跳至内容

利用 SD-WAN 优化分支机构对云工作负载的访问

Network Edge通过建立与所有主要云提供商单跳邻接的云入口,简化了连接。只需一个 SD-WAN 虚拟设备,即可使用一致的架构无缝连接多个云环境。

随着SD-WAN被采用来为企业网络提供规模、简单性和敏捷性,同样的原则也需要用于将连接扩展到云中。虽然虚拟SD-WAN设备可以部署在云中,但在每个地区的每个云中复制部署会有规模和成本问题。使这个问题更加复杂的是,需要了解每个云的架构和网络考虑,以有效地设置设备。

Network Edge通过建立与所有主要云提供商单跳邻接的云入口,简化了连接。只需一个虚拟设备,即可使用相同的一致架构无缝连接多个云环境。这种方法提供了云的主要优势(在上市时间和易于部署方面),但有一个关键区别:它将基础网络置于云之外。这允许您为所有云流量创建单一控制点,无论是 WAN 和云之间的南北向流量,还是云之间的东西向流量。

架构

本参考架构中的云上行部署利用了一个SD-WANNetwork Edge设备,连接到三个不同的CSP,以及一个网络服务提供商(NSP)的WAN连接。

所有这些不同环境(CSP 和 NSP)之间的通信是通过 Equinix Fabric 上的私有连接来促进的。建立连接的输入和选项在云服务提供商之间有所不同,但每个 CSP 都有详细的记录。

网络服务提供商的连接可以通过软件定义的互连(针对特定的合作伙伴)或使用自带连接(BYOC)工作流程的物理交接来实现。关于这两种方式的更多细节将在本文件的最后提供。

SD-WAN设备负责广域网一侧的叠加SD-WAN结构的终止,以及不同云环境之间的底层路由。

Equinix 组件

  • Equinix Fabric – Equinix Fabric是一个交换平台,可为参与 Fabric 的众多服务提供商提供专用连接。虚拟电路通过软件定义网络 (SDN) 在 Fabric 上配置,从而与连接到 Fabric 的服务提供商建立连接。虚拟连接可以通过Customer Portal或 API 创建。
  • Equinix Network Edge – Network Edge是一个符合 ETSI 标准的 NFV 平台,可托管来自Cisco、 Juniper、 Palo Alto Networks、 Fortinet、Versa、Aruba 和Check Point等多家供应商的 VNF(路由器、防火墙和 SD-WAN)。VNF 可以实时部署,部署完成后,即可开始在 Fabric 上与提供商建立虚拟连接。

云服务提供商 (CSP) 组件

  • 私有互连 – 来自 CSP 的私有互连是连接到Equinix Fabric 的二层合作伙伴连接或托管连接。合作伙伴连接或托管连接在设备与其对等互联的 CSP 路由器之间提供中间交换机。建立私有二层互连后,即可与 CSP 网关建立三层对等互联。私有互连绕过互联网。
  • 云网关 – 云网关是一种软件定义的路由器,在 CSP 网络中实例化并连接到虚拟私有云。云网关用于建立与Network Edge设备的 BGP 对等互联,并连接到虚拟私有云 (VPC),从而提供云之间的可达性。
  • 虚拟私有云——VPC 是一个虚拟网络,可作为部署子网和其他网络结构的容器,以实例化计算和其他应用服务。

网络服务提供商

  • 私有互连 – 根据网络服务提供商 (NSP) 与 Equinix Fabric 的集成程度,连接方式可以是软件定义互连(适用于部分预集成提供商)或 BYOC 工作流程(适用于未集成到 Fabric 的服务提供商)。客户仍需与 NSP 签订合同/协议,以使用 Equinix Fabric 提供的私有互连之外的连接方式。

建议

这些建议仅供参考。客户的具体需求可能与此列表有所不同。

地点的选择

  • 互联的一个重要关键是接近被消耗的资源。就这个架构而言,这意味着Network Edge基础设施与NSP和CSP边缘的接近。并非每个CSP在每个地方都有上行通道--同样适用于NSP网络的边缘和Network Edge基础设施。
  • 为了尽可能降低网络延迟,建议您选择与所需服务提供商互联互通性最佳的城域网。请参阅Equinix 服务提供商列表,了解哪些服务提供商覆盖哪些城域网。
  • 有关位置信息,请参阅网络边缘数据表

高可用性

  • 这个高层次的设计显示了从NSP到虚拟设备再到云的单一端到端连接。
  • 一些 CSP(如 Microsoft Azure ExpressRoute)规定了冗余的专用连接。这表现为Equinix Fabric内的两个虚拟电路。虽然两个电路都可以连接到一个虚拟设备上,但在创建 VNF 级别的多样性方面存在一些考虑因素
  • Network Edge提供高可用性和集群(针对选定的 VNF)设备部署模型的能力。
  • 在设计解决方案时应仔细考虑,以确保将影响服务的事件降到最低。

网络CIDR块

为了避免 NAT(网络地址转换)/ PAT(端口地址转换)方面的要求,请选择与您打算建立私有连接的任何其他网络不重叠的 CIDR 块。

考虑因素

在实施此架构时,请考虑以下因素:

表现

除了延迟之外,组件间的带宽和设备吞吐量也至关重要。虚拟电路的规模必须合理,设备也必须支持所需的吞吐量。

安全

在Fabric上与云提供商的私人互连是不加密的。需要加密的应用必须在应用层加密,或者在网络层加密,在Network Edge设备和云网关之间可以建立IPSEC隧道。IPSEC隧道涉及开销,这也影响到设备的选择。

Equinix费用

  • 设备实例 – 虚拟设备的成本(不包括许可证成本)。
  • 虚拟设备许可——部分供应商提供订阅许可,客户可购买订阅许可。所有供应商均支持自带许可 (BYOL)。
  • 虚拟电路——每月循环费用根据电路规模而定。Equinix Fabric 网络中不同地铁线路之间的连接,需额外支付远程连接附加费。
  • Equinix Fabric 端口 – 如果使用 BYOC 连接到 NSP/ISP,则需收费。

CSP成本

  • 出口费用——某些服务提供商会根据通过专用互连传输的数据量收取费用。这些费用因提供商而异。与互联网相比,使用专用互连可以降低出口费用。
  • 专用连接费用 – 部分提供商会按月收取接入其环境的专用线路费用。出口连接和专用连接费用都会影响您的应用程序设计。

可扩展性

  • 尽管此参考架构侧重于两个不同的 CSP 环境,Network Edge中的虚拟设备可以连接到Equinix Fabric上的任何目标。这允许使用上面重点介绍的相同模型连接其他目标。
  • 单个设备的可扩展性的限制因素是支持的虚拟接口的数量,以及高带宽环境的吞吐量。
此页面有帮助吗?