Een sternetwerktopologie in Azure

Azure
Firewall
Virtual Network
Bastion
VPN Gateway

Deze referentiearchitectuur biedt details over een hub-spoke-topologie in Azure. Het virtuele hubnetwerk fungeert als een centraal punt van connectiviteit met veel virtuele spoke-netwerken. De hub kan ook worden gebruikt als het connectiviteitspunt naar uw on-premises netwerken. De virtuele spoke-netwerken werken met de hub en kunnen worden gebruikt om workloads te isoleren.

De voordelen van het gebruik van een hub en spoke-configuratie zijn kostenbesparingen, het overschrijden van abonnementslimieten en isolatie van workloads.

Stertopologie in Azure

Referentie-implementatie

Deze implementatie omvat één virtueel hubnetwerk en twee peered spokes. Er Azure Firewall ook een Azure Bastion-host geïmplementeerd. Optioneel kan de implementatie virtuele machines in het eerste spoke-netwerk en een VPN-gateway bevatten.

Gebruik de volgende opdracht om een resourcegroep voor de implementatie te maken. Klik op de knop Proberen om een ingesloten shell te gebruiken.

az group create --name hub-spoke --location eastus

Voer de volgende opdracht uit om de hub en spoke-netwerkconfiguratie, VNet-peerings tussen de hub en spoke en een Bastion-host te implementeren. Voer een gebruikersnaam en wachtwoord in wanneer u hier om wordt gevraagd. Deze waarden kunnen worden gebruikt voor toegang tot de virtuele machine die zich in het spoke-netwerk bevindt.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

Zie de arm-sjablonen Azure Resource Manager (ARM) die worden gebruikt om deze oplossing te implementeren voor gedetailleerde informatie en extra implementatieopties.

Gebruiksvoorbeelden

Deze architectuur wordt doorgaans gebruikt voor:

  • In andere omgevingen geïmplementeerde workloads, zoals ontwikkeling, tests en productie, die gedeelde services zoals DNS, IDS, NTP of AD DS vereisen. Gedeelde services worden in het virtuele hubnetwerk geplaatst, terwijl elke omgeving op een spoke wordt geïmplementeerd om isolatie te behouden.
  • Workloads waarvoor geen verbinding met elkaar is vereist, maar waarvoor toegang tot gedeelde services is vereist.
  • Ondernemingen die centrale controle van beveiligingsaspecten vereisen, zoals een firewall in de hub als een DMZ en gescheiden beheer voor de workloads in elk knooppunt.

Architectuur

De architectuur bestaat uit de volgende onderdelen.

Virtueel hubnetwerk: Het virtuele hubnetwerk is het centrale punt van connectiviteit met uw on-premises netwerk. Het is een plaats voor het hosten van services die kunnen worden gebruikt door de verschillende workloads die worden gehost in de virtuele spoke-netwerken.

Virtuele spoke-netwerken: Virtuele spoke-netwerken worden gebruikt om workloads te isoleren in hun eigen virtuele netwerken, die afzonderlijk van andere spokes worden beheerd. Elke workload kan meerdere lagen bevatten, met meerdere subnetten die zijn verbonden via Azure-load balancers.

Peering voor virtuele netwerken: Twee virtuele netwerken kunnen worden verbonden met behulp van een peeringverbinding. Peeringverbindingen zijn niet-transitieve verbindingen met lage latentie tussen virtuele netwerken. Na peering wisselen de virtuele netwerken verkeer uit met behulp van de Azure-backbone zonder dat er een router nodig is.

Bastion-host: Azure Bastion kunt u veilig verbinding maken met een virtuele machine met behulp van uw browser en de Azure Portal. Een Azure Bastion-host wordt geïmplementeerd in een Azure-Virtual Network en heeft toegang tot virtuele machines in het VNet of virtuele machines in peered VNets.

Azure Firewall: Azure Firewall is een beheerde firewall als een service. Het firewall-exemplaar wordt in een eigen subnet geplaatst.

Virtuele VPN-netwerkgateway of ExpressRoute-gateway. Met de gateway van het virtuele netwerk kan het virtuele netwerk verbinding maken met het VPN-apparaat of het ExpressRoute-circuit dat wordt gebruikt voor connectiviteit met uw on-premises netwerk. Zie Connect an on-premises network to a Microsoft Azure virtual network (On-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk) voor meer informatie.

VPN-apparaat. Een apparaat of service dat een externe verbinding met het on-premises netwerk biedt. Het VPN-apparaat kan een hardwareapparaat of een softwareoplossing zijn, zoals RRAS (Routing and Remote Access Service) in Windows Server 2012. Zie Vpn-apparaten voor site-naar-site-VPN Gateway verbindingen voor meer informatie.

Aanbevelingen

De volgende aanbevelingen zijn van toepassing op de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Resourcegroepen

De voorbeeldoplossing in dit document maakt gebruik van één Azure-resourcegroep. In de praktijk kunnen de hub en elke spoke worden geïmplementeerd in verschillende resourcegroepen en zelfs in verschillende abonnementen. Wanneer u virtuele netwerken in verschillende abonnementen peert, kunnen beide abonnementen worden gekoppeld aan dezelfde of verschillende Azure Active Directory tenant. Deze flexibiliteit maakt gedecentraliseerd beheer van elke workload mogelijk terwijl services in de hub worden gedeeld.

Virtueel netwerk en GatewaySubnet

Maak een subnet met de naam GatewaySubnet, met /27 als adresbereik. De gateway van het virtuele netwerk vereist dit subnet. Door 32 adressen aan dit subnet toe te kennen, voorkomt u dat in de toekomst beperkingen voor de gatewaygrootte worden bereikt.

Zie voor meer informatie over het instellen van de gateway de volgende referentiearchitecturen, afhankelijk van het verbindingstype:

Voor hogere beschikbaarheid kunt u ExpressRoute plus een VPN voor failover gebruiken. Zie Een on-premises netwerk verbinden met behulp van ExpressRoute met VPN-failover.

Een hub-spoke-topologie kan ook zonder gateway worden gebruikt als u geen verbinding met uw on-premises netwerk nodig hebt.

Peering op virtueel netwerk

Peering voor virtuele netwerken is een niet-transitieve relatie tussen twee virtuele netwerken. Als knooppunten met elkaar verbinding moeten maken, kunt u overwegen een afzonderlijke peeringverbinding tussen die knooppunten te maken.

Stel dat u verschillende spokes hebt die verbinding met elkaar moeten maken. In dat geval hebt u snel geen peeringverbindingen meer, omdat het aantal peerings voor virtuele netwerken per virtueel netwerk beperkt is. (Zie Netwerklimieten voor meer informatie. In dit scenario kunt u overwegen door de gebruiker gedefinieerde routes (UDR's) te gebruiken om af te dwingen dat verkeer dat is bestemd voor een spoke, wordt verzonden naar Azure Firewall of een virtueel netwerkapparaat dat als router op de hub optreedt. Door deze wijziging kunnen de spokes verbinding met elkaar maken.

U kunt ook spokes configureren om de hubgateway te gebruiken om te communiceren met externe netwerken. Als u wilt toestaan dat gatewayverkeer van spoke naar hub stroomt en verbinding maakt met externe netwerken, moet u het volgende doen:

  • Configureer de peeringverbinding in de hub om gateway-doorvoer toe te staan.
  • Configureer de peeringverbinding in elke spoke om externe gateways te gebruiken.
  • Configureer alle peeringverbindingen om doorgestuurd verkeer toe te staan.

Zie VNet-peeringsmaken voor meer informatie.

Knooppunt-connectiviteit

Als u connectiviteit tussen spokes nodig hebt, kunt u overwegen om een Azure Firewall of een ander virtueel netwerkapparaat te implementeren. Maak vervolgens routes voor het doorsturen van verkeer van de spoke naar de firewall of het virtuele netwerkapparaat, dat vervolgens naar de tweede spoke kan worden doorgestuurd. In dit scenario configureert u de peeringverbindingen om doorgestuurd verkeer toe te staan.

Routering tussen spokes met behulp van Azure Firewall

U kunt ook een VPN-gateway gebruiken om verkeer tussen spokes terouten, hoewel deze keuze invloed heeft op de latentie en doorvoer. Zie VPN Gateway-doorvoer configureren voor peering voor virtuele netwerken voor configuratiedetails.

Bedenk welke services worden gedeeld in de hub om ervoor te zorgen dat de hub wordt geschaald voor een groter aantal spokes. Als uw hub bijvoorbeeld firewallservices biedt, moet u rekening houden met de bandbreedtelimieten van uw firewalloplossing bij het toevoegen van meerdere spokes. Het is raadzaam enkele van deze gedeelde services te verplaatsen naar een tweede niveau van hubs.

Operationele overwegingen

Houd rekening met de volgende informatie bij het implementeren en beheren van hub-en-spoke-netwerken.

Netwerkbewaking

Gebruik Azure Network Watcher om de netwerkonderdelen te bewaken en problemen op te lossen. Hulpprogramma'Traffic Analytics toont u de systemen in uw virtuele netwerken die het meeste verkeer genereren. Vervolgens kunt u knelpunten visueel identificeren voordat ze in problemen ontstaan. Network Performance Manager is het juiste hulpprogramma voor het bewaken van informatie over Microsoft ExpressRoute-circuits. Diagnostische gegevens van VPN is een ander hulpprogramma dat u kan helpen bij het oplossen van problemen met site-naar-site-VPN-verbindingen die uw toepassingen verbinden met gebruikers on-premises.

Zie Azure Network Watcher in het Azure Well-Architected Framework voor meer informatie.

Kostenoverwegingen

Houd rekening met de volgende kostengerelateerde items bij het implementeren en beheren van hub- en spoke-netwerken.

Azure Firewall

Er Azure Firewall een netwerk geïmplementeerd in het hubnetwerk in deze architectuur. Wanneer een Azure Firewall wordt gebruikt als een gedeelde oplossing en wordt gebruikt door meerdere workloads, kan dit tot 30-50% besparen via een ander virtueel netwerkapparaat. Zie voor meer informatie Azure Firewall vs virtueel netwerkapparaat.

Peering op virtueel netwerk

U kunt peering voor virtuele netwerken gebruiken om verkeer tussen virtuele netwerken te routeerden met behulp van privé-IP-adressen. Hier zijn enkele punten:

  • Voor in- en uitverkeer worden kosten in rekening gebracht aan beide uiteinden van de peered netwerken.
  • Verschillende zones hebben verschillende overdrachtssnelheden.

Voor gegevensoverdracht van een virtueel netwerk in zone 1 naar een ander virtueel netwerk in zone 2 wordt bijvoorbeeld een uitgaande overdrachtssnelheid voor zone 1 en de inkomende snelheid voor zone 2 in gebruik. Zie Prijzen voor virtuele netwerken voor meer informatie.

Volgende stappen

Meer informatie over de onderdeeltechnologieën:

Gerelateerde architecturen verkennen: