Aruba SD-Branch實(shí)現(xiàn)與AWS的全面自動(dòng)化集成

過去幾年中，企業(yè)已將工作負(fù)載迅速轉(zhuǎn)移至公有云平臺(tái)，例如Amazon Web Services（AWS）、Microsoft Azure和Google Cloud。最近幾個(gè)月，隨著COVID-19疫情的影響，這一趨勢進(jìn)一步加速。企業(yè)已經(jīng)學(xué)會(huì)廣泛利用這些解決方案提供的IaaS（基礎(chǔ)設(shè)施即服務(wù)）和PaaS（平臺(tái)即服務(wù)）功能，而且在許多情況下，都設(shè)有特定的目標(biāo)，以將本地?cái)?shù)據(jù)中心工作負(fù)載完全遷移至云提供商數(shù)據(jù)中心。因此，通過中樞和分支網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將分支機(jī)構(gòu)和遠(yuǎn)程辦公人員的所有網(wǎng)絡(luò)流量引導(dǎo)至本地?cái)?shù)據(jù)中心的傳統(tǒng)WAN連接模型已演變?yōu)楦鼜?fù)雜的連接模型，因此WAN拓?fù)湟哺鼜?fù)雜。但好消息是，這樣的拓?fù)湓诓渴鸷凸芾砩喜⒉粡?fù)雜。

Aruba SD-Branch解決方案可以通過自動(dòng)編排的連接與多家云提供商，比如AWS無縫集成，可簡化遠(yuǎn)程分支機(jī)構(gòu)、居家辦公人員和園區(qū)位置的SD-WAN網(wǎng)關(guān)部署。在本文中，我們將研究Aruba SD-Branch與AWS之間的深度集成及其能夠帶來的優(yōu)勢。我們還將探索與AWS Transit Gateway的集成如何大幅簡化與AWS的連接。

Aruba虛擬網(wǎng)關(guān)的全自動(dòng)化部署

當(dāng)客戶部署SD-WAN以連接到本地?cái)?shù)據(jù)中心時(shí)，通常會(huì)部署頭端（Hub）網(wǎng)關(guān)。這些網(wǎng)關(guān)一般位于數(shù)據(jù)中心DMZ中（在外圍防火墻之后），并通過DMZ中的安全服務(wù)區(qū)域，將SD-WAN安全結(jié)構(gòu)擴(kuò)展到數(shù)據(jù)中心。Aruba SD-WAN Orchestrator可自動(dòng)執(zhí)行SD-WAN結(jié)構(gòu)上的所有路由，且前端網(wǎng)關(guān)使用BGP或OSPF，與數(shù)據(jù)中心核心交換機(jī)和路由器交換路由。使用AWS虛擬私有云（VPC），在云數(shù)據(jù)中心環(huán)境中也可實(shí)現(xiàn)類似的部署模型。

在通常稱為“邊緣VPC”之處部署有Aruba虛擬網(wǎng)關(guān)（vGW*），而非硬件的前端網(wǎng)關(guān)。由于這是一個(gè)虛擬環(huán)境，因此部署vGW需要許多配置步驟，即：

·在正確的環(huán)境中啟動(dòng)vGW

·跨多個(gè)可用區(qū)（AZ）部署

·連接到虛擬網(wǎng)絡(luò)接口（ENI）

·連接到AWS Transit Gateway

·創(chuàng)建和修改路由表

連接到SD-WAN結(jié)構(gòu)，并確?？蓮谋镜卣军c(diǎn)訪問應(yīng)用程序

熟悉AWS網(wǎng)絡(luò)的工程師可依照手動(dòng)操作流程來實(shí)施這些更改。但是，這往往很麻煩，且容易出錯(cuò)。Aruba通過Aruba Central來編排部署，可實(shí)現(xiàn)Aruba vGW的完全自動(dòng)化部署，從而簡化整體流程。用戶需要提供四項(xiàng)信息：

·AWS Identity and Access Management（IAM）憑證

·部署vGW的VPC

·選擇vGW的大?。ㄍ掏铝吭?00Mbs到4Gbps之間）

·是否要跨可用區(qū)（AZ）部署并實(shí)現(xiàn)高可用性

……這樣就完成了！

以下步驟是完全自動(dòng)化的：

·客戶的虛擬私有云（VPC）和AWS Transit Gateway會(huì)自動(dòng)被發(fā)現(xiàn)

·Aruba vGW實(shí)例自動(dòng)啟動(dòng)，并連接到Aruba Central，以實(shí)現(xiàn)控制和管理平面功能

·根據(jù)用戶配置，Aruba vGW可跨可用區(qū)自動(dòng)部署并實(shí)現(xiàn)高可用性

·Aruba vGW通過AWS Internet Gateway（IGW）和AWS VPN Gateway（VGW）連接到SD-WAN結(jié)構(gòu)

·創(chuàng)建并修改路由表，以反映需要共享的子網(wǎng)和故障轉(zhuǎn)移策略

·Aruba vGW實(shí)例自動(dòng)發(fā)現(xiàn)并與AWS Transit Gateway建立對等關(guān)系

·如有需要，監(jiān)控信息會(huì)與AWS Transit Gateway Network Manager共享

這些步驟由幾次單擊觸發(fā)，使本地站點(diǎn)可無縫連接到AWS中的工作負(fù)載。管理員可在幾分鐘內(nèi)將新的云數(shù)據(jù)中心與運(yùn)行Aruba SD-WAN的所有站點(diǎn)連接起來。查看AWS Transit Gateway的方式類似于傳統(tǒng)本地?cái)?shù)據(jù)中心中的數(shù)據(jù)中心核心路由器。本質(zhì)上，AWS Transit Gateway充當(dāng)連接區(qū)域內(nèi)和跨區(qū)域所有VPC的中央樞紐?？稍贏ruba Central和AWS Transit Gateway Network Manager儀表板上的“拓?fù)湟晥D”中看到AWS Transit Gateway和Aruba vGW。

圖1：與AWS Transit Gateway對等的Aruba虛擬網(wǎng)關(guān)

輕松連接本地和云數(shù)據(jù)中心

越來越多的客戶擁有混合環(huán)境，其工作負(fù)載運(yùn)行在本地?cái)?shù)據(jù)中心，主機(jī)托管設(shè)施和公有云（AWS VPC）中。從本質(zhì)上講，這些可被視為需要與統(tǒng)一SD-WAN結(jié)構(gòu)連接的中樞位置。Aruba SD-Branch解決方案具備自動(dòng)形成中樞網(wǎng)格的功能，可通過MPLS和互聯(lián)網(wǎng)傳輸，把本地?cái)?shù)據(jù)中心站點(diǎn)和云數(shù)據(jù)中心站點(diǎn)連接在一起。企業(yè)可通過部署Aruba SD-Branch，在構(gòu)建網(wǎng)格時(shí)利用Aruba SD-WAN Orchestrator避免復(fù)雜的配置，Aruba SD-WAN Orchestrator在中樞位置之間自動(dòng)創(chuàng)建網(wǎng)格連接，并提供具有可遷路由功能的動(dòng)態(tài)路由?？蛇w路由能夠?yàn)榭蛻籼峁┎渴痨`活性，以及更高的彈性。

圖2：帶有中樞網(wǎng)格的可遷路由

在給定的拓?fù)渲?，位于?shù)據(jù)中心的VPNC、AWS美國西部地區(qū)的Aruba vGW、以及AWS歐洲地區(qū)的Aruba vGW由Aruba SD-Branch自動(dòng)連接成網(wǎng)格。當(dāng)VPNC和歐洲vGW之間的連接失敗時(shí)，從數(shù)據(jù)中心到歐洲地區(qū)AWS的流量將自動(dòng)重新路由到美國西部的vGW，充當(dāng)傳輸躍點(diǎn)。可遷路由可以運(yùn)行在任何中樞點(diǎn)，包括運(yùn)行在AWS中的Aruba vGW。

精心編排的多區(qū)域連接

SD-WAN網(wǎng)格可以擴(kuò)展并連接多個(gè)AWS區(qū)域。一旦確定了云中樞點(diǎn)，SD-WAN Orchestrator將負(fù)責(zé)將其連接在一起，在公共和專用電路之間自動(dòng)構(gòu)建安全疊加層，并且通過智能路由成本計(jì)算，動(dòng)態(tài)學(xué)習(xí)并交換路由，從而在避免環(huán)路的情況下提供最佳連接性。部署后，用戶可訪問在本地和云環(huán)境中運(yùn)行的應(yīng)用程序。

除MPLS和互聯(lián)網(wǎng)傳輸之外，企業(yè)還可利用AWS骨干網(wǎng)，借助AWS Transit Gateway跨區(qū)域?qū)Φ冗B接，采用SD-WAN網(wǎng)格結(jié)構(gòu)，為區(qū)域間連接構(gòu)建WAN核心。網(wǎng)絡(luò)管理員可通過Aruba Central上的單個(gè)儀表板，查看整體實(shí)時(shí)拓?fù)?，包括控制連接、路由和通路，極大程度上簡化網(wǎng)絡(luò)管理。

圖3：使用AWS和Aruba SD-Branch進(jìn)行多區(qū)域部署

Aruba Cloud Connect提供與AWS Transit Gateway的一鍵式連接

盡管在AWS上運(yùn)行的Aruba vGW提供了一種將Aruba SD-WAN擴(kuò)展到AWS的簡便方法，但是在某些情況下，企業(yè)可能只希望將VPN連接擴(kuò)展到AWS Transit Gateway，以便使數(shù)據(jù)中心或遠(yuǎn)程分支機(jī)構(gòu)/園區(qū)站點(diǎn)中的本地設(shè)備能夠直接與AWS Transit Gateway對等連接。借助Aruba Central上的Aruba Cloud Connect服務(wù)，連接到AWS Transit Gateway的整個(gè)流程將實(shí)現(xiàn)自動(dòng)化。網(wǎng)絡(luò)管理員只需通過附加選項(xiàng)來選擇加速VPN，即可簡單地確定需要連接到AWS Transit Gateway的站點(diǎn)集，這樣就完成了！

Aruba Cloud Connect在后臺(tái)通過API與AWS進(jìn)行對話，就連接性和配置參數(shù)進(jìn)行協(xié)商，并交換網(wǎng)絡(luò)狀態(tài)，以實(shí)現(xiàn)對本地和云資源的可見性。站點(diǎn)啟用后，將自動(dòng)設(shè)置與AWS Transit Gateway的VPN連接以及所需的BGP對等連接。網(wǎng)絡(luò)管理員可通過Aruba Central或AWS Transit Gateway Network Manager，主動(dòng)監(jiān)視連接狀態(tài)。

Aruba SD-Branch為客戶提供多種部署選擇

Aruba SD-Branch解決方案為連接到AWS的客戶提供了多種部署選項(xiàng)。部署Aruba SD-Branch的企業(yè)都喜歡它帶來的自動(dòng)化和靈活性，可輕松將其SD-WAN連接并擴(kuò)展到AWS。通過與Aruba SD-Branch解決方案的深度集成，我們的客戶能夠利用AWS Transit Gateway提供的最新AWS網(wǎng)絡(luò)功能。Aruba SD-Branch的主要優(yōu)勢如下：

·高性能Aruba虛擬網(wǎng)關(guān)，可實(shí)現(xiàn)大規(guī)模IPsec（VPN）支持

·實(shí)現(xiàn)Aruba SD-WAN虛擬網(wǎng)關(guān)的自動(dòng)化部署

·高可用性，可實(shí)現(xiàn)自動(dòng)故障轉(zhuǎn)移

·借助可遷路由，實(shí)現(xiàn)分支到云和數(shù)據(jù)中心到云的自動(dòng)化連接

·先進(jìn)的疊加路由控制，包括過濾、設(shè)置首選項(xiàng)和分段

·內(nèi)置自動(dòng)環(huán)路避免

·先進(jìn)的BGP功能，例如AS路徑前綴、路由映射和高路由規(guī)模

·企業(yè)級可見性和故障排除功能

·區(qū)域內(nèi)和區(qū)域間傳輸對等

·多區(qū)域和多云連接

Verisk Analytics的Sase Govindan表示：“Aruba SD-Branch滿足了我們One Verisk的所有要求。此外，它還提供了IT簡化選項(xiàng)，例如虛擬網(wǎng)關(guān)自動(dòng)化和SD-WAN編排，這是我們早前未曾想到的?！?/span>

發(fā)揮整合的優(yōu)勢，Aruba、AWS和Enterprise Strategy Group聯(lián)合發(fā)布了一項(xiàng)技術(shù)評論報(bào)告，著重強(qiáng)調(diào)了Amazon Web Services（AWS）Transit Gateway與Aruba SD-Branch的結(jié)合能夠帶來的主要優(yōu)勢。

*注，本文中的縮寫“vGW”是指Aruba虛擬網(wǎng)關(guān)（Aruba Virtual Gateway），而非AWS VPN網(wǎng)關(guān)（AWS VPN Gateway）。

Aruba副總裁兼SD-WAN、SD-Branch和UXI總經(jīng)理Kishore Seshadri參與了本博客撰寫。