In een traditionele hub-spoke-topologie met bring-your-own-networking kunt u het virtuele hubnetwerk volledig manipuleren. U kunt algemene services implementeren in de hub en deze beschikbaar maken voor workload-spokes. Deze gedeelde services omvatten vaak zaken zoals DNS-resources, aangepaste NVA's en Azure Bastion. Wanneer u Azure Virtual WAN gebruikt, hebt u echter beperkte toegang en beperkingen voor wat u op de virtuele hubs kunt installeren.
Als u bijvoorbeeld Private Link en DNS-integratie in een traditionele hub-spoke-netwerkarchitectuur wilt implementeren, maakt en koppelt u privé-DNS-zones aan het hubnetwerk. Uw plan voor externe toegang tot virtuele machines kan Azure Bastion bevatten als een gedeelde service in de regionale hub. U kunt ook aangepaste rekenresources implementeren, zoals Active Directory-VM's in de hub. Geen van deze methoden zijn mogelijk met Virtual WAN.
In dit artikel wordt het patroon voor virtuele hub-extensies beschreven dat richtlijnen biedt voor het veilig beschikbaar maken van gedeelde services voor spokes die u niet rechtstreeks in een virtuele hub kunt implementeren.
Architectuur
Een virtuele hub-extensie is een toegewezen virtueel spoke-netwerk dat is verbonden met de virtuele hub die één gedeelde service beschikbaar maakt voor workload spokes. U kunt een virtuele hub-extensie gebruiken om een groot aantal workload-spokes, netwerkconnectiviteit met uw gedeelde resource te bieden. DNS-resources zijn een voorbeeld van dit gebruik. U kunt ook een extensie gebruiken om een gecentraliseerde resource te bevatten die verbinding met veel bestemmingen in de spokes vereist. Een gecentraliseerde Azure Bastion-implementatie is een voorbeeld van dit gebruik.
Afbeelding 1: Hub-extensiepatroon
Een Visio-bestand van deze architectuur downloaden.
- Virtuele hub-extensie voor Azure Bastion. Met deze extensie kunt u verbinding maken met virtuele machines in spoke-netwerken.
- Virtuele hub-extensie voor DNS. Met deze extensie kunt u privé-DNS-zonevermeldingen beschikbaar maken voor workloads in spoke-netwerken.
Overwegingen
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.
Betrouwbaarheid
Een virtuele hub-extensie wordt vaak als bedrijfskritiek beschouwd, omdat deze een kernfunctie binnen het netwerk biedt. Extensies moeten zijn afgestemd op bedrijfsvereisten, hebben strategieën voor foutbeperking en schalen met de behoeften van de spokes.
Uw standaardbedrijfsprocedures moeten tolerantietests en betrouwbaarheidsbewaking van alle extensies omvatten. Deze procedures moeten de toegangs- en doorvoervereisten valideren. Elke extensie moet een zinvol statusmodel hebben.
Wees duidelijk over uw serviceniveaudoelstellingen (SLO) voor deze extensie en meet de betrouwbaarheid ervan nauwkeurig. Meer informatie over de Sla (Service Level Agreement) van Azure en de ondersteuningsvereisten voor elk afzonderlijk onderdeel in de extensie. Met deze kennis kunt u het plafond voor uw doel-SLO instellen en inzicht krijgen in de ondersteunde configuraties.
Beveiliging
Netwerkbeperkingen. Hoewel extensies vaak door veel spokes worden gebruikt of toegang nodig hebben tot veel spokes, hebben ze mogelijk geen toegang nodig van of naar alle spokes. Gebruik waar mogelijk beschikbare besturingselementen voor netwerkbeveiliging, zoals het gebruik van netwerkbeveiligingsgroepen en uitgaand verkeer via uw beveiligde virtuele hub.
Toegangsbeheer voor gegevens- en besturingsvlak. Volg de aanbevolen procedures voor alle resources die zijn geïmplementeerd in extensies, met minimale bevoegdheden toegang tot het besturingsvlak van de resources en alle gegevensvlakken.
Kostenoptimalisatie
Net als bij elke workload moet u ervoor zorgen dat de juiste SKU-grootten zijn geselecteerd voor extensieresources om de kosten te beheren. Kantooruren en andere factoren kunnen voorspelbare gebruikspatronen voor sommige extensies veroorzaken. Inzicht in de patronen en de elasticiteit en schaalbaarheid bieden die geschikt zijn voor deze patronen.
Als gedeelde service hebben de workloadresources over het algemeen een relatief lange belastingcyclus in uw bedrijfsarchitectuur. Overweeg kostenbesparingen te gebruiken via vooraf aangeschafte aanbiedingen, zoals Azure-reserveringen, prijzen voor gereserveerde capaciteit en Azure-besparingsplannen.
Operationele uitmuntendheid
Bouw extensies voor virtuele hubs om te voldoen aan het SRP (Single Responsibility Principle). Elke extensie moet voor één aanbieding zijn, dus combineer niet niet-gerelateerde services in één spoke. U kunt uw resources zodanig ordenen dat elke extensie zich in een toegewezen resourcegroep bevindt, zodat het eenvoudiger is om Azure-beleid en -rollen te beheren.
U moet deze extensies inrichten met infrastructuur als code en een build- en releaseproces hebben dat ondersteuning biedt voor de behoeften en levenscyclus van elke extensie. Aangezien extensies vaak bedrijfskritiek zijn, is het belangrijk dat u een strenge testmethode en veilige implementatieprocedures voor elke extensie hebt.
Het hebben van een duidelijk wijzigingsbeheer en bedrijfscommunicatieplan is essentieel. Mogelijk moet u communiceren met belanghebbenden (workloadeigenaren) over noodherstelanalyses die u uitvoert, of geplande of onverwachte downtime.
Zorg ervoor dat u een solide operationele statussysteem hebt voor deze resources. Schakel de juiste Azure Diagnostics-instellingen in voor alle extensieresources en leg alle telemetrie en logboeken vast die u nodig hebt om de status van de workload te begrijpen. Houd rekening met langetermijnopslag van bewerkingslogboeken en metrische gegevens ter ondersteuning van interacties van klantenondersteuning tijdens onverwacht gedrag van de gedeelde service-extensie.
Prestatie-efficiëntie
Een extensie is een gecentraliseerde service. Als u uw schaaleenheden wilt ontwerpen voor het afhandelen van belastingswijzigingen, moet u het volgende begrijpen:
- De eisen die uw organisatie stelt voor de extensie.
- De vereisten voor capaciteitsplanning.
- Hoe spokes na verloop van tijd groeien.
Als u uw schaaleenheden wilt ontwerpen, test en documenteert u hoe elk onderdeel in uw extensie afzonderlijk wordt geschaald, op basis van de metrische gegevens en serviceschaallimieten die aanwezig zijn. Voor sommige extensies is mogelijk taakverdeling vereist voor meerdere exemplaren om de vereiste doorvoer te bereiken.
Voorbeeld van implementatie
Private Link DNS-extensie: Een virtuele hub-extensie voor DNS instellen beschrijft een virtuele hub-extensie die is ontworpen ter ondersteuning van DNS-zoekacties voor één regio voor Scenario's met Private Link.
Volgende stappen
Verwante resources
- Wat is een privé-eindpunt?
- DNS-configuratie van Azure-privé-eindpunt
- Private Link en DNS-integratie op schaal
- Azure Private Link in een hub-and-spoke-netwerk
- DNS voor on-premises en Azure-resources
- Connectiviteit van gegevenslandingszone met één regio
- Azure Private Link gebruiken om netwerken te verbinden met Azure Monitor
- Azure DNS Private Resolver
- Verbeterde beveiligingstoegang tot web-apps met meerdere tenants vanuit een on-premises netwerk
- Maximaal beschikbare zone-redundante webtoepassing basislijn
- Zelfstudie: Een DNS-infrastructuur voor privé-eindpunten maken met Azure Private Resolver voor een on-premises workload