Neuerungen in Azure Virtual WAN
Azure Virtual WAN wird regelmäßig aktualisiert. Bleiben Sie bei aktuellen Ankündigungen auf dem neuesten Stand. Dieser Artikel bietet Folgendes:
- Aktuelle Releases
- Derzeitige Vorschauversionen mit bekannten Einschränkungen (falls zutreffend)
- Bekannte Probleme
- Veraltete Funktionen (sofern zutreffend)
Die aktuellen Updates für Azure Virtual WAN finden Sie hier. Unter diesem Link können Sie auch den RSS-Feed abonnieren.
Aktuelle Releases
Routing
| type | Bereich | Name | BESCHREIBUNG | Hinzufügedatum | Begrenzungen |
|---|---|---|---|---|---|
| Metrik | Routing | Neuer Metriken für virtuelle Hubs | Es gibt nun zwei neue Virtual WAN-Hubmetriken, die die Kapazität und die Spoke-VM-Auslastung des virtuellen Hubs anzeigen: Routinginfrastruktureinheiten und Spoke-VM-Auslastung. | August 2024 | Die Metrik Spoke-VM-Auslastung stellt eine ungefähre Anzahl bereitgestellter Spoke-VMs als Prozentsatz der Gesamtanzahl der Spoke-VMs dar, die von den Routinginfrastruktureinheiten des Hubs unterstützt wird. |
| Funktion | Routing | Routingabsicht | Routingabsicht ist der Mechanismus, mit dem Sie Virtual WAN konfigurieren können, um privaten oder Internetdatenverkehr über eine im Hub bereitgestellte Sicherheitslösung zu senden. | Mai 2023 | Routingabsicht ist in der öffentlichen Azure-Cloud allgemein verfügbar. Weitere Einschränkungen finden Sie in der Dokumentation. |
| Funktion | Routing | Routingpräferenz für virtuelle Hubs | Die Hub-Routingpräferenz bietet Ihnen mehr Kontrolle über Ihre Infrastruktur, da Sie auswählen können, wie Ihr Datenverkehr weitergeleitet wird, wenn ein virtueller Hubrouter mehrere Routen über S2S-VPN-, ER- und SD-WAN-NVA-Verbindungen erhält. | Oktober 2022 | |
| Feature | Routing | Umgehen der IP-Adresse für nächsten Hop für Workloads innerhalb eines Spoke-VNet, das mit dem virtuellen WAN-Hub verbunden ist, allgemein verfügbar | Durch die Umgehung der IP-Adresse für den nächsten Hop für Workloads innerhalb eines Spoke-VNet, das mit dem virtuellen WAN-Hub verbunden ist, können Sie andere Ressourcen im VNet mit Ihrem NVA ohne zusätzliche Konfiguration bereitstellen und darauf zugreifen. | Oktober 2022 | |
| SKU/Feature/Validierung | Routing | BGP-Endpunkt (allgemeine Verfügbarkeit) | Der Router für virtuelle Hubs bietet nun die Möglichkeit, selbst eine Peeringverbindung einzugehen, wodurch Routinginformationen direkt über das BGP-Routingprotokoll (Border Gateway Protocol) ausgetauscht werden. | Juni 2022 | |
| Funktion | Routing | 0.0.0.0/0 über Spoke-NVA | Möglichkeit zum Senden von ausgehendem Internetdatenverkehr an ein virtuelles Spoke-Netzwerkgerät | März 2021 | 0.0.0.0/0 wird nicht über Hubs weitergegeben. Mehrere öffentliche Präfixe können nicht mit unterschiedlichen IP-Adressen für nächsten Hop angegeben werden. |
Virtuelle Netzwerkappliances und integrierte Drittanbieterlösungen
| type | Bereich | Name | BESCHREIBUNG | Hinzufügedatum | Einschränkungen |
|---|---|---|---|---|---|
| Feature | Virtuelle Netzwerkappliances/Integrierte Lösungen von Drittanbietern in Virtual WAN-Hubs | Public Preview: Interneteingang/DNAT für Firewall-NVAs der nächsten Generation | Destination NAT für virtuelle Netzwerkgeräte im Virtual WAN-Hub ermöglicht es Ihnen, Anwendungen für die Benutzer im Internet zu veröffentlichen, ohne die öffentliche IP der Anwendung oder des Servers direkt verfügbar zu machen. Verbraucher greifen über eine öffentliche IP-Adresse, die einer virtuellen Firewall Network Appliance zugewiesen ist, auf Anwendungen zu. | Februar 2024 | Wird für Fortinet Next-Generation Firewall und Check Point CloudGuard unterstützt. Die vollständige Liste der Einschränkungen und Überlegungen finden Sie in der DNAT-Dokumentation. |
| Funktion | Software-as-a-Service | Palo Alto Networks Cloud NGFW | Allgemeine Verfügbarkeit von Palo Alto Networks-Cloud-NGFW, dem ersten Software-as-a-Serivce-Sicherheitsangebot, das innerhalb des Virtual WAN-Hubs bereitgestellt werden kann. | Juli 2023 | Palo Alto Networks-Cloud-NGFW kann jetzt in allen Virtual WAN-Hubs (neue und alte) bereitgestellt werden. Eine vollständige Liste der Einschränkungen und der regionalen Verfügbarkeit finden Sie unter Einschränkungen von Palo Alto Networks-Cloud-NGFW. Es gelten die gleichen Einschränkungen wie bei den Routingabsichten. |
| Funktion | Virtuelle Netzwerkappliances/Integrierte Lösungen von Drittanbietern in Virtual WAN-Hubs | Fortinet NGFW | Allgemeine Verfügbarkeit von Fortinet NGFW und Fortinet SD-WAN/NGFW dual-role NVAs. | Mai 2023 | Es gelten die gleichen Einschränkungen wie bei den Routingabsichten. Szenarios mit eingehendem Internetdatenverkehr werden nicht unterstützt. |
| Feature | Virtuelle Netzwerkappliances/Integrierte Lösungen von Drittanbietern in Virtual WAN-Hubs | Check Point CloudGuard Network Security für Azure Virtual WAN | Allgemeine Verfügbarkeit von Check Point CloudGuard Network Security NVA, die von Azure Marketplace innerhalb des Virtual WAN Hubs in allen Azure-Regionen bereitgestellt werden kann. | Mai 2023 | Es gelten die gleichen Einschränkungen wie bei den Routingabsichten. Szenarios mit eingehendem Internetdatenverkehr werden nicht unterstützt. |
| Feature | Virtuelle Netzwerkappliances/Integrierte Lösungen von Drittanbietern in Virtual WAN-Hubs | Versa SD-WAN | Vorschau von Versa SD-WAN | November 2021 | |
| Feature | Virtuelle Netzwerkappliances/Integrierte Lösungen von Drittanbietern in Virtual WAN-Hubs | Cisco Viptela, Barracuda und VMware (Velocloud) SD-WAN | Allgemeine Verfügbarkeit von SD-WAN-Lösungen in Virtual WAN | Juni/Juli 2021 |
ExpressRoute
| type | Bereich | Name | BESCHREIBUNG | Hinzufügedatum | Einschränkungen |
|---|---|---|---|---|---|
| Funktion | ExpressRoute | ExpressRoute-Metriken können als Diagnoseprotokolle exportiert werden. | April 2023 | ||
| Funktion | ExpressRoute | Seite zur ExpressRoute-Leitung zeigt jetzt vWAN-Verbindung an | August 2022 |
Site-to-Site
| type | Bereich | Name | BESCHREIBUNG | Hinzufügedatum | Einschränkungen |
|---|---|---|---|---|---|
| Funktion | Konnektivität zwischen Branches/Site-to-Site-VPN | Multi-APIPA-BGP | Möglichkeit zur Angabe mehrerer benutzerdefinierter BGP-IP-Adressen für VPN-Gatewayinstanzen in vWAN | Juni 2022 | Dieses Feature ist derzeit nur über das Portal verfügbar. (Noch nicht in PowerShell verfügbar) |
| Feature | Konnektivität zwischen Branches/Site-to-Site-VPN | Benutzerdefinierte Datenverkehrsauswahl | Möglichkeit zur Angabe, welche Paare für die Datenverkehrsauswahl das Site-to-Site-VPN-Gateway aushandelt | Mai 2022 | Azure handelt die Datenverkehrsauswahl für alle Paare aus Remote- und lokalen Präfixen aus. Sie können keine einzelnen Paare für die Datenverkehrsauswahl angeben, die ausgehandelt werden sollen. |
| Funktion | Konnektivität zwischen Branches/Site-to-Site-VPN | Optionen für den Site-to-Site-Verbindungsmodus | Möglichkeit zur Konfiguration, ob die Erstellung einer neuen Site-to-Site-Verbindung vom Kunden oder dem vWAN-Gateway ausgehen soll | Februar 2022 | |
| Funktion | Konnektivität zwischen Branches/Site-to-Site-VPN | Paketerfassung | Möglichkeit zur Ausführung von Paketerfassungen im Site-to-Site-VPN-Gateway durch Benutzer*innen | November 2021 | |
| Feature | Konnektivität zwischen Branches/Site-to-Site-VPN Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN |
Hot-Potato-Routing im Vergleich zu Cold-Potato-Routing für VPN-Datenverkehr | Möglichkeit zur Angabe, ob für ausgehenden Azure VPN-Datenverkehr Microsoft oder ISP POP festgelegt werden soll. Weitere Informationen finden Sie unter Routingpräferenz in Azure. | Juni 2021 | Dieser Parameter kann nur während der Erstellung des Gateways angegeben und später nicht mehr geändert werden. |
| Funktion | Konnektivität zwischen Branches/Site-to-Site-VPN | NAT | Möglichkeit zur NAT-Überlappung von Adressen zwischen Site-to-Site-VPN-Branches sowie zwischen Site-to-Site-VPN-Branches und Azure | März 2021 | NAT wird nicht für richtlinienbasierte VPN-Verbindungen unterstützt. |
Benutzer-VPN (Point-to-Site)
| type | Bereich | Name | BESCHREIBUNG | Hinzufügedatum | Einschränkungen |
|---|---|---|---|---|---|
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Benutzergruppen und IP-Adresspools für P2S-Benutzer-VPNs | Sie können P2S-Benutzer-VPNs so konfigurieren, dass Benutzer IP-Adressen aus bestimmten Adresspools basierend auf deren Anmeldeinformationen für die Identität oder Authentifizierung zugewiesen werden. | Mai 2023 | |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Globales Profil einschließen/ausschließen | Möglichkeit, ein Point-to-Site-Gateway als „ausgeschlossen“ zu markieren, wodurch für die Benutzer*innen mit einer Verbindung zu einem globalen Profil kein Lastenausgleich mit diesem Gateway erfolgt | Februar 2022 | |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Tunnelerzwingung für Point-to-Site-VPN | Möglichkeit zur Erzwingung des gesamten ausgehenden Datenverkehrs zu Azure Virtual WAN | Oktober 2021 | Nur für Version 2:1900:39.0 oder höher von Azure VPN Client verfügbar. |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Azure VPN Client für macOS | Allgemeine Verfügbarkeit von Azure VPN Client für macOS | August 2021 | |
| Funktion | Konnektivität zwischen Branches/Site-to-Site-VPN Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN |
Hot-Potato-Routing im Vergleich zu Cold-Potato-Routing für VPN-Datenverkehr | Möglichkeit zur Angabe, ob für ausgehenden Azure VPN-Datenverkehr Microsoft oder ISP POP festgelegt werden soll. Weitere Informationen finden Sie unter Routingpräferenz in Azure. | Juni 2021 | Dieser Parameter kann nur während der Erstellung des Gateways angegeben und später nicht mehr geändert werden. |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | RADIUS-Remoteserver | Möglichkeit für ein Point-to-Site-VPN-Gateway zur Weiterleitung von Authentifizierungsdatenverkehr an einen RADIUS-Server in einem virtuellen Netzwerk, das mit einem anderen Hub verbunden ist, oder an einen lokal gehosteten RADIUS-Server | April 2021 | |
| Feature | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Zwei RADIUS-Server | Möglichkeit zur Angabe eines primären und eines RADIUS-Sicherungsservers zur Verarbeitung von Authentifizierungsdatenverkehr | März 2021 | |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Benutzerdefinierte IPsec-Richtlinien | Möglichkeit zur Angabe von Verbindungs-/Verschlüsselungsparametern für IKEv2-Point-to-Site-Verbindungen | März 2021 | Dieses Feature wird nur für IKEv2-basierte Verbindungen unterstützt. Eine Liste der verfügbaren Parameter finden Sie hier. |
| SKU | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Unterstützung für bis zu 100.000 Benutzer*innen, die mit einem einzigen Hub verbunden sind | Maximale Anzahl gleichzeitiger Benutzer*innen, die mit einem einzigen Gateway verbunden sind, wurde auf 100.000 erhöht. | März 2021 | |
| Funktion | Konnektivität für Remotebenutzer*innen/Point-to-Site-VPN | Mehrere Authentifizierungsmethoden | Möglichkeit zur Nutzung mehrerer Authentifizierungsmechanismen für ein einzelnes Gateway | Juni 2023 | Unterstützt für Gateways, die alle Protokollkombinationen ausführen. Beachten Sie, dass die Azure AD-Authentifizierung weiterhin die Verwendung von OpenVPN erfordert |
Vorschau
Die folgenden Features befinden sich derzeit in der geschlossenen öffentlichen Vorschau. Wenn Sie nach der Arbeit mit den aufgeführten Artikeln Fragen haben oder Support benötigen, wenden Sie sich an den Kontaktalias (falls vorhanden) für das entsprechende Feature.
| Art der Vorschau | Funktion | BESCHREIBUNG | Kontaktalias | Einschränkungen |
|---|---|---|---|---|
| Verwaltete Vorschau | Routenzuordnungen | Mit dieser Funktion können Sie eine Routenaggregation und eine Routenfilterung durchführen und BGP-Attribute für Ihre Routen in Virtual WAN ändern. | preview-route-maps@microsoft.com | Bekannte Einschränkungen werden hier angezeigt: Informationen zu Routenzuordnungen . |
| Verwaltete Vorschau | Aruba EdgeConnect SD-WAN | Bereitstellen von virtuellen Aruba EdgeConnect SD-WAN-Netzwerkgeräten im Virtual WAN-Hub | preview-vwan-aruba@microsoft.com |
Bekannte Probleme
| # | Problem | BESCHREIBUNG | Datum der ersten Meldung | Minderung |
|---|---|---|---|---|
| 1 | ExpressRoute-Konnektivität mit Azure Storage und der Route 0.0.0.0/0 | Wenn Sie die Route 0.0.0.0/0 statisch in einer Routingtabelle des virtuellen Hubs oder dynamisch über ein virtuelles netzwerkbasiertes Gerät für die Datenverkehrsüberprüfung konfiguriert haben, umgeht dieser Datenverkehr die Überprüfung, wenn er für Azure Storage bestimmt ist und sich in derselben Region wie das ExpressRoute-Gateway im virtuellen Hub befindet. | Sie können entweder Private Link verwenden, um auf Azure Storage zuzugreifen, oder den Azure Storage-Dienst in einer anderen Region als dem virtuellen Hub platzieren, um dieses Problem zu umgehen. | |
| 2 | Standardrouten (0/0) werden zwischen Hubs nicht weitergegeben. | 0/0-Routen werden nicht zwischen zwei virtual WAN-Hubs weitergegeben. | Juni 2020 | Keine Hinweis: Während das Virtual WAN-Team das Problem behoben hat, bei dem statische Routen, die im Abschnitt zu den statischen Routen der VNET-Peeringseite definiert sind, an Routingtabellen, die unter „Weitergabe an Routingtabellen“ aufgeführt sind, oder an Bezeichnungen, die unter „Weitergabe an Routingtabellen“ auf der VNET-Verbindungsseite aufgeführt sind, weitergegeben werden, werden Standardrouten (0/0) nicht hubübergreifend weitergegeben. |
| 3 | Zwei ExpressRoute-Leitungen am gleichen Peeringstandort, die mit mehreren Hubs verbunden sind | Wenn Sie über zwei ExpressRoute-Leitungen am gleichen Peeringstandort verfügen und beide Verbindungen mit mehreren virtuellen Hubs in derselben Virtual WAN verbunden sind, kann die Konnektivität mit Ihren Azure-Ressourcen beeinträchtigt werden. | Juli 2023 | Stellen Sie sicher, dass für jeden virtuellen Hub mindestens ein virtuelles Netzwerk verbunden ist. Dadurch wird die Konnektivität mit Ihren Azure-Ressourcen sichergestellt. Das Virtual WAN-Team arbeitet auch an einer Lösung für dieses Problem. |
| 4 | Unterstützung für ExpressRoute ECMP | Heute ist ExpressRoute ECMP nicht standardmäßig für virtuelle Hubbereitstellungen aktiviert. Wenn mehrere ExpressRoute-Verbindungen mit einem Virtual WAN-Hub verbunden sind, ermöglicht ECMP die Verteilung des über ExpressRoute geleiteten Datenverkehrs von virtuellen Spokenetzwerken an lokale Netzwerke über alle ExpressRoute-Verbindungen, die die gleichen lokalen Routen bedienen. | Um ECMP für Ihren Virtual WAN-Hub zu aktivieren, wenden Sie sich bitte nach dem 1. Januar 2025 an virtual-wan-ecmp@microsoft.com. | |
| 5 | Adresspräfixe von Virtual WAN-Hubs werden nicht für andere Virtual WAN-Hubs in der gleichen Virtual WAN-Instanz angekündigt. | Mit den Hub-zu-Hub-Full-Mesh-Routingfunktionen von Virtual WAN können Sie keine Konnektivität zwischen NVA-Orchestrierungssoftware (Network Virtual Appliance, virtuelles Netzwerkgerät), die in einem virtuellen Netzwerk (VNet) oder lokal bereitgestellt und mit einem Virtual WAN-Hub verbunden ist, und einem integrierten NVA oder einer Software-as-a-Service (SaaS)-Lösung in einem anderen Virtual WAN-Hub bereitstellen. | Im Fall einer lokalen Bereitstellung des NVA- oder SaaS-Orchestrators verbinden Sie diesen lokalen Standort mit allen darin bereitgestellten Virtual WAN-Hubs mit NVAs oder SaaS-Lösungen. Wenn Sich Ihr Orchestrator in einem Azure-VNet befindet, verwalten Sie NVAs oder SaaS-Lösungen mithilfe öffentlicher IP-Adressen. Die Unterstützung für Azure-VNet-Orchestratoren ist geplant. | |
| 6 | Konfigurieren der Routingabsicht für die Route zwischen Konnektivität und Firewall-NVAs im selben virtuellen WAN-Hub | Die private Routingrichtlinie für die Virtual WAN-Routingabsicht unterstützt nicht das Routing zwischen einer SD-WAN-NVA und einer Firewall-NVA (oder SaaS-Lösung), die im selben virtuellen Hub bereitgestellt wird. | Stellen Sie die integrierten NVAs für Konnektivität und Firewall in zwei verschiedenen Hubs in derselben Azure-Region bereit. Alternativ können Sie die Konnektivitäts-NVA in einem virtuellen Speichernetzwerk bereitstellen, das mit Ihrem virtuellen WAN-Hub verbunden ist und das BGP-Peering nutzen. | |
| 7 | BGP zwischen dem Virtual WAN Hub-Router und den im Virtual WAN-Hub eingesetzten NVAs wird nicht gestartet, wenn die für das BGP-Peering verwendete ASN nach der Bereitstellung aktualisiert wird. | Der Virtual Hub-Router erwartet, dass die NVA im Hub die ASN verwenden, die bei der ersten Bereitstellung der NVA auf dem Router konfiguriert wurde. Die Aktualisierung der ASN, die mit der NVA auf der NVA-Ressource verbunden ist, registriert die neue ASN nicht ordnungsgemäß beim Virtual Hub-Router, so dass der Router BGP-Sitzungen von der NVA ablehnt, wenn das NVA-Betriebssystem für die Verwendung der neuen ASN konfiguriert ist. | Löschen Sie den NVA, und erstellen Sie den NVA im Virtual WAN-Hub mit dem richtigen ASN neu. | |
| 8 | Die Bekanntgabe der Standardroute (0.0.0.0/0) von lokal (VPN, ExpressRoute, BGP-Endpunkt) oder statisch konfiguriert auf einer virtuellen Netzwerkverbindung wird für erzwungene Tunneling-Anwendungsfälle nicht unterstützt. | Die Route 0.0.0.0/0, die von lokal aus angekündigt wird (oder statisch auf einer virtuellen Netzwerkverbindung konfiguriert ist), wird nicht auf die Azure Firewall oder andere Sicherheitslösungen angewendet, die im virtuellen WAN-Hub bereitgestellt werden. Pakete, die von der Sicherheitslösung im Hub geprüft werden, werden direkt ins Internet weitergeleitet, ohne die von der lokalen Lösung gelernte Route zu nutzen. | Veröffentlichen Sie die Standard-Route von lokal aus nur in unsicheren Hub-Szenarien. | |
| 9 | Bei Vorgängen zum Aktualisieren der Routingabsicht tritt bei Bereitstellungen, bei denen die Ressource des nächsten Hop für die Richtlinie für privates Routing eine NVA oder SaaS-Lösung ist, ein Fehler auf. | In Bereitstellungen, bei denen die Richtlinie für privates Routing mit NVA- oder SaaS-Lösungen mit nächstem Hop zusammen mit zusätzlichen privaten Präfixen konfiguriert sind, ist das Ändern der Routingabsicht nicht erfolgreich. Beispiele für Vorgänge, die fehlschlagen, sind das Hinzufügen oder Entfernen von Internetrichtlinien oder Richtlinien für privates Routing. Dieses bekannte Problem wirkt sich nicht auf Bereitstellungen ohne zusätzliche private Präfixe aus. | Entfernen Sie alle zusätzlichen privaten Präfixe, aktualisieren Sie die Routingabsicht, und konfigurieren Sie dann erneut zusätzliche private Präfixe. | |
| 10 | Der DNAT-Datenverkehr wird nach der Zuordnung einer zusätzlichen IP-Adresse nicht an die NVA weitergeleitet. | Nach dem Zuordnen zusätzlicher IP-Adressen zu einer NVA, für die bereits aktive Regeln für die Eingangssicherheit festgelegt sind, wird der DNAT-Datenverkehr aufgrund eines Codefehlers nicht ordnungsgemäß an die NVA weitergeleitet. | November 2024 | Verwenden Sie Partnerorchestrierungs-/Partnerverwaltungssoftware zum Ändern (Erstellen oder Löschen vorhandener) konfigurierter Sicherheitsregeln für eingehenden Datenverkehr, um die Konnektivität wiederherzustellen. |
| 11 | Skalierbarkeit der Konfiguration von Sicherheitsregeln für eingehenden Datenverkehr | Die Konfiguration von Sicherheitsregeln für eingehenden Datenverkehr kann fehlschlagen, wenn eine große Anzahl (ca. 100) von Regeln konfiguriert wird. | November 2024 | Keine. Wenden Sie sich an den Azure-Support, um weitere Informationen zu erhalten. |
Nächste Schritte
Weitere Informationen zu Azure Virtual WAN finden Sie unter Was ist Azure Virtual WAN? und Virtual WAN – Häufig gestellte Fragen.