Dalam topologi hub-spoke tradisional dengan jaringan bawa sendiri, Anda dapat memanipulasi jaringan virtual hub sepenuhnya. Anda dapat menyebarkan layanan umum ke hub dan membuatnya tersedia untuk spoke beban kerja. Layanan bersama ini sering mencakup hal-hal seperti sumber daya DNS, NVA kustom, dan Azure Bastion. Namun, saat Anda menggunakan Azure Virtual WAN, Anda telah membatasi akses dan batasan pada apa yang dapat Anda instal di hub virtual.
Misalnya, untuk menerapkan Private Link dan integrasi DNS dalam arsitektur jaringan hub-spoke tradisional, Anda akan membuat dan menautkan zona DNS privat ke jaringan hub. Paket Anda untuk akses jarak jauh komputer virtual mungkin menyertakan Azure Bastion sebagai layanan bersama di hub regional. Anda juga dapat menyebarkan sumber daya komputasi kustom, seperti VM Direktori Aktif di hub. Tidak satu pun dari pendekatan ini dimungkinkan dengan Virtual WAN.
Artikel ini menjelaskan pola ekstensi hub virtual yang menyediakan panduan tentang cara mengekspos layanan bersama dengan aman ke spoke yang tidak dapat Anda sebarkan langsung di hub virtual.
Ekstensi hub virtual adalah jaringan virtual spoke khusus yang terhubung ke hub virtual yang mengekspos satu layanan bersama ke spoke beban kerja. Anda dapat menggunakan ekstensi hub virtual untuk menyediakan, ke banyak spoke beban kerja, konektivitas jaringan ke sumber daya bersama Anda. Sumber daya DNS adalah contoh penggunaan ini. Anda juga dapat menggunakan ekstensi untuk berisi sumber daya terpusat yang memerlukan konektivitas ke banyak tujuan dalam spoke. Penyebaran Azure Bastion terpusat adalah contoh penggunaan ini.
Gambar 1: Pola ekstensi hub
Unduh file Visio arsitektur ini.
- Ekstensi hub virtual untuk Azure Bastion. Ekstensi ini memungkinkan Anda terhubung ke komputer virtual di jaringan spoke.
- Ekstensi hub virtual untuk DNS. Ekstensi ini memungkinkan Anda mengekspos entri zona DNS privat ke beban kerja di jaringan spoke.
Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat Anda gunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.
Ekstensi hub virtual sering dianggap penting bagi bisnis, karena melayani fungsi inti dalam jaringan. Ekstensi harus selaras dengan persyaratan bisnis, memiliki strategi mitigasi kegagalan, dan menskalakan dengan kebutuhan spoke.
Prosedur operasi standar Anda harus mencakup pengujian ketahanan dan pemantauan keandalan semua ekstensi. Prosedur ini harus memvalidasi persyaratan akses dan throughput. Setiap ekstensi harus memiliki model kesehatan yang bermakna.
Jelaskan tentang tujuan tingkat layanan (SLO) Anda untuk ekstensi ini dan mengukur keandalan secara akurat terhadapnya. Pahami perjanjian tingkat layanan Azure (SLA) dan persyaratan dukungan pada setiap komponen individu dalam ekstensi. Pengetahuan ini membantu Anda mengatur langit-langit untuk SLO target Anda dan memahami konfigurasi yang didukung.
Pembatasan jaringan. Meskipun ekstensi sering digunakan oleh banyak spoke atau memerlukan akses ke banyak spoke, mereka mungkin tidak memerlukan akses dari atau ke semua spoke. Gunakan kontrol keamanan jaringan yang tersedia seperti menggunakan Kelompok Keamanan Jaringan dan lalu lintas keluar melalui hub virtual aman Anda jika memungkinkan.
Kontrol akses data dan sarana kontrol. Ikuti praktik terbaik untuk semua sumber daya yang disebarkan ke ekstensi, memberikan akses paling tidak istimewa ke sarana kontrol sumber daya dan sarana data apa pun.
Seperti halnya beban kerja apa pun, pastikan bahwa ukuran SKU yang sesuai dipilih untuk sumber daya ekstensi untuk membantu mengontrol biaya. Jam kerja dan faktor lain dapat menyebabkan pola penggunaan yang dapat diprediksi untuk beberapa ekstensi. Pahami pola dan berikan elastisitas dan skalabilitas yang dapat mengakomodasinya.
Sebagai layanan bersama, sumber daya beban kerja umumnya memiliki siklus tugas yang relatif panjang dalam arsitektur perusahaan Anda. Pertimbangkan untuk menggunakan penghematan biaya melalui penawaran pra-pembelian seperti Reservasi Azure, harga kapasitas yang dipesan, dan paket penghematan Azure.
Bangun ekstensi hub virtual untuk mematuhi prinsip tanggung jawab tunggal (SRP). Setiap ekstensi harus untuk satu penawaran, jadi jangan gabungkan layanan yang tidak terkait dalam satu spoke. Anda dapat mengatur sumber daya sedih sehingga setiap ekstensi berada di grup sumber daya khusus, untuk mempermudah pengelolaan kebijakan dan peran Azure.
Anda harus menyediakan ekstensi ini dengan menggunakan Infrastruktur sebagai Kode, dan memiliki proses build dan rilis yang mendukung kebutuhan dan siklus hidup setiap ekstensi. Karena ekstensi seringkali bersifat penting bagi bisnis, dan penting untuk memiliki metode pengujian yang ketat dan praktik penyebaran yang aman untuk setiap ekstensi.
Memiliki kontrol perubahan yang jelas dan rencana komunikasi perusahaan di tempat sangat penting. Anda mungkin perlu berkomunikasi dengan pemangku kepentingan (pemilik beban kerja) tentang latihan pemulihan bencana (DR) yang Anda jalankan, atau waktu henti yang direncanakan atau tidak terduga.
Pastikan Anda memiliki sistem kesehatan operasional yang solid untuk sumber daya ini. Aktifkan pengaturan Diagnostik Azure yang sesuai pada semua sumber daya ekstensi, dan ambil semua telemetri dan log yang Anda butuhkan untuk memahami kesehatan beban kerja. Pertimbangkan penyimpanan jangka panjang log operasi dan metrik untuk mendukung interaksi dukungan pelanggan selama perilaku tak terduga dari ekstensi layanan bersama.
Ekstensi adalah layanan terpusat. Untuk merancang unit skala Anda untuk menangani perubahan beban, Anda perlu memahami:
- Tuntutan yang dilakukan organisasi Anda pada ekstensi.
- Persyaratan untuk perencanaan kapasitas.
- Bagaimana spoke akan tumbuh dari waktu ke waktu.
Untuk merancang unit skala Anda, uji dan dokumentasikan bagaimana setiap komponen dalam ekstensi Anda menskalakan secara individual, berdasarkan metrik dan batas skala layanan yang ada. Beberapa ekstensi mungkin memerlukan penyeimbangan beban di beberapa instans untuk mencapai throughput yang diperlukan.
Ekstensi DNS Private Link: Membuat ekstensi hub virtual untuk DNS menjelaskan ekstensi Hub Virtual yang dirancang untuk mendukung pencarian DNS wilayah tunggal untuk skenario Private Link.
- Apa itu titik akhir privat?
- Konfigurasi DNS Azure Private Endpoint
- Private Link dan integrasi DNS dalam skala besar
- Azure Private Link di jaringan hub dan spoke
- DNS untuk sumber daya lokal dan Azure
- Konektivitas zona pendaratan data satu wilayah
- Menggunakan Azure Private Link untuk menyambungkan jaringan ke Azure Monitor
- Azure DNS Private Resolver
- Akses keamanan yang ditingkatkan ke aplikasi web multi-penyewa dari jaringan lokal
- Garis besar aplikasi web redundan zona yang sangat tersedia
- Tutorial: Membuat infrastruktur DNS titik akhir privat dengan Azure Private Resolver untuk beban kerja lokal