Sobre as NVAs em um hub da WAN Virtual
Os clientes podem implantar NVAs (soluções de virtualização de rede) selecionadas diretamente no hub da WAN Virtual em uma solução gerenciada em conjunto pelo Microsoft Azure e por fornecedores de solução de virtualização de rede terceiros. Nem todas as soluções de virtualização de rede no Azure Marketplace podem ser implantadas em um hub da WAN Virtual. Para ver uma lista completa dos parceiros disponíveis, confira a seção Parceiros.
Principais benefícios
Quando uma NVA é implantada em um hub da WAN Virtual, ela pode funcionar como um gateway de terceiros com várias funcionalidades. Ele pode funcionar como um gateway de SD-WAN, um firewall ou uma combinação dos dois.
A implantação de NVAs em um hub da WAN Virtual oferece os seguintes benefícios:
- Seleção pré-definida e pré-testada de opções de infraestrutura (Unidades de Infraestrutura NVA): a Microsoft e o parceiro trabalham juntos para validar os limites de largura de banda e produtividade antes que a solução seja disponibilizada aos clientes.
- Disponibilidade e resiliência internas: as implantações de NVA da WAN Virtual reconhecem as AZs (zonas de disponibilidade) e são configuradas automaticamente para serem altamente disponíveis.
- Provisionamento sem problemas e inicialização: um aplicativo gerenciado é pré-qualificado para provisionamento e inicialização para a plataforma WAN virtual. Esse aplicativo gerenciado está disponível por meio do link do Azure Marketplace.
- Roteamento simplificado: aproveite os sistemas de roteamento inteligente da WAN Virtual. As soluções NVA se emparelham ao roteador do hub da WAN Virtual e participam do processo de decisão de roteamento de WAN Virtual da mesma forma que os gateways da Microsoft.
- Suporte integrado: os parceiros têm um contrato de suporte especial com a WAN Virtual do Microsoft Azure para diagnosticar e resolver rapidamente os problemas do cliente.
- Gerenciamento opcional do ciclo de vida fornecido pela plataforma: as atualizações e os patches são gerenciados diretamente por você ou como parte do serviço WAN Virtual do Azure. Para conhecer as práticas recomendadas relacionadas ao gerenciamento do ciclo de vida de software para NVAs na WAN Virtual, entre em contato com o provedor do NVA ou consulte a documentação do provedor.
- Integrado aos recursos da plataforma: conectividade de trânsito com gateways e redes virtuais da Microsoft, ExpressRoute criptografado (sobreposição de SD-WAN em execução em um circuito do ExpressRoute) e tabelas de rotas do hub Virtual que interagem perfeitamente.
Importante
Para garantir o melhor suporte para essa solução integrada, verifique se você tem níveis semelhantes de direito a suporte com a Microsoft e o provedor da solução de virtualização de rede.
Parceiros
As tabelas a seguir descrevem os Dispositivos Virtuais de Rede qualificados para serem implantados no hub de WAN Virtual e os casos de uso relevantes (conectividade e/ou firewall). A coluna Identificador de Fornecedor NVA da WAN Virtual corresponde ao Fornecedor NVA exibido no portal do Azure quando você implanta uma nova NVA ou exibe NVAs existentes implantadas no Hub Virtual.
As soluções de virtualização de rede de conectividade SD-WAN a seguir podem ser implantadas no hub da WAN Virtual.
Parceiros | Identificador do Fornecedor de NVA da WAN Virtual | Guia de configuração, instruções e implantação | Modelo de suporte dedicado |
---|---|---|---|
Barracuda Networks | barracudasdwanrelease | Guia de Implantação do Barracuda SecureEdge para WAN Virtual | Yes |
Cisco SD-WAN | ciscosdwan | A integração da solução Cisco SD-WAN com a WAN Virtual do Azure aprimora o Cloud OnRamp para implantações de várias nuvens e permite configurar o Cisco Catalyst 8000V Edge Software (Cisco Catalyst 8000V) como uma NVA (solução de virtualização de rede) em hubs da WAN Virtual do Azure. Exibir o guia de configuração do Cisco SD-WAN Cloud OnRamp, Cisco IOS XE versão 17.x | Yes |
VMware SD-WAN | vmwaresdwaninvwan | Guia de implantação do VMware SD-WAN no hub da WAN Virtual. O aplicativo gerenciado para implantação pode ser encontrado neste link do Azure Marketplace. | Yes |
Versa Networks | versanetworks | Se você já é cliente do Versa Networks, faça logon na sua conta do Versa e acesse o guia de implantação usando o link Guia de implantação do Versa. Se você é um novo cliente do Versa, inscreva-se usando o Link de inscrição de versão prévia do Versa. | Yes |
Aruba EdgeConnect | arubaedgeconnectenterprise | Guia de implantação do Aruba EdgeConnect SD-WAN. Atualmente em versão prévia: Link do Azure Marketplace | Não |
As soluções de virtualização da rede de segurança a seguir pode ser implantadas no hub de WAN Virtual. Essas soluções de virtualização podem ser usadas para inspecionar todo o tráfego norte-sul, leste-oeste e tráfego vinculado à Internet.
Parceiros | Fornecedor de NVA da WAN virtual | Guia de configuração, instruções e implantação | Modelo de suporte dedicado |
---|---|---|---|
Check Point da Segurança de Rede do CloudGuard para WAN Virtual do Azure | checkpoint | Guia de implantação Check Point de Segurança de Rede para o WAN Virtual do Azure | Não |
Fortinet NGFW (firewall de última geração) | fortinet-ngfw | Guia de implantação do Fortinet NGFW. O Fortinet NGFW tem suporte para até 80 unidades de escala e não é recomendável ser usado para a terminação do túnel SD-WAN. Para a terminação do túnel Fortigate SD-WAN, consulte a documentação do Fortinet SD-WAN e do NGFW. | Não |
(Versão prévia) Cisco Secure Firewall Threat Defense para WAN Virtual do Azure | cisco-tdv-vwan-nva | Cisco Secure Firewall Threat Defense para WAN Virtual do Azure para Virtual WAN guia de implantação | Não |
As seguintes soluções de virtualização de rede de conectividade e segurança (firewall de última geração) SD-WAN de função dupla podem ser implantadas no hub da WAN Virtual. Essas soluções de virtualização podem ser usadas para inspecionar todo o tráfego norte-sul, leste-oeste e tráfego vinculado à Internet.
Parceiros | Fornecedor de NVA da WAN virtual | Guia de configuração, instruções e implantação | Modelo de suporte dedicado |
---|---|---|---|
Fortinet NGFW (firewall de última geração) | fortinet-sdwan-and-ngfw | Guia de implantação do Fortinet SD-WAN e NGFW NVA. Fortinet SD-WAN e NGFW NVA suportam até 20 unidades de escala e suportam terminação de túnel SD-WAN e recursos de firewall de última geração. | Não |
Casos de uso básicos
Conectividade any-to-any
Os clientes podem implantar uma NVA em cada região do Azure em que operam. Os sites de ramificação são conectados ao Azure por meio de túneis SD-WAN que terminam na NVA mais próxima implantada em um hub da WAN Virtual do Azure.
Os sites de ramificação podem acessar cargas de trabalho no Azure implantadas em redes virtuais na mesma região ou em outras regiões por meio do backbone global da Microsoft. Os sites conectados à SD-WAN também podem se comunicar com outras ramificações conectadas ao Azure por meio do ExpressRoute, da VPN site a site ou da conectividade de usuário remoto.
Segurança fornecida pelo Firewall do Azure juntamente com a NVA de conectividade
Os clientes podem implantar um Firewall do Azure juntamente com as próprias NVAs baseadas em conectividade. O roteamento de WAN Virtual pode ser configurado para enviar todo o tráfego para o Firewall do Azure para fins de inspeção. Você também pode configurar a WAN Virtual para enviar todo o tráfego vinculado à Internet para o Firewall do Azure para fins de inspeção.
Segurança fornecida por firewalls de NVA
Os clientes também podem implantar NVAs em um hub de WAN Virtual que executa a conectividade SD-WAN e funcionalidades de firewall de última geração. Os clientes podem conectar dispositivos locais à NVA no hub e também usar o mesmo dispositivo para inspecionar todo o tráfego norte-sul, leste-oeste e vinculado à Internet. O roteamento para habilitar esses cenários pode ser configurado por meio de políticas de roteamento e de intenção de roteamento.
Os parceiros que suportam esses fluxos de tráfego são listados como solução de virtualização de rede de segurança e conectividade SD-WAN de função dupla (firewall de última geração) na seção Parceiros.
Como ele funciona?
As NVAs que estão disponíveis para serem implantadas diretamente no hub da WAN Virtual do Azure são projetadas especificamente para serem usadas no hub da WAN Virtual. A oferta de NVA é publicada no Azure Marketplace como um aplicativo gerenciado, e os clientes podem implantar a oferta diretamente por meio do Azure Marketplace.
A oferta de NVA de cada parceiro terá uma experiência e uma funcionalidade um pouco diferentes com base em seus requisitos de implantação.
Aplicativo gerenciado
Todas as ofertas de NVA que estão disponíveis para serem implantadas no hub da WAN Virtual têm um aplicativo gerenciado disponível no Azure Marketplace. Os aplicativos gerenciados permitem que os parceiros:
- Criem uma experiência de implantação personalizada para NVA.
- Forneçam um modelo especializado do Resource Manager que permita criar a NVA diretamente no hub da WAN Virtual.
- Cobrem os custos de licenciamento de software diretamente ou por meio do Azure Marketplace.
- Exponham propriedades personalizadas e medidores de recurso.
Os parceiros NVA podem criar recursos diferentes dependendo da implantação do dispositivo, do licenciamento de configuração e das necessidades de gerenciamento. Quando um cliente cria uma NVA em um hub da WAN Virtual, como todos os aplicativos gerenciados, são criados dois grupos de recursos criados na assinatura.
- Grupo de recursos do cliente: isso contém um espaço reservado de aplicativo para o aplicativo gerenciado. Os parceiros podem usar isso para expor todas as propriedades de cliente que escolherem aqui.
- Grupo de recursos gerenciados – Os clientes não podem configurar nem alterar recursos nesse grupo de recursos diretamente, pois isso é controlado pelo editor do aplicativo gerenciado. Esse grupo de recursos contém o recurso NetworkVirtualAppliances.
Permissões de grupos de recursos gerenciados
Por padrão, todos os grupos de recursos gerenciados têm uma atribuição negar tudo do Microsoft Entra. Atribuições negar todos impedem que os clientes chamem operações de gravação em qualquer recurso no grupo de recursos gerenciados, incluindo recursos da Solução de Virtualização de Rede.
No entanto, os parceiros podem criar exceções para ações específicas que os clientes têm permissão para executar em recursos implantados em grupos de recursos gerenciados.
Permissões em recursos em grupos de recursos gerenciados existentes não são atualizadas dinamicamente conforme novas ações permitidas são adicionadas pelos parceiros, e exigem atualização manual.
Para atualizar permissões nos grupos de recursos gerenciados, os clientes podem aproveitar a API REST Atualizar Permissões.
Observação
Para aplicar corretamente novas permissões, a API Atualizar Permissões deve ser chamada com um parâmetro de consulta adicional targetVersion. O valor de targetVersion é específico do provedor. Consulte na documentação do provedor o número de versão mais recente.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
Unidades de infraestrutura de NVA
Ao criar uma NVA no hub da WAN Virtual, você precisa escolher o número de unidades de infraestrutura de NVA com as quais quer implantá-la. Uma unidade de infraestrutura de NVA é uma unidade de capacidade de largura de banda agregada para uma NVA no hub da WAN Virtual. Uma unidade de infraestrutura de NVA é semelhante a uma unidade de escala de VPN em termos da forma como você pensa na capacidade e no dimensionamento.
- As Unidades de Infraestrutura NVA são uma diretriz para a quantidade de taxa de transferência de rede agregada na infraestrutura da máquina virtual na qual os NVAs são implantados podem dar suporte. 1 A Unidade de Infraestrutura de NVA corresponde a 500 Mbps de taxa de transferência agregada. Esse número de 500 Mbps não leva em consideração as diferenças entre o software executado em Dispositivos Virtuais de Rede. Dependendo dos recursos ativados no NVA ou na implementação de software específica do parceiro, as funções de rede, como criptografia/descriptografia, encapsulamento/decapsulação ou inspeção profunda de pacotes, podem ser mais intensivas. Isso significa que você pode ver menos taxa de transferência do que a unidade de infraestrutura NVA. Para obter um mapeamento das unidades de infraestrutura Virtual WAN NVA para taxas de transferência esperadas, entre em contato com o fornecedor.
- O Azure dá suporte a implantações que variam de 2 a 80 Unidades de Infraestrutura NVA para uma determinada implantação de hub virtual NVA, mas os parceiros podem escolher quais unidades de escala dão suporte. Dessa forma, talvez você não consiga implantar todas as configurações de unidade de escala possíveis.
NVAs em WAN Virtual são implantadas para garantir que você sempre seja capaz de alcançar, no mínimo, os números de taxa de transferência específicos do fornecedor para uma unidade de escala escolhida específica. Para fazer isso, as NVAs em WAN Virtual são superprovisionadas com capacidade adicional na forma de várias instâncias de maneira 'n+1'. Isso significa que, a qualquer momento, você poderá ver a taxa de transferência agregada entre as instâncias ser maior do que os números de taxa de transferência específicos do fornecedor. Isso garante que, se uma instância não estiver íntegra, as 'n' instâncias restantes possam atender ao tráfego do cliente e fornecer a taxa de transferência específica do fornecedor para essa unidade de escala.
Se a quantidade total de tráfego que passa por uma NVA em um determinado momento ultrapassar os números de taxa de transferência específicos do fornecedor para a unidade de escala escolhida, eventos que podem fazer com que uma instância de NVA não esteja disponível, incluindo, mas não se limitando a atividades de manutenção de plataforma do Azure rotineiras ou atualizações de software, podem resultar em interrupção de serviço ou conectividade. Para minimizar as interrupções de serviço, você deve escolher a unidade de escala com base em seu perfil de pico de tráfego e nos números de taxa de transferência específicos do fornecedor para uma unidade de escala específica, em vez de confiar nos números de taxa de transferência de melhor caso observados durante o teste.
Processo de configuração de NVA
Os parceiros trabalharam para proporcionar uma experiência que configura o NVA automaticamente como parte do processo de implantação. Depois que a NVA for provisionada no hub virtual, qualquer configuração adicional que possa ser necessária para a NVA deverá ser feita por meio do portal de parceiros NVA ou aplicativo de gerenciamento. O acesso direto ao NVA não está disponível.
Recursos de site e conexão com NVAs
Ao contrário das configurações de Gateway de VPN site a site da WAN Virtual, você não precisa criar recursos de site, recursos de conexão site a site nem recursos de conexão de ponto a site para conectar os sites de ramificação à NVA no hub da WAN Virtual.
Você ainda precisa criar conexões de hub a VNet para conectar o hub da WAN Virtual às redes virtuais do Azure, bem como conectar o ExpressRoute, a VPN site a site ou conexões VPN de usuário remoto.
Regiões com suporte
O NVA no hub virtual está disponível nas seguintes regiões:
Região geopolítica | Regiões do Azure |
---|---|
América do Norte | Canadá Central, Leste do Canadá, EUA Central, Leste dos EUA, Leste dos EUA 2, Centro-Sul dos EUA, Centro-Norte dos EUA, Centro-Oeste dos EUA, Oeste dos EUA, Oeste dos EUA 2 |
América do Sul | Sul do Brasil, Sudeste do Brasil |
Europa | França Central, Sul da França, Norte da Alemanha, Centro-Oeste da Alemanha, Norte da Europa, Leste da Noruega, Oeste da Noruega, Norte da Suíça, Oeste da Suíça, Sul do Reino Unido, Oeste do Reino Unido, Oeste da Europa, Suécia Central, Norte da Itália |
Oriente Médio | Norte dos EAU, Catar Central, Israel Central |
Ásia | Leste da Ásia, Leste do Japão, Oeste do Japão, Coreia Central, Sul da Coreia, Sudeste da Ásia |
Austrália | Sudeste da Austrália, Leste da Austrália, Austrália Central, Austrália Central 2 |
África | Norte da África do Sul |
Índia | Sul da Índia, Oeste da Índia, Índia Central |
Perguntas Frequentes sobre NVA
Sou um parceiro de NVA (solução de virtualização de rede) e quero colocar nossa NVA no hub. Posso participar desse programa de parceria?
Infelizmente, não temos capacidade de integrar novas ofertas de parceiros no momento. Verifique novamente conosco futuramente!
Posso implantar qualquer NVA do Azure Marketplace no hub de WAN Virtual?
Somente os parceiros listados na seção de parceiros podem ser implantados no hub da WAN Virtual.
Qual é o custo do NVA?
Você deve comprar uma licença para o NVA do fornecedor do NVA. O BYOL (traga sua própria licença) é o único modelo de licenciamento com suporte atualmente. Além disso, a Microsoft cobra pelas Unidades de Infraestrutura da NVA que você consome e por quaisquer outros recursos que você usa. Para obter mais informações, confira Conceitos de preços.
Posso implantar um NVA em um hub básico?
Não, você deverá usar um hub Standard, caso queira implantar uma NVA.
Posso implantar um NVA em um hub seguro?
Sim. As NVAs de parceiro podem ser implantadas em um hub com o Firewall do Azure.
Posso conectar qualquer dispositivo na minha filial à minha NVA no hub?
Não, a WAN do Barracuda CloudGen só é compatível com os dispositivo de borda do Barracuda. Para saber mais sobre os requisitos de WAN do CloudGen, confira a página de WAN do CloudGen do Barracuda. Para a Cisco, há vários dispositivos de SD-WAN que são compatíveis. Confira a documentação do Cisco Cloud OnRamp para várias nuvens para dispositivos compatíveis. Entre em contato com seu provedor caso tenha alguma pergunta.
Quais cenários de roteamento têm suporte com o NVA no hub?
Todos os cenários de roteamento com suporte pela WAN Virtual têm suporte com os NVAs no hub.
Quais regiões têm suporte?
Para saber em quais regiões há suporte, confira as regiões com suporte para NVA.
Como fazer para excluir meu NVA no hub?
Se o recurso de Solução de Virtualização de Rede tiver sido implantado por meio de um Aplicativo Gerenciado, exclua o Aplicativo Gerenciado. Excluir o Aplicativo Gerenciado exclui automaticamente o Grupo de Recursos Gerenciados e o recurso de Solução de Virtualização de Rede associado.
Não é possível excluir uma NVA que seja o recurso do próximo salto para uma Política de Roteamento. Para excluir o NVA, primeiro exclua a Política de Roteamento.
Se o recurso de Solução de Virtualização de Rede foi implantado por meio do software de orquestração de parceiros, consulte a documentação do parceiro para excluir a Solução de Virtualização de Rede.
Como alternativa, execute o comando do PowerShell a seguir para excluir a Solução de Virtualização de Rede.
Localize o grupo de recursos do Azure da NVA a ser excluído. O grupo de recursos do Azure geralmente é diferente do grupo de recursos no qual o hub de WAN Virtual é implantado. Garanta que a propriedade do Hub Virtual do recurso da NVA corresponde à NVA a ser excluída. O exemplo a seguir pressupõe que todas as NVAs em sua assinatura tenham nomes distintos. Se houver várias NVAs com o mesmo nome, certifique-se de coletar as informações associadas à NVA a ser excluída.
$nva = Get-AzNetworkVirtualAppliance -Name <NVA name> $nva.VirtualHub
Exclua a NVA.
Remove-AzNetworkVirtualAppliance -Name $nva.Name -ResourceGroupName $nva.ResourceGroupName
A mesma série de etapas pode ser executada na CLI do Azure.
- Localize o grupo de recursos do Azure da NVA a ser excluído. O grupo de recursos do Azure geralmente é diferente do grupo de recursos no qual o hub de WAN Virtual é implantado. Garanta que a propriedade do Hub Virtual do recurso da NVA corresponde à NVA a ser excluída.
az network virtual-appliance list
- Exclua a NVA
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <NVA name>
Próximas etapas
Para saber mais sobre a WAN Virtual, confira o artigo Visão geral da WAN Virtual.