Звездообразная топологии сети в Azure

Azure
Брандмауэр
Виртуальная сеть
Бастион
VPN-шлюз

В этой эталонной архитектуре подробно описывается топология звезды в Azure.This reference architecture details a hub-spoke topology in Azure. Виртуальная сеть концентратора выступает в качестве центральной точки подключения к нескольким периферийным виртуальным сетям.The hub virtual network acts as a central point of connectivity to many spoke virtual networks. Концентратор также можно использовать в качестве точки подключения к локальным сетям.The hub can also be used as the connectivity point to your on-premises networks. Периферийные виртуальные сети с концентратором и могут использоваться для изоляции рабочих нагрузок.The spoke virtual networks peer with the hub and can be used to isolate workloads.

Преимущества использования конфигурации "основной" и "лучевой" включают экономию затрат, превышение лимитов подписки и изоляцию рабочей нагрузки.The benefits of using a hub and spoke configuration include cost savings, overcoming subscription limits, and workload isolation.

Звездообразная топология в Azure

Развертывание ссылокReference deployment

Это развертывание включает в себя одну виртуальную сеть HUB и две равноправные периферийные серверы.This deployment includes one hub virtual network and two peered spokes. Также развертываются брандмауэр Azure и узел бастиона Azure.An Azure Firewall and Azure Bastion host are also deployed. При необходимости развертывание может включать виртуальные машины в первой периферийной сети и VPN-шлюз.Optionally, the deployment can include virtual machines in the first spoke network and a VPN gateway.

Используйте следующую команду, чтобы создать группу ресурсов для развертывания.Use the following command to create a resource group for the deployment. Нажмите кнопку попробовать , чтобы использовать встроенную оболочку.Click the Try it button to use an embedded shell.

az group create --name hub-spoke --location eastus

Выполните следующую команду, чтобы развернуть конфигурацию концентратора и периферийной сети, пиринг между концентратором и периферийным узлом и узел бастиона.Run the following command to deploy the hub and spoke network configuration, VNet peerings between the hub and spoke, and a Bastion host. При появлении запроса введите имя пользователя и пароль.When prompted, enter a user name and password. Эти значения можно использовать для доступа к виртуальной машине, расположенной в периферийной сети.These values can be used to access the virtual machine located in the spoke network.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

Подробные сведения и дополнительные варианты развертывания см. в статье шаблоны ARM, используемые для развертывания этого решения.For detailed information and additional deployment options, see the ARM Templates used to deploy this solution.

Варианты использованияUse cases

Типичные способы использования этой архитектуры:Typical uses for this architecture include:

  • Рабочая нагрузка, развернутая в разных средах, например в среде для разработки, тестирования и в рабочей среде, для которых требуются общие службы, например DNS, IDS, NTP или AD DS.Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Общие службы размещаются в виртуальной сети концентратора, а каждая среда развертывается на периферийном сервере для поддержания изоляции.Shared services are placed in the hub virtual network, while each environment is deployed to a spoke to maintain isolation.
  • Рабочие нагрузки, не требующие подключения друг к другу, но требующие доступа к общим службам.Workloads that do not require connectivity to each other but require access to shared services.
  • Предприятия, которые требуют централизованного контроля над аспектами безопасности, такими как брандмауэр в концентраторе, таком как сеть периметра, и отдельного управления для рабочих нагрузок в каждой периферийной зоне.Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArchitectureArchitecture

Архитектура состоит из следующих компонентов:The architecture consists of the following components.

Виртуальная сеть концентратора: Виртуальная сеть концентратора является центральной точкой подключения к локальной сети и местом для размещения служб, которые могут использоваться различными рабочими нагрузками, размещенными в виртуальных сетях с периферийными серверами.Hub virtual network: The hub virtual network is the central point of connectivity to your on-premises network and a place to host services that can be consumed by the different workloads hosted in the spoke virtual networks.

Периферийные виртуальные сети: Периферийные виртуальные сети используются для изоляции рабочих нагрузок в собственных виртуальных сетях, управляемых отдельно от других периферийных серверов.Spoke virtual networks: Spoke virtual networks are used to isolate workloads in their own virtual networks, managed separately from other spokes. Каждая рабочая нагрузка может содержать несколько уровней с несколькими подсетями, подключенными через подсистемы балансировки нагрузки Azure.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers.

Пиринг виртуальных сетей: С помощью однорангового соединенияможно подключить две виртуальные сети.Virtual network peering: Two virtual networks can be connected using a peering connection. Одноранговые соединения — это нетранзитивные подключения с низкой задержкой между виртуальными сетями.Peering connections are non-transitive, low latency connections between virtual networks. После пиринга виртуальные сети обмениваются трафиком с помощью магистрали Azure без необходимости использования маршрутизатора.Once peered, the virtual networks exchange traffic by using the Azure backbone without the need for a router.

Узел бастиона: Azure бастиона позволяет безопасно подключаться к виртуальной машине с помощью браузера и портал Azure.Bastion Host: Azure Bastion lets you securely connect to a virtual machine using your browser and the Azure portal. Узел бастиона для Azure развертывается в виртуальной сети Azure и может получать доступ к виртуальным машинам в ней или виртуальным машинам в одноранговом виртуальных сетей.An Azure Bastion host is deployed inside an Azure Virtual Network and can access virtual machines in the VNet, or virtual machines in peered VNets.

Брандмауэр Azure: Брандмауэр Azure — это управляемый брандмауэр как услуга.Azure Firewall: Azure Firewall is a managed firewall as a service. Экземпляр брандмауэра помещается в собственную подсеть.The Firewall instance is placed in its own subnet.

Сетевой шлюз виртуальной сети VPN или шлюз ExpressRoute.VPN virtual network gateway or ExpressRoute gateway. Шлюз виртуальной сети позволяет виртуальной сети подключаться к VPN-устройству или каналу ExpressRoute, используемому для подключения к локальной сети.The virtual network gateway enables the virtual network to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

VPN-устройство.VPN device. Устройство или служба, предоставляющая возможность внешнего подключения к локальной сети.A device or service that provides external connectivity to the on-premises network. VPN-устройство может быть аппаратным устройством или программным решением, таким как служба маршрутизации и удаленного доступа (RRAS) в Windows Server 2012.The VPN device may be a hardware device or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Дополнительные сведения см. в статье о VPN-устройствах для подключений VPN-шлюзов типа "сеть — сеть".For more information, see About VPN devices for Site-to-Site VPN Gateway connections.

РекомендацииRecommendations

В большинстве сценариев применяются следующие рекомендации.The following recommendations apply to most scenarios. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.Follow these recommendations unless you have a specific requirement that overrides them.

Группы ресурсовResource groups

В примере решения, прилагаемом к этому документу, используется одна группа ресурсов Azure.The sample solution included in this document uses a single Azure resource group. На практике концентратор и каждая периферийная зона могут быть реализованы в разных группах ресурсов и даже в разных подписках.In practice, the hub and each spoke can be implemented in different resource groups and even different subscriptions. При использовании одноранговых виртуальных сетей в разных подписках обе подписки могут быть связаны с одним и тем же или другим клиентом Azure Active Directory.When you peer virtual networks in different subscriptions, both subscriptions can be associated with the same or different Azure Active Directory tenant. Это позволяет децентрализованно управлять каждой рабочей нагрузкой при совместном использовании служб, обслуживаемых в концентраторе.This allows for decentralized management of each workload while sharing services maintained in the hub.

Виртуальная сеть и GatewaySubnetVirtual network and GatewaySubnet

Создание подсети с именем GatewaySubnet с диапазоном адресов /27.Create a subnet named GatewaySubnet, with an address range of /27. Для шлюза виртуальной сети требуется эта подсеть.The virtual network gateway requires this subnet. Выделение 32 адресов этой подсети поможет предотвратить достижение ограничения размера шлюза в будущем.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Дополнительные сведения о настройке шлюза см. в следующих статьях с данными об эталонных архитектурах в зависимости от типа подключения:For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Для обеспечения высокой доступности вы можете использовать ExpressRoute вместе с VPN для отработки отказа.For higher availability, you can use ExpressRoute plus a VPN for failover. Ознакомьтесь со статьей Connect an on-premises network to Azure using ExpressRoute with VPN failover (Подключение локальной сети к Azure с помощью ExpressRoute с отработкой отказа VPN).See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

Топологию Hub-лучевой можно также использовать без шлюза, если нет необходимости в подключении к локальной сети.A hub-spoke topology can also be used without a gateway if you don't need connectivity with your on-premises network.

Пиринг между виртуальными сетямиVirtual network peering

Пиринг виртуальных сетей — это Нетранзитивное отношение между двумя виртуальными сетями.Virtual network peering is a non-transitive relationship between two virtual networks. Если вам требуется, чтобы периферийные зоны соединялись друг с другом, подумайте над добавлением отдельного пирингового подключения между ними.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

Однако предположим, что у вас есть несколько периферийных зон, которые должны подключаться друг к другу.However, suppose you have several spokes that need to connect with each other. В этом случае все возможные одноранговые соединения очень быстро выполняются из-за ограничения на число пиринга виртуальных сетей на виртуальную сеть.In that case, you will run out of possible peering connections very quickly due to the limitation on the number of virtual network peerings per virtual network. (Дополнительные сведения см. в разделе ограничения сети.(For more information, see Networking limits. В этом случае рассмотрите возможность использования определяемых пользователем маршрутов (определяемые пользователем маршруты) для принудительной отправки трафика, предназначенного для периферийного сервера, в брандмауэре Azure или виртуального сетевого модуля, действующего в качестве маршрутизатора в концентраторе.In this scenario, consider using user-defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or a network virtual appliance acting as a router at the hub. Это позволит периферийным зонам подключаться друг к другу.This will allow the spokes to connect to each other.

Также можно настроить периферийные серверы на использование шлюза концентратора для взаимодействия с удаленными сетями.You can also configure spokes to use the hub gateway to communicate with remote networks. Чтобы разрешить передачу трафика шлюза из периферийного сервера в концентратор и подключения к удаленным сетям, необходимо выполнить следующие действия.To allow gateway traffic to flow from spoke to hub and connect to remote networks, you must:

  • Настройте подключение пиринга в концентраторе, чтобы Разрешить транзит шлюза.Configure the peering connection in the hub to allow gateway transit.
  • Настройте подключение пиринга в каждой периферийной зоне для использования удаленных шлюзов.Configure the peering connection in each spoke to use remote gateways.
  • Настройте все соединения пиринга, чтобы Разрешить перенаправленный трафик.Configure all peering connections to allow forwarded traffic.

Дополнительные сведения о создании пиринга виртуальных сетей см. в разделе Создание пирингавиртуальной сети.For additional information on creating virtual network peering, see Create VNet peerings.

Подключение периферийной зоныSpoke connectivity

Если требуется подключение между периферийными серверами, попробуйте развернуть брандмауэр Azure или другой сетевой виртуальный модуль и создать маршруты для перенаправления трафика с периферийного сервера на виртуальный сетевой модуль брандмауэра или сети, который затем может маршрутизироваться к второму периферийному устройству.If you require connectivity between spokes, consider deploying an Azure Firewall or other network virtual appliance and create routes to forward traffic from the spoke to the firewall / network virtual appliance, which can then route to the second spoke. В этом случае необходимо настроить пиринговые соединения, чтобы разрешить перенаправленный трафик.In this scenario, you must configure the peering connections to allow forwarded traffic.

Маршрутизация между периферийными серверами с помощью брандмауэра Azure

VPN-шлюз также можно использовать для маршрутизации трафика между периферийными серверами, хотя это влияет на задержку и пропускную способность.You can also use a VPN gateway to route traffic between spokes, although this will impact latency and throughput. Сведения о настройке см. в статье Настройка транзита VPN-шлюза для пиринга виртуальной сети .See Configure VPN gateway transit for virtual network peering for configuration details.

Определите, какие службы являются общими в концентраторе, чтобы обеспечить масштабирование концентратора для большего количества периферийных серверов.Consider what services are shared in the hub to ensure the hub scales for a larger number of spokes. Например, если в вашем концентраторе есть службы брандмауэра, при добавлении нескольких периферийных узлов следует учитывать ограничения пропускной способности в решении брандмауэра.For instance, if your hub provides firewall services, consider your firewall solution's bandwidth limits when adding multiple spokes. Возможно, вам захочется перенести некоторые из этих общих служб на второй уровень концентраторов.You might want to move some of these shared services to a second level of hubs.

Рабочие соображенияOperational considerations

При развертывании и управлении центральными и периферийными сетями учитывайте следующее.Consider the following when deploying and managing hub and spoke networks.

Мониторинг сетейNetwork monitoring

Используйте наблюдатель за сетями Azure для мониторинга и устранения неполадок сетевых компонентов, таких как Аналитика трафика покажут системы в виртуальных сетях, которые создают наибольший объем трафика, чтобы вы могли визуально выявлять узкие места, прежде чем они будут выдавать проблемы.Use Azure Network Watcher to monitor and troubleshoot the network components, tools like Traffic Analytics will show you the systems in your virtual networks that generate the most traffic so that you can visually identify bottlenecks before they degenerate into problems. Диспетчер производительности сети — это правильное средство для отслеживания сведений о каналах Microsoft ExpressRoute.Network Performance Manager is the right tool to monitor information about Microsoft ExpressRoute circuits. Диагностика VPN — это еще одно средство, которое может помочь в устранении неполадок VPN-подключений типа "сеть — сеть", соединяющих приложения с локальными пользователями.VPN diagnostics is another tool that can help troubleshoot site-to-site VPN connections connecting your applications to users on-premises.

Дополнительные сведения см. в статье наблюдатель за сетями Azure в Azure Well-Architected Framework.For more information, see Azure Network Watcher in the Azure Well-Architected Framework.

Рекомендации по затратамCost considerations

При развертывании и управлении центральными и периферийными сетями следует учитывать следующие связанные с затратами элементы.Consider the following cost-related items when deploying and managing hub and spoke networks.

Брандмауэр AzureAzure Firewall

В этой архитектуре брандмауэр Azure развертывается в сети центра.In this architecture, an Azure Firewall is deployed in the hub network. При использовании в качестве общего решения, которое потребляется несколькими рабочими нагрузками, брандмауэр Azure может сэкономить до 30-50% по сравнению с другим сетевым виртуальным устройством.When used as a shared solution and consumed by multiple workloads, an Azure Firewall can save up to 30-50% over other network virtual appliance. Дополнительные сведения см. в статье брандмауэр Azure и виртуальный модуль сетевого устройства.For more information, see Azure Firewall vs network virtual appliance.

Пиринг между виртуальными сетямиVirtual network peering

Пиринг виртуальных сетей можно использовать для маршрутизации трафика между виртуальными сетями с помощью частных IP-адресов.You can use virtual network peering to route traffic between virtual networks by using private IP addresses. Ниже приведены некоторые моменты.Here are some points:

  • Трафик входящего и исходящего трафика насчитывается на обоих концах одноранговых сетей.Ingress and egress traffic is charged at both ends of the peered networks.
  • Разные зоны имеют разную скорость передачи.Different zones have different transfer rates.

Например, передача данных из виртуальной сети в зоне 1 в другую виртуальную сеть в зоне 2 приведет к поставке исходящих передач для зоны 1 и скорости входящего трафика для зоны 2.For instance, data transfer from a virtual network in zone 1 to another virtual network in zone 2, will incur outbound transfer rate for zone 1 and inbound rate for zone 2. Дополнительные сведения см. в статье цены на виртуальную сеть.For more information, see Virtual network pricing.