連接分支機構(gòu)到云端有三種常見方式。我們分析每種方式的優(yōu)缺點。

許多企業(yè)正在執(zhí)行云服務(wù)優(yōu)先戰(zhàn)略，隨后是應(yīng)用現(xiàn)代化——包括SD-WAN技術(shù)。采用云原生架構(gòu)，使用容器化、微服務(wù)或無服務(wù)器架構(gòu)如SD-WAN可以長期降低成本，提升可擴展性，縮短開發(fā)周期，加快上市時間。

下一個挑戰(zhàn)是確保分支機構(gòu)能夠訪問這個現(xiàn)已現(xiàn)代化、基于公有云的應(yīng)用。但如果仍有許多遺留應(yīng)用托管在私有云，或者服務(wù)托管在第二、第三公有云提供商中呢？

隨著SD-WAN的普及以及越來越多的企業(yè)WAN從MPLS遷移到基于寬帶的底層，業(yè)務(wù)關(guān)鍵流量現(xiàn)在通過盡力而為的公共互聯(lián)網(wǎng)連接而傳輸。這一向“云驅(qū)動分支”的新轉(zhuǎn)變需要從企業(yè)架構(gòu)角度重新設(shè)計。

一種選擇是將分支站點的云端流量帶回數(shù)據(jù)中心，再向云端傳輸，理想情況下通過私有連接。這種方法效果不錯，但根據(jù)企業(yè)數(shù)據(jù)中心的地理位置，也可能引入發(fā)夾效應(yīng)，顯著增加延遲并降低應(yīng)用性能。第二種選擇是允許分支機構(gòu)直接與云端通信。

實現(xiàn)這一點的方法多種多樣，具體如下：

云網(wǎng)絡(luò)服務(wù)提供商VPN網(wǎng)關(guān)（AWS VPG、Azure VNG、Google Cloud VPN）

基于云網(wǎng)絡(luò)的SD-WAN（包括AWS Transit VPC、Azure虛擬廣域網(wǎng)、Google Cloud NCC）

通過網(wǎng)絡(luò)即服務(wù)（恒訊科技虛擬邊緣）實現(xiàn)邊緣連接。

標(biāo)準(zhǔn)分支云端帶VPN隧道

讓我們考慮一家中型零售企業(yè)，在美國各地擁有40個分支機構(gòu)，需要訪問托管在云端的銷售點/庫存管理平臺。

一個快速且可靠的解決方案是利用云服務(wù)提供商提供的標(biāo)準(zhǔn)站點對站點VPN網(wǎng)關(guān)。在AWS環(huán)境中，這意味著通過公共互聯(lián)網(wǎng)構(gòu)建IPsec隧道，連接到一個虛擬私有云（VPC）的虛擬私有網(wǎng)關(guān)。

這種設(shè)計的缺點是一對一規(guī)則，Azure同樣適用，因為它們的對應(yīng)物（VPN網(wǎng)關(guān)）也只能連接到單個VNet。由于虛擬網(wǎng)絡(luò)僅限于一個網(wǎng)關(guān)，這意味著如果企業(yè)構(gòu)建第二個虛擬網(wǎng)絡(luò)，就需要第二個VGW和通往所有40個分支站點的新IPsec隧道。

云服務(wù)提供商有最多數(shù)量的分支站點隧道，這些隧道連接到一個VPN網(wǎng)關(guān)。對于Azure，在Gen High Spec VpnGw上，這個數(shù)字是100，AWS是10（但可以申請增加）。

網(wǎng)絡(luò)速度也有上限。一個常見的誤解是IPsec通道到云端的帶寬限制在1.25 Gbps——實際上，這正是網(wǎng)關(guān)的總吞吐量。所以如果你配置40個分支站點，它們會共享1.25 Gbps的帶寬，導(dǎo)致每個站點的吞吐量只有30 Mbps，隨著站點的增加而下降。

還需要考慮的是，每個分支站點的流量將100%通過公共互聯(lián)網(wǎng)傳輸，可能會面臨不可預(yù)測的抖動、丟包和延遲。由于云到分支站點的流量是通過公共互聯(lián)網(wǎng)傳輸?shù)模虼藢⒚媾R更高的標(biāo)準(zhǔn)云服務(wù)提供商出口或數(shù)據(jù)傳輸（DTO）費用，每從你的虛擬網(wǎng)絡(luò)流出一千兆位，大約是8美分。

云托管SD-WAN邊緣

為了克服上述基于VPN隧道設(shè)計的挑戰(zhàn)，云服務(wù)提供商和傳統(tǒng)網(wǎng)絡(luò)硬件廠商（如恒訊科技合作伙伴思科、帕洛阿爾托和福泰內(nèi)特）開發(fā)了能夠集成到企業(yè)SD-WAN中的解決方案。

SD-WAN 是一種虛擬化 WAN 架構(gòu)，利用 MPLS、寬帶和 LTE 等底層傳輸方式的混合，將分支站點連接到托管在私有云和公共云中的應(yīng)用程序。SD-WAN 的一個關(guān)鍵優(yōu)勢是控制和路由功能的集中化，這些功能能夠通過覆蓋 WAN 引導(dǎo)流量路徑。

雖然存在細微差別，但該架構(gòu)通過基礎(chǔ)設(shè)施即服務(wù)（IaaS）將SD-WAN結(jié)構(gòu)擴展到公共云，然后從云服務(wù)提供商的市場（BYOL，或自帶許可證）加載SD-WAN供應(yīng)商軟件。這使得部署速度極快，實現(xiàn)高度自動化，并通過SD-WAN廠商的管理控制臺簡化作。

讓我們先看看AWS中的基于IaaS的解決方案及其關(guān)鍵組件。第一個是Transit VPC，它是所有分支站點流量的中央樞紐，也是應(yīng)用虛擬專用云（VPC）的通道。

在“Connect”VPC中啟動兩臺虛擬機，然后加載SD-WAN廠商的映像，創(chuàng)建兩個虛擬路由器，這些路由器可由Cisco Catalyst SD-WAN Manager、FortiManager或同等設(shè)備管理。底層 AWS 虛擬機的按小時收費取決于構(gòu)建過程中選擇的規(guī)格。

為了冗余，建議每個分支站點都為每個虛擬路由器構(gòu)建隧道。使用類似BGP的路由協(xié)議，應(yīng)用程序VPC中的私有子網(wǎng)會被廣播給虛擬路由器，虛擬路由器再將這些子網(wǎng)重新公告給40個分支站點。

隨著SD-WAN分支站點數(shù)量的增加，可能需要額外的虛擬機（路由器），因為由于需要大量的IPsec隧道加密/解密，可能會存在CPU和帶寬的限制。

該SD-WAN方案仍使用公共互聯(lián)網(wǎng)，因此將收取標(biāo)準(zhǔn)的出口費用，但還有一個隱藏費用需要注意，即可能出現(xiàn)雙重出口費用。由于北行連接使用互聯(lián)網(wǎng)IPsec隧道，每從應(yīng)用VPC流向Transit VPC的每GB傳輸，都會收取費用。如果流量是發(fā)往分支站點，那么當(dāng)流量向南離開Transit VPC時，將額外按GB收取費用。實際上，客戶每獲得一個分支站點的 GB 地址就被收取雙重出入口費用。

根據(jù)工作負載和流量，基于IaaS的SD-WAN解決方案對許多企業(yè)來說效果極佳。

讓我們來考慮當(dāng)引入第二個云服務(wù)提供商以避免供應(yīng)商鎖定、規(guī)劃業(yè)務(wù)連續(xù)性，或使用內(nèi)部運行最佳的新應(yīng)用時會發(fā)生什么——例如Microsoft Azure。架構(gòu)變得更加復(fù)雜，因為現(xiàn)在所有40個分支站點都需要訪問AWS VPC和新的Azure VNet。

在Azure環(huán)境中，會部署虛擬廣域網(wǎng)并創(chuàng)建虛擬樞紐VNet（在許多方面類似于AWS Transit VPC）。同樣，雙虛擬機會在這個樞紐中啟動，并加載SD-WAN軟件，創(chuàng)建網(wǎng)絡(luò)虛擬設(shè)備（NVA）。

現(xiàn)有分支站點通過IPsec隧道連接到Azure虛擬樞紐中的兩個NVA（除了已有的兩條AWS隧道外）。正如你從上面的圖中推斷的，這意味著現(xiàn)在有數(shù)百條IPsec隧道。

到目前為止，我們只考慮了分支到云流程中的多云，但也可能有云到云連接的需求;一個例子可能是跨云數(shù)據(jù)復(fù)制。

這里的選擇是將流量緊急化回本地數(shù)據(jù)中心（這會帶來更高的延遲），或者在Azure虛擬樞紐和AWS Transit VPC之間建設(shè)新的IPsec隧道，這當(dāng)然會產(chǎn)生互聯(lián)網(wǎng)出口費用和隧道速度限制。

云托管的SD-WAN支持恒訊科技虛擬邊緣

恒訊科技虛擬邊緣（MVE）結(jié)合私有二層云連接，解決了上述兩種解決方案中發(fā)現(xiàn)的許多痛點。

MVE通過賦予你戰(zhàn)略性構(gòu)建關(guān)鍵應(yīng)用的最佳路徑的能力，增強你現(xiàn)有的企業(yè)SD-WAN平臺，無論它們所在位置如何。本質(zhì)上，MVE使企業(yè)能夠在幾分鐘內(nèi)搭建自己的虛擬連接中心，并利用恒訊科技的全球軟件定義網(wǎng)絡(luò)（SDN）擴大廣域網(wǎng)覆蓋范圍。

恒訊科技的每個MVE都會區(qū)至少包含兩個數(shù)據(jù)中心和可擴展的恒訊科技互聯(lián)網(wǎng)選項，支持MVE可用性區(qū)域，以實現(xiàn)端到端WAN彈性。全球共有120多個MVE地點可供選擇。

讓我們深入了解MVE的核心要素和能力。

通過將網(wǎng)絡(luò)功能虛擬化（NFV）與恒訊科技的私有軟件定義網(wǎng)絡(luò)集成，MVE實現(xiàn)了包括下一代防火墻（NGFW）、軟件定義廣域網(wǎng)（SD-WAN）網(wǎng)關(guān)以及通過單一直觀平臺實現(xiàn)虛擬路由在內(nèi)的虛擬網(wǎng)絡(luò)功能。

恒訊科技MVE 支持多家行業(yè)領(lǐng)先供應(yīng)商

MVE通過恒訊科技門戶為用戶提供設(shè)備規(guī)模選擇，從2個vCPU到32個vCPU設(shè)備不等，同時RAM和存儲會根據(jù)不同廠商和vCPU容量進行優(yōu)化。

MVE在企業(yè)WAN結(jié)構(gòu)中可像普通SD-WAN設(shè)備一樣管理，可通過Cisco Catalyst SD-WAN Manager、FortiManager或類似設(shè)備進行配置。

分支流量通過首英里本地互聯(lián)網(wǎng)到達MVE，通常根據(jù)距離不同，時間小于10毫秒。從那里，MVE可以訪問全球恒訊科技架構(gòu)，該網(wǎng)絡(luò)包括超過333個 公有云入口，支持私有二層連接（如AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect、Oracle Cloud等）。

工作原理

SD-WAN分支站點可以通過冗余的恒訊科技互聯(lián)網(wǎng)和恒訊科技提供的公共IP地址，為MVE構(gòu)建IPsec附件。分支流量到達MVE后，企業(yè)可以將分支站點流量集中到一個集中的MVE地點，快速將其從公共互聯(lián)網(wǎng)IPsec隧道中轉(zhuǎn)移，并通過恒訊科技骨干網(wǎng)將流量重新路由到主要云服務(wù)提供商，從而獲得多項好處。

優(yōu)點

應(yīng)用性能：此前通過公共互聯(lián)網(wǎng)訪問云端應(yīng)用的分支機構(gòu)將獲得性能提升。現(xiàn)在只有“第一英里”會穿越互聯(lián)網(wǎng)，而大部分路徑將通過恒訊科技骨干網(wǎng)，從而減少抖動、延遲和丟包。

訪問恒訊科技架構(gòu)：MVE提供對恒訊科技生態(tài)系統(tǒng)的410+服務(wù)提供商和1000服務(wù)提供商的訪問 全球已啟用+數(shù)據(jù)中心，包括333個 + 云端匝道——是所有中立的網(wǎng)絡(luò)即服務(wù)（NaaS）提供商中最多的。

運營支出減少：通過使用超大規(guī)模運營商的私有連接而非互聯(lián)網(wǎng)IPsec隧道，可以顯著降低出軌費用。在北美，這意味著平均每GB8美分降至約2美分。

網(wǎng)絡(luò)簡化：一個40個站點的IaaS解決方案示例，每個站點至少需要四個IPsec隧道，也就是說至少需要160條隧道。這些設(shè)備每個都需要30個IP地址和鏈路狀態(tài)通知，會在分支機構(gòu)和基于云的虛擬路由器中占用寶貴的CPU資源。通過轉(zhuǎn)向MVE，企業(yè)可以大幅降低網(wǎng)絡(luò)架構(gòu)的復(fù)雜性。

SD-WAN的效率：將您的SD-WAN平臺與MVE集成，可以利用恒訊科技的虛擬交叉連接（VXC）在廣域網(wǎng)內(nèi)構(gòu)建戰(zhàn)略性的中英里運輸。SD-WAN流量整形服務(wù)將立即利用這些更高效的端到端應(yīng)用流程路徑。

點播：數(shù)據(jù)中心無需購買或安裝設(shè)備，也無需運行交叉連接。MVE（類似于IaaS解決方案）可以實時配置，幾分鐘內(nèi)即可使用。

云到云：最后，由于MVE為AWS和Azure提供私有二層連接，任何云到云的流量都可以利用這些私有連接，同時避免昂貴的IPsec隧道或回流到本地路由器的復(fù)雜流量。

SD-WAN的核心優(yōu)勢在于能夠塑造應(yīng)用流量，并在多個WAN傳輸中進行引導(dǎo)。將恒訊科技虛擬邊緣插入企業(yè)級WAN結(jié)構(gòu)，可以讓你對WAN有更大的靈活性和控制權(quán)，優(yōu)化應(yīng)用（而云托管的SD-WAN邊緣并不總是能實現(xiàn)這一點）。MVE還能幫你節(jié)省大量撤離費用，同時簡化你的網(wǎng)絡(luò)。

恒訊科技 可以在北美、亞太和歐洲的 120 多個地點托管您的 SD-WAN 邊緣路由器虛擬實例。

云托管SD-WAN用于IaaS的隱藏成本可能因性能權(quán)衡、架構(gòu)復(fù)雜性和高昂的撤離費用而迅速累積。相比之下，恒訊科技虛擬邊緣（MVE）提供了一種更簡單、更具成本效益且性能更高的替代方案，能夠無縫集成領(lǐng)先的SD-WAN供應(yīng)商。

MVE通過直接訪問恒訊科技的全球架構(gòu)、數(shù)百個云入口匝道以及超過1000個啟用的數(shù)據(jù)中心，為企業(yè)提供了在多云環(huán)境中擴展、降低成本和優(yōu)化應(yīng)用性能的靈活性。