Topologia de rede hub e spoke

  • Artigo

Hub and spoke é um modelo de rede para o gerenciamento mais eficiente de requisitos comuns de comunicação ou segurança. Ele também ajuda a evitar limitações de assinatura do Azure. Esse modelo soluciona as seguintes preocupações:

  • Economia em custos e gerenciamento eficiente: centralize os serviços que podem ser compartilhados por várias cargas de trabalho, como NVAs (soluções de virtualização de rede) e servidores DNS. Com um único local para serviços, a TI pode minimizar os recursos redundantes e o esforço de gerenciamento.

  • Superação de limites de assinatura: grandes cargas de trabalho baseadas em nuvem podem exigir o uso de mais recursos do que uma única assinatura do Azure contém. Redes virtuais de carga de trabalho de emparelhamento de assinaturas diferentes para um hub central podem superar esses limites. Para saber mais, confira Limites de assinatura do Azure.

  • Instituindo uma separação de preocupações: você pode implantar cargas de trabalho individuais entre equipes centrais de TI e equipes de carga de trabalho.

Ativos de nuvem menores podem não se beneficiar da estrutura e dos recursos adicionais oferecidos por esse modelo. Mas esforços de adoção de nuvem maiores deverão considerar a implementação de uma arquitetura de rede hub e spoke se tiverem qualquer uma das preocupações listadas anteriormente.

Observação

O site de arquiteturas de referência do Azure contém modelos de exemplo que você pode usar como base para implementar suas próprias redes hub and spoke:

Visão geral

Diagrama que mostra um exemplo de uma topologia de rede hub e spoke.

Figura 1: exemplo de uma topologia de rede hub and spoke.

Conforme mostrado no diagrama, o Azure dá suporte a dois tipos de design hub e spoke. O primeiro tipo dá suporte à comunicação, aos recursos compartilhados e à política de segurança centralizada. Esse tipo é rotulado como hub da VNet no diagrama. O segundo tipo tem base na WAN Virtual do Azure, que é rotulada como WAN Virtual no diagrama. Esse tipo serve para comunicações de grande escala entre ramificações e de ramificação para o Azure.

Um hub é uma zona central da rede que controla e inspeciona o tráfego de entrada ou saída entre as zonas: Internet, local e spokes. A topologia hub e spoke proporciona ao departamento de TI uma maneira eficiente de impor políticas de segurança em uma localização central. Ela também reduz a possibilidade de erros de configuração e exposição.

Frequentemente, o hub contém os componentes de serviço comuns consumidos pelos spokes. Exemplos de serviços centrais comuns são:

  • Um serviço DNS resolve a nomenclatura da carga de trabalho nos spokes, a fim de acessar recursos locais e na Internet se o DNS do Azure não for usado.
  • Uma infraestrutura de chave pública implementa o logon único para cargas de trabalho.
  • O fluxo de tráfego TCP e UDP é controlado entre as zonas da rede de spoke e a Internet.
  • Controle de fluxo entre os spokes e o local.
  • O fluxo é controlado entre um spoke e outro, se necessário.

Você pode minimizar a redundância, simplificar o gerenciamento e reduzir o custo geral usando a infraestrutura de hub compartilhado para dar suporte a vários spokes.

A função de cada spoke pode ser hospedar diferentes tipos de cargas de trabalho. Os spokes também fornecem uma abordagem modular para implantações repetíveis das mesmas cargas de trabalho. Os exemplos incluem desenvolvimento/teste, teste de aceitação do usuário, preparo e produção.

Os spokes também podem separar e habilitar diferentes grupos na sua organização. Um exemplo são os grupos Azure DevOps. Dentro de um spoke, é possível implantar uma carga de trabalho básica ou cargas de trabalho complexas de várias camadas com controle de tráfego entre as camadas.

O Gateway de Aplicativo mostrado no diagrama acima pode viver no spoke com o aplicativo que está servindo para melhor gerenciamento e escala. No entanto, a política corporativa pode ditar que você coloque o Gateway de Aplicativo no Hub para gerenciamento centralizado e diferenciação de imposto.

Limites de assinatura e vários hubs

No Azure, cada tipo de componente é implantado em uma assinatura do Azure. O isolamento dos componentes do Azure em diferentes assinaturas do Azure pode atender aos requisitos de diferentes linhas de negócios, como configurar níveis diferenciados de acesso e autorização.

Uma única implementação de hub and spoke pode escalar verticalmente para uma grande quantidade de spokes, embora haja limites de plataformas, como acontece com todos os sistemas de TI. A implantação de hub está limitada a uma assinatura específica do Azure, que tem restrições e limites. Um exemplo é um número máximo de emparelhamentos de rede virtual. Para saber mais, confira os limites de assinatura e serviço do Azure.

Quando os limites forem um problema, você poderá escalar verticalmente a arquitetura estendendo o modelo para um cluster de hubs e spokes. Você pode conectar vários hubs em uma ou mais regiões do Azure usando:

  • Emparelhamento de rede virtual
  • Azure ExpressRoute
  • WAN Virtual do Azure
  • VPN site a site

Diagrama que mostra um cluster de hubs e spokes.

Figura 2: cluster de hubs e spokes.

A introdução de vários hubs aumenta a sobrecarga de gerenciamento e o custo do sistema. Esse aumento só é justificado por:

  • Escalabilidade
  • Limites do sistema
  • Redundância e replicação regional para desempenho do usuário ou recuperação de desastre

Em cenários que exigem vários hubs, todos os hubs devem tentar oferecer o mesmo conjunto de serviços para facilidade operacional.

Interconexão entre spokes

É possível implementar cargas de trabalho complexas de várias camadas em um único spoke. Você pode implementar configurações de várias camadas usando sub-redes (uma para cada camada) na mesma rede virtual e usando grupos de segurança de rede para filtrar os fluxos.

Talvez um arquiteto queira implantar uma carga de trabalho com várias camadas em várias redes virtuais. Com um emparelhamento de redes virtuais, os spokes podem se conectar a outros spokes no mesmo hub ou em hubs diferentes.

Um exemplo típico desse cenário é o caso em que os servidores de processamento do aplicativo estão em um spoke ou rede virtual. O banco de dados é implantado em um spoke ou em uma rede virtual diferente. Nesse caso, é fácil interconectar os spokes ao emparelhamento de redes virtuais e evitar trânsito pelo hub. Realize um exame cuidadoso de arquitetura e segurança para garantir que ignorar o hub não ignorará pontos de auditoria ou segurança importantes que possam existir somente no hub.

Diagrama que mostra um exemplo de spokes se conectando entre si e um hub.

Figura 3: um exemplo de spokes que se conectam entre si e com um hub.

Os spokes também podem ser interconectados a um spoke que atue como um hub. Essa abordagem cria uma hierarquia de dois níveis: o spoke no nível mais alto (nível 0) torna-se o hub dos spokes inferiores (nível 1) da hierarquia. Os spokes são necessários para encaminhar o tráfego para o hub central. Esse requisito serve para que o tráfego possa transitar ao seu destino na rede local ou na Internet pública. Uma arquitetura com dois níveis de hubs apresenta roteamento complexo que remove os benefícios de uma relação de hub e spoke simples.

Observação

Você pode usar o AVNM (Gerenciador de Rede Virtual do Azure) para criar novas topologias de rede virtual de hub e spoke ou integrar as existentes para gerenciamento central de controles de segurança e conectividade.

Uma configuração de conectividade permite que você crie uma topologia de rede hub e spoke, incluindo conectividade direta entre redes virtuais spoke.

Uma configuração de segurança permite que você defina uma coleção de regras que você pode aplicar a um ou mais grupos de rede no nível global.

Próximas etapas

Agora que você já explorou as melhores práticas para a rede, saiba como abordar controles de identidade e de acesso.

Melhores práticas de gerenciamento de identidade e segurança de controle de acesso