Topologia de rede hub and spoke no Azure

Observador de Rede
Firewall
Rede Virtual
Bastion
Gateway de VPN

Esta arquitetura de referência detalha uma topologia falada em Azure. A rede virtual do hub funciona como um ponto central de conectividade para muitas redes virtuais faladas. O hub também pode ser usado como ponto de conectividade para as suas redes no local. As redes virtuais faladas estão em pares com o hub e podem ser usadas para isolar cargas de trabalho.

Arquitetura

Topologia de hub-spoke em Azure

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

A arquitetura consiste nos seguintes aspetos:

  • Rede virtual do hub: A rede virtual do hub é o ponto central de conectividade com a sua rede no local. É um local para acolher serviços que podem ser consumidos pelas diferentes cargas de trabalho acolhidas nas redes virtuais faladas.

  • Redes virtuais faladas: As redes virtuais faladas são usadas para isolar cargas de trabalho nas suas próprias redes virtuais, geridas separadamente de outros porta-vozes. Cada carga de trabalho pode incluir várias camadas com várias sub-redes ligadas através de balanceadores de carga do Azure.

  • Observação de rede virtual: Duas redes virtuais podem ser ligadas através de uma ligação de espreitar. As ligações de perspeção são ligações não transitivas e de baixa latência entre redes virtuais. Uma vez espreitadas, as redes virtuais trocam tráfego utilizando a espinha dorsal do Azure sem a necessidade de um router.

  • Bastion Host: O Azure Bastion permite-lhe ligar-se de forma segura a uma máquina virtual utilizando o seu navegador e o portal do Azure. Um anfitrião Azure Bastion é implantado dentro de um Azure Rede Virtual e pode aceder a máquinas virtuais na rede virtual (VNet), ou máquinas virtuais em VNets.

  • Azure Firewall: Azure Firewall é uma firewall gerida como um serviço. A instância Firewall é colocada na sua própria sub-rede.

  • Gateway da rede virtual VPN ou gateway do ExpressRoute. O gateway de rede virtual permite que a rede virtual se conecte ao dispositivo VPN, ou circuito ExpressRoute, utilizado para a conectividade com a sua rede no local. Para obter mais informações, veja Connect an on-premises network to a Microsoft Azure virtual network (Ligar uma rede no local a uma rede virtual do Microsoft Azure).

  • Dispositivo VPN. Um dispositivo ou serviço que fornece conectividade externa à rede no local. O dispositivo VPN pode ser um dispositivo de hardware ou uma solução de software, como o Serviço de Encaminhamento e Acesso Remoto (RRAS) em Windows Server 2012. Para obter mais informações, consulte sobre os dispositivos VPN para ligações site-to-site Gateway de VPN.

Componentes

  • Rede virtual do Azure. Azure Rede Virtual (VNet) é o bloco de construção fundamental para a sua rede privada em Azure. O VNet permite que muitos tipos de recursos Azure, como o Azure Máquinas Virtuais (VMs), se comuniquem de forma segura entre si, a internet e as redes no local.

  • Bastião Azure. O Azure Bastion é um serviço totalmente gerido que fornece um protocolo de ambiente de trabalho remoto mais seguro e sem emenda (RDP) e o Secure Shell Protocol (SSH) a máquinas virtuais (VMs), sem qualquer exposição através de endereços IP públicos.

  • Azure Firewall. O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure. O serviço de firewall imponente tem alta disponibilidade incorporada e escalabilidade de nuvem sem restrições para ajudá-lo a criar, impor e registar políticas de aplicação e conectividade de rede em subscrições e redes virtuais.

  • Gateway de VPN. Gateway de VPN envia tráfego encriptado entre uma rede virtual Azure e uma localização no local através da internet pública. Também pode utilizar Gateway de VPN para enviar tráfego encriptado entre redes virtuais Azure pela rede Microsoft. Um gateway VPN é um tipo específico de porta de entrada de rede virtual.

  • Azure Monitor. Recolher, analisar e agir em dados de telemetria dos seus ambientes Azure e no local. O Azure Monitor ajuda-o a maximizar o desempenho e disponibilidade das suas aplicações e ajuda-o a identificar proativamente problemas em segundos.

Detalhes do cenário

Os benefícios da utilização de um hub e configuração de fala incluem poupança de custos, superação dos limites de subscrição e isolamento da carga de trabalho.

Potenciais casos de utilização

Utilizações típicas desta arquitetura:

  • Cargas de trabalho implementadas em ambientes diferentes, tal como o desenvolvimento, o teste e a produção, que precisam de serviços partilhados, tal como DNS, IDS, NTP ou AD DS. Os serviços partilhados são colocados na rede virtual do hub, enquanto cada ambiente é implantado para um discurso para manter o isolamento.
  • Cargas de trabalho que não requerem conectividade entre si, mas requerem acesso a serviços partilhados.
  • Empresas que precisam de um controlo central sobre os aspetos de segurança, por exemplo, uma firewall no hub como uma rede de perímetro, e uma gestão separada para as cargas de trabalho em cada spoke.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Grupos de recursos

A solução de amostra incluída neste documento utiliza um único grupo de recursos Azure. Na prática, o hub e cada um dos discursos podem ser implementados em diferentes grupos de recursos e até em diferentes subscrições. Ao consultar redes virtuais em diferentes subscrições, ambas as subscrições podem ser associadas ao mesmo ou diferente inquilino do Azure Ative Directory. Esta flexibilidade permite uma gestão descentralizada de cada carga de trabalho, partilhando serviços mantidos no centro. Consulte Criar uma rede virtual de observação - Resource Manager, diferentes subscrições e inquilinos do Azure Ative Directory.

Rede virtual e GatewaySubnet

Crie uma sub-rede designada GatewaySubnet, com um intervalo de endereços de /27. O portal de rede virtual requer esta sub-rede. Dar 32 endereços a esta sub-rede ajudará a evitar que, no futuro, as limitações do tamanho do gateway sejam alcançá-los.

Para obter mais informações sobre como configurar o gateway, veja as seguintes arquiteturas de referência, consoante o tipo de ligação:

Para uma maior disponibilidade, pode utilizar o ExpressRoute e uma VPN para a ativação pós-falha. Veja Ligar uma rede no local ao Azure através do ExpressRoute com a ativação pós-falha de VPN.

Uma topologia falada por hub também pode ser usada sem um gateway se você não precisar de conectividade com a sua rede no local.

Peering de rede virtual

O espreitamento de rede virtual é uma relação não transitiva entre duas redes virtuais. Se precisar que os spokes se liguem entre si, considere adicionar uma ligação peering separada entre esses spokes.

Suponha que têm vários raios que precisam de se relacionar uns com os outros. Nesse caso, ficará sem possíveis ligações de observação rapidamente, porque o número de observações virtuais da rede por rede virtual é limitado. Para mais informações, consulte os limites de Networking. Neste cenário, considere a utilização de rotas definidas pelo utilizador (UDRs) para forçar o tráfego destinado a um porta-voz a ser enviado para Azure Firewall ou um aparelho virtual de rede que atua como router no centro. Esta alteração permitirá que os raios se conectem entre si.

Também pode configurar os raios para usar o gateway do hub para comunicar com redes remotas. Para permitir que o tráfego de gateway flua de falado para hub e se conecte a redes remotas, deve:

  • Configure a ligação de espreitria no centro para permitir o trânsito de gateway.
  • Configure a ligação de espreitar em cada um dos portais de entrada remoto.
  • Configure todas as ligações de observação para permitir o tráfego reencaminhado.

Para obter mais informações, consulte os seus pares VNet.

Conectividade do spoke

Se necessitar de conectividade entre os raios, considere a implementação de um Azure Firewall ou outro aparelho virtual de rede. Em seguida, crie rotas para encaminhar o tráfego da fala para a firewall ou para o aparelho virtual de rede, que pode então encaminhar para o segundo falou. Neste cenário, tem de configurar as ligações de peering para permitir tráfego reencaminhado.

Encaminhamento entre os porta-vozes usando Azure Firewall

Transfira um ficheiro do Visio desta arquitetura.

Você também pode usar uma porta de entrada VPN para encaminhar o tráfego entre os raios, embora esta escolha tenha impacto na latência e na produção. Consulte o trânsito de gateway VPN configurado para a rede virtual a espreitar para detalhes de configuração.

Considere quais os serviços partilhados no centro para garantir as escalas do hub para um maior número de porta-vozes. Por exemplo, se o seu hub fornecer serviços de firewall, considere os limites de largura de banda da sua solução de firewall ao adicionar vários raios. Pode querer mover alguns destes serviços partilhados para um segundo nível de hubs.

Considerações

Estas considerações implementam os pilares do Quadro Azure Well-Architected, que é um conjunto de princípios orientadores que podem ser utilizados para melhorar a qualidade de uma carga de trabalho. Para mais informações, consulte o Microsoft Azure Well-Architected Framework.

Gestão

Use o Azure Rede Virtual Manager (AVNM) para criar um novo hub (e a bordo existente) e falou de topologias de rede virtuais para a gestão central dos controlos de conectividade e segurança.

A AVNM garante que as suas topologias de rede de hub e spoke estão preparadas para um crescimento futuro em larga escala através de múltiplas subscrições, grupos de gestão e regiões. Veja os seguintes cenários de exemplo:

  • A democratização da gestão de redes virtuais faladas para grupos de uma organização, como unidades de negócio ou equipas de aplicação, o que resulta num grande número de requisitos de conectividade VNet-vNet e regras de segurança de rede.
  • A normalização de múltiplos centros de réplicas e arquiteturas falada em várias regiões do Azure para garantir uma pegada global para aplicações.

A descoberta das redes virtuais desejadas para gerir através da AVNM pode ser definida utilizando a funcionalidade Scopes . Esta funcionalidade permite flexibilidade num número desejado de instâncias de recursos AVNM, o que permite uma maior democratização da gestão para grupos de VNets.

Os VNets em qualquer subscrição, grupo de gestão ou região, sob a mesma Azure AD inquilino, podem ser agrupados em grupos de rede para garantir a uniformidade nas regras de conectividade e rede esperadas. As redes virtuais podem ser automaticamente ou manualmente a bordo do grupo de rede através de associações dinâmicas ou estáticas.

Os VNets spoke no mesmo grupo de rede podem ser conectados entre si, permitindo que o VNet persigo através da funcionalidade de conectividade direta da AVNM. Para alargar as capacidades dos porta-vozes em diferentes regiões para terem conectividade direta, utilize a funcionalidade de malha global , o que facilita a criação de observações globais da VNet. Veja o diagrama de exemplo abaixo:

Diagrama mostrando conectividade direta falada.

Além disso, para garantir um conjunto de regras de segurança de base, os VNets dentro do mesmo grupo de rede podem ser associados às regras de administração de segurança. As regras de administração de segurança são avaliadas antes das regras da NSG e têm a mesma natureza dos NSGs, com suporte para priorização, etiquetas de serviço e protocolos L3-L4.

Finalmente, para facilitar uma implementação controlada de grupos de rede, conectividade e alterações nas regras de segurança, a funcionalidade de implementação da AVNM permite-lhe libertar com segurança as alterações de rutura destas configurações para os ambientes do hub e do spoke.

Para obter mais informações sobre como começar, consulte Criar um hub e falar topologia com Azure Rede Virtual Manager.

Considerações operacionais

Considere as seguintes informações ao implementar e gerir o hub e as redes de fala.

Monitorização de rede

Utilize o Observador de Rede Azure para monitorizar e resolver problemas dos componentes da rede. Ferramentas como o Traffic Analytics irão mostrar-lhe os sistemas nas suas redes virtuais que geram mais tráfego. Depois pode identificar os estrangulamentos visualmente antes que se degenerem em problemas. O Network Performance Manager é a ferramenta certa para monitorizar informações sobre os circuitos Microsoft ExpressRoute. O diagnóstico VPN é outra ferramenta que pode ajudar a resolver as ligações VPN local-a-local que ligam as suas aplicações aos utilizadores no local.

Para mais informações, consulte a Azure Observador de Rede.

Otimização de custos

A otimização de custos tem a ver com formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para mais informações, consulte a visão geral do pilar de otimização de custos.

Considere os seguintes itens relacionados com os custos ao implementar e gerir o hub e as redes de raios.

Azure Firewall

Uma Azure Firewall é implantada na rede de centros nesta arquitetura. Quando usado como solução partilhada e consumido por múltiplas cargas de trabalho, um Azure Firewall pode economizar até 30-50% em relação a outros aparelhos virtuais de rede. Para mais informações, consulte Azure Firewall vs aparelhos virtuais da rede.

Peering de rede virtual

Pode utilizar a rede virtual que espreita para encaminhar o tráfego entre redes virtuais utilizando endereços IP privados. Eis alguns pontos:

  • O tráfego de entradas e saídas é carregado em ambas as extremidades das redes.
  • Diferentes zonas têm taxas de transferência diferentes.

Por exemplo, a transferência de dados de uma rede virtual na zona 1 para outra rede virtual na zona 2, incorrerá na taxa de transferência de saída para a zona 1 e taxa de entrada para a zona 2. Para mais informações, consulte os preços da rede Virtual.

Implementar este cenário

Esta implementação inclui uma rede virtual de hub e dois porta-vozes. Um Azure Firewall e um anfitrião do Bastião Azure também estão destacados. Opcionalmente, a implementação pode incluir máquinas virtuais na primeira rede de raios e um gateway VPN.

Utilize o seguinte comando para criar um grupo de recursos para a implantação. Clique no botão Tente-o para utilizar uma concha incorporada.

az group create --name hub-spoke --location eastus

Executar o seguinte comando para implantar o hub e a configuração da rede de raios, os olhos VNet entre o hub e o spoke, e um anfitrião de Bastião. Quando solicitado, insira um nome de utilizador e uma palavra-passe. Estes valores podem ser utilizados para aceder à máquina virtual localizada na rede de raios.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

Para obter informações detalhadas e opções de implantação extra, consulte os modelos Azure Resource Manager (ARM) utilizados para implementar esta solução.

Passos seguintes

Saiba mais sobre as tecnologias componentes:

Explore as seguintes arquiteturas relacionadas: