V tradiční hvězdicové topologii s vlastními sítěmi můžete zcela manipulovat s virtuální sítí rozbočovače. Do centra můžete nasadit běžné služby a zpřístupnit je paprskům úloh. Mezi tyto sdílené služby často patří například prostředky DNS, vlastní síťová virtuální zařízení a Azure Bastion. Pokud ale používáte Azure Virtual WAN, máte omezený přístup a omezení týkající se toho, co můžete nainstalovat do virtuálních center.
Pokud chcete například implementovat integraci Private Link a DNS v tradiční hvězdicové síťové architektuře, vytvořili byste a propojili privátní zóny DNS s centrální sítí. Váš plán vzdáleného přístupu k virtuálním počítačům může zahrnovat Azure Bastion jako sdílenou službu v regionálním centru. Můžete také nasadit vlastní výpočetní prostředky, jako jsou virtuální počítače služby Active Directory v centru. V virtual WAN není možné žádný z těchto přístupů.
Tento článek popisuje model rozšíření virtuálního centra, který poskytuje pokyny k bezpečnému zveřejnění sdílených služeb paprskům, které nemůžete nasadit přímo ve virtuálním centru.
Architektura
Rozšíření virtuálního centra je vyhrazená paprsková virtuální síť připojená k virtuálnímu centru, která zveřejňuje jednu sdílenou službu paprskům úloh. Rozšíření virtuálního centra můžete použít k poskytování síťového připojení ke sdílenému prostředku pro mnoho paprsků úloh. Příkladem tohoto použití jsou prostředky DNS. Rozšíření můžete použít také k zahrnutí centralizovaného prostředku, který vyžaduje připojení k mnoha cílům v paprskech. Příkladem tohoto použití je centralizované nasazení služby Azure Bastion.
Obrázek 1: Model rozšíření centra
Stáhněte si soubor aplikace Visio s touto architekturou.
- Rozšíření virtuálního centra pro Azure Bastion Toto rozšíření umožňuje připojit se k virtuálním počítačům v paprskových sítích.
- Rozšíření virtuálního centra pro DNS Toto rozšíření umožňuje zveřejnit položky privátní zóny DNS úlohám v paprskových sítích.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Spolehlivost
Rozšíření virtuálního centra se často považuje za důležité pro firmu, protože obsluhuje základní funkci v síti. Rozšíření by měla odpovídat obchodním požadavkům, mít strategie zmírnění selhání a škálovat se podle potřeb paprsků.
Standardní provozní postupy by měly zahrnovat testování odolnosti a monitorování spolehlivosti všech rozšíření. Tyto postupy by měly ověřovat požadavky na přístup a propustnost. Každé rozšíření by mělo mít smysluplný model stavu.
Mějte přehled o cílech úrovně služeb (SLO) pro toto rozšíření a přesné měření spolehlivosti. Seznamte se se smlouvou o úrovni služeb Azure (SLA) a požadavky na podporu pro každou jednotlivou komponentu rozšíření. Tyto znalosti vám pomůžou nastavit limit cílového cíle úrovně služby a porozumět podporovaným konfiguracím.
Zabezpečení
Omezení sítě. I když rozšíření často používají mnoho paprsků nebo potřebují přístup k mnoha paprskům, nemusí potřebovat přístup ze všech paprsků ani ke všem paprskům. Pokud je to možné, použijte dostupné ovládací prvky zabezpečení sítě, jako je použití skupin zabezpečení sítě a odchozí provoz přes zabezpečené virtuální centrum.
Řízení přístupu k datům a řídicí rovině Dodržujte osvědčené postupy pro všechny prostředky nasazené v rozšířeních, které poskytují nejméně privilegovaný přístup k řídicí rovině prostředků a všem rovinám dat.
Optimalizace nákladů
Stejně jako u všech úloh se ujistěte, že jsou pro prostředky rozšíření vybrány vhodné velikosti skladových položek, které pomáhají řídit náklady. Pracovní doba a další faktory můžou způsobit předvídatelné vzorce použití některých rozšíření. Seznamte se se vzory a poskytněte elasticitu a škálovatelnost, která je dokáže přizpůsobit.
Jako sdílená služba mají prostředky úloh ve vaší podnikové architektuře relativně dlouhý cyklus zatížení. Zvažte využití úspor nákladů prostřednictvím předem připravených nabídek, jako jsou rezervace Azure, ceny rezervované kapacity a plány úspor Azure.
Provozní dokonalost
Sestavte rozšíření virtuálních center tak, aby dodržovala jeden princip odpovědnosti (SRP). Každé rozšíření by mělo být pro jednu nabídku, takže nespojujte nesouvisející služby v jediném paprsku. Prostředky můžete uspořádat tak, aby každé rozšíření bylo umístěné ve vyhrazené skupině prostředků, aby bylo snazší spravovat zásady a role Azure.
Tato rozšíření byste měli zřídit pomocí infrastruktury jako kódu a mít proces sestavení a verze, který podporuje potřeby a životní cyklus jednotlivých rozšíření. Vzhledem k tomu, že rozšíření jsou často důležitá pro chod firmy, a proto je důležité mít pro každé rozšíření zavedeny přísné testovací metody a postupy bezpečného nasazení.
Důležité je mít jasné řízení změn a plán podnikové komunikace. Možná budete muset komunikovat se zúčastněnými stranami (vlastníky úloh) o postupu zotavení po havárii(DR), které provádíte, nebo o plánovaném nebo neočekávaném výpadku.
Ujistěte se, že pro tyto prostředky máte zavedený solidní operační systém stavu. Povolte odpovídající nastavení diagnostiky Azure pro všechny prostředky rozšíření a zachyťte veškerá telemetrická data a protokoly, které potřebujete k pochopení stavu úlohy. Zvažte dlouhodobé ukládání protokolů operací a metrik, které podporují interakce zákaznické podpory během neočekávaného chování rozšíření sdílené služby.
Efektivita výkonu
Rozšíření je centralizovaná služba. Pokud chcete navrhnout jednotky škálování tak, aby zpracovávaly změny zatížení, musíte pochopit:
- Požadavky, které vaše organizace provádí s rozšířením
- Požadavky na plánování kapacity.
- Jak se paprsky v průběhu času zvětšují.
Pokud chcete navrhnout jednotky škálování, otestujte a zdokumentujte, jak se jednotlivé komponenty v rozšíření škálují zvlášť, a to na základě nastavených limitů metrik a škálování služeb. Některá rozšíření můžou vyžadovat vyrovnávání zatížení napříč několika instancemi, aby se dosáhlo požadované propustnosti.
Příklad implementace
Rozšíření DNS služby Private Link: Vytvoření rozšíření virtuálního centra pro DNS popisuje rozšíření virtuálního centra navržené tak, aby podporovalo vyhledávání DNS v jedné oblasti pro scénáře private linku.
Další kroky
Související prostředky
- Co je privátní koncový bod?
- Konfigurace DNS privátního koncového bodu v Azure
- Integrace služby Private Link a DNS ve velkém měřítku
- Azure Private Link v hvězdicové síti
- DNS pro místní prostředky a prostředky Azure
- Připojení cílové zóny dat v jedné oblasti
- Použití Azure Private Linku k propojení sítí k Azure Monitoru
- Azure DNS Private Resolver
- Vylepšený přístup k víceklientských webovým aplikacím z místní sítě
- Standardní vysoce dostupná zónově redundantní webová aplikace
- Kurz: Vytvoření infrastruktury DNS privátního koncového bodu pomocí služby Azure Private Resolver pro místní úlohu