Modello di estensione dell'hub virtuale

Collegamento privato di Azure
DNS di Azure
Firewall di Azure
Rete WAN virtuale di Azure

In una topologia hub-spoke tradizionale con bring-your-own-networking è possibile modificare completamente la rete virtuale hub. È possibile distribuire servizi comuni nell'hub e renderli disponibili per gli spoke del carico di lavoro. Questi servizi condivisi includono spesso elementi come risorse DNS, appliance virtuali di rete personalizzate e Azure Bastion. Quando si usa Azure rete WAN virtuale, tuttavia, si dispone di limitazioni e accesso limitato su ciò che è possibile installare negli hub virtuali.

Ad esempio, per implementare collegamento privato e l'integrazione DNS in un'architettura di rete hub-spoke tradizionale, è necessario creare e collegare zone DNS private alla rete hub. Il piano per l'accesso remoto delle macchine virtuali potrebbe includere Azure Bastion come servizio condiviso nell'hub regionale. È anche possibile distribuire risorse di calcolo personalizzate, ad esempio macchine virtuali di Active Directory nell'hub. Nessuno di questi approcci è possibile con rete WAN virtuale.

Questo articolo descrive il modello di estensione dell'hub virtuale che fornisce indicazioni su come esporre in modo sicuro i servizi condivisi agli spoke che non è possibile distribuire direttamente in un hub virtuale.

Architettura

Un'estensione dell'hub virtuale è una rete virtuale spoke dedicata connessa all'hub virtuale che espone un singolo servizio condiviso agli spoke del carico di lavoro. È possibile usare un'estensione dell'hub virtuale per fornire, a molti spoke del carico di lavoro, la connettività di rete alla risorsa condivisa. Le risorse DNS sono un esempio di questo uso. È anche possibile usare un'estensione per contenere una risorsa centralizzata che richiede la connettività a molte destinazioni negli spoke. Una distribuzione centralizzata di Azure Bastion è un esempio di questo uso.

Diagramma che mostra il modello di estensione dell'hub.

Figura 1: Modello di estensione dell'hub

Scaricare un file di Visio di questa architettura.

  1. Estensione hub virtuale per Azure Bastion. Questa estensione consente di connettersi alle macchine virtuali nelle reti spoke.
  2. Estensione dell'hub virtuale per DNS. Questa estensione consente di esporre voci di zona DNS private ai carichi di lavoro nelle reti spoke.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Affidabilità

Un'estensione dell'hub virtuale viene spesso considerata business critical, perché serve una funzione di base all'interno della rete. Le estensioni devono essere allineate ai requisiti aziendali, hanno strategie di mitigazione degli errori e scalabilità con le esigenze degli spoke.

Le procedure operative standard devono includere test di resilienza e monitoraggio dell'affidabilità di tutte le estensioni. Queste procedure devono convalidare i requisiti di accesso e velocità effettiva. Ogni estensione deve avere un modello di integrità significativo.

Essere chiari sugli obiettivi del livello di servizio (SLO) per questa estensione e misurare accuratamente l'affidabilità rispetto a esso. Comprendere il contratto di servizio di Azure e i requisiti di supporto per ogni singolo componente nell'estensione. Queste informazioni consentono di impostare il limite massimo per lo SLO di destinazione e di comprendere le configurazioni supportate.

Sicurezza

Restrizioni di rete. Anche se le estensioni vengono spesso usate da molti spoke o hanno bisogno di accesso a molti spoke, potrebbero non avere bisogno di accesso da o a tutti gli spoke. Usare i controlli di sicurezza di rete disponibili, ad esempio l'uso di gruppi di sicurezza di rete e il traffico in uscita attraverso l'hub virtuale protetto, laddove possibile.

Controllo di accesso del piano di controllo e dati. Seguire le procedure consigliate per tutte le risorse distribuite nelle estensioni, fornendo l'accesso con privilegi minimi al piano di controllo delle risorse e ai piani dati.

Ottimizzazione dei costi

Come per qualsiasi carico di lavoro, assicurarsi che siano selezionate le dimensioni di SKU appropriate per le risorse di estensione per controllare i costi. L'orario di ufficio e altri fattori possono causare modelli di utilizzo prevedibili per alcune estensioni. Comprendere i modelli e fornire l'elasticità e la scalabilità che possono essere adattate.

Come servizio condiviso, le risorse del carico di lavoro hanno in genere un ciclo di attività relativamente lungo nell'architettura aziendale. Prendere in considerazione l'uso di risparmi sui costi tramite offerte di preacquisto, ad esempio prenotazioni di Azure, prezzi della capacità riservata e piani di risparmio di Azure.

Eccellenza operativa

Creare estensioni dell'hub virtuale per rispettare il singolo principio di responsabilità (SRP). Ogni estensione deve essere per una singola offerta, quindi non combinare servizi non correlati in un singolo spoke. È possibile organizzare le risorse in modo che ogni estensione risieda in un gruppo di risorse dedicato per semplificare la gestione di criteri e ruoli di Azure.

È consigliabile effettuare il provisioning di queste estensioni usando Infrastructure as Code e avere un processo di compilazione e rilascio che supporti le esigenze e il ciclo di vita di ogni estensione. Poiché le estensioni sono spesso di natura business critical ed è importante disporre di metodi di test rigorosi e procedure di distribuzione sicure per ogni estensione.

Avere un chiaro controllo delle modifiche e un piano di comunicazione aziendale è fondamentale. Potrebbe essere necessario comunicare con gli stakeholder (proprietari del carico di lavoro) sulle esercitazioni sul ripristino di emergenza o con eventuali tempi di inattività pianificati o imprevisti.

Assicurarsi di disporre di un solido sistema di integrità operativo per queste risorse. Abilitare le impostazioni di Diagnostica di Azure appropriate per tutte le risorse di estensione e acquisire tutti i dati di telemetria e i log necessari per comprendere l'integrità del carico di lavoro. Prendere in considerazione l'archiviazione a lungo termine dei log delle operazioni e delle metriche per supportare le interazioni del supporto clienti durante un comportamento imprevisto dell'estensione del servizio condiviso.

Efficienza delle prestazioni

Un'estensione è un servizio centralizzato. Per progettare le unità di scala per gestire le modifiche di carico, è necessario comprendere quanto segue:

  • Le richieste che l'organizzazione effettua sull'estensione.
  • Requisiti per la pianificazione della capacità.
  • Come cresceranno gli spoke nel tempo.

Per progettare le unità di scala, testare e documentare il modo in cui ogni componente dell'estensione viene ridimensionato singolarmente, in base alle metriche e ai limiti di scalabilità dei servizi applicati. Alcune estensioni potrebbero richiedere il bilanciamento del carico tra più istanze per ottenere la velocità effettiva necessaria.

Implementazione di esempio

collegamento privato'estensione DNS: stabilire un'estensione dell'hub virtuale per DNS descrive un'estensione dell'hub virtuale progettata per supportare la ricerca DNS in una singola area per gli scenari di collegamento privato.

Passaggi successivi