAN 的 资源组 。
- 导航到 访问控制 (IAM)。
-
单击 + 添加 ,然后选择 添加角色分配。
-
要添加角色分配,请为以下字段提供值:
- 角色 -从下拉列表中选择所有者。此角色允许管理包括资源访问在内的所有内容。
- 分配访问权限 -选择 Azure AD 用户、组 或 服务主体。
- 选择 — 提供先前创建的已注册应用程序的名称,并在出现时选择相应的条目。
-
单击保存。
最后,你需要获取 Azure 帐户的订阅 ID。你可以通过在 Azure 门户中搜索订阅来识别你的订阅 ID 。
在 Citrix SD-WAN Orchestrator 服务中配置 Azure 虚拟广域网交付服务
Microsoft Azure 虚拟广域网和 Citrix SD-WAN 跨云工作负载提供简化的网络连接和集中管理。此服务提供分支设备的自动配置,以连接到 Azure Virtual WAN 并根据业务需求配置分支机构流量管理策略。
提供 Azure 服务主体 信息,将任何 Citrix SD-WAN 站点映射到 Azure 虚拟广域网。在将站点配置为 Azure 虚拟 WAN 服务之前,你需要在各自的 Azure 区域中使用站点到站点连接 Gateway 资源创建 Azure 虚拟 WAN 中心。在 Citrix SD-WAN 设备和 Azure 之间建立了站点到站点连接。
注意
只有在 Azure 门户中为你的订阅创建的虚拟 WAN 中心才会列出用于映射。
作为将 Citrix SD-WAN 分支映射到 Azure 虚拟广域网的一部分,分支站点需要与 Azure WAN 资源关联,才能使用预先选择的 IPsec IKE/IPsec 设置与 Azure 虚拟中心建立 IPsec 隧道。默认情况下,站点和 Azure 骨干路由是通过 BGP 学习的。当 Citrix SD-WAN 分支站点配置了多个 Internet WAN 链接时,会自动选择两个 WAN 链接以提供冗余。选择的 Citrix SD-WAN 软件必须支持在主 IPsec 和辅助 IPsec 隧道之间切换,这些通道从 11.1 版本开始受到支持。
注意
一个 Citrix SD-WAN 站点可以连接到相同或不同 Azure 区域中的多个 Azure 虚拟中心。
某些 Citrix SD-WAN 设备对可支持的 IPsec 隧道数量有资源限制。因此,如果不满足 Citrix SD-WAN 设备隧道计数限制,配置映射可能会失败。
以下是每个 SD-WAN 平台的 IPsec 隧道限制:
| SD-WAN 设备 | 支持 IPSec 隧道 |
|---|---|
| 4100, 5100, 6100 | 256 |
| 1100, 2100 | 128 |
| 110, 210, 410, 1000, 2000 | 8 |
必备条件
在 Citrix SD-WAN Orchestrator 服务中开始配置之前,请先执行以下先决条件:
- 完整设置 Azure 基础架构(带 Hub 的对等 VNet、用于自动化的注册应用程序等)
- 作为云托管服务获得 Citrix SD-WAN Orchestrator 服务的访问权限。确保使用已经通过正确的入门过程的 Citrix Cloud 帐户,否则身份验证将失败。
- 确保 Azure 订阅尚未与任何其他 Citrix SD-WAN Orchestrator 服务配置一起使用。
- 已部署 MCN 和分支机构 SD-WAN 节点,并确认互联网 WAN 上的虚拟路径链接类型。Citrix SD-WAN Orchestrator 服务通过配置过程自动启用内联网服务。
- 确保将分支 SD-WAN 节点设置为自动学习 Internet WAN 链接的公有 IP 地址。
执行以下操作以完成 Azure 虚拟 WAN 的配置并使用 SD-WAN 设备建立 IPsec 隧道:
-
在 Citrix SD-WAN Orchestrator 服务上,从客户级别导航到 交付渠道 > 带宽分配。为 Azure 虚拟 WAN 交付服务分配一定百分比的带宽(例如 20%)。您可能必须从任何其他交付服务(例如虚拟路径)中减去分配的百分比,以便分配的总百分比等于 100。
注意
提供 Azure 虚拟 WAN 服务的订阅带宽(以百分比为单位)。您可以在全局(所有站点 > 配置 > 传送渠道 > 带宽分配)和站点(站点> 站点配置 > WAN 链接 > 服务)级别预留订阅带宽。
或者,人们还可以为不同的站点分配不同的带宽。为此,请为所选站点执行链接特定配置。为此,请选择相应的 “ 站点” > “WAN 链接” 选项卡 > “服务 ” 部分。您可以通过为 服务带宽设置选择特定链路并分配所需的带宽 ,来覆盖全局带宽分配。
-
在客户层面,导航到 配置 > 交付渠道。在 SaaS 和云入口服务 部分中,单击 Azure 虚拟广域网 磁贴。屏幕上将显示 Azure 虚拟广域 网页面。
你也可以从 配置 > SaaS 和 Cloud On Ramp >Azure 虚拟广域网导航到 Azure 虚拟广域网页面。
-
在 Azure 虚拟 WAN 页面的右上角,单击 “ 身份验证 ” 链接。
-
提供在创建 Azure 服务主 体期间捕获的 Azure 订阅 ID、客户端 ID、客户端密钥和租户 ID。如果凭据不正确,则身份验证将失败,不允许采取进一步措施。单击保存。
身份验证成功后,必须将分支站点与 Azure 虚拟 WAN 资源关联以建立 IPsec 隧道。一个分支可以连接到 Azure 虚拟 WAN 资源中的多个集线器,一个 Azure 虚拟 WAN 资源可以连接到多个分支站点。
注意
您可以通过单击 “清除身份验证” 链接来 清除身份验证 设置。在删除身份验证之前,请务必删除站点映射。
-
成功进行 Azure 身份验证后,单击 “ 添加站点 ” 以添加站点。
注意
如果您尚未预留订阅带宽,则禁用 “ 添加站点 ” 选项。
-
提供以下详细信息:
-
按区域/自定义组筛选 -您可以选择全部或选择性区域/组。
-
选择站点 -您可以选择要映射的所有站点或选择性站点。
-
Azure 虚拟广域网 -从与订阅相关的下拉列表中选择 Azure 虚拟广域网。同一站点无法连接到多个 WAN。
-
Azure 集线器 -选择 Azure 集线器。仅列出具有 Azure 虚拟中心的 Azure 虚拟 WAN 进行映射。您可以添加连接到同一站点的多个集线器。
注意
Azure 虚拟 WAN 字段列出了已创建相应集线器的虚拟 WAN。
ALB 内部 IP -如果特定站点是 Azure VPX 并在高可用性 (HA) 模式下部署,则需要 Azure 负载平衡器 (ALB) IP 输入。否则,此字段是可选的。
-
-
单击保存
-
部署站点后,您可以看到以下信息:
下图描述了 Citrix SD-WAN Orchestrator 服务和 Azure 虚拟 WAN 连接的高级工作流程。
- 信息 -显示 Azure 虚拟 WAN 隧道配置详细信息和状态。
- 站点名称 -显示已部署的站点名称。
- 虚拟 WAN -显示相应站点映射到的 Azure 虚拟 WAN。
- 集线器 -显示集线器的数量。
- 状态 -使用完成消息显示不同的部署状态。如果站点已成功配置,则只能创建 IPSec 隧道。
- 操作 -您可以 编辑 或 删除 已配置的站点。
将 Citrix SD-WAN 站点映射到 Azure 虚拟 WAN 集线器可能需要一些时间,因为它涉及从 Azure 下载 IPsec 配置。 下载分支配置 后,分支映射状态显示为 “配置已下载”。建议在激活配置之前刷新站点状态以查看更新的状态。
成功配置站点后,您需要执行 “ 验证”、“暂 存” 和 “ 激活 ” 过程来创建 IPsec 隧道。
激活后,您可以通过导航到 “ 所有站点” > “报告” > “实时” > “统计” > “IPsec Tunnel”,选择所需的站点,然后单击 “检索最新数据” 来查看每个站点的隧道状态。如果未激活配置,则隧道信息将不可用。为了实现冗余,创建了两条隧道。
此外,你可以通过导航到 “ 所有站点” > “报告” > “实时” > “统计” > “路由”,选择所需的站点,然后单击 “ 检索最新数据” 来查看每个站点的 Azure Virtual WAN 路由。
在 Azure Virtual WAN 的初始配置期间,关联了 10.0.1.0/24 VNet,本地 SD-WAN 已学习此路由,并以 AzurevWanServic e 作为交付服务类型进入路由表。表示 动态 的类型和表示 BGP 的协议类型可以确定路由是通过 BGP 动态获知的。
在 Azure 门户中,可以在 Azure 虚拟广域网中心中监视成功部署的 VPN 站点。此外,您还可以找到本地 SD-WAN 设备学习的与集线器关联的地址空间。
选择任何连接的 VPN 站点将提供连接的 SD-WAN 的详细信息。包括终止 IPsec 隧道的公有 IP 地址/FQDN、私有 IP 地址空间和作为 SD-WAN 广域网接口 VIP 地址的 BGP 地址,更重要的是与集线器的速度和连接状态。
在 Azure 中,可以添加虚拟网络连接以通过连接 VNet 在 Azure 中提供可用资源。要完成此配置,请执行以下操作:
- 在 Azure 门户中,选择虚拟 WAN 资源。
- 在 “ 连接” 下,导航到 “ 虚拟网络连接”。
-
单击 + 添加连接。
-
要添加连接,请为以下字段指定值:
- 连接名称 — 输入新连接的名称。
- 集线器 — 从下拉列表中的可用集线器中进行选择。
- 订阅 — 从下拉列表中的可用订阅中进行选择。
- 资源组 -从部署虚拟 WAN 资源的下拉列表中选择资源组。
- 虚拟网络 -从下拉列表中的可用虚拟网络中进行选择。
-
单击创建。
随着新的 VNet 连接到中心,本地 SD-WAN 设备可以通过 BGP 动态学习新路由。要在 Citrix SD-WAN Orchestrator 服务中检索 SD-WAN 设备的最新路由表,请导航到 所有站点 > 报告 > 实时 > 统计信息 > 路由。选择所需的站点,然后单击 “ 检索最新数据”。
Citrix SD-WAN 部署的 VPN 站点可以通过前面提到的配置步骤访问在与 Azure 虚拟 WAN 中心对等的 VNet 中部署的资源。