Matt Conran

為了獲得競爭優(yōu)勢以及追上AWS和谷歌的創(chuàng)新步伐，微軟推出了一種新的虛擬廣域網(wǎng)（WAN）。當(dāng)前，微軟是唯一提供這種虛擬廣域網(wǎng)的公司。這使得我對這一技術(shù)的發(fā)展高潮與低谷感到非常好奇。為此我與TechVision Research首席咨詢分析師Sorell Slaymaker進行了探討。以下是我們探討內(nèi)容的摘要。

在開始之前，我們有必要先了解一下云連接。云連接一直在隨著時間而發(fā)展。云服務(wù)在大約十年前被引入，如果你是一家企業(yè)，那么你肯定會與那些云服務(wù)提供商發(fā)生過聯(lián)系。在過去的十年中，許多像Equinix這樣的提供商開始提供一些不限定運營商（即運營商中立）的配置。如今我們已經(jīng)可以在運營商中立的托管環(huán)境中選擇各種云服務(wù)企業(yè)。盡管如此，云連接仍然有存在著某些限制。

毫無疑問，運營商中立的主機托管具有許多優(yōu)勢。但是，即使有了這種靈活的增強型連接模型，大多數(shù)云服務(wù)企業(yè)的痛點仍然是網(wǎng)絡(luò)連接。因為網(wǎng)絡(luò)仍然存在著許多挑戰(zhàn)。首先，它們會導(dǎo)致用戶的速度放慢;其次，從安全角度來看，它們會導(dǎo)致用戶容易受到漏洞攻擊。

連接的轉(zhuǎn)型

我們現(xiàn)在進入了一個新階段，將云連接提高到一個新的水平。首先，云服務(wù)正在向企業(yè)靠近，而不是企業(yè)在向云服務(wù)靠近。那么，這種方式將把我們引向何處？

最終，我們將看到云服務(wù)提供商的消亡，在這種趨勢中連接性將直達企業(yè)。我們已經(jīng)看到AWS正在實施這種轉(zhuǎn)變。AWS現(xiàn)在允許企業(yè)在自己的私有數(shù)據(jù)中心中運行AWS基礎(chǔ)設(shè)施。這使得企業(yè)能夠?qū)⒏鞣NVPC連接在一起。

在這種范式下，云將在企業(yè)中與用戶相遇，而不再是企業(yè)進入云或是運營商中立的托管中心。這將從根本上改變電信環(huán)境，特別是線路的采購方式以及采購它們的人。

云連接

首先，讓我們回顧一下一些基本知識。與任何云相連的連接都可以通過互聯(lián)網(wǎng)或?qū)Ｓ弥苯舆B接來完成。由于互聯(lián)網(wǎng)是一個不受信任的公共網(wǎng)絡(luò)，因此這里將會創(chuàng)建一個IPsec隧道。雖然設(shè)置邏輯隧道既便捷又便宜，但是也存在一些缺點，例如安全性、正常運行時間、延遲、數(shù)據(jù)包丟失和抖動等等。

所有這些問題都會嚴重降低應(yīng)用程序的性能。這對于支持需要實時后端本地通信的敏感混合應(yīng)用程序來說至關(guān)重要。對于直接連接，大多數(shù)云服務(wù)提供商都擁有更加穩(wěn)定的解決方案，而不是僅僅單純地依靠互聯(lián)網(wǎng)。

例如，AWS開發(fā)出了一款名為AWS Direct Connect的產(chǎn)品，微軟則也推出了一款稱為Azure ExpressRoute的產(chǎn)品。這兩種產(chǎn)品都擁有相同的終極目標：云和本地端點連接不經(jīng)由互聯(lián)網(wǎng)。

通過微軟的Azure ExpressRoute，用戶可以獲得符合服務(wù)級協(xié)議（SLA）的專用連接。這個連接就像本地數(shù)據(jù)中心的自然擴展，與互聯(lián)網(wǎng)相比，其可提供更低的延遲、更高的吞吐量和更高的可靠性。不過微軟的這一機制也有一些缺點。

盡管ExpressRoute提供了專用連接，但是強制實施端到端QoS還是頗具挑戰(zhàn)性的。微軟標記數(shù)據(jù)包的方式有別于服務(wù)提供商根據(jù)其標準MPLS鏈接進行標記的方式。另一個挑戰(zhàn)是單獨的BGP域會導(dǎo)致缺乏有效的負載均衡。由于ExpressRoute不是端到端交付的，因此用戶基本上是在已有另一個可用的BGP域進行交叉連接或與服務(wù)提供商會面。

結(jié)果是，如果用戶想要執(zhí)行等價多路徑（ECMP）路由協(xié)議，那么故障轉(zhuǎn)移以及針對擁堵和配置的動態(tài)路由可能會變得異常復(fù)雜。這就需要進行改變。由于微軟已經(jīng)意識到了這一需求，因此他們正在努力推動ExpressRoute演變?yōu)椤?Azure虛擬廣域網(wǎng)”。正如用戶所期望的那樣，虛擬廣域網(wǎng)在軟件定義的連接期間可提供大規(guī)模的擴展。

虛擬廣域網(wǎng)能夠提供什么？

Azure虛擬廣域網(wǎng)將許多Azure云連接服務(wù)（例如站點到站點VPN和ExpressRoute）整合到了一個操作界面中。連接目前可以利用Azure主干來連接分支，并使用分支到VNet的連接。稍后，我們將詳細介紹這些新的連接選項。虛擬廣域網(wǎng)是專門為提供大規(guī)模站點到站點連接而設(shè)計的，旨在提供更為出色的吞吐量、可擴展性和易用性。

微軟擁有可連接至微軟虛擬網(wǎng)絡(luò)的虛擬廣域網(wǎng)。該網(wǎng)絡(luò)由50個國家/地區(qū)的130個連接組成，這使得云連接模型能夠更靠近邊緣。如果用戶使用的是Azure或Office 365，那么與進行全球回程相比，連接將變得更加緊密。微軟的主要目標是讓用戶的連接時間不超過30毫秒。

微軟還提供了一些可讓用戶獲得更高自由度的選項，因此用戶可以使用微軟全球骨干網(wǎng)作為自己的廣域網(wǎng)。如果遠程辦公室位于不同的地方，那么用戶只需向該國家/地區(qū)的微軟邊緣點提供本地線路。這樣就無需購買大型廣域網(wǎng)線路。

這就使得用戶擁有了一個全球廣域網(wǎng)，用戶也不必再為地區(qū)之間或地區(qū)內(nèi)的昂貴廣域網(wǎng)線路付費。

虛擬廣域網(wǎng)具有以下優(yōu)點：

·中心輻射型中的集成連接解決方案：用戶可以自動化本地站點和Azure中心之間的站點到站點配置和連接。

·自動化的輻條設(shè)置和配置：用戶可以將虛擬網(wǎng)絡(luò)和工作負載無縫連接到Azure中心。

·故障排除更為直觀：用戶可以查看Azure中的端到端流，然后在需要時使用這些信息采取行動。

合作伙伴和虛擬中心

通常，虛擬廣域網(wǎng)允許用戶連接和配置分支設(shè)備以與Azure進行通信。這一工作可以通過兩種方式完成，即可以手動完成，也可以使用虛擬廣域網(wǎng)合作伙伴提供的設(shè)備。

合作伙伴的設(shè)備讓使用變得更加便捷，連接變得更加簡潔，配置也變得更易于管理。從本地設(shè)備到虛擬中心的連接是自動建立的。從本質(zhì)上講，虛擬中心是一個由微軟管理的虛擬網(wǎng)絡(luò)。

全球傳輸網(wǎng)絡(luò)

通過在分布式VNet、站點、應(yīng)用程序和用戶之間實現(xiàn)無所不在的任意連接，虛擬廣域網(wǎng)為全球傳輸網(wǎng)絡(luò)架構(gòu)奠定了一個堅實的基礎(chǔ)。

在廣域網(wǎng)體系結(jié)構(gòu)中，Azure區(qū)域充當(dāng)中心，用戶可以選擇連接他們的分支機構(gòu)。在分支機構(gòu)被連接起來后，用戶可以利用Azure主干建立例如分支機構(gòu)到VNet和分支機構(gòu)到分支機構(gòu)的連接。

虛擬廣域網(wǎng)支持以下功能：全球傳輸連接路徑、分支到VNet、分支到分支、遠程用戶到VNet、遠程用戶到分支，以及通過使用虛擬網(wǎng)絡(luò)對等（VNet peering）和ExpressRoute global reach（全球到達）實現(xiàn)的VNet到VNet。

廣域網(wǎng)架構(gòu)

該架構(gòu)基于中心輻射型模型，其中微軟云托管網(wǎng)絡(luò)充當(dāng)中心。這實現(xiàn)了端點之間的傳輸連接，并且可以分布在不同類型的輻條狀分支上。

分支可以是VNet、物理分支站點、遠程用戶和互聯(lián)網(wǎng)。全球傳輸網(wǎng)絡(luò)架構(gòu)可通過中央網(wǎng)絡(luò)的中心實現(xiàn)任意對任意的連接。在很大程度上，這種架構(gòu)消除或減少了對構(gòu)建和維護復(fù)雜的全網(wǎng)格或部分網(wǎng)格連接模型的需求。

通過中心輻射型模型，網(wǎng)狀網(wǎng)絡(luò)中的路由控制更易于配置和維護。微軟任意對任意連接使具有全球分布的用戶、分支機構(gòu)、數(shù)據(jù)中心、VNet和應(yīng)用程序的企業(yè)可以通過微軟傳輸中心相互連接。本質(zhì)上，這個傳輸中心正在成為全球系統(tǒng)。

通常，用戶可以通過在輻條數(shù)量最多的區(qū)域內(nèi)創(chuàng)建一個獨立的虛擬廣域網(wǎng)中心的方式來創(chuàng)建一個虛擬廣域網(wǎng)。這些輻條可以表現(xiàn)為分支機構(gòu)、VNet和用戶。然后，用戶可以連接其他區(qū)域中心的輻條。如果輻條在地理位置上比較分散，那么用戶通過替代性設(shè)計也可以實例化區(qū)域中心以及這些中心的互連。這些中心可以是同一虛擬廣域網(wǎng)的組成部分，但是能夠與不同區(qū)域策略相關(guān)聯(lián)的中心才是最佳組成部分。

虛擬廣域網(wǎng)SD-WAN功能

目前，SD-WAN尚未被完全整合。作為整個虛擬廣域網(wǎng)產(chǎn)品的一部分，微軟提供的SD-WAN服務(wù)來自Citrix、GloudGenix等許多廠商。

在此模式下，用戶可以與Azure建立1G的連接，并且可在該位置中運行SD-WAN供應(yīng)商軟件。用戶還可以使用該軟件路由到其他Azure位置。鑒于用戶目前正在使用SD-WAN，因此他們可以在微軟虛擬廣域網(wǎng)上獲得所有SD-WAN服務(wù)，即繞過擁塞和性能低下的路線。這與僅繞開斷路由的傳統(tǒng)協(xié)議完全不同。

Citrix 廣域網(wǎng)優(yōu)化功能使得用戶能夠調(diào)整和配置廣域網(wǎng)，以獲得更多控制權(quán)，而不是單純地依賴基礎(chǔ)網(wǎng)絡(luò)。盡管Citrix在廣域網(wǎng)優(yōu)化方面具有很強的實力，但是他們還是建立在IPsec基礎(chǔ)之上的。因此其總體擴展情況最終將受制于IPsec的擴展限制。另一方面，包含了128種技術(shù)的SD-WAN并不是基于IPsec隧道，并且沒有經(jīng)常性支出。 因此與點對點的隧道相比，SD-WAN可以更加智能地以一對多方式路由流量。

關(guān)于廣域網(wǎng)骨干網(wǎng)的內(nèi)置安全性，微軟可根據(jù)用戶的選擇將連接性與安全性解決方案整合在一起。如果希望獲得更高的安全性，那么用戶可以對防火墻供應(yīng)商進行服務(wù)鏈化或是利用安全性代替SD-WAN服務(wù)。大多數(shù)SD-WAN播放器都內(nèi)置有第1層到第4層。與從Pao Alto等安全公司獲得的安全解決方案相比，它們沒有代理、第5層或更高的安全級別，但是用戶始終可以選擇服務(wù)鏈。

本文作者Matt Conran擁有超過19年的網(wǎng)絡(luò)行業(yè)從業(yè)經(jīng)驗，曾經(jīng)服務(wù)于多個初創(chuàng)企業(yè)和政府機構(gòu)。此外，他還作為高級架師參與了全球某大型服務(wù)提供商和數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)工作。

原文網(wǎng)址

https：//www.networkworld.com/article/3438357/a-virtual-wan-moving-closer-to-the-enterprise.html