Azure 中的中樞輪輻網路拓撲

Azure
防火牆
虛擬網路
Bastion
VPN 閘道

此參考架構會詳細說明 Azure 中的中樞輪輻拓撲。 中樞虛擬網路可作為許多輪輻虛擬網路的連接中心點。 中樞也可以做為您內部部署網路的連接點。 與中樞的輪輻虛擬網路對等互連,可用於隔離工作負載。

使用中樞與輪輻設定的優點包括節省成本、克服訂用帳戶限制和工作負載隔離。

Azure 中的中樞輪輻拓撲

參考部署

此部署包括一個中樞虛擬網路和兩個對等互連輪輻。 此外也會部署 Azure 防火牆和 Azure 堡壘主機。 (選擇性)部署可以包含第一個輪輻網路和 VPN 閘道中的虛擬機器。

使用下列命令來建立部署的資源群組。 按一下 [ 試試看 ] 按鈕,使用內嵌的 shell。

az group create --name hub-spoke --location eastus

執行下列命令,以部署中樞和輪輻網路設定、中樞與輪輻之間的 VNet 對等互連,以及防禦主機。 出現提示時,請輸入使用者名稱和密碼。 這些值可以用來存取位於輪輻網路中的虛擬機器。

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

如需詳細資訊和額外的部署選項,請參閱 Azure Resource Manager (用來部署此解決方案的 ARM) 範本。

使用案例

此架構的典型使用案例包括:

  • 在不同環境 (例如開發、測試和生產環境) 下部署,且需要共用服務 (例如 DNS、IDS、NTP 或 AD DS) 的工作負載。 共用的服務會放在中樞虛擬網路中,而每個環境都會部署至輪輻以維持隔離。
  • 不需要彼此連線,但需要存取共用服務的工作負載。
  • 需要集中控制安全性層面 (例如,在中樞當作 DMZ 的防火牆),並對每個輪輻中的工作負載進行分離管理的企業。

架構

此架構由下列元件組成。

中樞虛擬網路: 中樞虛擬網路是連線到內部部署網路的中心點。 它是裝載服務的位置,可供裝載于輪輻虛擬網路中的不同工作負載使用。

輪輻虛擬網路: 輪輻虛擬網路可用來隔離自己的虛擬網路中的工作負載,與其他輪輻分開管理。 每個工作負載在透過 Azure 負載平衡器連線多個子網路的情況下,都可能包括多層。

虛擬網路對等互連: 您可以使用對 等互連連接來連接兩個虛擬網路。 對等互連連線是虛擬網路之間不可轉移的低延遲連線。 對等互連之後,虛擬網路會使用 Azure 骨幹交換流量,而不需要路由器。

防禦 主機: Azure 防禦可讓您使用瀏覽器和 Azure 入口網站安全地連接到虛擬機器。 Azure 堡壘主機會部署在 Azure 虛擬網路內,並可存取 VNet 中的虛擬機器,或對等互連 Vnet 中的虛擬機器。

Azure 防火牆: Azure 防火牆是受控的防火牆即服務。 防火牆實例會放在它自己的子網中。

VPN 虛擬網路閘道或 ExpressRoute 閘道。 虛擬網路閘道可讓虛擬網路連線到 VPN 裝置,或連線至內部部署網路的 ExpressRoute 線路。 如需詳細資訊,請參閱將內部部署網路連線至 Microsoft Azure 虛擬網路

VPN 裝置。 可對內部部署網路提供外部連線的裝置或服務。 VPN 裝置可以是硬體裝置或軟體解決方案,例如 Windows Server 2012 中 (RRAS) 的「路由及遠端存取」服務。 如需詳細資訊,請參閱 關於站對站 Vpn 閘道連線的 vpn 裝置

建議

下列建議適用于大部分的案例。 除非您有特定的需求會覆寫它們,否則請遵循下列建議。

資源群組

本檔中包含的範例解決方案使用單一 Azure 資源群組。 在實務上,中樞和每個輪輻都可以在不同的資源群組中執行,甚至是不同的訂用帳戶。 當您對等互連不同訂用帳戶中的虛擬網路時,這兩個訂用帳戶可以與相同或不同 Azure Active Directory 租使用者建立關聯。 這項彈性可讓您以非集中式方式管理每個工作負載,同時共用中樞維護的服務。

虛擬網路和 GatewaySubnet

建立一個名為 GatewaySubnet 的子網路,且其位址範圍為 /27。 虛擬網路閘道需要這個子網。 將32位址提供給這個子網將有助於防止未來的閘道大小限制。

如需有關設定閘道的詳細資訊,請根據您的連線類型,參閱下列參考架構:

如需高可用性,您可以使用 ExpressRoute 加上 VPN 進行容錯移轉。 請參閱使用 ExpressRoute 搭配 VPN 容錯移轉,將內部部署網路連線至 Azure

如果您不需要與內部部署網路連線,也可以在沒有閘道的情況下使用中樞輪輻拓撲。

虛擬網路對等互連

虛擬網路對等互連是兩個虛擬網路之間不可轉移的關聯性。 如果您需要輪輻彼此連線,請考慮在這些輪輻之間加入個別的對等連線。

假設您有數個需要彼此連接的輪輻。 在此情況下,您將會快速地用盡可能的對等互連連線,因為每個虛擬網路對等互連的虛擬網路數目有限。 (需詳細資訊,請參閱 網路限制。 在此案例中,請考慮使用 (Udr) 的使用者定義路由,以強制將目的地為輪輻的流量傳送至 Azure 防火牆或網路虛擬裝置,作為中樞的路由器。 這項變更可讓輪輻彼此連接。

您也可以設定輪輻,以使用中樞閘道來與遠端網路通訊。 若要允許閘道流量從輪輻流至中樞並連接到遠端網路,您必須:

  • 設定中樞內的對等互連連線,以 允許閘道傳輸
  • 設定每個輪輻中的對等互連連線,以 使用遠端閘道
  • 設定所有對等互連連線以 允許轉送的流量

如需詳細資訊,請參閱 建立 VNet 對等互連

輪輻連線能力

如果您需要輪輻之間的連線能力,請考慮部署 Azure 防火牆或其他網路虛擬裝置。 然後建立路由,將流量從輪輻轉送到防火牆或網路虛擬裝置,然後路由傳送至第二個輪輻。 在此案例中,您必須將對等連線設定為 允許轉送的流量

使用 Azure 防火牆在輪輻之間進行路由

您也可以使用 VPN 閘道來路由輪輻之間的流量,雖然此選擇會影響延遲和輸送量。 如需設定詳細資料,請參閱為 虛擬網路對等互連設定 VPN 閘道傳輸

請考慮中樞內共用的服務,以確保中樞可針對較大量的輪輻進行調整。 比方說,如果您的中樞提供防火牆服務,則在新增多個輪輻時請考慮防火牆解決方案的頻寬限制。 您可以將其中部分共用服務移到中樞的第二層。

操作考量

部署和管理中樞和輪輻網路時,請考慮下列資訊。

網路監視

使用 Azure 網路監看員來監視網路元件並進行疑難排解。 流量分析等工具會顯示虛擬網路中產生最多流量的系統。 然後,您可以在問題發生之前,以視覺方式找出瓶頸。 網路效能管理員是監視 Microsoft ExpressRoute 線路相關資訊的正確工具。 VPN 診斷是另一種工具,可協助針對將應用程式連接到內部部署使用者的站對站 VPN 連線進行疑難排解。

如需詳細資訊,請參閱 Azure Well-Architected Framework 中的 Azure 網路 監看員。

成本考量

部署和管理中樞和輪輻網路時,請考慮下列與成本相關的專案。

Azure 防火牆

Azure 防火牆會部署在此架構的中樞網路中。 作為共用解決方案使用,並由多個工作負載使用時,Azure 防火牆最多可節省30-50% 的其他網路虛擬裝置。 如需詳細資訊,請參閱 Azure 防火牆與網路虛擬裝置

虛擬網路對等互連

您可以使用虛擬網路對等互連,利用私人 IP 位址在虛擬網路之間路由傳送流量。 以下是一些重點:

  • 輸入和輸出流量會以對等互連網路的兩端收費。
  • 不同的區域有不同的傳輸費率。

例如,從區域1中的虛擬網路傳輸至區域2中的另一個虛擬網路的資料,將會產生區域1的輸出傳輸速率和區域2的輸入速率。 如需詳細資訊,請參閱 虛擬網路定價

後續步驟

深入瞭解元件技術:

探索相關的架構: