Hub-Spoke-Netzwerktopologie in Azure

Diese Referenzarchitektur implementiert ein Hub-Spoke-Netzwerkmuster mit kundenseitig verwalteten Hubinfrastrukturkomponenten. Das Hub-Spoke-Netzwerkmuster, auch bekannt als Hub und Spoke, ist die Netzwerktopologie, die vom Cloud Adoption Framework für Azure empfohlen wird. Lesen Sie Definieren Sie eine Azure Netzwerktopologie um zu verstehen, warum diese Topologie als bewährte Methode für viele Organisationen angesehen wird.

Eine Microsoft verwaltete Hubinfrastrukturlösung finden Sie unter Hub-Spoke-Netzwerktopologie mit Azure Virtual WAN.

Architecture

Laden Sie eine Visio-Datei dieser Architektur herunter.

Hub-Spoke-Konzepte

Hub-Spoke-Netzwerktopologien umfassen in der Regel viele der folgenden Architekturkonzepte:

• Hub-Virtualnetzwerk: Das Hub-Virtualnetzwerk hostet gemeinsame Azure-Netzwerkdienste. Workloads, die in den virtuellen Spoke-Netzwerken gehostet werden, können diese Dienste verwenden. Das virtuelle Hubnetzwerk ist der zentrale Konnektivitätspunkt für Ihre standortübergreifenden Netzwerke. Der Hub enthält Ihren primären Ausgangspunkt und bietet bei Bedarf eine Möglichkeit, eine Sprachverbindung mit einem anderen zu verbinden, um den virtuellen Netzwerkdatenverkehr bei Bedarf zu aktivieren.

  Ein Hub ist eine regionale Ressource. Wenn sich Ihre Workloads in mehreren Regionen befinden, platzieren Sie einen Hub in jeder Region. Der Hub bietet die folgenden Features und Optionen:

  • Standortübergreifendes Gateway: Die Möglichkeit, verschiedene Netzwerkumgebungen zu verbinden und zu integrieren. Dieses Gateway ist in der Regel ein VPN oder ein Azure ExpressRoute Schaltkreis.

  • Ausgangskontrolle: Die Verwaltung und Regulierung des ausgehenden Datenverkehrs, der aus verbundenen virtuellen Netzwerken stammt.

  • Eingangssteuerung: Die optionale Verwaltung und Regulierung des eingehenden Datenverkehrs zu Endpunkten, die in vernetzten Spoke-Virtualnetzen existieren.

  • Remote Access: Die Methode, wie auf einzelne Workloads in Spoke-Netzwerken von Standorten außerhalb des eigenen Netzwerks zugegriffen wird. Dieser Zugriff kann auf die Daten- oder Kontrollebene der Workload ausgerichtet sein.

  • Remote-Zugriff auf Spoke-Netzwerke für virtuelle Maschinen (VMs): Eine organisationsübergreifende Remotekonnektivitätslösung für den Remotedesktop Protocol (RDP)- und Secure Shell Protocol (SSH)-Zugriff auf VMs, die über Spoke-Netzwerke verteilt sind.

  • Routing: Die Verwaltung des Datenverkehrs zwischen dem Hub und den verbundenen Speichen. Routing unterstützt sichere und effiziente Kommunikation.

• Virtuelle Speichennetzwerke: Virtuelle Speichennetzwerke isolieren und verwalten Workloads separat in den einzelnen Speichen. Jede Workload kann mehrere Ebenen umfassen, wobei mehrere Subnetze über Azure Lastenausgleichsgeräte verbunden sind. Speichen können in verschiedenen Abonnements vorhanden sein und verschiedene Umgebungen darstellen, z. B. Produktion und Nichtproduktion. Eine Arbeitslast kann sich über mehrere Speichen verteilen.

  In den meisten Szenarien sollten Sie jeden einzelnen Spoke mit einem Hubnetzwerk in derselben Region verbinden.

  Speichennetzwerke befolgen die Regeln für den standardmäßigen ausgehenden Zugriff. Ein Kernzweck der Hub-Spoke-Netzwerktopologie besteht darin, ausgehenden Internetdatenverkehr über die Steuerungsmechanismen im Hub zu leiten.

• Virtuelle Netzwerk Cross-Konnektivität: Virtuelle Netzwerkkonnektivität ermöglicht die Kommunikation zwischen isolierten virtuellen Netzwerken. Ein Kontrollmechanismus erzwingt Berechtigungen und bestimmt die zulässige Kommunikationsrichtung zwischen Netzwerken. Ein Hub bietet eine Option, um die Auswahl von netzwerkübergreifenden Verbindungen zu unterstützen, die über das zentrale Netzwerk fließen sollen.

• DNS: Hub-Spoke-Lösungen stellen häufig eine DNS-Lösung (Domain Name System) bereit, die alle peered spokes verwenden, insbesondere für standortübergreifendes Routing und private Endpunkt-DNS-Einträge.

Components

• Azure Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Virtual Network bietet eine sichere Kommunikation zwischen Azure Ressourcen, z. B. VMs, und lokalen Netzwerken, dem Internet und einander.

  In dieser Architektur stellen virtuelle Netzwerke mithilfe von Virtual Network peering-Verbindungen eine Verbindung mit dem Hub her, bei denen es sich um nichttransitive Verbindungen mit niedriger Latenz zwischen virtuellen Netzwerken handelt. Virtuell vernetzte Peers können Verkehr über das Azure-Backbone ohne einen Router austauschen. Verwenden Sie in einer Hub-Spoke-Architektur nur unter besonderen Umständen direktes Peering zwischen virtuellen Netzwerken.

• Azure Bastion ist ein vollständig verwalteter Dienst, der RDP- und SSH-Zugriff auf VMs bereitstellt, ohne ihre öffentlichen IP-Adressen verfügbar zu machen. In dieser Architektur wird Azure Bastion als verwaltetes Angebot verwendet, um direkten VM-Zugriff über verbundene Speichen zu unterstützen.

• Azure Firewall ist ein verwalteter cloudbasierter Netzwerksicherheitsdienst, der Virtual Network Ressourcen schützt. Dieser zustandsbehaftete Firewall-Dienst verfügt über eine integrierte hohe Verfügbarkeit und uneingeschränkte Cloud-Skalierbarkeit, um Sie bei der Erstellung, Durchsetzung und Protokollierung von Anwendungs- und Netzwerkkonnektivitätsrichtlinien für Abonnements und virtuelle Netzwerke zu unterstützen.

  In dieser Architektur verfügt Azure Firewall über mehrere potenzielle Rollen. Die Firewall ist der primäre Ausgangspunkt für den Datenverkehr von peered Spoke-virtuellen Netzwerken zum Internet. Die Firewall kann auch eingehenden Datenverkehr mithilfe von IDPS-Regeln (Network Intrusion Detection and Prevention System) prüfen. Die Firewall kann auch als DNS-Proxyserver fungieren, um vollqualifizierte Domänennamen(FQDN)-Datenverkehrsregeln zu unterstützen.

• Azure VPN Gateway ist ein virtuelles Netzwerkgateway, das verschlüsselten Datenverkehr zwischen einem virtuellen Netzwerk in Azure und verschiedenen Netzwerken über das öffentliche Internet sendet. Sie können auch VPN Gateway verwenden, um verschlüsselten Datenverkehr zwischen anderen virtuellen Netzwerken über das Microsoft Netzwerk zu senden.

  In dieser Architektur können VPN Gateway Speichen mit dem Remotenetzwerk verbinden. Speichen stellen in der Regel kein eigenes VPN-Gateway bereit. Sie verwenden die zentrale Lösung, die der Hub bereitstellt. Um diese Konnektivität zu verwalten, müssen Sie die Routingkonfiguration einrichten.

• Ein ExpressRoute-Gateway austauscht IP-Routen und leitet den Netzwerkdatenverkehr zwischen Ihrem lokalen Netzwerk und Ihrem Azure virtuellen Netzwerk weiter. In dieser Architektur kann ExpressRoute als Alternative zu VPN Gateway dienen, um Speichen mit einem Remotenetzwerk zu verbinden. Speichen stellen kein eigenes ExpressRoute-Gateway bereit. Sie verwenden die zentrale Lösung, die der Hub bereitstellt. Um diese Konnektivität zu verwalten, müssen Sie die Routingkonfiguration einrichten.

• Azure Monitor kann Telemetriedaten aus übergreifenden Umgebungen sammeln, analysieren und Maßnahmen ergreifen, einschließlich Azure und lokalen Umgebungen. Azure Monitor hilft Ihnen, die Leistung und Verfügbarkeit Ihrer Anwendungen zu maximieren und Probleme schnell zu erkennen. In dieser Architektur ist Azure Monitor die Protokoll- und Metriksenke für die Hubressourcen und für Netzwerkmetriken. Azure Monitor kann auch als Protokollierungssenke für Ressourcen in Speichenetzwerken dienen. Jeder Speichenworkload bestimmt seine eigene Protokollierungskonfiguration, und diese Architektur erfordert keine Speichenprotokollierung für Azure Monitor.

Alternatives

Diese Architektur umfasst die Erstellung, Konfiguration und Wartung von virtualNetworkPeerings, routeTablesund subnets. Azure Virtual Network Manager ist ein Verwaltungsdienst, der Ihnen hilft, virtuelle Netzwerke in Azure Abonnements, Regionen und Microsoft Entra Verzeichnissen zu gruppieren, zu konfigurieren, bereitzustellen und zu verwalten.

Mit Virtual Network Manager können Sie network groups definieren, um Ihre virtuellen Netzwerke zu identifizieren und logisch zu segmentieren. Sie können auch verbundene Gruppen verwenden, um die Kommunikation zwischen Gruppen virtueller Netzwerke bereitzustellen, als ob sie manuell verbunden sind. Bei diesem Ansatz wird eine Abstraktionsebene hinzugefügt, um Die gewünschte Netzwerktopologie zu beschreiben, ohne die Implementierung zu ändern.

Es wird empfohlen, zu bewerten, ob Sie Virtual Network Manager verwenden sollten, um Ihre Netzwerkverwaltungsvorgänge zu optimieren. Um zu ermitteln, ob Virtual Network Manager den Nettowert für die Größe und Komplexität Ihres Netzwerks bietet, vergleichen Sie die Servicekosten mit den Zeitersparnissen und betrieblichen Vorteilen.

Azure Virtual WAN

Diese Architektur beschreibt ein Netzwerkmuster, das Komponenten der vom Kunden verwalteten Hubinfrastruktur enthält. Eine Microsoft verwaltete Hubinfrastrukturlösung finden Sie unter Hub-Spoke-Netzwerktopologie, die Azure Virtual WAN verwendet.

Die Vorteile der Verwendung einer vom Kunden verwalteten Hub-Spoke-Konfiguration umfassen:

• Kosteneinsparung
• Überwinden von Abonnementgrenzen
• Workloadisolation
• Flexibility
  • Mehr Kontrolle darüber, wie virtuelle Netzwerkgeräte (NVAs) bereitgestellt werden, z. B. Anzahl der NICs, Anzahl von Instanzen oder die Computegröße
  • Verwendung von NVAs, die von Virtual WAN nicht unterstützt werden

Szenariodetails

Diese Referenzarchitektur implementiert ein Hub-Spoke-Netzwerkmuster, bei dem das virtuelle Hubnetzwerk als zentraler Verbindungspunkt für viele virtuelle Spoke-Netzwerke fungiert. Die virtuellen Speichennetzwerke verbinden sich mit dem Hub und können Workloads isolieren. Sie können auch lokale Szenarien unterstützen, indem Sie den Hub verwenden, um eine Verbindung mit lokalen Netzwerken herzustellen.

Weitere Informationen finden Sie unter Hub-and-Spoke-Netzwerktopologie.

Erweiterte Szenarien

Ihre Architektur unterscheidet sich möglicherweise von der einfachen Hub-Spoke-Architektur, die in diesem Artikel beschrieben wird. In der folgenden Liste werden Anleitungen für erweiterte Szenarien beschrieben:

• Um weitere Regionen hinzuzufügen, verwenden Sie Azure Firewall, um eine Multi-Hub-Spoke-Topologie zu routen.

• Verwenden Sie Spoke-to-Spoke-Netzwerke, um erweiterte Spoke-to-Spoke-Muster zu nutzen.

• Um Azure Firewall durch einen benutzerdefinierten NVA zu ersetzen, hoch verfügbare NVAs bereitstellen.

• Informationen zum Ersetzen des virtuellen Netzwerkgateways durch ein benutzerdefiniertes softwaredefiniertes WAN (SD-WAN) NVA finden Sie unter SD-WAN Integration mit Azure Hub-Spoke-Netzwerktopologien.

• Informationen zur Bereitstellung der Transitivität zwischen ExpressRoute und VPN oder SDWAN oder zum Anpassen von Präfixen, die über das Border Gateway Protocol (BGP) auf Azure virtuellen Netzwerkgateways angekündigt werden, finden Sie unter Route-Serverunterstützung für ExpressRoute und Azure VPN.

• Informationen zum Hinzufügen privater Resolver- oder DNS-Server finden Sie unter Private Resolver-Architektur.

Mögliche Anwendungsfälle

Typische Verwendungsmöglichkeiten für eine Hub-Spoke-Architektur umfassen Workloads, die:

• Über mehrere Umgebungen verfügen, die gemeinsam genutzte Dienste erfordern. Beispielsweise kann eine Workload Entwicklungs-, Test- und Produktionsumgebungen aufweisen. Gemeinsame Dienste können DNS-IDs, Netzwerkzeitprotokoll (NTP) oder Active Directory Domain Services (AD DS) umfassen. Gemeinsam genutzte Dienste werden im virtuellen Hubnetzwerk platziert, und jede Umgebung wird in einem anderen "Speichen"-Netzwerk implementiert, um die Isolation aufrechtzuerhalten.

• Benötigen keine Verbindung untereinander, sondern erfordern Zugriff auf gemeinsam genutzte Dienste.

• Sie benötigen eine zentrale Kontrolle über die Sicherheit, z. B. ein Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone und abgeschirmte Subnetz-Firewall) im Hub und die getrennte Workloadverwaltung in den einzelnen Speichen.

• Erfordern einer zentralen Kontrolle über die Konnektivität, z. B. selektive Konnektivität oder Isolation zwischen Speichen bestimmter Umgebungen oder Workloads.

Recommendations

Sie können die folgenden Empfehlungen auf die meisten Szenarien anwenden. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Ressourcengruppen, Abonnements und Regionen

In dieser Beispiellösung wird eine einzelne Azure Ressourcengruppe verwendet. Sie können den Hub und die einzelnen Spokes auch in verschiedenen Ressourcengruppen und Abonnements implementieren.

Wenn Sie virtuelle Netzwerke in verschiedenen Abonnements verbinden, können Sie die Abonnements mit demselben oder unterschiedlichen Microsoft Entra-Mandanten verknüpfen. Diese Flexibilität bietet eine dezentrale Verwaltung der einzelnen Arbeitsauslastungen und verwaltet gemeinsame Dienste im Hub. Weitere Informationen finden Sie unter Erstellen einer virtuellen Netzwerk-Peering über verschiedene Abonnements und Microsoft Entra-Mandanten hinweg.

Azure Landezonen

Die Azure Zielzonenarchitektur basiert auf der Hub-Spoke-Topologie. In dieser Architektur verwaltet ein zentrales plattformteam die gemeinsam genutzten Ressourcen und das Netzwerk des Hubs, während die Spokes ein Mitbesitzmodell mit dem plattformteam und dem Workload-Team teilen, das das Speichennetzwerk verwendet. Alle Hubs befinden sich in einem Konnektivitätsabonnement für die zentralisierte Verwaltung. Virtuelle Speichennetzwerke sind in vielen einzelnen Workloadabonnements vorhanden, die als Anwendungszielzonenabonnements bezeichnet werden.

Subnetze des virtuellen Netzwerks

In den folgenden Empfehlungen wird erläutert, wie Subnetze im virtuellen Netzwerk konfiguriert werden.

GatewaySubnet

Das virtuelle Netzwerkgateway erfordert dieses Subnetz. Sie können auch eine Hub-Spoke-Topologie ohne Gateway verwenden, wenn Sie keine standortübergreifende Netzwerkkonnektivität benötigen.

Erstellen Sie ein Gatewaysubnetz mit einem IP-Adressbereich von mindestens /26 oder höher mit dem Namen GatewaySubnet. Der Adressbereich /26 bietet ausreichende Skalierbarkeit, um Gatewaygrößenbeschränkungen zu vermeiden und in Zukunft zusätzliche ExpressRoute-Schaltkreise zu berücksichtigen. Weitere Informationen zum Einrichten von Gateways finden Sie unter Konfigurieren von ExpressRoute- und Standort-zu-Standort-Koexistenzverbindungen mithilfe von PowerShell.

AzureFirewallSubnet

Erstellen Sie ein Subnetz mit dem Namen AzureFirewallSubnet mit mindestens einem Adressbereich von mindestens /26. Wir empfehlen /26 als Mindestgröße, um zukünftige Größenbeschränkungen zu decken. Dieses Subnetz unterstützt keine Netzwerksicherheitsgruppen (NSGs).

Azure Firewall erfordert dieses Subnetz. Wenn Sie einen Partner NVA verwenden, befolgen Sie dessen Netzwerkanforderungen.

Spoke-Netzwerkkonnektivität

Virtuelle Netzwerk-Peering- oder verbundene Gruppen sind nichttransitive Beziehungen zwischen virtuellen Netzwerken. Wenn Sie virtuelle Spoke-Netzwerke zum Herstellen einer Verbindung miteinander benötigen, fügen Sie eine Peeringverbindung zwischen diesen Spokes hinzu, oder platzieren Sie sie in derselben Netzwerkgruppe.

Spoke-Konnektivität über Azure Firewall oder eine Netzwerkvirtualisierungs-Appliance (NVA)

Die Anzahl der virtuellen Netzwerk-Peerings pro virtuellem Netzwerk ist begrenzt. Wenn Sie viele Speichen haben, die sich miteinander verbinden müssen, verfügen Sie möglicherweise nicht über genügend Peeringverbindungen. Verbundene Gruppen unterliegen ebenfalls Einschränkungen. Weitere Informationen finden Sie unter Netzwerkbeschränkungen und Grenzwerte für verbundene Gruppen.

In diesem Szenario sollten Sie die Verwendung benutzerdefinierter Routen (USER-Defined Routes, UDRs) erwägen, um zu erzwingen, dass Speichendatenverkehr an Azure Firewall oder eine andere NVA gesendet wird, die als Router auf dem Hub fungiert. Durch diese Änderung können die Spokes eine Verbindung untereinander herstellen. Um diese Konfiguration zu unterstützen, implementieren Sie Azure Firewall mit aktivierter Erzwungener Tunnelkonfiguration. Weitere Informationen finden Sie unter Azure Firewall forced tunneling.

Die Topologie in diesem Architekturentwurf erleichtert ausgehende Flows. Während Azure Firewall in erster Linie für die Ausstiegssicherheit gilt, kann es sich auch um einen Eingangspunkt handeln. Weitere Überlegungen zum Hub-NVA-Eingangsrouting finden Sie unter Azure Firewall und Azure Application Gateway für virtuelle Netzwerke.

Spoke-Verbindungen mit entfernten Netzwerken über ein Hub-Gateway

Um Spokes für die Kommunikation mit Remotenetzwerken über ein Hubgateway zu konfigurieren, können Sie Peerings virtueller Netzwerke oder verbundene Netzwerkgruppen verwenden. Um peerings für virtuelle Netzwerke zu verwenden, öffnen Sie das Setup des virtuellen Netzwerks peering , und führen Sie die folgenden Aktionen aus:

• Konfigurieren Sie die Peeringverbindung im Hub, um zuzulassen, dass der Gatewaytransit erfolgt.
• Konfigurieren Sie die Peering-Verbindung in jedem einzelnen Spoke, um das Gateway des entfernten virtuellen Netzwerks zu nutzen.
• Konfigurieren Sie alle Peeringverbindungen, um weitergeleiteten Datenverkehr zuzulassen .

Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerk-Peerings.

So verwenden Sie verbundene Netzwerkgruppen

1. Erstellen Sie in Virtual Network Manager eine Netzwerkgruppe, und fügen Sie virtuelle Mitgliedernetzwerke hinzu.
2. Erstellen einer Hub-Spoke-Konnektivitätskonfiguration.
3. Wählen Sie für die Spoke-NetzwerkgruppenHub als Gateway aus.

Weitere Informationen finden Sie unter Erstellen einer Hub-and-Spoke-Topologie mit dem Virtual Network Manager.

Spoke-Netzwerkkommunikation

Virtuelle Speichennetzwerke ("Spoke") können auf zwei Hauptwegen miteinander kommunizieren:

• Kommunikation über eine NVA, z. B. eine Firewall und einen Router. Diese Methode fügt einen Hop zwischen den beiden Speichen hinzu.

• Kommunikation mittels virtuellem Netzwerk-Peering oder direkter Verbindung des Virtual Network Managers zwischen Anschlussstellen. Dieser Ansatz fügt keinen Zwischenschritt zwischen den beiden Speichen hinzu und wird empfohlen, um die Latenz zu minimieren.

Azure Private Link können einzelne Ressourcen selektiv anderen virtuellen Netzwerken zur Verfügung stellen. Sie können z. B. Private Link verwenden, um ein internes Lastenausgleichsmodul für ein anderes virtuelles Netzwerk verfügbar zu machen, ohne Peering- oder Routingbeziehungen zu erstellen oder aufrechtzuerhalten.

Weitere Informationen zu Spoke-to-Spoke-Netzwerkmustern finden Sie unter Optionen für virtuelle Netzwerkkonnektivität und Spoke-to-Spoke-Kommunikation.

Kommunikation durch eine NVA

Wenn Sie Konnektivität zwischen Speichen benötigen, sollten Sie Azure Firewall oder eine andere NVA im Hub bereitstellen. Erstellen Sie dann Routen, um den Datenverkehr von einem Spoke an die Firewall oder NVA weiterzuleiten, die dann an den zweiten Spoke weiterleiten kann. In diesem Szenario müssen Sie die Peeringverbindungen so konfigurieren, dass weitergeleiteter Datenverkehr akzeptiert wird.

Sie können auch ein VPN-Gateway verwenden, um Datenverkehr zwischen Spokes weiterzuleiten, obgleich sich diese Auswahl auf die Wartezeit und den Durchsatz auswirkt. Weitere Informationen finden Sie unter Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke.

Bewerten Sie die Dienste, die Sie im Hub freigeben, um sicherzustellen, dass der Hub für eine größere Anzahl von Speichen skaliert wird. Wenn Ihr Hub beispielsweise Firewalldienste bereitstellt, sollten Sie beim Hinzufügen mehrerer Spokes die Bandbreitenbeschränkungen Ihrer Firewalllösung berücksichtigen. Sie können einige dieser gemeinsamen Dienste auf eine zweite Hubebene verlagern.

Direkte Kommunikation zwischen Spoke-Netzwerken

Um direkt zwischen virtuellen Speichennetzwerken zu verbinden, ohne Datenverkehr über das virtuelle Hubnetzwerk zu leiten, können Sie Peeringverbindungen zwischen Speichen erstellen oder die direkte Verbindung für die Netzwerkgruppe aktivieren. Es wird empfohlen, Peering oder direkte Verbindung auf virtuelle Spoke-Netzwerke zu beschränken, die Teil derselben Umgebung und Workload sind.

Wenn Sie Virtual Network Manager verwenden, können Sie virtuelle Speichennetzwerke manuell zu Netzwerkgruppen hinzufügen oder Automatisch basierend auf von Ihnen definierten Bedingungen Netzwerke hinzufügen.

Das folgende Diagramm veranschaulicht, wie sie Virtual Network Manager für die direkte Verbindung zwischen Speichen verwenden.

Considerations

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

Reliability

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Verwenden Sie Verfügbarkeitszonen für Azure Dienste im Hub, die sie unterstützen.

Es wird empfohlen, mindestens einen Hub pro Region zu verwenden und nur Speichen aus derselben Region mit diesen Hubs zu verbinden. Diese Konfiguration trägt dazu bei, Sperrregionen zu schaffen, damit Fehler im Hub einer Region vermieden werden, die zu weitreichenden Netzwerkroutingfehlern in anderen, nicht verwandten Regionen führen könnten.

Für eine höhere Verfügbarkeit können Sie ExpressRoute und ein VPN für Failover verwenden. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure mithilfe von ExpressRoute mit VPN-Failover und Design und Architekt ExpressRoute zur Ausfallsicherheit.

Stellen Sie aufgrund der Implementierung von FQDN-Anwendungsregeln durch Azure Firewall sicher, dass alle Ressourcen, die über die Firewall gehen, denselben DNS-Anbieter wie die Firewall selbst verwenden. Andernfalls kann Azure Firewall legitimen Datenverkehr blockieren, da die IP-Auflösung des FQDN der Firewall von der IP-Auflösung des Datenverkehrsgebers desselben FQDN unterscheidet. Sie können Azure Firewall Proxy in die Speichen-DNS-Auflösung einschließen, um FQDNs mit dem Datenverkehrsgeber und mit Azure Firewall synchron zu halten.

Security

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Sicherheit.

Um vor DDoS-Angriffen zu schützen, aktivieren Sie Azure DDoS Protection in jedem virtuellen Umkreisnetzwerk. Jede Ressource mit einer öffentlichen IP ist anfällig für einen DDoS-Angriff. Die folgenden öffentlichen IPs müssen geschützt werden, auch wenn Ihre Workloads nicht öffentlich verfügbar gemacht werden:

• Die öffentlichen IP-Adressen von Azure Firewall
• Öffentliche IP-Adressen des VPN-Gateways
• Öffentliche IP-Adresse der ExpressRoute-Steuerungsebene

Um das Risiko eines nicht autorisierten Zugriffs zu minimieren und strenge Sicherheitsrichtlinien durchzusetzen, legen Sie in NSGs immer explizite deny Regeln fest.

Verwenden Sie die Version Azure Firewall Premium, um die Überprüfung des Transport Layer Security (TLS), IDPS und die URL-Filterung zu aktivieren.

Virtual Network Manager Sicherheit

Um einen Basissatz von Sicherheitsregeln sicherzustellen, ordnen Sie Sicherheitsadministratorregeln virtuellen Netzwerken in Netzwerkgruppen zu. Sicherheitsverwaltungsregeln haben Vorrang vor Netzwerksicherheitsgruppen-Regeln und werden vor diesen ausgewertet. Sicherheitsregeln unterstützen Priorisierung, Dienst-Tags sowie Netzwerkschicht (L3) und Transportschicht (L4) Protokolle.

Verwenden Sie den Virtual Network Manager deployments um die kontrollierte Einführung potenziell störender Änderungen an den Sicherheitsregeln von Netzwerkgruppen zu erleichtern.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie in der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.

Berücksichtigen Sie die folgenden kostenbezogenen Faktoren, wenn Sie Hub-Spoke-Netzwerke bereitstellen und verwalten. Weitere Informationen finden Sie unter "Preise für virtuelle Netzwerke".

Azure Firewall Kosten

Diese Architektur stellt eine Azure Firewall Instanz im Hubnetzwerk bereit. Die Verwendung einer Azure Firewall Bereitstellung als gemeinsam genutzte Lösung, die von mehreren Workloads genutzt wird, kann im Vergleich zu anderen NVAs erhebliche Cloudkosten sparen. Weitere Informationen finden Sie unter Azure Firewall im Vergleich zu NVAs.

Um Ihre bereitgestellten Ressourcen effektiv zu nutzen, wählen Sie die richtige Azure Firewall Größe aus. Entscheiden Sie, welche Features Sie benötigen und welche Dienstebene Ihren aktuellen Workloads am besten entspricht. Weitere Informationen zu den verfügbaren Azure Firewall SKUs finden Sie unter What is Azure Firewall?

Direktes Peering

Um Azure Firewall-Verarbeitungskosten zu reduzieren oder zu beseitigen, verwenden Sie selektiv direkte Peering- oder andere Spoke-zu-Spoke-Kommunikation, die den Hub umgeht. Einsparungen können für Netzwerke mit Arbeitslasten mit hohem Durchsatz, geringer Risikokommunikation zwischen Speichen, z. B. Datenbanksynchronisierung oder großen Dateikopievorgängen, erheblich sein.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Operational Excellence.

Aktivieren Sie Diagnoseeinstellungen für alle Dienste, z. B. Azure Bastion, Azure Firewall und Ihr standortübergreifendes Gateway. Um Kosten zu reduzieren, deaktivieren Sie alle Einstellungen, die nicht mit Ihren Vorgängen zusammenhängen. Ressourcen wie Azure Firewall können große Protokollvolumes generieren und zu hohen Überwachungskosten führen.

Verwenden Sie den Verbindungsmonitor für die End-to-End-Überwachung, um Anomalien zu erkennen und Netzwerkprobleme zu identifizieren und zu beheben.

Verwenden Sie Azure Network Watcher, um Netzwerkkomponenten zu überwachen und zu beheben, einschließlich der Verwendung von traffic Analytics, um Ihnen die Systeme in Ihren virtuellen Netzwerken anzuzeigen, die den meisten Datenverkehr generieren. Mithilfe von Datenverkehrsanalysen können Sie potenzielle Engpässe identifizieren.

Wenn Sie ExpressRoute verwenden, verwenden Sie Azure Traffic Collector, um Ablaufprotokolle für die über Ihre ExpressRoute-Schaltkreise gesendeten Netzwerkflüsse zu analysieren. Der Datenverkehrsammler bietet Einblicke in den Datenverkehr, der über Microsoft Router für Unternehmens-Edges fließt.

Verwenden Sie FQDN-basierte Regeln in Azure Firewall für Nicht-HTTP(S)-Protokolle oder für die Konfiguration von SQL Server. Durch die Verwendung von FQDNs wird die Verwaltungslast im Vergleich zur individuellen IP-Adressverwaltung reduziert.

Planen Sie die IP-Adressierung basierend auf Ihren Peeringanforderungen. Stellen Sie sicher, dass sich der Adressraum nicht über standortübergreifende Standorte und Azure Speicherorte überschneidet.

Automatisierung mit Virtual Network Manager

Um Konnektivitäts- und Sicherheitskontrollen zentral zu verwalten, verwenden Sie Virtual Network Manager, um neue virtuelle Hub-Spoke-Netzwerktopologien zu erstellen oder vorhandene Topologien zu integrieren. Verwenden Sie Virtual Network Manager, um Ihre Hub-Spoke-Netzwerktopologien für ein großes zukünftiges Wachstum in mehreren Abonnements, Verwaltungsgruppen und Regionen vorzubereiten.

Beispiele Virtual Network Manager Anwendungsfallszenarien sind:

• Demokratisierung der Verwaltung virtueller Spoke-Netzwerke für Gruppen wie Anwendungsteams oder Geschäftseinheiten. Demokratisierung kann zu einer großen Anzahl von Anforderungen an die Konnektivität zwischen virtuellen Netzwerken sowie an Netzwerksicherheitsregeln führen.

• Standardisierung mehrerer Replikatarchitekturen in mehreren Azure Regionen, um einen globalen Fußabdruck für Anwendungen zu gewährleisten.

Um einheitliche Konnektivitäts- und Netzwerksicherheitsregeln sicherzustellen, können Sie Network-Gruppen verwenden, um virtuelle Netzwerke in allen Abonnements, Verwaltungsgruppen oder Regionen unter demselben Microsoft Entra Mandanten zu gruppieren. Sie können ein Onboarding virtueller Netzwerke in Netzwerkgruppen automatisch oder manuell durchführen, indem Sie dynamische oder statische Mitgliedschaftszuweisungen vornehmen.

Definieren Sie die Auffindbarkeit virtueller Netzwerke in Virtual Network Manager mithilfe von Scopes. Bereiche machen Netzwerk-Manager-Instanzen flexibel, sodass Sie Verwaltungsaufgaben über virtuelle Netzwerkgruppen verteilen können.

Um virtuelle Speichennetzwerke in derselben Netzwerkgruppe miteinander zu verbinden, verwenden Sie Virtual Network Manager, um virtuelles Netzwerk-Peering oder direkte Konnektivität zu implementieren. Verwenden Sie die Option "Globales Gitter ", um die direkte Gitterkonnektivität auf Speichennetzwerke in verschiedenen Regionen zu erweitern. Das folgende Diagramm zeigt die globale Mesh-Konnektivität zwischen Regionen.

Sie können virtuelle Netzwerke innerhalb einer Netzwerkgruppe einem Baselinesatz von Sicherheitsverwaltungsregeln zuordnen. Administratorregeln für Netzwerkgruppensicherheit verhindern, dass virtuelle Netzwerkbesitzer grundlegende Sicherheitsregeln überschreiben, aber sie können eigene Sicherheitsregeln und NSGs hinzufügen. Ein Beispiel für die Verwendung von Sicherheitsadministratorregeln in Hub-Spoke-Topologien finden Sie unter Erstellen eines gesicherten Hub-Spoke-Netzwerks.

Um einen kontrollierten Rollout von Netzwerkgruppen, Konnektivitäts- und Sicherheitsregeln zu erleichtern, hilft die Konfigurationsbereitstellung des Virtual Network Managers Ihnen, Konfigurationsänderungen sicher in Hub-Spoke-Umgebungen zu veröffentlichen.

Um das Erstellen und Verwalten von Routenkonfigurationen zu vereinfachen, können Sie automatierte Verwaltung von UDRs in Virtual Network Manager verwenden.

Um die Verwaltung von IP-Adressen zu zentralisieren, können Sie IP-Adressverwaltung (IPAM) in Virtual Network Manager verwenden. IPAM verhindert IP-Adressraumkonflikte in lokalen und cloudbasierten virtuellen Netzwerken.

Informationen zu den ersten Schritten mit dem Virtual Network Manager finden Sie unter Erstellen Sie eine Hub-Spoke-Topologie mit dem Virtual Network Manager.

Leistungseffizienz

Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Arbeitslast, die Anforderungen der Benutzer effizient zu skalieren und zu erfüllen. Weitere Informationen finden Sie in der Checkliste zur Entwurfsüberprüfung für die Leistungseffizienz.

Bei Arbeitslasten, die von lokalen zu virtuellen Computern in einem Azure virtuellen Netzwerk kommunizieren, das niedrige Latenz und hohe Bandbreite erfordert, sollten Sie die Verwendung von ExpressRoute FastPath in Betracht ziehen. Verbessern Sie die Leistung, indem Sie FastPath verwenden, um Datenverkehr direkt von lokalen an virtuelle Computer (VMs) in Ihrem virtuellen Netzwerk zu senden und das virtuelle ExpressRoute-Netzwerkgateway zu umgehen.

Für Die Sprach-zu-Speichen-Kommunikation, die geringe Latenz erfordert, können Sie das Speichen-zu-Speichen-Netzwerk einrichten.

Wählen Sie eine Gateway-SKU aus, die Ihre Anforderungen erfüllt, z. B. die Anzahl der Point-to-Site- oder Standort-zu-Standort-Verbindungen, erforderliche Pakete pro Sekunde, Bandbreitenanforderungen oder TCP-Flüsse.

Bei latenzempfindlichen Flüssen wie SAP oder Zugriff auf Speicher können Sie Azure Firewall oder Hubrouting umgehen. Um ihnen bei der Entscheidung des besten Ansatzes zu helfen, können Sie testen, welche Latenz durch Azure Firewall eingeführt wurde. Sie können Features wie virtual Network Peering verwenden, die zwei oder mehr Netzwerke verbindet, oder Sie können Private Link verwenden, um eine Verbindung mit einem Dienst über einen privaten Endpunkt in Ihrem virtuellen Netzwerk herzustellen.

Sie können den Durchsatz reduzieren, indem Sie Azure Firewall Features wie IDPS verwenden. Weitere Informationen finden Sie unter Azure Firewall Performance.

Bereitstellen dieses Szenarios

Diese Bereitstellung umfasst ein virtuelles Hubnetzwerk und zwei verbundene Speichen und stellt eine Azure Firewall Instanz und Azure Bastion Host bereit. Optional kann die Bereitstellung auch virtuelle Computer im ersten Spoke-Netzwerk sowie ein VPN Gateway umfassen. Um Netzwerkverbindungen zu erstellen, können Sie zwischen Virtual Network Peering und vom Virtual Network Manager verbundenen Gruppen wählen. Jede Methode bietet mehrere Bereitstellungsoptionen.

• Hub-Spoke mit Bereitstellung von virtuellem Netzwerk-Peering
• Hub-spoke mit Virtual Network Manager Bereitstellung verbundener Gruppen

Contributors

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

• Jose Moreno | Lösungstechniker
• Alejandra Palacios | Senior Customer Engineer
• Adam Torkar | Senior Customer Experience Engineer

Andere Mitwirkende:

• Matthew Bratschun | Wartungstechniker
• Jay Li | Senior Product Manager
• Telmo Sampaio | Leitender Servicetechniker

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte

• Was ist ein geschützter virtueller Hub?
• Definieren Sie eine Azure Netzwerktopologie

Verwandte Ressourcen

• Azure Firewall und Anwendungsgateway für virtuelle Netzwerke
• Problembehandlung bei einer Hybrid-VPN-Verbindung
• Speichen-zu-Speichen-Netzwerk
• Baseline-Architektur für einen Azure Kubernetes Service (AKS) Cluster