連接分支機構到云端有三種常見方式。我們分析每種方式的優缺點。

許多企業正在執行云服務優先戰略，隨后是應用現代化——包括SD-WAN技術。采用云原生架構，使用容器化、微服務或無服務器架構如SD-WAN可以長期降低成本，提升可擴展性，縮短開發周期，加快上市時間。

下一個挑戰是確保分支機構能夠訪問這個現已現代化、基于公有云的應用。但如果仍有許多遺留應用托管在私有云，或者服務托管在第二、第三公有云提供商中呢？

隨著SD-WAN的普及以及越來越多的企業WAN從MPLS遷移到基于寬帶的底層，業務關鍵流量現在通過盡力而為的公共互聯網連接而傳輸。這一向“云驅動分支”的新轉變需要從企業架構角度重新設計。

一種選擇是將分支站點的云端流量帶回數據中心，再向云端傳輸，理想情況下通過私有連接。這種方法效果不錯，但根據企業數據中心的地理位置，也可能引入發夾效應，顯著增加延遲并降低應用性能。第二種選擇是允許分支機構直接與云端通信。

實現這一點的方法多種多樣，具體如下：

云網絡服務提供商VPN網關（AWS VPG、Azure VNG、Google Cloud VPN）

基于云網絡的SD-WAN（包括AWS Transit VPC、Azure虛擬廣域網、Google Cloud NCC）

通過網絡即服務（恒訊科技虛擬邊緣）實現邊緣連接。

標準分支云端帶VPN隧道

讓我們考慮一家中型零售企業，在美國各地擁有40個分支機構，需要訪問托管在云端的銷售點/庫存管理平臺。

一個快速且可靠的解決方案是利用云服務提供商提供的標準站點對站點VPN網關。在AWS環境中，這意味著通過公共互聯網構建IPsec隧道，連接到一個虛擬私有云（VPC）的虛擬私有網關。

這種設計的缺點是一對一規則，Azure同樣適用，因為它們的對應物（VPN網關）也只能連接到單個VNet。由于虛擬網絡僅限于一個網關，這意味著如果企業構建第二個虛擬網絡，就需要第二個VGW和通往所有40個分支站點的新IPsec隧道。

云服務提供商有最多數量的分支站點隧道，這些隧道連接到一個VPN網關。對于Azure，在Gen High Spec VpnGw上，這個數字是100，AWS是10（但可以申請增加）。

網絡速度也有上限。一個常見的誤解是IPsec通道到云端的帶寬限制在1.25 Gbps——實際上，這正是網關的總吞吐量。所以如果你配置40個分支站點，它們會共享1.25 Gbps的帶寬，導致每個站點的吞吐量只有30 Mbps，隨著站點的增加而下降。

還需要考慮的是，每個分支站點的流量將100%通過公共互聯網傳輸，可能會面臨不可預測的抖動、丟包和延遲。由于云到分支站點的流量是通過公共互聯網傳輸的，因此將面臨更高的標準云服務提供商出口或數據傳輸（DTO）費用，每從你的虛擬網絡流出一千兆位，大約是8美分。

云托管SD-WAN邊緣

為了克服上述基于VPN隧道設計的挑戰，云服務提供商和傳統網絡硬件廠商（如恒訊科技合作伙伴思科、帕洛阿爾托和福泰內特）開發了能夠集成到企業SD-WAN中的解決方案。

SD-WAN 是一種虛擬化 WAN 架構，利用 MPLS、寬帶和 LTE 等底層傳輸方式的混合，將分支站點連接到托管在私有云和公共云中的應用程序。SD-WAN 的一個關鍵優勢是控制和路由功能的集中化，這些功能能夠通過覆蓋 WAN 引導流量路徑。

雖然存在細微差別，但該架構通過基礎設施即服務（IaaS）將SD-WAN結構擴展到公共云，然后從云服務提供商的市場（BYOL，或自帶許可證）加載SD-WAN供應商軟件。這使得部署速度極快，實現高度自動化，并通過SD-WAN廠商的管理控制臺簡化作。

讓我們先看看AWS中的基于IaaS的解決方案及其關鍵組件。第一個是Transit VPC，它是所有分支站點流量的中央樞紐，也是應用虛擬專用云（VPC）的通道。

在“Connect”VPC中啟動兩臺虛擬機，然后加載SD-WAN廠商的映像，創建兩個虛擬路由器，這些路由器可由Cisco Catalyst SD-WAN Manager、FortiManager或同等設備管理。底層 AWS 虛擬機的按小時收費取決于構建過程中選擇的規格。

為了冗余，建議每個分支站點都為每個虛擬路由器構建隧道。使用類似BGP的路由協議，應用程序VPC中的私有子網會被廣播給虛擬路由器，虛擬路由器再將這些子網重新公告給40個分支站點。

隨著SD-WAN分支站點數量的增加，可能需要額外的虛擬機（路由器），因為由于需要大量的IPsec隧道加密/解密，可能會存在CPU和帶寬的限制。

該SD-WAN方案仍使用公共互聯網，因此將收取標準的出口費用，但還有一個隱藏費用需要注意，即可能出現雙重出口費用。由于北行連接使用互聯網IPsec隧道，每從應用VPC流向Transit VPC的每GB傳輸，都會收取費用。如果流量是發往分支站點，那么當流量向南離開Transit VPC時，將額外按GB收取費用。實際上，客戶每獲得一個分支站點的 GB 地址就被收取雙重出入口費用。

根據工作負載和流量，基于IaaS的SD-WAN解決方案對許多企業來說效果極佳。

讓我們來考慮當引入第二個云服務提供商以避免供應商鎖定、規劃業務連續性，或使用內部運行最佳的新應用時會發生什么——例如Microsoft Azure。架構變得更加復雜，因為現在所有40個分支站點都需要訪問AWS VPC和新的Azure VNet。

在Azure環境中，會部署虛擬廣域網并創建虛擬樞紐VNet（在許多方面類似于AWS Transit VPC）。同樣，雙虛擬機會在這個樞紐中啟動，并加載SD-WAN軟件，創建網絡虛擬設備（NVA）。

現有分支站點通過IPsec隧道連接到Azure虛擬樞紐中的兩個NVA（除了已有的兩條AWS隧道外）。正如你從上面的圖中推斷的，這意味著現在有數百條IPsec隧道。

到目前為止，我們只考慮了分支到云流程中的多云，但也可能有云到云連接的需求;一個例子可能是跨云數據復制。

這里的選擇是將流量緊急化回本地數據中心（這會帶來更高的延遲），或者在Azure虛擬樞紐和AWS Transit VPC之間建設新的IPsec隧道，這當然會產生互聯網出口費用和隧道速度限制。

云托管的SD-WAN支持恒訊科技虛擬邊緣

恒訊科技虛擬邊緣（MVE）結合私有二層云連接，解決了上述兩種解決方案中發現的許多痛點。

MVE通過賦予你戰略性構建關鍵應用的最佳路徑的能力，增強你現有的企業SD-WAN平臺，無論它們所在位置如何。本質上，MVE使企業能夠在幾分鐘內搭建自己的虛擬連接中心，并利用恒訊科技的全球軟件定義網絡（SDN）擴大廣域網覆蓋范圍。

恒訊科技的每個MVE都會區至少包含兩個數據中心和可擴展的恒訊科技互聯網選項，支持MVE可用性區域，以實現端到端WAN彈性。全球共有120多個MVE地點可供選擇。

讓我們深入了解MVE的核心要素和能力。

通過將網絡功能虛擬化（NFV）與恒訊科技的私有軟件定義網絡集成，MVE實現了包括下一代防火墻（NGFW）、軟件定義廣域網（SD-WAN）網關以及通過單一直觀平臺實現虛擬路由在內的虛擬網絡功能。

恒訊科技MVE 支持多家行業領先供應商

MVE通過恒訊科技門戶為用戶提供設備規模選擇，從2個vCPU到32個vCPU設備不等，同時RAM和存儲會根據不同廠商和vCPU容量進行優化。

MVE在企業WAN結構中可像普通SD-WAN設備一樣管理，可通過Cisco Catalyst SD-WAN Manager、FortiManager或類似設備進行配置。

分支流量通過首英里本地互聯網到達MVE，通常根據距離不同，時間小于10毫秒。從那里，MVE可以訪問全球恒訊科技架構，該網絡包括超過333個 公有云入口，支持私有二層連接（如AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect、Oracle Cloud等）。

工作原理

SD-WAN分支站點可以通過冗余的恒訊科技互聯網和恒訊科技提供的公共IP地址，為MVE構建IPsec附件。分支流量到達MVE后，企業可以將分支站點流量集中到一個集中的MVE地點，快速將其從公共互聯網IPsec隧道中轉移，并通過恒訊科技骨干網將流量重新路由到主要云服務提供商，從而獲得多項好處。

優點

應用性能：此前通過公共互聯網訪問云端應用的分支機構將獲得性能提升。現在只有“第一英里”會穿越互聯網，而大部分路徑將通過恒訊科技骨干網，從而減少抖動、延遲和丟包。

訪問恒訊科技架構：MVE提供對恒訊科技生態系統的410+服務提供商和1000服務提供商的訪問 全球已啟用+數據中心，包括333個 + 云端匝道——是所有中立的網絡即服務（NaaS）提供商中最多的。

運營支出減少：通過使用超大規模運營商的私有連接而非互聯網IPsec隧道，可以顯著降低出軌費用。在北美，這意味著平均每GB8美分降至約2美分。

網絡簡化：一個40個站點的IaaS解決方案示例，每個站點至少需要四個IPsec隧道，也就是說至少需要160條隧道。這些設備每個都需要30個IP地址和鏈路狀態通知，會在分支機構和基于云的虛擬路由器中占用寶貴的CPU資源。通過轉向MVE，企業可以大幅降低網絡架構的復雜性。

SD-WAN的效率：將您的SD-WAN平臺與MVE集成，可以利用恒訊科技的虛擬交叉連接（VXC）在廣域網內構建戰略性的中英里運輸。SD-WAN流量整形服務將立即利用這些更高效的端到端應用流程路徑。

點播：數據中心無需購買或安裝設備，也無需運行交叉連接。MVE（類似于IaaS解決方案）可以實時配置，幾分鐘內即可使用。

云到云：最后，由于MVE為AWS和Azure提供私有二層連接，任何云到云的流量都可以利用這些私有連接，同時避免昂貴的IPsec隧道或回流到本地路由器的復雜流量。

SD-WAN的核心優勢在于能夠塑造應用流量，并在多個WAN傳輸中進行引導。將恒訊科技虛擬邊緣插入企業級WAN結構，可以讓你對WAN有更大的靈活性和控制權，優化應用（而云托管的SD-WAN邊緣并不總是能實現這一點）。MVE還能幫你節省大量撤離費用，同時簡化你的網絡。

恒訊科技 可以在北美、亞太和歐洲的 120 多個地點托管您的 SD-WAN 邊緣路由器虛擬實例。

云托管SD-WAN用于IaaS的隱藏成本可能因性能權衡、架構復雜性和高昂的撤離費用而迅速累積。相比之下，恒訊科技虛擬邊緣（MVE）提供了一種更簡單、更具成本效益且性能更高的替代方案，能夠無縫集成領先的SD-WAN供應商。

MVE通過直接訪問恒訊科技的全球架構、數百個云入口匝道以及超過1000個啟用的數據中心，為企業提供了在多云環境中擴展、降低成本和優化應用性能的靈活性。