Звездообразная топология сетиHub and spoke network topology

HUB и лучевой — это модель сети для эффективного управления общими требованиями к взаимодействию или безопасности.Hub and spoke is a networking model for efficiently managing common communication or security requirements. Она также позволяет избежать ограничений подписки Azure.It also helps avoid Azure subscription limitations. В этой модели уделяется особое внимание следующим вопросам.This model addresses the following concerns:

  • Сокращение затрат и повышения эффективности управления.Cost savings and management efficiency. Централизация служб, которые могут совместно использоваться несколькими рабочими нагрузками, такими как сетевые виртуальные модули (NVA) и DNS-серверы, в одном расположении, что позволяет ИТ-отделу минимизировать избыток ресурсов и усилия по управлению.Centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location allows IT to minimize redundant resources and management effort.
  • Превышение лимитов подписки.Overcoming subscription limits. Для больших облачных рабочих нагрузок может потребоваться больше ресурсов, чем разрешено в одной подписке Azure.Large cloud-based workloads might require using more resources than are allowed in a single Azure subscription. Пиринг рабочей нагрузки виртуальных сетей из различных подписок в центральный концентратор может преодолеть эти ограничения.Peering workload virtual networks from different subscriptions to a central hub can overcome these limits. Дополнительные сведения см. в статье ограничения подписки Azure.For more information, see Azure subscription limits.
  • Разделение проблем.Separation of concerns. Вы можете развертывать отдельные рабочие нагрузки между центральными ИТ-командами и командами по выполнению рабочих нагрузок.You can deploy individual workloads between central IT teams and workload teams.

Небольшие облачные инфраструктуры могут не воспользоваться преимуществами дополнительной структуры и возможностями, которые предлагает эта модель.Smaller cloud estates might not benefit from the added structure and capabilities that this model offers. Но при больших усилиях по внедрению в облако следует рассмотреть возможность реализации архитектуры концентратора и периферийной сети, если у них есть какие-либо проблемы, перечисленные выше.But larger cloud adoption efforts should consider implementing a hub and spoke networking architecture if they have any of the concerns listed previously.

Примечание

На сайте эталонные архитектуры Azure содержатся примеры шаблонов, которые можно использовать в качестве базиса для реализации собственных сетей HUB и периферийных серверов.The Azure reference architectures site contains example templates that you can use as the basis for implementing your own hub and spoke networks:

ОбзорOverview

Пример топологии сети концентратора и звезды

Рис. 1. Пример топологии сети концентратора и периферийной зоны.Figure 1: Example of a hub and spoke network topology.

Как показано на схеме, Azure поддерживает два типа центрально-лучевой конструкции.As shown in the diagram, Azure supports two types of hub and spoke design. Она поддерживает взаимодействие, общие ресурсы и централизованную политику безопасности (помеченную как VNet hub схема), а также схему, основанную на виртуальной глобальной сети Azure (помеченную как Virtual WAN на схеме) для крупномасштабных взаимодействий между ветвями и ветвями и Azure.It supports communication, shared resources, and centralized security policy (labeled as VNet hub in the diagram), or a design based on Azure Virtual WAN (labeled as Virtual WAN in the diagram) for large-scale branch-to-branch and branch-to-Azure communications.

Центральная зона (концентратор) контролирует и проверяет входящий и исходящий трафик между зонами, включая Интернет, а также локальные периферийные зоны.A hub is a central network zone that controls and inspects ingress or egress traffic between zones: internet, on-premises, and spokes. Топология "звезда" предоставляет ИТ-отделу эффективный способ принудительного применения политик безопасности в центральном расположении.The hub and spoke topology gives your IT department an effective way to enforce security policies in a central location. одновременно минимизируя уязвимости и ошибки в конфигурации.It also reduces the potential for misconfiguration and exposure.

В концентраторе часто содержатся общие компоненты службы, используемые периферийными зонами.The hub often contains the common service components that the spokes consume. Их примеры представлены ниже.The following examples are common central services:

  • Инфраструктура Windows Server Active Directory для аутентификации внешних пользователей, которые пытаются получить доступ из ненадежных сетей, до предоставления таким пользователям доступа к рабочим нагрузкам в периферийных зонах.The Windows Server Active Directory infrastructure, required for user authentication of third parties that gain access from untrusted networks before they get access to the workloads in the spoke. Сюда входят связанные службы федерации Active Directory (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Служба DNS для разрешения имен рабочих нагрузок в периферийных зонах и получения доступа к ресурсам локально и в Интернете, если Azure DNS не используется.A DNS service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Инфраструктура открытых ключей (PKI) для реализации единого входа в рабочие нагрузки.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Управление TCP- и UDP-трафиком между зонами периферийными зонами и Интернетом.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Управление потоком между периферийными зонами и локальными ресурсами.Flow control between the spokes and on-premises.
  • Управление потоком между несколькими периферийными зонами (при необходимости).If needed, flow control between one spoke and another.

Вы можете минимизировать избыточность, упростить управление и снизить общую стоимость, используя общую инфраструктуру концентратора для поддержки нескольких периферийных зон.You can minimize redundancy, simplify management, and reduce overall cost by using the shared hub infrastructure to support multiple spokes.

Роль каждой периферийной зоны может заключаться в размещении различных типов рабочих нагрузок.The role of each spoke can be to host different types of workloads. Использование периферийных зон также позволяют реализовать модульный подход для повторяемых развертываний одних и тех же рабочих нагрузокThe spokes also provide a modular approach for repeatable deployments of the same workloads. Примеры: Разработка и тестирование, приемочное тестирование пользователя, промежуточное хранение и Рабочая среда.Examples include dev/test, user acceptance testing, staging, and production.

Также эти зоны можно использовать для разделения и включения различных групп в пределах организации,The spokes can also segregate and enable different groups within your organization. например, групп DevOps в Azure.An example is Azure DevOps groups. В пределах периферийной зоны можно развернуть базовую рабочую нагрузку или сложные многоуровневые рабочие нагрузки с управлением трафиком между уровнями.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Ограничения подписки и несколько центральных зонSubscription limits and multiple hubs

В Azure каждый компонент (независимо от типа) развертывается в подписке Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. Изоляция компонентов Azure в разных подписках Azure позволяет выполнять требования различных бизнес-приложений, например настройку дифференцированных уровней доступа и авторизации.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Одна из основных и периферийных реализаций может масштабироваться до большого количества периферийных серверов.A single hub and spoke implementation can scale up to a large number of spokes. Но, как и в случае с любой ИТ-системой, у этой платформы есть свои ограничения.But as with every IT system, there are platform limits. Развертывание концентратора привязано к определенной подписке Azure, которая имеет ограничения,The hub deployment is bound to a specific Azure subscription, which has restrictions and limits. Одним из примеров может быть максимальное число пиринга виртуальных сетей.One example is a maximum number of virtual network peerings. Дополнительные сведения см. в статье Подписка Azure и ограничения службы.For more information, see Azure subscription and service limits.

В случаях, когда ограничения становятся проблемой, архитектуру можно далее масштабировать, расширяя отдельную звездообразную модель до звездообразного кластера.In cases where limits might be an issue, you can scale up the architecture further by extending the model from a single hub and spoke to a cluster of hubs and spokes. Вы можете соединить несколько концентраторов в одном или нескольких регионах Azure с помощью пиринга виртуальных сетей, Azure ExpressRoute, виртуальной глобальной сети Azure или VPN типа "сеть — сеть".You can interconnect multiple hubs in one or more Azure regions by using virtual network peering, Azure ExpressRoute, Azure Virtual WAN, or a Site-to-Site VPN.

Кластер концентраторов и периферийных зон

Рис. 2. кластер концентраторов и периферийных серверов.Figure 2: A cluster of hubs and spokes.

Включение нескольких концентраторов приводит к увеличению затрат и накладных расходов на управление.The introduction of multiple hubs increases the cost and management overhead of the system. Это может быть оправдано только требованиями масштабируемости (в соответствии с системными ограничениями или избыточностью) и региональной репликации (для обеспечения производительности или аварийного восстановления).This is only justified by scalability, system limits, or redundancy and regional replication for user performance or disaster recovery. В сценариях, требующих несколько концентраторов, все концентраторы должны обеспечивать один набор служб для упрощения выполнения операций.In scenarios that require multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Взаимодействие между периферийными зонамиInterconnection between spokes

В пределах отдельной периферийной зоны можно реализовать сложные многоуровневые рабочие нагрузки.It's possible to implement complex multitier workloads in a single spoke. Вы можете реализовать многоуровневые конфигурации, используя подсети (по одной для каждого уровня) в одной виртуальной сети, а также используя группы безопасности сети для фильтрации потоков.You can implement multitier configurations by using subnets (one for every tier) in the same virtual network and by using network security groups to filter the flows.

Архитектор может развернуть многоуровневую рабочую нагрузку в пределах нескольких виртуальных сетей.An architect might want to deploy a multitier workload across multiple virtual networks. Используя пиринг между виртуальными сетями, периферийные зоны могут подключаться к другим периферийным зонам в пределах одного или нескольких концентраторов.With virtual network peering, spokes can connect to other spokes in the same hub or in different hubs.

Типичным примером такого сценария является случай, когда серверы обработки приложения располагаются в одной периферийной зоне или виртуальной сети,A typical example of this scenario is the case where application processing servers are in one spoke or virtual network. а база данных развернута в другой периферийной зоне или виртуальной сети.The database deploys in a different spoke or virtual network. В этом случае периферийные зоны могут легко обмениваться данными через пиринговые виртуальные сети, не используя при этом концентратор.In this case, it's easy to interconnect the spokes with virtual network peering and avoid transiting through the hub. Решение состоит в том, чтобы выполнить тщательную проверку архитектуры и безопасности, чтобы обход концентратора не обходит важные точки безопасности или аудита, которые могут существовать только в концентраторе.The solution is to perform a careful architecture and security review to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

Периферийные зоны, соединяющиеся друг с другом и с концентратором

Рисунок 3. периферийные серверы, соединяющие друг с другом и концентратор.Figure 3: Spokes connecting to each other and a hub.

Периферийные зоны могут также взаимодействовать с периферийной зоной, выполняющей функции концентратора.Spokes can also be interconnected to a spoke that acts as a hub. Такой подход создает двухуровневую иерархию: периферийная зона высокого уровня (уровень 0) становится концентратором подчиненных периферийных зон (уровень 1) иерархии.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Периферийные серверы, связанные с основной и резервной реализацией, необходимы для пересылки трафика в Центральный концентратор, чтобы трафик мог пересылаться в место назначения в локальной сети или в общедоступном Интернете.The spokes of a hub and spoke implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Архитектура с двумя уровнями концентраторов представляет сложную маршрутизацию, которая устраняет преимущества простой связи HUB и звезды.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub and spoke relationship.