跳转至
Megaport 技术文档
规划部署
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

规划 Versa Secure SD-WAN 部署

本主题概述了开通流程,并介绍了 Megaport Virtual Edge (MVE) 的部署注意事项。

您提供 Megaport 提供
来自分支机构的互联网连接 用于承载虚拟 SD-WAN 设备的平台
在分支机构启用的 SD-WAN 厂商解决方案 从分支到 Megaport 网络上任意目标的完整连接,以及与其他 Megaport 产品和服务的互通
在分支机构部署的客户驻地设备 (CPE) Megaport Internet 连接,用于通过互联网在 MVE 与分支的 CPE 之间终止隧道
可在 Megaport SDN 上使用的 SD-WAN 软件许可证 访问 Megaport 生态系统

Versa Secure SD-WAN 功能

Versa Secure SD-WAN 专注于以下关键能力:

  • SD-WAN 与 安全访问服务边缘 (SASE) – 在一个平台上提供一流的安全能力。更多信息,参见 使用 SASE 保护网络
  • 单一软件栈 – 面向安全、高级网络、强健分析与自动化的单一流水线集成架构。

Versa Operating System (VOS) 在单台虚拟机上同时提供下一代防火墙 (NGFW) 和 SD-WAN 服务。作为虚拟机部署在 MVE 上的 VOS 设备不仅优化了边缘到云的网络连接,还在 Megaport 骨干网各段实施高级安全服务和策略。

Versa SASE 网关功能也可以作为众多 VOS 能力的一部分部署在 MVE 上。Versa 将此部署模型称为 私有网关,其提供与 Versa Cloud Gateways 相同的功能,但运行在客户或服务提供商的平台上。

托管在 MVE 上的高灵活性 VOS 提供以下核心 SASE 服务:

  • 云访问安全代理 (CASB)
  • 下一代防火墙 (NGFW)
  • 安全 Web 网关 (SWG)
  • 零信任网络访问 (ZTNA)

Versa Secure Access Client (VSAC) 是将 SD-WAN 和安全服务扩展到客户端设备的端点安全代理。VSAC 提供 Intelligent Gateway Selection,允许客户端连接到 Versa Cloud Gateway 或运行在 MVE 上的私有网关。VSAC 策略会根据具体应用来引导客户端网络流量。例如,针对托管在 AWS 的实时金融交易应用,客户端网络流量可以通过运行在 MVE 上的 VOS 转发;而针对云端文件存储库的流量则可以通过 Versa Cloud Gateway 转发

Versa SASE

更多信息,参见 VOS Versa Operating System and Versa Secure Private Access.

部署注意事项

本节概述 MVE 的部署选项和功能。

SD-WAN 厂商

MVE 与 Versa Secure SD-WAN 集成,后者使用 Versa 的 Director 控制台创建私有覆盖网络。

有关 MVE 平台上所有受支持的 NFVsMVE 是一个按需、供应商中立的网络功能虚拟化 (NFV) 平台,可在 Megaport 的全球软件定义网络 (SDN) 的边缘为网络服务提供虚拟基础设施。 通过 Megaport Virtual Edge,SD-WAN 和 NGFW 等网络技术直接托管在 Megaport 的全球网络上。
 的信息,请参见 Megaport Virtual Edge (MVE) product page

MVE 位置

有关可连接到 MVE 的全球位置列表,参见 Megaport Virtual Edge 位置

为 MVE 实例选型

实例大小决定了 MVE 的能力,例如可支持的并发连接数。

选择 MVE 实例大小时,请注意以下事项:

  • 任何网络数据流负载的增加都可能降低性能。例如,建立基于 IPsec 的安全隧道、添加流量路径引导,或使用深度包检测 (DPI) 都会影响最大吞吐速率。

  • 未来的网络扩展计划。

要在 MVE 设置过程中通过 Megaport Portal 查看适用于您部署的 MVE 实例大小。实例大小的可用性取决于所选厂商和部署位置,可能会有所不同。Megaport Portal 会显示针对您所选厂商和位置可用的大小。

在 Megaport Portal 中查看 MVE 实例大小

  1. Megaport Portal 中,转到 Services (服务) 页面。

  2. 单击 Create MVE (创建 MVE)
    Create MVE button

  3. 选择 Versa FlexVNF

  4. 选择软件版本。

  5. 单击 Next (下一步)

  6. 选择一个 MVE 位置。

    选择在地理位置上靠近您的目标分支机构和/或本地位置的地点。

    您可以使用 Search (搜索) 字段查找目标 Port 的名称、国家、都会城市或地址。您也可以按多样性区域进行筛选。

  7. 系统会根据所选位置显示可用的实例大小列表。可用大小以绿色高亮显示,并标记为 Available (可用)。不同大小支持的并发连接数量不同,且各合作伙伴产品的指标略有差异。

    注意

    如果列表中没有您所需的 MVE 规格,则表示所选位置容量不足。您可以选择另一个具有足够容量的位置,或联系您的客户经理以讨论需求。

如果将来需要更多 MVE 容量怎么办?

要提升 MVE 容量,您可以选择以下方式:

  • 您可以开通另一个 MVE 实例,将其添加到您的覆盖网络中,并在两个 MVE 之间分摊负载。

  • 您可以开通更大的 MVE 实例,将其添加到您的覆盖网络中,把连接从旧的 MVE 迁移到新的更大 MVE,然后退役旧的 MVE。

您可以随时调整 Megaport Internet 带宽,而无需拆除虚拟机。

安全

MVE 为启用互联网的分支机构与 Megaport SDN 上的任何端点或服务提供商之间提供安全的承载能力。由 CSP 托管的合作伙伴 SD-WAN 产品实例会将关键流量经由 Megaport SDN 转发,从而降低对互联网的依赖。当流量在 Megaport SDN 上来往于 MVE 时,始终保持加密并受您的策略控制。

Versa Secure SD-WAN 包含对一项全面安全功能的访问:安全访问服务边缘 (SASE)安全访问服务边缘(SASE)是一种安全框架,将安全与网络连接技术整合为单一的云交付平台,以实现安全且快速的云转型。
。运行在 MVE 上的 Versa 原生支持 SASE 和 SD-WAN 服务。更多信息,参见 使用 SASE 保护网络

许可

您需要自备用于 MVE 的 Versa(Director)SD-WAN 许可证。您有责任为在 Megaport 网络上创建的 SD-WAN 端点准备相应的许可证。

VLAN 标记

Megaport 使用 Q-in-Q802.1Q 隧道(也称为 Q-in-Q 或 802.1ad)是一种 OSI 第 2 层服务提供商在为客户提供服务时使用的技术。802.1ad 支持 内层外层 两种标签,其中 外层(有时称为面向服务提供商的 S-tag)可以被移除,以显露 内层(C-tag 或客户)标签,用于对数据进行分段。
 来区分同一宿主硬件系统上的 VXC 和 MVE。租户 MVE 在面向互联网的链路上接收未打标的流量,而指向 Megaport 网络上其他目的地(例如 CSP 接入点或其他 MVE)的 VXC 则接收单标签 802.1Q 流量。更多信息,参见 配置 Q-in-Q

vNICs

每个 MVE 最多可以有 5 个 vNIC。默认情况下,MVE 会创建 1 个 vNIC。您最多可以再添加 4 个,总计 5 个。

在为 MVE 指定 vNIC 数量之前:

  • 请注意,MVE 订购后 vNIC 数量无法更改。创建 MVE 时请预先确定要指定的 vNIC 数量。

  • 请与您的服务提供商确认,添加 vNIC 不会影响功能。

注意

如果在订购 MVE 之后需要更改 vNIC 数量,您需要先取消并重新订购该 MVE。

更多信息,参见 vNIC 连接类型