Topologia sieci piasty i szprych na platformie Azure

Network Watcher
Firewall
Virtual Network
Bastion
VPN Gateway

Ta architektura referencyjna zawiera szczegóły topologii piasty i szprych na platformie Azure. Sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych. Koncentrator może być również używany jako punkt łączności z sieciami lokalnymi. Sieci wirtualne szprych są równorzędne z koncentratorem i mogą służyć do izolowania obciążeń.

Architektura

Topologia piasty i szprych na platformie Azure

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Architektura składa się z następujących aspektów:

  • Sieć wirtualna koncentratora: Sieć wirtualna koncentratora to centralny punkt łączności z siecią lokalną. Jest to miejsce do hostowania usług, które mogą być używane przez różne obciążenia hostowane w sieciach wirtualnych szprych.

  • Sieci wirtualne szprych: Sieci wirtualne szprych są używane do izolowania obciążeń we własnych sieciach wirtualnych, zarządzanych oddzielnie od innych szprych. Każde obciążenie może zawierać wiele warstw z wieloma podsieciami połączonymi za pośrednictwem modułów równoważenia obciążenia platformy Azure.

  • Komunikacja równorzędna sieci wirtualnych: Dwie sieci wirtualne można połączyć za pomocą połączenia komunikacji równorzędnej. Połączenia komunikacji równorzędnej to nie przechodnie, małe opóźnienia połączeń między sieciami wirtualnymi. Po komunikacji równorzędnej sieci wirtualne wymieniają ruch przy użyciu sieci szkieletowej platformy Azure bez konieczności używania routera.

  • Host bastionu: Usługa Azure Bastion umożliwia bezpieczne łączenie się z maszyną wirtualną przy użyciu przeglądarki i Azure Portal. Host usługi Azure Bastion jest wdrażany w usłudze Azure Virtual Network i może uzyskiwać dostęp do maszyn wirtualnych w sieci wirtualnej lub maszyn wirtualnych w równorzędnych sieciach wirtualnych.

  • Azure Firewall: Azure Firewall jest zarządzaną zaporą jako usługą. Wystąpienie zapory jest umieszczane we własnej podsieci.

  • Brama sieci wirtualnej VPN lub usługi ExpressRoute. Brama sieci wirtualnej umożliwia sieci wirtualnej łączenie się z urządzeniem sieci VPN lub obwodem usługi ExpressRoute używanym do łączności z siecią lokalną. Aby uzyskać więcej informacji, zobacz Connect an on-premises network to a Microsoft Azure virtual network (Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure).

  • Urządzenie sieci VPN. Urządzenie lub usługa, która zapewnia sieci lokalnej łączność zewnętrzną. Urządzenie sieci VPN może być urządzeniem sprzętowym lub rozwiązaniem oprogramowania, takim jak usługa routingu i dostępu zdalnego (RRAS) w Windows Server 2012. Aby uzyskać więcej informacji, zobacz Informacje o urządzeniach sieci VPN dla połączeń VPN Gateway lokacja-lokacja.

Składniki

  • Azure Virtual Network. Azure Virtual Network (VNet) to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia korzystanie z wielu typów zasobów platformy Azure, takich jak azure Virtual Machines (maszyny wirtualne), w celu bezpiecznego komunikowania się ze sobą, Internetu i sieci lokalnych.

  • Azure Bastion. Azure Bastion to w pełni zarządzana usługa, która zapewnia bardziej bezpieczny i bezproblemowy dostęp do protokołów RDP (Remote Desktop Protocol) i Secure Shell Protocol (SSH) do maszyn wirtualnych bez ujawnienia za pośrednictwem publicznych adresów IP.

  • Azure Firewall. Azure Firewall to zarządzana, sieciowa usługa zabezpieczeń oparta na chmurze, która zabezpiecza zasoby usługi Azure Virtual Network. Usługa zapory stanowej ma wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury, aby ułatwić tworzenie, wymuszanie i rejestrowanie zasad aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych.

  • VPN Gateway. VPN Gateway wysyła zaszyfrowany ruch między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu. Można również użyć VPN Gateway do wysyłania zaszyfrowanego ruchu między sieciami wirtualnymi platformy Azure za pośrednictwem sieci firmy Microsoft. Brama sieci VPN to określony typ bramy sieci wirtualnej.

  • Azure Monitor. Zbieranie, analizowanie i wykonywanie działań dotyczących danych telemetrycznych z platformy Azure i środowisk lokalnych. Usługa Azure Monitor pomaga zmaksymalizować wydajność i dostępność aplikacji oraz pomaga aktywnie identyfikować problemy w ciągu kilku sekund.

Szczegóły scenariusza

Korzyści wynikające z korzystania z konfiguracji piasty i szprych obejmują oszczędności kosztów, przekroczenie limitów subskrypcji i izolację obciążeń.

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Obciążenia wdrożone w różnych środowiskach, takich jak programowanie, testowanie i produkcja, które wymagają udostępnionych usług, takich jak DNS, IDS, NTP lub AD DS. Usługi udostępnione są umieszczane w sieci wirtualnej piasty, podczas gdy każde środowisko jest wdrażane w szprychy w celu zachowania izolacji.
  • Obciążenia, które nie wymagają łączności ze sobą, ale wymagają dostępu do usług udostępnionych.
  • Przedsiębiorstwa, które wymagają centralnej kontroli nad aspektami zabezpieczeń, takimi jak zapora w piaście jako strefa DMZ, i rozdzielonego zarządzania obciążeniami w każdej szprysze.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Grupy zasobów

Przykładowe rozwiązanie zawarte w tym dokumencie używa pojedynczej grupy zasobów platformy Azure. W praktyce piasta i każda szprycha mogą być implementowane w różnych grupach zasobów, a nawet w różnych subskrypcjach. W przypadku komunikacji równorzędnej sieci wirtualnych w różnych subskrypcjach obie subskrypcje mogą być skojarzone z tą samą lub inną dzierżawą usługi Azure Active Directory. Ta elastyczność umożliwia zdecentralizowane zarządzanie każdym obciążeniem przy jednoczesnym udostępnianiu usług utrzymywanych w centrum. Zobacz Tworzenie komunikacji równorzędnej sieci wirtualnej — Resource Manager, różne subskrypcje i dzierżawy usługi Azure Active Directory.

Sieć wirtualna i podsieć GatewaySubnet

Utwórz podsieć o nazwie GatewaySubnet mającą zakres adresów równy /27. Brama sieci wirtualnej wymaga tej podsieci. Przekazanie 32 adresów do tej podsieci pomoże zapobiec osiągnięciu ograniczeń rozmiaru bramy w przyszłości.

Aby uzyskać więcej informacji na temat konfigurowania bramy, zobacz następujące architektury referencyjne w zależności od typu połączenia:

Aby zapewnić wyższą dostępność, możesz użyć usługi ExpressRoute i sieci VPN dla trybu failover. Zobacz Connect an on-premises network to Azure using ExpressRoute with VPN failover (Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute z trybem failover sieci VPN).

Topologia piasty i szprych może być również używana bez bramy, jeśli nie potrzebujesz łączności z siecią lokalną.

Komunikacja równorzędna sieci wirtualnej

Komunikacja równorzędna sieci wirtualnych jest relacją nieumiejętną między dwiema sieciami wirtualnymi. Jeśli chcesz, aby szprychy łączyły się ze sobą, rozważ dodanie oddzielnego połączenia komunikacji równorzędnej między tymi szprychami.

Załóżmy, że masz kilka szprych, które muszą się ze sobą połączyć. W takim przypadku szybko zabraknie możliwych połączeń komunikacji równorzędnej, ponieważ liczba wirtualnych sieci równorzędnych na sieć wirtualną jest ograniczona. Aby uzyskać więcej informacji, zobacz Limity sieci. W tym scenariuszu rozważ użycie tras zdefiniowanych przez użytkownika w celu wymuszenia wysłania ruchu kierowanego do szprychy do Azure Firewall lub wirtualnego urządzenia sieciowego działającego jako router w koncentratorze. Ta zmiana umożliwi szprychom łączenie się ze sobą.

Można również skonfigurować szprychy, aby używać bramy koncentratora do komunikowania się z sieciami zdalnymi. Aby umożliwić przepływ ruchu bramy z szprychy do koncentratora i nawiązywania połączenia z sieciami zdalnymi, musisz:

  • Skonfiguruj połączenie komunikacji równorzędnej w centrum, aby zezwolić na tranzyt bramy.
  • Skonfiguruj połączenie komunikacji równorzędnej w każdej szprychy, aby używać bram zdalnych.
  • Skonfiguruj wszystkie połączenia komunikacji równorzędnej, aby zezwolić na ruch przekazywany.

Aby uzyskać więcej informacji, zobacz Tworzenie wirtualnych sieci równorzędnych.

Łączność szprych

Jeśli potrzebujesz łączności między szprychami, rozważ wdrożenie Azure Firewall lub innego wirtualnego urządzenia sieciowego. Następnie utwórz trasy do przekazywania ruchu z szprychy do zapory lub wirtualnego urządzenia sieciowego, które może następnie kierować do drugiej szprychy. W tym scenariuszu musisz skonfigurować połączenia komunikacji równorzędnej, aby zezwolić na przekazywany ruch.

Routing między szprychami przy użyciu Azure Firewall

Pobierz plik programu Visio z tą architekturą.

Możesz również użyć bramy sieci VPN do kierowania ruchu między szprychami, chociaż ten wybór będzie mieć wpływ na opóźnienie i przepływność. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz Konfigurowanie przesyłania bramy sieci VPN dla komunikacji równorzędnej sieci wirtualnej .

Zastanów się, jakie usługi są współużytkowane w centrum, aby zapewnić skalowanie koncentratora dla większej liczby szprych. Jeśli na przykład centrum zapewnia usługi zapory, rozważ limity przepustowości rozwiązania zapory podczas dodawania wielu szprych. Możesz przenieść niektóre z tych udostępnionych usług na drugi poziom piast.

Zagadnienia do rozważenia

Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem podstawowych zestawów, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Zarządzanie

Użyj usługi Azure Virtual Network Manager (AVNM), aby utworzyć nowe (i dołączyć istniejące) topologie sieci wirtualnej piasty i szprych na potrzeby centralnego zarządzania łącznością i mechanizmami kontroli zabezpieczeń.

Usługa AVNM zapewnia, że topologie sieci piasty i szprych są przygotowane do przyszłego rozwoju na dużą skalę w wielu subskrypcjach, grupach zarządzania i regionach. Zobacz następujące przykładowe scenariusze:

  • Demokratyzacja zarządzania sieciami wirtualnymi będących szprychami w grupach organizacji, takich jak jednostki biznesowe lub zespoły aplikacji, co skutkuje dużą liczbą wymagań dotyczących łączności między sieciami wirtualnymi i regułami zabezpieczeń sieci.
  • Standaryzacja wielu architektur piasty i szprych replik w wielu regionach platformy Azure w celu zapewnienia globalnego śladu dla aplikacji.

Możliwość odnajdywania żądanych sieci wirtualnych do zarządzania za pośrednictwem usługi AVNM można zdefiniować za pomocą funkcji Zakresy . Ta funkcja umożliwia elastyczność dla żądanej liczby wystąpień zasobów AVNM, co umożliwia dalszą demokratyzację zarządzania grupami sieci wirtualnych.

Sieci wirtualne w dowolnej subskrypcji, grupie zarządzania lub regionie w ramach tej samej dzierżawy Azure AD można pogrupować w grupy sieciowe, aby zapewnić jednolitość oczekiwanych reguł łączności i sieci. Sieci wirtualne mogą być automatycznie lub ręcznie dołączane do grupy sieci za pomocą członkostwa dynamicznego lub statycznego.

Sieci wirtualne będące szprychami w tej samej grupie sieci mogą być ze sobą połączone, włączając komunikację równorzędną sieci wirtualnych za pośrednictwem funkcji łączności bezpośredniej avNM. Aby rozszerzyć możliwości szprych w różnych regionach w celu uzyskania bezpośredniej łączności, użyj funkcji globalnej siatki , która ułatwia tworzenie globalnych wirtualnych sieci równorzędnych. Zobacz przykładowy diagram poniżej:

Diagram przedstawiający bezpośrednią łączność szprych.

Ponadto w celu zapewnienia bazowego zestawu reguł zabezpieczeń sieci wirtualne w tej samej grupie sieciowej mogą być skojarzone z regułami administratora zabezpieczeń. Reguły administratora zabezpieczeń są oceniane przed regułami sieciowej grupy zabezpieczeń i mają taki sam charakter sieciowych grup zabezpieczeń z obsługą priorytetyzacji, tagów usług i protokołów L3-L4.

Na koniec, aby ułatwić kontrolowane wdrażanie grup sieciowych, łączności i reguł zabezpieczeń, funkcja wdrożeń avNM umożliwia bezpieczne wydawanie zmian powodujących niezgodność tych konfiguracji w środowiskach piasty i szprych.

Aby uzyskać więcej informacji na temat rozpoczynania pracy, zobacz Create a hub and spoke topology with Azure Virtual Network Manager (Tworzenie topologii gwiazdy za pomocą usługi Azure Virtual Network Manager).

Zagadnienia operacyjne

Podczas wdrażania sieci piasty i szprych oraz zarządzania nimi należy wziąć pod uwagę następujące informacje.

Monitorowanie sieci

Użyj usługi Azure Network Watcher do monitorowania i rozwiązywania problemów ze składnikami sieci. Narzędzia takie jak Analiza ruchu pokazują systemy w sieciach wirtualnych, które generują najwięcej ruchu. Następnie można wizualnie zidentyfikować wąskie gardła, zanim zgenerują się na problemy. Menedżer wydajności sieci to właściwe narzędzie do monitorowania informacji o obwodach usługi Microsoft ExpressRoute. Diagnostyka sieci VPN to inne narzędzie, które może pomóc w rozwiązywaniu problemów z połączeniami sieci VPN typu lokacja-lokacja łączącą aplikacje z użytkownikami lokalnymi.

Aby uzyskać więcej informacji, zobacz Azure Network Watcher.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Podczas wdrażania sieci piasty i szprych należy wziąć pod uwagę następujące elementy związane z kosztami.

Azure Firewall

W tej architekturze wdrożono Azure Firewall w sieci piasty. Jeśli jest używane jako rozwiązanie udostępnione i używane przez wiele obciążeń, Azure Firewall może zaoszczędzić do 30–50% w innych wirtualnych urządzeniach sieciowych. Aby uzyskać więcej informacji, zobacz Azure Firewall a wirtualne urządzenie sieciowe.

Komunikacja równorzędna sieci wirtualnej

Za pomocą komunikacji równorzędnej sieci wirtualnych można kierować ruch między sieciami wirtualnymi przy użyciu prywatnych adresów IP. Oto kilka punktów:

  • Opłaty za ruch przychodzący i wychodzący są naliczane na obu końcach sieci równorzędnych.
  • Różne strefy mają różne stawki transferu.

Na przykład transfer danych z sieci wirtualnej w strefie 1 do innej sieci wirtualnej w strefie 2 spowoduje naliczenie szybkości transferu wychodzącego dla strefy 1 i szybkości ruchu przychodzącego dla strefy 2. Aby uzyskać więcej informacji, zobacz Cennik sieci wirtualnej.

Wdrażanie tego scenariusza

To wdrożenie obejmuje jedną sieć wirtualną piasty i dwie szprychy równorzędne. Wdrożono również Azure Firewall i hosta usługi Azure Bastion. Opcjonalnie wdrożenie może obejmować maszyny wirtualne w pierwszej sieci szprych i bramę sieci VPN.

Użyj następującego polecenia, aby utworzyć grupę zasobów dla wdrożenia. Kliknij przycisk Wypróbuj, aby użyć osadzonej powłoki.

az group create --name hub-spoke --location eastus

Uruchom następujące polecenie, aby wdrożyć konfigurację sieci piasty i szprych, komunikację równorzędną sieci wirtualnych między piastą a szprychą i hostem bastionu. Po wyświetleniu monitu wprowadź nazwę użytkownika i hasło. Te wartości mogą służyć do uzyskiwania dostępu do maszyny wirtualnej znajdującej się w sieci szprych.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

Aby uzyskać szczegółowe informacje i dodatkowe opcje wdrażania, zobacz szablony usługi Azure Resource Manager (ARM) używane do wdrażania tego rozwiązania.

Następne kroki

Dowiedz się więcej o technologiach składników:

Zapoznaj się z następującymi powiązanymi architekturami: