W tradycyjnej topologii piasty i szprych z funkcją bring-your-own-networking można całkowicie manipulować siecią wirtualną piasty. Wspólne usługi można wdrożyć w centrum i udostępnić je szprychom obciążeń. Te usługi udostępnione często obejmują takie elementy jak zasoby DNS, niestandardowe urządzenia WUS i usługa Azure Bastion. Jednak w przypadku korzystania z usługi Azure Virtual WAN masz ograniczony dostęp i ograniczenia dotyczące tego, co można zainstalować w koncentratorach wirtualnych.
Aby na przykład zaimplementować integrację usługi Private Link i DNS w tradycyjnej architekturze sieci piasty i szprych, należy utworzyć i połączyć prywatne strefy DNS z siecią piasty. Plan dostępu zdalnego maszyny wirtualnej może obejmować usługę Azure Bastion jako usługę udostępnioną w regionalnym centrum. Możesz również wdrożyć niestandardowe zasoby obliczeniowe, takie jak maszyny wirtualne usługi Active Directory w centrum. Żadne z tych podejść nie jest możliwe w przypadku usługi Virtual WAN.
W tym artykule opisano wzorzec rozszerzenia koncentratora wirtualnego, który zawiera wskazówki dotyczące bezpiecznego uwidaczniania usług udostępnionych szprychom, których nie można wdrożyć bezpośrednio w koncentratonie wirtualnym.
Architektura
Rozszerzenie koncentratora wirtualnego to dedykowana sieć wirtualna szprych połączona z koncentratorem wirtualnym, która uwidacznia pojedynczą usługę udostępnioną szprychom obciążeń. Możesz użyć rozszerzenia koncentratora wirtualnego, aby zapewnić wiele szprych obciążeń, łączność sieciową z udostępnionym zasobem. Zasoby DNS są przykładem tego użycia. Można również użyć rozszerzenia, aby zawierać scentralizowany zasób, który wymaga łączności z wieloma miejscami docelowymi w szprychach. Scentralizowane wdrożenie usługi Azure Bastion jest przykładem tego użycia.
Rysunek 1. Wzorzec rozszerzenia koncentratora
Pobierz plik programu Visio z tą architekturą.
- Rozszerzenie koncentratora wirtualnego dla usługi Azure Bastion. To rozszerzenie umożliwia łączenie się z maszynami wirtualnymi w sieciach szprych.
- Rozszerzenie koncentratora wirtualnego dla systemu DNS. To rozszerzenie umożliwia uwidocznienie wpisów prywatnej strefy DNS na obciążenia w sieciach szprych.
Kwestie wymagające rozważenia
Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.
Niezawodność
Rozszerzenie koncentratora wirtualnego jest często uznawane za krytyczne dla działania firmy, ponieważ obsługuje podstawową funkcję w sieci. Rozszerzenia powinny być zgodne z wymaganiami biznesowymi, mieć strategie ograniczania błędów i skalować z potrzebami szprych.
Standardowe procedury operacyjne powinny obejmować testowanie odporności i monitorowanie niezawodności wszystkich rozszerzeń. Te procedury powinny weryfikować wymagania dotyczące dostępu i przepływności. Każde rozszerzenie powinno mieć znaczący model kondycji.
Należy jasno określić cele poziomu usług (SLO) dla tego rozszerzenia i dokładnie mierzyć jego niezawodność. Zapoznaj się z umową dotyczącą poziomu usług platformy Azure (SLA) i wymaganiami pomocy technicznej dotyczącymi poszczególnych składników w rozszerzeniu. Ta wiedza pomaga ustawić pułap docelowego celu slo i zrozumieć obsługiwane konfiguracje.
Zabezpieczenia
Ograniczenia sieci. Mimo że rozszerzenia są często używane przez wiele szprych lub potrzebują dostępu do wielu szprych, mogą nie potrzebować dostępu z lub do wszystkich szprych. Użyj dostępnych mechanizmów kontroli zabezpieczeń sieci, takich jak używanie sieciowych grup zabezpieczeń i ruch wychodzący przez zabezpieczone centrum wirtualne, jeśli to możliwe.
Kontrola dostępu do płaszczyzny sterowania i danych. Postępuj zgodnie z najlepszymi rozwiązaniami dla wszystkich zasobów wdrożonych w rozszerzeniach, zapewniając najmniej uprzywilejowany dostęp do płaszczyzny sterowania zasobów i wszystkich płaszczyzn danych.
Optymalizacja kosztów
Podobnie jak w przypadku dowolnego obciążenia, upewnij się, że odpowiednie rozmiary jednostek SKU są wybierane dla zasobów rozszerzeń, aby ułatwić kontrolowanie kosztów. Godziny pracy i inne czynniki mogą powodować przewidywalne wzorce użycia dla niektórych rozszerzeń. Poznaj wzorce i zapewniają elastyczność i skalowalność, które mogą je pomieścić.
Jako usługa udostępniona zasoby obciążenia zwykle mają stosunkowo długi cykl roboczy w architekturze przedsiębiorstwa. Rozważ użycie oszczędności kosztów dzięki ofertom przedkupem, takim jak rezerwacje platformy Azure, cennik pojemności zarezerwowanej i plany oszczędności platformy Azure.
Doskonałość operacyjna
Tworzenie rozszerzeń koncentratora wirtualnego w celu przestrzegania zasady odpowiedzialności pojedynczej (SRP). Każde rozszerzenie powinno być przeznaczone dla jednej oferty, więc nie należy łączyć niepowiązanych usług w jednej szprychy. Możesz zorganizować zasoby tak, aby każde rozszerzenie znajdowało się w dedykowanej grupie zasobów, aby ułatwić zarządzanie zasadami i rolami platformy Azure.
Te rozszerzenia należy aprowizować przy użyciu infrastruktury jako kodu i mieć proces kompilacji i wydania, który obsługuje potrzeby i cykl życia każdego rozszerzenia. Ponieważ rozszerzenia są często krytyczne dla działania firmy i ważne jest, aby mieć rygorystyczne metody testowania i bezpieczne praktyki wdrażania dla każdego rozszerzenia.
Niezbędna jest wyraźna kontrola zmian i plan komunikacji przedsiębiorstwa. Może być konieczne komunikowanie się z uczestnikami projektu (właścicielami obciążeń) na temat próbnego odzyskiwania po awarii (DR), które wykonujesz, lub wszelkich planowanych lub nieoczekiwanych przestojów.
Upewnij się, że masz solidny system kondycji operacyjnej dla tych zasobów. Włącz odpowiednie ustawienia Diagnostyka Azure dla wszystkich zasobów rozszerzenia i przechwyć wszystkie dane telemetryczne i dzienniki potrzebne do zrozumienia kondycji obciążenia. Rozważ długoterminowe przechowywanie dzienników operacji i metryk, aby obsługiwać interakcje pomocy technicznej klienta podczas nieoczekiwanego zachowania rozszerzenia usługi udostępnionej.
Efektywność wydajności
Rozszerzenie to scentralizowana usługa. Aby zaprojektować jednostki skalowania w celu obsługi zmian obciążenia, należy zrozumieć:
- Wymagania organizacji dotyczące rozszerzenia.
- Wymagania dotyczące planowania pojemności.
- Jak szprychy rosną z upływem czasu.
Aby zaprojektować jednostki skalowania, przetestuj i udokumentowaj sposób skalowania poszczególnych składników w rozszerzeniu na podstawie metryk i limitów skalowania usług, które są spełnione. Niektóre rozszerzenia mogą wymagać równoważenia obciążenia w wielu wystąpieniach w celu osiągnięcia wymaganej przepływności.
Przykładowa implementacja
Rozszerzenie DNS usługi Private Link: Ustanowienie rozszerzenia koncentratora wirtualnego dla systemu DNS opisuje rozszerzenie koncentratora wirtualnego przeznaczone do obsługi wyszukiwania DNS w jednym regionie dla scenariuszy usługi Private Link.
Następne kroki
Powiązane zasoby
- Co to jest prywatny punkt końcowy?
- Konfiguracja usługi DNS prywatnego punktu końcowego platformy Azure
- Integracja usługi Private Link i DNS na dużą skalę
- Usługa Azure Private Link w sieci piasty i szprych
- Usługa DNS dla zasobów lokalnych i zasobów platformy Azure
- Łączność strefy docelowej danych z jednym regionem
- Używanie usługi Azure Private Link do łączenia sieci z usługą Azure Monitor
- Azure DNS Private Resolver
- Ulepszony dostęp zabezpieczeń do wielodostępnych aplikacji internetowych z sieci lokalnej
- Podstawowa aplikacja internetowa strefowo nadmiarowa o wysokiej dostępności
- Samouczek: tworzenie infrastruktury DNS prywatnego punktu końcowego za pomocą usługi Azure Private Resolver dla obciążenia lokalnego