Co je virtuální síť Azure

  • 3 min

Azure Virtual Network je služba, která poskytuje základní stavební blok pro vaši privátní síť v Azure. Instance služby (virtuální sítě) umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Mezi tyto prostředky Azure patří virtuální počítače.

Virtuální síť je podobná tradiční síti, kterou provozujete ve svém vlastním datacentru. Přináší ale další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Diagram znázorňující příklad virtuální sítě Azure

Proč používat virtuální síť Azure?

Mezi klíčové scénáře, které můžete dosáhnout s virtuální sítí, patří:

  • Komunikace prostředků Azure s internetem
  • Komunikace mezi prostředky Azure
  • Komunikace s místními prostředky
  • Filtrování síťového provozu
  • Směrování síťového provozu
  • Integrace se službami Azure

Komunikace s internetem

Všechny prostředky ve virtuální síti můžou ve výchozím nastavení komunikovat odchozí s internetem. Ke správě odchozích připojení můžete použít také veřejnou IP adresu, bránu NAT nebo veřejný nástroj pro vyrovnávání zatížení. Příchozí komunikaci s prostředkem můžete provést přiřazením veřejné IP adresy nebo veřejného nástroje pro vyrovnávání zatížení.

Pokud používáte jenom interní nástroj pro vyrovnávání zatížení úrovně Standard, odchozí připojení není dostupné, dokud nedefinujete, jak chcete odchozí připojení pracovat s veřejnou IP adresou na úrovni instance nebo s veřejným nástrojem pro vyrovnávání zatížení.

Komunikace mezi prostředky Azure

Prostředky Azure mezi sebou zabezpečeně komunikují jedním z následujících způsobů:

  • Virtuální síť: Virtuální počítače a další typy prostředků Azure můžete nasadit do virtuální sítě. Mezi příklady prostředků patří App Service Environment, Azure Kubernetes Service (AKS) a Škálovací sady virtuálních počítačů Azure. Úplný seznam prostředků Azure, které můžete nasadit ve virtuální síti, najdete v tématu Nasazení vyhrazených služeb Azure do virtuálních sítí.
  • Koncový bod služby virtuální sítě: Privátní adresní prostor virtuální sítě a identitu virtuální sítě můžete rozšířit na prostředky služeb Azure přes přímé připojení. Mezi příklady prostředků patří účty Azure Storage a Azure SQL Database. Koncové body služeb umožňují svázat vaše důležité prostředky služeb Azure pouze s virtuální sítí. Další informace najdete v tématu Koncové body služeb virtuální sítě.
  • Partnerský vztah virtuálních sítí: Virtuální sítě můžete vzájemně propojit pomocí virtuálního partnerského vztahu. Prostředky v obou virtuálních sítích pak můžou vzájemně komunikovat. Virtuální sítě, které připojíte, můžou být ve stejných nebo různých oblastech Azure. Další informace najdete v tématu Partnerský vztah virtuálních sítí.

Komunikace s místními prostředky

K virtuální síti můžete připojit místní počítače a sítě pomocí některé z následujících možností:

  • Virtuální privátní síť (VPN) typu Point-to-Site: Vytváří se mezi virtuální sítí a jedním počítačem ve vaší síti. Každý počítač, který chcete navázat připojení k virtuální síti, musí toto připojení nakonfigurovat. Tento typ připojení je užitečný, pokud teprve začínáte s Azure nebo pro vývojáře, protože vyžaduje několik nebo žádné změny stávající sítě. Komunikace mezi počítačem a virtuální sítí se odesílá prostřednictvím šifrovaného tunelu přes internet. Další informace najdete v tématu Informace o síti VPN typu point-to-site.
  • Vpn typu Site-to-Site: Vytvořeno mezi místním zařízením VPN a bránou Azure VPN, která je nasazená ve virtuální síti. Tento typ připojení povoluje přístup k virtuální síti všem místním prostředkům, které autorizujete. Komunikace mezi místním zařízením VPN a službou Azure VPN Gateway se odesílá prostřednictvím šifrovaného tunelu přes internet. Další informace najdete v tématu popisujícím síť VPN typu Site-to-Site.
  • Azure ExpressRoute: Vytváří se mezi vaší sítí a Azure prostřednictvím partnera ExpressRoute. Toto připojení je soukromé. Provoz neprochází přes internet. Další informace najdete v tématu Co je Azure ExpressRoute?

Filtrování provozu sítě

Síťový provoz mezi podsítěmi můžete filtrovat pomocí následujících možností:

  • Skupiny zabezpečení sítě: Skupiny zabezpečení sítě a skupiny zabezpečení aplikací můžou obsahovat několik příchozích a odchozích pravidel zabezpečení. Tato pravidla umožňují filtrovat provoz do a z prostředků podle zdrojové a cílové IP adresy, portu a protokolu. Další informace najdete v tématu Skupiny zabezpečení sítě a skupiny zabezpečení aplikace.
  • Síťová virtuální zařízení: Síťové virtuální zařízení je virtuální počítač, který provádí síťovou funkci, například optimalizaci brány firewall nebo sítě WAN. Pokud chcete zobrazit seznam dostupných síťových virtuálních zařízení, která můžete nasadit ve virtuální síti, přejděte na Azure Marketplace.

Směrování síťového provozu

Azure standardně směruje provoz mezi podsítěmi, připojenými virtuálními sítěmi, místními sítěmi a internetem. Pokud chcete přepsat výchozí trasy, které Azure vytvoří, můžete implementovat jednu nebo obě z následujících možností:

  • Směrovací tabulky: Můžete vytvořit vlastní směrovací tabulky , které řídí, kam se směruje provoz pro každou podsíť.
  • Trasy protokolu BGP (Border Gateway Protocol): Pokud virtuální síť připojíte k místní síti pomocí brány Azure VPN nebo připojení ExpressRoute , můžete rozšířit místní trasy protokolu BGP do virtuálních sítí.

Integrace se službami Azure

Integrace služeb Azure s virtuální sítí Azure umožňuje privátní přístup ke službě z virtuálních počítačů nebo výpočetních prostředků ve virtuální síti. Pro tuto integraci můžete použít následující možnosti:

  • Nasaďte vyhrazené instance služby do virtuální sítě. Služby pak mohou být soukromě přístupné v rámci virtuální sítě a z místních sítí.
  • Azure Private Link použijte k privátnímu přístupu ke konkrétní instanci služby z vaší virtuální sítě a z místních sítí.
  • Přístup ke službě prostřednictvím veřejných koncových bodů rozšířením virtuální sítě na službu prostřednictvím koncových bodů služby. Koncové body služby umožňují zabezpečení prostředků služby do virtuální sítě.

Omezení

Existuje omezení počtu prostředků Azure, které můžete nasadit. Většina síťových limitů Azure je maximálních hodnot. Můžete ale zvýšit určité limity sítě. Další informace najdete v tématu Omezení sítě.

Virtuální sítě a zóny dostupnosti

Virtuální sítě a podsítě zahrnují všechny zóny dostupnosti v oblasti. Pokud chcete vyhovět zónám zón dostupnosti, nemusíte je dělit podle zón. Pokud například nakonfigurujete zónový virtuální počítač, nemusíte při výběru zóny dostupnosti pro virtuální počítač brát v úvahu virtuální síť. Totéž platí i pro ostatní zónové prostředky.

Ceny

Za používání služby Azure Virtual Network se neúčtují žádné poplatky. Je to zdarma. U prostředků, jako jsou virtuální počítače a další produkty, se účtují standardní poplatky. Další informace najdete v tématu Ceny služby Virtual Network a cenová kalkulačka Azure.