Topologia sieci piasty i szprych
Piasta i szprycha to model sieci umożliwiający efektywne zarządzanie typowymi wymaganiami dotyczącymi komunikacji lub zabezpieczeń. Pomaga również uniknąć ograniczeń subskrypcji platformy Azure. Ten model dotyczy następujących kwestii:
Oszczędność kosztów i wydajnego zarządzania: scentralizowanie usług, które mogą być współużytkowane przez wiele obciążeń, takich jak wirtualne urządzenia sieciowe (WUS) i serwery DNS. W przypadku jednej lokalizacji dla usług it może zminimalizować nadmiarowe zasoby i nakład pracy związane z zarządzaniem.
Przekroczenie limitów subskrypcji: duże obciążenia oparte na chmurze mogą wymagać użycia większej liczby zasobów niż jedna subskrypcja platformy Azure. Komunikacja równorzędna sieci wirtualnych obciążenia z różnych subskrypcji do centrum może pokonać te ograniczenia. Aby uzyskać więcej informacji, zobacz Limity subskrypcji platformy Azure.
Wprowadzenie rozdzielenia zagadnień: można wdrażać poszczególne obciążenia między centralnymi zespołami IT i zespołami ds. obciążeń.
Dodatkowa struktura i możliwości oferowane przez ten model mogą nie przynieść korzyści mniejszym majątkom w chmurze. Jednak w przypadku większych nakładów pracy związanych z wdrożeniem chmury warto rozważyć implementację architektury sieciowej typu piasta i szprychy, jeśli występują problemy wymienione wcześniej.
Uwaga
Witryna architektur referencyjnych platformy Azure zawiera przykładowe szablony, których można użyć jako podstawy do implementowania własnych sieci piasty i szprych:
Omówienie
Rysunek 1. Przykład topologii sieci piasty i szprych.
Jak pokazano na diagramie, platforma Azure obsługuje dwa typy projektów piasty i szprych. Pierwszy typ obsługuje komunikację, udostępnione zasoby i scentralizowane zasady zabezpieczeń. Ten typ jest oznaczony jako koncentrator sieci wirtualnej na diagramie. Drugi typ jest oparty na usłudze Azure Virtual WAN, która jest oznaczona jako Usługa Virtual WAN na diagramie. Ten typ dotyczy komunikacji od gałęzi do gałęzi i odgałęzienia do platformy Azure.
Piasta to centralna strefa sieciowa, która kontroluje i sprawdza ruch przychodzący i wychodzący między strefami: Internet, środowisko lokalne i szprychy. Topologia piasty i szprych zapewnia działowi IT efektywną metodę wymuszania zasad zabezpieczeń w lokalizacji centralnej. Minimalizuje również ryzyko błędnej konfiguracji i ekspozycji.
Piasta zawiera często wspólne składniki usługi używane przez szprychy. Przykłady typowych usług centralnych to:
- Usługa DNS rozpoznaje nazewnictwo obciążenia w szprychach w celu uzyskiwania dostępu do zasobów lokalnych i w Internecie, jeśli usługa Azure DNS nie jest używana.
- Infrastruktura kluczy publicznych implementuje logowanie jednokrotne dla obciążeń.
- Przepływ ruchu TCP i UDP jest kontrolowany między strefami sieci szprych i Internetem.
- Przepływ jest kontrolowany między szprychami i środowiskiem lokalnym.
- Przepływ jest kontrolowany między jedną szprychą a drugą, w razie potrzeby.
Używając infrastruktury piasty udostępnionej w celu obsługi wielu szprych, można zminimalizować nadmiarowość, uprościć zarządzanie i obniżyć koszt całkowity.
Rolą każdej szprychy może być hostowanie różnych typów obciążeń. Szprychy zapewniają również modularne podejście do powtarzających się wdrożeń tych samych obciążeń. Przykłady obejmują tworzenie i testowanie, testowanie akceptacyjne użytkowników, przejściowe i produkcyjne.
Szprychy mogą również dzielić różne grupy w obrębie organizacji i umożliwiać ich tworzenie. Przykładem są grupy usługi Azure DevOps. Wewnątrz szprychy można wdrażać podstawowe obciążenia lub złożone obciążenia wielowarstwowe z kontrolą ruchu między warstwami.
Usługa Application Gateway pokazana na powyższym diagramie może żyć w szprychach z aplikacją, która służy do lepszego zarządzania i skalowania. Jednak zasady firmowe mogą dyktować umieszczenie usługi Application Gateway w centrum w celu scentralizowanego zarządzania i podziału obowiązku.
Ograniczenia subskrypcji i wiele piast
Na platformie Azure każdy typ składnika jest wdrażany w ramach subskrypcji platformy Azure. Izolacja składników platformy Azure w różnych subskrypcjach platformy Azure może spełniać różne wymagania biznesowe, takie jak konfigurowanie różnych poziomów dostępu i autoryzacji.
Pojedyncza implementacja piasty i szprych może być skalowana w górę do dużej liczby szprych, ale podobnie jak w przypadku każdego systemu IT, istnieją limity platformy. Wdrożenie piasty jest powiązane z określoną subskrypcją platformy Azure, która ma ograniczenia i limity. Jednym z przykładów jest maksymalna liczba wirtualnych sieci równorzędnych. Aby uzyskać więcej informacji, zobacz Limity subskrypcji i usług platformy Azure.
Jeśli limity mogą być problemem, możesz skalować architekturę w górę, rozszerzając model do klastra piast i szprych. Możesz połączyć wiele centrów w co najmniej jednym regionie świadczenia usługi Azure przy użyciu:
- Komunikacja równorzędna sieci wirtualnej
- Azure ExpressRoute
- Azure Virtual WAN
- Sieć VPN typu lokacja-lokacja
Rysunek 2. Klaster piast i szprych.
Wprowadzenie wielu piast zwiększa koszt i nakłady pracy związane z zarządzaniem w systemie. Ten wzrost jest uzasadniony tylko przez:
- Skalowalność
- Limity systemowe
- Nadmiarowość i replikacja regionalna na potrzeby wydajności użytkownika lub odzyskiwania po awarii
W scenariuszach wymagających wielu centrów wszystkie koncentratory powinny dążyć do oferowania tego samego zestawu usług w celu ułatwienia działania.
Wzajemne połączenia między szprychami
Istnieje możliwość zaimplementowania złożonych, wielowarstwowych obciążeń w obrębie jednej szprychy. Konfiguracje wielowarstwowe można implementować przy użyciu podsieci (jedna dla każdej warstwy) w tej samej sieci wirtualnej i przy użyciu sieciowych grup zabezpieczeń do filtrowania przepływów.
Architekt może chcieć wdrożyć obciążenie wielowarstwowe w kilku sieciach wirtualnych. Za pomocą komunikacji równorzędnej sieci wirtualnych szprychy mogą łączyć się z innymi szprychami w tej samej piaście lub w różnych piastach.
Typowym przykładem tego scenariusza jest przypadek, w którym serwery przetwarzania aplikacji znajdują się w jednej szprysze lub sieci wirtualnej. Baza danych jest wdrażana w innej szprysze lub sieci wirtualnej. W takim przypadku można łatwo połączyć szprychy za pomocą komunikacji równorzędnej sieci wirtualnych, aby uniknąć przesyłania danych przez piastę. Wykonaj staranną architekturę i przegląd zabezpieczeń, aby upewnić się, że pomijanie centrum nie pomija ważnych punktów zabezpieczeń ani inspekcji, które znajdują się tylko w centrum.
Rysunek 3. Przykład szprych łączących się ze sobą i koncentratora.
Szprychy mogą być również połączone ze szprychą, która pełni rolę piasty. To podejście tworzy hierarchię dwu poziomową: szprycha na wyższym poziomie, poziom 0, staje się piastą niższych szprych lub poziom 1 hierarchii. Szprychy są wymagane do przesyłania ruchu do centrum. To wymaganie jest tak, aby ruch mógł być przesyłany do miejsca docelowego w sieci lokalnej lub w publicznym Internecie. Architektura z dwoma poziomami piast obejmuje złożony routing, który eliminuje zalety prostej relacji piasty i szprych.
Uwaga
Za pomocą usługi Azure Virtual Network Manager (AVNM) można tworzyć nowe lub dołączane istniejące topologie sieci wirtualnej piasty i szprych na potrzeby centralnego zarządzania łącznością i mechanizmami kontroli zabezpieczeń.
Konfiguracja łączności umożliwia tworzenie topologii sieci piasty i szprych, w tym bezpośredniej łączności między sieciami wirtualnymi szprych.
Konfiguracja zabezpieczeń umożliwia zdefiniowanie kolekcji reguł, które można zastosować do co najmniej jednej grupy sieci na poziomie globalnym.
Następne kroki
Po zapoznaniu się z najlepszymi rozwiązaniami dotyczącymi sieci dowiedz się, jak podejść do mechanizmów kontroli tożsamości i dostępu.