規劃您的 Versa Secure SD-WAN 部署
本主題提供佈建程序概觀,並說明 Megaport Virtual Edge(MVE)的部署考量。
| 您提供 | Megaport 提供 |
|---|---|
| 分支據點的網際網路連線 | 用於承載虛擬 SD-WAN 裝置的平台 |
| 分支據點已啟用 SD-WAN 廠商解決方案 | 從分支據點到 Megaport 網路上任何目的地的完整連線,以及與其他 Megaport 產品與服務的互通性 |
| 分支據點已安裝的客戶駐地設備(CPE) | Megaport Internet 連線,透過網際網路在 MVE 與分支據點 CPE 之間終止隧道 |
| 可於 Megaport SDN 上使用的 SD-WAN 軟體授權 | 存取 Megaport 生態系 |
Versa Secure SD-WAN 功能
Versa Secure SD-WAN 著重於以下關鍵能力:
- SD-WAN 與 Secure Access Service Edge (SASE) – 具備頂尖安全能力的單一平台。欲了解更多資訊,請參閱 使用 SASE 保護網路。
- 單一軟體堆疊 – 一條管線的整合式架構,涵蓋安全性、進階網路、強大的分析與自動化。
Versa Operating System(VOS)可在同一部虛擬機器上同時提供次世代防火牆(NGFW)與 SD-WAN 服務。部署於 MVE 的 VOS 虛擬機器裝置不僅可最佳化邊緣到雲端的網路連線,還能在 Megaport 骨幹區段間強制套用進階安全服務與策略。
Versa SASE gateway 功能也可作為 VOS 多項能力的一部分部署在 MVE 上。Versa 將此部署模型稱為 private gateways,它提供與 Versa Cloud Gateways 相同的功能,但執行於客戶或服務供應商的平台上。
託管於 MVE 上、高度彈性的 VOS 提供下列核心 SASE 服務:
- 雲端存取安全代理(CASB)
- 次世代防火牆(NGFW)
- 安全 Web 閘道(SWG)
- 零信任網路存取(ZTNA)
Versa Secure Access Client(VSAC)是端點安全代理程式,將 SD-WAN 與安全服務延伸至用戶端裝置。VSAC 提供 Intelligent Gateway Selection,允許用戶端連線到 Versa Cloud Gateway 或私有閘道(部署於 MVE)。VSAC 的策略會依據特定應用程式導引用戶端網路流量。例如,託管於 AWS 的即時金融交易應用程式之用戶端網路流量可經由 MVE 上的 VOS 路由,而雲端型檔案儲存庫的流量則可經由 Versa Cloud Gateway 路由
如需更多資訊,請參閱 VOS Versa Operating System 與 Versa Secure Private Access。
部署考量
本節概述 MVE 的部署選項與功能。
SD-WAN 廠商
MVE 已與 Versa Secure SD-WAN 整合,並使用 Versa 的 Director 主控台來建立私有覆疊網路。
如需 MVE 平台上所有支援的 NFVsMVE 是一個隨選、廠商中立的網路功能虛擬化(NFV)平台,為部署於 Megaport 的全球軟體定義網路(SDN)邊緣的網路服務提供虛擬化基礎架構。 例如 SD-WAN 與 NGFW 等網路技術可透過 Megaport Virtual Edge 直接託管於 Megaport 的全球網路上。
資訊,請參閱 Megaport Virtual Edge (MVE) product page。
MVE 位置
如需可連線至 MVE 的全球位置清單,請參閱 Megaport Virtual Edge 位置。
為您的 MVE 實例選擇規格
實例大小會決定 MVE 的能力,例如可支援的同時連線數。
在選擇 MVE 實例大小時,請注意以下事項:
-
任何網路資料流負載的增加都可能降低效能。例如,建立使用 IPsec 的安全隧道、加入流量路徑導向,或使用深度封包檢測(DPI)都會影響最大吞吐量。
-
未來網路擴展的規劃。
若要查看您的部署可用的 MVE 實例大小,請在 MVE 設定過程中使用 Megaport Portal。實例大小的可用性取決於所選廠商與部署位置,可能有所差異。Megaport Portal 會顯示所選廠商與位置可用的大小。
在 Megaport Portal 中查看 MVE 實例大小
- 在 Megaport Portal 中,前往 Services (服務) 頁面。
-
按一下 Create MVE (建立 MVE)。
-
選取 Versa FlexVNF。
-
選取軟體版本。
-
按一下 Next (下一步)。
-
選取 MVE 位置。
請選擇在地理位置上接近目標分支據點與/或內部部署位置的地點。
您可以使用 Search (搜尋) 欄位來尋找目的地 Port 的 Port name、Country、Metro City 或地址。您也可以依 diversity zone 進行篩選。
-
系統會根據所選位置顯示可用的實例大小清單。可用的大小會以綠色醒目顯示並標示為 Available (可用)。各大小支援的同時連線數不同,且各合作夥伴產品的指標略有差異。
備註
若您想要的 MVE 大小不在清單中,表示所選位置的可用容量不足。您可以選擇具有足夠容量的其他位置,或聯絡您的客戶經理以討論需求。
如果未來需要更多 MVE 容量該怎麼辦?
若要提升 MVE 容量,您有以下選項:
-
您可以再佈建另一個 MVE 實例,將其加入您的覆疊網路,並在兩個 MVE 之間分散工作負載。
-
您可以佈建更大型的 MVE 實例,將其加入您的覆疊網路,將連線從舊的 MVE 移轉到新的較大型 MVE,然後汰除舊的 MVE。
您可以隨時調整 Megaport Internet 頻寬,而無需拆除該虛擬機器。
安全性
MVE 為您已啟用網際網路的分支據點,提供往返 Megaport SDN 上任何端點或服務供應商的安全容量。由 CSP 託管的合作夥伴 SD-WAN 產品實例會將關鍵流量經由 Megaport SDN 傳送,降低對網際網路的依賴。流量在穿越 Megaport SDN、往返 MVE 的過程中,依然維持加密並受您的策略控管。
Versa Secure SD-WAN 包含完整的安全功能:Secure Access Service Edge (SASE)安全存取服務邊緣(SASE)是一種資安架構,將資安與網路連線技術整合為單一雲端交付的平台,以實現安全且快速的雲端轉型。
。部署在 MVE 的 Versa 原生支援 SASE 與 SD-WAN 服務。欲了解更多資訊,請參閱 使用 SASE 保護網路。
授權
您需自備 Versa(Director)SD-WAN 授權以搭配 MVE 使用。您有責任確保在 Megaport 網路上建立的 SD-WAN 端點具備適當的授權。
VLAN 標記
Megaport 使用 Q-in-Q802.1Q 隧道(亦稱為 Q-in-Q 或 802.1ad)是 OSI 第 2 層服務提供者為其客戶所使用的一種技術。802.1ad 提供 內層 與 外層 標籤,其中外層(有時稱為 S-tag,代表服務提供者)可移除,以露出用於區隔資料的內層(C-tag 或客戶)標籤。
來區分同一主機硬體系統上的 VXC 與 MVE。租戶 MVE 會在面向網際網路的連結上接收未標記的流量,且對於通往 Megaport 網路上其他目的地(例如 CSP 雲端接入點或其他 MVE)的 VXC,則接收單一標記 802.1Q 的流量。欲了解更多資訊,請參閱 設定 Q-in-Q。
vNICs
每個 MVE 最多可擁有 5 個 vNIC。建立 MVE 時預設會包含 1 個 vNIC。您最多可再新增 4 個,共計 5 個。
在為您的 MVE 指定 vNIC 數量之前:
-
請注意,MVE 一旦下單後便無法變更 vNIC 數量。請先在建立 MVE 時決定要指定的 vNIC 數量。
-
請與您的服務供應商確認,新增 vNIC 是否會影響功能。
備註
若您需要在 MVE 下單後變更 vNIC 數量,您必須取消並重新下單該 MVE。
如需更多資訊,請參閱 vNIC 連線類型。