跳至内容

使用SD-WAN优化分支机构对云工作负载的访问

Network Edge通过建立与所有主要云提供商单跳邻接的云入口,简化了连接。只需一个 SD-WAN 虚拟设备,即可使用一致的架构无缝连接多个云环境。

随着SD-WAN被采用来为企业网络提供规模、简单性和敏捷性,同样的原则也需要用于将连接扩展到云中。虽然虚拟SD-WAN设备可以部署在云中,但在每个地区的每个云中复制部署会有规模和成本问题。使这个问题更加复杂的是,需要了解每个云的架构和网络考虑,以有效地设置设备。

Network Edge通过建立一个与所有主要云供应商的单跳邻接的云通道,简化了连接。通过一个虚拟设备,多个云环境可以无缝连接,使用相同的一致架构。这种方法提供了云的主要好处(在上市时间和部署的便利性方面),但有一个关键的区别:它将基础网络保持在云之外。这使你能够为所有的云流量创建一个单一的控制点,无论是广域网和云之间的南北向,还是云之间的东西向。

Architecture

本参考架构中的云上行部署利用了一个SD-WAN网络边缘设备,连接到三个不同的CSP,以及一个网络服务提供商(NSP)的WAN连接。

所有这些不同环境(CSP 和 NSP)之间的通信是通过 Equinix Fabric 上的私有连接来促进的。建立连接的输入和选项在云服务提供商之间有所不同,但每个 CSP 都有详细的记录。

网络服务提供商的连接可以通过软件定义的互连(针对特定的合作伙伴)或使用自带连接(BYOC)工作流程的物理交接来实现。关于这两种方式的更多细节将在本文件的最后提供。

SD-WAN设备负责广域网一侧的叠加SD-WAN结构的终止,以及不同云环境之间的底层路由。

Equinix 组件

  • Equinix Fabric – Equinix Fabric是一个交换平台,为 Fabric 上的众多提供商提供私有连接。Fabric 使用软件定义网络在 Fabric 上配置虚拟电路,以与连接到 Fabric 的提供商建立连接。您可以使用客户门户或 API 创建虚拟连接。
  • Equinix Network Edge – Network Edge是一个符合 ETSI 标准的 NFV 平台,可托管来自Cisco、 Juniper、 Palo Alto Networks、 Fortinet、Versa、Aruba 和Check Point等多家供应商的 VNF(路由器、防火墙和 SD-WAN)。VNF 可以实时部署,部署完成后,即可开始在 Fabric 上与提供商建立虚拟连接。

云服务提供商(CSP)组件

  • 私有互连 – 来自 CSP 的私有互连是连接到Equinix Fabric 的二层合作伙伴连接或托管连接。合作伙伴连接或托管连接在设备与其对等连接的 CSP 路由器之间提供中间交换机。建立私有二层互连后,即可与 CSP 网关建立三层对等连接。私有互连绕过互联网。
  • 云网关 – 云网关是一种软件定义的路由器,在 CSP 网络中实例化并连接到虚拟私有云。云网关用于建立与Network Edge设备的 BGP 对等连接,并连接到虚拟私有云 (VPC),从而提供云之间的可达性。
  • 虚拟私有云——VPC 是一个虚拟网络,可作为部署子网和其他网络结构的容器,以实例化计算和其他应用服务。

网络服务提供者

  • 私有互连 – 根据网络服务提供商 (NSP) 与 Equinix Fabric 的集成程度,连接方式可以是软件定义互连(适用于部分预集成提供商)或 BYOC 工作流程(适用于未集成到 Fabric 的服务提供商)。客户仍需与 NSP 签订合同/协议,以使用 Equinix Fabric 提供的私有互连之外的连接方式。

建议

这些建议提供了一个起点。客户的要求可能与此清单不同。

地点的选择

  • 互联的一个重要关键是接近被消耗的资源。就这个架构而言,这意味着网络边缘基础设施与NSP和CSP边缘的接近。并非每个CSP在每个地方都有上行通道--同样适用于NSP网络的边缘和网络边缘基础设施。
  • 为了尽可能降低网络延迟,建议您选择与所需服务提供商互联互通性最佳的城域网。请参阅Equinix 服务提供商列表,了解哪些服务提供商覆盖哪些城域网。
  • 有关位置信息,请参阅网络边缘数据表

高可用性

  • 这个高层次的设计显示了从NSP到虚拟设备再到云的单一端到端连接。
  • 一些 CSP(如 Microsoft Azure ExpressRoute)规定了冗余的专用连接。这表现为Equinix Fabric内的两个虚拟电路。虽然两个电路都可以连接到一个虚拟设备上,但在创建 VNF 级别的多样性方面存在一些考虑因素
  • Network Edge提供了高可用性和集群(用于选定的VNF)设备部署模式的能力。
  • 在设计解决方案时应仔细考虑,以确保将影响服务的事件降到最低。

网络CIDR块

为了避免围绕NAT(网络地址转换)/PAT(端口地址转换)的要求,选择与你打算建立私人连接的任何其他网络不重叠的CIDR块。

考虑因素

在实施这种架构时,要考虑以下因素。

Performance

除了延迟之外,组件之间的带宽和设备的吞吐量也很重要。虚拟电路的大小必须适当,设备必须支持所需的吞吐量。

安全问题

在Fabric上与云提供商的私人互连是不加密的。需要加密的应用必须在应用层加密,或者在网络层加密,在网络边缘设备和云网关之间可以建立IPSEC隧道。IPSEC隧道涉及开销,这也影响到设备的选择。

Equinix的成本

  • 设备实例 – 虚拟设备的成本(不包括许可证成本)。
  • 虚拟设备许可——部分供应商提供订阅许可,客户可购买订阅许可。所有供应商均支持自带许可 (BYOL)。
  • 虚拟线路 – 每月定期费用取决于线路大小。通过Equinix Fabric建立城域网连接,远程连接需额外付费。
  • Equinix Fabric 端口 – 如果使用 BYOC 连接到 NSP/ISP,则需收费。

CSP成本

  • 出口费用——某些服务提供商会根据通过专用互连传输的数据量收取费用。这些费用因提供商而异。与互联网相比,使用专用互连可以降低出口费用。
  • 专用连接费用 – 部分提供商会按月收取接入其环境的专用线路费用。出口连接和专用连接费用都会影响您的应用程序设计。

可扩展性

  • 尽管此参考架构侧重于两个不同的 CSP 环境,但 Network Edge 中的虚拟设备可以连接到 Equinix Fabric 上的任何目的地。这允许使用上述强调的相同模型连接更多目的地。
  • 单个设备的可扩展性的限制因素是支持的虚拟接口的数量,以及高带宽环境的吞吐量。
此页面有帮助吗?