Sanal WAN hub'ında NVA'lar hakkında

Müşteriler, Microsoft Azure ve üçüncü taraf Ağ Sanal Gereci satıcıları tarafından ortak olarak yönetilen bir çözümde belirli Ağ Sanal Gereçlerini (NVA) doğrudan bir Sanal WAN hub'ına dağıtabilir. Azure Market'daki tüm Ağ Sanal Gereçleri bir Sanal WAN hub'ına dağıtılamaz. Kullanılabilir iş ortaklarının tam listesi için bu makalenin İş Ortakları bölümüne bakın.

Temel avantajlar

NVA bir Sanal WAN hub'ına dağıtıldığında, çeşitli işlevlere sahip bir üçüncü taraf ağ geçidi işlevi görebilir. Bir SD-WAN ağ geçidi, Güvenlik Duvarı veya her ikisinin birleşimi olarak görev yapabilir.

NVA'ları bir Sanal WAN hub'ına dağıtmak aşağıdaki avantajları sağlar:

  • Altyapı seçimlerinin önceden tanımlanmış ve önceden test edilmiş seçimi (NVA Altyapı Birimleri):Microsoft ve iş ortağı, çözümün müşterilerin kullanımına sunulmadan önce aktarım hızı ve bant genişliği sınırlarını doğrulamak için birlikte çalışır.
  • Yerleşik kullanılabilirlik ve dayanıklılık: Sanal WAN NVA dağıtımları Kullanılabilirlik Alanı (AZ) kullanan ve otomatik olarak yüksek oranda kullanılabilir olacak şekilde yapılandırılır.
  • Sorunsuz sağlama ve önyükleme kayışı oluşturma: Yönetilen bir uygulama, Sanal WAN platformu için sağlama ve önyükleme kayışlama için ön koşula sahiptir. Bu yönetilen uygulama Azure Market bağlantısı üzerinden kullanılabilir.
  • Basitleştirilmiş yönlendirme: Sanal WAN akıllı yönlendirme sistemlerinden yararlanın. NVA çözümleri, Sanal WAN hub yönlendiricisiyle eşlenebilir ve Microsoft Gateway'lere benzer şekilde Sanal WAN yönlendirme karar sürecine katılır.
  • Tümleşik destek: İş ortaklarının, müşteri sorunlarını hızla tanılamak ve çözmek için Microsoft Azure Sanal WAN ile özel bir destek sözleşmesi vardır.
  • İsteğe bağlı platform tarafından sağlanan yaşam döngüsü yönetimi: Yükseltmeler ve düzeltme ekleri doğrudan sizin tarafınızdan veya Azure Sanal WAN hizmetinin bir parçası olarak yönetilir. Sanal WAN'daki NVA'lar için yazılım yaşam döngüsü yönetimiyle ilgili en iyi yöntemler için lütfen NVA sağlayıcınıza veya başvuru sağlayıcısı belgelerine ulaşın.
  • Platform özellikleriyle tümleşik: Microsoft ağ geçitleri ve Sanal Ağ ile geçiş bağlantısı, Şifrelenmiş ExpressRoute (ExpressRoute bağlantı hattı üzerinde çalışan SD-WAN katmanı) ve Sanal hub rota tabloları sorunsuz bir şekilde etkileşim kurar.

Önemli

Bu tümleşik çözüm için en iyi desteği aldığınızdan emin olmak için hem Microsoft hem de Ağ Sanal Gereci sağlayıcınızla benzer düzeyde destek yetkilendirmesine sahip olduğunuzdan emin olun.

İş Ortakları

Aşağıdaki tablolarda, Sanal WAN hub'ına dağıtılmaya uygun Ağ Sanal Gereçleri ve ilgili kullanım örnekleri (bağlantı ve/veya güvenlik duvarı) açıklanmaktadır. Sanal WAN NVA Satıcı Tanımlayıcısı sütunu, yeni bir NVA dağıttığınızda veya Sanal hub'da dağıtılan mevcut NVA'ları görüntülediğinizde Azure portalında görüntülenen NVA Satıcısına karşılık gelir.

Aşağıdaki SD-WAN bağlantısı Ağ Sanal Gereçleri Sanal WAN hub'ına dağıtılabilir.

İş Ortakları Sanal WAN NVA Satıcı Tanımlayıcısı Yapılandırma/Nasıl Yapılır/Dağıtım kılavuzu Ayrılmış destek modeli
Barracuda Networks barracudasdwanrelease Sanal WAN için Barracuda SecureEdge Dağıtım Kılavuzu Yes
Cisco SD-WAN ciscosdwan Cisco SD-WAN çözümünün Azure sanal WAN ile tümleştirilmesi, Çoklu Bulut dağıtımları için Cloud OnRamp'ı geliştirir ve Azure Sanal WAN hub'larında Cisco Catalyst 8000V Edge Yazılımının (Cisco Catalyst 8000V) ağ sanal gereci (NVA) olarak yapılandırılmasını sağlar. Cisco SD-WAN Cloud OnRamp, Cisco IOS XE Release 17.x yapılandırma kılavuzunu görüntüleyin Yes
VMware SD-WAN vmwaresdwaninvwan Sanal WAN hub dağıtım kılavuzunda VMware SD-WAN. Dağıtım için yönetilen uygulama bu Azure Market bağlantısında bulunabilir. Yes
Versa Networks versanetworks Mevcut bir Versa Networks müşterisiyseniz Versa hesabınızda oturum açın ve aşağıdaki Versa Dağıtım Kılavuzu bağlantısını kullanarak dağıtım kılavuzuna erişin. Yeni bir Versa müşterisiyseniz Versa önizleme kaydolma bağlantısını kullanarak kaydolun. Yes
Aruba EdgeConnect arubaedgeconnectenterprise Aruba EdgeConnect SD-WAN dağıtım kılavuzu. Şu anda Önizlemede: Azure Market bağlantısı Hayır

Aşağıdaki güvenlik Ağ Sanal Gereci Sanal WAN hub'ına dağıtılabilir. Bu Sanal Gereç tüm Kuzey-Güney, Doğu-Batı ve İnternet'e bağlı trafiği denetlemek için kullanılabilir.

İş Ortakları Sanal WAN NVA Satıcısı Yapılandırma/Nasıl Yapılır/Dağıtım kılavuzu Ayrılmış destek modeli
Azure Sanal WAN için CloudGuard Ağ Güvenliğini Denetleme Noktası checkpoint Sanal WAN dağıtım kılavuzu için Denetim Noktası Ağ Güvenliği Hayır
Fortinet Yeni Nesil Güvenlik Duvarı (NGFW) fortinet-ngfw Fortinet NGFW dağıtım kılavuzu. Fortinet NGFW en fazla 80 ölçek birimini destekler ve SD-WAN tünel sonlandırması için kullanılması önerilmez. Fortigate SD-WAN tünel sonlandırması için bkz . Fortinet SD-WAN ve NGFW belgeleri. Hayır
(Önizleme) Azure Sanal WAN için Cisco Güvenli Güvenlik Duvarı Tehdit Savunması cisco-tdv-vwan-nva Sanal WAN dağıtım kılavuzu için Azure Sanal WAN için Cisco Güvenli Güvenlik Duvarı Tehdit Savunması Hayır

Aşağıdaki çift rollü SD-WAN bağlantısı ve güvenliği (Yeni Nesil Güvenlik Duvarı) Ağ Sanal Gereçleri Sanal WAN hub'ına dağıtılabilir. Bu Sanal Gereçler tüm Kuzey-Güney, Doğu-Batı ve İnternet'e bağlı trafiği denetlemek için kullanılabilir.

İş Ortakları Sanal WAN NVA Satıcısı Yapılandırma/Nasıl Yapılır/Dağıtım kılavuzu Ayrılmış destek modeli
Fortinet Yeni Nesil Güvenlik Duvarı (NGFW) fortinet-sdwan-and-ngfw Fortinet SD-WAN ve NGFW NVA dağıtım kılavuzu. Fortinet SD-WAN ve NGFW NVA 20'ye kadar ölçek birimini destekler ve hem SD-WAN tünel sonlandırma hem de Yeni Nesil Güvenlik Duvarı özelliklerini destekler. Hayır

Temel kullanım örnekleri

Herhangi bir bağlantıdan herhangi birine

Müşteriler, ayak izine sahip oldukları her Azure bölgesine bir NVA dağıtabilir. Dal siteleri, Azure Sanal WAN hub'ında dağıtılan en yakın NVA'da sonlandırılan SD-WAN tünelleri aracılığıyla Azure'a bağlanır.

Dal siteleri daha sonra Azure'da aynı bölgedeki sanal ağlarda veya diğer bölgelerde dağıtılan iş yüklerine Microsoft genel omurgası üzerinden erişebilir. SD-WAN bağlantılı siteler ExpressRoute, Siteden siteye VPN veya Uzak Kullanıcı bağlantısı aracılığıyla Azure'a bağlı diğer dallarla da iletişim kurabilir.

Genel geçiş mimarisi.

bağlantı NVA'sı ile birlikte Azure Güvenlik Duvarı tarafından sağlanan güvenlik

Müşteriler, bağlantı tabanlı NVA'larının yanında bir Azure Güvenlik Duvarı dağıtabilir. Sanal WAN yönlendirme, tüm trafiği inceleme için Azure Güvenlik Duvarı gönderecek şekilde yapılandırılabilir. ayrıca Sanal WAN tüm İnternet'e bağlı trafiği denetim için Azure Güvenlik Duvarı gönderecek şekilde yapılandırabilirsiniz.

Azure Güvenlik Duvarı ile genel geçiş mimarisi.

NVA güvenlik duvarları tarafından sağlanan güvenlik

Müşteriler ayrıca NVA'ları hem SD-WAN bağlantısı hem de Yeni Nesil Güvenlik Duvarı özelliklerini gerçekleştiren bir Sanal WAN hub'ına dağıtabilir. Müşteriler şirket içi cihazları merkezdeki NVA'ya bağlayabilir ve aynı aleti kullanarak tüm Kuzey-Güney, Doğu-Batı ve İnternet'e bağlı trafiği inceleyebilir. Bu senaryoları etkinleştirmek için yönlendirme, Yönlendirme Amacı ve Yönlendirme İlkeleri aracılığıyla yapılandırılabilir.

Bu trafik akışlarını destekleyen iş ortakları, İş Ortakları bölümünde çift rollü SD-WAN bağlantısı ve güvenliği (Yeni Nesil Güvenlik Duvarı) Ağ Sanal Gereçleri olarak listelenir.

Üçüncü taraf NVA ile genel geçiş mimarisi.

Nasıl çalışır?

Doğrudan Azure Sanal WAN hub'ına dağıtılabilen NVA'lar, özel olarak bir Sanal WAN hub'ında kullanılmak üzere geliştirilmiştir. NVA teklifi yönetilen uygulama olarak Azure Market yayımlanır ve müşteriler teklifi doğrudan Azure Market dağıtabilir.

İşlem genel bakışı

Her iş ortağının NVA teklifi, dağıtım gereksinimlerine göre biraz farklı bir deneyime ve işlevselliğe sahip olacaktır.

Yönetilen uygulama

bir Sanal WAN hub'ına dağıtılmaya uygun tüm NVA teklifleri, Azure Market'de kullanılabilen bir yönetilen uygulamaya sahip olur. Yönetilen uygulamalar, iş ortaklarının aşağıdakileri yapmalarına olanak tanır:

  • NVA'ları için özel bir dağıtım deneyimi oluşturun.
  • NVA'nın doğrudan bir Sanal WAN hub'ında oluşturulmasını sağlayan özel bir Resource Manager şablonu sağlayın.
  • Yazılım lisanslama maliyetlerini doğrudan veya Azure Market üzerinden faturalandır.
  • Özel özellikleri ve kaynak ölçümlerini kullanıma sunma.

NVA İş Ortakları alet dağıtımı, yapılandırma lisanslama ve yönetim gereksinimlerine bağlı olarak farklı kaynaklar oluşturabilir. Müşteri, tüm yönetilen uygulamalar gibi bir Sanal WAN hub'ında bir NVA oluşturduğunda, aboneliğinde iki kaynak grubu oluşturulur.

  • Müşteri kaynak grubu - Bu, yönetilen uygulama için bir uygulama yer tutucusu içerir. İş ortakları, burada seçtikleri müşteri özelliklerini kullanıma açmak için bunu kullanabilir.
  • Yönetilen kaynak grubu - Yönetilen uygulamanın yayımcısı tarafından denetlendiğinden müşteriler bu kaynak grubundaki kaynakları doğrudan yapılandıramaz veya değiştiremez. Bu kaynak grubu NetworkVirtualAppliances kaynağını içerir.

Yönetilen Uygulama kaynak grupları

Yönetilen kaynak grubu izinleri

Varsayılan olarak, tüm yönetilen kaynak gruplarının tümünü reddet Microsoft Entra ataması vardır. Tümünü reddet atamaları, müşterilerin Ağ Sanal Gereci kaynakları da dahil olmak üzere yönetilen kaynak grubundaki tüm kaynaklarda yazma işlemlerini çağırmasını engeller.

Ancak iş ortakları, müşterilerin yönetilen kaynak gruplarında dağıtılan kaynaklarda gerçekleştirmesine izin verilen belirli eylemler için özel durumlar oluşturabilir.

Mevcut yönetilen kaynak gruplarındaki kaynaklar üzerindeki izinler, iş ortakları tarafından izin verilen yeni eylemler eklendiğinden ve el ile yenileme gerektirdiği için dinamik olarak güncelleştirilmez.

Yönetilen kaynak gruplarında izinleri yenilemek için müşteriler Yenileme İzinleri REST API'sini kullanabilir.

Not

Yeni izinleri düzgün uygulamak için, yenileme izinleri API'sini targetVersion ek sorgu parametresiyle çağırmak gerekir. targetVersion değeri sağlayıcıya özgüdür. En son sürüm numarası için lütfen sağlayıcınızın belgelerine başvurun.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}

NVA Altyapı Birimleri

bir Sanal WAN hub'ında NVA oluşturduğunuzda, bunu dağıtmak istediğiniz NVA Altyapı Birimi sayısını seçmeniz gerekir. NVA Altyapı Birimi, Sanal WAN hub'ında bir NVA için toplu bant genişliği kapasitesi birimidir. NVA Altyapı Birimi, kapasite ve boyutlandırma hakkında düşünme şekliniz açısından VPN Ölçek Birimine benzer.

  • NVA Altyapı Birimleri, NVA'ların dağıtıldığı sanal makine altyapısının ne kadar toplama ağ aktarım hızı desteklediğine ilişkin bir kılavuzdır. 1 NVA Altyapı Birimi, 500 Mb/sn toplam aktarım hızına karşılık gelir. Bu 500 Mb/sn'lik sayı, Ağ Sanal Gereçleri üzerinde çalışan yazılım arasındaki farkları dikkate almaz. NVA veya iş ortağına özgü yazılım uygulamasında açık özelliklere bağlı olarak şifreleme/şifre çözme, kapsülleme/kapsülleme veya derin paket incelemesi gibi ağ işlevleri daha yoğun olabilir. Bu, NVA altyapı biriminden daha az aktarım hızı görebileceğiniz anlamına gelir. NVA altyapı birimlerinin beklenen aktarım hızına Sanal WAN eşlemesi için lütfen satıcıya başvurun.
  • Belirli bir NVA sanal hub dağıtımı için 2-80 NVA Altyapı Birimi arasında dağıtımlar Azure desteği, ancak iş ortakları hangi ölçek birimlerini destekleyeceklerini seçebilir. Bu nedenle, tüm olası ölçek birimi yapılandırmalarını dağıtamayabilirsiniz.

Sanal WAN'deki NVA'lar, seçilen belirli bir ölçek birimi için satıcıya özgü aktarım hızı numaralarını her zaman en düşük düzeyde elde edebilmenizi sağlamak için dağıtılır. Bunu başarmak için, Sanal WAN'daki NVA'lar 'n+1' şeklinde birden çok örnek biçiminde ek kapasiteyle fazla sağlanır. Başka bir deyişle, herhangi bir zamanda örnekler genelinde toplam aktarım hızının satıcıya özgü aktarım hızı sayılarından daha büyük olduğunu görebilirsiniz. Bu, bir örneğin iyi durumda olmamasını sağlar; kalan 'n' örnekler müşteri trafiğine hizmet verebilir ve bu ölçek birimi için satıcıya özgü aktarım hızı sağlayabilir.

Belirli bir zamanda bir NVA'dan geçen toplam trafik miktarı, seçilen ölçek birimi için satıcıya özgü aktarım hızı numaralarının üzerine çıkarsa, rutin Azure platformu bakım etkinlikleri veya yazılım yükseltmeleri dahil ancak bunlarla sınırlı olmamak üzere bir NVA örneğinin kullanılamamasına neden olabilecek olaylar hizmet veya bağlantı kesintisine neden olabilir. Hizmet kesintilerini en aza indirmek için, test sırasında gözlemlenen en iyi durum aktarım hızı numaralarının aksine, belirli bir ölçek birimi için en yüksek trafik profilinize ve satıcıya özgü aktarım hızı numaralarına göre ölçek birimini seçmeniz gerekir.

NVA yapılandırma işlemi

İş ortakları, dağıtım işleminin bir parçası olarak NVA'yi otomatik olarak yapılandıran bir deneyim sağlamak için çalıştı. NVA sanal hub'a sağlandıktan sonra, NVA için gerekli olabilecek tüm ek yapılandırmaların NVA iş ortakları portalı veya yönetim uygulaması aracılığıyla yapılması gerekir. NVA'ya doğrudan erişim kullanılamaz.

NVA'larla site ve bağlantı kaynakları

Sanal WAN Siteden siteye VPN ağ geçidi yapılandırmalarından farklı olarak, dal sitelerinizi bir Sanal WAN hub'ında NVA'nıza bağlamak için Site kaynakları, Siteden Siteye bağlantı kaynakları veya noktadan siteye bağlantı kaynakları oluşturmanız gerekmez.

Sanal WAN hub'ınızı Azure sanal ağlarınıza bağlamak ve ExpressRoute, Siteden siteye VPN veya Uzak Kullanıcı VPN bağlantılarını bağlamak için hub'dan sanal ağa bağlantılar oluşturmanız gerekir.

Desteklenen bölgeler

Sanal hub'daki NVA aşağıdaki bölgelerde kullanılabilir:

Jeopolitik bölge Azure bölgeleri
Kuzey Amerika Orta Kanada, Doğu Kanada, Orta ABD, Doğu ABD, Doğu ABD 2, Orta Güney ABD, Orta Kuzey ABD, Orta Batı ABD, Batı ABD, Batı ABD 2
Güney Amerika Güney Brezilya, Güneydoğu Brezilya
Avrupa Orta Fransa, Güney Fransa, Kuzey Almanya, Orta Batı Almanya, Kuzey Avrupa, Doğu Norveç, Batı Norveç, Kuzey İsviçre, Batı İsviçre, Güney Birleşik Krallık, Birleşik Krallık Batı, Batı Avrupa, İsveç Orta, İtalya Kuzey
Orta Doğu BAE Kuzey, Orta Katar, orta İsrail
Asya Doğu Asya, Doğu Japonya, Batı Japonya, Orta Kore, Güney Kore, Güneydoğu Asya
Avustralya Avustralya Güneydoğu, Doğu Avustralya, Orta Avustralya, Orta Avustralya Orta Avustralya 2
Afrika Güney Afrika - Kuzey
Hindistan Güney Hindistan, Batı Hindistan, Orta Hindistan

NVA SSS

Ağ sanal gereci (NVA) iş ortağıyım ve NVA'mızı hub'a almak istiyorum. Bu iş ortağı programına katılabilir miyim?

Ne yazık ki şu anda yeni iş ortağı tekliflerini ekleme kapasitemiz yok. Daha sonraki bir tarihte bizimle tekrar kontrol edin!

Azure Market Sanal WAN hub'ına herhangi bir NVA dağıtabilir miyim?

yalnızca İş Ortakları bölümünde listelenen iş ortakları Sanal WAN hub'ına dağıtılabilir.

NVA'nın maliyeti nedir?

NVA satıcısından NVA için bir lisans satın almalısınız. Kendi lisansını getir (KLG), bugün desteklenen tek lisanslama modelidir. Ayrıca Microsoft, kullandığınız NVA Altyapı Birimleri ve kullandığınız diğer kaynaklar için ücretlendirilir. Daha fazla bilgi için bkz . Fiyatlandırma kavramları.

Temel hub'a NVA dağıtabilir miyim?

Hayır, NVA dağıtmak istiyorsanız Standart hub kullanmalısınız.

Güvenli hub'a NVA dağıtabilir miyim?

Evet. İş ortağı NVA'ları Azure Güvenlik Duvarı ile bir hub'a dağıtılabilir.

Şube ofisimdeki herhangi bir cihazı hub'daki NVA'ma bağlayabilir miyim?

Hayır, Barracuda CloudGen WAN yalnızca Barracuda edge cihazlarıyla uyumludur. CloudGen WAN gereksinimleri hakkında daha fazla bilgi edinmek için Barracuda'nın CloudGen WAN sayfasına bakın. Cisco için uyumlu birkaç SD-WAN cihazı vardır. Uyumlu cihazlar için Çoklu Bulut için Cisco Cloud OnRamp belgelerine bakın. Herhangi bir soruyla sağlayıcınıza ulaşın.

Merkezdeki NVA ile hangi yönlendirme senaryoları desteklenir?

Sanal WAN tarafından desteklenen tüm yönlendirme senaryoları hub'daki NVA'larla desteklenir.

Hangi bölgeler desteklenmektedir?

Desteklenen bölgeler için bkz . NVA tarafından desteklenen bölgeler.

Merkezdeki NVA'mı Nasıl yaparım? sildim?

Ağ Sanal Gereci kaynağı Yönetilen Uygulama aracılığıyla dağıtıldıysa Yönetilen Uygulamayı silin. Yönetilen Uygulama silindiğinde Yönetilen Kaynak Grubu ve ilişkili Ağ Sanal Gereci kaynağı otomatik olarak silinir.

Yönlendirme İlkesi için sonraki atlama kaynağı olan NVA'ları silemezsiniz. NVA'yı silmek için önce Yönlendirme İlkesi'ni silin.

Ağ Sanal Gereci kaynağı iş ortağı düzenleme yazılımı aracılığıyla dağıtıldıysa, Ağ Sanal Gereci'ni silmek için iş ortağı belgelerine başvurun.

Alternatif olarak, aşağıdaki PowerShell komutunu çalıştırarak Ağ Sanal Gerecinizi silebilirsiniz.

  1. Silmek istediğiniz NVA'nın Azure kaynak grubunu bulun. Azure kaynak grubu genellikle Sanal WAN hub'ına dağıtılan kaynak grubundan farklıdır. NVA kaynağının Sanal Hub özelliğinin silmek istediğiniz NVA'ya karşılık olduğundan emin olun. Aşağıdaki örnekte, aboneliğinizdeki tüm NVA'ların farklı adlara sahip olduğu varsayılır. Aynı ada sahip birden çok NVA varsa, silmek istediğiniz NVA ile ilişkili bilgileri topladığınızdan emin olun.

    $nva = Get-AzNetworkVirtualAppliance -Name <NVA name>
    $nva.VirtualHub
    
  2. NVA'yi silin.

    Remove-AzNetworkVirtualAppliance -Name $nva.Name -ResourceGroupName $nva.ResourceGroupName
    

Aynı adım serisi Azure CLI'dan yürütülebilir.

  1. Silmek istediğiniz NVA'nın Azure kaynak grubunu bulun. Azure kaynak grubu genellikle Sanal WAN hub'ına dağıtılan kaynak grubundan farklıdır. NVA kaynağının Sanal Hub özelliğinin silmek istediğiniz NVA'ya karşılık olduğundan emin olun.
     az network virtual-appliance list
    
  2. NVA'yi silme
     az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <NVA name>
    

Sonraki adımlar

Sanal WAN hakkında daha fazla bilgi edinmek için Sanal WAN Genel Bakış makalesine bakın.