En una tradicional topología de red en estrella tipo hub-and-spoke con bring-your-own-networking, puede manipular completamente la red virtual del centro. Puede implementar servicios comunes en el centro y ponerlos a disposición de los radios de carga de trabajo. Estos servicios compartidos suelen incluir cosas como recursos DNS, NVA personalizadas y Azure Bastion. Sin embargo, al usar Azure Virtual WAN, tiene acceso restringido y limitaciones en lo que puede instalar en los centros virtuales.
Por ejemplo, para implementar un vínculo privado y una integración de DNS en una arquitectura de red en estrella tipo hub-and-spoke tradicional, crearía y vincularía zonas DNS privadas a la red del centro. El plan para el acceso remoto a máquinas virtuales podría incluir Azure Bastion como servicio compartido en el centro regional. También puede implementar recursos de proceso personalizados, como máquinas virtuales de Active Directory en el centro. Ninguno de estos enfoques es posible con Virtual WAN.
En este artículo se describe el patrón de extensión del centro virtual que proporciona instrucciones sobre cómo exponer de forma segura los servicios compartidos a los radios que no se pueden implementar directamente en un centro virtual.
Architecture
Una extensión de centro virtual es una red virtual de radio dedicada conectada al centro virtual que expone un único servicio compartido a radios de carga de trabajo. Puede usar una extensión de centro virtual para proporcionar, a muchos radios de carga de trabajo, conectividad de red al recurso compartido. Los recursos DNS son un ejemplo de este uso. También puede usar una extensión para contener un recurso centralizado que requiera conectividad a muchos destinos de los radios. Una implementación centralizada de Azure Bastion es un ejemplo de este uso.
Figura 1: Patrón de extensión del centro virtual
Descargue un archivo Visio de esta arquitectura.
- Extensión de centro virtual para Azure Bastion. Esta extensión le permite conectarse a máquinas virtuales en redes de radio.
- Extensión del centro virtual para DNS. Esta extensión le permite exponer entradas de zona DNS privadas a cargas de trabajo en redes de radio.
Consideraciones
Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Confiabilidad
A menudo, una extensión de centro virtual se considera crítica para la empresa, ya que sirve una función principal dentro de la red. Las extensiones deben alinearse con los requisitos empresariales, tener estrategias de mitigación de errores y escalar con las necesidades de los radios.
Los procedimientos operativos estándar deben incluir pruebas de resistencia y supervisión de confiabilidad de todas las extensiones. Estos procedimientos deben validar los requisitos de acceso y rendimiento. Cada extensión debe tener un modelo de mantenimiento significativo.
Tenga claro los objetivos de nivel de servicio para esta extensión y mida con precisión la confiabilidad. Comprenda el acuerdo de nivel de servicio de Azure y los requisitos de soporte técnico de cada componente individual de la extensión. Este conocimiento le ayuda a establecer el límite máximo del objetivo de nivel de servicio de destino y a comprender las configuraciones admitidas.
Seguridad
Restricciones de la red. Aunque muchas extensiones se usan a menudo en muchos radios o necesitan acceso a muchos radios, es posible que no necesiten acceso desde o a todos los radios. Use controles de seguridad de red disponibles, como el uso de grupos de seguridad de red y el tráfico de salida a través del centro virtual protegido siempre que sea posible.
Control de acceso al plano de control y datos. Siga los procedimientos recomendados para todos los recursos implementados en extensiones, lo que proporciona acceso con privilegios mínimos al plano de control de los recursos y a los planos de datos.
Optimización de costos
Al igual que con cualquier carga de trabajo, asegúrese de que los tamaños de SKU adecuados estén seleccionados para los recursos de extensión para ayudar a controlar los costos. Las horas laborables y otros factores pueden provocar patrones de uso predecibles en el caso de algunas extensiones. Comprenda los patrones y proporcione la elasticidad y la escalabilidad que pueden acomodarlos.
Como servicio compartido, los recursos de carga de trabajo suelen tener un ciclo de trabajo relativamente largo en la arquitectura empresarial. Considere la posibilidad de usar el ahorro de costos mediante ofertas de compra previa, como Azure Reservations, precios de capacidad reservada y planes de ahorro de Azure.
Excelencia operativa
Cree extensiones de centro virtual para cumplir el principio de responsabilidad única. Cada extensión debe ser para una sola oferta, por lo que no combine los servicios no relacionados en un solo radio. Puede organizar los recursos de forma que cada extensión resida en un grupo de recursos dedicado para facilitar la administración de roles y directivas de Azure.
Debe aprovisionar estas extensiones mediante infraestructura como código y tener un proceso de compilación y versión que admita las necesidades y el ciclo de vida de cada extensión. Dado que las extensiones suelen ser críticas para la empresa, y es importante tener un riguroso método de prueba y prácticas de implementación seguras en vigor para cada extensión.
Tener un control de cambios claro y un plan de comunicación empresarial en vigor es fundamental. Es posible que tenga que comunicarse con las partes interesadas (propietarios de cargas de trabajo) sobre los simulacros de recuperación ante desastres (DR) que está ejecutando o cualquier tiempo de inactividad planeado o inesperado.
Asegúrese de que dispone de un sólido sistema de mantenimiento operativo para estos recursos. Habilite la configuración de Azure Diagnostics adecuada en todos los recursos de extensión y capture todos los datos de telemetría y registros que necesita para comprender el estado de la carga de trabajo. Considere el almacenamiento a largo plazo de los registros de operaciones y las métricas para admitir las interacciones de soporte al cliente durante un comportamiento inesperado de la extensión de servicio compartido.
Eficiencia del rendimiento
Una extensión es un servicio centralizado. Para diseñar las unidades de escalado para controlar los cambios de carga, debe comprender lo siguiente:
- Las demandas que realiza la organización en la extensión.
- Los requisitos para el planeamiento de la capacidad.
- Cómo crecerán los radios con el tiempo.
Para diseñar las unidades de escalado, pruebe y documente cómo se escala individualmente cada componente de la extensión, en función de las métricas y los límites de escalado de servicios que se aplican. Algunas extensiones pueden requerir equilibrio de carga entre varias instancias para lograr el rendimiento necesario.
Implementación de ejemplo
Extensión del DNS de Private Link: establecer una extensión de centro virtual para el DNS describe una extensión del centro virtual diseñada para admitir la búsqueda del DNS de una sola región para escenarios de Private Link.
Pasos siguientes
Recursos relacionados
- ¿Qué es un punto de conexión privado?
- Configuración de DNS para puntos de conexión privados de Azure
- Integración de Private Link y DNS a gran escala
- Azure Private Link en una red de topología en estrella tipo hub-and-spoke
- DNS para recursos locales y de Azure
- Conectividad de la zona de aterrizaje de datos de una sola región
- Uso de Private Link para conectar redes a Azure Monitor
- Azure DNS Private Resolver
- Acceso con seguridad mejorada a aplicaciones web multiinquilino desde una red local
- Aplicación web altamente disponible con redundancia de zona de línea de base
- Tutorial: Creación de una infraestructura DNS de punto de conexión privado con Azure Private Resolver para una carga de trabajo local