Plánování virtuálních sítí

Vytvořit virtuální síť pro experimenty je dost snadné, ale pravděpodobně budete v průběhu času nasazovat více virtuálních sítí, abyste podpořili výrobní potřeby vaší organizace. S trochou plánování můžete nasadit virtuální sítě a efektivněji propojit potřebné zdroje. Informace v tomto článku jsou nejvíce užitečné, pokud již máte povědomí o virtuálních sítích a máte určité zkušenosti s prací s nimi. Pokud nejste obeznámeni s virtuálními sítěmi, doporučujeme, abyste si přečetli Přehled virtuální sítě.

Pojmenování

Všechny zdroje Azure mají název. Název musí být jedinečný v rámci daného rozsahu, který se může lišit podle typu zdroje. Například název virtuální sítě musí být unikátní v rámci skupiny prostředků, ale můžete použít duplicitní název v rámci předplatného nebo Azure regionu. Definování konvence pro pojmenovávání, kterou můžete konzistentně používat při pojmenovávání zdrojů, je užitečné, když spravujete několik síťových zdrojů v průběhu času. Pro návrhy se podívejte na Naming conventions.

Oblasti

Všechny zdroje Azure jsou vytvořeny v oblasti a předplatném Azure. Můžete vytvořit prostředek pouze ve virtuální síti, která se nachází ve stejné oblasti a předplatném jako prostředek. Můžete však propojit virtuální sítě, které existují v různých předplatných a oblastech. Pro více informací se podívejte na Připojení. Když se rozhodujete, do kterých regionů nasadit zdroje, zvažte, kde se fyzicky nacházejí zákazníci těchto zdrojů.

• Máte nízkou latenci sítě? Spotřebitelé zdrojů obvykle chtějí nejnižší latenci sítě ke svým zdrojům. Chcete-li určit relativní latence mezi určeným místem a oblastmi Azure, podívejte se na Zobrazit relativní latence.
• Máte požadavky na umístění, suverenitu, shodu nebo odolnost dat? Pokud ano, je důležité vybrat oblast, která odpovídá požadavkům. Pro více informací viz Azure Geografie.
• Vyžadujete odolnost mezi dostupnostními zónami Azure v rámci stejného regionu Azure pro zdroje, které nasazujete? Prostředky, jako jsou virtuální počítače, můžete nasadit do různých zón dostupnosti v rámci stejné virtuální sítě. Ne všechny oblasti Azure podporují zóny dostupnosti. Chcete-li se dozvědět více o zónách dostupnosti a regionech, které je podporují, podívejte se na Zóny dostupnosti.

Předplatná

Můžete nasadit tolik virtuálních sítí, kolik je požadováno v rámci každého předplatného, až do limit. Některé organizace mají různé předplatné pro různé oddělení, například. Další informace a informace týkající se předplatných najdete v tématu Zásady správného řízení předplatného.

Segmentace

Můžete vytvořit více virtuálních sítí na každý předplatný a na každý region. Můžete vytvořit více podsítí v každé virtuální síti. Následující úvahy vám pomohou určit, kolik virtuálních sítí a podsítí potřebujete.

Virtuální sítě

Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Každá virtuální síť je vyhrazená pro vaše předplatné. Když se rozhodujete, zda vytvořit jednu virtuální síť nebo několik virtuálních sítí v rámci předplatného, zvažte následující body:

• Existují nějaké organizační požadavky na zabezpečení, které vyžadují izolaci provozu do samostatných virtuálních sítí? Můžete si vybrat, zda virtuální sítě propojíte nebo ne. Pokud propojíte virtuální sítě, můžete implementovat síťové virtuální zařízení, jako je brána firewall, které bude řídit tok provozu mezi virtuálními sítěmi. Pro více informací, viz Security a Connectivity.
• Existují nějaké organizační požadavky na izolaci virtuálních sítí do samostatných odběrů nebo regionů?
• Máte požadavky na síťové rozhraní? Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s jinými zdroji. Každé síťové rozhraní má přiřazenou jednu nebo více soukromých IP adres. Kolik síťových rozhraní a soukromých IP adres potřebujete ve virtuální síti? Existují limity na počet síťových rozhraní a soukromých IP adres, které můžete mít v rámci virtuální sítě.
• Chcete připojit virtuální síť k jiné virtuální síti nebo k síti v rámci vlastního podniku? Můžete se rozhodnout propojit některé virtuální sítě mezi sebou nebo s on-premise sítěmi, ale ne s jinými. Pro více informací se podívejte na Připojení. Každá virtuální síť, kterou připojíte k jiné virtuální síti nebo ke síti na místě, musí mít jedinečný adresní prostor. Každá virtuální síť má přiřazen jeden nebo více veřejných či soukromých rozsahů adres k svému adresnímu prostoru. Rozsah adres je určen ve formátu beztřídního směrování internetových domén (CIDR), jako například 10.0.0.0/16. Další informace o adresních rozsazích pro virtuální sítě.
• Máte nějaké požadavky na administraci organizace týkající se zdrojů v různých virtuálních sítích? Pokud ano, můžete oddělit zdroje do samostatných virtuálních sítí, abyste zjednodušili přidělování oprávnění jednotlivcům ve vaší organizaci nebo přiřadili různé zásady různým virtuálním sítím.
• Máte požadavky na zdroje, které mohou vytvořit svou vlastní virtuální síť? Při nasazení některých prostředků služby Azure do virtuální sítě si vytvoří vlastní virtuální síť. Pro určení, zda služba Azure vytvoří svou vlastní virtuální síť, si prohlédněte informace o každé službě Azure, kterou můžete nasadit do virtuální sítě.

Podsítě

Můžete rozdělit virtuální síť na jeden nebo více podsítí až do limitů. Když se rozhodujete, zda vytvořit jednu podsíť nebo více virtuálních sítí v rámci jednoho předplatného, zvažte následující body:

• Mějte jedinečný rozsah adres pro každou podsíť, specifikovaný ve formátu CIDR, v rámci adresního prostoru virtuální sítě. Rozsah adres nemůže překrývat s jinými podsítěmi ve virtuální síti.
• Pokud plánujete nasadit některé prostředky služeb Azure do virtuální sítě, můžou vyžadovat nebo vytvořit vlastní podsíť. Musí být dostatek nealokovaného prostoru, aby to mohli udělat. Chcete-li zjistit, zda služba Azure vytváří vlastní podsíť, podívejte se na informace pro každou službu Azure, kterou můžete nasadit do virtuální sítě. Například pokud připojíte virtuální síť k on-premises síti pomocí brány Azure VPN, musí mít virtuální síť vyhrazenou podsíť pro tuto bránu. Zjistěte více o gateway subnets.
• Přepište výchozí směrování pro síťový provoz mezi všemi podsítěmi ve virtuální síti. Chcete zabránit směrování mezi podsítěmi v Azure nebo například směrovat provoz mezi podsítěmi přes virtuální síťové zařízení. Pokud vyžadujete, aby provoz mezi prostředky ve stejném virtuálním síti procházel přes virtuální síťovou aplikaci (NVA), umístěte prostředky do různých podsítí. Zjistěte více v Security.
• Omezte přístup k prostředkům Azure, jako je účet úložiště Azure nebo databáze Azure SQL, na konkrétní podsítě pomocí koncového bodu služby virtuální sítě. Přístup k prostředkům z internetu můžete také odepřít. Můžete vytvořit několik podsítí a povolit koncový bod služby pro některé z nich, ale ne pro všechny. Zjistěte více o koncových bodech služeb a prostředcích Azure, pro které je můžete povolit.
• Přidružit nula nebo jednu skupinu zabezpečení sítě ke každé podsíti ve virtuální síti. Můžete přiřadit stejnou, nebo jinou, skupinu zabezpečení sítě ke každé podsíti. Každá skupina zabezpečení sítě obsahuje pravidla, která umožňují nebo zakazují provoz k a od zdrojů a cílů. Další informace o network security groups.

Zabezpečení

Síťový provoz do a z prostředků ve virtuální síti můžete filtrovat pomocí skupin zabezpečení sítě a síťových virtuálních zařízení. Můžete řídit, jak Azure směruje provoz z podsítí. Můžete také omezit, kdo ve vaší organizaci může pracovat s prostředky ve virtuálních sítích.

Filtrování provozu

• K filtrování síťového provozu mezi prostředky ve virtuální síti použijte skupinu zabezpečení sítě, NVA, která filtruje síťový provoz, nebo obojí. Chcete-li nasadit síťové virtuální zařízení (NVA), jako je například firewall, pro filtrování síťového provozu, podívejte se na Azure Marketplace. Když používáte NVA, vytváříte také vlastní trasy pro směrování provozu ze subnetů k NVA. Další informace o směrování provozu.
• Skupina zabezpečení sítě obsahuje několik výchozích pravidel zabezpečení, která povolují nebo zakazují provoz do nebo z prostředků. Můžete přiřadit skupinu zabezpečení sítě k síťovému rozhraní, podsíti, ve které se síťové rozhraní nachází, nebo k oběma. Abychom zjednodušili správu bezpečnostních pravidel, doporučujeme, abyste co nejvíce připojovali skupinu zabezpečení sítě k jednotlivým podsítím, místo k jednotlivým síťovým rozhraním v rámci podsítě.
• Pokud různé virtuální počítače v rámci podsítě potřebují různé bezpečnostní pravidla, můžete spojit síťové rozhraní ve virtuálním počítači s jednou nebo více skupinami aplikační bezpečnosti. Bezpečnostní pravidlo může specifikovat aplikační bezpečnostní skupinu ve svém zdroji, cíli nebo v obou. To pravidlo se pak vztahuje pouze na síťová rozhraní, která jsou členy skupiny aplikační bezpečnosti. Zjistěte více o síťových bezpečnostních skupinách a aplikačních bezpečnostních skupinách.
• Pokud je skupina pro zabezpečení sítě přiřazena na úrovni podsítě, vztahuje se na všechny síťové rozhraní v podsíti, ne jen na provoz přicházející zvenčí podsítě. Provoz mezi virtuálními stroji obsaženými v podsíti může být také ovlivněn.
• Azure vytváří několik výchozích bezpečnostních pravidel v rámci každé skupiny zabezpečení sítě. Jedno výchozí pravidlo umožňuje veškerému provozu proudit mezi všemi prostředky ve virtuální síti. Chcete-li změnit toto chování, použijte skupiny zabezpečení sítě, vlastní směrování pro směřování provozu do NVA nebo obojí. Doporučujeme vám, abyste se seznámili se všemi výchozími bezpečnostními pravidly Azure a pochopili, jak se pravidla bezpečnostních skupin sítě aplikují na zdroj.

Můžete si prohlédnout vzorové návrhy pro implementaci perimetrové sítě (známé také jako DMZ) mezi Azure a internetem pomocí NVA (síťový virtuální appliance).

Směrování provozu

Azure vytváří několik výchozích tras pro odchozí provoz ze podsítě. Můžete překonfigurovat výchozí směrování Azure vytvořením směrovací tabulky a jejím připojením k podsíti. Mezi běžné důvody přepsání výchozího směrování Azure patří:

• Chcete, aby provoz mezi podsítěmi procházel přes NVA. Další informace o tom, jak konfigurovat směrovací tabulky pro nucení provozu prostřednictvím NVA.
• Chcete vynutit veškerý provoz mířící na internet prostřednictvím NVA nebo on-premise přes VPN bránu Azure. Vynucení internetového provozu na místě za účelem inspekce a protokolování se často označuje jako "forced tunneling". Zjistěte více o tom, jak nakonfigurovat vynucené směrování.

Pokud potřebujete implementovat vlastní směrování, doporučujeme se seznámit s směrováním v Azure.

Konektivita

Můžete propojit virtuální síť s jinými virtuálními sítěmi pomocí provázání virtuálních sítí nebo s vaší místní sítí pomocí brány VPN Azure.

Nahlížení

Když používáte virtual network peering, můžete mít virtuální sítě ve stejných nebo různých podporovaných regionech Azure. Můžete mít virtuální sítě ve stejném nebo různých předplatných Azure (dokonce i předplatných, která patří různým tenantům Microsoft Entra).

Než vytvoříte peering, doporučujeme se seznámit se všemi požadavky a omezeními peeringu. Šířka pásma mezi prostředky ve virtuálních sítích propojených ve stejném regionu je stejná, jako by prostředky byly ve stejné virtuální síti.

VPN brána

Můžete použít VPN bránu Azure k připojení virtuální sítě k vaší místní síti pomocí VPN z místa na místo nebo dedikovaného připojení s Azure ExpressRoute.

Můžete kombinovat peering a VPN bránu a vytvořit síť s hvězdicovou topologií, kde virtuální sítě propojených uzlů se připojují k centrální virtuální síti a centrální síť se například připojuje k interní síti.

Rozlišení jmen

Prostředky v jedné virtuální síti nemohou pomocí systému Azure vestavěného systému DNS (Domain Name System) vyřešit názvy prostředků v virtuální síti spojené přes peering. Pro vyřešení názvů ve spojené virtuální síti nasadte svůj vlastní server DNS nebo použijte soukromé domény Azure DNS. Řešení názvů mezi prostředky ve virtuální síti a ve vlastních sítí také vyžaduje nasazení vlastního DNS serveru.

Povolení

Azure používá řízení přístupu založené na rolích Azure. Oprávnění jsou přiřazena k rozsahu v hierarchii skupiny pro správu, předplatného, skupiny prostředků a jednotlivého prostředku. Chcete-li se dozvědět více o hierarchii, podívejte se na Organizace vašich zdrojů.

Chcete-li pracovat s virtuálními sítěmi Azure a všemi jejich souvisejícími funkcemi, jako je peering, skupiny zabezpečení sítě, koncové body služby a směrovací tabulky, přiřaďte členy vaší organizace k vestavěným rolím Vlastník, Přispěvatel nebo Přispěvatel sítě. Poté přiřaďte roli k příslušnému rozsahu. Pokud chcete přiřadit konkrétní oprávnění pro podmnožinu funkcí virtuální sítě, vytvořte vlastní roli a přiřaďte požadovaná konkrétní oprávnění.

• Virtuální sítě
• Subsítě a koncové body služeb
• Síťová rozhraní
• Zírání
• Skupiny zabezpečení sítě a aplikací
• Směrovací tabulky

Policy

S Azure Policy můžete vytvářet, přiřazovat a spravovat definice zásad. Definice zásad vynucují různá pravidla pro vaše zdroje, takže prostředky zůstávají v souladu s vašimi organizačními standardy a smlouvami o úrovni služeb. Azure Policy provádí hodnocení vašich prostředků. Vyhledává zdroje, které nejsou v souladu s definicemi zásad, které máte.

Například můžete definovat a uplatnit zásadu, která umožňuje vytváření virtuálních sítí pouze ve specifické skupině prostředků nebo regionu. Jiná zásada může vyžadovat, aby každá podsíť měla přidruženou skupinu zabezpečení sítě. Zásady jsou pak vyhodnoceny, když vytváříte a aktualizujete prostředky.

Politiky se aplikují na následující hierarchii: skupina správy, předplatné a skupina prostředků. Zjistěte více o Azure Policy nebo nasadit některé definice zásad Azure Policy pro virtuální síť.

Související obsah

Informace o všech úkolech, nastaveních a možnostech pro prostředky virtuální sítě a funkce najdete v následujících článcích:

• Virtuální síť
• Podsíť a koncový bod služby
• Síťové rozhraní
• Zírání
• Skupina zabezpečení sítí a aplikací
• Směrovací tabulka