Topologia de rede hub-and-spoke

  • Artigo

O Hub and spoke é um modelo de rede para gerenciar com eficiência os requisitos comuns de comunicação ou segurança. Também ajuda a evitar as limitações de subscrição do Azure. Este modelo aborda as seguintes questões:

  • Economia de custos e gerenciamento eficiente: centralize serviços que podem ser compartilhados por várias cargas de trabalho, como dispositivos virtuais de rede (NVAs) e servidores DNS. Com um único local para serviços, a TI pode minimizar os recursos redundantes e o esforço de gerenciamento.

  • Superando os limites de assinatura: grandes cargas de trabalho baseadas em nuvem podem exigir o uso de mais recursos do que uma única assinatura do Azure contém. O peering de redes virtuais de carga de trabalho de diferentes subscrições para um hub central permite ultrapassar estes limites. Para obter mais informações, consulte Limites de assinatura do Azure.

  • Instituindo uma separação de preocupações: você pode implantar cargas de trabalho individuais entre equipes centrais de TI e equipes de carga de trabalho.

Os patrimónios da cloud mais pequenos podem não beneficiar da estrutura adicionada e das funcionalidades oferecidas por este modelo. Mas os esforços maiores de adoção da cloud devem considerar a implementação de uma arquitetura de rede hub-and-spoke se tiverem alguma das preocupações acima enumeradas.

Nota

O site de arquiteturas de referência do Azure contém modelos de exemplo que você pode usar como base para implementar suas próprias redes hub-and-spoke:

Descrição geral

Diagrama que mostra um exemplo de uma topologia de rede hub-and-spoke.

Figura 1: Um exemplo de uma topologia de rede hub-and-spoke.

Conforme apresentado no diagrama, o Azure suporta dois tipos de design hub-and-spoke. O primeiro tipo suporta comunicação, recursos compartilhados e política de segurança centralizada. Esse tipo é rotulado como hub VNet no diagrama. O segundo tipo é baseado na WAN Virtual do Azure, que é rotulada como WAN Virtual no diagrama. Esse tipo é para comunicações de grande escala de filial para filial e de filial para o Azure.

Um hub é uma zona de rede central que controla e inspeciona o tráfego de entrada e de saída entre zonas: Internet, no local e spokes. A topologia hub-and-spoke oferece ao departamento de TI uma forma eficaz de garantir o cumprimento das políticas de segurança numa localização central. Também reduz o potencial de configuração incorreta e exposição.

O hub contém frequentemente os componentes de serviço que os spokes consomem. São exemplos de serviços centrais comuns:

  • Um serviço DNS resolve nomear a carga de trabalho nos raios para acessar recursos no local e na Internet se o DNS do Azure não for usado.
  • Uma infraestrutura de chave pública implementa o logon único para cargas de trabalho.
  • O fluxo de tráfego TCP e UDP é controlado entre as zonas de rede spoke e a Internet.
  • O fluxo é controlado entre os raios e no local.
  • O fluxo é controlado entre um e outro, se necessário.

Pode minimizar a redundância, simplificar a gestão e reduzir os custos gerais com a infraestrutura de hub partilhado para suportar múltiplos spokes.

A função de cada spoke pode ser alojar diferentes tipos de carga de trabalho. Os spokes também proporcionam uma abordagem modular para implementações reproduzíveis das mesmas cargas de trabalho. Os exemplos incluem desenvolvimento/teste, teste de aceitação do usuário, preparação e produção.

Os spokes podem também segregar e ativar diferentes grupos dentro da sua organização. Um exemplo são os grupos do DevOps do Azure. Dentro de um spoke, é possível implementar uma carga de trabalho básica ou cargas de trabalho multicamadas complexas com controlo de tráfego entre as camadas.

O Application Gateway mostrado no diagrama acima pode viver em conversa com o aplicativo que está servindo para melhor gerenciamento e escala. No entanto, a política corporativa pode determinar que você coloque o Application Gateway no hub para gerenciamento centralizado e segregação de tarefas.

Limites de subscrições e múltiplos hubs

No Azure, cada tipo de componente é implantado em uma assinatura do Azure. O isolamento dos componentes do Azure em diferentes subscrições do Azure pode satisfazer os requisitos de diferentes linhas de negócio, como a configuração de níveis diferenciados de acesso e autorização.

Uma única implementação hub-and-spoke pode ser dimensionada para um grande número de porta-vozes, mas, como em todo sistema de TI, há limites de plataforma. A implementação de hubs é associada a uma subscrição do Azure específica, que tem restrições e limites. Um exemplo é um número máximo de emparelhamentos de rede virtual. Para obter mais informações, consulte Limites de assinatura e serviço do Azure.

Quando os limites podem ser um problema, você pode expandir a arquitetura estendendo o modelo para um cluster de hubs e raios. Você pode conectar vários hubs em uma ou mais regiões do Azure usando:

  • Peering de rede virtual
  • Azure ExpressRoute
  • WAN Virtual do Azure
  • VPN site a site

Diagrama que mostra um cluster de hubs e raios.

Figura 2: Um conjunto de hubs e raios.

A introdução de múltiplos hubs aumenta os custos e as despesas gerais de gestão do sistema. Este aumento só se justifica por:

  • Escalabilidade
  • Limites do sistema
  • Redundância e replicação regional para desempenho do usuário ou recuperação de desastres

Em cenários que exigem vários hubs, todos os hubs devem se esforçar para oferecer o mesmo conjunto de serviços para facilidade operacional.

Interligação entre spokes

É possível implementar cargas de trabalho multicamadas complexas num único spoke. Pode implementar configurações multicamadas com sub-redes (uma por cada camada) na mesma rede virtual e com grupos de segurança de rede para filtrar os fluxos.

Um arquiteto pode querer implantar uma carga de trabalho de várias camadas em várias redes virtuais. Com o peering de rede virtual, os spokes podem ligar-se a outros spokes no mesmo hub ou em hubs diferentes.

Um exemplo típico deste cenário é o caso em que os servidores de processamento de aplicações se encontram num spoke ou numa rede virtual. A base de dados é implementada num spoke ou numa rede virtual diferente. Neste caso, é fácil interligar os spokes com peering de rede virtual e evitar o trânsito através do hub. Faça uma revisão cuidadosa da arquitetura e da segurança para garantir que ignorar o hub não ignore pontos importantes de segurança ou auditoria que estão apenas no hub.

Diagrama que mostra um exemplo de raios que se conectam entre si e um hub.

Figura 3: Um exemplo de raios que se conectam entre si e a um hub.

Os spokes também podem ser interligados a um spoke que funciona como um hub. Esta abordagem cria uma hierarquia de dois níveis: o falado no nível superior, nível 0, torna-se o centro dos raios inferiores, ou nível 1, da hierarquia. Os raios são necessários para encaminhar o tráfego para o hub central. Este requisito é para que o tráfego possa transitar para o seu destino na rede local ou na Internet pública. Uma arquitetura com dois níveis de hubs introduz um encaminhamento complexo que elimina as vantagens de uma relação hub-and-spoke simples.

Nota

Você pode usar o Azure Virtual Network Manager (AVNM) para criar topologias de rede virtual de hub e spoke novas ou integradas existentes para gerenciamento central de controles de conectividade e segurança.

Uma configuração de conectividade permite criar uma malha ou uma topologia de rede hub-and-spoke, incluindo conectividade direta entre redes virtuais spoke .

Uma configuração de segurança permite definir uma coleção de regras que podem ser aplicadas a um ou mais grupos de rede em nível global.

Próximos passos

Agora que você explorou as práticas recomendadas para rede, saiba como abordar os controles de identidade e acesso.

Práticas recomendadas de segurança de gerenciamento de identidade e controle de acesso