Em uma topologia hub-spoke tradicional com traga sua própria rede, você pode manipular completamente a rede virtual do hub. Você pode implantar serviços comuns no hub e disponibilizá-los para raios de carga de trabalho. Esses serviços compartilhados geralmente incluem itens como recursos DNS, NVAs personalizados e Bastião do Azure. No entanto, ao usar a WAN Virtual do Azure, você tem acesso restrito e limitações sobre o que pode instalar nos hubs virtuais.
Por exemplo, para implementar a integração de Link Privado e DNS em uma arquitetura de rede hub-spoke tradicional, você criaria e vincularia zonas DNS privadas à rede de hub. Seu plano de acesso remoto de máquina virtual pode incluir o Bastião do Azure como um serviço compartilhado no hub regional. Você também pode implantar recursos de computação personalizados, como VMs do Active Directory no hub. Nenhuma dessas abordagens é possível com a WAN Virtual.
Este artigo descreve o padrão de extensão de hub virtual que fornece orientação sobre como expor com segurança serviços compartilhados a raios que você não consegue implantar diretamente em um hub virtual.
Arquitetura
Uma extensão de hub virtual é uma rede virtual spoke dedicada conectada ao hub virtual que expõe um único serviço compartilhado a raios de carga de trabalho. Você pode usar uma extensão de hub virtual para fornecer, a muitos raios de carga de trabalho, conectividade de rede para seu recurso compartilhado. Os recursos DNS são um exemplo desse uso. Você também pode usar uma extensão para conter um recurso centralizado que requer conectividade com muitos destinos nos raios. Uma implantação centralizada do Bastião do Azure é um exemplo desse uso.
Figura 1: Padrão de extensão de hub
Baixe um Arquivo Visio dessa arquitetura.
- Extensão de hub virtual para o Bastião do Azure. Essa extensão permite que você se conecte a máquinas virtuais em redes spoke.
- Extensão de hub virtual para DNS. Essa extensão permite que você exponha entradas de zona DNS privadas a cargas de trabalho em redes spoke.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Confiabilidade
Uma extensão de hub virtual é muitas vezes considerada crítica para os negócios, pois está servindo a uma função principal dentro da rede. As extensões devem se alinhar aos requisitos de negócios, ter estratégias de mitigação de falhas e dimensionar de acordo com as necessidades dos porta-vozes.
Seus procedimentos operacionais padrão devem incluir testes de resiliência e monitoramento de confiabilidade de todas as extensões. Esses procedimentos devem validar os requisitos de acesso e taxa de transferência. Cada extensão deve ter um modelo de saúde significativo.
Seja claro sobre seus objetivos de nível de serviço (SLO) para essa extensão e meça com precisão a confiabilidade em relação a ela. Entenda o SLA (contrato de nível de serviço) do Azure e os requisitos de suporte em cada componente individual na extensão. Esse conhecimento ajuda você a definir o teto para seu SLO de destino e entender as configurações com suporte.
Segurança
Restrições de rede. Embora as extensões sejam frequentemente usadas por muitos raios ou precisem de acesso a muitos raios, elas podem não precisar de acesso de ou para todos os raios. Use os controles de segurança de rede disponíveis, como usar Grupos de Segurança de Rede e emitir tráfego pelo hub virtual protegido, sempre que possível.
Controle de acesso a planos de dados e controle. Siga as práticas recomendadas para todos os recursos implantados em extensões, fornecendo acesso menos privilegiado ao plano de controle dos recursos e a quaisquer planos de dados.
Otimização de custos
Como acontece com qualquer carga de trabalho, certifique-se de que os tamanhos de SKU apropriados sejam selecionados para recursos de extensão para ajudar a controlar os custos. O horário comercial e outros fatores podem causar padrões de uso previsíveis para algumas extensões. Compreenda os padrões e forneça a elasticidade e a escalabilidade que podem acomodá-los.
Como um serviço compartilhado, os recursos de carga de trabalho geralmente têm um ciclo de trabalho relativamente longo em sua arquitetura corporativa. Considere o uso de economia de custos por meio de ofertas de pré-compra, como Reservas do Azure, preços de capacidade reservada e planos de economia do Azure.
Excelência operacional
Crie extensões de hub virtual para aderir ao princípio de responsabilidade única (SRP). Cada extensão deve ser para uma única oferta, portanto, não combine serviços não relacionados em um único raio. Você pode organizar seus recursos de forma que cada extensão resida em um grupo de recursos dedicado, para facilitar o gerenciamento de políticas e funções do Azure.
Você deve provisionar essas extensões usando a Infraestrutura como Código e ter um processo de compilação e lançamento que ofereça suporte às necessidades e ao ciclo de vida de cada extensão. Como as extensões geralmente são críticas para os negócios por natureza, é importante ter métodos de teste rigorosos e práticas de implantação seguras para cada extensão.
Ter um controle de mudanças claro e um plano de comunicação empresarial em vigor é vital. Talvez seja necessário se comunicar com as partes interessadas (proprietários da carga de trabalho) sobre exercícios de recuperação de desastres (DR) que você está executando ou qualquer tempo de inatividade planejado ou inesperado.
Certifique-se de ter um sistema de integridade operacional sólido para esses recursos. Habilite as configurações apropriadas do Diagnóstico do Azure em todos os recursos de extensão e capture toda a telemetria e os logs necessários para entender a integridade da carga de trabalho. Considere o armazenamento de longo prazo de logs de operação e métricas para oferecer suporte a interações de suporte ao cliente durante o comportamento inesperado da extensão de serviço compartilhado.
Eficiência de desempenho
Uma extensão é um serviço centralizado. Para projetar suas unidades de escala para lidar com mudanças de carga, você precisa entender:
- As exigências que sua organização faz sobre a extensão.
- Os requisitos para o planejamento de capacidade.
- Como os raios crescerão com o tempo.
Para projetar suas unidades de escala, teste e documente como cada componente em sua extensão é dimensionado individualmente, com base nas métricas e nos limites de escala de serviço que estão em vigor. Algumas extensões podem exigir balanceamento de carga em várias instâncias para atingir a taxa de transferência necessária.
Exemplo de implementação
Extensão DNS de Link Privado: Estabelecer uma extensão de hub virtual para DNS descreve uma extensão de Hub Virtual projetada para oferecer suporte à pesquisa de DNS de região única para cenários de Link Privado.
Próximas etapas
Recursos relacionados
- O que é um ponto de extremidade privado?
- Configuração de DNS do ponto de extremidade privado do Azure
- Link privado e integração de DNS em escala
- Link Privado do Azure em uma rede hub-spoke
- DNS para recursos locais e do Azure
- Conectividade de zona de aterrissagem de dados de região única
- Usar o Link Privado do Azure para conectar redes ao Azure Monitor
- Resolvedor Privado de DNS do Azure
- Acesso de segurança aprimorado a aplicativos Web multilocatário de uma rede local
- Aplicativo Web com redundância de zona altamente disponível de linha de base
- Tutorial: Criar uma infraestrutura DNS de ponto de extremidade privado com o Resolvedor Privado do Azure para uma carga de trabalho local