I en traditionell hub-spoke-topologi med bring-your-own-networking kan du helt manipulera det virtuella hubbnätverket. Du kan distribuera vanliga tjänster till hubben och göra dem tillgängliga för arbetsbelastningsekrar. Dessa delade tjänster omfattar ofta saker som DNS-resurser, anpassade NVA:er och Azure Bastion. När du använder Azure Virtual WAN har du dock begränsad åtkomst och begränsningar för vad du kan installera på de virtuella hubbarna.
Om du till exempel vill implementera Private Link- och DNS-integrering i en traditionell hub-spoke-nätverksarkitektur skapar och länkar du privata DNS-zoner till hubbnätverket. Din plan för fjärråtkomst till virtuella datorer kan innehålla Azure Bastion som en delad tjänst i den regionala hubben. Du kan också distribuera anpassade beräkningsresurser, till exempel virtuella Active Directory-datorer i hubben. Ingen av dessa metoder är möjliga med Virtual WAN.
Den här artikeln beskriver det virtuella hubbtilläggsmönstret som ger vägledning om hur du på ett säkert sätt exponerar delade tjänster för ekrar som du inte kan distribuera direkt i en virtuell hubb.
Arkitektur
Ett tillägg för virtuell hubb är ett dedikerat virtuellt ekernätverk som är anslutet till den virtuella hubben och som exponerar en enda delad tjänst för arbetsbelastnings ekrar. Du kan använda ett tillägg för virtuell hubb för att tillhandahålla nätverksanslutning till din delade resurs för många arbetsbelastningsekrar. DNS-resurser är ett exempel på den här användningen. Du kan också använda ett tillägg för att innehålla en centraliserad resurs som kräver anslutning till många mål i ekrarna. En centraliserad Azure Bastion-distribution är ett exempel på den här användningen.
Bild 1: Hubbtilläggsmönster
Ladda ned en Visio-fil med den här arkitekturen.
- Tillägg för virtuell hubb för Azure Bastion. Med det här tillägget kan du ansluta till virtuella datorer i ekernätverk.
- Tillägg för virtuell hubb för DNS. Med det här tillägget kan du exponera privata DNS-zonposter för arbetsbelastningar i ekernätverk.
Att tänka på
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Tillförlitlighet
Ett tillägg för virtuell hubb anses ofta vara affärskritiskt eftersom det fungerar som en kärnfunktion i nätverket. Tillägg bör anpassas efter affärskrav, ha strategier för haverireducering och skalas efter ekrarnas behov.
Dina standardrutiner bör omfatta återhämtningstestning och tillförlitlighetsövervakning av alla tillägg. Dessa procedurer bör verifiera åtkomst- och dataflödeskrav. Varje tillägg bör ha en meningsfull hälsomodell.
Var tydlig med dina servicenivåmål (SLO) för det här tillägget och mät tillförlitligheten mot det korrekt. Förstå Azure-serviceavtalet (SLA) och supportkraven för varje enskild komponent i tillägget. Den här kunskapen hjälper dig att ange taket för ditt mål-SLO och förstå de konfigurationer som stöds.
Säkerhet
Nätverksbegränsningar. Även om tillägg ofta används av många ekrar eller behöver åtkomst till många ekrar, kanske de inte behöver åtkomst från eller till alla ekrar. Använd tillgängliga nätverkssäkerhetskontroller som att använda nätverkssäkerhetsgrupper och utgående trafik via din skyddade virtuella hubb där det är möjligt.
Åtkomstkontroll för data och kontrollplan. Följ metodtipsen för alla resurser som distribueras till tillägg, vilket ger minst privilegierad åtkomst till resursernas kontrollplan och alla dataplan.
Kostnadsoptimering
Precis som med alla arbetsbelastningar kontrollerar du att lämpliga SKU-storlekar har valts för tilläggsresurser för att kontrollera kostnaderna. Kontorstid och andra faktorer kan orsaka förutsägbara användningsmönster för vissa tillägg. Förstå mönstren och ge den elasticitet och skalbarhet som passar dem.
Som en delad tjänst har arbetsbelastningsresurserna vanligtvis en relativt lång tjänstcykel i din företagsarkitektur. Överväg att använda kostnadsbesparingar via förköpserbjudanden som Azure-reservationer, prissättning för reserverad kapacitet och Azure-sparplaner.
Driftsäkerhet
Skapa tillägg för virtuella hubbar för att följa principen för enskilt ansvar (SRP). Varje tillägg ska vara för ett enda erbjudande, så kombinera inte orelaterade tjänster i en enda eker. Du kan organisera dina resurser så att varje tillägg finns i en dedikerad resursgrupp för att göra det enklare att hantera Azure-principer och roller.
Du bör etablera dessa tillägg med hjälp av infrastruktur som kod och ha en bygg- och lanseringsprocess som stöder behoven och livscykeln för varje tillägg. Eftersom tillägg ofta är affärskritiska och det är viktigt att ha rigorösa testmetoder och säkra distributionsmetoder för varje tillägg.
Det är viktigt att ha en tydlig förändringskontroll och en kommunikationsplan för företag på plats. Du kan behöva kommunicera med intressenter (arbetsbelastningsägare) om haveriberedskapstest (DR) som du kör, eller eventuell planerad eller oväntad stilleståndstid.
Se till att du har ett stabilt fungerande hälsosystem för dessa resurser. Aktivera lämpliga Azure Diagnostics-inställningar för alla tilläggsresurser och samla in alla telemetri och loggar som du behöver för att förstå hälsotillståndet för arbetsbelastningen. Överväg långsiktig lagring av åtgärdsloggar och mått för att stödja kundsupportinteraktioner under oväntat beteende för det delade tjänsttillägget.
Prestandaeffektivitet
Ett tillägg är en centraliserad tjänst. För att kunna utforma dina skalningsenheter för att hantera belastningsändringar måste du förstå:
- De krav som din organisation ställer på tillägget.
- Kraven för kapacitetsplanering.
- Hur ekrar kommer att växa med tiden.
Om du vill utforma dina skalningsenheter testar och dokumenterar du hur varje komponent i tillägget skalar individuellt, baserat på de mått och tjänstskalningsgränser som finns på plats. Vissa tillägg kan kräva belastningsutjämning över flera instanser för att uppnå det dataflöde som krävs.
Exempelimplementering
Private Link DNS-tillägg: Upprätta ett virtuellt hubbtillägg för DNS beskriver ett Virtual Hub-tillägg som är utformat för att stödja DNS-sökning i en region för Private Link-scenarier.
Nästa steg
Relaterade resurser
- Vad är en privat slutpunkt?
- DNS-konfiguration för privat slutpunkt i Azure
- Private Link och DNS-integrering i stor skala
- Azure Private Link i ett nav-och-ekernätverk
- DNS för lokala resurser och Azure-resurser
- Datalandningszonanslutning för en region
- Använda Azure Private Link för att ansluta nätverk till Azure Monitor
- Azure DNS Private Resolver
- Förbättrad säkerhetsåtkomst till webbappar med flera klientorganisationer från ett lokalt nätverk
- Baslinje med hög tillgänglighet zonredundant webbapp
- Självstudie: Skapa en privat DNS-infrastruktur för slutpunkter med Azure Private Resolver för en lokal arbetsbelastning