作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

前面的網誌內有和大家提到,NSX SD-WAN本質上其實是一個Cloud Network。VeloCloud的構件有分為在用戶Site部署的Edge設備,是大家看得到、摸得著、可以自行建立與管理的組件。但VeloCloud的核心架構也包含建立在雲上的Orchestrator / Gateway / Controller:Orchestrator負責提供用戶管理的UI介面與API,Controller負責Edge端的組態佈送與初期線路偵測,而Gateway負責與SaaS服務、用戶沒有部署Edge的資料中心IPSEC連接等等進行接取。而這些Orchestrator / Gateway / Controller等,是不需要企業自己來進行安裝、升級、備援、維護等等建置與管理作業的。

也就是說,當企業想要採用NSX SD-WAN的服務時,就如同雲服務模式一般,只需要租用在外點端的網路設備/服務。但除了VMware自建這樣的服務外,我們也和全球的大線路提供商都有完整的合作來提供SD-WAN Cloud。當企業希望取得我們在前面與大家討論的VeloCloud功能與效益,此時不單是僅有和VMware租用的選項,也能夠考慮由自己常合作的線路商來取得相關的服務。下面我們就兩種架構模式與大家說明。

VMware / VeloCloud本身提供的NSX SD-WAN方案

在這個架構內,VMware已經在全球近三十個不同的Region,在離主要都市與雲平台接近的地點建立提供用戶服務的Gateway / Controller。而包含美洲、歐洲、亞洲也各自有提供不同地區企業租戶的Orchestrator。

下圖是與之前網誌內貼出類似的標準NSX SD-WAN架構圖。VMware / VeloCloud自建的SD-WAN雲環境主要透過Internet現有環境提供VeloCloud環境的管理,以及與公有雲服務間的連線。但企業目前外點也可能會有原本已建置的MPLS線路,而這邊的MPLS線路是由任一家線路服務提供商支持均可。在企業的外點以及資料中心都會部署VeloCloud Edge,Edge與Edge間的連線可以透過公有的Internet或是私有的MPLS線路,藉由VMPO Tunnel的機制提供優化的傳輸,如前面網誌所介紹。

在這個架構內,企業直接與VMware租用SD-WAN服務,而透過VMware合作的硬體與經銷夥伴提供全球外點設備的配送、安裝與更換。網路管理者是透過VeloCloud所提供的Orchestrator內對應到企業本身的租戶介面,進行整個SD-WAN環境的管理

 

透過Service Provider提供的NSX SD-WAN方案

而同時,VMware也已經與全球近七十個線路提供商進行合作,由這些線路商直接對客戶提供SD-WAN的方案租用。在下圖內我們可以看出,這種架構與VMware自建的方式也多處不同,討論如下:

  • Cloud Network的建立: 各個Service Provider會建立自己的SD-WAN Gateway與Orchestrator來提供用戶服務。不同Service Provider的Velocloud雲架構間,以及與VMware自建的SD-WAN環境間是完全獨立的。用戶是連到SP端的Orchestrator來進行SD-WAN的配置與監控。
  • 主要傳輸的核心線路: 各個Service Provider主要全球傳輸的網路仍會以自己的MPLS雲為主,而非Internet。也就是說,在這個架構內,SD-WAN的主要角色反而是在外點到Service Provider MPLS雲上的接取,而非外點與資料中心間的接取。這架構內,企業的外點可以有兩條以上的線路(Internet / 租用的MPLS Last Mile)連到Service Provider的MPLS雲內,再連到企業自己的資料中心,或是與Service Provider租用的Hosting Service內。
  • SaaS服務的連接: 大型Service Provider往往也有自己的線路直接連接到全球各大SaaS服務。此時企業用戶要往這些SaaS服務連線時,並非走沒有品質保證的Internet線路直連,而是先由SD-WAN保護的線路連入SP-MPLS,再透過高服務品質的私有頻寬往SaaS服務走。
  • 外點設備的遞送與服務: 在此架構內,外點設備的配送、更換、與管理通常是直接藉由這些大型Service Provider的全球團隊來對企業提供服務。
  • 其他整合式服務: 除了SD-WAN外,大型線路服務商也可能會推出其他包含如安全 / 網路加速 / UTM / 線路維運在內的複合服務。舉例來說,AT&T的Flexware就是包含了上述多種功能提供讓用戶選用的複合式設備。

大家可能原本會覺得SD-WAN是不是來和各線路提供商傳統的跨國跨州MPLS服務搶生意的。但其實不然,由前面介紹,各位可以看到藉由SD-WAN,線路提供商能夠提供客戶更穩定、應用品質更好的長途線路服務;而在一些原本SP-MPLS無法覆蓋到的地點,也可以藉由SD-WAN透過Internet將客戶外點連到MPLS內。而當然,僅死守著原本的私有線路投資,而無法透過SD-WAN給客戶進一步加值服務的Service Provider在這個新潮流下就會受到很大的衝擊了,原本的跨國線路客戶很可能會受到其他提供SD-WAN方案的Service Provider吸引而改變租約。

在刊出同時,中華電信國際分公司以及AT&T / Telstra等大型電信公司都有提供基於Velocloud的SD-WAN方案提供給台灣客戶。如果各位有這方面的需求,無論是直接與VMware租用,或是透過我們的服務提供商網路,都是很好的方式。

最後,大家可能會問一個問題:企業可否完全自建一個NSX SD-WAN網路?也就是說,可否直接租用包含Edge / Gateway / Orchestrator等等的所有構件,直接在自己的網路內建立與維運?

答案是當然可以,但我們不建議這樣做。目前Velocloud全球客戶僅有極為少數選擇這種架構,而無論在安裝、維運管理上也都得耗用極為大量的人力。說真的,除了某些特殊行業基於法規等的要求,我們看不出有任何必定要自建,而不能利用前面兩種架構的原因。