Топология сети с концентраторами в Azure

Бастион Azure

Брандмауэр Azure

Наблюдатель за сетями Azure

Виртуальная сеть Azure

VPN-шлюз Azure

Эта референсная архитектура реализует шаблон сети с топологией концентратор-спица с компонентами инфраструктуры, управляемыми клиентом. Шаблон сети с центральным узлом, также известный как узел и периферия, — это топология сети, которую рекомендует Cloud Adoption Framework для Azure. См. раздел Определение топологии сети Azure, чтобы понять, почему эта топология считается рекомендуемой практикой для многих организаций.

Для решения инфраструктурной сети с концентратором, управляемого Майкрософт, см. раздел топология сетей типа "концентратор-спица" с Виртуальная глобальная сеть Azure.

Architecture

Схема, показывающая структуру сети по принципу концентратор-спица в Azure. Большая внешняя рамка с надписью Диспетчер виртуальных сетей Azure содержит центральную виртуальную сеть хаба и четыре периферийные виртуальные сети вокруг него. Слева за пределами концентратора сеть между локальными сетями содержит две виртуальные машины и значок шлюза. В середине виртуальная сеть концентратора содержит три службы: Бастион Azure в верхней части, Брандмауэр Azure в центре и Azure VPN Gateway или Azure ExpressRoute внизу. Azure Monitor отображается справа от концентратора, подключенного к его службам с помощью пунктирных линий с надписью 'Диагностика'. Две производственные спицевые виртуальные сети отображаются справа, одна над другой. Каждый производственный луч содержит подсеть ресурсов с тремя виртуальными машинами. Пунктирные линии, помеченные принудительным туннелем, тянутся от обеих производственных спиц к области межсетевого экрана центра. В нижней части есть две непроизводственные виртуальные сети, каждая из которых имеет подсеть ресурсов и три виртуальных машины. Пунктирные стрелки между нижними спицами указывают на то, что их можно соединить через пиринг или напрямую. Другие пунктирные стрелки показывают виртуальные сети-спицы, подключающиеся или пирингующие через концентратор. Вверху пунктирная двунаправленная стрелка, помеченная пирингом виртуальной сети, подключает концентратор к верхнему продуктивному концу.

Скачать файл Visio этой архитектуры.

Концепции централизованной модели (Hub-Spoke)

Топологии центральной сети обычно включают многие из следующих архитектурных концепций:

• Hub virtual network: Концентратор виртуальной сети размещает общие Azure сетевые службы. Рабочие нагрузки, размещенные в периферийных виртуальных сетях, могут использовать эти службы. Виртуальная сеть концентратора — это центральная точка подключения для локальных сетей. Концентратор содержит основную точку доступа и предоставляет способ соединения одной периферийной сети с другой для межвиртуального сетевого трафика по мере необходимости.

  Концентратор — это региональный ресурс. Если рабочие нагрузки находятся в нескольких регионах, поместите один концентратор в каждый регион. Центр предоставляет следующие функции и параметры:

  • Межсайтовый шлюз: Возможность подключения и интеграции различных сетевых сред. Обычно этот шлюз является VPN или каналом Azure ExpressRoute.

  • Элемент управления исходящего трафика: Управление и регулирование исходящего трафика, который происходит в пиринговых виртуальных сетях.

  • Элемент управления входящим трафиком: Необязательное управление и регулирование входящего трафика к конечным узлам, существующим в спицевых пиринговых виртуальных сетях.

  • Удаленный доступ: Способ доступа к отдельным рабочим нагрузкам в спицевых сетях из сетевых расположений за пределами их собственной сети. Этот доступ может быть нацелен на данные рабочей нагрузки или плоскость управления.

  • Удаленный периферийный доступ к виртуальным машинам: Решение для межорганизационного удаленного подключения к протоколу удаленного рабочего стола (RDP) и протоколу безопасной оболочки (SSH) для виртуальных машин, распределенных по периферийным сетям.

  • Маршрутизация: Управление трафиком между концентратором и подключенными спицами. Маршрутизация поддерживает безопасную и эффективную связь.

• Спицевые виртуальные сети: Спицевые виртуальные сети изолируют рабочие нагрузки и управляют ими отдельно в каждой сети. Каждая рабочая нагрузка может включать несколько уровней с несколькими подсетями, подключенными через Azure подсистемы балансировки нагрузки. Спицы могут существовать в разных подписках и представлять различные среды, такие как производственная и тестовая. Одна рабочая нагрузка может распределяться по нескольким спицам.

  В большинстве сценариев каждый подключ должен быть соединён с одной центральной сетью в том же регионе.

  Спицевые сети следуют правилам исходящего доступа по умолчанию. Основная цель топологии сети с архитектурой концентратор-наконечник — направлять исходящий интернет-трафик через механизмы управления в концентраторе.

• Перекрестное подключение к виртуальной сети: Подключение к виртуальной сети упрощает обмен данными между изолированными виртуальными сетями. Механизм управления применяет разрешения и определяет разрешенное направление обмена данными между сетями. Концентратор предоставляет возможность поддержки выбранных межсетевых подключений для прохождения через централизованную сеть.

• DNS: Концентраторные решения часто предоставляют решение системы доменных имен (DNS), которое используют все присоединённые узлы, особенно для кросс-площадочной маршрутизации и записей DNS частной конечной точки.

Components

• Azure Virtual Network является основным стандартным блоком для частных сетей в Azure. виртуальная сеть обеспечивает безопасный обмен данными между ресурсами Azure, такими как виртуальные машины, локальные сети, Интернет и друг друга.

  В этой архитектуре виртуальные сети подключаются к концентратору с помощью подключений виртуальная сеть peering, которые являются нетранзитивными, с низкой задержкой подключениями между виртуальными сетями. Пиринговые виртуальные сети могут обмениваться трафиком через магистраль Azure без маршрутизатора. В центральной архитектуре используйте прямой пиринг между виртуальными сетями только в особых обстоятельствах.

• Бастион Azure — это полностью управляемая служба, которая предоставляет RDP и SSH-доступ к виртуальным машинам без предоставления общедоступных IP-адресов. В этой архитектуре Бастион Azure используется в качестве управляемого предложения для поддержки прямого доступа к виртуальной машине через подключенные периферийные устройства.

• Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая защищает виртуальная сеть ресурсы. Эта служба брандмауэра с отслеживанием состояния имеет встроенный высокий уровень доступности и неограниченную масштабируемость облака, чтобы помочь вам создавать, применять и логировать политики соединения приложений и сетей в рамках подписок и виртуальных сетей.

  В этой архитектуре Брандмауэр Azure имеет несколько потенциальных ролей. Брандмауэр является основной точкой исходящего трафика из одноранговых виртуальных сетей в Интернет. Брандмауэр также может проверять входящий трафик с помощью правил обнаружения и предотвращения сетевых вторжений (IDPS). Брандмауэр также может функционировать как DNS-прокси-сервер для поддержки полных правил трафика доменных имен (FQDN).

• Azure VPN Gateway — это шлюз виртуальной сети, который отправляет зашифрованный трафик между виртуальной сетью в Azure и разными сетями через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки зашифрованного трафика между другими виртуальными сетями через сеть Майкрософт.

  В этой архитектуре VPN-шлюз может подключать спицы к удаленной сети. Спицы обычно не развертывают собственный VPN-шлюз. Они используют централизованное решение, которое предоставляет концентратор. Для управления этим подключением необходимо установить конфигурацию маршрутизации.

• Шлюз ExpressRoute обменивается IP-маршрутами и направляет сетевой трафик между локальной сетью и виртуальной сетью Azure. В этой архитектуре ExpressRoute может служить альтернативой VPN-шлюз подключения к удаленной сети. Периферийные серверы не развертывают собственный шлюз ExpressRoute. Они используют централизованное решение, которое предоставляет концентратор. Для управления этим подключением необходимо установить конфигурацию маршрутизации.

• Azure Monitor может собирать, анализировать и обрабатывать данные телеметрии из межобластных сред, включая Azure и локальную среду. Azure Monitor помогает повысить производительность и доступность приложений и быстро определить проблемы. В этой архитектуре Azure Monitor — это приемник журналов и метрик для ресурсов концентратора и для сетевых метрик. Azure Monitor также может функционировать в качестве приемника ведения журнала для ресурсов в периферийных сетях. Каждая рабочая нагрузка spoke конфигурирует собственное ведение журнала, и данная архитектура не требует отправки журналов в Azure Monitor.

Alternatives

Эта архитектура включает создание, настройку и обслуживание virtualNetworkPeerings, routeTablesа также subnets. Диспетчер виртуальных сетей Azure — это служба управления, которая помогает группировать, настраивать, развертывать и управлять виртуальными сетями в масштабах подписок Azure, регионов и каталогов Microsoft Entra.

С помощью Virtual Network Manager можно определить группы network для определения и логического сегментирования виртуальных сетей. Вы также можете использовать подключенные группы , чтобы обеспечить связь между группами виртуальных сетей, как если бы они были подключены вручную. Этот подход добавляет слой абстракции, чтобы описать нужную топологию сети, не изменяя ее реализацию.

Мы рекомендуем оценить, следует ли использовать Virtual Network Manager для оптимизации операций управления сетями. Чтобы определить, предоставляет ли Virtual Network Manager чистую ценность для размера и сложности вашей сети, сравните затраты на обслуживание с экономией времени и операционными преимуществами.

Виртуальная глобальная сеть Azure

Эта архитектура описывает шаблон сети, включающий компоненты инфраструктуры, управляемые клиентом. Сведения о решении инфраструктуры, управляемой концентратором Майкрософт, см. в разделе сетевая топология типа «звезда», использующая Виртуальная глобальная сеть Azure.

Преимущества использования конфигурации хаба и спиц, управляемой клиентом, включают:

• Экономия затрат
• Преодоление ограничений подписки
• Изоляция рабочих нагрузок
• Flexibility
  • Больше контроля над развертыванием виртуальных сетевых устройств (NVA), например, количества сетевых адаптеров, числа экземпляров или размера вычислительной мощности.
  • Использование НВА, которые не поддерживаются в виртуальной глобальной сети (Виртуальная глобальная сеть)

Сведения о сценарии

Эта эталонная архитектура реализует шаблон сети концентратор-спица, где виртуальная сеть концентратора является центральной точкой подключения ко многим виртуальным сетям-спицам. Спицевые виртуальные сети подключаются к концентратору и позволяют изолировать рабочие нагрузки. Вы также можете поддерживать межплощадочные сценарии, используя концентратор для подключения к локальным сетям.

Дополнительные сведения см. в статье "Топология сети с концентраторами и периферийными устройствами".

Расширенные сценарии

Архитектура может отличаться от простой периферийной архитектуры, описанной в этой статье. В следующем списке описаны рекомендации по расширенным сценариям.

• Чтобы добавить дополнительные регионы, использовать Брандмауэр Azure для маршрутизации топологии с несколькими концентраторами.

• Чтобы использовать расширенные модели подключения spoke-to-spoke, используйте широковещательные сети.

• Чтобы заменить Брандмауэр Azure пользовательским NVA, разверните высокодоступные NVA.

• Чтобы заменить шлюз виртуальной сети пользовательским сетевым устройством NVA с технологией SD-WAN, см. интеграция SD-WAN с топологиями сети Azure с центром-звезд.

• Сведения о транзитивности между вашим ExpressRoute и VPN или SDWAN, а также о настройке префиксов, рекламируемых через протокол BGP на шлюзах виртуальной сети Azure, см. в разделе Поддержка маршрутизатора для ExpressRoute и Azure VPN.

• Сведения о добавлении частного сопоставителя или DNS-серверов см. в архитектуре закрытого сопоставителя.

Потенциальные варианты использования

Типичные назначения архитектуры стержень-спица включают рабочие нагрузки, которые:

• Существует несколько сред, требующих общих служб. Например, рабочая нагрузка может иметь среды разработки, тестирования и продуктивную среду. К общим службам могут относиться DNS-идентификаторы, протокол NTP или доменные службы Active Directory (AD DS). Общие службы размещаются в центральной виртуальной сети, и каждая среда развертывается на разных периферийных устройствах для обеспечения изоляции.

• Не требуется подключение друг к другу, но требуется доступ к общим службам.

• Требуется централизованный контроль над безопасностью, например, периметральная сеть (также известная как DMZ, демилитаризованная зона и экранированная подсеть) в узле и сегрегированное управление рабочими нагрузками в каждой удаленной точке.

• Требуется централизованное управление подключением, например выборочное подключение или изоляция между периферийными средами или рабочими нагрузками.

Recommendations

Следующие рекомендации можно применить к большинству сценариев. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Группы ресурсов, подписки и регионы

В этом примере решения используется одна группа ресурсов Azure. Вы также можете реализовать концентратор и каждое ответвление в разных группах ресурсов и подписках.

При подключении виртуальных сетей в разных подписках, вы можете связать подписки с теми же или разными арендаторами Microsoft Entra. Эта гибкость обеспечивает децентрализованное управление каждой рабочей нагрузкой и поддерживает общие службы в центре. Дополнительные сведения см. в статье Создание пиринга виртуальной сети между различными подписками и клиентами Microsoft Entra.

посадочные зоны Azure

Архитектура целевой зоны Azure основана на топологии с концентраторами. В этой архитектуре централизованная группа платформы управляет общими ресурсами и сетью концентратора, а периферийные серверы совместно используют модель совместного владения с командой платформы и командой рабочей нагрузки, которая использует периферийную сеть. Все центры находятся в подписке на Коннективити для централизованного управления. Периферийные виртуальные сети существуют во многих отдельных подписках рабочей нагрузки, называемых подписками целевой зоны приложений.

Подсети виртуальной сети

В следующих рекомендациях объясняется, как настроить подсети в виртуальной сети.

GatewaySubnet

Для шлюза виртуальной сети требуется эта подсеть. Кроме того, можно использовать топологию концентратора без шлюза, если не требуется подключение к локальной сети.

Создайте подсеть шлюза с диапазоном IP-адресов по крайней мере /26 или больше с именем GatewaySubnet. Диапазон адресов /26 обеспечивает достаточную масштабируемость, чтобы избежать ограничений размера шлюза и размещения дополнительных каналов ExpressRoute в будущем. Для получения дополнительных сведений о настройке шлюза см. раздел Настройка ExpressRoute и сосуществующих соединений между сайтами с помощью PowerShell.

AzureFirewallSubnet

Создайте подсеть с именем AzureFirewallSubnet с диапазоном адресов по крайней мере /26. Мы рекомендуем /26 в качестве минимального размера для учета будущих ограничений по размеру. Эта подсеть не поддерживает группы безопасности сети (NSG).

Для Брандмауэр Azure требуется эта подсеть. Если вы используете партнёрскую NVA, следуйте её требованиям к сети.

Подключение к сети с периферийной связью

Пиринг виртуальных сетей или подключенные группы являются нетрансляционными связями между виртуальными сетями. Если вам нужны периферийные виртуальные сети для подключения друг к другу, добавьте пиринговое подключение между этими периферийными узлами или поместите их в одну и ту же группу сети.

Соединения по типу спиц через Брандмауэр Azure или NVA

Количество пирингов виртуальных сетей для каждой виртуальной сети ограничено. Если у вас есть много периферийных устройств, которые должны подключаться друг к другу, у вас может быть недостаточно пиринговых подключений. Подключенные группы также имеют ограничения. Дополнительные сведения см. в разделе "Ограничения сети " и "Подключенные группы".

В этом сценарии рекомендуется использовать определяемые пользователем маршруты (UDR), чтобы принудительно отправлять трафик в Брандмауэр Azure или другой NVA, который выступает в качестве маршрутизатора в центре. Это изменение позволяет спицам подключаться друг к другу. Для поддержки этой конфигурации реализуйте Брандмауэр Azure с включенной конфигурацией принудительного туннеля. Для получения дополнительной информации см. раздел Принудительное туннелирование с использованием Брандмауэр Azure.

Топология в этой архитектурной схеме упрощает выходные потоки. Хотя Брандмауэр Azure в основном предназначен для обеспечения безопасности исходящего трафика, он также может быть точкой входящего трафика. Дополнительные сведения о маршрутизации входящего трафика концентратора NVA см. в разделе Брандмауэр Azure и Шлюз приложений Azure для виртуальных сетей.

Периферийные подключения к удаленным сетям через шлюз концентратора

Чтобы настроить спицы для взаимодействия с удаленными сетями через основной шлюз, можно использовать пиринги виртуальных сетей или подключенные сетевые группы. Чтобы использовать пиринги виртуальных сетей, откройте программу установки пиринга виртуальной сети и выполните следующие действия:

• Настройте пиринговое подключение в концентраторе, чтобы разрешить транзит шлюза.
• Настройте пиринговое подключение в каждой спицевой сети для использования шлюза удаленной виртуальной сети.
• Настройте все подключения пиринга для разрешения перенаправляемого трафика.

Дополнительные сведения см. в разделе Создание пиринга виртуальной сети.

Чтобы использовать подключенные сетевые группы, выполните приведенные действия.

1. В Virtual Network Manager создайте сетевую группу и добавьте виртуальные сети-члены.
2. Создайте конфигурацию подключения к концентратору.
3. Для спицевых сетевых групп выберите Концентратор в качестве шлюза.

Дополнительные сведения см. в разделе Создать звездообразную топологию с помощью Virtual Network Manager.

Периферийные сетевые коммуникации

Периферийные виртуальные сети могут взаимодействовать друг с другом двумя основными способами:

• Обмен данными через NVA, например брандмауэр и маршрутизатор. Этот метод добавляет прыжк между двумя спицами.

• Обмен данными через пиринг виртуальной сети или прямое подключение Virtual Network Manager между конечными узлами. Этот подход не добавляет переход между двумя спицами, что рекомендуется для минимизации задержки.

Приватный канал Azure может выборочно предоставлять отдельные ресурсы другим виртуальным сетям. Например, можно использовать Приватный канал для предоставления внутренней подсистемы балансировки нагрузки другой виртуальной сети без необходимости формировать или поддерживать связи пиринга или маршрутизации.

Дополнительные сведения о шаблонах spoke-to-spoke подключения см. в разделе "Варианты подключения к виртуальной сети и spoke-to-spoke связь".

Обмен данными через NVA

Если нужно подключение между 'спицами', рассмотрите возможность развертывания Брандмауэр Azure или другого сетевого виртуального устройства (NVA) в концентраторе. Затем создайте маршруты для перенаправления трафика с подключённого узла на брандмауэр или NVA, который затем может перенаправить на второй подключенный узел. В этом сценарии необходимо настроить пиринговые подключения для приема перенаправленного трафика.

Схема с тремя большими пунктирными областями, расположенными рядом. Периферийная виртуальная сеть находится слева, виртуальная сеть концентратора находится в центре, а другая периферийная виртуальная сеть находится справа. Внутри каждой периферийной виртуальной сети находится пунктирная рамка с надписью "Подсеть ресурса", которая содержит три значка виртуальной машины. Внутри виртуальной сети концентратора находится пунктирное поле, содержащее значок Брандмауэр Azure. Между левой спицей и концентратором, а также между концентратором и правой спицей изображены сетевые подключения, обозначенные пунктирными двусторонними стрелками с меткой "Пиринг". Пунктирные стрелки вблизи нижнего края проходят по горизонтали от каждой спицы к центру и направлены к Брандмауэр Azure, что указывает на то, что трафик из обеих спиц направляется к брандмауэру в центре, а не непосредственно между двумя спицами. Общий макет выделяет концентратор как среднюю точку, через которую направляется обмен данными между двумя периферийными сетями.

Вы также можете использовать VPN-шлюз для маршрутизации трафика между спицами, хотя этот выбор влияет на задержку и пропускную способность. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

Оцените службы, которые вы предоставляете в концентраторе, чтобы обеспечить масштабирование концентратора для большего количества спиц. Например, если ваш центр предоставляет услуги брандмауэра, учтите ограничения пропускной способности решения брандмауэра при добавлении нескольких подключений. Некоторые из этих общих служб можно переместить на второй уровень центров.

Прямая связь между спицевыми сетями

Чтобы подключиться непосредственно между периферийными виртуальными сетями без маршрутизации трафика через виртуальную сеть концентратора, можно создать пиринговые подключения между периферийными узлами или включить прямое подключение для группы сети. Рекомендуется ограничить пиринг или прямое подключение к периферийным виртуальным сетям, которые являются частью одной среды и рабочей нагрузки.

При использовании Virtual Network Manager можно добавить периферийные виртуальные сети в группы сети вручную или автоматически добавлять сети в зависимости от заданных условий.

На следующей диаграмме показано, как использовать Virtual Network Manager для прямого подключения между спицами.

Схема, на которую показана большая прямоугольная рамка, помеченная Диспетчер виртуальных сетей Azure, с группой меток "Сеть" в верхней части. Внутри кадра находятся три дефишированных прямоугольника, расположенные слева направо: периферийная виртуальная сеть, виртуальная сеть концентратора и другая периферийная виртуальная сеть. Две спицевые коробки содержат пунктирную рамку с обозначением "Подсеть ресурса", в которой находятся три значка виртуальной машины. Центральное поле концентратора содержит пунктирное внутреннее поле со значком Брандмауэр Azure. Между левой спицей и концентратором и между концентратором и правой спицей пунктирные стрелки с двойными наконечниками обозначены как Подключенные виртуальные сети. Вдоль нижней части пунктирной линии, помеченной как Непосредственно подключенные виртуальные сети, проходит между двумя периферийными сетями, с восходящими стрелками в каждую периферийную сеть, что указывает на прямой путь между периферийными сетями, который находится ниже и отделен от подключений концентратора.

Considerations

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Для получения дополнительной информации см. Well-Architected Framework.

Reliability

Надежность помогает гарантировать, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Для получения дополнительной информации см. Контрольный список проверки конструкции на надежность.

Используйте зоны доступности для служб Azure в центре, поддерживающих их.

Рекомендуется использовать по крайней мере один хаб для каждого региона и подключать только спицы из одного региона к этим хабам. Эта конфигурация помогает регионам-барьерам избежать сбоев в концентраторе одного из них, что может вызвать широкие сбои сетевой маршрутизации в несвязанных регионах.

Для повышения доступности можно использовать ExpressRoute и VPN для резервирования. Дополнительные сведения см. в статье Подключение локальной сети к Azure с помощью ExpressRoute с отказоустойчивостью VPN и Проектирование и архитектура ExpressRoute для повышения отказоустойчивости.

Из-за того, как Брандмауэр Azure реализует правила приложения FQDN, убедитесь, что все ресурсы, исходящие через брандмауэр, используют тот же поставщик DNS, что и сам брандмауэр. В противном случае Брандмауэр Azure может блокировать законный трафик, так как разрешение IP-адреса брандмауэра полного доменного имени отличается от разрешения IP-адреса исходного трафика того же полного доменного имени. Вы можете включить Брандмауэр Azure прокси-сервер в разрешение DNS для синхронизации полных доменных имен с источником трафика и Брандмауэр Azure.

Security

Безопасность обеспечивает гарантии от преднамеренного нападения и неправильного использования ценных данных и систем. Дополнительные сведения см. в контрольном списке для проверки безопасности проектирования.

Чтобы защитить от атак DDoS, включите защиту от атак DDoS в Azure на любом периметре виртуальной сети. Любой ресурс с общедоступным IP-адресом подвержен атаке DDoS. Следующие общедоступные IP-адреса должны быть защищены даже если ваши рабочие нагрузки не доступны публично.

• Брандмауэр Azure общедоступные IP-адреса
• Общедоступные IP-адреса VPN-шлюза
• Общедоступный IP-адрес уровня управления ExpressRoute

Чтобы свести к минимуму риск несанкционированного доступа и применить строгие политики безопасности, всегда устанавливайте явные deny правила в группах безопасности сети.

Используйте версию Брандмауэр Azure Premium для включения проверки протокола TLS, проверки idPS и фильтрации URL-адресов.

безопасность Virtual Network Manager

Чтобы обеспечить базовый набор правил безопасности, свяжите правила администратора безопасности с виртуальными сетями в группах сети. Правила администратора безопасности имеют приоритет и оцениваются перед правилами NSG. Правила администратора безопасности поддерживают приоритет, теги служб и протоколы уровня сети (L3) и транспортный слой (L4).

Используйте Virtual Network Manager deployments для упрощения управляемого развертывания потенциально критических изменений в правилах безопасности группы сети.

Оптимизация затрат

Оптимизация затрат фокусируется на способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке рецензирования проектирования на предмет оптимизации затрат.

При развертывании центральной сети и управлении ими следует учитывать следующие факторы, связанные с затратами. Дополнительные сведения см. в разделе о ценах на виртуальную сеть.

затраты на Брандмауэр Azure

Эта архитектура развертывает экземпляр Брандмауэр Azure в центральной сети. Использование развертывания Брандмауэр Azure в качестве общего решения, используемого несколькими рабочими нагрузками, может значительно сократить затраты на облако по сравнению с другими виртуальными сетевыми устройствами (NVA). Дополнительные сведения см. в разделе Брандмауэр Azure и NVAs.

Чтобы эффективно использовать развернутые ресурсы, выберите нужный размер Брандмауэр Azure. Определите, какие функции вам нужны и какой уровень лучше всего подходит для текущего набора рабочих нагрузок. Дополнительные сведения о доступных SKU Брандмауэр Azure см. в разделе Что такое Брандмауэр Azure?

Прямой пиринг

Чтобы сократить или исключить затраты на обработку Брандмауэр Azure, выборочно используйте прямой пиринг или другие периферийные коммуникации, которые проходят концентратор. Экономия может быть значительной для сетей, имеющих рабочие нагрузки с высокой пропускной способностью и низким риском при обмене данными между спицами, такими как синхронизация баз данных или копирование больших файлов.

Операционное превосходство

Операционное совершенство охватывает операционные процессы, которые развертывают приложение и обеспечивают его непрерывную работу в производственной среде. Дополнительные сведения см. в контрольном списке проектной проверки для обеспечения эксплуатационного совершенства.

Активируйте параметры диагностики для всех служб, таких как Бастион Azure, Брандмауэр Azure и локальный шлюз. Чтобы сократить затраты, отключите все параметры, которые не связаны с операциями. Такие ресурсы, как Брандмауэр Azure, могут создавать большие объемы журналов и могут привести к высоким затратам на мониторинг.

Используйте монитор подключения для комплексного мониторинга для обнаружения аномалий и выявления и устранения проблем с сетью.

Используйте Azure Network Watcher для мониторинга и устранения неполадок сетевых компонентов, включая использование traffic analytics для отображения систем в виртуальных сетях, которые создают большую часть трафика. Аналитику трафика можно использовать для выявления потенциальных узких мест.

Если вы используете ExpressRoute, используйте сборщик трафика Azure для анализа журналов потоков сети, отправляемых по каналам ExpressRoute. Сборщик трафика обеспечивает видимость трафика, который передается через пограничные маршрутизаторы корпоративной сети Майкрософт.

Используйте правила на основе FQDN в Брандмауэр Azure для протоколов, отличных от HTTP(S), или при настройке SQL Server. Использование полных доменных имен уменьшает нагрузку на управление по сравнению с отдельным управлением IP-адресами.

План IP-адресации согласно требованиям пиринговых соединений. Убедитесь, что адресное пространство не перекрывается между межплощадочными расположениями и Azure.

Автоматизация с помощью Virtual Network Manager

Чтобы централизованно управлять подключениями и средствами управления безопасностью, используйте Virtual Network Manager для создания топологий виртуальных сетей с концентраторами или подключения существующих топологий. Используйте Virtual Network Manager для подготовки концентраторных архитектур сети для масштабного будущего роста в нескольких подписках, группах управления и регионах.

Примеры сценариев использования Virtual Network Manager включают:

• Демократизация управления периферийными виртуальными сетями для групп, таких как бизнес-подразделения или группы приложений. Демократизация может привести к большому числу требований по подключению виртуальной сети к виртуальной сети, а также к сетевым правилам безопасности.

• Стандартизация архитектур нескольких реплик в нескольких регионах Azure для обеспечения мирового присутствия приложений.

Чтобы обеспечить единообразное подключение и правила безопасности сети, можно использовать группы network для группировки виртуальных сетей в любой подписке, группе управления или регионе в одном клиенте Microsoft Entra. Вы можете автоматически или вручную подключить виртуальные сети к группам сети с помощью динамических или статических назначений членства.

Определите возможность обнаружения виртуальных сетей в Virtual Network Manager с помощью scopes. Области применения обеспечивают гибкость экземпляров диспетчера сети, так что можно распределять обязанности по управлению между группами виртуальных сетей.

Чтобы подключить периферийные виртуальные сети в одной группе сети друг к другу, используйте Virtual Network Manager для реализации пиринга виртуальных сетей или направленного подключения. Используйте опцию глобальной сетки для расширения прямого подключения сетки к спицевым сетям в разных регионах. На следующей схеме показаны глобальные подключения к сетке между регионами.

Схема, показывающая два больших пунктирных прямоугольника бок о бок, подписаны как Azure регион 1 слева и Azure регион 2 справа. Каждый регион содержит центральную виртуальную сеть концентратора с меткой "Виртуальная сеть концентратора", окруженную несколькими небольшими пунктирными рамками, представляющими спицевые сети. Короткие пунктирные линии идут от каждого концентратора к его окружающим спицам, образуя звездообразный узор в обеих областях. Одна пунктирная линия соединяет концентратор в Azure регионе 1 с концентратором в Azure регионе 2 через разрыв между двумя прямоугольниками региона. Обе стороны визуально отражают друг друга: каждый концентратор расположен рядом с центром своего региона, имеет несколько лучей вокруг, и каждый луч связан внутрь с его локальным концентратором. Схема акцентирует две отдельные региональные концентраторно-спицеобразные схемы с одним прямым межрегиональным соединением между двумя узлами.

Виртуальные сети можно ассоциировать с группой сетей в наборе базовых правил администрирования безопасности. Правила администратора безопасности сетевой группы предотвращают перезапись владельцами периферийных виртуальных сетей базовых правил безопасности, но позволяют им добавлять собственные правила безопасности и группы безопасности сети (NSG). Пример использования правил администратора безопасности в топологиях с периферийными узлами см. в статье "Создание защищенной центральной сети".

Чтобы упростить контролируемое развертывание сетевых групп, подключений и правил безопасности, развертывания конфигурации Virtual Network Manager помогут безопасно внедрять изменения конфигурации в средах 'звезда-спицы'.

Чтобы упростить процесс создания и поддержания конфигураций маршрутов, можно использовать автоматизированное управление таблицами маршрутизации (UDR) в Virtual Network Manager.

Для централизованного управления IP-адресами можно использовать IP address management (IPAM) в Virtual Network Manager. IPAM предотвращает конфликты пространства IP-адресов между локальными и облачными виртуальными сетями.

Чтобы приступить к работе с Virtual Network Manager, см. раздел Создание топологии звезда-спицы с помощью Virtual Network Manager.

Эффективность производительности

Эффективность производительности — это способность рабочей нагрузки эффективно масштабироваться в соответствии с требованиями пользователей. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .

Для рабочих нагрузок, взаимодействующих с локальными виртуальными машинами в виртуальной сети Azure, требующей низкой задержки и высокой пропускной способности, рекомендуется использовать ExpressRoute FastPath. Повышение производительности с помощью FastPath для отправки трафика непосредственно из локальной среды на виртуальные машины в виртуальной сети и обход шлюза виртуальной сети ExpressRoute.

Для коммуникаций спица-спица, требующих низкой задержки, можно настроить соответствующую сеть.

Выберите номер SKU шлюза , соответствующий вашим требованиям, например количество подключений типа "точка — сеть" или "сеть — сеть", необходимые пакеты в секунду, требования к пропускной способности или потоки TCP.

Для потоков с учетом задержки, таких как SAP или доступ к хранилищу, можно обойти Брандмауэр Azure или маршрутизацию концентратора. Чтобы помочь вам выбрать оптимальный подход, можно тестировать задержку, представленную Брандмауэр Azure. Вы можете использовать такие функции, как пиринг виртуальный сетевой пиринг, который подключает две или несколько сетей, или использовать Приватный канал для подключения к службе через частную конечную точку в виртуальной сети.

Вы можете уменьшить пропускную способность с помощью функций Брандмауэр Azure, таких как система обнаружения и предотвращения вторжений (IDPS). Дополнительные сведения см. в разделе о производительности Брандмауэр Azure.

Развертывание этого сценария

Это развертывание включает одну виртуальную сеть концентратора и два подключенных периферийных устройства и развертывает экземпляр Брандмауэр Azure и узел Бастион Azure. При необходимости развертывание может включать виртуальные машины в первую периферийную сеть и VPN-шлюз. Чтобы создать сетевые подключения, можно выбрать между пирингом виртуальной сети или подключёнными группами в менеджере виртуальных сетей. Каждый метод имеет несколько вариантов развертывания.

• Развертывание топологии "концентратор-спица" с пирингом виртуальных сетей
• Развертывание топологии концентратор-спица с подключенными группами Virtual Network Manager

Contributors

Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основные авторы:

• Хосе Морено | Инженер решений
• Аледжандра Паласиос | Старший инженер клиента
• Адам Торкар | Старший инженер по работе с клиентами

Другие участники:

• Мэтью Брэтчун | Инженер клиента
• Джей Ли | Старший менеджер по продуктам
• Telmo Sampaio | Главный менеджер по инженерным услугам

Чтобы увидеть непубличные профили в LinkedIn, войдите в LinkedIn.

Дальнейшие шаги

• Что такое защищенный виртуальный концентратор?
• Определите топологию сети Azure

Связанные ресурсы

• Брандмауэр Azure и Шлюз Приложений для виртуальных сетей
• Устранение неполадок гибридного VPN-подключения
• Сеть «спица-спица»
• базовая архитектура для кластера Azure Kubernetes Service (AKS)

Эта референсная архитектура реализует шаблон сети с топологией концентратор-спица с компонентами инфраструктуры, управляемыми клиентом. Шаблон сети с центральным узлом, также известный как узел и периферия, — это топология сети, которую рекомендует Cloud Adoption Framework для Azure. См. раздел Определение топологии сети Azure, чтобы понять, почему эта топология считается рекомендуемой практикой для многих организаций.

Для решения инфраструктурной сети с концентратором, управляемого Майкрософт, см. раздел топология сетей типа "концентратор-спица" с Виртуальная глобальная сеть Azure.

Architecture

Схема, показывающая структуру сети по принципу концентратор-спица в Azure. Большая внешняя рамка с надписью Диспетчер виртуальных сетей Azure содержит центральную виртуальную сеть хаба и четыре периферийные виртуальные сети вокруг него. Слева за пределами концентратора сеть между локальными сетями содержит две виртуальные машины и значок шлюза. В середине виртуальная сеть концентратора содержит три службы: Бастион Azure в верхней части, Брандмауэр Azure в центре и Azure VPN Gateway или Azure ExpressRoute внизу. Azure Monitor отображается справа от концентратора, подключенного к его службам с помощью пунктирных линий с надписью 'Диагностика'. Две производственные спицевые виртуальные сети отображаются справа, одна над другой. Каждый производственный луч содержит подсеть ресурсов с тремя виртуальными машинами. Пунктирные линии, помеченные принудительным туннелем, тянутся от обеих производственных спиц к области межсетевого экрана центра. В нижней части есть две непроизводственные виртуальные сети, каждая из которых имеет подсеть ресурсов и три виртуальных машины. Пунктирные стрелки между нижними спицами указывают на то, что их можно соединить через пиринг или напрямую. Другие пунктирные стрелки показывают виртуальные сети-спицы, подключающиеся или пирингующие через концентратор. Вверху пунктирная двунаправленная стрелка, помеченная пирингом виртуальной сети, подключает концентратор к верхнему продуктивному концу.

Скачать файл Visio этой архитектуры.

Концепции централизованной модели (Hub-Spoke)

Топологии центральной сети обычно включают многие из следующих архитектурных концепций:

• Hub virtual network: Концентратор виртуальной сети размещает общие Azure сетевые службы. Рабочие нагрузки, размещенные в периферийных виртуальных сетях, могут использовать эти службы. Виртуальная сеть концентратора — это центральная точка подключения для локальных сетей. Концентратор содержит основную точку доступа и предоставляет способ соединения одной периферийной сети с другой для межвиртуального сетевого трафика по мере необходимости.

  Концентратор — это региональный ресурс. Если рабочие нагрузки находятся в нескольких регионах, поместите один концентратор в каждый регион. Центр предоставляет следующие функции и параметры:

  • Межсайтовый шлюз: Возможность подключения и интеграции различных сетевых сред. Обычно этот шлюз является VPN или каналом Azure ExpressRoute.

  • Элемент управления исходящего трафика: Управление и регулирование исходящего трафика, который происходит в пиринговых виртуальных сетях.

  • Элемент управления входящим трафиком: Необязательное управление и регулирование входящего трафика к конечным узлам, существующим в спицевых пиринговых виртуальных сетях.

  • Удаленный доступ: Способ доступа к отдельным рабочим нагрузкам в спицевых сетях из сетевых расположений за пределами их собственной сети. Этот доступ может быть нацелен на данные рабочей нагрузки или плоскость управления.

  • Удаленный периферийный доступ к виртуальным машинам: Решение для межорганизационного удаленного подключения к протоколу удаленного рабочего стола (RDP) и протоколу безопасной оболочки (SSH) для виртуальных машин, распределенных по периферийным сетям.

  • Маршрутизация: Управление трафиком между концентратором и подключенными спицами. Маршрутизация поддерживает безопасную и эффективную связь.

• Спицевые виртуальные сети: Спицевые виртуальные сети изолируют рабочие нагрузки и управляют ими отдельно в каждой сети. Каждая рабочая нагрузка может включать несколько уровней с несколькими подсетями, подключенными через Azure подсистемы балансировки нагрузки. Спицы могут существовать в разных подписках и представлять различные среды, такие как производственная и тестовая. Одна рабочая нагрузка может распределяться по нескольким спицам.

  В большинстве сценариев каждый подключ должен быть соединён с одной центральной сетью в том же регионе.

  Спицевые сети следуют правилам исходящего доступа по умолчанию. Основная цель топологии сети с архитектурой концентратор-наконечник — направлять исходящий интернет-трафик через механизмы управления в концентраторе.

• Перекрестное подключение к виртуальной сети: Подключение к виртуальной сети упрощает обмен данными между изолированными виртуальными сетями. Механизм управления применяет разрешения и определяет разрешенное направление обмена данными между сетями. Концентратор предоставляет возможность поддержки выбранных межсетевых подключений для прохождения через централизованную сеть.

• DNS: Концентраторные решения часто предоставляют решение системы доменных имен (DNS), которое используют все присоединённые узлы, особенно для кросс-площадочной маршрутизации и записей DNS частной конечной точки.

Components

• Azure Virtual Network является основным стандартным блоком для частных сетей в Azure. виртуальная сеть обеспечивает безопасный обмен данными между ресурсами Azure, такими как виртуальные машины, локальные сети, Интернет и друг друга.

  В этой архитектуре виртуальные сети подключаются к концентратору с помощью подключений виртуальная сеть peering, которые являются нетранзитивными, с низкой задержкой подключениями между виртуальными сетями. Пиринговые виртуальные сети могут обмениваться трафиком через магистраль Azure без маршрутизатора. В центральной архитектуре используйте прямой пиринг между виртуальными сетями только в особых обстоятельствах.

• Бастион Azure — это полностью управляемая служба, которая предоставляет RDP и SSH-доступ к виртуальным машинам без предоставления общедоступных IP-адресов. В этой архитектуре Бастион Azure используется в качестве управляемого предложения для поддержки прямого доступа к виртуальной машине через подключенные периферийные устройства.

• Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая защищает виртуальная сеть ресурсы. Эта служба брандмауэра с отслеживанием состояния имеет встроенный высокий уровень доступности и неограниченную масштабируемость облака, чтобы помочь вам создавать, применять и логировать политики соединения приложений и сетей в рамках подписок и виртуальных сетей.

  В этой архитектуре Брандмауэр Azure имеет несколько потенциальных ролей. Брандмауэр является основной точкой исходящего трафика из одноранговых виртуальных сетей в Интернет. Брандмауэр также может проверять входящий трафик с помощью правил обнаружения и предотвращения сетевых вторжений (IDPS). Брандмауэр также может функционировать как DNS-прокси-сервер для поддержки полных правил трафика доменных имен (FQDN).

• Azure VPN Gateway — это шлюз виртуальной сети, который отправляет зашифрованный трафик между виртуальной сетью в Azure и разными сетями через общедоступный Интернет. Вы также можете использовать VPN-шлюз для отправки зашифрованного трафика между другими виртуальными сетями через сеть Майкрософт.

  В этой архитектуре VPN-шлюз может подключать спицы к удаленной сети. Спицы обычно не развертывают собственный VPN-шлюз. Они используют централизованное решение, которое предоставляет концентратор. Для управления этим подключением необходимо установить конфигурацию маршрутизации.

• Шлюз ExpressRoute обменивается IP-маршрутами и направляет сетевой трафик между локальной сетью и виртуальной сетью Azure. В этой архитектуре ExpressRoute может служить альтернативой VPN-шлюз подключения к удаленной сети. Периферийные серверы не развертывают собственный шлюз ExpressRoute. Они используют централизованное решение, которое предоставляет концентратор. Для управления этим подключением необходимо установить конфигурацию маршрутизации.

• Azure Monitor может собирать, анализировать и обрабатывать данные телеметрии из межобластных сред, включая Azure и локальную среду. Azure Monitor помогает повысить производительность и доступность приложений и быстро определить проблемы. В этой архитектуре Azure Monitor — это приемник журналов и метрик для ресурсов концентратора и для сетевых метрик. Azure Monitor также может функционировать в качестве приемника ведения журнала для ресурсов в периферийных сетях. Каждая рабочая нагрузка spoke конфигурирует собственное ведение журнала, и данная архитектура не требует отправки журналов в Azure Monitor.

Alternatives

Эта архитектура включает создание, настройку и обслуживание virtualNetworkPeerings, routeTablesа также subnets. Диспетчер виртуальных сетей Azure — это служба управления, которая помогает группировать, настраивать, развертывать и управлять виртуальными сетями в масштабах подписок Azure, регионов и каталогов Microsoft Entra.

С помощью Virtual Network Manager можно определить группы network для определения и логического сегментирования виртуальных сетей. Вы также можете использовать подключенные группы , чтобы обеспечить связь между группами виртуальных сетей, как если бы они были подключены вручную. Этот подход добавляет слой абстракции, чтобы описать нужную топологию сети, не изменяя ее реализацию.

Мы рекомендуем оценить, следует ли использовать Virtual Network Manager для оптимизации операций управления сетями. Чтобы определить, предоставляет ли Virtual Network Manager чистую ценность для размера и сложности вашей сети, сравните затраты на обслуживание с экономией времени и операционными преимуществами.

Виртуальная глобальная сеть Azure

Эта архитектура описывает шаблон сети, включающий компоненты инфраструктуры, управляемые клиентом. Сведения о решении инфраструктуры, управляемой концентратором Майкрософт, см. в разделе сетевая топология типа «звезда», использующая Виртуальная глобальная сеть Azure.

Преимущества использования конфигурации хаба и спиц, управляемой клиентом, включают:

• Экономия затрат
• Преодоление ограничений подписки
• Изоляция рабочих нагрузок
• Flexibility
  • Больше контроля над развертыванием виртуальных сетевых устройств (NVA), например, количества сетевых адаптеров, числа экземпляров или размера вычислительной мощности.
  • Использование НВА, которые не поддерживаются в виртуальной глобальной сети (Виртуальная глобальная сеть)

Сведения о сценарии

Эта эталонная архитектура реализует шаблон сети концентратор-спица, где виртуальная сеть концентратора является центральной точкой подключения ко многим виртуальным сетям-спицам. Спицевые виртуальные сети подключаются к концентратору и позволяют изолировать рабочие нагрузки. Вы также можете поддерживать межплощадочные сценарии, используя концентратор для подключения к локальным сетям.

Дополнительные сведения см. в статье "Топология сети с концентраторами и периферийными устройствами".

Расширенные сценарии

Архитектура может отличаться от простой периферийной архитектуры, описанной в этой статье. В следующем списке описаны рекомендации по расширенным сценариям.

• Чтобы добавить дополнительные регионы, использовать Брандмауэр Azure для маршрутизации топологии с несколькими концентраторами.

• Чтобы использовать расширенные модели подключения spoke-to-spoke, используйте широковещательные сети.

• Чтобы заменить Брандмауэр Azure пользовательским NVA, разверните высокодоступные NVA.

• Чтобы заменить шлюз виртуальной сети пользовательским сетевым устройством NVA с технологией SD-WAN, см. интеграция SD-WAN с топологиями сети Azure с центром-звезд.

• Сведения о транзитивности между вашим ExpressRoute и VPN или SDWAN, а также о настройке префиксов, рекламируемых через протокол BGP на шлюзах виртуальной сети Azure, см. в разделе Поддержка маршрутизатора для ExpressRoute и Azure VPN.

• Сведения о добавлении частного сопоставителя или DNS-серверов см. в архитектуре закрытого сопоставителя.

Потенциальные варианты использования

Типичные назначения архитектуры стержень-спица включают рабочие нагрузки, которые:

• Существует несколько сред, требующих общих служб. Например, рабочая нагрузка может иметь среды разработки, тестирования и продуктивную среду. К общим службам могут относиться DNS-идентификаторы, протокол NTP или доменные службы Active Directory (AD DS). Общие службы размещаются в центральной виртуальной сети, и каждая среда развертывается на разных периферийных устройствах для обеспечения изоляции.

• Не требуется подключение друг к другу, но требуется доступ к общим службам.

• Требуется централизованный контроль над безопасностью, например, периметральная сеть (также известная как DMZ, демилитаризованная зона и экранированная подсеть) в узле и сегрегированное управление рабочими нагрузками в каждой удаленной точке.

• Требуется централизованное управление подключением, например выборочное подключение или изоляция между периферийными средами или рабочими нагрузками.

Recommendations

Следующие рекомендации можно применить к большинству сценариев. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Группы ресурсов, подписки и регионы

В этом примере решения используется одна группа ресурсов Azure. Вы также можете реализовать концентратор и каждое ответвление в разных группах ресурсов и подписках.

При подключении виртуальных сетей в разных подписках, вы можете связать подписки с теми же или разными арендаторами Microsoft Entra. Эта гибкость обеспечивает децентрализованное управление каждой рабочей нагрузкой и поддерживает общие службы в центре. Дополнительные сведения см. в статье Создание пиринга виртуальной сети между различными подписками и клиентами Microsoft Entra.

посадочные зоны Azure

Архитектура целевой зоны Azure основана на топологии с концентраторами. В этой архитектуре централизованная группа платформы управляет общими ресурсами и сетью концентратора, а периферийные серверы совместно используют модель совместного владения с командой платформы и командой рабочей нагрузки, которая использует периферийную сеть. Все центры находятся в подписке на Коннективити для централизованного управления. Периферийные виртуальные сети существуют во многих отдельных подписках рабочей нагрузки, называемых подписками целевой зоны приложений.

Подсети виртуальной сети

В следующих рекомендациях объясняется, как настроить подсети в виртуальной сети.

GatewaySubnet

Для шлюза виртуальной сети требуется эта подсеть. Кроме того, можно использовать топологию концентратора без шлюза, если не требуется подключение к локальной сети.

Создайте подсеть шлюза с диапазоном IP-адресов по крайней мере /26 или больше с именем GatewaySubnet. Диапазон адресов /26 обеспечивает достаточную масштабируемость, чтобы избежать ограничений размера шлюза и размещения дополнительных каналов ExpressRoute в будущем. Для получения дополнительных сведений о настройке шлюза см. раздел Настройка ExpressRoute и сосуществующих соединений между сайтами с помощью PowerShell.

AzureFirewallSubnet

Создайте подсеть с именем AzureFirewallSubnet с диапазоном адресов по крайней мере /26. Мы рекомендуем /26 в качестве минимального размера для учета будущих ограничений по размеру. Эта подсеть не поддерживает группы безопасности сети (NSG).

Для Брандмауэр Azure требуется эта подсеть. Если вы используете партнёрскую NVA, следуйте её требованиям к сети.

Подключение к сети с периферийной связью

Пиринг виртуальных сетей или подключенные группы являются нетрансляционными связями между виртуальными сетями. Если вам нужны периферийные виртуальные сети для подключения друг к другу, добавьте пиринговое подключение между этими периферийными узлами или поместите их в одну и ту же группу сети.

Соединения по типу спиц через Брандмауэр Azure или NVA

Количество пирингов виртуальных сетей для каждой виртуальной сети ограничено. Если у вас есть много периферийных устройств, которые должны подключаться друг к другу, у вас может быть недостаточно пиринговых подключений. Подключенные группы также имеют ограничения. Дополнительные сведения см. в разделе "Ограничения сети " и "Подключенные группы".

В этом сценарии рекомендуется использовать определяемые пользователем маршруты (UDR), чтобы принудительно отправлять трафик в Брандмауэр Azure или другой NVA, который выступает в качестве маршрутизатора в центре. Это изменение позволяет спицам подключаться друг к другу. Для поддержки этой конфигурации реализуйте Брандмауэр Azure с включенной конфигурацией принудительного туннеля. Для получения дополнительной информации см. раздел Принудительное туннелирование с использованием Брандмауэр Azure.

Топология в этой архитектурной схеме упрощает выходные потоки. Хотя Брандмауэр Azure в основном предназначен для обеспечения безопасности исходящего трафика, он также может быть точкой входящего трафика. Дополнительные сведения о маршрутизации входящего трафика концентратора NVA см. в разделе Брандмауэр Azure и Шлюз приложений Azure для виртуальных сетей.

Периферийные подключения к удаленным сетям через шлюз концентратора

Чтобы настроить спицы для взаимодействия с удаленными сетями через основной шлюз, можно использовать пиринги виртуальных сетей или подключенные сетевые группы. Чтобы использовать пиринги виртуальных сетей, откройте программу установки пиринга виртуальной сети и выполните следующие действия:

• Настройте пиринговое подключение в концентраторе, чтобы разрешить транзит шлюза.
• Настройте пиринговое подключение в каждой спицевой сети для использования шлюза удаленной виртуальной сети.
• Настройте все подключения пиринга для разрешения перенаправляемого трафика.

Дополнительные сведения см. в разделе Создание пиринга виртуальной сети.

Чтобы использовать подключенные сетевые группы, выполните приведенные действия.

1. В Virtual Network Manager создайте сетевую группу и добавьте виртуальные сети-члены.
2. Создайте конфигурацию подключения к концентратору.
3. Для спицевых сетевых групп выберите Концентратор в качестве шлюза.

Дополнительные сведения см. в разделе Создать звездообразную топологию с помощью Virtual Network Manager.

Периферийные сетевые коммуникации

Периферийные виртуальные сети могут взаимодействовать друг с другом двумя основными способами:

• Обмен данными через NVA, например брандмауэр и маршрутизатор. Этот метод добавляет прыжк между двумя спицами.

• Обмен данными через пиринг виртуальной сети или прямое подключение Virtual Network Manager между конечными узлами. Этот подход не добавляет переход между двумя спицами, что рекомендуется для минимизации задержки.

Приватный канал Azure может выборочно предоставлять отдельные ресурсы другим виртуальным сетям. Например, можно использовать Приватный канал для предоставления внутренней подсистемы балансировки нагрузки другой виртуальной сети без необходимости формировать или поддерживать связи пиринга или маршрутизации.

Дополнительные сведения о шаблонах spoke-to-spoke подключения см. в разделе "Варианты подключения к виртуальной сети и spoke-to-spoke связь".

Обмен данными через NVA

Если нужно подключение между 'спицами', рассмотрите возможность развертывания Брандмауэр Azure или другого сетевого виртуального устройства (NVA) в концентраторе. Затем создайте маршруты для перенаправления трафика с подключённого узла на брандмауэр или NVA, который затем может перенаправить на второй подключенный узел. В этом сценарии необходимо настроить пиринговые подключения для приема перенаправленного трафика.

Схема с тремя большими пунктирными областями, расположенными рядом. Периферийная виртуальная сеть находится слева, виртуальная сеть концентратора находится в центре, а другая периферийная виртуальная сеть находится справа. Внутри каждой периферийной виртуальной сети находится пунктирная рамка с надписью "Подсеть ресурса", которая содержит три значка виртуальной машины. Внутри виртуальной сети концентратора находится пунктирное поле, содержащее значок Брандмауэр Azure. Между левой спицей и концентратором, а также между концентратором и правой спицей изображены сетевые подключения, обозначенные пунктирными двусторонними стрелками с меткой "Пиринг". Пунктирные стрелки вблизи нижнего края проходят по горизонтали от каждой спицы к центру и направлены к Брандмауэр Azure, что указывает на то, что трафик из обеих спиц направляется к брандмауэру в центре, а не непосредственно между двумя спицами. Общий макет выделяет концентратор как среднюю точку, через которую направляется обмен данными между двумя периферийными сетями.

Вы также можете использовать VPN-шлюз для маршрутизации трафика между спицами, хотя этот выбор влияет на задержку и пропускную способность. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

Оцените службы, которые вы предоставляете в концентраторе, чтобы обеспечить масштабирование концентратора для большего количества спиц. Например, если ваш центр предоставляет услуги брандмауэра, учтите ограничения пропускной способности решения брандмауэра при добавлении нескольких подключений. Некоторые из этих общих служб можно переместить на второй уровень центров.

Прямая связь между спицевыми сетями

Чтобы подключиться непосредственно между периферийными виртуальными сетями без маршрутизации трафика через виртуальную сеть концентратора, можно создать пиринговые подключения между периферийными узлами или включить прямое подключение для группы сети. Рекомендуется ограничить пиринг или прямое подключение к периферийным виртуальным сетям, которые являются частью одной среды и рабочей нагрузки.

При использовании Virtual Network Manager можно добавить периферийные виртуальные сети в группы сети вручную или автоматически добавлять сети в зависимости от заданных условий.

На следующей диаграмме показано, как использовать Virtual Network Manager для прямого подключения между спицами.

Схема, на которую показана большая прямоугольная рамка, помеченная Диспетчер виртуальных сетей Azure, с группой меток "Сеть" в верхней части. Внутри кадра находятся три дефишированных прямоугольника, расположенные слева направо: периферийная виртуальная сеть, виртуальная сеть концентратора и другая периферийная виртуальная сеть. Две спицевые коробки содержат пунктирную рамку с обозначением "Подсеть ресурса", в которой находятся три значка виртуальной машины. Центральное поле концентратора содержит пунктирное внутреннее поле со значком Брандмауэр Azure. Между левой спицей и концентратором и между концентратором и правой спицей пунктирные стрелки с двойными наконечниками обозначены как Подключенные виртуальные сети. Вдоль нижней части пунктирной линии, помеченной как Непосредственно подключенные виртуальные сети, проходит между двумя периферийными сетями, с восходящими стрелками в каждую периферийную сеть, что указывает на прямой путь между периферийными сетями, который находится ниже и отделен от подключений концентратора.

Considerations

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Для получения дополнительной информации см. Well-Architected Framework.

Reliability

Надежность помогает гарантировать, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Для получения дополнительной информации см. Контрольный список проверки конструкции на надежность.

Используйте зоны доступности для служб Azure в центре, поддерживающих их.

Рекомендуется использовать по крайней мере один хаб для каждого региона и подключать только спицы из одного региона к этим хабам. Эта конфигурация помогает регионам-барьерам избежать сбоев в концентраторе одного из них, что может вызвать широкие сбои сетевой маршрутизации в несвязанных регионах.

Для повышения доступности можно использовать ExpressRoute и VPN для резервирования. Дополнительные сведения см. в статье Подключение локальной сети к Azure с помощью ExpressRoute с отказоустойчивостью VPN и Проектирование и архитектура ExpressRoute для повышения отказоустойчивости.

Из-за того, как Брандмауэр Azure реализует правила приложения FQDN, убедитесь, что все ресурсы, исходящие через брандмауэр, используют тот же поставщик DNS, что и сам брандмауэр. В противном случае Брандмауэр Azure может блокировать законный трафик, так как разрешение IP-адреса брандмауэра полного доменного имени отличается от разрешения IP-адреса исходного трафика того же полного доменного имени. Вы можете включить Брандмауэр Azure прокси-сервер в разрешение DNS для синхронизации полных доменных имен с источником трафика и Брандмауэр Azure.

Security

Безопасность обеспечивает гарантии от преднамеренного нападения и неправильного использования ценных данных и систем. Дополнительные сведения см. в контрольном списке для проверки безопасности проектирования.

Чтобы защитить от атак DDoS, включите защиту от атак DDoS в Azure на любом периметре виртуальной сети. Любой ресурс с общедоступным IP-адресом подвержен атаке DDoS. Следующие общедоступные IP-адреса должны быть защищены даже если ваши рабочие нагрузки не доступны публично.

• Брандмауэр Azure общедоступные IP-адреса
• Общедоступные IP-адреса VPN-шлюза
• Общедоступный IP-адрес уровня управления ExpressRoute

Чтобы свести к минимуму риск несанкционированного доступа и применить строгие политики безопасности, всегда устанавливайте явные deny правила в группах безопасности сети.

Используйте версию Брандмауэр Azure Premium для включения проверки протокола TLS, проверки idPS и фильтрации URL-адресов.

безопасность Virtual Network Manager

Чтобы обеспечить базовый набор правил безопасности, свяжите правила администратора безопасности с виртуальными сетями в группах сети. Правила администратора безопасности имеют приоритет и оцениваются перед правилами NSG. Правила администратора безопасности поддерживают приоритет, теги служб и протоколы уровня сети (L3) и транспортный слой (L4).

Используйте Virtual Network Manager deployments для упрощения управляемого развертывания потенциально критических изменений в правилах безопасности группы сети.

Оптимизация затрат

Оптимизация затрат фокусируется на способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке рецензирования проектирования на предмет оптимизации затрат.

При развертывании центральной сети и управлении ими следует учитывать следующие факторы, связанные с затратами. Дополнительные сведения см. в разделе о ценах на виртуальную сеть.

затраты на Брандмауэр Azure

Эта архитектура развертывает экземпляр Брандмауэр Azure в центральной сети. Использование развертывания Брандмауэр Azure в качестве общего решения, используемого несколькими рабочими нагрузками, может значительно сократить затраты на облако по сравнению с другими виртуальными сетевыми устройствами (NVA). Дополнительные сведения см. в разделе Брандмауэр Azure и NVAs.

Чтобы эффективно использовать развернутые ресурсы, выберите нужный размер Брандмауэр Azure. Определите, какие функции вам нужны и какой уровень лучше всего подходит для текущего набора рабочих нагрузок. Дополнительные сведения о доступных SKU Брандмауэр Azure см. в разделе Что такое Брандмауэр Azure?

Прямой пиринг

Чтобы сократить или исключить затраты на обработку Брандмауэр Azure, выборочно используйте прямой пиринг или другие периферийные коммуникации, которые проходят концентратор. Экономия может быть значительной для сетей, имеющих рабочие нагрузки с высокой пропускной способностью и низким риском при обмене данными между спицами, такими как синхронизация баз данных или копирование больших файлов.

Операционное превосходство

Операционное совершенство охватывает операционные процессы, которые развертывают приложение и обеспечивают его непрерывную работу в производственной среде. Дополнительные сведения см. в контрольном списке проектной проверки для обеспечения эксплуатационного совершенства.

Активируйте параметры диагностики для всех служб, таких как Бастион Azure, Брандмауэр Azure и локальный шлюз. Чтобы сократить затраты, отключите все параметры, которые не связаны с операциями. Такие ресурсы, как Брандмауэр Azure, могут создавать большие объемы журналов и могут привести к высоким затратам на мониторинг.

Используйте монитор подключения для комплексного мониторинга для обнаружения аномалий и выявления и устранения проблем с сетью.

Используйте Azure Network Watcher для мониторинга и устранения неполадок сетевых компонентов, включая использование traffic analytics для отображения систем в виртуальных сетях, которые создают большую часть трафика. Аналитику трафика можно использовать для выявления потенциальных узких мест.

Если вы используете ExpressRoute, используйте сборщик трафика Azure для анализа журналов потоков сети, отправляемых по каналам ExpressRoute. Сборщик трафика обеспечивает видимость трафика, который передается через пограничные маршрутизаторы корпоративной сети Майкрософт.

Используйте правила на основе FQDN в Брандмауэр Azure для протоколов, отличных от HTTP(S), или при настройке SQL Server. Использование полных доменных имен уменьшает нагрузку на управление по сравнению с отдельным управлением IP-адресами.

План IP-адресации согласно требованиям пиринговых соединений. Убедитесь, что адресное пространство не перекрывается между межплощадочными расположениями и Azure.

Автоматизация с помощью Virtual Network Manager

Чтобы централизованно управлять подключениями и средствами управления безопасностью, используйте Virtual Network Manager для создания топологий виртуальных сетей с концентраторами или подключения существующих топологий. Используйте Virtual Network Manager для подготовки концентраторных архитектур сети для масштабного будущего роста в нескольких подписках, группах управления и регионах.

Примеры сценариев использования Virtual Network Manager включают:

• Демократизация управления периферийными виртуальными сетями для групп, таких как бизнес-подразделения или группы приложений. Демократизация может привести к большому числу требований по подключению виртуальной сети к виртуальной сети, а также к сетевым правилам безопасности.

• Стандартизация архитектур нескольких реплик в нескольких регионах Azure для обеспечения мирового присутствия приложений.

Чтобы обеспечить единообразное подключение и правила безопасности сети, можно использовать группы network для группировки виртуальных сетей в любой подписке, группе управления или регионе в одном клиенте Microsoft Entra. Вы можете автоматически или вручную подключить виртуальные сети к группам сети с помощью динамических или статических назначений членства.

Определите возможность обнаружения виртуальных сетей в Virtual Network Manager с помощью scopes. Области применения обеспечивают гибкость экземпляров диспетчера сети, так что можно распределять обязанности по управлению между группами виртуальных сетей.

Чтобы подключить периферийные виртуальные сети в одной группе сети друг к другу, используйте Virtual Network Manager для реализации пиринга виртуальных сетей или направленного подключения. Используйте опцию глобальной сетки для расширения прямого подключения сетки к спицевым сетям в разных регионах. На следующей схеме показаны глобальные подключения к сетке между регионами.

Схема, показывающая два больших пунктирных прямоугольника бок о бок, подписаны как Azure регион 1 слева и Azure регион 2 справа. Каждый регион содержит центральную виртуальную сеть концентратора с меткой "Виртуальная сеть концентратора", окруженную несколькими небольшими пунктирными рамками, представляющими спицевые сети. Короткие пунктирные линии идут от каждого концентратора к его окружающим спицам, образуя звездообразный узор в обеих областях. Одна пунктирная линия соединяет концентратор в Azure регионе 1 с концентратором в Azure регионе 2 через разрыв между двумя прямоугольниками региона. Обе стороны визуально отражают друг друга: каждый концентратор расположен рядом с центром своего региона, имеет несколько лучей вокруг, и каждый луч связан внутрь с его локальным концентратором. Схема акцентирует две отдельные региональные концентраторно-спицеобразные схемы с одним прямым межрегиональным соединением между двумя узлами.

Виртуальные сети можно ассоциировать с группой сетей в наборе базовых правил администрирования безопасности. Правила администратора безопасности сетевой группы предотвращают перезапись владельцами периферийных виртуальных сетей базовых правил безопасности, но позволяют им добавлять собственные правила безопасности и группы безопасности сети (NSG). Пример использования правил администратора безопасности в топологиях с периферийными узлами см. в статье "Создание защищенной центральной сети".

Чтобы упростить контролируемое развертывание сетевых групп, подключений и правил безопасности, развертывания конфигурации Virtual Network Manager помогут безопасно внедрять изменения конфигурации в средах 'звезда-спицы'.

Чтобы упростить процесс создания и поддержания конфигураций маршрутов, можно использовать автоматизированное управление таблицами маршрутизации (UDR) в Virtual Network Manager.

Для централизованного управления IP-адресами можно использовать IP address management (IPAM) в Virtual Network Manager. IPAM предотвращает конфликты пространства IP-адресов между локальными и облачными виртуальными сетями.

Чтобы приступить к работе с Virtual Network Manager, см. раздел Создание топологии звезда-спицы с помощью Virtual Network Manager.

Эффективность производительности

Эффективность производительности — это способность рабочей нагрузки эффективно масштабироваться в соответствии с требованиями пользователей. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .

Для рабочих нагрузок, взаимодействующих с локальными виртуальными машинами в виртуальной сети Azure, требующей низкой задержки и высокой пропускной способности, рекомендуется использовать ExpressRoute FastPath. Повышение производительности с помощью FastPath для отправки трафика непосредственно из локальной среды на виртуальные машины в виртуальной сети и обход шлюза виртуальной сети ExpressRoute.

Для коммуникаций спица-спица, требующих низкой задержки, можно настроить соответствующую сеть.

Выберите номер SKU шлюза , соответствующий вашим требованиям, например количество подключений типа "точка — сеть" или "сеть — сеть", необходимые пакеты в секунду, требования к пропускной способности или потоки TCP.

Для потоков с учетом задержки, таких как SAP или доступ к хранилищу, можно обойти Брандмауэр Azure или маршрутизацию концентратора. Чтобы помочь вам выбрать оптимальный подход, можно тестировать задержку, представленную Брандмауэр Azure. Вы можете использовать такие функции, как пиринг виртуальный сетевой пиринг, который подключает две или несколько сетей, или использовать Приватный канал для подключения к службе через частную конечную точку в виртуальной сети.

Вы можете уменьшить пропускную способность с помощью функций Брандмауэр Azure, таких как система обнаружения и предотвращения вторжений (IDPS). Дополнительные сведения см. в разделе о производительности Брандмауэр Azure.

Развертывание этого сценария

Это развертывание включает одну виртуальную сеть концентратора и два подключенных периферийных устройства и развертывает экземпляр Брандмауэр Azure и узел Бастион Azure. При необходимости развертывание может включать виртуальные машины в первую периферийную сеть и VPN-шлюз. Чтобы создать сетевые подключения, можно выбрать между пирингом виртуальной сети или подключёнными группами в менеджере виртуальных сетей. Каждый метод имеет несколько вариантов развертывания.

• Развертывание топологии "концентратор-спица" с пирингом виртуальных сетей
• Развертывание топологии концентратор-спица с подключенными группами Virtual Network Manager

Contributors

Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основные авторы:

• Хосе Морено | Инженер решений
• Аледжандра Паласиос | Старший инженер клиента
• Адам Торкар | Старший инженер по работе с клиентами

Другие участники:

• Мэтью Брэтчун | Инженер клиента
• Джей Ли | Старший менеджер по продуктам
• Telmo Sampaio | Главный менеджер по инженерным услугам

Чтобы увидеть непубличные профили в LinkedIn, войдите в LinkedIn.

Дальнейшие шаги

• Что такое защищенный виртуальный концентратор?
• Определите топологию сети Azure

Связанные ресурсы

• Брандмауэр Azure и Шлюз Приложений для виртуальных сетей
• Устранение неполадок гибридного VPN-подключения
• Сеть «спица-спица»
• базовая архитектура для кластера Azure Kubernetes Service (AKS)