中樞和輪輻網路拓撲
中樞和輪輻 是一種網路模型,可有效率地管理常見的通訊或安全性需求。 它也有助於避免 Azure 訂用帳戶限制。 此模型可解決下列考慮:
節省成本和有效率的管理: 將多個工作負載共用的服務集中化,例如網路虛擬設備 (NVA) 和 DNS 伺服器。 使用服務的單一位置,IT 可以將備援資源和管理工作降到最低。
克服訂用帳戶限制: 大型雲端式工作負載可能需要使用比單一 Azure 訂用帳戶所包含的更多資源。 將來自不同訂用帳戶的工作負載虛擬網路對等互連到中央中樞可以克服這些限制。 如需詳細資訊,請參閱 Azure 訂用帳戶限制。
為了區分考慮: 您可以在中央 IT 小組和工作負載小組之間部署個別工作負載。
較小的雲端資產可能無法受益於此模型所提供的新增結構和功能。 但是,如果上述任何考慮都列出,較大的雲端採用工作應考慮實作中樞和輪輻網路架構。
概觀
圖 1:中樞和輪輻網路拓撲的範例。
如下圖所示,Azure 支援 兩種類型的中樞和輪輻設計。 第一種類型支援通訊、共用資源和集中式安全策略。 此類型會標示為 圖表中的 VNet 中樞 。 第二種類型是以 Azure 虛擬 WAN 為基礎,其標示為 圖表中的虛擬 WAN 。 此類型適用於大規模分支對分支和分支對 Azure 通訊。
中樞是一個中央網路區域,可控制及檢查區域之間的輸入或輸出流量:因特網、內部部署和輪輻。 中樞和輪輻拓撲可讓您的IT部門在中央位置強制執行安全策略的有效方式。 它也會降低設定錯誤和暴露的可能性。
中樞通常包含輪輻取用的一般服務元件。 常見中央服務的範例包括:
- 如果未 使用 Azure DNS,DNS 服務會解析輪輻中的工作負載命名,以存取內部部署和因特網上的資源。
- 公鑰基礎結構會針對工作負載實作單一登錄。
- TCP 和 UDP 流量會控制輪輻網路區域與因特網之間的流量。
- 流量會在輪輻與內部部署之間控制。
- 視需要控制一個輪輻與另一個輪輻之間的流程。
您可以使用共用中樞基礎結構來支援多個輪輻,將備援降到最低、簡化管理,並降低整體成本。
每個輪輻的角色可以是裝載不同類型的工作負載。 輪輻也會為相同工作負載的可重複部署提供模組化方法。 範例包括開發/測試、使用者驗收測試、預備和生產環境。
輪輻也可以隔離並啟用組織內的不同群組。 例如 Azure DevOps 群組。 在輪輻內,可以部署基本工作負載或多層式工作負載,並控制層之間的流量。
上圖中顯示的 應用程式閘道 可以與它為更好的管理和規模服務的應用程式進行輪輻。 不過,公司原則可能會決定您將 應用程式閘道 放在中樞,以進行集中式管理和職責隔離。
訂用帳戶限制和多個中樞
在 Azure 中,每個類型的元件都會部署在 Azure 訂用帳戶中。 不同 Azure 訂用帳戶中的 Azure 元件隔離可以滿足不同企業營運的需求,例如設定不同的存取和授權層級。
單一中樞和輪輻實作可以相應增加為大量的輪輻,但與每個IT系統一樣,都有平臺限制。 中樞部署系結至具有限制和限制的特定 Azure 訂用帳戶。 其中一個範例是虛擬網路對等互連的數目上限。 如需詳細資訊,請參閱 Azure 訂閱與服務限制。
當限制可能是問題時,您可以將模型擴充至中樞和輪輻叢集,以相應增加架構。 您可以使用下列方式,在一或多個 Azure 區域中連接多個中樞:
- 虛擬網路對等互連
- Azure ExpressRoute
- Azure Virtual WAN
- 站對站 VPN
圖 2:中樞和輪輻的叢集。
引進多個中樞會增加系統的成本和管理額外負荷。 此增加只有下列方式才合理:
- 延展性
- 系統限制
- 使用者效能或災害復原的備援和區域複寫
在需要多個中樞的案例中,所有中樞都應該努力提供相同的服務集,以方便操作。
輪輻之間的相互連線
可以在單一輪輻中實作複雜的多維度工作負載。 您可以使用相同虛擬網路中的子網(每一層一個)以及使用網路安全組來篩選流程,來實作多層組態。
架構設計人員可能想要跨數個虛擬網路部署多層式工作負載。 使用虛擬網路對等互連,輪輻可以連線到相同中樞或不同中樞中的其他輪輻。
此案例的典型範例是應用程式處理伺服器位於一個輪輻或虛擬網路的情況。 資料庫會在不同的輪輻或虛擬網路中部署。 在此情況下,可以輕鬆地將輪輻與虛擬網路對等互連互連,並避免透過中樞傳輸。 請仔細檢閱架構和安全性,以確保略過中樞不會略過僅位於中樞的重要安全性或稽核點。
圖 3:輪輻彼此連線和中樞的範例。
輪輻也可以與作為中樞的輪輻互連。 此方法會建立兩層階層:較高層級的輪輻層級 0,會成為階層中較低輪輻或層級 1 的中樞。 輪輻必須轉送流量至中央中樞。 這項需求是讓流量可以在內部部署網路或公用因特網中傳輸至其目的地。 具有兩個中樞層級的架構引進複雜的路由,可移除簡單中樞和輪輻關聯性的優點。
注意
您可以使用 Azure 虛擬網絡 管理員 (AVNM) 來建立新的或上線現有的中樞和輪輻虛擬網路拓撲,以集中管理連線和安全性控制。
線上設定可讓您建立網格或中樞輪輻網路拓撲,包括輪輻虛擬網路之間的直接連線。
安全性設定可讓您定義可在全域層級套用至一或多個網路群組的規則集合。
下一步
既然您已探索網路的最佳作法,請瞭解如何處理身分識別和訪問控制。