Share via

تخطيط الشبكة المحورية

  • مقالة

Hub and spoke هو نموذج شبكة لإدارة متطلبات الاتصال أو الأمان الشائعة بكفاءة. كما أنه يساعد على تجنب قيود اشتراك Azure. يعالج هذا النموذج المخاوف التالية:

  • التوفير في التكاليف والإدارة الفعالة: مركزية الخدمات التي يمكن مشاركتها بواسطة أحمال عمل متعددة، مثل الأجهزة الظاهرية للشبكة (NVAs) وخوادم DNS. باستخدام موقع واحد للخدمات، يمكن أن تقلل تكنولوجيا المعلومات من الموارد المكررة وجهد الإدارة.

  • تجاوز حدود الاشتراك: قد تتطلب أحمال العمل الكبيرة المستندة إلى السحابة استخدام موارد أكثر مما يحتوي عليه اشتراك Azure واحد. يمكن أن تتغلب الشبكات الظاهرية لحمل العمل المتناظرة من اشتراكات مختلفة إلى مركز مركزي على هذه الحدود. لمزيد من المعلومات، راجع حدود اشتراك Azure.

  • إنشاء فصل بين الشواغل: يمكنك نشر أحمال العمل الفردية بين فرق تكنولوجيا المعلومات المركزية وفرق حمل العمل.

قد لا تستفيد العقارات السحابية الأصغر من البنية والقدرات المضافة التي يقدمها هذا النموذج. ولكن يجب أن تفكر جهود اعتماد السحابة الأكبر في تنفيذ بنية شبكة مركزية وناطقة إذا كانت لديها أي من المخاوف المذكورة سابقا.

ملاحظة

يحتوي موقع البنى المرجعية ل Azure على أمثلة على القوالب التي يمكنك استخدامها كأساس لتنفيذ شبكات المركز والتحدث الخاصة بك:

نظرة عامة

رسم تخطيطي يوضح مثالا لطوبولوجيا الشبكة المحورية.

الشكل 1: مثال على تخطيط الشبكة المحورية.

كما هو موضح في الرسم التخطيطي، يدعم Azure نوعين من تصميم المركز والتحدث. يدعم النوع الأول الاتصال والموارد المشتركة ونهج الأمان المركزي. يسمى هذا النوع كمركز VNet في الرسم التخطيطي. يعتمد النوع الثاني على Azure Virtual WAN، والذي يسمى باسم Virtual WAN في الرسم التخطيطي. هذا النوع مخصص للاتصالات واسعة النطاق من فرع إلى فرع ومن فرع إلى Azure.

المركز هو منطقة شبكة مركزية تتحكم في حركة الدخول أو الخروج وتفحصها بين المناطق: الإنترنت والأماكن المحلية والمتحدثين. تمنح طوبولوجيا المركز والتحدث قسم تكنولوجيا المعلومات لديك طريقة فعالة لفرض نهج الأمان في موقع مركزي. كما أنه يقلل من إمكانية التكوين الخاطئ والتعرض.

غالبا ما يحتوي المركز على مكونات الخدمة الشائعة التي تستهلكها المحاور. ومن الأمثلة على الخدمات المركزية الشائعة ما يلي:

  • البنية الأساسية ل Windows Server Active Directory مطلوبة لمصادقة مستخدمي الجهات الخارجية الذين يصلون إلى الشبكات غير الموثوق بها قبل الوصول إلى أحمال العمل في المحور. يتضمن خدمات الأمان المشترك لـ Active Directory ذات الصلة (AD FS).
  • تحل خدمة DNS تسمية حمل العمل في المحاور للوصول إلى الموارد المحلية وعلى الإنترنت إذا لم يتم استخدام Azure DNS .
  • تنفذ البنية الأساسية للمفتاح العام تسجيل الدخول الأحادي لأحمال العمل.
  • يتم التحكم في تدفق حركة مرور TCP وUDP بين مناطق الشبكة المحورية والإنترنت.
  • يتم التحكم في التدفق بين المحاور والأماكن المحلية.
  • يتم التحكم في التدفق بين محور وآخر، إذا لزم الأمر.

يمكنك تقليل التكرار وتبسيط الإدارة وتقليل التكلفة الإجمالية باستخدام البنية الأساسية للمركز المشترك لدعم محاور متعددة.

يمكن أن يكون دور كل محور هو استضافة أنواع مختلفة من أحمال العمل. كما توفر المحاور نهجا نمطيا لعمليات النشر القابلة للتكرار لنفس أحمال العمل. تتضمن الأمثلة التطوير/الاختبار، واختبار قبول المستخدم، والتقسيم المرحلي، والإنتاج.

يمكن للمتحدثين أيضا فصل المجموعات المختلفة وتمكينها داخل مؤسستك. مثال على ذلك هو مجموعات Azure DevOps. داخل محور، من الممكن نشر حمل عمل أساسي أو أحمال عمل متعددة المستويات معقدة مع التحكم في نسبة استخدام الشبكة بين المستويات.

يمكن أن تعيش بوابة التطبيق الموضحة في الرسم التخطيطي أعلاه في التحدث مع التطبيق الذي تخدمه لإدارة وتوسيع نطاق أفضل. ومع ذلك، قد تملي لك سياسة الشركة وضع Application Gateway في المركز للإدارة المركزية والفصل بين الواجبات.

حدود الاشتراك ومراكز متعددة

في Azure، يتم نشر كل نوع من المكونات في اشتراك Azure. يمكن أن يفي عزل مكونات Azure في اشتراكات Azure المختلفة بمتطلبات خطوط العمل المختلفة، مثل إعداد مستويات مختلفة من الوصول والتخويل.

يمكن أن يصل تنفيذ المركز والتحدث الأحادي إلى عدد كبير من المحاور، ولكن كما هو الحال مع كل نظام تكنولوجيا المعلومات، هناك حدود للنظام الأساسي. يرتبط توزيع المركز باشتراك Azure معين، والذي يحتوي على قيود وحدود. أحد الأمثلة على ذلك هو الحد الأقصى لعدد نظيرات الشبكة الظاهرية. لمزيد من المعلومات، راجع حدود الاشتراك والخدمة في Azure.

عندما تكون الحدود مشكلة، يمكنك توسيع نطاق البنية عن طريق توسيع النموذج إلى مجموعة من المراكز والتحدثات. يمكنك توصيل مراكز متعددة في منطقة واحدة أو أكثر من مناطق Azure باستخدام:

  • قران الشبكة الظاهرية
  • Azure ExpressRoute
  • WAN ظاهرية
  • VPN من موقع إلى موقع

رسم تخطيطي يعرض مجموعة من المراكز والتحدثات.

الشكل 2: مجموعة من المراكز والمتحدثين.

يؤدي إدخال مراكز متعددة إلى زيادة التكلفة والنفقات الإدارية للنظام. هذه الزيادة مبررة فقط من خلال:

  • قابلية التوسع
  • حدود النظام
  • التكرار والنسخ المتماثل الإقليمي لأداء المستخدم أو الإصلاح بعد كارثة

في السيناريوهات التي تتطلب مراكز متعددة، يجب أن تسعى جميع المراكز جاهدة لتقديم نفس مجموعة الخدمات لتسهيل التشغيل.

التوصيل البيني بين المحاور

من الممكن تنفيذ أحمال العمل المعقدة متعددة المستويات في محور واحد. يمكنك تنفيذ تكوينات متعددة الأطياد باستخدام الشبكات الفرعية (واحدة لكل طبقة) في نفس الشبكة الظاهرية وباستخدام مجموعات أمان الشبكة لتصفية التدفقات.

قد يرغب المهندس المعماري في نشر حمل عمل متعدد الأطياد عبر العديد من الشبكات الظاهرية. باستخدام تناظر الشبكة الظاهرية، يمكن للمتحدثين الاتصال بمتحدثين آخرين في نفس المركز أو في مراكز مختلفة.

مثال نموذجي على هذا السيناريو هو الحالة التي تكون فيها خوادم معالجة التطبيقات في شبكة محورية واحدة أو شبكة ظاهرية. يتم نشر قاعدة البيانات في شبكة محورية أو ظاهرية مختلفة. في هذه الحالة، من السهل ربط المحاور مع نظير الشبكة الظاهرية وتجنب العبور عبر المركز. قم ببنية دقيقة ومراجعة أمان للتأكد من أن تجاوز المركز لا يتجاوز نقاط الأمان أو التدقيق المهمة الموجودة في المركز فقط.

رسم تخطيطي يوضح مثالا على المحاور المتصلة ببعضها البعض ومركز.

الشكل 3: مثال على المحاور التي تتصل ببعضها البعض ومركز.

يمكن أيضا أن تكون المحاور مترابطة مع محور يعمل كمحور. ينشئ هذا الأسلوب تسلسلا هرميا من مستويين: يصبح المحور في المستوى الأعلى، أو المستوى 0، محور المحاور السفلية، أو المستوى 1، للتسلسل الهرمي. المحاور مطلوبة لإعادة توجيه نسبة استخدام الشبكة إلى المركز المركزي. هذا المطلب هو بحيث يمكن نقل نسبة استخدام الشبكة إلى وجهتها إما في الشبكة المحلية أو الإنترنت العام. تقدم البنية ذات مستويين من المراكز توجيها معقدا يزيل فوائد علاقة المركز والتحدث البسيطة.

ملاحظة

يمكنك استخدام Azure Virtual Network Manager (AVNM) لإنشاء تخطيطات جديدة أو موجودة للشبكة الظاهرية المحورية أو الموجودة للإدارة المركزية لعناصر التحكم في الاتصال والأمان.

يمكنك تكوين الاتصال من إنشاء شبكة أو طوبولوجيا شبكة محورية بما في ذلك الاتصال المباشر بين الشبكات الظاهرية المحورية.

يسمح لك تكوين الأمان بتعريف مجموعة من القواعد التي يمكنك تطبيقها على مجموعة شبكة واحدة أو أكثر على المستوى العمومي.

الخطوات التالية

الآن بعد أن استكشفت أفضل الممارسات للشبكات، تعرف على كيفية التعامل مع عناصر التحكم في الهوية والوصول.

أفضل ممارسات أمان إدارة الهوية والتحكم في الوصول