In einer herkömmlichen Hub-Spoke-Topologie mit Bring-Your-Own-Networking können Sie das virtuelle Hubnetzwerk vollständig bearbeiten. Sie können allgemeine Dienste im Hub bereitstellen und für Workload-Spokes verfügbar machen. Zu diesen freigegebenen Diensten zählen häufig DNS-Ressourcen, benutzerdefinierte NVAs und Azure Bastion. Wenn Sie Azure Virtual WAN verwenden, haben Sie jedoch eingeschränkten Zugriff und es gelten Einschränkungen für die Installation auf den virtuellen Hubs.
Um beispielsweise Private Link- und DNS-Integration in einer herkömmlichen Hub-Spoke-Netzwerkarchitektur zu implementieren, würden Sie private DNS-Zonen erstellen und mit dem Hubnetzwerk verknüpfen. Ihr Plan für den Remotezugriff virtueller Computer kann Azure Bastion als gemeinsam genutzten Dienst im regionalen Hub enthalten. Sie können auch benutzerdefinierte Computeressourcen bereitstellen, z. B. Active Directory-VMs im Hub. Keiner dieser Ansätze ist mit Virtual WAN möglich.
In diesem Artikel wird das virtuelle Hub-Erweiterungsmuster beschrieben, das Anleitungen zum sicheren Verfügbarmachen von freigegebenen Diensten für Spokes enthält, die nicht direkt in einem virtuellen Hub bereitgestellt werden können.
Aufbau
Eine virtuelle Huberweiterung ist ein dediziertes virtuelles Spoke-Netzwerk, das mit dem virtuellen Hub verbunden ist und einen einzelnen freigegebenen Dienst für Workload-Spokes verfügbar macht. Sie können eine virtuelle Huberweiterung verwenden, um für viele Workload-Spokes Netzwerkkonnektivität mit Ihrer freigegebenen Ressource bereitzustellen. DNS-Ressourcen sind ein Beispiel für diese Verwendung. Eine Erweiterung kann auch eine zentralisierte Ressource enthalten, die Konnektivität mit vielen Zielen in den Spokes erfordert. Eine zentralisierte Azure Bastion-Bereitstellung ist ein Beispiel für diese Verwendung.
Abbildung 1: Hub-Erweiterungsmuster
Laden Sie eine Visio-Datei dieser Architektur herunter.
- Virtuelle Hub-Erweiterung für Azure Bastion. Mit dieser Erweiterung können Sie eine Verbindung mit virtuellen Computern in Spoke-Netzwerken herstellen.
- Virtuelle Hub-Erweiterung für DNS. Mit dieser Erweiterung können Sie Einträge für private DNS-Zonen für Workloads in Spoke-Netzwerken verfügbar machen.
Überlegungen
Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
Zuverlässigkeit
Eine virtuelle Hub-Erweiterung wird häufig als geschäftskritisch eingestuft, da sie eine Kernfunktion innerhalb des Netzwerks bedient. Erweiterungen sollten sich an geschäftlichen Anforderungen orientieren, Strategien zur Fehlerminderung aufweisen und mit den Anforderungen der Spokes skaliert werden.
Ihre Standardbetriebsverfahren sollten Resilienztests und Zuverlässigkeitsüberwachung für alle Erweiterungen umfassen. Diese Verfahren sollten die Zugriffs- und Durchsatzanforderungen überprüfen. Jede Erweiterung sollte über ein aussagekräftiges Integritätsmodell verfügen.
Informieren Sie sich über Ihre Servicelevelziele (Service Level Objectives, SLO) für diese Erweiterung, und messen Sie die Zuverlässigkeit genau. Machen Sie sich mit der Azure Vereinbarung zum Servicelevel (SLA) und den Supportanforderungen für jede einzelne Komponente in der Erweiterung vertraut. Dieses Wissen hilft Ihnen dabei, die Obergrenze für Ihre geplanten SLO festzulegen und die unterstützten Konfigurationen zu verstehen.
Sicherheit
Netzwerkeinschränkungen. Obwohl Erweiterungen häufig von vielen Spokes verwendet werden oder Zugriff auf viele Spokes benötigen, benötigen sie möglicherweise keinen Zugriff von oder auf alle Spokes. Verwenden Sie nach Möglichkeit verfügbare Netzwerksicherheitskontrollen, z. B. Netzwerksicherheitsgruppen und ausgehenden Datenverkehr über Ihren geschützten virtuellen Hub.
Zugriffssteuerung auf Daten- und Steuerungsebene. Befolgen Sie bewährte Methoden für alle Ressourcen, die in Erweiterungen bereitgestellt werden, und gewähren Sie den am wenigsten privilegierten Zugriff auf die Steuerungsebene der Ressourcen und alle Datenebenen.
Kostenoptimierung
Stellen Sie wie bei jeder Workload sicher, dass für Erweiterungsressourcen geeignete SKU-Größen ausgewählt werden, um die Kosten zu steuern. Geschäftszeiten und andere Faktoren können zu vorhersagbaren Nutzungsmustern für einige Erweiterungen führen. Machen Sie sich mit den Mustern vertraut und bieten Sie die Flexibilität und Skalierbarkeit, die sie aufnehmen können.
Als gemeinsam genutzter Dienst weisen die Workloadressourcen in der Regel einen relativ langen Arbeitszyklus in Ihrer Unternehmensarchitektur auf. Erwägen Sie die Nutzung von Kosteneinsparungen durch Vorkaufsangebote wie Azure-Reservierungen, Preise für reservierte Kapazität und Azure-Sparpläne.
Optimaler Betrieb
Erstellen Sie virtuelle Hub-Erweiterungen, um das Prinzip der alleinigen Verantwortung (Single Responsibility Principle, SRP) einzuhalten. Jede Erweiterung sollte für ein einzelnes Angebot verwendet werden. Kombinieren Sie also keine nicht verwandten Dienste in einem einzigen Spoke. Sie können Ihre Ressourcen so organisieren, dass sich jede Erweiterung in einer dedizierten Ressourcengruppe befindet, um die Verwaltung von Azure-Richtlinien und -Rollen zu vereinfachen.
Sie sollten diese Erweiterungen mithilfe von Infrastructure-as-Code bereitstellen und über einen Build- und Releaseprozess verfügen, der die Anforderungen und den Lebenszyklus jeder Erweiterung unterstützt. Da Erweiterungen häufig geschäftskritisch sind, ist es wichtig, über strenge Testmethoden und sichere Bereitstellungsmethoden für jede Erweiterung zu verfügen.
Ein klarer Änderungs- und Kommunikationsplan für Unternehmen ist von entscheidender Bedeutung. Möglicherweise müssen Sie mit den Beteiligten (Workloadbesitzern) über Drills zur Notfallwiederherstellung (DR) oder über geplante oder unerwartete Ausfallzeiten sprechen.
Stellen Sie sicher, dass Sie über ein solides betriebliches Integritätssystem für diese Ressourcen verfügen. Aktivieren Sie entsprechende Azure-Diagnose-Einstellungen für alle Erweiterungsressourcen, und erfassen Sie alle Telemetriedaten und Protokolle, die Sie benötigen, um die Integrität der Workload zu verstehen. Ziehen Sie die langfristige Speicherung von Vorgangsprotokollen und Metriken in Betracht, um Kundensupportinteraktionen bei unerwartetem Verhalten der freigegebenen Diensterweiterung zu unterstützen.
Effiziente Leistung
Eine Erweiterung ist ein zentralisierter Dienst. Um Ihre Skalierungseinheiten so zu entwerfen, dass sie Laständerungen verarbeiten können, müssen Sie Folgendes verstehen:
- Die Anforderungen, die Ihre Organisation an die Erweiterung stellt.
- Die Anforderungen an die Kapazitätsplanung.
- Wie Spokes mit der Zeit anwachsen werden.
Um Ihre Skalierungseinheiten zu entwerfen, testen und dokumentieren Sie, wie jede Komponente in Ihrer Erweiterung basierend auf den geltenden Metriken und Dienstskalierungsgrenzwerten einzeln skaliert wird. Einige Erweiterungen erfordern möglicherweise einen Lastenausgleich über mehrere Instanzen, um den erforderlichen Durchsatz zu erreichen.
Beispielimplementierung
Private Link DNS-Erweiterung: Einrichten einer virtuellen Hub-Erweiterung für DNS beschreibt eine virtuelle Hub-Erweiterung, die die DNS-Suche in einer einzelnen Region für Private Link-Szenarien unterstützt.
Nächste Schritte
Zugehörige Ressourcen
- Was ist ein privater Endpunkt?
- DNS-Konfiguration für private Azure-Endpunkte
- Private Link und DNS-Integration im großen Stil
- Azure Private Link in einem Hub-and-Spoke-Netzwerk
- DNS für lokale und Azure-Ressourcen
- Datenkonnektivität der Zielzone in einer einzelnen Region
- Verwenden von Azure Private Link zum Verbinden von Netzwerken mit Azure Monitor
- Azure DNS Private Resolver
- Zugriff mit höherer Sicherheit auf mehrinstanzenfähige Web-Apps aus einem lokalen Netzwerk
- Baseline für hochverfügbare zonenredundante Webanwendung
- Tutorial: Erstellen einer DNS-Infrastruktur für privaten Endpunkt mit Azure DNS Private Resolver für eine lokale Workload