Planifier votre déploiement
Cette rubrique fournit une vue d’ensemble du processus de provisionnement et décrit les considérations de déploiement pour le Megaport Virtual Edge (MVE).
| Vous fournissez | Megaport fournit |
|---|---|
| Connexion Internet depuis la succursale | Plateforme pour héberger les appliances SD-WAN virtuelles |
| Fournisseur SD-WAN activé au niveau de la succursale | Connexion complète d’une succursale à toute destination sur le réseau Megaport et interopérabilité avec d’autres produits et services Megaport. |
| Équipement de locaux du client (CPE) installé dans la succursale | Connexion par déni de service distribué (DDoS) à Internet pour terminer le tunnel entre le MVE et le CPE dans la succursale. |
| Licence du logiciel SD-WAN à utiliser sur le SDN Megaport | Accès à l’écosystème Megaport |
Considérations relatives au déploiement
Cette section présente une vue d’ensemble des options et des caractéristiques du déploiement MVE.
Le Fortinet Secure SD-WAN utilise des appliances FortiGate virtuelles ou des appliances FortiGate physiques, comme beaucoup d’autres fournisseurs de SD-WAN. Cependant, avec Fortinet, vous pouvez configurer les appliances pour plusieurs utilisations différentes. Par exemple, vous pouvez configurer une appliance Fortinet pour l’utiliser :
-
Strictement comme un pare-feu de nouvelle génération (NGFW) pour les bureaux distants avec une configuration locale et une journalisation locale uniquement.
-
Comme gestion centrale avec journalisation centrale, ou comme gestion centrale sans journalisation centrale.
-
Dans un réseau superposé traditionnel de type SD-WAN.
Pour plus de détails, consultez la Bibliothèque de documentation Fortinet.
Fournisseurs de SD-WAN
MVE est intégré au Fortinet SD-WAN, qui utilise la console FortiManager de Fortinet pour créer le réseau privé superposé.
Parmi les autres fournisseurs de SD-WAN figurent Cisco SD-WAN, Versa Secure SD-WAN et VMware SD-WAN.
Emplacements du MVE
Avant de créer un MVE, vous devez déterminer le meilleur emplacement - un emplacement qui prend en charge le MVE et qui se trouve dans la zone métropolitaine la plus compatible.
Les instances MVE sont situées dans des zones métropolitaines clés afin de maintenir une faible latence entre vos charges de travail dans le Cloud et SaaS et le MVE.
La fonctionnalité de passerelle de transit est intégrée à chaque MVE et permet le flux de trafic vers et depuis les succursales à l’aide des technologies SD-WAN via des connexions Internet. Vous utilisez la connectivité Internet préexistante depuis vos locaux pour accéder en toute sécurité au MVE qui est géographiquement situé le plus près de ces locaux.
En général, vous voudrez provisionner les MVE sur les sites métropolitains les plus proches de vos succursales et de vos sites sur site pour bénéficier de la latence la plus faible et du débit le plus élevé.
Vous pouvez connecter plusieurs sites à un MVE individuel. Vous pouvez également déployer plusieurs instances dans une zone métropolitaine et équilibrer la charge de vos sites secondaires.
Nous recommandons deux systèmes hôtes MVE par zone métropolitaine pour la résilience.
| Asie-Pacifique | Amérique du Nord | Europe |
|---|---|---|
| Auckland | Ashburn | Amsterdam |
| Hong Kong | Atlanta | Francfort |
| Melbourne | Bay Area | Londres |
| Osaka | Chicago | Stockholm |
| Perth | Dallas | |
| Singapour | Denver | |
| Sydney | Los Angeles | |
| Tokyo | New York | |
| Phoenix | ||
| Reston | ||
| Seattle | ||
| Toronto |
Dimensionnement de votre instance MVE
La taille de l’instance détermine les capacités du MVE, par exemple le nombre de connexions simultanées qu’il peut prendre en charge. Les instances MVE sont regroupées en trois tailles.
| Taille | Débit maximal | Points de terminaison SD-WAN | DRAM |
|---|---|---|---|
| Petit (2 vCPU) | 500 Mbits/s | 40 | 4 GB |
| Moyen (4 vCPU) | 1 Gbit/s | 100 | 8 GB |
| Grand (8 vCPU) | 5 Gbit/s | 500 | 16 GB |
Ces métriques de performance et de capacité sont des estimations et vos vitesses peuvent varier. Lorsque vous choisissez la taille d’une instance MVE, gardez à l’esprit les éléments suivants :
-
Les chiffres de débit maximal sont caractérisés en utilisant un hub SD-WAN pur pour les connexions Hub and Spoke.
-
Toute augmentation de la charge du flux de données du réseau peut dégrader les performances. Par exemple, l’établissement de tunnels sécurisés avec IPsec, l’ajout d’une orientation du trafic ou l’utilisation d’une inspection approfondie des paquets (DPI) peuvent avoir un impact sur la vitesse de débit maximale.
-
Plans futurs pour étendre le réseau.
Que se passe-t-il si j’ai besoin de plus de capacité MVE à l’avenir ?
Vous avez plusieurs possibilités :
-
Vous pouvez provisionner une autre instance MVE, l’ajouter à votre réseau superposé SD-WAN et répartir la charge de travail entre les deux MVE.
-
Vous pouvez provisionner une instance MVE plus grande, l’ajouter à votre réseau superposé SD-WAN, faire migrer les connexions de l’ancienne MVE vers la nouvelle MVE plus grande, puis retirer l’ancienne MVE.
Sécurité
MVE fournit de la capacité à destination et en provenance de vos succursales connectées à Internet, en toute sécurité, vers n’importe quel point de terminaison ou fournisseur de services sur le réseau SDN de Megaport. Les instances hébergées par le CSP des produits SD-WAN des partenaires acheminent le trafic critique à travers le SDN de Megaport, réduisant ainsi la dépendance à l’égard d’Internet. Le trafic reste crypté et sous le contrôle de votre politique lorsqu’il traverse le SDN deMegaport, vers ou depuis le MVE.
Chaque abonnement MVE comprend une protection contre les attaques par déni de service distribué (DDoS) sans frais supplémentaires.
Licences
Vous apportez votre propre licence Fortinet (FortiGate) SD-WAN à utiliser avec le MVE. Il est de votre responsabilité de disposer des licences appropriées pour les points de terminaison SD-WAN créés sur le réseau Megaport.
Balisage VLAN
Megaport utilise Q-in-Q pour différencier les MVE et les VXC sur un système matériel hôte. Le MVE du locataire reçoit un trafic non balisé pour la liaison Internet et du trafic 802.1Q à balisage unique vers d’autres destinations sur le réseau Megaport (comme les Rampes d’accès CSP ou d’autres MVE).