Modifier

Modèle d’extension de hub virtuel

Azure Private Link
Azure DNS
Pare-feu Azure
Azure Virtual WAN

Dans une topologie hub-and-spoke traditionnelle avec bring-your-own-networking (apportez votre propre mise en réseau), vous pouvez manipuler complètement le réseau virtuel hub. Vous pouvez déployer des services communs dans le hub et les mettre à la disposition des spokes de charge de travail. Ces services partagés incluent souvent des éléments tels que des ressources DNS, des appliances virtuelles réseau (NVA) personnalisées et Azure Bastion. Toutefois, lorsque vous utilisez Azure Virtual WAN, vous disposez d’un accès restreint et de limitations sur ce que vous pouvez installer sur les hubs virtuels.

Par exemple, pour implémenter une intégration Private Link et DNS dans une architecture réseau hub-spoke traditionnelle, vous devez créer et lier des zones DNS privées au réseau hub. Votre plan d’accès distant aux machines virtuelles peut inclure Azure Bastion en tant que service partagé dans le hub régional. Vous pouvez également déployer des ressources de calcul personnalisées, telles que des machines virtuelles Active Directory dans le hub. Aucune de ces approches n’est possible avec Virtual WAN.

Cet article décrit le modèle d’extension de hub virtuel qui fournit des conseils sur la façon d’exposer en toute sécurité des services partagés à des spokes que vous ne pouvez pas directement déployer dans un hub virtuel.

Architecture

Une extension de hub virtuel est un réseau virtuel spoke dédié connecté au hub virtuel qui expose un service partagé et unique aux spokes de charge de travail. Vous pouvez utiliser une extension de hub virtuel pour fournir à de nombreux spokes de charge de travail une connectivité réseau vers votre ressource partagée. Les ressources DNS sont un exemple de cette utilisation. Vous pouvez également utiliser une extension pour contenir une ressource centralisée qui nécessite une connectivité vers de nombreuses destinations dans les spokes. Un déploiement Azure Bastion centralisé est un exemple de cette utilisation.

Diagramme montrant le modèle d’extension de hub.

Figure 1 : modèle d’extension du hub virtuel

Téléchargez un fichier Visio de cette architecture.

  1. Extension de hub virtuel pour Azure Bastion. Cette extension vous permet de vous connecter à des machines virtuelles dans des réseaux spoke.
  2. Extension du hub virtuel pour un DNS. Cette extension vous permet d’exposer des entrées de zone DNS privées à des charges de travail dans des réseaux spoke.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

Une extension de hub virtuel est souvent considérée comme vital pour l’entreprise, car elle sert une fonction essentielle au sein du réseau. Les extensions doivent s’aligner sur les exigences de l’entreprise, avoir des stratégies d’atténuation des défaillances et être mises à l’échelle avec les besoins des spokes.

Vos procédures d’exploitation standard doivent inclure des tests de résilience et une surveillance de la fiabilité de toutes les extensions. Ces procédures doivent valider des exigences d’accès et de débit. Chaque extension doit avoir un modèle d’intégrité significatif.

Soyez clair sur vos objectifs de niveau de service (SLO) pour cette extension et mesurez avec précision la fiabilité par rapport à celle-ci. Prenez connaissance du Contrat de niveau de service (SLA) Azure et des exigences de support pour chaque composant individuel de l’extension. Ces connaissances vous aident à définir le plafond de vos SLO cibles et à comprendre les configurations prises en charge.

Sécurité

Restrictions réseau. Bien que les extensions soient souvent utilisées par de nombreux spokes ou aient besoin d’un accès à de nombreux spokes, elles n’ont peut-être pas besoin d’accéder à partir de ou à tous les spokes. Utilisez des contrôles de sécurité réseau disponibles, tels que l’utilisation de groupes de sécurité réseau et la sortie du trafic via votre hub virtuel sécurisé, dans la mesure du possible.

Contrôle d’accès aux données et au plan de contrôle. Suivez les meilleures pratiques pour toutes les ressources déployées dans des extensions, en fournissant un accès avec privilèges minimum au plan de contrôle des ressources et à tous les plans de données.

Optimisation des coûts

Comme pour toute charge de travail, vérifiez que les tailles de référence SKU appropriées sont sélectionnées pour les ressources d’extension afin de mieux contrôler les coûts. Les heures d’ouverture et d’autres facteurs peuvent entraîner des modèles d’utilisation prévisibles pour certaines extensions. Prenez connaissances des modèles et fournissez l’élasticité et la scalabilité qui peuvent les gérer.

En tant que service partagé, les ressources de charge de travail ont généralement un cycle de travail relativement long dans votre architecture d’entreprise. Envisagez d’utiliser des économies via des offres de pré-achat telles que les Réservations Azure, la tarification de la capacité réservée et les plans d’économies Azure.

Excellence opérationnelle

Créez des extensions de hub virtuel afin d’adhérer au principe de responsabilité unique (SRP). Chaque extension doit être destinée à une seule offre. Par conséquent, ne combinez pas des services non liés dans un seul spoke. Vous pouvez organiser vos ressources afin que chaque extension réside dans un groupe de ressources dédié, pour faciliter la gestion des stratégies et des rôles Azure.

Vous devez approvisionner ces extensions à l’aide de l’infrastructure en tant que code et disposer d’un processus de génération et de mise en production qui prend en charge les besoins et le cycle de vie de chaque extension. Étant donné que les extensions sont souvent vitales pour l’entreprise, il est important d’avoir des méthodes de test rigoureuses et des pratiques de déploiement sécurisées en place pour chaque extension.

Il est essentiel d’avoir un contrôle des modifications clair et un plan de communication d’entreprise en place. Vous devrez peut-être communiquer avec des parties prenantes (propriétaires de charge de travail) sur les exercices de récupération d’urgence que vous exécutez, ou sur les temps d’arrêt planifiés ou inattendus.

Vérifiez que vous disposez d’un système d’intégrité opérationnelle solide en place pour ces ressources. Activez des paramètres de Diagnostics Azure appropriés sur toutes les ressources d’extension et capturez toutes les données de télémétrie et les journaux dont vous avez besoin pour comprendre l’intégrité de la charge de travail. Envisagez un stockage à long terme des journaux des opérations et des métriques pour prendre en charge des interactions du support client lors d’un comportement inattendu de l’extension du service partagé.

Efficacité des performances

Une extension est un service centralisé. Afin de pouvoir concevoir vos unités d’échelle pour gérer des modifications de charge, vous devez comprendre :

  • Les demandes que votre organisation effectue sur l’extension.
  • Les exigences pour la planification de la capacité.
  • Comment les spokes se développeront au fil du temps.

Afin de concevoir vos unités d’échelle, testez et documentez la façon dont chaque composant de votre extension est mis à l’échelle individuellement, en fonction des métriques et des limites d’échelle de service qui sont en place. Certaines extensions peuvent nécessiter un équilibrage de charge sur plusieurs instances pour atteindre le débit requis.

Exemple d'implémentation

Extension de DNS Private Link : Établir une extension de hub virtuel pour DNS décrit une extension de hub virtuel conçue pour prendre en charge la recherche DNS dans une seule région pour des scénarios de Private Link.

Étapes suivantes

Topologie réseau hub-and-spoke avec Azure Virtual WAN