我正在为我的工作场所设置新的 Azure 订阅。我们首先将它用于两件事。首先用于我们本地 vmware 环境的 ASR,其次用于将一些工作负载放在云中并与我们的本地网络通信。两者都通过快速路由虚拟电路完成。
我们目前总共有 200 台服务器投入生产。我预计未来几年的增长不会超过 10-20%。
我正在尝试决定是否:
- 使用 VNET 对等连接的集线器和辐射型网络类型设置(每个环境一个 VNET,例如生产前端、生产后端和 dr)
- 单个大型虚拟网络被划分为由网络安全组和路由规则分隔的子网。
- 上述两者的组合具有两个虚拟网络(一个用于生产,一个用于 DR),并将生产划分为前端/后端子网。
从阅读 MS 的最新建议来看,是否使用带有 vnet 对等的集线器和辐射模型?我们将维护一个本地数据中心,因此在可预见的未来只需要居住在一个 Azure 区域,所以这对我来说似乎没问题。
对于那些已经这样做过的人,您有什么建议?
答案1
在采用 Hub and Spoke 模型之前,您必须考虑一些限制,例如通过
- VPN 连接或 Express 路由不能同时与本地连接
- Hub & Spoke 模型最多有 50 个 VNet 对等连接,根据您对当前模型的说明,我认为您不会超过这个数字。
考虑使用 NVA、NSG 和 UDR 在集线器中实现正确的 DMZ,这是 Microsoft 的最佳实践。
答案2
https://github.com/Azure/Enterprise-Scale/blob/main/docs/reference/adventureworks/README.md
这是你想要的?
您将 ASR 置于管理订阅中