你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

中心辐射型网络拓扑

  • 项目

中心辐射型是一种网络模型,可高效管理常见通信或安全要求。 它还有助于避免 Azure 订阅限制。 此模型解决了以下问题:

  • 节省成本和高效管理:将可由多个工作负载共享的服务(例如网络虚拟设备 (NVA) 和 DNS 服务器)集中起来。 使用单个位置提供服务,IT 可以最大程度地减少冗余资源和管理工作。

  • 克服订阅限制:基于云的大型工作负载需要使用的资源可能会多于单个 Azure 订阅中包含的资源。 将来自不同订阅的工作负荷虚拟网络对等互连到一个中央中心可以克服这些限制。 有关详细信息,请参阅 Azure 订阅限制

  • 制定关注点分离: 可以在中心 IT 团队和工作负荷团队之间部署单个工作负荷。

较小的云资产可能无法从此模型提供的增加的结构和功能中受益。 但是,如果前面列出的任何问题都存在,那么更大的云采用工作应考虑实现中心辐射型网络架构。

注意

Azure 参考体系结构站点包含示例模板,可将其用作实现自己的中心辐射型网络的基础:

概述

显示中心辐射型网络拓扑示例的示意图。

图 1:中心辐射型网络拓扑示例。

如图所示,Azure 支持两种类型的中心辐射型设计。 第一种类型支持通信、共享资源和集中式安全策略。 此类型在图中标记为“VNet 中心”。 第二种类型基于 Azure 虚拟 WAN,在图中标记为“虚拟 WAN”。 此类型适用于大规模的分支到分支和分支到 Azure 的通信。

中心是控制和检查各区域(Internet、本地和辐射)之间入口或出口流量的中心网络区域。 中心辐射型拓扑为 IT 部门提供了在中心位置强制实施安全策略的有效方式。 此外,还减少了配置错误和泄密的可能性。

中心通常包含辐射使用的常见服务组件。 下面是常见的中心服务示例:

  • DNS 服务解析分支中工作负载的命名,以便在 Azure DNS 不可用时访问本地和 Internet 上的资源。
  • 公钥基础结构实现工作负载的单一登录。
  • 在分支网络区域与 Internet 之间控制 TCP 和 UDP 流量流。
  • 在分支与本地之间控制流。
  • 根据需要在一个分支与另一个分支之间控制流。

通过使用共享中心基础结构支持多个辐射,可以最大限度地减少冗余,简化管理并降低总体成本。

每个辐射的角色可以是托管不同类型的工作负荷。 辐射还可为同一工作负荷的可重复部署提供模块化方法。 示例包括开发/测试、用户验收测试、暂存和生产。

辐射还可用于隔离和启用组织内部的不同组。 示例包括 Azure DevOps 组。 在辐射内,可以通过各层之间的流量控制部署基本工作负荷或复杂的多层工作负荷。

上图中所示的应用程序网关可通过分支形式与它所服务的应用程序共存,以实现更好的管理和缩放。 但是,企业策略可能会要求将应用程序网关置于中心,以实现集中式管理和职责分离。

订阅限制和多个中心

在 Azure 中,每种类型的组件都部署在 Azure 订阅中。 不同 Azure 订阅中的 Azure 组件的隔离可满足不同业务线的需求,如设置不同级别的访问和授权。

单个中心辐射型实现能通过纵向扩展拥有大量分支,但与每个 IT 系统一样具有平台限制。 中心部署绑定到特定的 Azure 订阅,因此存在相关的约束和限制。 例如,虚拟网络对等互连数目上限。 有关详细信息,请参阅 Azure 订阅和服务限制

如果出现限制问题,可以通过将模型扩展为中心辐射型群集来进一步纵向扩展体系结构。 可通过以下方式连接一个或多个 Azure 区域中的多个中心:

  • 虚拟网络对等
  • Azure ExpressRoute
  • Azure 虚拟 WAN
  • 站点到站点 VPN

显示中心辐射型群集的示意图。

图 2:中心辐射型群集。

引入多个中心会增加系统的成本和管理开销。 此增长仅在出于以下原因时合理:

  • 伸缩性
  • 系统限制
  • 用户性能或灾难恢复的冗余和区域复制

在要求多个中心的情形下,所有中心应力图提供相同的服务集以方便操作。

辐射之间的互连

可以在单个辐射内实现复杂的多层工作负荷。 可以通过在同一虚拟网络中使用子网(每个层一个)并使用网络安全组筛选流来实现多层配置。

架构师可能希望跨多个虚拟网络部署多层工作负载。 使用虚拟网络对等互连,辐射可以连接到同一中心的其他辐射,也可连接到其他中心的其他辐射。

此方案的典型示例是应用程序处理服务器位于一个辐射或虚拟网络中。 数据库部署在另一个辐射或虚拟网络中。 在这种情况下,可以轻松实现辐射与虚拟网络对等互连之间的互连,从而避免通过中心传输。 仔细审查体系结构和安全性,确保绕过中心并不会绕过只存在于中心的重要安全或审核点。

显示各个分支相互连接并连接到一个中心的示例示意图。

图 3:各个分支相互连接并连接到一个中心的示例。

辐射也可以与充当中心的辐射互连。 此方法可以创建一个两层的层次结构:在该层次结构中,较高级别(第 0 层)的分支成为较低级别(第 1 层)分支的中心。 分支需要将流量转发到中心。 此要求是为了使流量可以在本地网络或公共 Internet 中传输到其目标。 具有两层中心的体系结构引入了复杂路由,该路由会消除简单中心辐射关系的优势。

注意

可使用 Azure Virtual Network Manager (AVNM) 新建或加入现有的中心辐射型虚拟网络拓扑,以集中管理连接和安全控制。

可通过连接配置创建网格或中心辐射型网络拓扑,包括分支虚拟网络之间的直接连接。

使用安全配置可以定义一系列规则,可在全局级别将这些规则应用于一个或多个网络组。

后续步骤

现在你已了解网络的最佳做法,接下来了解如何实现标识和访问控制。

标识管理和访问控制安全最佳实践