Azure 虚拟广域网

Microsoft Azure 虚拟 WAN 和 Citrix SD-WAN 可以在混合云工作负载中提供简化的网络连接和集中化的管理。你可以自动配置分支设备以连接到 Azure Virtual WAN 中心,并根据业务需求配置分支机构流量管理策略。内置控制板界面提供了即时故障排除见解,可以节省时间,并提供大规模的站点到站点间连接的可见性。

使用 Microsoft Azure 虚拟 WAN,可以简化与 Azure 云工作负载的连接,并可在 Azure 主干网之间路由流量。Azure 在全球范围内提供了 54 多个区域和多个接入点。Azure 区域充当中心,你可以选择连接到分支机构。连接分支后,请通过 hub 到 hub 连接使用 Azure 云服务。你可以通过应用多个 Azure 服务来简化连接,包括使用 Azure VNet 的中心对等。中心充当分支机构的流量网关。

Microsoft Azure 虚拟 WAN 具有以下优点:

  • 集线器和辐射式集成连接解决方案 -自动执行内部部署和 Azure 中心之间的站点到站点连接和配置,包括互联合伙伴解决方案。

  • 自动设置和配置 — 将虚拟网络无缝连接到 Azure 中心。

  • 直观的故障排除 — 你可以看到 Azure 中的端到端流程,并使用此信息采取必要的操作。

中心到集线器的通信

从 11.1.0 版本开始,Azure 虚拟 WAN 支持使用标准类型方法进行集线器到集线器的通信。

Azure 虚拟 WAN 客户现在可以使用微软的全球骨干网络进行区域间集线器到集线器通信(全球交通网络架构)。这使分支到 Azure、Azure 骨干上的分支机构到分支机构以及分支到中心(在所有 Azure 区域中)进行通信。

只有在购买 Azure 虚拟 WAN 的标准 SKU 时,才能使用 Azure 的主干进行区域间通信。有关定价详细信息,请参阅虚拟 WAN 定价。使用基本 SKU,你不能使用 Azure 的主干进行区域间枢纽到集线器之间的通信。有关更多详细信息,请参阅全球交通网络架构和虚拟 WAN

集线器都在虚拟广域网中彼此连接。这意味着连接到本地集线器的分支机构、用户或 VNet 可以使用连接集线器的完整网格体系结构与另一个分支或 VNet 进行通信。

您还可以使用集线器到集线器连接框架,在通过虚拟中心过境的集线器内连接 VNet,并在集线器之间连接 VNet。

虚拟广域网有两种类型:

  • 基本:使用基本方法,集线器到集线器的通信在一个区域内进行。基本 WAN 类型有助于创建基本集线器(SKU = Basic)。基本中心仅限于站点到站点 VPN 功能。

  • 标准:使用标准方法,中心到集线器的通信在不同区域之间进行。标准广域网有助于创建标准中心(SKU = 标准)。标准中心包含 ExpressRoute、用户 VPN (P2S)、全网状中心和 VNet 到 VNet 通过集线器传输。

在微软 Azure 中创建 Azure 虚拟 WAN 服务

要创建 Azure 虚拟 WAN 资源,请执行以下步骤:

  1. 登录 Azure 门户,然后单击创建资源

创建资源

  1. 搜索虚拟广域网,然后单击创建

  2. 基本下,提供以下字段的值:

  • 订阅:从下拉列表中选择并提供订阅详细信息。

  • 资源组:选择现有资源组或创建新资源组。

    注意

    创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限对启用自动连接的 Azure 虚拟 WAN API 进行身份验证。

  • 资源组位置:从下拉列表中选择 Azure 区域。

  • 名称:提供新虚拟 WAN 的名称。
  • 类型:如果要在不同区域之间使用集线器到集线器通信,请选择标准类型,否则选择“基本”

    Azure 类型

  1. 单击查看 + 创建
  2. 查看您输入的创建虚拟广域网的详细信息,然后单击创建以完成虚拟 WAN 的创建。

资源的部署需要不到一分钟的时间。

注意

您可以从“基本”升级到标准版,但不能从“标准”恢复到“基本”。有关升级虚拟 WAN 的步骤,请参阅将虚拟 WAN 从基本升级到标准

在 Azure 虚拟 WAN 中创建中心

执行以下步骤创建集线器以启用来自各种不同端点(例如,本地 VPN 设备或 SD-WAN 设备)的连接:

  1. 选择之前创建的 Azure 虚拟 WAN。
  2. 连接部分下选择中心,然后单击 + 新中心

创建 HUB

  1. 基本下,提供以下字段的值:
  • 区域 — 从下拉列表中选择 Azure 区域。
  • 名称 — 输入新 Hub 的名称。
  • 集线器私有地址空间 — 在 CIDR 中输入地址范围。选择仅专用于集线器的唯一网络。
  1. 单击下一步:站点到站点 > 并提供以下字段的值:
  • 您想创建站点到站点(VPN Gateway)吗? — 选择
  • 网关比例单位 — 根据需要从下拉列表中选择比例单位。

    网关规模单元

  1. 单击查看 + 创建
  2. 查看设置,然后单击创建以开始创建虚拟中心。

资源的部署最多可能需要 30 分钟。

为 Azure 虚拟 WAN 创建服务主体并识别 ID

要使 SD-WAN Orchestrator 通过 Azure Virtual WAN API 进行身份验证并启用自动连接,必须创建注册的应用程序并使用以下身份验证凭据进行标识:

  • 订阅 ID
  • 客户端 ID
  • 客户端密钥
  • 租户编号

注意

创建服务主体以允许 Azure API 通信时,请确保使用包含虚拟 WAN 的同一资源组。否则,SD-WAN Orchestrator 将没有足够的权限对启用自动连接的 Azure 虚拟 WAN API 进行身份验证。

请执行以下步骤来创建新的应用程序注册:

  1. 在 Azure 门户中,导航到 Azure Active Directory
  2. 在管理下,选择应用程序注册
  3. 点击+ 新注册

新注册 Azure

  1. 为以下字段提供值以注册应用程序:
  • 名称 — 提供申请注册的名称。
  • 支持的帐户类型 — 选择仅在此组织目录中的帐户 (*-单租户) 选项。
  • 重定向 URI(可选) — 从下拉列表中选择 Web,然后输入随机的唯一 URL(例如 https://localhost: 4980)
  • 单击“注册”

    注册应用程序

    你可以复制并存储可在 SD-WAN Orchestrator 中使用的应用程序(客户端)ID目录(租户)ID,用于对 Azure 订阅进行身份验证,以便使用 API。

    客户端和租户 ID

    应用程序注册的下一步是为身份验证目的创建服务主体密钥。

    要创建服务主体密钥,请执行以下步骤:

    1. 在 Azure 门户中,导航到 Azure Active Directory
    2. 管理下,导航到应用程序注册
    3. 选择已注册的应用程序(之前创建)。
    4. 管理下,选择证书和密码
    5. 客户端密钥下,单击 + 新建客户端密钥

    新客户机密

    1. 要添加客户端密钥,请为以下字段提供值:
      • 说明:提供服务主体密钥的名称。
      • 过期:根据需要选择过期的持续时间。

    添加客户端密钥

    1. 单击“添加”
    2. 列中禁用了客户端保密。将密钥复制到剪贴板。这是您必须在 SD-WAN Orchestrator 中输入的客户端密钥。

    客户端密钥

    注意

    在重新加载页面之前复制并存储密钥值,因为之后将不再显示密钥值。

执行以下步骤为身份验证目的分配适当的角色:

  1. 在 Azure 门户中,导航到创建虚拟 WAN 的资源组
  2. 导航到访问控制 (IAM)
  3. 单击 + 添加,然后选择添加角色分配

添加角色分配

  1. 要添加角色分配,请为以下字段提供值:
  • 角色 — 从下拉列表中选择所有者。此角色允许管理包括资源访问在内的所有内容。
  • 将访问权限分配给 — 选择 Azure AD 用户、组服务主体
  • 选择 — 提供之前创建的注册应用程序的名称,然后在出现时选择相应的条目。
  1. 单击“保存”

添加角色分配 2

最后,你需要获取 Azure 帐户的订阅 ID。可以通过在 Azure 门户中搜索订阅来识别您的订阅 ID

订阅 ID

在 SD-WAN Orchestrator 中配置 Azure 虚拟 WAN 交付服务

Microsoft Azure 虚拟广域网和 Citrix SD-WAN 跨云工作负载提供简化的网络连接和集中管理。此服务提供分支设备的自动配置,以连接到 Azure Virtual WAN 并根据业务需求配置分支机构流量管理策略。

提供 Azure 服务主体信息以将任何 Citrix SD-WAN 站点映射到 Azure 虚拟 WAN。在将站点配置为 Azure 虚拟 WAN 服务之前,你需要在各自的 Azure 区域中使用站点到站点连接 Gateway 资源创建 Azure 虚拟 WAN 中心。在 Citrix SD-WAN 设备和 Azure 之间建立了站点到站点连接。

注意

只有在 Azure 门户中为你的订阅创建的虚拟 WAN 集线器才会列出进行映射。

作为将 Citrix SD-WAN 分支映射到 Azure 虚拟广域网的一部分,分支站点需要与 Azure WAN 资源关联,才能使用预先选择的 IPsec IKE/IPsec 设置与 Azure 虚拟中心建立 IPsec 隧道。默认情况下,站点和 Azure 骨干路由是通过 BGP 学习的。当 Citrix SD-WAN 分支站点配置了多个 Internet WAN 链接时,会自动选择两个 WAN 链接以提供冗余。选择的 Citrix SD-WAN 软件必须支持在主 IPsec 和辅助 IPsec 隧道之间切换,这些通道从 11.1 版本开始受到支持。

注意

一个 Citrix SD-WAN 站点可以连接到相同或不同 Azure 区域中的多个 Azure 虚拟中心。

某些 Citrix SD-WAN 设备对可支持的 IPsec 隧道数量有资源限制。因此,如果不满足 Citrix SD-WAN 设备隧道计数限制,配置映射可能会失败。

以下是每个 SD-WAN 平台的 IPsec 隧道限制:

SD-WAN 设备 支持 IPSec 隧道
4100, 5100, 6100 256
1100, 2100 128
110, 210, 410, 1000, 2000 8

必备条件

在 SD-WAN Orchestrator 中开始配置之前,请执行以下先决条件:

  • 完整设置 Azure 基础架构(带 Hub 的对等 VNet、用于自动化的注册应用程序等)
  • 作为云托管服务获取 SD-WAN Orchestrator 的访问权限。确保使用已经通过正确的入门过程的 Citrix Cloud 帐户,否则身份验证将失败。
  • 确保 Azure 订阅尚未与任何其他 Orchestrator 配置一起使用。
  • 已部署 MCN 和分支机构 SD-WAN 节点,并确认互联网 WAN 上的虚拟路径链接类型。Orchestrator 在配置过程中自动启用 Intranet 服务。
  • 确保将分支机构 SD-WAN 节点设置为自动了解 Internet WAN 链接的公有 IP 地址。

执行以下操作以完成 Azure 虚拟 WAN 的配置并使用 SD-WAN 设备建立 IPsec 隧道:

  1. 在 Citrix SD-WAN Orchestrator 中,选择所有站点,然后导航到交付服务 > 服务和带宽。为 Azure 虚拟 WAN 交付服务分配一定百分比的带宽(例如 20%)。您可能必须从任何其他交付服务(例如虚拟路径)中减去分配的百分比,以便分配的总百分比等于 100。

Azure 虚拟 WAN 服务

注意

为 Azure 虚拟 WAN 服务提供订阅带宽(百分比)。您可以在全局(所有站点 > 配置 > 交付服务 > 服务和带宽)和站点(站点 > 基本设置 > WAN 链接 > 服务)级别预留订阅带宽。

或者,人们还可以为不同的站点分配不同的带宽。为此,请为所选站点执行链接特定配置。为此,请选择相应的“站点”>“WAN 链接”选项卡 >“服务”部分。您可以通过为服务带宽设置选择特定链路并分配所需带宽来覆盖全局带宽分配。

服务带宽设置

  1. 单击 Azure 虚拟 WAN 旁边的设置选项以关联到 Azure 订阅。

Azure 虚拟 WAN 服务设置

  1. 提供创建 Azure 服务主体时之前捕获的 Azure 订阅 ID、客户端 ID、客户端密钥租户 ID。如果凭据不正确,则身份验证将失败,不允许采取进一步措施。单击“保存”

Azure 虚拟 WAN 服务

身份验证成功后,必须将分支站点与 Azure 虚拟 WAN 资源关联以建立 IPsec 隧道。一个分支可以连接到 Azure 虚拟 WAN 资源中的多个集线器,一个 Azure 虚拟 WAN 资源可以连接到多个分支站点。

  1. 成功进行 Azure 身份验证后,单击 + 站点以添加站点。

Azure 虚拟 WAN 添加站点

注意

如果您尚未预留订阅带宽,则“+ 站点”选项将被禁用。

  1. 提供以下详细信息:
  • Azure 虚拟 WAN -从与订阅关联的下拉列表中选择 Azure 虚拟 WAN。同一站点无法连接到多个 WAN。

  • Azure 中心 -选择 Azure 中心。仅列出具有 Azure 虚拟中心的 Azure 虚拟 WAN 进行映射。您可以添加连接到同一站点的多个集线器。

    注意

    Azure 虚拟 WAN 字段仅列出已创建相应中心的虚拟 WAN。

  • 选择区域/组 — 您可以选择全部或选择性地区/组。

  • 选择站点 — 您可以选择要映射的所有站点或选择性站点。

    Azure 虚拟 WAN 添加站点

  1. 单击“查看”

Azure 虚拟 WAN 添加站点

ALB 内部 IP — 如果特定站点是 Azure VPX 并在高可用性 (HA) 模式下部署,则需要 Azure 负载均衡器 (ALB) IP 输入。否则,此字段是可选的。

  1. 单击保存

  2. 部署站点后,您可以看到以下信息:

Azure 虚拟 WAN 站点详细信息

下图描述了 Orchestrator 和 Azure 虚拟 WAN 连接的高级工作流程。

虚拟 WAN 工作流

  • 信息 -显示 Azure 虚拟 WAN 隧道配置详细信息和状态。
  • 站点名称 — 显示已部署的站点名称。
  • 虚拟 WAN — 显示对应站点映射到的 Azure 虚拟 WAN。
  • 集线器 — 显示集线器的数量。
  • 状态 — 显示不同的部署状态以及最终的完成消息。如果站点已成功配置,则只能创建 IPSec 隧道。
  • 操作 — 您可以编辑删除已配置的站点。

Azure 虚拟部署的站点信息

Azure 虚拟部署的站点信息详情

将 Citrix SD-WAN 站点映射到 Azure 虚拟 WAN 集线器可能需要一些时间,因为它涉及从 Azure 下载 IPsec 配置。下载分支配置后,分支映射状态显示为已下载配置。建议在激活配置之前刷新站点状态以查看更新的状态。

成功配置站点后,您需要执行验证、暂存活动过程来创建 IPSec 隧道。

Azure 虚拟 WAN 验证配置

激活后,您可以通过导航至所有站点 > 报告 > 实时 > 统计信息 > IPsec 隧道,选择所需的站点,然后单击检索最新数据,查看每个站点的隧道状态。如果未激活配置,则隧道信息将不可用。为了实现冗余,创建了两条隧道。

检索最新数据

此外,可以通过导航至所有站点 > 报告 > 实时 > 统计信息 > 路由,选择所需的站点,然后单击检索最新数据,查看每个站点的 Azure Virtual WAN 的路由。

检索最新的数据 1

在 Azure 虚拟广域网的初始配置期间,与 10.0.1.0/24 VNet 相关联,本地 SD-WAN 已了解此路由,并将 AzurevwanService 作为交付服务类型进入路由表。表示动态和协议的类型,表示可以确定 BGP 是通过 BGP 动态学习路由的。

在 Azure 门户中,可以在 Azure 虚拟广域网中心中监视成功部署的 VPN 站点。此外,您还可以找到本地 SD-WAN 设备学习的与集线器关联的地址空间。

Azure VPN 站点

选择任何连接的 VPN 站点将提供连接的 SD-WAN 的详细信息。包括终止 IPsec 隧道的公有 IP 地址 /FQDN、私有 IP 地址空间和将作为 SD-WAN 的 WAN 接口 VIP 地址的 BGP 地址,更重要的是集线器的速度和连接状态。

连接状态

在 Azure 中,可以添加虚拟网络连接以通过连接 VNet 在 Azure 中提供可用资源。要完成此配置,请执行以下操作:

  1. 在 Azure 门户中,选择虚拟 WAN 资源。
  2. 连接下,导航到虚拟网络连接
  3. 单击 + 添加连接

虚拟网络连接

  1. 要添加连接,请为以下字段指定值:
  • 连接名称 — 输入新连接的名称。
  • Hubs — 从下拉列表中的可用中心中进行选择。
  • 订阅 — 从下拉列表中的可用订阅中进行选择。
  • 资源组 — 从部署虚拟 WAN 资源的下拉列表中选择资源组。
  • 虚拟网络 — 从下拉列表中的可用虚拟网络中进行选择。

    Azure 添加了连接

  1. 单击“创建”

虚拟网络连接创建

随着新的 VNet 连接到中心,本地 SD-WAN 设备可以通过 BGP 动态学习新路由。要在 Orchestrator 中检索 SD-WAN 设备的最新路由表,请导航到所有站点 > 报告 > 实时 > 统计信息 > 路由。选择所需的站点,然后单击检索最新数据

Azure 虚拟广域网统计

Citrix SD-WAN 部署的 VPN 站点可以通过前面提到的配置步骤访问在与 Azure 虚拟 WAN 中心对等的 VNet 中部署的资源。