Modello di estensione dell'hub virtuale

In una topologia hub-spoke tradizionale con bring-your-own-networking è possibile modificare completamente la rete virtuale hub. È possibile distribuire servizi comuni nell'hub e renderli disponibili per gli spoke di carico di lavoro. Questi servizi condivisi includono spesso elementi come risorse DNS, appliance virtuali di rete personalizzate e Azure Bastion. Quando si usa Azure rete WAN virtuale, tuttavia, si dispone di limitazioni e accesso limitato su ciò che è possibile installare negli hub virtuali.

Ad esempio, per implementare collegamento privato e l'integrazione DNS in un'architettura di rete hub-spoke tradizionale, è necessario creare e collegare zone DNS private alla rete hub. Il piano per l'accesso remoto delle macchine virtuali potrebbe includere Azure Bastion come servizio condiviso nell'hub regionale. È anche possibile distribuire risorse di calcolo personalizzate, ad esempio macchine virtuali di Active Directory nell'hub. Nessuno di questi approcci è possibile con rete WAN virtuale.

Questo articolo descrive il modello di estensione dell'hub virtuale che fornisce indicazioni su come esporre in modo sicuro i servizi condivisi ai rami (spoke) che non è possibile distribuire direttamente in un hub virtuale.

Architettura

Un ampliamento dell'hub virtuale è una rete spoke virtuale dedicata connessa all'hub virtuale che fornisce un singolo servizio condiviso ai nodi del carico di lavoro. È possibile usare un'estensione dell'hub virtuale per fornire, a molti spoke del carico di lavoro, la connettività di rete alla risorsa condivisa. Le risorse DNS sono un esempio di questo uso. È anche possibile usare un'estensione per contenere una risorsa centralizzata che richiede la connettività a molte destinazioni negli spoke. Una distribuzione centralizzata di Azure Bastion è un esempio di questo uso.

Figura 1: Modello di estensione dell'hub

Scaricare un file di Visio di questa architettura.

1. Estensione hub virtuale per Azure Bastion. Questa estensione consente di connettersi alle macchine virtuali nelle reti spoke.
2. Estensione dell'hub virtuale per DNS. Questa estensione consente di esporre voci di zona DNS private ai carichi di lavoro nelle reti spoke.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

Un'estensione dell'hub virtuale viene spesso considerata business critical, perché serve una funzione di base all'interno della rete. Le estensioni devono essere allineate ai requisiti aziendali, devono avere strategie di mitigazione dei fallimenti e scalare in base alle esigenze degli spoke.

Le procedure operative standard devono includere test di resilienza e monitoraggio dell'affidabilità di tutte le estensioni. Queste procedure devono convalidare i requisiti di accesso e velocità effettiva. Ogni estensione deve avere un modello di stato di salute significativo.

Essere chiari sugli obiettivi del livello di servizio (SLO) per questa estensione e misurare accuratamente l'affidabilità rispetto a esso. Comprendere il contratto di servizio di Azure e i requisiti di supporto per ogni singolo componente nell'estensione. Queste informazioni consentono di impostare il limite massimo per lo SLO di destinazione e di comprendere le configurazioni supportate.

Sicurezza

Restrizioni di rete. Anche se le estensioni sono spesso utilizzate da molti spoke o necessitano di accesso a diversi spoke, potrebbero non richiedere accesso da o verso tutti gli spoke. Usare i controlli di sicurezza di rete disponibili, ad esempio l'uso di gruppi di sicurezza di rete e il traffico in uscita attraverso l'hub virtuale protetto, laddove possibile.

Controllo di accesso del piano dati e di controllo. Seguire le procedure consigliate per tutte le risorse distribuite nelle estensioni, fornendo l'accesso con privilegi minimi al piano di controllo delle risorse e ai piani dati.

Ottimizzazione dei costi

Come per qualsiasi carico di lavoro, assicurarsi che siano selezionate le dimensioni di SKU appropriate per le risorse di estensione per controllare i costi. L'orario di ufficio e altri fattori possono causare modelli di utilizzo prevedibili per alcune estensioni. Comprendere gli schemi e fornire l'elasticità e la scalabilità che possono accoglierli.

Come servizio condiviso, le risorse del carico di lavoro hanno in genere un ciclo di attività relativamente lungo nell'architettura aziendale. Prendere in considerazione l'uso di risparmi sui costi tramite offerte di preacquisto, come prenotazioni di Azure, prezzi per capacità riservata e piani di risparmio Azure.

Eccellenza operativa

Creare estensioni dell'hub virtuale per rispettare il singolo principio di responsabilità (SRP). Ogni estensione deve riguardare un'unica offerta, quindi evita di combinare servizi non correlati in un singolo nodo. È possibile organizzare le risorse in modo che ogni estensione risieda in un gruppo di risorse dedicato per semplificare la gestione di criteri e ruoli di Azure.

È consigliabile effettuare il provisioning di queste estensioni usando Infrastructure as Code e avere un processo di compilazione e rilascio che supporti le esigenze e il ciclo di vita di ogni estensione. Poiché le estensioni sono spesso di natura business critical ed è importante disporre di metodi di test rigorosi e procedure di distribuzione sicure per ogni estensione.

Avere un chiaro controllo delle modifiche e un piano di comunicazione aziendale è fondamentale. Potrebbe essere necessario comunicare con gli stakeholder (proprietari del carico di lavoro) riguardo alle esercitazioni di ripristino di emergenza (DR) che state eseguendo, o eventuali tempi di inattività pianificati o imprevisti.

Assicurarsi di disporre di un solido sistema di salute operativo per queste risorse. Abilitare le impostazioni di Diagnostica di Azure appropriate per tutte le risorse di estensione e acquisire tutti i dati di telemetria e i log necessari per comprendere l'integrità del carico di lavoro. Prendere in considerazione l'archiviazione a lungo termine dei log delle operazioni e delle metriche per supportare le interazioni del supporto clienti durante un comportamento imprevisto dell'estensione del servizio condiviso.

Efficienza delle prestazioni

Un'estensione è un servizio centralizzato. Per progettare le unità di scala per gestire le modifiche di carico, è necessario comprendere quanto segue:

• Le richieste che la vostra organizzazione effettua all'estensione.
• Requisiti per la pianificazione della capacità.
• Come cresceranno gli spoke nel tempo.

Per progettare le unità di scala, testare e documentare il modo in cui ogni componente dell'estensione viene ridimensionato singolarmente, in base alle metriche e ai limiti di scalabilità dei servizi applicati. Alcune estensioni potrebbero richiedere il bilanciamento del carico tra più istanze per ottenere la velocità effettiva necessaria.

Implementazione di esempio

collegamento privato DNS extension: Stabilisce un'estensione dell'hub virtuale per il DNS descrive un'estensione dell'hub virtuale progettata per supportare la ricerca DNS in una singola regione per gli scenari di collegamento privato.

Passaggi successivi

Risorse correlate

• Che cos'è un endpoint privato?
• Configurazione DNS dell'endpoint privato di Azure
• Collegamento privato e integrazione DNS su larga scala
• Collegamento privato di Azure in una rete hub-and-spoke
• DNS per le risorse locali e di Azure
• Usare collegamento privato di Azure per connettere reti ad Monitoraggio di Azure
• Resolver privato DNS di Azure
• Accesso con sicurezza migliorata alle app Web multi-tenant da una rete locale
• Applicazione web di base ad alta disponibilità con ridondanza tra zone
• Esercitazione: Creare un'infrastruttura DNS con endpoint privato utilizzando Azure Private Resolver per un carico di lavoro locale