虛擬廣域網離企業已越來越近

Matt Conran

為了獲得競爭優勢以及追上AWS和谷歌的創新步伐，微軟推出了一種新的虛擬廣域網（WAN）。當前，微軟是唯一提供這種虛擬廣域網的公司。這使得我對這一技術的發展高潮與低谷感到非常好奇。為此我與TechVision Research首席咨詢分析師Sorell Slaymaker進行了探討。以下是我們探討內容的摘要。

在開始之前，我們有必要先了解一下云連接。云連接一直在隨著時間而發展。云服務在大約十年前被引入，如果你是一家企業，那么你肯定會與那些云服務提供商發生過聯系。在過去的十年中，許多像Equinix這樣的提供商開始提供一些不限定運營商（即運營商中立）的配置。如今我們已經可以在運營商中立的托管環境中選擇各種云服務企業。盡管如此，云連接仍然有存在著某些限制。

毫無疑問，運營商中立的主機托管具有許多優勢。但是，即使有了這種靈活的增強型連接模型，大多數云服務企業的痛點仍然是網絡連接。因為網絡仍然存在著許多挑戰。首先，它們會導致用戶的速度放慢;其次，從安全角度來看，它們會導致用戶容易受到漏洞攻擊。

連接的轉型

我們現在進入了一個新階段，將云連接提高到一個新的水平。首先，云服務正在向企業靠近，而不是企業在向云服務靠近。那么，這種方式將把我們引向何處？

最終，我們將看到云服務提供商的消亡，在這種趨勢中連接性將直達企業。我們已經看到AWS正在實施這種轉變。AWS現在允許企業在自己的私有數據中心中運行AWS基礎設施。這使得企業能夠將各種VPC連接在一起。

在這種范式下，云將在企業中與用戶相遇，而不再是企業進入云或是運營商中立的托管中心。這將從根本上改變電信環境，特別是線路的采購方式以及采購它們的人。

云連接

首先，讓我們回顧一下一些基本知識。與任何云相連的連接都可以通過互聯網或專用直接連接來完成。由于互聯網是一個不受信任的公共網絡，因此這里將會創建一個IPsec隧道。雖然設置邏輯隧道既便捷又便宜，但是也存在一些缺點，例如安全性、正常運行時間、延遲、數據包丟失和抖動等等。

所有這些問題都會嚴重降低應用程序的性能。這對于支持需要實時后端本地通信的敏感混合應用程序來說至關重要。對于直接連接，大多數云服務提供商都擁有更加穩定的解決方案，而不是僅僅單純地依靠互聯網。

例如，AWS開發出了一款名為AWS Direct Connect的產品，微軟則也推出了一款稱為Azure ExpressRoute的產品。這兩種產品都擁有相同的終極目標：云和本地端點連接不經由互聯網。

通過微軟的Azure ExpressRoute，用戶可以獲得符合服務級協議（SLA）的專用連接。這個連接就像本地數據中心的自然擴展，與互聯網相比，其可提供更低的延遲、更高的吞吐量和更高的可靠性。不過微軟的這一機制也有一些缺點。

盡管ExpressRoute提供了專用連接，但是強制實施端到端QoS還是頗具挑戰性的。微軟標記數據包的方式有別于服務提供商根據其標準MPLS鏈接進行標記的方式。另一個挑戰是單獨的BGP域會導致缺乏有效的負載均衡。由于ExpressRoute不是端到端交付的，因此用戶基本上是在已有另一個可用的BGP域進行交叉連接或與服務提供商會面。

結果是，如果用戶想要執行等價多路徑（ECMP）路由協議，那么故障轉移以及針對擁堵和配置的動態路由可能會變得異常復雜。這就需要進行改變。由于微軟已經意識到了這一需求，因此他們正在努力推動ExpressRoute演變為“ Azure虛擬廣域網”。正如用戶所期望的那樣，虛擬廣域網在軟件定義的連接期間可提供大規模的擴展。

虛擬廣域網能夠提供什么？

Azure虛擬廣域網將許多Azure云連接服務（例如站點到站點VPN和ExpressRoute）整合到了一個操作界面中。連接目前可以利用Azure主干來連接分支，并使用分支到VNet的連接。稍后，我們將詳細介紹這些新的連接選項。虛擬廣域網是專門為提供大規模站點到站點連接而設計的，旨在提供更為出色的吞吐量、可擴展性和易用性。

微軟擁有可連接至微軟虛擬網絡的虛擬廣域網。該網絡由50個國家/地區的130個連接組成，這使得云連接模型能夠更靠近邊緣。如果用戶使用的是Azure或Office 365，那么與進行全球回程相比，連接將變得更加緊密。微軟的主要目標是讓用戶的連接時間不超過30毫秒。

微軟還提供了一些可讓用戶獲得更高自由度的選項，因此用戶可以使用微軟全球骨干網作為自己的廣域網。如果遠程辦公室位于不同的地方，那么用戶只需向該國家/地區的微軟邊緣點提供本地線路。這樣就無需購買大型廣域網線路。

這就使得用戶擁有了一個全球廣域網，用戶也不必再為地區之間或地區內的昂貴廣域網線路付費。

虛擬廣域網具有以下優點：

·中心輻射型中的集成連接解決方案：用戶可以自動化本地站點和Azure中心之間的站點到站點配置和連接。

·自動化的輻條設置和配置：用戶可以將虛擬網絡和工作負載無縫連接到Azure中心。

·故障排除更為直觀：用戶可以查看Azure中的端到端流，然后在需要時使用這些信息采取行動。

合作伙伴和虛擬中心

通常，虛擬廣域網允許用戶連接和配置分支設備以與Azure進行通信。這一工作可以通過兩種方式完成，即可以手動完成，也可以使用虛擬廣域網合作伙伴提供的設備。

合作伙伴的設備讓使用變得更加便捷，連接變得更加簡潔，配置也變得更易于管理。從本地設備到虛擬中心的連接是自動建立的。從本質上講，虛擬中心是一個由微軟管理的虛擬網絡。

全球傳輸網絡

通過在分布式VNet、站點、應用程序和用戶之間實現無所不在的任意連接，虛擬廣域網為全球傳輸網絡架構奠定了一個堅實的基礎。

在廣域網體系結構中，Azure區域充當中心，用戶可以選擇連接他們的分支機構。在分支機構被連接起來后，用戶可以利用Azure主干建立例如分支機構到VNet和分支機構到分支機構的連接。

虛擬廣域網支持以下功能：全球傳輸連接路徑、分支到VNet、分支到分支、遠程用戶到VNet、遠程用戶到分支，以及通過使用虛擬網絡對等（VNet peering）和ExpressRoute global reach（全球到達）實現的VNet到VNet。

廣域網架構

該架構基于中心輻射型模型，其中微軟云托管網絡充當中心。這實現了端點之間的傳輸連接，并且可以分布在不同類型的輻條狀分支上。

分支可以是VNet、物理分支站點、遠程用戶和互聯網。全球傳輸網絡架構可通過中央網絡的中心實現任意對任意的連接。在很大程度上，這種架構消除或減少了對構建和維護復雜的全網格或部分網格連接模型的需求。

通過中心輻射型模型，網狀網絡中的路由控制更易于配置和維護。微軟任意對任意連接使具有全球分布的用戶、分支機構、數據中心、VNet和應用程序的企業可以通過微軟傳輸中心相互連接。本質上，這個傳輸中心正在成為全球系統。

通常，用戶可以通過在輻條數量最多的區域內創建一個獨立的虛擬廣域網中心的方式來創建一個虛擬廣域網。這些輻條可以表現為分支機構、VNet和用戶。然后，用戶可以連接其他區域中心的輻條。如果輻條在地理位置上比較分散，那么用戶通過替代性設計也可以實例化區域中心以及這些中心的互連。這些中心可以是同一虛擬廣域網的組成部分，但是能夠與不同區域策略相關聯的中心才是最佳組成部分。

虛擬廣域網SD-WAN功能

目前，SD-WAN尚未被完全整合。作為整個虛擬廣域網產品的一部分，微軟提供的SD-WAN服務來自Citrix、GloudGenix等許多廠商。

在此模式下，用戶可以與Azure建立1G的連接，并且可在該位置中運行SD-WAN供應商軟件。用戶還可以使用該軟件路由到其他Azure位置。鑒于用戶目前正在使用SD-WAN，因此他們可以在微軟虛擬廣域網上獲得所有SD-WAN服務，即繞過擁塞和性能低下的路線。這與僅繞開斷路由的傳統協議完全不同。

Citrix 廣域網優化功能使得用戶能夠調整和配置廣域網，以獲得更多控制權，而不是單純地依賴基礎網絡。盡管Citrix在廣域網優化方面具有很強的實力，但是他們還是建立在IPsec基礎之上的。因此其總體擴展情況最終將受制于IPsec的擴展限制。另一方面，包含了128種技術的SD-WAN并不是基于IPsec隧道，并且沒有經常性支出。 因此與點對點的隧道相比，SD-WAN可以更加智能地以一對多方式路由流量。

關于廣域網骨干網的內置安全性，微軟可根據用戶的選擇將連接性與安全性解決方案整合在一起。如果希望獲得更高的安全性，那么用戶可以對防火墻供應商進行服務鏈化或是利用安全性代替SD-WAN服務。大多數SD-WAN播放器都內置有第1層到第4層。與從Pao Alto等安全公司獲得的安全解決方案相比，它們沒有代理、第5層或更高的安全級別，但是用戶始終可以選擇服務鏈。

本文作者Matt Conran擁有超過19年的網絡行業從業經驗，曾經服務于多個初創企業和政府機構。此外，他還作為高級架師參與了全球某大型服務提供商和數據中心網絡的建設工作。

原文網址

https：//www.networkworld.com/article/3438357/a-virtual-wan-moving-closer-to-the-enterprise.html