Matt Conran

為了獲得競(jìng)爭(zhēng)優(yōu)勢(shì)以及追上AWS和谷歌的創(chuàng)新步伐，微軟推出了一種新的虛擬廣域網(wǎng)（WAN）。當(dāng)前，微軟是唯一提供這種虛擬廣域網(wǎng)的公司。這使得我對(duì)這一技術(shù)的發(fā)展高潮與低谷感到非常好奇。為此我與TechVision Research首席咨詢分析師Sorell Slaymaker進(jìn)行了探討。以下是我們探討內(nèi)容的摘要。

在開(kāi)始之前，我們有必要先了解一下云連接。云連接一直在隨著時(shí)間而發(fā)展。云服務(wù)在大約十年前被引入，如果你是一家企業(yè)，那么你肯定會(huì)與那些云服務(wù)提供商發(fā)生過(guò)聯(lián)系。在過(guò)去的十年中，許多像Equinix這樣的提供商開(kāi)始提供一些不限定運(yùn)營(yíng)商（即運(yùn)營(yíng)商中立）的配置。如今我們已經(jīng)可以在運(yùn)營(yíng)商中立的托管環(huán)境中選擇各種云服務(wù)企業(yè)。盡管如此，云連接仍然有存在著某些限制。

毫無(wú)疑問(wèn)，運(yùn)營(yíng)商中立的主機(jī)托管具有許多優(yōu)勢(shì)。但是，即使有了這種靈活的增強(qiáng)型連接模型，大多數(shù)云服務(wù)企業(yè)的痛點(diǎn)仍然是網(wǎng)絡(luò)連接。因?yàn)榫W(wǎng)絡(luò)仍然存在著許多挑戰(zhàn)。首先，它們會(huì)導(dǎo)致用戶的速度放慢;其次，從安全角度來(lái)看，它們會(huì)導(dǎo)致用戶容易受到漏洞攻擊。

連接的轉(zhuǎn)型

我們現(xiàn)在進(jìn)入了一個(gè)新階段，將云連接提高到一個(gè)新的水平。首先，云服務(wù)正在向企業(yè)靠近，而不是企業(yè)在向云服務(wù)靠近。那么，這種方式將把我們引向何處？

最終，我們將看到云服務(wù)提供商的消亡，在這種趨勢(shì)中連接性將直達(dá)企業(yè)。我們已經(jīng)看到AWS正在實(shí)施這種轉(zhuǎn)變。AWS現(xiàn)在允許企業(yè)在自己的私有數(shù)據(jù)中心中運(yùn)行AWS基礎(chǔ)設(shè)施。這使得企業(yè)能夠?qū)⒏鞣NVPC連接在一起。

在這種范式下，云將在企業(yè)中與用戶相遇，而不再是企業(yè)進(jìn)入云或是運(yùn)營(yíng)商中立的托管中心。這將從根本上改變電信環(huán)境，特別是線路的采購(gòu)方式以及采購(gòu)它們的人。

云連接

首先，讓我們回顧一下一些基本知識(shí)。與任何云相連的連接都可以通過(guò)互聯(lián)網(wǎng)或?qū)Ｓ弥苯舆B接來(lái)完成。由于互聯(lián)網(wǎng)是一個(gè)不受信任的公共網(wǎng)絡(luò)，因此這里將會(huì)創(chuàng)建一個(gè)IPsec隧道。雖然設(shè)置邏輯隧道既便捷又便宜，但是也存在一些缺點(diǎn)，例如安全性、正常運(yùn)行時(shí)間、延遲、數(shù)據(jù)包丟失和抖動(dòng)等等。

所有這些問(wèn)題都會(huì)嚴(yán)重降低應(yīng)用程序的性能。這對(duì)于支持需要實(shí)時(shí)后端本地通信的敏感混合應(yīng)用程序來(lái)說(shuō)至關(guān)重要。對(duì)于直接連接，大多數(shù)云服務(wù)提供商都擁有更加穩(wěn)定的解決方案，而不是僅僅單純地依靠互聯(lián)網(wǎng)。

例如，AWS開(kāi)發(fā)出了一款名為AWS Direct Connect的產(chǎn)品，微軟則也推出了一款稱為Azure ExpressRoute的產(chǎn)品。這兩種產(chǎn)品都擁有相同的終極目標(biāo)：云和本地端點(diǎn)連接不經(jīng)由互聯(lián)網(wǎng)。

通過(guò)微軟的Azure ExpressRoute，用戶可以獲得符合服務(wù)級(jí)協(xié)議（SLA）的專用連接。這個(gè)連接就像本地?cái)?shù)據(jù)中心的自然擴(kuò)展，與互聯(lián)網(wǎng)相比，其可提供更低的延遲、更高的吞吐量和更高的可靠性。不過(guò)微軟的這一機(jī)制也有一些缺點(diǎn)。

盡管ExpressRoute提供了專用連接，但是強(qiáng)制實(shí)施端到端QoS還是頗具挑戰(zhàn)性的。微軟標(biāo)記數(shù)據(jù)包的方式有別于服務(wù)提供商根據(jù)其標(biāo)準(zhǔn)MPLS鏈接進(jìn)行標(biāo)記的方式。另一個(gè)挑戰(zhàn)是單獨(dú)的BGP域會(huì)導(dǎo)致缺乏有效的負(fù)載均衡。由于ExpressRoute不是端到端交付的，因此用戶基本上是在已有另一個(gè)可用的BGP域進(jìn)行交叉連接或與服務(wù)提供商會(huì)面。

結(jié)果是，如果用戶想要執(zhí)行等價(jià)多路徑（ECMP）路由協(xié)議，那么故障轉(zhuǎn)移以及針對(duì)擁堵和配置的動(dòng)態(tài)路由可能會(huì)變得異常復(fù)雜。這就需要進(jìn)行改變。由于微軟已經(jīng)意識(shí)到了這一需求，因此他們正在努力推動(dòng)ExpressRoute演變?yōu)椤?Azure虛擬廣域網(wǎng)”。正如用戶所期望的那樣，虛擬廣域網(wǎng)在軟件定義的連接期間可提供大規(guī)模的擴(kuò)展。

虛擬廣域網(wǎng)能夠提供什么？

Azure虛擬廣域網(wǎng)將許多Azure云連接服務(wù)（例如站點(diǎn)到站點(diǎn)VPN和ExpressRoute）整合到了一個(gè)操作界面中。連接目前可以利用Azure主干來(lái)連接分支，并使用分支到VNet的連接。稍后，我們將詳細(xì)介紹這些新的連接選項(xiàng)。虛擬廣域網(wǎng)是專門為提供大規(guī)模站點(diǎn)到站點(diǎn)連接而設(shè)計(jì)的，旨在提供更為出色的吞吐量、可擴(kuò)展性和易用性。

微軟擁有可連接至微軟虛擬網(wǎng)絡(luò)的虛擬廣域網(wǎng)。該網(wǎng)絡(luò)由50個(gè)國(guó)家/地區(qū)的130個(gè)連接組成，這使得云連接模型能夠更靠近邊緣。如果用戶使用的是Azure或Office 365，那么與進(jìn)行全球回程相比，連接將變得更加緊密。微軟的主要目標(biāo)是讓用戶的連接時(shí)間不超過(guò)30毫秒。

微軟還提供了一些可讓用戶獲得更高自由度的選項(xiàng)，因此用戶可以使用微軟全球骨干網(wǎng)作為自己的廣域網(wǎng)。如果遠(yuǎn)程辦公室位于不同的地方，那么用戶只需向該國(guó)家/地區(qū)的微軟邊緣點(diǎn)提供本地線路。這樣就無(wú)需購(gòu)買大型廣域網(wǎng)線路。

這就使得用戶擁有了一個(gè)全球廣域網(wǎng)，用戶也不必再為地區(qū)之間或地區(qū)內(nèi)的昂貴廣域網(wǎng)線路付費(fèi)。

虛擬廣域網(wǎng)具有以下優(yōu)點(diǎn)：

·中心輻射型中的集成連接解決方案：用戶可以自動(dòng)化本地站點(diǎn)和Azure中心之間的站點(diǎn)到站點(diǎn)配置和連接。

·自動(dòng)化的輻條設(shè)置和配置：用戶可以將虛擬網(wǎng)絡(luò)和工作負(fù)載無(wú)縫連接到Azure中心。

·故障排除更為直觀：用戶可以查看Azure中的端到端流，然后在需要時(shí)使用這些信息采取行動(dòng)。

合作伙伴和虛擬中心

通常，虛擬廣域網(wǎng)允許用戶連接和配置分支設(shè)備以與Azure進(jìn)行通信。這一工作可以通過(guò)兩種方式完成，即可以手動(dòng)完成，也可以使用虛擬廣域網(wǎng)合作伙伴提供的設(shè)備。

合作伙伴的設(shè)備讓使用變得更加便捷，連接變得更加簡(jiǎn)潔，配置也變得更易于管理。從本地設(shè)備到虛擬中心的連接是自動(dòng)建立的。從本質(zhì)上講，虛擬中心是一個(gè)由微軟管理的虛擬網(wǎng)絡(luò)。

全球傳輸網(wǎng)絡(luò)

通過(guò)在分布式VNet、站點(diǎn)、應(yīng)用程序和用戶之間實(shí)現(xiàn)無(wú)所不在的任意連接，虛擬廣域網(wǎng)為全球傳輸網(wǎng)絡(luò)架構(gòu)奠定了一個(gè)堅(jiān)實(shí)的基礎(chǔ)。

在廣域網(wǎng)體系結(jié)構(gòu)中，Azure區(qū)域充當(dāng)中心，用戶可以選擇連接他們的分支機(jī)構(gòu)。在分支機(jī)構(gòu)被連接起來(lái)后，用戶可以利用Azure主干建立例如分支機(jī)構(gòu)到VNet和分支機(jī)構(gòu)到分支機(jī)構(gòu)的連接。

虛擬廣域網(wǎng)支持以下功能：全球傳輸連接路徑、分支到VNet、分支到分支、遠(yuǎn)程用戶到VNet、遠(yuǎn)程用戶到分支，以及通過(guò)使用虛擬網(wǎng)絡(luò)對(duì)等（VNet peering）和ExpressRoute global reach（全球到達(dá)）實(shí)現(xiàn)的VNet到VNet。

廣域網(wǎng)架構(gòu)

該架構(gòu)基于中心輻射型模型，其中微軟云托管網(wǎng)絡(luò)充當(dāng)中心。這實(shí)現(xiàn)了端點(diǎn)之間的傳輸連接，并且可以分布在不同類型的輻條狀分支上。

分支可以是VNet、物理分支站點(diǎn)、遠(yuǎn)程用戶和互聯(lián)網(wǎng)。全球傳輸網(wǎng)絡(luò)架構(gòu)可通過(guò)中央網(wǎng)絡(luò)的中心實(shí)現(xiàn)任意對(duì)任意的連接。在很大程度上，這種架構(gòu)消除或減少了對(duì)構(gòu)建和維護(hù)復(fù)雜的全網(wǎng)格或部分網(wǎng)格連接模型的需求。

通過(guò)中心輻射型模型，網(wǎng)狀網(wǎng)絡(luò)中的路由控制更易于配置和維護(hù)。微軟任意對(duì)任意連接使具有全球分布的用戶、分支機(jī)構(gòu)、數(shù)據(jù)中心、VNet和應(yīng)用程序的企業(yè)可以通過(guò)微軟傳輸中心相互連接。本質(zhì)上，這個(gè)傳輸中心正在成為全球系統(tǒng)。

通常，用戶可以通過(guò)在輻條數(shù)量最多的區(qū)域內(nèi)創(chuàng)建一個(gè)獨(dú)立的虛擬廣域網(wǎng)中心的方式來(lái)創(chuàng)建一個(gè)虛擬廣域網(wǎng)。這些輻條可以表現(xiàn)為分支機(jī)構(gòu)、VNet和用戶。然后，用戶可以連接其他區(qū)域中心的輻條。如果輻條在地理位置上比較分散，那么用戶通過(guò)替代性設(shè)計(jì)也可以實(shí)例化區(qū)域中心以及這些中心的互連。這些中心可以是同一虛擬廣域網(wǎng)的組成部分，但是能夠與不同區(qū)域策略相關(guān)聯(lián)的中心才是最佳組成部分。

虛擬廣域網(wǎng)SD-WAN功能

目前，SD-WAN尚未被完全整合。作為整個(gè)虛擬廣域網(wǎng)產(chǎn)品的一部分，微軟提供的SD-WAN服務(wù)來(lái)自Citrix、GloudGenix等許多廠商。

在此模式下，用戶可以與Azure建立1G的連接，并且可在該位置中運(yùn)行SD-WAN供應(yīng)商軟件。用戶還可以使用該軟件路由到其他Azure位置。鑒于用戶目前正在使用SD-WAN，因此他們可以在微軟虛擬廣域網(wǎng)上獲得所有SD-WAN服務(wù)，即繞過(guò)擁塞和性能低下的路線。這與僅繞開(kāi)斷路由的傳統(tǒng)協(xié)議完全不同。

Citrix 廣域網(wǎng)優(yōu)化功能使得用戶能夠調(diào)整和配置廣域網(wǎng)，以獲得更多控制權(quán)，而不是單純地依賴基礎(chǔ)網(wǎng)絡(luò)。盡管Citrix在廣域網(wǎng)優(yōu)化方面具有很強(qiáng)的實(shí)力，但是他們還是建立在IPsec基礎(chǔ)之上的。因此其總體擴(kuò)展情況最終將受制于IPsec的擴(kuò)展限制。另一方面，包含了128種技術(shù)的SD-WAN并不是基于IPsec隧道，并且沒(méi)有經(jīng)常性支出。 因此與點(diǎn)對(duì)點(diǎn)的隧道相比，SD-WAN可以更加智能地以一對(duì)多方式路由流量。

關(guān)于廣域網(wǎng)骨干網(wǎng)的內(nèi)置安全性，微軟可根據(jù)用戶的選擇將連接性與安全性解決方案整合在一起。如果希望獲得更高的安全性，那么用戶可以對(duì)防火墻供應(yīng)商進(jìn)行服務(wù)鏈化或是利用安全性代替SD-WAN服務(wù)。大多數(shù)SD-WAN播放器都內(nèi)置有第1層到第4層。與從Pao Alto等安全公司獲得的安全解決方案相比，它們沒(méi)有代理、第5層或更高的安全級(jí)別，但是用戶始終可以選擇服務(wù)鏈。

本文作者M(jìn)att Conran擁有超過(guò)19年的網(wǎng)絡(luò)行業(yè)從業(yè)經(jīng)驗(yàn)，曾經(jīng)服務(wù)于多個(gè)初創(chuàng)企業(yè)和政府機(jī)構(gòu)。此外，他還作為高級(jí)架師參與了全球某大型服務(wù)提供商和數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)工作。

原文網(wǎng)址

https：//www.networkworld.com/article/3438357/a-virtual-wan-moving-closer-to-the-enterprise.html