Sdílet prostřednictvím

Plánování přidělování IP adres

Je důležité, aby vaše organizace plánuje přidělování IP adres v Azure. Plánování zajišťuje, že se adresní prostor IP adres nepřekrývá mezi místními umístěními a oblastmi Azure.

Aspekty návrhu:

  • Překrývající se adresní prostory IP adres napříč místními oblastmi a oblastmi Azure vytvářejí velké problémy s kolizemi.

  • Azure VPN Gateway se může připojit k místním lokalitám s překrývajícími se IP prostory prostřednictvím funkce překladu adres (NAT). Tato funkce je obecně dostupná ve službě Azure Virtual WAN a samostatné službě Azure VPN Gateway.

    {Diagram znázorňující, jak NAT funguje s bránou VPN.}

  • Adresní prostor můžete přidat po vytvoření virtuální sítě. Tento proces nevyžaduje výpadek, pokud je virtuální síť již připojena k jiné virtuální síti prostřednictvím propojení virtuálních sítí. Místo toho každé vzdálené propojení vyžaduje operaci resynchronizace provedenou po změně síťového prostoru.

  • Azure si v každé podsíti vyhrazuje pět IP adres . Při nastavování velikosti virtuálních sítí a obsahujících podsítě zahrňte tyto adresy.

  • Některé služby Azure vyžadují vyhrazené podsítě. Mezi tyto služby patří Azure Firewall a Azure VPN Gateway.

  • Podsítě můžete delegovat na určité služby a vytvářet instance služby v rámci této podsítě.

doporučení k návrhu:

  • Předem naplánujte nepřekrývání adresních prostorů IP adres napříč oblastmi Azure a místními umístěními.

  • Použijte IP adresy z přidělování adres pro privátní internet, označované jako adresy RFC 1918.

  • Nepoužívejte následující rozsahy adres:

    • 224.0.0.0/4 (vícesměrové vysílání)
    • 255.255.255.255/32 (vysílání)
    • 127.0.0.0/8 (loopback)
    • 169.254.0.0/16 (link-local)
    • 168.63.129.16/32 (interní DNS)

  • U prostředí s omezenou dostupností privátních IP adres zvažte použití protokolu IPv6. Virtuální sítě můžou být pouze IPv4 nebo s podporou obou protokolů IPv4+IPv6.

    Diagram znázorňující duální zásobník IPv4 a IPv6

  • Nevytvávejte velké virtuální sítě, jako je /16. Zajišťuje, aby IP adresní prostor nebyl plýtván. Nejmenší podporovaná podsíť IPv4 je /29a největší je /2 při použití definic podsítě CIDR (Classless Inter-Domain Routing). Podsítě IPv6 musí mít přesně /64 velikost.

  • Nevytvávejte virtuální sítě bez plánování požadovaného adresního prostoru předem.

  • Nepoužívejte veřejné IP adresy pro virtuální sítě, zejména pokud veřejné IP adresy nepatří do vaší organizace.

  • Vezměte v úvahu služby, které budete používat, existují některé služby s rezervovanými IP adresami (IP adresy), jako je AKS se sítěmi CNI.

  • Používejte nesměrovatelné virtuální sítě v paprskové cílové zóně a službu Azure Private Link k zabránění vyčerpání adres IPv4.

Důležité informace o protokolu IPv6

Rostoucí počet organizací přijímá protokol IPv6 ve svých prostředích. Tento přechod je řízený vyčerpáním veřejného prostoru IPv4, nedostatkem privátních IPv4, zejména v rozsáhlých sítích, a nutností poskytovat připojení klientům jen s protokolem IPv6. Neexistuje univerzální přístup k přijetí protokolu IPv6. Existují však osvědčené postupy, které můžete dodržovat, když plánujete protokol IPv6 a implementujete ho ve stávajících sítích Azure.

Architektura přechodu na cloud od Microsoftu pro Azure vám pomůže pochopit aspekty, které je potřeba vzít v úvahu při vytváření systémů v cloudu. Další informace o osvědčených postupech architektury pro navrhování udržitelných systémů najdete v tématu Principy návrhu cílových zón Azure. Podrobná doporučení a osvědčené postupy týkající se vaší cloudové architektury, včetně referenčních nasazení architektury, diagramů a příruček, najdete v průvodci Centrem architektury pro IPv6.

Aspekty návrhu:

  • Fázujte přijetí protokolu IPv6. V závislosti na vašich obchodních potřebách implementujte protokol IPv6 tam, kde je to potřeba. Mějte na paměti, že protokolY IPv4 a IPv6 mohou existovat stejně dlouho, dokud je to potřeba.

  • Ve scénářích, kdy aplikace spoléhají na služby IaaS (infrastruktura jako služba), které mají plnou podporu protokolu IPv6, jako jsou virtuální počítače, je možné použít nativní komplexní využití IPv4 a IPv6. Tato konfigurace zabraňuje komplikacím překladu a poskytuje nejvíce informací pro server a aplikaci.

    Můžete nasadit internetové vyrovnávače zatížení Azure Basic-SKU s adresou IPv6. Tato konfigurace umožňuje nativní kompletní připojení IPv6 mezi veřejným internetem a virtuálními počítači Azure přes nástroj pro vyrovnávání zatížení. Tento přístup také usnadňuje nativní kompletní odchozí připojení mezi virtuálními počítači a klienty s podporou IPv6 na veřejném internetu. Upozorňujeme, že tento přístup vyžaduje, aby každé zařízení v cestě zpracovával provoz IPv6.

    Nativní end-to-end přístup je nejužitečnější pro přímou komunikaci server-server nebo klient-server. Není užitečná pro většinu webových služeb a aplikací, které jsou obvykle chráněny firewally, aplikačními firewally nebo reverzními proxy servery.

  • Některá složitá nasazení a aplikace, které používají kombinaci služeb třetích stran, služeb PaaS (Platforma jako služba) a back-endová řešení nemusí podporovat nativní protokol IPv6. V těchto případech potřebujete použít řešení proxy serveru NAT/NAT64 nebo IPv6, abyste umožnili komunikaci mezi protokoly IPv6 a IPv4.

  • Pokud jsou složitost architektury aplikace nebo jiné faktory, jako jsou náklady na školení, považovány za významné, můžete pro doručování služeb dál používat infrastrukturu jen pro protokol IPv4 a nasadit bránu síťového virtuálního zařízení třetí strany s duálním zásobníkem IPv4/IPv6.

    Typické nasazení, které používá NVA, může vypadat takto:

    Diagram znázorňující dvouprotokolovou bránu IPv4/IPv6, která poskytuje přístup k zadní části pouze s protokolem IPv4.

doporučení k návrhu:

Tady je podrobnější pohled na to, jak může typická architektura vypadat:

Diagram znázorňující nástroj pro vyrovnávání zatížení IPv4/IPv6 poskytující přístup k back-endu jen pro protokol IPv4

Hlavní rozdíly mezi metodou NVA a metodou Azure Front Door jsou:

  • Síťová virtuální zařízení jsou spravovaná zákazníkem, pracují ve vrstvě 4 modelu OSI a dají se nasadit ve stejné virtuální síti Azure jako aplikace s privátním a veřejným rozhraním.
  • Azure Front Door je globální služba Azure PaaS a funguje ve vrstvě 7 (HTTP/HTTPS). Back-end aplikace je služba vystavená do internetu, kterou lze uzamknout tak, aby přijímala pouze provoz z Azure Front Door.

Ve složitých prostředích můžete použít kombinaci obou. NVAs se používají v rámci regionálního nasazení. Azure Front Door se používá ke směrování provozu do jednoho nebo více regionálních nasazení v různých oblastech Azure nebo jiných internetových umístěních. Pokud chcete určit nejlepší řešení, doporučujeme zkontrolovat možnosti služby Azure Front Door a dokumentaci k produktu.

Bloky CIDR virtuální sítě IPv6:

  • Při vytváření nové virtuální sítě v existujícím nasazení Azure ve vašem předplatném můžete přidružit jediný blok CIDR (Classless Inter-Domain Routing) IPv6. Velikost podsítě pro protokol IPv6 musí být /64. Použití této velikosti zajišťuje budoucí kompatibilitu, pokud se rozhodnete povolit směrování podsítě do místní sítě. Některé směrovače můžou přijímat pouze trasy /64 IPv6.
  • Pokud máte existující virtuální síť, která podporuje jenom protokol IPv4, a prostředky ve vaší podsíti, které jsou nakonfigurované tak, aby používaly pouze protokol IPv4, můžete pro virtuální síť a prostředky povolit podporu protokolu IPv6. Vaše virtuální síť může fungovat v režimu dual-stack, který umožňuje vašim prostředkům komunikovat přes protokoly IPv4, IPv6 nebo oběma. Komunikace IPv4 a IPv6 jsou navzájem nezávislé.
  • Podporu protokolu IPv4 pro virtuální síť a podsítě nemůžete zakázat. IPv4 je výchozí systém přidělování IP adres pro virtuální sítě Azure.
  • Přidružte blok IPv6 CIDR k vaší virtuální síti a podsíti nebo pro BYOIP IPv6. Zápis CIDR je metoda reprezentace IP adresy a její síťové masky. Formáty těchto adres jsou následující:
    • Jednotlivá adresa IPv4 je 32 bitů, se čtyřmi skupinami až tří desetinných míst. Například: 10.0.1.0.
    • Blok CIDR IPv4 má čtyři skupiny čísel, každá po třech desetinných číslicích, od 0 do 255, oddělené tečkami a následované lomítkem a číslem od 0 do 32. Například: 10.0.0.0/16.
    • Jednotlivá adresa IPv6 je 128 bitů. Má osm skupin čtyř šestnáctkových číslic. Například: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
    • Blok CIDR IPv6 má čtyři skupiny až čtyři šestnáctkové číslice oddělené dvojtečkami, následované dvojitým dvojtečkem a potom lomítkem a číslem od 1 do 128. Například: 2001:db8:1234:1a00::/64.
  • Aktualizujte směrovací tabulky pro směrování provozu IPv6. Pro veřejný provoz vytvořte trasu, která směruje veškerý provoz IPv6 z podsítě do služby VPN Gateway nebo brány Azure ExpressRoute.
  • Aktualizujte pravidla skupiny zabezpečení tak, aby zahrnovala pravidla pro adresy IPv6. To umožňuje, aby provoz IPv6 plynule proudil do vašich instancí i z nich. Pokud máte pravidla skupiny zabezpečení sítě pro řízení toku provozu do a z podsítě, musíte zahrnout pravidla pro provoz IPv6.
  • Pokud váš typ instance nepodporuje protokol IPv6, použijte duální stack nebo nasaďte síťové virtuální zařízení, jak bylo dříve popsáno, které překládá z IPv4 na IPv6.

Nástroje správy IP adres (IPAM)

Použití nástroje IPAM vám může pomoct s plánováním IP adres v Azure, protože poskytuje centralizovanou správu a viditelnost, což brání překrývání a konfliktů v adresních prostorech IP adres. Tato část vás provede důležitými aspekty a doporučeními při přijímání nástroje IPAM.

Aspekty návrhu:

V závislosti na vašich požadavcích a velikosti vaší organizace je k dispozici celá řada nástrojů SPRÁVY IP adres. Možnosti zahrnují základní inventář založený na Excelu až po opensourcové řešení řízené komunitou nebo komplexní podnikové produkty s pokročilými funkcemi a podporou.

  • Při vyhodnocování nástroje IPAM k implementaci zvažte tyto faktory:

    • Minimální funkce vyžadované vaší organizací
    • Celkové náklady na vlastnictví (TCO), včetně licencování a průběžné údržby
    • Auditování tras, protokolování a řízení přístupu na základě rolí
    • Ověřování a autorizace prostřednictvím Microsoft Entra ID
    • Přístupné přes rozhraní API
    • Integrace s jinými nástroji a systémy pro správu sítě
    • Aktivní komunitní podpora nebo úroveň podpory od poskytovatele softwaru

  • Zvažte vyhodnocení opensourcového nástroje IPAM, jako je Azure IPAM. Azure IPAM je jednoduché řešení založené na platformě Azure. Automaticky zjišťuje využití IP adres ve vašem tenantovi Azure a umožňuje vám to spravovat vše z centralizovaného uživatelského rozhraní nebo přes rozhraní RESTful API.

  • Zvažte provozní model vaší organizace a vlastnictví nástroje IPAM. Cílem implementace nástroje IPAM je zjednodušit proces žádosti o nové IP adresní prostory pro aplikační týmy bez závislostí a zdržení.

  • Důležitou součástí funkce nástroje IPAM je inventarizace využití adresního prostoru IP adres a logické uspořádání.

doporučení k návrhu:

  • Proces rezervace nepřekrývajících se adresních prostorů IP adres by měl podporovat vyžádání různých velikostí na základě potřeb jednotlivých cílových zón aplikace.

    • Můžete například přijmout změnu velikosti trička, aby týmy aplikací snadno popsaly své potřeby:
      • Malý – /24 – 256 IP adres
      • Střední – /22 – 1 024 IP adres
      • Velké – /20 – 4 096 IP adres

  • Váš nástroj IPAM by měl mít rozhraní API pro rezervaci nepřekrývajících se adresních prostorů IP adres pro podporu přístupu Infrastruktura jako kód (IaC). Tato funkce je také zásadní pro bezproblémovou integraci správy IP adres do prodejního procesu předplatného, čímž se snižuje riziko chyb a nutnost ručního zásahu.

    • Příkladem přístupu IaC je Bicep s funkcí skriptu nasazení nebo zdroji dat Terraformu , které dynamicky načítají data z rozhraní IPAM API.

  • Vytvořte systematický uspořádání prostorů IP adres tím, že je strukturujte podle oblastí Azure a archetypů úloh a zajistíte čistý a trasovatelný inventář sítě.

  • Proces vyřazení z provozu pro úlohy by měl zahrnovat odebrání adresních prostorů IP adres, které se už nepoužívají, které je možné později znovu použít pro nadcházející nové úlohy, což podporuje efektivní využití prostředků.