Egy hagyományos küllős topológiában, amely saját hálózatkezelést használ, teljes mértékben módosíthatja a központi virtuális hálózatot. A gyakori szolgáltatásokat üzembe helyezheti a központban, és elérhetővé teheti őket a számítási feladatok küllői számára. Ezek a megosztott szolgáltatások gyakran tartalmaznak olyan dolgokat, mint a DNS-erőforrások, az egyéni NVA-k és az Azure Bastion. Az Azure Virtual WAN használata esetén azonban korlátozott hozzáféréssel és korlátozásokkal rendelkezik arra, hogy mit telepíthet a virtuális központokra.
Ha például magánhálózati kapcsolatot és DNS-integrációt szeretne implementálni egy hagyományos küllős hálózati architektúrában, privát DNS-zónákat hozna létre és csatolna a központi hálózathoz. A virtuális gépek távelérési terve magában foglalhatja az Azure Bastiont, mint megosztott szolgáltatást a regionális központban. Egyéni számítási erőforrásokat is üzembe helyezhet, például Active Directory virtuális gépeket a központban. A Virtual WAN-ban ezek közül egyik sem lehetséges.
Ez a cikk a virtuális központ bővítménymintáját ismerteti, amely útmutatást nyújt a megosztott szolgáltatások küllők számára való biztonságos elérhetővé tételéhez, amelyeket nem tud közvetlenül üzembe helyezni egy virtuális központban.
Architektúra
A virtuális központ bővítménye egy dedikált küllős virtuális hálózat, amely a virtuális központhoz csatlakozik, amely egyetlen megosztott szolgáltatást tesz elérhetővé a számítási feladatok küllői számára. A virtuális központ bővítményével számos számítási feladat küllőjéhez biztosíthat hálózati kapcsolatot a megosztott erőforráshoz. Erre példa a DNS-erőforrások használata. A bővítmények olyan központosított erőforrást is tartalmazhatnak, amely a küllők számos célhelyéhez való kapcsolódást igényel. Erre példa egy központi Azure Bastion-üzembe helyezés.
1. ábra: A központ bővítménymintája
Töltse le az architektúra Visio-fájlját.
- Virtual Hub-bővítmény az Azure Bastionhoz. Ez a bővítmény lehetővé teszi a küllős hálózatokban lévő virtuális gépekhez való csatlakozást.
- Virtual Hub-bővítmény a DNS-hez. Ezzel a bővítménysel privát DNS-zónabejegyzéseket tehet közzé küllős hálózatok számítási feladatai számára.
Megfontolások
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Microsoft Azure Well-Architected Framework.
Megbízhatóság
A virtuális központ bővítményeit gyakran üzleti szempontból kritikus fontosságúnak tekintik, mivel a hálózaton belül egy alapvető funkciót szolgál ki. A bővítményeknek igazodniuk kell az üzleti követelményekhez, hibacsökkentő stratégiákkal kell rendelkezniük, és a küllők igényeinek megfelelően kell skálázniuk.
A szabványos üzemeltetési eljárásoknak tartalmazniuk kell az összes bővítmény rugalmassági tesztelését és megbízhatósági monitorozását. Ezeknek az eljárásoknak ellenőrizniük kell a hozzáférési és átviteli sebességre vonatkozó követelményeket. Minden bővítménynek értelmes állapotmodellel kell rendelkeznie.
Legyen tisztában a bővítmény szolgáltatásiszint-célkitűzéseivel (SLO), és pontosan mérje meg a megbízhatóságot. Ismerje meg az Azure szolgáltatásiszint-szerződését (SLA) és a bővítmény egyes összetevőire vonatkozó támogatási követelményeket. Ez a tudás segít a cél SLO felső határának beállításában és a támogatott konfigurációk megértésében.
Biztonság
Hálózati korlátozások. Bár a bővítményeket gyakran sok küllő használja, vagy több küllőhöz is hozzá kell férnie, előfordulhat, hogy nincs szükségük hozzáférésre az összes küllőről vagy az összes küllőhöz. Használja az elérhető hálózati biztonsági vezérlőket, például a hálózati biztonsági csoportok használatát és a forgalom biztonságos virtuális központon keresztüli kimenő forgalmát, ahol lehetséges.
Adat- és vezérlősík hozzáférés-vezérlése. Kövesse a bővítményekben üzembe helyezett összes erőforrásra vonatkozó ajánlott eljárásokat, és biztosítsa az erőforrások vezérlősíkjának és az adatsíkoknak a legkevésbé kiemelt elérését.
Költségoptimalizálás
Mint minden számítási feladat esetében, a költségek szabályozása érdekében győződjön meg arról, hogy a bővítményerőforrásokhoz megfelelő termékváltozat-méretek vannak kiválasztva. A munkaidő és más tényezők kiszámítható használati mintákat okozhatnak egyes bővítmények esetében. Ismerje meg a mintákat, és biztosítsa a rugalmasságot és a méretezhetőséget, amely képes befogadni őket.
Megosztott szolgáltatásként a számítási feladatok erőforrásai általában viszonylag hosszú feladatciklussal rendelkeznek a vállalati architektúrában. Fontolja meg a költségmegtakarítás használatát olyan elővásárlási ajánlatokon keresztül, mint az Azure Reservations, a fenntartott kapacitás díjszabása és az Azure-megtakarítási csomagok.
Működés eredményessége
Virtuális központ-bővítmények létrehozása az egységes felelősség elvének (SRP) betartásához. Minden bővítménynek egyetlen ajánlatra kell lennie, ezért ne egyesítse a nem kapcsolódó szolgáltatásokat egyetlen küllőben. Az erőforrásokat úgy rendszerezheti, hogy az egyes bővítmények egy dedikált erőforráscsoportban legyenek, így egyszerűbbé teheti az Azure-szabályzatok és szerepkörök kezelését.
Ezeket a bővítményeket az infrastruktúra kódként való használatával kell kiépíteni, és rendelkeznie kell egy buildelési és kiadási folyamattal, amely támogatja az egyes bővítmények igényeit és életciklusát. Mivel a bővítmények gyakran üzleti szempontból kritikus fontosságúak, ezért fontos, hogy minden bővítményhez szigorú tesztelési módszerek és biztonságos üzembe helyezési eljárások legyenek érvényben.
Az egyértelmű változáskövetési és vállalati kommunikációs terv életbevágóan fontos. Előfordulhat, hogy kommunikálnia kell az érdekelt felekkel (számítási feladatok tulajdonosaival) a végrehajtott vészhelyreállítási (DR)-próbákkal, illetve a tervezett vagy váratlan állásidővel kapcsolatban.
Győződjön meg arról, hogy szilárd működési állapotú rendszer áll rendelkezésre ezekhez az erőforrásokhoz. Engedélyezze a megfelelő Azure Diagnostics-beállításokat az összes bővítményerőforráson, és rögzítse az összes telemetriát és naplót, amely a számítási feladat állapotának megértéséhez szükséges. Fontolja meg a műveleti naplók és metrikák hosszú távú tárolását, hogy támogassa az ügyféltámogatási interakciókat a megosztott szolgáltatásbővítmény váratlan viselkedése során.
Teljesítménybeli hatékonyság
A bővítmény egy központosított szolgáltatás. Ahhoz, hogy a méretezési egységeket a terhelésváltozások kezelésére tervezze, ismernie kell a következőt:
- A szervezet által a bővítményre vonatkozó követelmények.
- A kapacitástervezés követelményei.
- Hogy a küllők hogyan fognak növekedni az idő múlásával.
A méretezési egységek tervezéséhez tesztelje és dokumentálja, hogy a bővítmény egyes összetevői hogyan skálázhatók a jelenleg érvényben lévő metrikák és szolgáltatásskálázási korlátok alapján. Egyes bővítmények terheléselosztást igényelhetnek több példányon a szükséges átviteli sebesség eléréséhez.
Példa implementálásra
Private Link DNS-bővítmény: A DNS-hez létrehoz egy virtuális központ-bővítményt, amely egy olyan Virtual Hub-bővítményt ír le, amely az egyrégiós DNS-keresést támogatja a Private Link-forgatókönyvekhez.
Következő lépések
Kapcsolódó erőforrások
- Mi az a privát végpont?
- Az Azure privát végpont DNS-konfigurációja
- Privát kapcsolat és DNS-integráció nagy méretekben
- Azure Private Link küllős hálózaton
- DNS helyszíni és Azure-erőforrásokhoz
- Egyrégiós adat-kezdőzóna-kapcsolat
- Hálózatok csatlakoztatása az Azure Monitorhoz az Azure Private Linkkel
- Azure DNS Private Resolver
- Továbbfejlesztett biztonsági hozzáférés több-bérlős webalkalmazásokhoz helyszíni hálózatról
- Alapkonfiguráció magas rendelkezésre állású zónaredundáns webalkalmazás
- Oktatóanyag: Privát végpont DNS-infrastruktúra létrehozása az Azure Private Resolverrel helyszíni számítási feladatokhoz