在具有自備網路的傳統中樞輪輻拓撲中,您可以完全操作中樞虛擬網路。 您可以將一般服務部署到中樞,並將其提供給工作負載輪輻使用。 這些共用服務通常包括 DNS 資源、自定義 NVA 和 Azure Bastion 等專案。 不過,當您使用 Azure 虛擬 WAN 時,對可以在虛擬中樞上安裝的內容有限制和限制。
例如,若要在傳統的中樞輪輻網路架構中實作 Private Link 和 DNS 整合,您會建立私人 DNS 區域,並將私人 DNS 區域連結至中樞網路。 虛擬機 遠端訪問 的計劃可能包括 Azure Bastion 作為區域中樞的共用服務。 您也可以部署自定義計算資源,例如中樞中的 Active Directory VM。 虛擬 WAN 無法使用這些方法。
本文說明虛擬中樞延伸模組模式,提供如何安全地將共用服務公開至您無法直接部署在虛擬中樞的輪輻的指引。
架構
虛擬中樞擴充功能是聯機至虛擬中樞的專用輪輻虛擬網路,可向工作負載輪輻公開單一共享服務。 您可以使用虛擬中樞擴充功能,為許多工作負載輪輻提供共用資源的網路連線。 DNS 資源是此用法的範例。 您也可以使用擴充功能來包含需要連線到輪輻中許多目的地的集中式資源。 集中式 Azure Bastion 部署是此用途的範例。
圖 1:中樞擴充模式
- 適用於 Azure Bastion 的虛擬中樞擴充功能。 此擴充功能可讓您連線到輪輻網路中的虛擬機。
- DNS 的虛擬中樞擴充功能。 此延伸模組可讓您將私人 DNS 區域專案公開至輪輻網路中工作負載。
考量
這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework。
可靠性
虛擬中樞擴充功能通常被視為業務關鍵,因為它在網路內提供核心功能。 延伸模組應符合商務需求、具有失敗風險降低策略,以及隨著輪輻的需求進行調整。
您的標準作業程式應包含所有延伸模組的復原測試和可靠性監視。 這些程式應該驗證存取和輸送量需求。 每個延伸模組都應該有有意義的健康情況模型。
請清楚瞭解此延伸模組的服務等級目標 (SLO),並準確測量其可靠性。 瞭解 Azure 服務等級協定 (SLA) 和擴充功能中每個個別元件的支援需求。 這項知識可協助您設定目標 SLO 的上限,並瞭解支持的設定。
安全性
網路限制。 雖然許多輪輻通常會使用擴充功能,或需要存取許多輪輻,但它們可能不需要存取或存取所有支點。 盡可能使用可用的網路安全性控制,例如使用網路安全組和透過安全虛擬中樞輸出流量。
數據和控制平面訪問控制。 請遵循部署到擴充功能的所有資源的最佳作法,為資源控制平面和任何數據平面提供最低特殊許可權存取權。
成本最佳化
如同任何工作負載,請確定已針對擴充功能資源選取適當的SKU大小,以協助控制成本。 上班時間和其他因素可能會導致某些延伸模組的可預測使用模式。 瞭解模式,並提供可容納這些模式的彈性和延展性。
作為共用服務,工作負載資源在企業架構中通常會有相對較長的生命週期。 請考慮透過 Azure 保留、保留容量定價和 Azure 節省方案等預先購買供應項目來節省成本。
卓越營運
建置虛擬中樞延伸模組以遵守單一責任原則 (SRP)。 每個延伸模組都應該針對單一供應專案,因此請勿在單一輪輻中結合不相關的服務。 您可以組織資源,讓每個擴充功能都位於專用的資源群組中,以便更輕鬆地管理 Azure 原則和角色。
您應該使用基礎結構即程式代碼來布建這些延伸模組,並具有支援每個延伸模組需求和生命週期的組建和發行程式。 因為擴充功能在本質上通常是業務關鍵,因此對於每個延伸模塊來說,必須具備嚴格的測試方法和安全部署做法。
有明確的變更控制和企業溝通計劃至關重要。 您可能需要與項目關係人(工作負載擁有者)溝通您正在執行的災害復原(DR)演練,或任何計劃性或非預期的停機時間。
請確定您已針對這些資源備妥穩固的作業健全狀況系統。 在所有擴充功能資源上啟用適當的 Azure 診斷 設定,並擷取您需要瞭解工作負載健康情況的所有遙測和記錄。 請考慮長期儲存作業記錄和計量,以支援在共用服務延伸模組非預期的行為期間進行客戶支持互動。
效能效率
擴充功能是集中式服務。 若要設計縮放單位來處理負載變更,您需要瞭解:
- 貴組織對擴充功能所做的要求。
- 容量規劃的需求。
- 輪輻如何隨著時間成長。
若要設計縮放單位,請根據已就地的計量和服務調整限制,測試並記錄擴充功能中的每個元件如何個別調整。 某些擴充功能可能需要跨多個實例進行負載平衡,才能達到所需的輸送量。
範例實作
Private Link DNS 擴充功能:建立 DNS 的虛擬中樞擴充功能描述虛擬中樞延伸模組,其設計目的是支援私人連結案例的單一區域 DNS 查閱。