В традиционной топологии концентратора с помощью собственной сети можно полностью управлять виртуальной сетью концентратора. Общие службы можно развернуть в центре и сделать их доступными для периферийных рабочих нагрузок. Эти общие службы часто включают такие функции, как DNS-ресурсы, пользовательские NVAs и Бастион Azure. Однако при использовании Azure Виртуальная глобальная сеть у вас есть ограниченный доступ и ограничения на то, что можно установить на виртуальных центрах.
Например, чтобы реализовать интеграцию Приватный канал и DNS в традиционной сетевой архитектуре концентратора, вы создадите частные зоны DNS и свяжите их с центральной сетью. Ваш план удаленного доступа к виртуальной машине может включать Бастион Azure в качестве общей службы в региональном центре. Вы также можете развернуть пользовательские вычислительные ресурсы, такие как виртуальные машины Active Directory в центре. Ни один из этих подходов не возможен с Виртуальная глобальная сеть.
В этой статье описывается шаблон расширения виртуального концентратора, который содержит рекомендации по безопасному использованию общих служб периферийным устройствам, которые не удается развернуть непосредственно в виртуальном концентраторе.
Архитектура
Расширение виртуального концентратора — это выделенная периферийная виртуальная сеть, подключенная к виртуальному концентратору, который предоставляет одну общую службу для периферийных рабочих нагрузок. Вы можете использовать расширение виртуального концентратора для предоставления доступа ко многим периферийным рабочим нагрузкам, сетевому подключению к общему ресурсу. Ресурсы DNS являются примером этого использования. Вы также можете использовать расширение для хранения централизованного ресурса, требующего подключения ко многим назначениям в периферийных серверах. Централизованное развертывание Бастиона Azure является примером этого использования.
Рис. 1. Шаблон расширения концентратора
Скачайте файл Visio для этой архитектуры.
- Расширение виртуального концентратора для Бастиона Azure. Это расширение позволяет подключаться к виртуальным машинам в периферийных сетях.
- Расширение виртуального концентратора для DNS. Это расширение позволяет предоставлять частные записи зоны DNS рабочим нагрузкам в периферийных сетях.
Рекомендации
Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
Надежность
Расширение виртуального концентратора часто считается критически важным для бизнеса, так как оно обслуживает основную функцию в сети. Расширения должны соответствовать бизнес-требованиям, иметь стратегии устранения сбоев и масштабироваться с потребностями периферийных компонентов.
Стандартные операционные процедуры должны включать тестирование устойчивости и мониторинг надежности всех расширений. Эти процедуры должны проверять требования к доступу и пропускной способности. Каждое расширение должно иметь значимую модель работоспособности.
Будьте ясны в целях уровня обслуживания (SLO) для этого расширения и точно измеряйте надежность. Ознакомьтесь с соглашением об уровне обслуживания Azure и требованиями к поддержке для каждого отдельного компонента в расширении. Эти знания помогают задать потолок целевого SLO и понять поддерживаемые конфигурации.
Безопасность
Ограничения сети. Хотя расширения часто используются многими периферийными устройствами или нуждаются в доступе ко многим периферийным устройствам, они могут не нуждаться в доступе со всех или ко всем периферийным устройствам. Используйте доступные средства управления безопасностью сети, такие как использование групп безопасности сети и исходящий трафик через защищенный виртуальный концентратор, где это возможно.
Управление доступом к данным и плоскости управления. Следуйте рекомендациям для всех ресурсов, развернутых в расширениях, предоставляя наименее привилегированный доступ к плоскости управления ресурсами и любым плоскостям данных.
Оптимизация затрат
Как и в случае с любой рабочей нагрузкой, убедитесь, что соответствующие размеры SKU выбираются для ресурсов расширения для управления затратами. Рабочие часы и другие факторы могут вызвать прогнозируемые шаблоны использования для некоторых расширений. Понять шаблоны и обеспечить эластичность и масштабируемость, которые могут их разместить.
В качестве общей службы ресурсы рабочей нагрузки обычно имеют относительно длинный цикл работы в вашей корпоративной архитектуре. Рассмотрите возможность использования экономии затрат с помощью предложений предварительной очистки, таких как резервирования Azure, цены на зарезервированную емкость и планы экономии Azure.
Эффективность работы
Создание расширений виртуального концентратора для соблюдения единого принципа ответственности (SRP). Каждое расширение должно быть для одного предложения, поэтому не сочетайте несвязанные службы в одной периферии. Вы можете упорядочить ресурсы таким образом, чтобы каждое расширение располагалось в выделенной группе ресурсов, чтобы упростить управление политикой и ролями Azure.
Эти расширения следует подготовить с помощью инфраструктуры в качестве кода и иметь процесс сборки и выпуска, который поддерживает потребности и жизненный цикл каждого расширения. Так как расширения часто критически важны для бизнеса, и важно иметь строгие методы тестирования и безопасные методики развертывания для каждого расширения.
Наличие четкого плана управления изменениями и корпоративного коммуникационного плана имеет жизненно важное значение. Возможно, вам потребуется связаться с заинтересованными лицами (владельцами рабочих нагрузок) о детализации аварийного восстановления ( аварийного восстановления) или любых запланированных или непредвиденных простоев.
Убедитесь, что у вас есть надежная система работоспособности для этих ресурсов. Включите соответствующие параметры Диагностика Azure для всех ресурсов расширения и захватить все данные телеметрии и журналы, необходимые для понимания работоспособности рабочей нагрузки. Рассмотрим долгосрочное хранение журналов операций и метрик для поддержки взаимодействия с клиентами во время неожиданного поведения расширения общей службы.
Уровень производительности
Расширение — это централизованная служба. Чтобы разработать единицы масштабирования для обработки изменений нагрузки, необходимо понять:
- Требования вашей организации к расширению.
- Требования к планированию емкости.
- Как спицы будут расти со временем.
Чтобы разработать единицы масштабирования, протестируйте и задокументируйте, как каждый компонент в расширении по отдельности масштабируется на основе метрик и ограничений масштабирования служб, которые находятся на месте. Некоторым расширениям может потребоваться балансировка нагрузки между несколькими экземплярами для достижения требуемой пропускной способности.
Пример реализации
Приватный канал расширение DNS. Установка расширения виртуального концентратора для DNS описывает расширение Виртуального концентратора, предназначенное для поддержки поиска DNS в одном регионе для сценариев Приватный канал.
Next Steps
Связанные ресурсы
- Что собой представляет частная конечная точка?
- Конфигурация DNS частной конечной точки Azure
- Приватный канал и интеграция DNS в масштабе
- Приватный канал Azure в центральной и периферийной сети
- DNS для локальных ресурсов и ресурсов Azure
- Подключение к целевой зоне данных в одном регионе
- Подключение сетей к Azure Monitor с помощью Приватного канала Azure
- Частный сопоставитель DNS Azure
- Более безопасный доступ к мультитенантным веб-приложениям из локальной сети
- Базовое высокодоступное веб-приложение с высоким уровнем доступности
- Руководство. Создание инфраструктуры DNS частной конечной точки с помощью частного сопоставителя Azure для локальной рабочей нагрузки