此參考架構會使用客戶管理的中樞基礎結構元件來實作中樞輪輻網路模式。 如需Microsoft受控中樞基礎結構解決方案,請參閱 使用 Azure 虛擬 WAN 的中樞輪輻網路拓撲。
架構
下載此架構的 Visio 檔案。
工作流程
此中樞輪輻網路組態會使用下列架構元素:
中樞虛擬網路。 中樞虛擬網路會裝載共用的 Azure 服務。 裝載於輪輻虛擬網路中的工作負載可以使用這些服務。 中樞虛擬網路是跨單位網路的連線中心點。
輪輻虛擬網路。 輪輻虛擬網路會隔離和管理每個輪輻中的工作負載。 每個工作負載都可以包含多層,其中有多個子網透過 Azure 負載平衡器連線。 輪輻可以存在於不同的訂用帳戶中,並代表不同的環境,例如生產和非生產環境。
虛擬網路連線。 此架構會使用 對等互連連線 或 連線群組來連線虛擬網路。 對等互連連線和連線群組是虛擬網路之間的非可轉移、低延遲連線。 對等互連或連線的虛擬網路可以透過 Azure 骨幹交換流量,而不需要路由器。 Azure 虛擬網絡 管理員會建立和管理網路群組及其連線。
Azure Bastion 主機。 Azure Bastion 可讓您使用瀏覽器,從 Azure 入口網站 到虛擬機器 (VM) 提供安全的連線。 部署在 Azure 虛擬網路內的 Azure Bastion 主機可以存取該虛擬網路或聯機虛擬網路中的 VM。
Azure 防火牆。 Azure 防火牆 受控防火牆實例存在於自己的子網中。
Azure VPN 閘道 或 Azure ExpressRoute 閘道。 虛擬網路閘道可讓虛擬網路連線到虛擬專用網 (VPN) 裝置或 Azure ExpressRoute 線路。 該閘道提供跨單位網路連線能力。 如需詳細資訊,請參閱使用 VPN 將內部部署網路連線至Microsoft Azure 虛擬網路和擴充內部部署網路。
VPN 裝置。 VPN 裝置或服務提供與跨單位網路的外部連線。 VPN 裝置可以是硬體裝置或軟體解決方案,例如 Windows Server 中的路由和遠端存取服務 (RRAS)。 如需詳細資訊,請參閱 已驗證的 VPN 裝置和裝置設定指南。
元件
虛擬網絡 管理員是一項管理服務,可協助您跨 Azure 訂用帳戶、區域和租用戶大規模分組、設定、部署和管理虛擬網路。 透過 虛擬網絡 Manager,您可以定義虛擬網路群組,以識別並以邏輯方式分割虛擬網路。 您可以一次定義及套用網路群組中所有虛擬網路的連線和安全性設定。
Azure 虛擬網路是私人網路在 Azure 中的基本建置組塊。 虛擬網絡 可讓許多 Azure 資源,例如 Azure VM,安全地彼此通訊、跨單位網路和因特網。
Azure Bastion 是完全受控的服務,可提供更安全且順暢的遠端桌面通訊協定 (RDP) 和安全殼層通訊協定 (SSH) 存取 VM,而不會公開其公用 IP 位址。
Azure 防火牆 是受控雲端式網路安全性服務,可保護 虛擬網絡 資源。 此具狀態防火牆服務具有內建的高可用性和不受限制的雲端延展性,可協助您跨訂用帳戶和虛擬網路建立、強制執行和記錄應用程式和網路連線原則。
VPN 閘道 是一種特定的虛擬網路閘道類型,可透過公用因特網在虛擬網路與內部部署位置之間傳送加密流量。 您也可以使用 VPN 閘道,透過 Microsoft 網路來傳送 Azure 虛擬網路之間的已加密流量。
Azure 監視器 可以收集、分析和處理來自跨單位環境的遙測數據,包括 Azure 和內部部署。 Azure 監視器可協助您最大化應用程式的效能和可用性,並在數秒內主動找出問題。
案例詳細資料
此參考架構會實作中樞輪輻網路模式,其中中樞虛擬網路會作為連線到許多輪輻虛擬網路的中心點。 輪輻虛擬網路會與中樞連線,並可用來隔離工作負載。 您也可以使用中樞連線到內部部署網路,來啟用跨單位案例。
此架構描述具有客戶自控中樞基礎結構元件的網路模式。 如需Microsoft受控中樞基礎結構解決方案,請參閱 使用 Azure 虛擬 WAN 的中樞輪輻網路拓撲。
使用中樞和輪輻設定的優點包括:
- 成本節省
- 克服訂用帳戶限制
- 工作負載隔離
如需詳細資訊,請參閱 中樞和輪輻網路拓撲。
潛在使用案例
中樞和輪輻架構的一般用途包括下列工作負載:
- 有數個需要共用服務的環境。 例如,工作負載可能會有開發、測試和生產環境。 共用服務可能包括 DNS 識別碼、網路時間通訊協定(NTP)或 Active Directory 網域服務(AD DS)。 共用服務會放在中樞虛擬網路中,而每個環境都會部署到不同的輪輻,以維持隔離。
- 不需要彼此連線,但需要共用服務的存取權。
- 需要集中控制安全性,例如中樞中具有隔離工作負載管理的周邊網路(也稱為 DMZ)防火牆。
- 需要集中控制連線能力,例如特定環境或工作負載輪輻之間的選擇性連線或隔離。
建議
下列建議適用於大部分案例。 除非您有覆寫這些建議的特定需求,否則請遵循這些建議。
資源群組、訂用帳戶和區域
此範例解決方案會使用單一 Azure 資源群組。 您也可以在不同的資源群組和訂用帳戶中實作中樞和每個輪輻。
當您將不同訂用帳戶中的虛擬網路對等互連時,您可以將訂用帳戶與相同或不同的Microsoft Entra 租用戶產生關聯。 這種彈性可讓您分散管理每個工作負載,同時維護中樞中的共享服務。 請參閱 建立虛擬網路對等互連 - Resource Manager、不同的訂用帳戶和Microsoft Entra 租使用者。
一般情況下,最好每個區域至少有一個中樞。 此設定有助於避免單一失敗點,例如避免區域 A 資源因區域 B 中的中斷而影響網路層級。
虛擬網路子網路
下列建議概述如何在虛擬網路上設定子網。
GatewaySubnet
虛擬網路閘道需要此子網。 如果您不需要跨單位網路連線,也可以使用不含網關的中樞輪輻拓撲。
建立名為 GatewaySubnet 且地址範圍至少 /27
為 的子網。 位址 /27
範圍提供足夠的子網延展性設定選項,以防止未來達到閘道大小限制。 如需設定閘道的詳細資訊,請參閱 使用 VPN 閘道的混合式網路。
為了獲得更高的可用性,您可以使用 ExpressRoute 加上用於故障轉移的 VPN。 請參閱 使用 ExpressRoute 搭配 VPN 故障轉移將內部部署網路連線至 Azure。
AzureFirewallSubnet
建立名為 AzureFirewallSubnet 且地址範圍至少 /26
為 的子網。 無論縮放比例為何,位址範圍都是建議的大小, /26
並涵蓋任何未來的大小限制。 此子網不支持網路安全組 (NSG)。
Azure 防火牆 需要此子網。 如果您使用合作夥伴網路虛擬設備 (NVA),請遵循其網路需求。
輪輻網路連線能力
虛擬網路對等互連或連線群組是虛擬網路之間的非可轉移關聯性。 如果您需要輪輻虛擬網路彼此連線,請在這些輪輻之間新增對等互連連線,或將它們放在相同的網路群組中。
透過 Azure 防火牆 或 NVA 的輪輻連線
每個虛擬網路的虛擬網路對等互連數目有限。 如果您有許多輪輻需要彼此連線,則可能會用盡對等互連連線。 線上的群組也有限制。 如需詳細資訊,請參閱 網路限制 和 聯機的群組限制。
在此案例中,請考慮使用使用者定義路由 (UDR) 強制將輪輻流量傳送至 Azure 防火牆 或其他作為中樞路由器的 NVA。 此變更允許支點彼此連線。 若要支援此組態,您必須在啟用強制通道組態的情況下實作 Azure 防火牆。 如需詳細資訊,請參閱 Azure 防火牆強制通道。
此架構設計中的拓撲有助於輸出流程。 雖然 Azure 防火牆主要用於輸出安全性,但它也可以是輸入點。 如需有關中樞 NVA 輸入路由的其他考量事項,請參閱虛擬網路的防火牆和應用程式閘道。
透過中樞網關聯機到遠端網路的輪輻連線
若要設定輪輻以透過中樞閘道與遠端網路通訊,您可以使用虛擬網路對等互連或連線的網路群組。
若要使用虛擬網路對等互連,請在虛擬網路 對等互連 設定中:
- 將中樞中的對等互連連線設定為 [允許 閘道傳輸]。
- 將每個輪輻中的對等互連連線設定為 使用遠端虛擬網路的閘道。
- 將所有對等互連連線設定為 [允許 轉送的流量]。
如需詳細資訊,請參閱 建立虛擬網路對等互連。
若要使用連線的網路群組:
- 在 虛擬網絡 Manager 中,建立網路群組並新增成員虛擬網路。
- 建立中樞和輪輻聯機設定。
- 針對輪輻網络群組,選取 [中樞] 作為網關。
如需詳細資訊,請參閱使用 Azure 虛擬網絡 Manager 建立中樞和輪輻拓撲。
輪輻網路通訊
有兩個主要方式可讓輪輻虛擬網路彼此通訊:
- 透過 NVA 進行通訊,例如防火牆和路由器。 此方法會產生兩個輪輻之間的躍點。
- 使用虛擬網路對等互連或 虛擬網絡 管理員直接連線輪輻之間的通訊。 此方法不會造成兩個輪輻之間的躍點,因此建議將延遲降到最低。
透過 NVA 通訊
如果您需要輪輻之間的連線,請考慮在中樞內部署 Azure 防火牆 或其他 NVA。 然後建立路由,將輪輻的流量轉送至防火牆或 NVA,然後路由至第二個輪輻。 在此案例中,您必須設定對等互連連線以允許轉送的流量。
您也可以使用 VPN 閘道來路由輪輻之間的流量,雖然此選項會影響延遲和輸送量。 如需設定詳細數據,請參閱 設定虛擬網路對等互連的 VPN 閘道傳輸。
評估您在中樞中共用的服務,以確保中樞會調整為較大的輪輻數目。 例如,如果您的中樞提供防火牆服務,當您新增多個輪輻時,請考慮防火牆解決方案的頻寬限制。 您可以將其中一些共享服務移至第二層中樞。
輪輻網路之間的直接通訊
若要在輪輻虛擬網路之間直接連線,而不周遊中樞虛擬網路,您可以在輪輻之間建立對等互連連線,或啟用網路群組的直接連線。 最好限制對等互連或直接連線到屬於相同環境和工作負載的輪輻虛擬網路。
當您使用 虛擬網絡 Manager 時,您可以手動將輪輻虛擬網路新增至網路群組,或根據您定義的條件自動新增網路。 如需詳細資訊,請參閱 輪輻對輪輻網路。
下圖說明如何使用 虛擬網絡 Manager 進行輪輻之間的直接連線。
管理建議
若要集中管理連線和安全性控制,請使用 虛擬網絡 Manager 來建立新的中樞和輪輻虛擬網路拓撲,或將現有拓撲上線。 使用 虛擬網絡 Manager 可確保您的中樞和輪輻網路拓撲已準備好跨多個訂用帳戶、管理群組和區域進行大規模的未來成長。
虛擬網絡 管理員使用案例的範例包括:
- 對業務單位或應用程式小組等群組的輪輻虛擬網路管理進行民主化。 民主化可能會導致大量的虛擬網路對虛擬網路連線和網路安全性規則需求。
- 標準化多個 Azure 區域中的多個復本架構,以確保應用程式的全域使用量。
若要確保統一的連線和網路安全規則,您可以使用 網路群組 ,將相同Microsoft Entra 租使用者下任何訂用帳戶、管理群組或區域中的虛擬網路分組。 您可以透過動態或靜態成員資格指派,自動或手動將虛擬網路上線至網路群組。
您可以使用範圍定義 虛擬網絡 管理員所管理的虛擬網路可探索性。 這項功能可為所需的網路管理員實例提供彈性,以進一步管理虛擬網路群組的民主化。
若要將相同網路群組中的輪輻虛擬網路彼此連線,請使用 虛擬網絡 Manager 來實作虛擬網路對等互連或直接連線。 使用全域網格選項,將網格直接連線延伸至不同區域中的輪輻網路。 下圖顯示區域之間的全域網格連線。
您可以將網路群組內的虛擬網路與一組基準安全性系統管理員規則產生關聯。 網路安全組安全性系統管理員規則可防止輪輻虛擬網路擁有者覆寫基準安全性規則,同時讓他們獨立新增自己的安全性規則集和 NSG。 如需在中樞和輪輻拓撲中使用安全性系統管理員規則的範例,請參閱 教學課程:建立安全的中樞和輪輻網路。
為了協助控制網路群組、連線和安全性規則的推出,虛擬網絡 Manager 組態部署可協助您安全地釋放中樞和輪輻環境的潛在重大設定變更。 如需詳細資訊,請參閱 Azure 虛擬網絡 Manager 中的設定部署。
若要開始使用 虛擬網絡 Manager,請參閱使用 Azure 虛擬網絡 Manager 建立中樞和輪輻拓撲。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
若要確保安全性規則的基準集,請務必將安全性管理規則與網路群組中的虛擬網路產生關聯。 安全性系統管理員規則優先於 NSG 規則之前評估。 如同 NSG 規則,安全性管理員規則支援優先順序、服務標籤和 L3-L4 通訊協定。 如需詳細資訊,請參閱 虛擬網絡 Manager 中的安全性系統管理員規則。
使用 虛擬網絡 管理員部署,以利控制對網路安全組安全性規則的潛在重大變更推出。
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
成本最佳化
成本優化是減少不必要的費用並提升營運效率的方法。 如需詳細資訊,請參閱成本最佳化支柱的概觀。
當您部署和管理中樞和輪輻網路時,請考慮下列成本相關因素。 如需詳細資訊,請參閱 虛擬網路定價。
Azure 防火牆 成本
此架構會在中樞網路中部署 Azure 防火牆 實例。 使用 Azure 防火牆 部署做為多個工作負載所耗用的共享解決方案,相較於其他 NVA,可以大幅節省雲端成本。 如需詳細資訊,請參閱 Azure 防火牆 與網路虛擬設備。
若要有效地使用所有已部署的資源,請選擇正確的 Azure 防火牆 大小。 決定您需要哪些功能,以及哪一層最適合您目前的工作負載集。 若要瞭解可用的 Azure 防火牆 SKU,請參閱什麼是 Azure 防火牆?
私人IP位址成本
您可以使用私人IP位址,在對等互連的虛擬網路之間,或在連線群組中的網路之間路由傳送流量。 適用下列成本考慮:
- 輸入和輸出流量會在對等互連或已連線網路的兩端收費。 例如,從區域 1 的虛擬網路到區域 2 中另一個虛擬網路的數據傳輸會產生區域 1 的輸出傳輸速率,以及區域 2 的輸入速率。
- 不同的區域有不同的傳輸速率。
根據對等互連需求規劃 IP 位址 ,並確定地址空間不會在跨跨單位位置和 Azure 位置重疊。
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運支柱的概觀 (部分機器翻譯)。
使用 Azure 網路監看員 透過下列工具監視和疑難解答網路元件:
- 使用分析會顯示虛擬網路中產生最多流量的系統。 您可以在瓶頸變成問題之前,以可視化方式識別瓶頸。
- 網路 效能監視器 監視ExpressRoute線路的相關信息。
- VPN 診斷可協助針對將應用程式連線至內部部署使用者的站對站 VPN 連線進行疑難解答。
也請考慮啟用 Azure 防火牆 診斷記錄,以深入瞭解 DNS 要求和記錄中的允許/拒絕結果。
部署此案例
此部署包含一個中樞虛擬網路和兩個連線的輪輻,也會部署 Azure 防火牆 實例和 Azure Bastion 主機。 或者,部署可以在第一個輪輻網路和 VPN 閘道中包含 VM。
您可以選擇虛擬網路對等互連或 虛擬網絡 管理員連線群組,以建立網路連線。 每個方法都有數個部署選項。
使用虛擬網路對等互連
執行下列命令,以在部署區域中建立名為
hub-spoke
eastus
的資源群組。 選取 [ 試用] 以使用內嵌殼層。az group create --name hub-spoke --location eastus
執行下列命令以下載 Bicep 範本。
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/bicep/main.bicep > main.bicep
執行下列命令來部署中樞和輪輻網路組態、中樞與輪輻之間的虛擬網路對等互連,以及 Azure Bastion 主機。 出現提示時,請輸入使用者名稱和密碼。 您可以使用此使用者名稱和密碼來存取輪輻網路中 VM。
az deployment group create --resource-group hub-spoke --template-file main.bicep
如需詳細資訊和額外的部署選項,請參閱部署此解決方案的 中樞和輪輻 ARM 和 Bicep 範本 。
使用 虛擬網絡 管理員連線群組
執行下列命令來建立部署的資源群組。 選取 [ 試用] 以使用內嵌殼層。
az group create --name hub-spoke --location eastus
執行下列命令以下載 Bicep 範本。
curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/main.bicep > main.bicep
執行下列命令,將所有必要的模組下載到新的目錄。
mkdir modules curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnm.bicep > modules/avnm.bicep curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/avnmDeploymentScript.bicep > modules/avnmDeploymentScript.bicep curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/hub.bicep > modules/hub.bicep curl https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke-connected-group/bicep/modules/spoke.bicep > modules/spoke.bicep
執行下列命令來部署中樞和輪輻網路組態、中樞與輪輻之間的虛擬網路連線,以及 Bastion 主機。 出現提示時,請輸入使用者名稱和密碼。 您可以使用此使用者名稱和密碼來存取輪輻網路中 VM。
az deployment group create --resource-group hub-spoke --template-file main.bicep
如需詳細資訊和額外的部署選項,請參閱部署此解決方案的 中樞和輪輻 ARM 和 Bicep 範本 。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
Alejandra Palacios |資深客戶工程師
其他投稿人:
- 馬修·布拉茨春 |客戶工程師
- Jay Li |資深產品經理
- Telmo Sampaio |Principal Service Engineering Manager
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
若要瞭解安全虛擬中樞以及 Azure 防火牆 管理員設定的相關安全性和路由原則,請參閱什麼是安全的虛擬中樞?
中樞輪輻網路拓撲中的中樞是 Azure 登陸區域中聯機訂用帳戶的主要元件。 如需在 Azure 中建置大規模網路的詳細資訊,以及由客戶或Microsoft所管理的路由和安全性,請參閱 定義 Azure 網路拓撲。
相關資源
探索下列相關架構: