Aruba SDBranch實現與AWS的全面自動化集成

Aruba SDBranch實現與AWS的全面自動化集成

過去幾年中，企業已將工作負載迅速轉移至公有云平臺，例如Amazon Web Services（AWS）、Microsoft Azure和Google Cloud。最近幾個月，隨著COVID19疫情的影響，這一趨勢進一步加速。企業已經學會廣泛利用這些解決方案提供的IaaS（基礎設施即服務）和PaaS（平臺即服務）功能，而且在許多情況下，都設有特定的目標，以將本地數據中心工作負載完全遷移至云提供商數據中心。因此，通過中樞和分支網絡拓撲結構將分支機構和遠程辦公人員的所有網絡流量引導至本地數據中心的傳統WAN連接模型已演變為更復雜的連接模型，因此WAN拓撲也更復雜。但好消息是，這樣的拓撲在部署和管理上并不復雜。

Aruba SDBranch解決方案可以通過自動編排的連接與多家云提供商，比如AWS無縫集成，可簡化遠程分支機構、居家辦公人員和園區位置的SDWAN網關部署。在本文中，我們將研究Aruba SDBranch與AWS之間的深度集成及其能夠帶來的優勢。我們還將探索與AWS Transit Gateway的集成如何大幅簡化與AWS的連接。

Aruba虛擬網關的全自動化部署

當客戶部署SDWAN以連接到本地數據中心時，通常會部署頭端（Hub）網關。這些網關一般位于數據中心DMZ中（在外圍防火墻之后），并通過DMZ中的安全服務區域，將SDWAN安全結構擴展到數據中心。Aruba SDWAN Orchestrator可自動執行SDWAN結構上的所有路由，且前端網關使用BGP或OSPF，與數據中心核心交換機和路由器交換路由。使用AWS虛擬私有云（VPC），在云數據中心環境中也可實現類似的部署模型。

在通常稱為“邊緣VPC”之處部署有Aruba虛擬網關（vGW*），而非硬件的前端網關。由于這是一個虛擬環境，因此部署vGW需要許多配置步驟，即：

·在正確的環境中啟動vGW

·跨多個可用區（AZ）部署

·連接到虛擬網絡接口（ENI）

·連接到AWS Transit Gateway

·創建和修改路由表

連接到SDWAN結構，并確保可從本地站點訪問應用程序

熟悉AWS網絡的工程師可依照手動操作流程來實施這些更改。但是，這往往很麻煩，且容易出錯。Aruba通過Aruba Central來編排部署，可實現Aruba vGW的完全自動化部署，從而簡化整體流程。用戶需要提供四項信息：

·AWS Identity and Access Management（IAM）憑證

·部署vGW的VPC

·選擇vGW的大小（吞吐量在500Mbs到4Gbps之間）

·是否要跨可用區（AZ）部署并實現高可用性

……這樣就完成了！

以下步驟是完全自動化的：

·客戶的虛擬私有云（VPC）和AWS Transit Gateway會自動被發現

·Aruba vGW實例自動啟動，并連接到Aruba Central，以實現控制和管理平面功能

·根據用戶配置，Aruba vGW可跨可用區自動部署并實現高可用性

·Aruba vGW通過AWS Internet Gateway（IGW）和AWS VPN Gateway（VGW）連接到SDWAN結構

·創建并修改路由表，以反映需要共享的子網和故障轉移策略

·Aruba vGW實例自動發現并與AWS Transit Gateway建立對等關系

·如有需要，監控信息會與AWS Transit Gateway Network Manager共享

這些步驟由幾次單擊觸發，使本地站點可無縫連接到AWS中的工作負載。管理員可在幾分鐘內將新的云數據中心與運行Aruba SDWAN的所有站點連接起來。查看AWS Transit Gateway的方式類似于傳統本地數據中心中的數據中心核心路由器。本質上，AWS Transit Gateway充當連接區域內和跨區域所有VPC的中央樞紐。可在Aruba Central和AWS Transit Gateway Network Manager儀表板上的“拓撲視圖”中看到AWS Transit Gateway和Aruba vGW。

圖1：與AWS Transit Gateway對等的Aruba虛擬網關

輕松連接本地和云數據中心

越來越多的客戶擁有混合環境，其工作負載運行在本地數據中心，主機托管設施和公有云（AWS VPC）中。從本質上講，這些可被視為需要與統一SDWAN結構連接的中樞位置。Aruba SDBranch解決方案具備自動形成中樞網格的功能，可通過MPLS和互聯網傳輸，把本地數據中心站點和云數據中心站點連接在一起。企業可通過部署Aruba SDBranch，在構建網格時利用Aruba SDWAN Orchestrator避免復雜的配置，Aruba SDWAN Orchestrator在中樞位置之間自動創建網格連接，并提供具有可遷路由功能的動態路由。可遷路由能夠為客戶提供部署靈活性，以及更高的彈性。

圖2：帶有中樞網格的可遷路由

在給定的拓撲中，位于數據中心的VPNC、AWS美國西部地區的Aruba vGW、以及AWS歐洲地區的Aruba vGW由Aruba SDBranch自動連接成網格。當VPNC和歐洲vGW之間的連接失敗時，從數據中心到歐洲地區AWS的流量將自動重新路由到美國西部的vGW，充當傳輸躍點。可遷路由可以運行在任何中樞點，包括運行在AWS中的Aruba vGW。

精心編排的多區域連接

SDWAN網格可以擴展并連接多個AWS區域。一旦確定了云中樞點，SDWAN Orchestrator將負責將其連接在一起，在公共和專用電路之間自動構建安全疊加層，并且通過智能路由成本計算，動態學習并交換路由，從而在避免環路的情況下提供最佳連接性。部署后，用戶可訪問在本地和云環境中運行的應用程序。

除MPLS和互聯網傳輸之外，企業還可利用AWS骨干網，借助AWS Transit Gateway跨區域對等連接，采用SDWAN網格結構，為區域間連接構建WAN核心。網絡管理員可通過Aruba Central上的單個儀表板，查看整體實時拓撲，包括控制連接、路由和通路，極大程度上簡化網絡管理。

圖3：使用AWS和Aruba SDBranch進行多區域部署

Aruba Cloud Connect提供與AWS Transit Gateway的一鍵式連接

盡管在AWS上運行的Aruba vGW提供了一種將Aruba SDWAN擴展到AWS的簡便方法，但是在某些情況下，企業可能只希望將VPN連接擴展到AWS Transit Gateway，以便使數據中心或遠程分支機構/園區站點中的本地設備能夠直接與AWS Transit Gateway對等連接。借助Aruba Central上的Aruba Cloud Connect服務，連接到AWS Transit Gateway的整個流程將實現自動化。網絡管理員只需通過附加選項來選擇加速VPN，即可簡單地確定需要連接到AWS Transit Gateway的站點集，這樣就完成了！

Aruba Cloud Connect在后臺通過API與AWS進行對話，就連接性和配置參數進行協商，并交換網絡狀態，以實現對本地和云資源的可見性。站點啟用后，將自動設置與AWS Transit Gateway的VPN連接以及所需的BGP對等連接。網絡管理員可通過Aruba Central或AWS Transit Gateway Network Manager，主動監視連接狀態。

Aruba SDBranch為客戶提供多種部署選擇

Aruba SDBranch解決方案為連接到AWS的客戶提供了多種部署選項。部署Aruba SDBranch的企業都喜歡它帶來的自動化和靈活性，可輕松將其SDWAN連接并擴展到AWS。通過與Aruba SDBranch解決方案的深度集成，我們的客戶能夠利用AWS Transit Gateway提供的最新AWS網絡功能。Aruba SDBranch的主要優勢如下：

·高性能Aruba虛擬網關，可實現大規模IPsec（VPN）支持

·實現Aruba SDWAN虛擬網關的自動化部署

·高可用性，可實現自動故障轉移

·借助可遷路由，實現分支到云和數據中心到云的自動化連接

·先進的疊加路由控制，包括過濾、設置首選項和分段

·內置自動環路避免

·先進的BGP功能，例如AS路徑前綴、路由映射和高路由規模

·企業級可見性和故障排除功能

·區域內和區域間傳輸對等

·多區域和多云連接

Verisk Analytics的Sase Govindan表示：“Aruba SDBranch滿足了我們One Verisk的所有要求。此外，它還提供了IT簡化選項，例如虛擬網關自動化和SDWAN編排，這是我們早前未曾想到的。”

發揮整合的優勢，Aruba、AWS和Enterprise Strategy Group聯合發布了一項技術評論報告，著重強調了Amazon Web Services（AWS）Transit Gateway與Aruba SDBranch的結合能夠帶來的主要優勢。

*注，本文中的縮寫“vGW”是指Aruba虛擬網關（Aruba Virtual Gateway），而非AWS VPN網關（AWS VPN Gateway）。

Aruba副總裁兼SDWAN、SDBranch和UXI總經理Kishore Seshadri參與了本博客撰寫。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。