Topologia di rete hub-spokeHub and spoke network topology

Hub e spoke è un modello di rete per gestire in modo efficiente i requisiti di comunicazione o di sicurezza comuni.Hub and spoke is a networking model for efficiently managing common communication or security requirements. Consente anche di evitare le limitazioni delle sottoscrizioni di Azure.It also helps avoid Azure subscription limitations. Questo modello consente di risolvere i problemi seguenti:This model addresses the following concerns:

  • Risparmio sui costi e efficienza di gestione.Cost savings and management efficiency. Centralizzando in un'unica posizione i servizi che possono essere condivisi da più carichi di lavoro, ad esempio appliance virtuali di rete e server DNS, l'IT può ridurre al minimo le risorse ridondanti e l'impegno richiesto dalla gestione.Centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location allows IT to minimize redundant resources and management effort.
  • Limiti delle sottoscrizioni in uscita.Overcoming subscription limits. Carichi di lavoro basati su cloud di grandi dimensioni potrebbero richiedere l'uso di più risorse rispetto a quelle consentite in una singola sottoscrizione di Azure.Large cloud-based workloads might require using more resources than are allowed in a single Azure subscription. Il peering delle reti virtuali dei carichi di lavoro da sottoscrizioni diverse a un hub centrale consente di superare tali limiti.Peering workload virtual networks from different subscriptions to a central hub can overcome these limits. Per altre informazioni, vedere limiti della sottoscrizione di Azure.For more information, see Azure subscription limits.
  • Separazione delle problematiche.Separation of concerns. È possibile distribuire i singoli carichi di lavoro tra i team IT centrali e i team del carico di lavoro.You can deploy individual workloads between Central IT teams and workload teams.

Gli ambienti cloud di dimensioni più piccole potrebbero non trarre vantaggio dalla struttura e dalle funzionalità aggiuntive offerte da questo modello.Smaller cloud estates might not benefit from the added structure and capabilities that this model offers. Tuttavia, la maggior parte delle attività di adozione del cloud deve prendere in considerazione l'implementazione di un'architettura di rete hub-spoke se i problemi sono elencati in precedenza.But larger cloud adoption efforts should consider implementing a hub and spoke networking architecture if they have any of the concerns listed previously.

Nota

Il sito architetture di riferimento di Azure contiene modelli di esempio che è possibile usare come base per implementare le proprie reti hub e spoke:The Azure reference architectures site contains example templates that you can use as the basis for implementing your own hub and spoke networks:

PanoramicaOverview

Esempio di una topologia di rete hub-spokeExample of a hub and spoke network topology
Figura 1: esempio di una topologia di rete hub-spoke.Figure 1: Example of a hub and spoke network topology.

Come illustrato nel diagramma, Azure supporta due tipi di progettazione hub e spoke.As shown in the diagram, Azure supports two types of hub and spoke design. Supporta la comunicazione, le risorse condivise e i criteri di sicurezza centralizzati (contrassegnati come VNet hub nel diagramma) o una progettazione basata sulla rete WAN virtuale di Azure (con etichetta come nel diagramma) per le comunicazioni da ramo a ramo e da ramo Virtual WAN a Azure su larga scala.It supports communication, shared resources, and centralized security policy (labeled as VNet hub in the diagram), or a design based on Azure Virtual WAN (labeled as Virtual WAN in the diagram) for large-scale branch-to-branch and branch-to-Azure communications.

L'hub è una zona della rete centrale che controlla e ispeziona il traffico in ingresso o in uscita tra zone: Internet, locale e spoke.A hub is a central network zone that controls and inspects ingress or egress traffic between zones: internet, on-premises, and spokes. La topologia hub e spoke offre al reparto IT un modo efficace per applicare i criteri di sicurezza in una posizione centrale.The hub and spoke topology gives your IT department an effective way to enforce security policies in a central location. riducendo al contempo il rischio di configurazione non corretta ed esposizione.It also reduces the potential for misconfiguration and exposure.

L'hub contiene spesso i componenti dei servizi comuni utilizzati dagli spoke.The hub often contains the common service components that the spokes consume. Di seguito sono riportati alcuni esempi di servizi centrali comuni:The following examples are common central services:

  • L'infrastruttura di Windows Server Active Directory, necessaria per l'autenticazione degli utenti di terze parti che ottengono l'accesso da reti non attendibili prima di accedere ai carichi di lavoro nei spoke.The Windows server Active Directory infrastructure, required for user authentication of third parties that gain access from untrusted networks before they get access to the workloads in the spoke. Include il componente correlato Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Servizio DNS per risolvere la denominazione per il carico di lavoro negli spoke, per accedere alle risorse in locale e in Internet se non viene usato DNS di Azure.A DNS service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Infrastruttura a chiave pubblica (PKI) per implementare Single Sign-On nei carichi di lavoro.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Controllo di flusso del traffico TCP e UDP tra le zone della rete degli spoke e Internet.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Controllo di flusso tra gli spoke e le zone locali.Flow control between the spokes and on-premises.
  • Se necessario, controllo di flusso tra uno spoke e un altro.If needed, flow control between one spoke and another.

È possibile ridurre al minimo la ridondanza, semplificare la gestione e ridurre i costi complessivi usando l'infrastruttura dell'hub condiviso per supportare più spoke.You can minimize redundancy, simplify management, and reduce overall cost by using the shared hub infrastructure to support multiple spokes.

Il ruolo di ogni spoke può essere quello di ospitare tipi diversi di carichi di lavoro.The role of each spoke can be to host different types of workloads. Gli spoke consentono anche un approccio modulare per le distribuzioni ripetibili degli stessi carichi di lavoro.The spokes also provide a modular approach for repeatable deployments of the same workloads. Gli esempi includono sviluppo/test, test di accettazione degli utenti, gestione temporanea e produzione.Examples include dev/test, user acceptance testing, staging, and production.

Gli spoke possono anche essere usati per isolare e consentire gruppi diversi all'interno dell'organizzazione,The spokes can also segregate and enable different groups within your organization. ad esempio gruppi Azure DevOps.An example is Azure DevOps groups. In uno spoke è possibile distribuire un carico di lavoro di base o carichi di lavoro complessi multilivello con il controllo del traffico tra i livelli.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Limiti della sottoscrizione e hub multipliSubscription limits and multiple hubs

In Azure ogni componente, indipendentemente dal tipo, viene distribuito in una sottoscrizione di Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. L'isolamento dei componenti di Azure in diverse sottoscrizioni di Azure può soddisfare i requisiti di diverse line-of-business, come la configurazione di livelli differenziati di accesso e autorizzazione.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Una singola implementazione Hub e spoke può essere scalata fino a un numero elevato di spoke.A single hub and spoke implementation can scale up to a large number of spokes. Tuttavia, come per ogni sistema IT, esistono limiti a livello di piattaforma.But as with every IT system, there are platform limits. La distribuzione dell'hub è associata a una specifica sottoscrizione di Azure, che ha restrizioni e limiti,The hub deployment is bound to a specific Azure subscription, which has restrictions and limits. Un esempio è un numero massimo di peering di rete virtuale.One example is a maximum number of virtual network peerings. Per altre informazioni, vedere sottoscrizione di Azure e limiti dei servizi.For more information, see Azure subscription and service limits.

Nei casi in cui i limiti possono costituire un problema, è possibile aumentare ulteriormente le prestazioni per l'architettura estendendo il modello da una singola rete hub-spoke a un cluster di hub e spoke.In cases where limits might be an issue, you can scale up the architecture further by extending the model from a single hub and spoke to a cluster of hubs and spokes. È possibile collegare più hub in una o più aree di Azure usando il peering di rete virtuale, Azure ExpressRoute, una rete WAN virtuale di Azure o una VPN da sito a sito.You can interconnect multiple hubs in one or more Azure regions by using virtual network peering, Azure ExpressRoute, Azure Virtual WAN, or a site-to-site VPN.

Cluster di hub e spokeCluster of hubs and spokes
Figura 2: cluster di hub e spoke.Figure 2: A cluster of hubs and spokes.

L'introduzione di più hub aumenta il costo e l'impegno di gestione del sistema.The introduction of multiple hubs increases the cost and management overhead of the system. Questa scelta è giustificabile solo da esigenze di scalabilità, limiti del sistema o ridondanza e dalla replica a livello di area per prestazioni utente o ripristino di emergenza.This is only justified by scalability, system limits, or redundancy and regional replication for user performance or disaster recovery. Negli scenari in cui sono necessari più hub, tutti gli hub devono cercare di offrire lo stesso set di servizi per facilitare le operazioni.In scenarios that require multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Interconnessione tra spokeInterconnection between spokes

È possibile implementare carichi di lavoro complessi multilivello in un singolo spoke.It's possible to implement complex multitier workloads in a single spoke. È possibile implementare configurazioni a più livelli usando subnet (una per ogni livello) nella stessa rete virtuale e usando gruppi di sicurezza di rete per filtrare i flussi.You can implement multitier configurations by using subnets (one for every tier) in the same virtual network and by using network security groups to filter the flows.

Un architetto potrebbe voler distribuire un carico di lavoro multilivello in più reti virtuali.An architect might want to deploy a multitier workload across multiple virtual networks. Usando il peering di rete virtuale, gli spoke possono connettersi ad altri spoke nello stesso hub o in hub diversi.With virtual network peering, spokes can connect to other spokes in the same hub or in different hubs.

Un esempio tipico di questo scenario è quello in cui i server di elaborazione delle applicazioni sono in uno spoke o rete virtuale,A typical example of this scenario is the case where application processing servers are in one spoke or virtual network. mentre il database viene distribuito in un altro spoke o rete virtuale.The database deploys in a different spoke or virtual network. In questo caso, è facile interconnettere gli spoke con il peering di rete virtuale ed evitare in tal modo il transito dall'hub.In this case, it's easy to interconnect the spokes with virtual network peering and avoid transiting through the hub. La soluzione consiste nell'eseguire un'attenta analisi della sicurezza e dell'architettura per evitare che il bypass dell'hub ignori importanti punti di sicurezza o di controllo che potrebbero esistere solo nell'hub.The solution is to perform a careful architecture and security review to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

Spoke interconnessi e connessi a un hubSpokes connecting to each other and a hub
Figura 3: i spoke si connettono tra loro e un hub.Figure 3: Spokes connecting to each other and a hub.

Gli spoke possono anche essere interconnessi a uno spoke che funge da hub.Spokes can also be interconnected to a spoke that acts as a hub. Questo approccio crea una gerarchia a due livelli: lo spoke nel livello superiore (livello 0) diventa l'hub degli spoke inferiori (livello 1) nella gerarchia.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. I spoke di un'implementazione Hub e spoke sono necessari per l'invio del traffico all'hub centrale, in modo che il traffico possa transitare alla propria destinazione nella rete locale o nella rete Internet pubblica.The spokes of a hub and spoke implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Un'architettura con due livelli di hub introduce un routing complesso che rimuove i vantaggi di una semplice relazione hub-spoke.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub and spoke relationship.