Aruba SDBranch实现与AWS的全面自动化集成-ESG跨境

Aruba SDBranch实现与AWS的全面自动化集成

Aruba SDBranch实现与AWS的全面自动化集成

过去几年中，企业已将工作负载迅速转移至公有云平台，例如Amazon Web Services（AWS）、Microsoft Azure和Google Cloud。最近几个月，随着COVID19疫情的影响，这一趋势进一步加速。企业已经学会广泛利用这些解决方案提供的IaaS（基础设施即服务）和PaaS（平台即服务）功能，而且在许多情况下，都设有特定的目标，以将本地数据中心工作负载完全迁移至云提供商数据中心。因此，通过中枢和分支网络拓扑结构将分支机构和远程办公人员的所有网络流量引导至本地数据中心的传统WAN连接模型已演变为更复杂的连接模型，因此WAN拓扑也更复杂。但好消息是，这样的拓扑在部署和管理上并不复杂。

Aruba SDBranch解决方案可以通过自动编排的连接与多家云提供商，比如AWS无缝集成，可简化远程分支机构、居家办公人员和园区位置的SDWAN网关部署。在本文中，我们将研究Aruba SDBranch与AWS之间的深度集成及其能够带来的优势。我们还将探索与AWS Transit Gateway的集成如何大幅简化与AWS的连接。

Aruba虚拟网关的全自动化部署

当客户部署SDWAN以连接到本地数据中心时，通常会部署头端（Hub）网关。这些网关一般位于数据中心DMZ中（在外围防火墙之后），并通过DMZ中的安全服务区域，将SDWAN安全结构扩展到数据中心。Aruba SDWAN Orchestrator可自动执行SDWAN结构上的所有路由，且前端网关使用BGP或OSPF，与数据中心核心交换机和路由器交换路由。使用AWS虚拟私有云（VPC），在云数据中心环境中也可实现类似的部署模型。

在通常称为“边缘VPC”之处部署有Aruba虚拟网关（vGW*），而非硬件的前端网关。由于这是一个虚拟环境，因此部署vGW需要许多配置步骤，即：

·在正确的环境中启动vGW

·跨多个可用区（AZ）部署

·连接到虚拟网络接口（ENI）

·连接到AWS Transit Gateway

·创建和修改路由表

连接到SDWAN结构，并确保可从本地站点访问应用程序

熟悉AWS网络的工程师可依照手动操作流程来实施这些更改。但是，这往往很麻烦，且容易出错。Aruba通过Aruba Central来编排部署，可实现Aruba vGW的完全自动化部署，从而简化整体流程。用户需要提供四项信息：

·AWS Identity and Access Management（IAM）凭证

·部署vGW的VPC

·选择vGW的大小（吞吐量在500Mbs到4Gbps之间）

·是否要跨可用区（AZ）部署并实现高可用性

……这样就完成了！

以下步骤是完全自动化的：

·客户的虚拟私有云（VPC）和AWS Transit Gateway会自动被发现

·Aruba vGW实例自动启动，并连接到Aruba Central，以实现控制和管理平面功能

·根据用户配置，Aruba vGW可跨可用区自动部署并实现高可用性

·Aruba vGW通过AWS Internet Gateway（IGW）和AWS VPN Gateway（VGW）连接到SDWAN结构

·创建并修改路由表，以反映需要共享的子网和故障转移策略

·Aruba vGW实例自动发现并与AWS Transit Gateway建立对等关系

·如有需要，监控信息会与AWS Transit Gateway Network Manager共享

这些步骤由几次单击触发，使本地站点可无缝连接到AWS中的工作负载。管理员可在几分钟内将新的云数据中心与运行Aruba SDWAN的所有站点连接起来。查看AWS Transit Gateway的方式类似于传统本地数据中心中的数据中心核心路由器。本质上，AWS Transit Gateway充当连接区域内和跨区域所有VPC的中央枢纽。可在Aruba Central和AWS Transit Gateway Network Manager仪表板上的“拓扑视图”中看到AWS Transit Gateway和Aruba vGW。

图1：与AWS Transit Gateway对等的Aruba虚拟网关

轻松连接本地和云数据中心

越来越多的客户拥有混合环境，其工作负载运行在本地数据中心，主机托管设施和公有云（AWS VPC）中。从本质上讲，这些可被视为需要与统一SDWAN结构连接的中枢位置。Aruba SDBranch解决方案具备自动形成中枢网格的功能，可通过MPLS和互联网传输，把本地数据中心站点和云数据中心站点连接在一起。企业可通过部署Aruba SDBranch，在构建网格时利用Aruba SDWAN Orchestrator避免复杂的配置，Aruba SDWAN Orchestrator在中枢位置之间自动创建网格连接，并提供具有可迁路由功能的动态路由。可迁路由能够为客户提供部署灵活性，以及更高的弹性。

图2：带有中枢网格的可迁路由

在给定的拓扑中，位于数据中心的VPNC、AWS美国西部地区的Aruba vGW、以及AWS欧洲地区的Aruba vGW由Aruba SDBranch自动连接成网格。当VPNC和欧洲vGW之间的连接失败时，从数据中心到欧洲地区AWS的流量将自动重新路由到美国西部的vGW，充当传输跃点。可迁路由可以运行在任何中枢点，包括运行在AWS中的Aruba vGW。

精心编排的多区域连接

SDWAN网格可以扩展并连接多个AWS区域。一旦确定了云中枢点，SDWAN Orchestrator将负责将其连接在一起，在公共和专用电路之间自动构建安全叠加层，并且通过智能路由成本计算，动态学习并交换路由，从而在避免环路的情况下提供最佳连接性。部署后，用户可访问在本地和云环境中运行的应用程序。

除MPLS和互联网传输之外，企业还可利用AWS骨干网，借助AWS Transit Gateway跨区域对等连接，采用SDWAN网格结构，为区域间连接构建WAN核心。网络管理员可通过Aruba Central上的单个仪表板，查看整体实时拓扑，包括控制连接、路由和通路，极大程度上简化网络管理。

图3：使用AWS和Aruba SDBranch进行多区域部署

Aruba Cloud Connect提供与AWS Transit Gateway的一键式连接

尽管在AWS上运行的Aruba vGW提供了一种将Aruba SDWAN扩展到AWS的简便方法，但是在某些情况下，企业可能只希望将VPN连接扩展到AWS Transit Gateway，以便使数据中心或远程分支机构/园区站点中的本地设备能够直接与AWS Transit Gateway对等连接。借助Aruba Central上的Aruba Cloud Connect服务，连接到AWS Transit Gateway的整个流程将实现自动化。网络管理员只需通过附加选项来选择加速VPN，即可简单地确定需要连接到AWS Transit Gateway的站点集，这样就完成了！

Aruba Cloud Connect在后台通过API与AWS进行对话，就连接性和配置参数进行协商，并交换网络状态，以实现对本地和云资源的可见性。站点启用后，将自动设置与AWS Transit Gateway的VPN连接以及所需的BGP对等连接。网络管理员可通过Aruba Central或AWS Transit Gateway Network Manager，主动监视连接状态。

Aruba SDBranch为客户提供多种部署选择

Aruba SDBranch解决方案为连接到AWS的客户提供了多种部署选项。部署Aruba SDBranch的企业都喜欢它带来的自动化和灵活性，可轻松将其SDWAN连接并扩展到AWS。通过与Aruba SDBranch解决方案的深度集成，我们的客户能够利用AWS Transit Gateway提供的最新AWS网络功能。Aruba SDBranch的主要优势如下：

·高性能Aruba虚拟网关，可实现大规模IPsec（VPN）支持

·实现Aruba SDWAN虚拟网关的自动化部署

·高可用性，可实现自动故障转移

·借助可迁路由，实现分支到云和数据中心到云的自动化连接

·先进的叠加路由控制，包括过滤、设置首选项和分段

·内置自动环路避免

·先进的BGP功能，例如AS路径前缀、路由映射和高路由规模

·企业级可见性和故障排除功能

·区域内和区域间传输对等

·多区域和多云连接

Verisk Analytics的Sase Govindan表示：“Aruba SDBranch满足了我们One Verisk的所有要求。此外，它还提供了IT简化选项，例如虚拟网关自动化和SDWAN编排，这是我们早前未曾想到的。”

发挥整合的优势，Aruba、AWS和Enterprise Strategy Group联合发布了一项技术评论报告，着重强调了Amazon Web Services（AWS）Transit Gateway与Aruba SDBranch的结合能够带来的主要优势。

*注，本文中的缩写“vGW”是指Aruba虚拟网关（Aruba Virtual Gateway），而非AWS VPN网关（AWS VPN Gateway）。

Aruba副总裁兼SDWAN、SDBranch和UXI总经理Kishore Seshadri参与了本博客撰写。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。