Hvězdicová síťová topologieHub and spoke network topology

Hub a paprsek je síťový model pro efektivní správu běžných požadavků na komunikaci nebo zabezpečení.Hub and spoke is a networking model for efficiently managing common communication or security requirements. Pomáhá také vyhnout se omezením předplatného Azure.It also helps avoid Azure subscription limitations. Tento model řeší následující aspekty:This model addresses the following concerns:

  • Úspora nákladů a efektivita správy.Cost savings and management efficiency. Díky centralizaci služeb, které můžou být sdílené více úlohami, například virtuálními síťovými zařízeními a servery DNS, na jednom místě, může IT minimalizovat prostředky a úsilí vynaložené na správu.Centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location allows IT to minimize redundant resources and management effort.
  • Překonání omezení předplatného.Overcoming subscription limits. Velké cloudové úlohy můžou vyžadovat využívání více prostředků, než je povolené v rámci jednoho předplatného Azure.Large cloud-based workloads might require using more resources than are allowed in a single Azure subscription. Peering úloh virtuálních sítí z různých předplatných do centra může tyto limity překonat.Peering workload virtual networks from different subscriptions to a central hub can overcome these limits. Další informace najdete v tématu omezení předplatného Azure.For more information, see Azure subscription limits.
  • Oddělení obav.Separation of concerns. Jednotlivé úlohy můžete nasazovat mezi centrální IT týmy a týmy pro úlohy.You can deploy individual workloads between central IT teams and workload teams.

Menší cloudové aktiva nemusí využívat výhody plynoucí z přidané struktury a možností, které tento model nabízí.Smaller cloud estates might not benefit from the added structure and capabilities that this model offers. Ale větší úsilí při přijetí cloudu by mělo zvážit implementaci síťové architektury hvězdicové a Paprskové sítě, pokud mají některé z výše uvedených otázek.But larger cloud adoption efforts should consider implementing a hub and spoke networking architecture if they have any of the concerns listed previously.

Poznámka

Lokalita referenčních architektur Azure obsahuje příklady šablon, které můžete použít jako základ pro implementaci vlastních sítí hub a paprsků:The Azure reference architectures site contains example templates that you can use as the basis for implementing your own hub and spoke networks:

PřehledOverview

Příklad síťové topologie centra a paprsků

Obrázek 1: příklad síťové topologie centra a paprsků.Figure 1: Example of a hub and spoke network topology.

Jak je znázorněno v diagramu, Azure podporuje dva typy centrálního a paprskového návrhu.As shown in the diagram, Azure supports two types of hub and spoke design. Podporuje komunikaci, sdílené prostředky a centralizované zásady zabezpečení (označené jako VNet hub v diagramu), nebo návrh založený na Azure Virtual WAN (označený jako Virtual WAN v diagramu) pro komunikaci mezi větvemi a mezi větvemi Azure.It supports communication, shared resources, and centralized security policy (labeled as VNet hub in the diagram), or a design based on Azure Virtual WAN (labeled as Virtual WAN in the diagram) for large-scale branch-to-branch and branch-to-Azure communications.

Centrum je centrální zóna sítě, která řídí a kontroluje příchozí nebo výchozí provoz mezi zónami: internet, místní síť a paprsky.A hub is a central network zone that controls and inspects ingress or egress traffic between zones: internet, on-premises, and spokes. Topologie centra a paprsků dává vašemu oddělení IT účinný způsob, jak vynutilit zásady zabezpečení v centrálním umístění.The hub and spoke topology gives your IT department an effective way to enforce security policies in a central location. Také snižuje riziko neoprávněné konfigurace a vystavení hrozbám.It also reduces the potential for misconfiguration and exposure.

Centrum často obsahuje společné komponenty služby, které využívají paprsky.The hub often contains the common service components that the spokes consume. Mezi běžné centrální služby patří například:The following examples are common central services:

  • Infrastruktura Windows Server Active Directory, která je vyžadována pro ověřování uživatelů třetích stran, kteří získávají přístup z nedůvěryhodných sítí předtím, než získají přístup k úlohám v paprsku.The Windows Server Active Directory infrastructure, required for user authentication of third parties that gain access from untrusted networks before they get access to the workloads in the spoke. Včetně související služby Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Služba DNS pro překlad názvů pro úlohy v paprscích, pro přístup k prostředkům v místní síti a na internetu, pokud se nepoužívá Azure DNS.A DNS service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Infrastruktura veřejných klíčů (PKI) pro implementaci jednotného přihlašování k úlohám.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Řízení toku provozu TCP a UDP mezi síťovými zónami v paprscích a internetem.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Řízení toku mezi paprsky a místní sítí.Flow control between the spokes and on-premises.
  • V případě potřeby řízení toku mezi jednotlivými paprsky.If needed, flow control between one spoke and another.

Pomocí infrastruktury sdíleného centra, které podporuje více paprsků, můžete minimalizovat redundanci, zjednodušit správu a snížit celkové náklady.You can minimize redundancy, simplify management, and reduce overall cost by using the shared hub infrastructure to support multiple spokes.

Role jednotlivých paprsků může být hostitelem různých typů úloh.The role of each spoke can be to host different types of workloads. Paprsky také poskytují modulární přístup pro opakovaná nasazení stejných úloh.The spokes also provide a modular approach for repeatable deployments of the same workloads. Mezi příklady patří vývoj a testování, testování přijetím uživatelů, fázování a produkce.Examples include dev/test, user acceptance testing, staging, and production.

Paprsky můžou také oddělit a povolit různé skupiny v rámci vaší organizace.The spokes can also segregate and enable different groups within your organization. Příkladem jsou skupiny Azure DevOps.An example is Azure DevOps groups. V rámci paprsku je možné nasadit základní úlohy nebo složité vícevrstvé úlohu s řízením provozu mezi vrstvami.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Omezení předplatného a více centerSubscription limits and multiple hubs

V Azure je každá komponenta bez ohledu na typ nasazená v předplatném Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. Izolace komponent Azure v různých předplatných Azure může uspokojit požadavky různých oborů podnikání, jako je například nastavení odlišných úrovní přístupu a autorizace.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Jednoduchá implementace hub a paprsků se dá škálovat až na velký počet paprsků.A single hub and spoke implementation can scale up to a large number of spokes. Ale jako u každého IT systému existují i zde omezení platformy.But as with every IT system, there are platform limits. Nasazení centra je vázáno na konkrétní předplatné Azure, pro které platí omezení a limity.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits. Jedním z příkladů je maximální počet partnerských vztahů virtuálních sítí.One example is a maximum number of virtual network peerings. Další informace najdete v tématu omezení předplatného a služeb Azure.For more information, see Azure subscription and service limits.

V případech, kdy omezení můžou být problémem, můžete architekturu dále škálovat rozšířením modelu jednoduché hvězdicové topologie na cluster sítí s hvězdicovou topologií.In cases where limits might be an issue, you can scale up the architecture further by extending the model from a single hub and spoke to a cluster of hubs and spokes. Pomocí partnerského vztahu virtuálních sítí, Azure ExpressRoute, Azure Virtual WAN nebo VPN typu Site-to-site můžete propojit několik rozbočovačů v jedné nebo několika oblastech Azure.You can interconnect multiple hubs in one or more Azure regions by using virtual network peering, Azure ExpressRoute, Azure Virtual WAN, or a Site-to-Site VPN.

Cluster sítí s hvězdicovou topologií

Obrázek 2: cluster Center a paprsků.Figure 2: A cluster of hubs and spokes.

Zavedení více center zvyšuje náklady a nároky na správu systému.The introduction of multiple hubs increases the cost and management overhead of the system. To je možné odůvodnit pouze škálovatelností, systémovými limity nebo redundancí a regionální replikací potřebnými pro výkon uživatele nebo zotavení po havárii.This is only justified by scalability, system limits, or redundancy and regional replication for user performance or disaster recovery. Ve scénářích, které vyžadují více center, by se všechna centra měla snažit nabídnout stejnou sadu služeb kvůli snadné obsluze.In scenarios that require multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Propojení mezi paprskyInterconnection between spokes

Je možné implementovat komplexní vícevrstvé úlohy v jednom paprsku.It's possible to implement complex multitier workloads in a single spoke. Konfigurace s více vrstvami můžete implementovat použitím podsítí (jedna pro každou vrstvu) ve stejné virtuální síti a filtrováním toku pomocí skupin zabezpečení sítě.You can implement multitier configurations by using subnets (one for every tier) in the same virtual network and by using network security groups to filter the flows.

Architekt může chtít nasadit vícevrstvé úlohy napříč několika virtuálními sítěmi.An architect might want to deploy a multitier workload across multiple virtual networks. Pomocí peeringu virtuálních sítí se paprsky můžou připojit k ostatním paprskům ve stejném centru nebo v jiných centrech.With virtual network peering, spokes can connect to other spokes in the same hub or in different hubs.

Typickým příkladem tohoto scénáře je případ, kdy se servery pro zpracování aplikací nacházejí v jednom paprsku nebo virtuální síti.A typical example of this scenario is the case where application processing servers are in one spoke or virtual network. Databáze se nasadí v jiném paprsku nebo virtuální síti.The database deploys in a different spoke or virtual network. V takovém případě je snadné propojit paprsky pomocí peeringu virtuálních sítí a vyhnout se tak přenosu přes centrum.In this case, it's easy to interconnect the spokes with virtual network peering and avoid transiting through the hub. Řešením je provést pečlivou architekturu a kontrolu zabezpečení, abyste zajistili, že vynechání centra neobejde důležité zabezpečení nebo body auditování, které mohou existovat pouze v centru.The solution is to perform a careful architecture and security review to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

Propojení paprsků k sobě navzájem a k centru

Obrázek 3: paprsky se připojují k sobě navzájem a k rozbočovači.Figure 3: Spokes connecting to each other and a hub.

Paprsky je taky možné propojit s paprskem, který funguje jako centrum.Spokes can also be interconnected to a spoke that acts as a hub. Tento přístup vytvoří hierarchii se dvěma úrovněmi: paprsek na vyšší úrovni (úroveň 0) se změní na centrum pro paprsky nižší úrovně (úroveň 1) v hierarchii.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. K přenosu provozu do centrálního centra se vyžadují paprsky s implementací rozbočovače a paprsku, aby se přenos mohl směrovat do svého cíle v místní síti nebo veřejné síti Internet.The spokes of a hub and spoke implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Architektura se dvěma úrovněmi Center přináší složité směrování, které odstraňuje výhody jednoduchého hvězdicové vztahu.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub and spoke relationship.