Topologia de rede de hub e spokeHub and spoke network topology

Hub e spoke é um modelo de rede para gerenciar com eficiência os requisitos comuns de comunicação ou segurança.Hub and spoke is a networking model for efficiently managing common communication or security requirements. Ele também ajuda a evitar limitações de assinatura do Azure.It also helps avoid Azure subscription limitations. Esse modelo soluciona as seguintes preocupações:This model addresses the following concerns:

  • Redução dos custos e eficiência do gerenciamento.Cost savings and management efficiency. A centralização de serviços que podem ser compartilhados por diversas cargas de trabalho, tais como NVAs (soluções de virtualização de rede) e servidores DNS em uma localização permite que a TI minimize recursos redundantes e esforços de gerenciamento.Centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location allows IT to minimize redundant resources and management effort.
  • Superando limites de assinatura.Overcoming subscription limits. Grandes cargas de trabalho baseadas em nuvem podem exigir o uso de mais recursos do que são permitidos em uma única assinatura do Azure.Large cloud-based workloads might require using more resources than are allowed in a single Azure subscription. Redes virtuais de carga de trabalho de emparelhamento de assinaturas diferentes para um hub central podem superar esses limites.Peering workload virtual networks from different subscriptions to a central hub can overcome these limits. Para obter mais informações, consulte limites de assinatura do Azure.For more information, see Azure subscription limits.
  • Separação de preocupações.Separation of concerns. Você pode implantar cargas de trabalho individuais entre as equipes de TI centrais e as equipes de cargas de trabalho.You can deploy individual workloads between central IT teams and workload teams.

Ativos de nuvem menores podem não se beneficiar da estrutura e dos recursos adicionais oferecidos por esse modelo.Smaller cloud estates might not benefit from the added structure and capabilities that this model offers. Mas esforços de adoção de nuvem maiores devem considerar a implementação de uma arquitetura de rede de Hub e spoke se elas tiverem qualquer uma das preocupações listadas anteriormente.But larger cloud adoption efforts should consider implementing a hub and spoke networking architecture if they have any of the concerns listed previously.

Observação

O site arquiteturas de referência do Azure contém modelos de exemplo que você pode usar como base para implementar suas próprias redes de Hub e spoke:The Azure reference architectures site contains example templates that you can use as the basis for implementing your own hub and spoke networks:

Visão geralOverview

Exemplo de uma topologia de rede de Hub e spoke

Figura 1: exemplo de uma topologia de rede de Hub e spoke.Figure 1: Example of a hub and spoke network topology.

Conforme mostrado no diagrama, o Azure dá suporte a dois tipos de design de Hub e spoke.As shown in the diagram, Azure supports two types of hub and spoke design. Ele dá suporte à comunicação, aos recursos compartilhados e à política de segurança centralizada (rotulada como VNet hub no diagrama) ou a um design com base na WAN virtual do Azure (rotulada como no diagrama) para comunicações de ramificação para ramificação de Virtual WAN grande escala e de ramificação para o Azure.It supports communication, shared resources, and centralized security policy (labeled as VNet hub in the diagram), or a design based on Azure Virtual WAN (labeled as Virtual WAN in the diagram) for large-scale branch-to-branch and branch-to-Azure communications.

Um hub é uma zona central da rede que controla e inspeciona o tráfego de entrada ou saída entre as zonas: Internet, local e spokes.A hub is a central network zone that controls and inspects ingress or egress traffic between zones: internet, on-premises, and spokes. A topologia hub e spoke dá ao seu departamento de ti uma maneira eficaz de impor políticas de segurança em um local central.The hub and spoke topology gives your IT department an effective way to enforce security policies in a central location. Ela também reduz a possibilidade de erros de configuração e exposição.It also reduces the potential for misconfiguration and exposure.

Frequentemente, o hub contém os componentes de serviço comuns consumidos pelos spokes.The hub often contains the common service components that the spokes consume. Os exemplos a seguir são serviços centrais comuns:The following examples are common central services:

  • A infraestrutura do Active Directory do Windows Server, necessária para a autenticação de usuários de terceiros que acessam de redes não confiáveis antes de obterem acesso às cargas de trabalho no spoke.The Windows Server Active Directory infrastructure, required for user authentication of third parties that gain access from untrusted networks before they get access to the workloads in the spoke. Ela inclui os Serviços de Federação do Active Directory (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Um serviço DNS para resolver o nome da carga de trabalho nos spokes para acessar recursos locais e na Internet se o DNS do Azure não for usado.A DNS service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Uma infraestrutura de chave pública (PKI) para implementar logon único em cargas de trabalho.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Controle de fluxo de tráfego TCP e UDP entre as zonas da rede de spoke e a Internet.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Controle de fluxo entre os spokes e o local.Flow control between the spokes and on-premises.
  • Se necessário, fluxo de controle entre um spoke e outro.If needed, flow control between one spoke and another.

Você pode minimizar a redundância, simplificar o gerenciamento e reduzir o custo geral usando a infraestrutura de hub compartilhado para dar suporte a vários spokes.You can minimize redundancy, simplify management, and reduce overall cost by using the shared hub infrastructure to support multiple spokes.

A função de cada spoke pode ser hospedar diferentes tipos de cargas de trabalho.The role of each spoke can be to host different types of workloads. Os spokes também fornecem uma abordagem modular para implantações repetíveis das mesmas cargas de trabalho.The spokes also provide a modular approach for repeatable deployments of the same workloads. Os exemplos incluem desenvolvimento/teste, teste de aceitação do usuário, preparo e produção.Examples include dev/test, user acceptance testing, staging, and production.

Os spokes também podem separar e habilitar diferentes grupos na sua organização.The spokes can also segregate and enable different groups within your organization. Um exemplo são os grupos Azure DevOps.An example is Azure DevOps groups. Dentro de um spoke, é possível implantar uma carga de trabalho básica ou cargas de trabalho complexas de várias camadas com controle de tráfego entre as camadas.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Limites de assinatura e vários hubsSubscription limits and multiple hubs

No Azure, cada componente, seja qual for o tipo, é implantado em uma assinatura do Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. O isolamento dos componentes do Azure em diferentes assinaturas do Azure pode atender aos requisitos de diferentes linhas de negócios, como configurar níveis diferenciados de acesso e autorização.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Uma única implementação de Hub e spoke pode ser dimensionada verticalmente para um grande número de spokes.A single hub and spoke implementation can scale up to a large number of spokes. Mas, assim como acontece com todos os sistemas de TI, há limites de plataformas.But as with every IT system, there are platform limits. A implantação de hub está limitada a uma assinatura específica do Azure, que tem restrições e limites.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits. Um exemplo é um número máximo de emparelhamentos de rede virtual.One example is a maximum number of virtual network peerings. Para obter mais informações, consulte limites de serviço e assinatura do Azure.For more information, see Azure subscription and service limits.

Em casos em que limites podem ser um problema, a arquitetura pode ser expandida ainda mais estendendo o modelo de um único hub e spoke para um cluster de hubs e spokes.In cases where limits might be an issue, you can scale up the architecture further by extending the model from a single hub and spoke to a cluster of hubs and spokes. Você pode interconectar vários hubs em uma ou mais regiões do Azure usando o emparelhamento de rede virtual, o Azure ExpressRoute, a WAN virtual do Azure ou uma VPN site a site.You can interconnect multiple hubs in one or more Azure regions by using virtual network peering, Azure ExpressRoute, Azure Virtual WAN, or a Site-to-Site VPN.

Cluster de hubs e spokes

Figura 2: um cluster de hubs e spokes.Figure 2: A cluster of hubs and spokes.

A introdução de vários hubs aumenta a sobrecarga de gerenciamento e o custo do sistema.The introduction of multiple hubs increases the cost and management overhead of the system. Isso só é justificado pela escalabilidade, pelos limites do sistema ou pela redundância e replicação regional para desempenho do usuário ou a recuperação de desastre.This is only justified by scalability, system limits, or redundancy and regional replication for user performance or disaster recovery. Em cenários que exigem vários hubs, todos os hubs devem buscar oferecer o mesmo conjunto de serviços para facilidade operacional.In scenarios that require multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Interconexão entre spokesInterconnection between spokes

É possível implementar cargas de trabalho complexas de várias camadas em um único spoke.It's possible to implement complex multitier workloads in a single spoke. Você pode implementar configurações de várias camadas usando sub-redes (uma para cada camada) na mesma rede virtual e usando grupos de segurança de rede para filtrar os fluxos.You can implement multitier configurations by using subnets (one for every tier) in the same virtual network and by using network security groups to filter the flows.

Um arquiteto talvez queira implantar uma carga de trabalho de várias camadas em várias redes virtuais.An architect might want to deploy a multitier workload across multiple virtual networks. Com um emparelhamento de redes virtuais, os spokes podem se conectar a outros spokes no mesmo hub ou em hubs diferentes.With virtual network peering, spokes can connect to other spokes in the same hub or in different hubs.

Um exemplo típico desse cenário é o caso em que os servidores de processamento do aplicativo estão em um spoke ou rede virtual.A typical example of this scenario is the case where application processing servers are in one spoke or virtual network. O banco de dados é implantado em um spoke ou em uma rede virtual diferente.The database deploys in a different spoke or virtual network. Nesse caso, é fácil interconectar os spokes ao emparelhamento de redes virtuais e evitar trânsito pelo hub.In this case, it's easy to interconnect the spokes with virtual network peering and avoid transiting through the hub. A solução é executar uma análise cuidadosa e uma revisão de segurança para garantir que ignorar o Hub não ignore pontos de segurança ou de auditoria importantes que possam existir apenas no Hub.The solution is to perform a careful architecture and security review to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

Spokes conectando-se uns aos outros e a um hub

Figura 3: spokes que se conectam entre si e um Hub.Figure 3: Spokes connecting to each other and a hub.

Os spokes também podem ser interconectados a um spoke que atue como um hub.Spokes can also be interconnected to a spoke that acts as a hub. Essa abordagem cria uma hierarquia de dois níveis: o spoke no nível mais alto (nível 0) torna-se o hub dos spokes inferiores (nível 1) da hierarquia.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Os spokes de uma implementação de Hub e spoke são necessários para encaminhar o tráfego para o hub central para que o tráfego possa transitar para seu destino na rede local ou na Internet pública.The spokes of a hub and spoke implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Uma arquitetura com dois níveis de hubs apresenta um roteamento complexo que remove os benefícios de um hub simples e uma relação spoke.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub and spoke relationship.