Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приватный канал Azure
Azure DNS
Брандмауэр Azure
Виртуальная глобальная сеть Azure
В традиционной топологии концентратора с помощью собственной сети можно полностью управлять виртуальной сетью концентратора. Общие службы можно развернуть в центре и сделать их доступными для периферийных рабочих нагрузок. Эти общие службы часто включают такие функции, как DNS-ресурсы, пользовательские сетевые виртуальные устройства (NVA) и Бастион Azure. Однако при использовании Виртуальная глобальная сеть Azure у вас есть ограничения на доступ и на то, что можно установить на виртуальных центрах.
Например, чтобы реализовать интеграцию Приватный канал и DNS в традиционной сетевой архитектуре концентратора и спиц, вы создадите частные зоны DNS и свяжите их с сетью концентратора. Ваш план удаленного доступа к виртуальной машине может включать Бастион Azure в качестве общей службы в региональном центре. Вы также можете развернуть пользовательские вычислительные ресурсы, такие как виртуальные машины Active Directory в центре. Ни один из этих подходов невозможен с виртуальной глобальной сетью.
В этой статье описывается шаблон расширения виртуального концентратора, который содержит рекомендации по безопасному использованию общих служб периферийным устройствам, которые не удается развернуть непосредственно в виртуальном концентраторе.
Архитектура
Расширение виртуального концентратора — это выделенная периферийная виртуальная сеть, подключенная к виртуальному концентратору, который предоставляет одну общую службу для периферийных рабочих нагрузок. Вы можете использовать расширение виртуального концентратора для предоставления многим сопряжениям рабочей нагрузки сетевого подключения к общему ресурсу. Ресурсы DNS являются примером этого использования. Вы также можете использовать расширение для содержания централизованного ресурса, которому требуется подключение ко многим пунктам назначения в «спицах». Централизованное развертывание Бастиона Azure является примером этого использования.
Рис. 1: Образец расширения концентратора
Скачайте файл Visio для этой архитектуры.
- Расширение виртуального концентратора для Бастиона Azure. Это расширение позволяет подключаться к виртуальным машинам в спицевых сетях.
- Расширение виртуального концентратора для DNS. Это расширение позволяет открывать частные записи зоны DNS нагрузкам в периферийных сетях.
Рекомендации
Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
Надежность
Расширение виртуального концентратора часто считается критически важным для бизнеса, так как оно обслуживает основную функцию в сети. Расширения должны соответствовать бизнес-требованиям, иметь стратегии смягчения сбоев и масштабироваться в соответствии с потребностями ответвлений.
Стандартные операционные процедуры должны включать тестирование устойчивости и мониторинг надежности всех расширений. Эти процедуры должны проверять требования к доступу и пропускной способности. Каждое расширение должно иметь значимую модель работоспособности.
Будьте ясны в задачах уровня обслуживания (SLO) для этого расширения и точно измеряйте надежность в соответствии с ними. Ознакомьтесь с соглашением об уровне обслуживания Azure и требованиями к поддержке для каждого отдельного компонента в расширении. Эти знания помогают задать потолок целевого SLO и понять поддерживаемые конфигурации.
Безопасность
Ограничения сети. Хотя расширения часто используются многими спицами сети или нуждаются в доступе ко многим спицам, они могут не нуждаться в доступе от всех или ко всем спицам. Используйте доступные средства управления безопасностью сети, такие как использование групп безопасности сети и исходящий трафик через защищенный виртуальный концентратор, где это возможно.
Управление доступом к данным и контрольному плану. Следуйте лучшим практикам для всех ресурсов, развернутых в расширениях, предоставляя минимально привилегированный доступ к плоскости управления ресурсами и любым плоскостям данных.
Оптимизация затрат
Как и в случае с любой рабочей нагрузкой, убедитесь, что соответствующие размеры SKU выбираются для ресурсов расширения для управления затратами. Рабочие часы и другие факторы могут вызвать прогнозируемые шаблоны использования для некоторых расширений. Понять паттерны и обеспечить эластичность и масштабируемость, которые могут поддержать их.
В качестве общей службы ресурсы рабочей нагрузки обычно имеют относительно длинный цикл работы в вашей корпоративной архитектуре. Рассмотрите возможность использования экономии затрат с помощью предложений предварительной покупки, таких как резервирования Azure, цены на резервирование мощности и планы экономии Azure.
Эффективность работы
Создание расширений виртуального концентратора для соблюдения единого принципа ответственности (SRP). Каждое расширение должно быть для одной услуги, поэтому не сочетайте несвязанные службы в одной спице. Вы можете упорядочить ресурсы таким образом, чтобы каждое расширение располагалось в выделенной группе ресурсов, чтобы упростить управление политикой и ролями Azure.
Эти расширения следует подготовить с помощью инфраструктуры в качестве кода и иметь процесс сборки и выпуска, который поддерживает потребности и жизненный цикл каждого расширения. Так как расширения часто критически важны для бизнеса, и важно иметь строгие методы тестирования и безопасные методики развертывания для каждого расширения.
Наличие четкого плана управления изменениями и корпоративного коммуникационного плана имеет жизненно важное значение. Возможно, вам потребуется связаться с заинтересованными сторонами (владельцами рабочих нагрузок) по поводу учений по аварийному восстановлению или любых запланированных или непредвиденных простоев.
Убедитесь, что у вас есть надежная система мониторинга и поддержания работоспособности для этих ресурсов. Включите соответствующие параметры Диагностика Azure для всех ресурсов расширений и захватите все данные телеметрии и журналы, необходимые для понимания работоспособности рабочей нагрузки. Рассмотрим долгосрочное хранение журналов операций и метрик для поддержки взаимодействия с клиентами во время неожиданного поведения расширения общей службы.
Уровень производительности
Расширение — это централизованная служба. Чтобы разработать единицы масштабирования для обработки изменений нагрузки, необходимо понять:
- Требования вашей организации к расширению.
- Требования к планированию емкости.
- Как спицы будут расти со временем.
Чтобы разработать масштабы, протестируйте и задокументируйте, как каждый компонент в вашем расширении масштабируется по отдельности на основе установленных метрик и ограничений масштабирования служб. Некоторым расширениям может потребоваться балансировка нагрузки между несколькими экземплярами для достижения требуемой пропускной способности.
Пример реализации
Приватный канал DNS расширение:Установите расширение виртуального концентратора для DNS описывает расширение виртуального концентратора, предназначенное для поддержки поиска DNS в одном регионе для сценариев Приватный канал.
Дальнейшие шаги
Связанные ресурсы
- Что собой представляет частная конечная точка?
- Конфигурация DNS частной конечной точки Azure
- Приватный канал и масштабная интеграция DNS
- Приватный канал Azure в центральной и периферийной сети
- DNS для локальных ресурсов и ресурсов Azure
- Подключение сетей к Azure Monitor с помощью Приватного канала Azure
- Ресолвер частных DNS-запросов Azure
- Более безопасный доступ к мультитенантным веб-приложениям из локальной сети
- Базовое высокодоступное веб-приложение с резервированием зон
- Руководство. Создание инфраструктуры DNS частной конечной точки с помощью частного сопоставителя Azure для локальной рабочей нагрузки