Implementace topologie sítě Hub and Spoke v Microsoft Azure

Posted on by admin

Co je Hub and Spoke

Topologie sítě Hub and Spoke je široce používaná topologie sítě pro všechny typy sítí. Tato topologie je také známá jako hvězdicová topologie. V této topologii je hlavní přístupový bod připojen k internetu pomocí drátu; podobně jako špice na kole se všechna uživatelská zařízení připojují k bezdrátovému směrovači uprostřed. Veškerý síťový provoz musí projít přes rozbočovač, aby se dostal k ostatním paprskům v síti nebo aby se připojil k vnější síti.

Rozbočovač :

Síť s rozbočovačem a paprsky může být malá s jediným přístupovým bodem, například v místní kavárně s WiFi nebo doma, nebo může být dostatečně velká, aby se připojila k podnikové síti s více přístupovými body. Většina mobilních hlasových sítí je také rozbočovač a paprsek; mobilní věž pro určitou oblast je rozbočovač a všechna mobilní zařízení, která touto oblastí procházejí, jsou paprsky.

Rozbočovač :

Sítě s rozbočovačem a paprskem jsou dobře známy všem správcům sítí a jejich výhody jsou důkladně zdokumentovány. Nabízejí vysoký stupeň zabezpečení, protože každé zařízení v síti je izolováno od ostatních prostřednictvím jediného připojení k bezdrátovému směrovači. Mezi další výhody patří vysoký výkon, centralizace a jednoduchost. Jsou relativně levné, snadno se zapojují a snadno se opravují, pokud dojde k výpadku některé komponenty.

Nejdůležitější nevýhodou této topologie sítě je jediný bod selhání v centru. Pokud dojde k výpadku bezdrátového směrovače, celá síť přestane fungovat.

Jedna fyzická lokalita funguje jako rozbočovač (příklad, hlavní kancelář), zatímco ostatní fyzické lokality fungují jako paprsky. Spoke lokality jsou navzájem propojeny prostřednictvím Hub lokality. V topologii rozbočovače a spoje (WAN) prochází síťová komunikace mezi dvěma spoji vždy přes rozbočovač.

Síťová topologie rozbočovače a spoje je způsob, jak izolovat pracovní zátěž a zároveň sdílet společné služby. Mezi tyto služby patří identita a zabezpečení. Rozbočovač je síť VNet, která funguje jako centrální bod připojení k lokální síti. Spičky jsou sítě VNet, které jsou s rozbočovačem propojeny. Sdílené služby jsou nasazeny v rozbočovači, zatímco jednotlivé pracovní zátěže jsou nasazeny ve vedlejších sítích. Zde jsou některé výhody topologie sítě hub a spoke:

  • Úspora nákladů díky centralizaci služeb v jednom místě, které může být sdíleno více pracovními úlohami. Mezi tyto pracovní zátěže patří síťová virtuální zařízení a servery DNS.
  • Překonání omezení odběrů pomocí peeringu sítí VN z různých odběrů do centrálního rozbočovače.
  • Oddělení starostí mezi centrálním IT (SecOps, InfraOps) a pracovními zátěžemi (DevOps).

Typické využití architektury hub and spoke

Mezi typická využití architektury hub and spoke patří:

  • Mnoho zákazníků má pracovní zátěže nasazené v různých prostředích. Mezi tato prostředí patří vývojové, testovací a produkční prostředí. Mnohdy tyto pracovní zátěže potřebují sdílet služby, jako je DNS, IDS, NTP nebo AD DS. Tyto sdílené služby lze umístit do rozbočovače VNet. Tímto způsobem je každé prostředí nasazeno do spoje, aby byla zachována izolace.
  • Pracovní zátěže, které nevyžadují vzájemné připojení, ale vyžadují přístup ke sdíleným službám.
  • Podniky, které vyžadují centrální řízení bezpečnostních aspektů.
  • Podniky, které vyžadují oddělenou správu pracovních zátěží v jednotlivých spojech.

Komponenty použité v architektuře

Vytvořená a nasazená ukázková architektura se skládá z následujících komponent:

  • Hub VNet. Virtuální síť používaná k nasazení rozbočovače, Rozbočovač je ústředním bodem připojení k hostitelským službám a internetu. Služby nasazené v Hub vnet mohou být využívány různými pracovními zátěžemi hostovanými ve spoke VNet.
  • Workload subnet. Podsítě definované ve spoke vnets.
  • Spoke VNets. Spoky lze použít k izolaci pracovních zátěží ve vlastních sítích VNet, spravovaných odděleně od ostatních spoků. Každá pracovní zátěž může zahrnovat více úrovní s více podsítěmi připojenými prostřednictvím vyrovnávačů zátěže Azure.
  • VNet peering. Pro navázání komunikace mezi dvěma sítěmi VNet musí být tyto sítě vzájemně peeringovány. Tomu se říká VNet peering. peeringová spojení jsou netranzitní spojení mezi sítěmi VNet s nízkou latencí. Po peeringu si sítě VNet vyměňují provoz pomocí páteřní sítě Azure. peering VNet se používá k propojení rozbočovače s jednotlivými spoji. Můžete peerovat VNety ve stejném regionu nebo v různých regionech.
  • UDR
  • Azure Firewall V rozbočovači je nasazen Azure Firewall, který poskytuje další vrstvu zabezpečení. Služba Azure Firewall je nákladově efektivní, zejména pokud se používá jako sdílené řešení využívané více pracovními úlohami.

Kroky pro vytvoření architektury HUB a Spoke v Azure :

  1. Vytvořte síť Azure Vnet(SpokeVnet1) s rozsahem IP 12. V síti SpokeVnet1 se vytvoří síť Azure Vnet.0.0.0\16
  2. Vytvořte podsíť v síti SpokeVnet1 a pojmenujte ji jako podsíť pro pracovní zátěž s adresou 12.0.2.0\24
  3. Vytvořte druhou síť Azure Vnet(SpokeVnet1) s rozsahem IP 13.0.0.0\16
  4. Vytvořte podsíť v síti SpokeVnet2 a pojmenujte ji jako Worksload Subnet s 13.0.2.0\24
  5. Vytvořte síť Azure Vnet(HubVnet1) s rozsahem IP 11.0.0.0\16
  6. Vytvořte podsíť v síti HubVnet1a pojmenujte ji jako WoAzureFirewallSubnet s adresou 11.0.1.0\24
  7. Instalace brány Azure Firewall v síti HubVnet1a

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.