Prozkoumání zabezpečené komunikace pomocí virtuálních sítí

  • 10 min

Azure Virtual Network je služba, která poskytuje základní stavební blok pro vaši privátní síť v Azure. Instance služby (virtuální sítě) umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Mezi tyto prostředky Azure patří virtuální počítače.

Virtuální síť se podobá tradiční síti, kterou byste měli provozovat ve vlastním datacentru. Přináší ale další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Mezi klíčové scénáře, které můžete dosáhnout s virtuální sítí, patří:

  • Komunikace prostředků Azure s internetem
  • Komunikace mezi prostředky Azure
  • Komunikace s lokálními prostředky
  • Filtrování síťového provozu
  • Směrování síťového provozu
  • Integrace se službami Azure

Komunikace s internetem

Všechny prostředky ve virtuální síti můžou ve výchozím nastavení komunikovat odchozí s internetem. Ke správě odchozích připojení můžete použít také veřejnou IP adresu, bránu NAT nebo veřejný nástroj pro vyrovnávání zatížení. Příchozí komunikaci s prostředkem můžete provést přiřazením veřejné IP adresy nebo veřejného nástroje pro vyrovnávání zatížení.

Pokud používáte jenom interní nástroj pro vyrovnávání zatížení úrovně Standard, odchozí připojení není dostupné, dokud nedefinujete, jak mají odchozí připojení fungovat s veřejnou IP adresou na úrovni instance nebo s veřejným nástrojem pro vyrovnávání zatížení.

Komunikace mezi prostředky Azure

Prostředky Azure vzájemně bezpečně komunikují jedním z následujících způsobů:

  • Virtuální síť: Virtuální počítače a další typy prostředků Azure můžete nasadit do virtuální sítě. Mezi příklady prostředků patří App Service Environment, Azure Kubernetes Service (AKS) a Škálovací sady virtuálních počítačů Azure.

  • Koncový bod služby virtuální sítě: Privátní adresní prostor virtuální sítě a identitu virtuální sítě můžete rozšířit na prostředky služeb Azure přes přímé připojení. Mezi příklady prostředků patří účty Azure Storage a Azure SQL Database. Koncové body služby umožňují zabezpečit důležité prostředky služby Azure pouze pro virtuální síť.

  • Partnerské propojení virtuálních sítí: Virtuální sítě můžete propojit mezi sebou pomocí virtuálního propojení. Prostředky v obou virtuálních sítích pak můžou vzájemně komunikovat. Virtuální sítě, které připojíte, můžou být ve stejných nebo různých oblastech Azure.

Komunikace s lokálními zdroji na místě

K virtuální síti můžete připojit místní počítače a sítě pomocí některé z následujících možností:

  • Virtuální privátní síť typu point-to-site (VPN): Byla vytvořena mezi virtuální sítí a jedním počítačem v síti. Každý počítač, který chce navázat připojení k virtuální síti, musí nakonfigurovat připojení. Tento typ připojení je užitečný, pokud teprve začínáte s Azure nebo pro vývojáře, protože vyžaduje několik nebo žádné změny stávající sítě. Komunikace mezi počítačem a virtuální sítí se odesílá prostřednictvím šifrovaného tunelu přes internet.

  • Vpn typu Site-to-Site: Vytvořeno mezi místním zařízením VPN a bránou Azure VPN, která je nasazená ve virtuální síti. Tento typ připojení umožňuje přístup k virtuální síti všem místním prostředkům, které autorizujete. Komunikace mezi místním zařízením VPN a službou Azure VPN Gateway se odesílá prostřednictvím šifrovaného tunelu přes internet.

  • Azure ExpressRoute: Vytvořeno mezi vaší sítí a Azure prostřednictvím partnera ExpressRoute. Toto připojení je soukromé. Provoz neprochází přes internet.

Filtrování síťového provozu

Síťový provoz mezi podsítěmi můžete filtrovat pomocí následujících možností:

  • Skupiny zabezpečení sítě: Skupiny zabezpečení sítě a skupiny zabezpečení aplikací můžou obsahovat několik příchozích a odchozích pravidel zabezpečení. Tato pravidla umožňují filtrovat provoz do a z prostředků podle zdrojové a cílové IP adresy, portu a protokolu.

  • Síťová virtuální zařízení: Síťové virtuální zařízení je virtuální počítač, který provádí síťovou funkci, například optimalizaci brány firewall nebo sítě WAN. Pokud chcete zobrazit seznam dostupných síťových virtuálních zařízení, která můžete nasadit ve virtuální síti, přejděte na Azure Marketplace.

Směrování síťového provozu

Azure standardně směruje provoz mezi podsítěmi, připojenými virtuálními sítěmi, místními sítěmi a internetem. Pokud chcete přepsat výchozí trasy, které Azure vytvoří, můžete implementovat jednu nebo obě z následujících možností:

  • Směrovací tabulky: Můžete vytvořit vlastní směrovací tabulky, které řídí, kam se směruje provoz pro každou podsíť.

  • Trasy protokolu BGP (Border Gateway Protocol): Pokud virtuální síť připojíte k místní síti pomocí brány Azure VPN nebo připojení ExpressRoute, můžete rozšířit místní trasy protokolu BGP do virtuálních sítí.

Integrace se službami Azure

Integrace služeb Azure s virtuální sítí Azure umožňuje privátní přístup ke službě z virtuálních počítačů nebo výpočetních prostředků ve virtuální síti. Pro tuto integraci můžete použít následující možnosti:

  • Nasaďte vyhrazené instance služby do virtuální sítě. Služby pak mohou být soukromě přístupné v rámci virtuální sítě a z místních sítí.

  • Azure Private Link použijte k privátnímu přístupu ke konkrétní instanci služby z vaší virtuální sítě a z místních sítí.

  • Přístup ke službě prostřednictvím veřejných koncových bodů rozšířením virtuální sítě na službu prostřednictvím koncových bodů služby. Koncové body služby umožňují zabezpečení prostředků služby do virtuální sítě.

Přístup k registru můžete omezit přiřazením privátních IP adres virtuální sítě ke koncovým bodům registru a použitím služby Azure Private Link. Síťový provoz mezi klienty ve virtuální síti a privátními koncovými body registru prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu. Private Link také umožňuje přístup k privátnímu registru z místního prostředí prostřednictvím Azure ExpressRoute, privátního partnerského vztahu nebo brány VPN.

Můžete nakonfigurovat nastavení DNS pro privátní koncové body registru, aby se nastavení přeložila na přidělenou privátní IP adresu registru. S konfigurací DNS můžou klienti a služby v síti dál přistupovat k registru v plně kvalifikovaném názvu domény registru, například myregistry.azurecr.io.

Poznámka

Konfigurace privátního koncového bodu je k dispozici ve vrstvě služby registru kontejneru Premium.

Nastavení privátního koncového bodu

  1. Na portálu přejděte do registru kontejneru.

  2. V části Nastavenívyberte Síťování.

  3. Na kartě Privátní přístup vyberte + Vytvořit připojení privátního koncového bodu.

    snímek obrazovky stránky sítě instance registru kontejneru

  4. Na kartě Základy na stránce Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

    • Předplatné: Vyberte své předplatné.
    • Skupina prostředků: Zadejte název existující skupiny nebo vytvořte novou.
    • Název: Zadejte název.
    • Oblast: Vyberte oblast.

  5. Vyberte , další: prostředek.

  6. Na kartě Prostředek na stránce Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

    • Metoda připojení: V tomto příkladu vyberte Připojit k prostředku Azure v adresáři.
    • Předplatné: Vyberte své předplatné.
    • Typ prostředku: Vyberte Microsoft.ContainerRegistry/registries.
    • Prostředek: Vyberte název registru.
    • Cílová podsložka: Vyberte registr.

  7. Vyberte Další: Konfigurace.

  8. Na kartě Konfigurace na stránce Vytvořit privátní koncový bod zadejte nebo vyberte informace:

    • Virtuální síť: Vyberte virtuální síť pro privátní koncový bod.
    • Podsíť: Vyberte podsíť pro privátní koncový bod.
    • Integrace s privátní zónou DNS: Vyberte Ano.
    • Privátní zóna DNS: Vyberte (nový) privatelink.azurecr.io