Prozkoumání virtuálních sítí Azure
- 12 min
Virtuální sítě Azure jsou základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě umožňují vytvářet složité virtuální sítě, které se podobají místní síti, s dalšími výhodami infrastruktury Azure, jako je škálování, dostupnost a izolace.
Toto video popisuje základy přidělování IP adres a podsítí.
Možnosti virtuálních sítí Azure
Virtuální sítě Azure umožňují prostředkům v Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.
- Komunikace s internetem. Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Veřejnou IP adresu nebo veřejný Load Balancer můžete použít také ke správě odchozích připojení.
- Komunikace mezi prostředky Azure Existují tři klíčové mechanismy, kterými může prostředek Azure komunikovat: virtuální sítě, koncové body služeb virtuální sítě a partnerský vztah virtuálních sítí. Virtuální sítě se můžou připojovat nejen k virtuálním počítačům, ale i dalším prostředkům Azure, jako jsou App Service Environment, Azure Kubernetes Service a Azure Virtual Machine Scale Sets. Pomocí koncových bodů služby se můžete připojit k dalším typům prostředků Azure, jako jsou databáze SQL Azure a účty úložiště. Když vytvoříte virtuální síť, můžou vaše služby a virtuální počítače ve vaší virtuální síti komunikovat přímo a bezpečně mezi sebou v cloudu.
- Komunikace mezi lokálními prostředky Bezpečné rozšíření datového centra K virtuální síti můžete připojit místní počítače a sítě pomocí některé z následujících možností: virtuální privátní síť typu Point-to-Site (VPN), VPN typu Site-to-Site, Azure ExpressRoute.
- Filtrování síťového provozu Síťový provoz mezi podsítěmi můžete filtrovat pomocí libovolné kombinace skupin zabezpečení sítě a síťových virtuálních zařízení.
- Směrování síťového provozu Azure ve výchozím nastavení směruje provoz mezi podsítěmi, propojenými virtuálními sítěmi, místními sítěmi a internetem. K přepsání výchozích tras, které Azure vytvoří, můžete implementovat směrovací tabulky nebo trasy protokolu BGP (Border Gateway Protocol).
Aspekty návrhu pro virtuální sítě Azure
Adresní prostor a podsítě
V každém regionu a pro každé předplatné můžete vytvořit více virtuálních sítí. V rámci každé virtuální sítě můžete vytvořit více podsítí.
Virtuální sítě
Při vytváření virtuální sítě použijte výčty rozsahů adres v DOKUMENTU RFC 1918. Tyto adresy jsou určené pro privátní nesměrovatelné adresní prostory.
- 10.0.0.0 – 10.255.255.255 (předpona 10/8)
- 172.16.0.0 – 172.31.255.255 (předpona 172.16/12)
- 192.168.0.0 – 192.168.255.255 (předpona 192.168/16)
Kromě toho jsou tyto rozsahy adres rezervované.
- 224.0.0.0/4 (vícesměrové vysílání)
- 255.255.255.255/32 (Vysílání)
- 127.0.0.0/8 (loopback)
- 169.254.0.0/16 (link-local)
- 168.63.129.16/32 (interní DNS)
Podsítě
Podsíť je rozsah IP adres ve virtuální síti. Virtuální sítě rozdělíte do podsítí různých velikostí. Prostředky Azure pak nasadíte do konkrétní podsítě. Stejně jako v tradiční síti umožňují podsítě segmentovat adresní prostor virtuální sítě do segmentů, které jsou vhodné pro interní síť organizace. Nejmenší podporovaná podsíť IPv4 je /29 a největší je /2 (pomocí definic podsítě CIDR). Podsítě IPv6 musí mít velikost přesně /64. Při plánování implementace podsítí zvažte:
- Každá podsíť musí mít jedinečný rozsah adres zadaný ve formátu CIDR (Classless Inter-Domain Routing).
- Některé služby Azure vyžadují vlastní podsíť.
- Podsítě je možné použít ke správě provozu. Můžete například vytvořit podsítě pro směrování provozu přes síťové virtuální zařízení.
- Přístup k prostředkům Azure můžete omezit na konkrétní podsítě pomocí koncového bodu služby virtuální sítě. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné.
Důležité informace o virtuálních sítích
Při plánování implementace virtuálních sítí je potřeba zvážit:
- Ujistěte se, že se adresní prostor nepřekrývá. Ujistěte se, že se adresní prostor virtuální sítě (blok CIDR) nepřekrývá s ostatními rozsahy sítě vaší organizace.
- Vyžaduje se nějaká izolace zabezpečení?
- Potřebujete zmírnit omezení přidělování IP adres?
- Existují připojení mezi virtuálními sítěmi Azure a místními sítěmi?
- Vyžaduje se nějaká izolace pro účely správy?
- Používáte nějaké služby Azure, které vytvářejí vlastní virtuální sítě?
Zvolte nejlepší odpověď pro každou otázku.