思科SDWAN探秘(6)–多云连接

在最近发布的20.4 思科SDWAN解决方案中，我们通过简单的点击鼠标就可以完成云虚拟网络和本地网络及分支网络的连通。
当然此文继续维持本号的特点：
先回顾历史，然后实战当下，最后展望未来。
                             

1. 架构解析
1.1 传统的云连接方法多云连接通常的做法是云端放置一台或两台NFV设备，一个接口放置在公网中，另外多个接口连接VPC网络，通过IPsec和其它SDWAN网关公网连接并透传内网流量。

基于多地域AZ的分布式VPC和分布式软件架构逐渐成为解决分布式计算问题的一个办法，问题又来了，如果VPC多了，那么VPC-Peering的数量按照O(N^2)增长，运维复杂度成倍的增加.

为了解决这个问题，云计算厂商又提出了Transit VPC的架构，由思科CSR1000v提供的DMVPN作为Region Hub来提供VPC互联的解决方案。

 也就是以后云计算厂商提出的Transit VPC架构，即构成一个中心化的Transit区域

1.2 新一代多云解决方案新一代多云连接方案最关键的一环就是SDWAN控制器利用Cloud API自动构建云端基础架构，完成多云的互通，把复杂性掩盖在控制器内部的自动化流程中，用户只需要“哪儿想通点哪”就行了：）

2. 实战多云连接
2.1 分发Cloud API权限登录portal.azure.com，搜索“订阅”并打开，可以看到您的订阅ID，也就是后文需要用到的subscription-id

配置RBAC账户我们通常更愿意使用cloud shell的方式，简洁快速，您可以通过以下方式打开cloud shell

在Cloudshell中使用如下方式申请资源：

az account set --subscription="<subscription-id>"az ad sp create-for-rbac --name="CiscoSDWAN_MultiCloud" --role="Contributor" --scopes="/subscriptions/<your-subscription-id>"

打开思科vManage，点击右上角的Cloud onramp for Multicloud

在Multicloud界面中，我们就会引导您如何通过简单的四步配置上云

2.2 vManage设置云账户
点击“Associate Cloud Account”，下拉菜单中选择Azure，然后Cloud Account Name自己可随意填写，一定要选择“Use for Cloud Gateway”，后面的内容参考表格中的填法

点击下一步配置完成后，直接点击“Cloud Global Setting”配置账户信息

在界面中点击右上角“Add”按钮，选择软件版本17.4.1855，SKU Scale选择3， IP Subnet Pool是指的在Cloud上创建的与VNET连接的Cloud Gateway节点所需要的IP地址段，需要找一个与已有网络不重叠的/16的地址端，AS号有个限制区间，您可以根据提示随意选择，例如65522

完成后，它会引导您发现云端的VNET和创建Cloud Gateway

2.3 同步VNET信息
在Azure中，我们已经创建了4个虚拟网络VNET,如下所示：

在思科VManage中点击“Discover Host Private networks”即可自动发现，您同时需要在本地为它们添加分组标签，勾选其中某一行，点击Add Tag，为其添加标签

配置完成后，如下所示，例如我们可以给Production和Dev两个VNET分为同一组，分配DEV标签，然后MobileWorker和Test各自分配一个标签：

2.4 配置Cloud Gateway
点击菜单中“Configuration-》Template”

在Template Type下拉菜单中选择All

您可以看到我们已经为您创建好的Default_Azure_vWAN_C8000v模板，点击右侧“…”选择Attach Device

左边列表框选择两台加入， 如果左侧没有，您需要申请CSR8000v授权和安装Serial-File，详情请见
《思科SDWAN探秘(4)–初始化控制器
》第三章。

点击Attach后，你需要配置一下Cloud Gateway的主机名Site-ID和System-IP，点击右侧”…” Edit Template

配置界面如下：

完成配置后，需要注意两个Gateway需要使用相同的Site-ID

点击下一步，然后点击“Configure Device”即可：

回到Multicloud界面，然后点击“Create Cloud Gateway”

然后填写您的Cloud Gateway的名称，vWAN名称，下拉菜单中选择您前一步attach到Template中的Device ID即可，点击Add就会自动创建vWAN Hub和Cloud Gateway了

整个创建流程会非常长，请您耐心等待这个页面：

当然您也可以登录Azure的Portal，可以看到vWAN已经创建了。

vWAN Hub也在自动创建，并且Vmanager自动会通过CloudAPI在Azure云上配置相应的路由表：

完成后您会发现第三方提供程序：虚拟网络设备（NVA）已经创建好：

而vManage中也已经加好两台CSR8000v

Multicloud的界面也变为如下样式：

2.5 配置连接意图：“想通哪儿点哪儿”
点击上图右下角Intent Managemen
t中的
Connectivity连接，可以看到一个页面，点击右侧的“Edit”，竖列是您On-Prem的VPN ID， 横列是云端的VNET Tag，点击您需要连通的，点击Save即可

创建完成后，它将自动和Azure基础架构建立BGP邻居，并根据选择的VNET地址段自动分发BGP路由，同时本地的OnPrem路由也通过OMP重分布进入BGP

而本地路由器也能看到远端VNET的路由了

3. 展望未来
3.1 Mobile SDWAN在VWAN Hub中可以创建P2S的服务，这样我们的智能终端可以非常容易的连接到vWAN Hub的Pop点，然后通过CSR8000v连接到私有云网络，实现端-网-云的完全连通~
例如我们点击虚拟WAN，选择用户VPN配置，点击“创建用户VPN配置”

根证书产生请您参考Azure的官方文档。
然后点击“连接性-中心”，选择集线器（vWAN Hub） 进入
点击
创建用户网关

创建完成后，请耐心等待更新网关，更新完成后点击下载虚拟中心用户VPN配置文件

下载文件中选择windows平台直接安装即可

安装完成后，windows选择VPN就能看到这个Profile了：

点击连接前，您还需要安装自定义的那个根证书：

点击连接即可：

您也可以在您的CSR8000v上查看，P2S VPN的网段已经自动通告进入了：

3.2 vWAN as Backbone您也可以将多个Region的vWAN Hub CSR8000v通过Azure的骨干进行连接：

3.3 其它云由于Azure提供了非常棒的技术支持，所以只做了Azure的demo，另外vWAN Hub的确是一个非常不错的设计，而AWS没有账号所以暂且未测试。Google云正在开发中，
阿里云和其它云暂时还没有计划，当然针对每个云适配可能也是一个麻烦事，背后其实就是Terraform来创虚机，然后自动化加入和分发路由而已，我觉得可以和国内多个云合作完善一套可以Call vmanage和云API的DevOps小程序就好了~

其它云需要技术扶贫，我们勾兑一下~