Em uma topologia hub-spoke tradicional com traga sua própria rede, você pode manipular completamente a rede virtual do hub. Você pode implantar serviços comuns no hub e disponibilizá-los para raios de carga de trabalho. Esses serviços compartilhados geralmente incluem coisas como recursos DNS, NVAs personalizados e Azure Bastion. No entanto, ao usar a WAN Virtual do Azure, você tem acesso restrito e limitações sobre o que pode instalar nos hubs virtuais.
Por exemplo, para implementar a integração de Link Privado e DNS em uma arquitetura de rede hub-spoke tradicional, você criaria e vincularia zonas DNS privadas à rede de hub. Seu plano de acesso remoto à máquina virtual pode incluir o Azure Bastion como um serviço compartilhado no hub regional. Você também pode implantar recursos de computação personalizados, como VMs do Ative Directory no hub. Nenhuma dessas abordagens é possível com a WAN Virtual.
Este artigo descreve o padrão de extensão de hub virtual que fornece orientação sobre como expor com segurança serviços compartilhados a raios que você não consegue implantar diretamente em um hub virtual.
Arquitetura
Uma extensão de hub virtual é uma rede virtual dedicada conectada ao hub virtual que expõe um único serviço compartilhado a raios de carga de trabalho. Você pode usar uma extensão de hub virtual para fornecer, para muitos raios de carga de trabalho, conectividade de rede ao seu recurso compartilhado. Os recursos DNS são um exemplo desta utilização. Você também pode usar uma extensão para conter um recurso centralizado que requer conectividade para muitos destinos nos raios. Uma implantação centralizada do Azure Bastion é um exemplo desse uso.
Figura 1: Padrão de extensão do hub
Transfira um ficheiro do Visio desta arquitetura.
- Extensão de hub virtual para o Azure Bastion. Essa extensão permite que você se conecte a máquinas virtuais em redes faladas.
- Extensão de hub virtual para DNS. Esta extensão permite-lhe expor entradas de zona DNS privadas a cargas de trabalho em redes faladas.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
Uma extensão de hub virtual é muitas vezes considerada crítica para os negócios, pois está servindo a uma função central dentro da rede. As extensões devem estar alinhadas aos requisitos de negócios, ter estratégias de mitigação de falhas e dimensionar de acordo com as necessidades dos porta-vozes.
Seus procedimentos operacionais padrão devem incluir testes de resiliência e monitoramento de confiabilidade de todas as extensões. Esses procedimentos devem validar os requisitos de acesso e taxa de transferência. Cada extensão deve ter um modelo de saúde significativo.
Seja claro sobre seus objetivos de nível de serviço (SLO) para essa extensão e meça com precisão a confiabilidade em relação a ela. Entenda o contrato de nível de serviço (SLA) do Azure e os requisitos de suporte em cada componente individual na extensão. Esse conhecimento ajuda você a definir o limite para seu SLO de destino e entender as configurações suportadas.
Segurança
Restrições de rede. Embora as extensões sejam frequentemente usadas por muitos raios ou precisem de acesso a muitos raios, elas podem não precisar de acesso de ou para todos os raios. Use os controles de segurança de rede disponíveis, como usar Grupos de Segurança de Rede e enviar tráfego através de seu hub virtual seguro, sempre que possível.
Controle de acesso ao plano de dados e controle. Siga as práticas recomendadas para todos os recursos implantados em extensões, fornecendo acesso menos privilegiado ao plano de controle de recursos e a quaisquer planos de dados.
Otimização de Custos
Como em qualquer carga de trabalho, certifique-se de que os tamanhos de SKU apropriados sejam selecionados para recursos de extensão para ajudar a controlar os custos. O horário comercial e outros fatores podem causar padrões de uso previsíveis para algumas extensões. Compreenda os padrões e forneça a elasticidade e a escalabilidade que podem acomodá-los.
Como um serviço compartilhado, os recursos de carga de trabalho geralmente têm um ciclo de trabalho relativamente longo em sua arquitetura corporativa. Considere usar economias de custos por meio de ofertas de pré-compra, como Reservas do Azure, preços de capacidade reservada e planos de economia do Azure.
Excelência operacional
Crie extensões de hub virtual para aderir ao princípio de responsabilidade única (SRP). Cada extensão deve ser para uma única oferta, portanto, não combine serviços não relacionados em um único discurso. Você pode organizar seus recursos de modo que cada extensão resida em um grupo de recursos dedicado, para facilitar o gerenciamento da política e das funções do Azure.
Você deve provisionar essas extensões usando Infraestrutura como Código e ter um processo de compilação e lançamento que ofereça suporte às necessidades e ao ciclo de vida de cada extensão. Como as extensões geralmente são de natureza crítica para os negócios, é importante ter métodos de teste rigorosos e práticas de implantação seguras para cada extensão.
Ter um controle de mudança claro e um plano de comunicação empresarial em vigor é vital. Talvez seja necessário se comunicar com as partes interessadas (proprietários da carga de trabalho) sobre os exercícios de recuperação de desastres (DR) que está executando ou qualquer tempo de inatividade planejado ou inesperado.
Certifique-se de ter um sistema de integridade operacional sólido para esses recursos. Habilite as configurações apropriadas do Diagnóstico do Azure em todos os recursos de extensão e capture toda a telemetria e os logs necessários para entender a integridade da carga de trabalho. Considere o armazenamento de longo prazo de logs de operação e métricas para dar suporte a interações de suporte ao cliente durante o comportamento inesperado da extensão de serviço compartilhado.
Eficiência de Desempenho
Uma extensão é um serviço centralizado. Para projetar suas unidades de escala para lidar com mudanças de carga, você precisa entender:
- As exigências que sua organização faz na extensão.
- Os requisitos para o planejamento de capacidade.
- Como os raios vão crescer ao longo do tempo.
Para projetar suas unidades de escala, teste e documente como cada componente em sua extensão é dimensionado individualmente, com base nas métricas e nos limites de escala de serviço que estão em vigor. Algumas extensões podem exigir balanceamento de carga em várias instâncias para atingir a taxa de transferência necessária.
Exemplo de implementação
Extensão DNS de Link Privado: Estabelecer uma extensão de hub virtual para DNS descreve uma extensão de Hub Virtual projetada para dar suporte à pesquisa de DNS de região única para cenários de Link Privado.
Passos Seguintes
Recursos relacionados
- O que é um ponto final privado?
- Configuração de DNS do Ponto Final Privado do Azure
- Integração de Link Privado e DNS em escala
- Azure Private Link em uma rede hub-and-spoke
- DNS para recursos locais e do Azure
- Conectividade de zona de aterrissagem de dados de região única
- Utilizar o Azure Private Link para se ligar a redes do Azure Monitor
- Azure DNS Private Resolver
- Acesso de segurança melhorado a aplicações Web multiinquilino a partir de uma rede local
- Aplicativo Web com redundância de zona altamente disponível de linha de base
- Tutorial: Criar uma infraestrutura DNS de ponto de extremidade privada com o Resolvedor Privado do Azure para uma carga de trabalho local