連接分支機(jī)構(gòu)到云端有三種常見方式����。我們分析每種方式的優(yōu)缺點(diǎn)�。
許多企業(yè)正在執(zhí)行云服務(wù)優(yōu)先戰(zhàn)略,隨后是應(yīng)用現(xiàn)代化——包括SD-WAN技術(shù)����。采用云原生架構(gòu),使用容器化����、微服務(wù)或無服務(wù)器架構(gòu)如SD-WAN可以長期降低成本,提升可擴(kuò)展性�����,縮短開發(fā)周期,加快上市時(shí)間�。
下一個(gè)挑戰(zhàn)是確保分支機(jī)構(gòu)能夠訪問這個(gè)現(xiàn)已現(xiàn)代化、基于公有云的應(yīng)用�����。但如果仍有許多遺留應(yīng)用托管在私有云���,或者服務(wù)托管在第二��、第三公有云提供商中呢����?
隨著SD-WAN的普及以及越來越多的企業(yè)WAN從MPLS遷移到基于寬帶的底層����,業(yè)務(wù)關(guān)鍵流量現(xiàn)在通過盡力而為的公共互聯(lián)網(wǎng)連接而傳輸。這一向“云驅(qū)動(dòng)分支”的新轉(zhuǎn)變需要從企業(yè)架構(gòu)角度重新設(shè)計(jì)�。
一種選擇是將分支站點(diǎn)的云端流量帶回?cái)?shù)據(jù)中心,再向云端傳輸���,理想情況下通過私有連接���。這種方法效果不錯(cuò)��,但根據(jù)企業(yè)數(shù)據(jù)中心的地理位置�����,也可能引入發(fā)夾效應(yīng)�����,顯著增加延遲并降低應(yīng)用性能。第二種選擇是允許分支機(jī)構(gòu)直接與云端通信���。
實(shí)現(xiàn)這一點(diǎn)的方法多種多樣�,具體如下:
云網(wǎng)絡(luò)服務(wù)提供商VPN網(wǎng)關(guān)(AWS VPG���、Azure VNG�、Google Cloud VPN)
基于云網(wǎng)絡(luò)的SD-WAN(包括AWS Transit VPC�����、Azure虛擬廣域網(wǎng)��、Google Cloud NCC)
通過網(wǎng)絡(luò)即服務(wù)(恒訊科技虛擬邊緣)實(shí)現(xiàn)邊緣連接。
標(biāo)準(zhǔn)分支云端帶VPN隧道
讓我們考慮一家中型零售企業(yè)��,在美國各地?fù)碛?/span>40個(gè)分支機(jī)構(gòu)���,需要訪問托管在云端的銷售點(diǎn)/庫存管理平臺(tái)��。
一個(gè)快速且可靠的解決方案是利用云服務(wù)提供商提供的標(biāo)準(zhǔn)站點(diǎn)對(duì)站點(diǎn)VPN網(wǎng)關(guān)���。在AWS環(huán)境中,這意味著通過公共互聯(lián)網(wǎng)構(gòu)建IPsec隧道���,連接到一個(gè)虛擬私有云(VPC)的虛擬私有網(wǎng)關(guān)�。
這種設(shè)計(jì)的缺點(diǎn)是一對(duì)一規(guī)則��,Azure同樣適用��,因?yàn)樗鼈兊膶?duì)應(yīng)物(VPN網(wǎng)關(guān))也只能連接到單個(gè)VNet��。由于虛擬網(wǎng)絡(luò)僅限于一個(gè)網(wǎng)關(guān)��,這意味著如果企業(yè)構(gòu)建第二個(gè)虛擬網(wǎng)絡(luò)�����,就需要第二個(gè)VGW和通往所有40個(gè)分支站點(diǎn)的新IPsec隧道。
云服務(wù)提供商有最多數(shù)量的分支站點(diǎn)隧道��,這些隧道連接到一個(gè)VPN網(wǎng)關(guān)���。對(duì)于Azure��,在Gen High Spec VpnGw上���,這個(gè)數(shù)字是100,AWS是10(但可以申請(qǐng)?jiān)黾樱?/span>
網(wǎng)絡(luò)速度也有上限�����。一個(gè)常見的誤解是IPsec通道到云端的帶寬限制在1.25 Gbps——實(shí)際上�����,這正是網(wǎng)關(guān)的總吞吐量���。所以如果你配置40個(gè)分支站點(diǎn),它們會(huì)共享1.25 Gbps的帶寬�,導(dǎo)致每個(gè)站點(diǎn)的吞吐量只有30 Mbps,隨著站點(diǎn)的增加而下降�����。
還需要考慮的是,每個(gè)分支站點(diǎn)的流量將100%通過公共互聯(lián)網(wǎng)傳輸���,可能會(huì)面臨不可預(yù)測(cè)的抖動(dòng)���、丟包和延遲。由于云到分支站點(diǎn)的流量是通過公共互聯(lián)網(wǎng)傳輸?shù)?,因此將面臨更高的標(biāo)準(zhǔn)云服務(wù)提供商出口或數(shù)據(jù)傳輸(DTO)費(fèi)用,每從你的虛擬網(wǎng)絡(luò)流出一千兆位�,大約是8美分。
云托管SD-WAN邊緣
為了克服上述基于VPN隧道設(shè)計(jì)的挑戰(zhàn)����,云服務(wù)提供商和傳統(tǒng)網(wǎng)絡(luò)硬件廠商(如恒訊科技合作伙伴思科、帕洛阿爾托和福泰內(nèi)特)開發(fā)了能夠集成到企業(yè)SD-WAN中的解決方案����。
SD-WAN 是一種虛擬化 WAN 架構(gòu),利用 MPLS���、寬帶和 LTE 等底層傳輸方式的混合����,將分支站點(diǎn)連接到托管在私有云和公共云中的應(yīng)用程序。SD-WAN 的一個(gè)關(guān)鍵優(yōu)勢(shì)是控制和路由功能的集中化����,這些功能能夠通過覆蓋 WAN 引導(dǎo)流量路徑。
雖然存在細(xì)微差別��,但該架構(gòu)通過基礎(chǔ)設(shè)施即服務(wù)(IaaS)將SD-WAN結(jié)構(gòu)擴(kuò)展到公共云�,然后從云服務(wù)提供商的市場(chǎng)(BYOL,或自帶許可證)加載SD-WAN供應(yīng)商軟件�����。這使得部署速度極快�����,實(shí)現(xiàn)高度自動(dòng)化���,并通過SD-WAN廠商的管理控制臺(tái)簡化作。
讓我們先看看AWS中的基于IaaS的解決方案及其關(guān)鍵組件���。第一個(gè)是Transit VPC�����,它是所有分支站點(diǎn)流量的中央樞紐����,也是應(yīng)用虛擬專用云(VPC)的通道。
在“Connect”VPC中啟動(dòng)兩臺(tái)虛擬機(jī)����,然后加載SD-WAN廠商的映像,創(chuàng)建兩個(gè)虛擬路由器����,這些路由器可由Cisco Catalyst SD-WAN Manager、FortiManager或同等設(shè)備管理�。底層 AWS 虛擬機(jī)的按小時(shí)收費(fèi)取決于構(gòu)建過程中選擇的規(guī)格。
為了冗余����,建議每個(gè)分支站點(diǎn)都為每個(gè)虛擬路由器構(gòu)建隧道。使用類似BGP的路由協(xié)議��,應(yīng)用程序VPC中的私有子網(wǎng)會(huì)被廣播給虛擬路由器�����,虛擬路由器再將這些子網(wǎng)重新公告給40個(gè)分支站點(diǎn)。
隨著SD-WAN分支站點(diǎn)數(shù)量的增加��,可能需要額外的虛擬機(jī)(路由器)�����,因?yàn)橛捎谛枰罅康?/span>IPsec隧道加密/解密����,可能會(huì)存在CPU和帶寬的限制。
該SD-WAN方案仍使用公共互聯(lián)網(wǎng)�����,因此將收取標(biāo)準(zhǔn)的出口費(fèi)用���,但還有一個(gè)隱藏費(fèi)用需要注意����,即可能出現(xiàn)雙重出口費(fèi)用�����。由于北行連接使用互聯(lián)網(wǎng)IPsec隧道�����,每從應(yīng)用VPC流向Transit VPC的每GB傳輸��,都會(huì)收取費(fèi)用�。如果流量是發(fā)往分支站點(diǎn),那么當(dāng)流量向南離開Transit VPC時(shí)��,將額外按GB收取費(fèi)用�。實(shí)際上,客戶每獲得一個(gè)分支站點(diǎn)的 GB 地址就被收取雙重出入口費(fèi)用����。
根據(jù)工作負(fù)載和流量,基于IaaS的SD-WAN解決方案對(duì)許多企業(yè)來說效果極佳����。
讓我們來考慮當(dāng)引入第二個(gè)云服務(wù)提供商以避免供應(yīng)商鎖定、規(guī)劃業(yè)務(wù)連續(xù)性�����,或使用內(nèi)部運(yùn)行最佳的新應(yīng)用時(shí)會(huì)發(fā)生什么——例如Microsoft Azure�����。架構(gòu)變得更加復(fù)雜,因?yàn)楝F(xiàn)在所有40個(gè)分支站點(diǎn)都需要訪問AWS VPC和新的Azure VNet�����。
在Azure環(huán)境中��,會(huì)部署虛擬廣域網(wǎng)并創(chuàng)建虛擬樞紐VNet(在許多方面類似于AWS Transit VPC)���。同樣����,雙虛擬機(jī)會(huì)在這個(gè)樞紐中啟動(dòng)��,并加載SD-WAN軟件��,創(chuàng)建網(wǎng)絡(luò)虛擬設(shè)備(NVA)����。
現(xiàn)有分支站點(diǎn)通過IPsec隧道連接到Azure虛擬樞紐中的兩個(gè)NVA(除了已有的兩條AWS隧道外)。正如你從上面的圖中推斷的�����,這意味著現(xiàn)在有數(shù)百條IPsec隧道�����。
到目前為止,我們只考慮了分支到云流程中的多云�,但也可能有云到云連接的需求;一個(gè)例子可能是跨云數(shù)據(jù)復(fù)制��。
這里的選擇是將流量緊急化回本地?cái)?shù)據(jù)中心(這會(huì)帶來更高的延遲)���,或者在Azure虛擬樞紐和AWS Transit VPC之間建設(shè)新的IPsec隧道����,這當(dāng)然會(huì)產(chǎn)生互聯(lián)網(wǎng)出口費(fèi)用和隧道速度限制�。
云托管的SD-WAN支持恒訊科技虛擬邊緣
恒訊科技虛擬邊緣(MVE)結(jié)合私有二層云連接,解決了上述兩種解決方案中發(fā)現(xiàn)的許多痛點(diǎn)�����。
MVE通過賦予你戰(zhàn)略性構(gòu)建關(guān)鍵應(yīng)用的最佳路徑的能力��,增強(qiáng)你現(xiàn)有的企業(yè)SD-WAN平臺(tái)�,無論它們所在位置如何。本質(zhì)上���,MVE使企業(yè)能夠在幾分鐘內(nèi)搭建自己的虛擬連接中心����,并利用恒訊科技的全球軟件定義網(wǎng)絡(luò)(SDN)擴(kuò)大廣域網(wǎng)覆蓋范圍。
恒訊科技的每個(gè)MVE都會(huì)區(qū)至少包含兩個(gè)數(shù)據(jù)中心和可擴(kuò)展的恒訊科技互聯(lián)網(wǎng)選項(xiàng)�,支持MVE可用性區(qū)域,以實(shí)現(xiàn)端到端WAN彈性�����。全球共有120多個(gè)MVE地點(diǎn)可供選擇��。
讓我們深入了解MVE的核心要素和能力�。
通過將網(wǎng)絡(luò)功能虛擬化(NFV)與恒訊科技的私有軟件定義網(wǎng)絡(luò)集成,MVE實(shí)現(xiàn)了包括下一代防火墻(NGFW)����、軟件定義廣域網(wǎng)(SD-WAN)網(wǎng)關(guān)以及通過單一直觀平臺(tái)實(shí)現(xiàn)虛擬路由在內(nèi)的虛擬網(wǎng)絡(luò)功能。
恒訊科技MVE 支持多家行業(yè)領(lǐng)先供應(yīng)商
MVE通過恒訊科技門戶為用戶提供設(shè)備規(guī)模選擇����,從2個(gè)vCPU到32個(gè)vCPU設(shè)備不等,同時(shí)RAM和存儲(chǔ)會(huì)根據(jù)不同廠商和vCPU容量進(jìn)行優(yōu)化�����。
MVE在企業(yè)WAN結(jié)構(gòu)中可像普通SD-WAN設(shè)備一樣管理�,可通過Cisco Catalyst SD-WAN Manager�、FortiManager或類似設(shè)備進(jìn)行配置�����。
分支流量通過首英里本地互聯(lián)網(wǎng)到達(dá)MVE����,通常根據(jù)距離不同����,時(shí)間小于10毫秒。從那里���,MVE可以訪問全球恒訊科技架構(gòu)���,該網(wǎng)絡(luò)包括超過333個(gè) 公有云入口,支持私有二層連接(如AWS Direct Connect�����、Azure ExpressRoute����、Google Cloud Interconnect�����、Oracle Cloud等)�����。
工作原理
SD-WAN分支站點(diǎn)可以通過冗余的恒訊科技互聯(lián)網(wǎng)和恒訊科技提供的公共IP地址����,為MVE構(gòu)建IPsec附件�。分支流量到達(dá)MVE后�����,企業(yè)可以將分支站點(diǎn)流量集中到一個(gè)集中的MVE地點(diǎn)�����,快速將其從公共互聯(lián)網(wǎng)IPsec隧道中轉(zhuǎn)移���,并通過恒訊科技骨干網(wǎng)將流量重新路由到主要云服務(wù)提供商����,從而獲得多項(xiàng)好處。
優(yōu)點(diǎn)
應(yīng)用性能:此前通過公共互聯(lián)網(wǎng)訪問云端應(yīng)用的分支機(jī)構(gòu)將獲得性能提升?����,F(xiàn)在只有“第一英里”會(huì)穿越互聯(lián)網(wǎng)��,而大部分路徑將通過恒訊科技骨干網(wǎng)�,從而減少抖動(dòng)、延遲和丟包���。
訪問恒訊科技架構(gòu):MVE提供對(duì)恒訊科技生態(tài)系統(tǒng)的410+服務(wù)提供商和1000服務(wù)提供商的訪問 全球已啟用+數(shù)據(jù)中心,包括333個(gè) + 云端匝道——是所有中立的網(wǎng)絡(luò)即服務(wù)(NaaS)提供商中最多的��。
運(yùn)營支出減少:通過使用超大規(guī)模運(yùn)營商的私有連接而非互聯(lián)網(wǎng)IPsec隧道����,可以顯著降低出軌費(fèi)用。在北美���,這意味著平均每GB8美分降至約2美分�����。
網(wǎng)絡(luò)簡化:一個(gè)40個(gè)站點(diǎn)的IaaS解決方案示例�����,每個(gè)站點(diǎn)至少需要四個(gè)IPsec隧道�,也就是說至少需要160條隧道。這些設(shè)備每個(gè)都需要30個(gè)IP地址和鏈路狀態(tài)通知�,會(huì)在分支機(jī)構(gòu)和基于云的虛擬路由器中占用寶貴的CPU資源。通過轉(zhuǎn)向MVE���,企業(yè)可以大幅降低網(wǎng)絡(luò)架構(gòu)的復(fù)雜性�。
SD-WAN的效率:將您的SD-WAN平臺(tái)與MVE集成�,可以利用恒訊科技的虛擬交叉連接(VXC)在廣域網(wǎng)內(nèi)構(gòu)建戰(zhàn)略性的中英里運(yùn)輸。SD-WAN流量整形服務(wù)將立即利用這些更高效的端到端應(yīng)用流程路徑����。
點(diǎn)播:數(shù)據(jù)中心無需購買或安裝設(shè)備,也無需運(yùn)行交叉連接��。MVE(類似于IaaS解決方案)可以實(shí)時(shí)配置��,幾分鐘內(nèi)即可使用��。
云到云:最后����,由于MVE為AWS和Azure提供私有二層連接����,任何云到云的流量都可以利用這些私有連接�����,同時(shí)避免昂貴的IPsec隧道或回流到本地路由器的復(fù)雜流量�����。
SD-WAN的核心優(yōu)勢(shì)在于能夠塑造應(yīng)用流量���,并在多個(gè)WAN傳輸中進(jìn)行引導(dǎo)�����。將恒訊科技虛擬邊緣插入企業(yè)級(jí)WAN結(jié)構(gòu),可以讓你對(duì)WAN有更大的靈活性和控制權(quán)���,優(yōu)化應(yīng)用(而云托管的SD-WAN邊緣并不總是能實(shí)現(xiàn)這一點(diǎn))����。MVE還能幫你節(jié)省大量撤離費(fèi)用,同時(shí)簡化你的網(wǎng)絡(luò)���。
恒訊科技 可以在北美���、亞太和歐洲的 120 多個(gè)地點(diǎn)托管您的 SD-WAN 邊緣路由器虛擬實(shí)例。
云托管SD-WAN用于IaaS的隱藏成本可能因性能權(quán)衡�、架構(gòu)復(fù)雜性和高昂的撤離費(fèi)用而迅速累積。相比之下�,恒訊科技虛擬邊緣(MVE)提供了一種更簡單、更具成本效益且性能更高的替代方案��,能夠無縫集成領(lǐng)先的SD-WAN供應(yīng)商��。
MVE通過直接訪問恒訊科技的全球架構(gòu)�����、數(shù)百個(gè)云入口匝道以及超過1000個(gè)啟用的數(shù)據(jù)中心���,為企業(yè)提供了在多云環(huán)境中擴(kuò)展��、降低成本和優(yōu)化應(yīng)用性能的靈活性�����。
