Netzwerk-IP-Adressierung und Integration
Um Ressourcen in einem virtuellen Azure-Netzwerk in Ressourcen in Ihrem lokalen Netzwerk zu integrieren, müssen Sie verstehen, wie Sie diese Ressourcen verbinden und IP-Adressen konfigurieren können.
Ihr Fertigungsunternehmen möchte eine geschäftskritische Datenbank zu Azure migrieren. Clientanwendungen auf Desktopcomputern, Laptops und mobilen Geräten benötigen konstanten Zugriff auf die Datenbank, so als ob die Datenbank sich weiterhin im lokalen Netzwerk befinden würde. Sie möchten den Datenbankserver verschieben, ohne Benutzer zu beeinträchtigen.
In dieser Lerneinheit betrachten Sie einen typischen Entwurf eines lokalen Netzwerks und vergleichen ihn mit einem typischen Entwurf eines Azure-Netzwerks. Sie erfahren mehr über die Anforderungen für die IP-Adressierung während der Integration eines Azure-Netzwerks in lokale Netzwerke.
Lokale IP-Adressierung
Der Entwurf eines typischen lokalen Netzwerks umfasst folgende Komponenten:
- Router
- Firewalls
- Switches
- Netzwerksegmentierung
Das vorherige Diagramm zeigt eine vereinfachte Version eines typischen lokalen Netzwerks. Auf den Routern mit Zugriff auf die Internetdienstanbieter (Internet Service Provider, ISP) verwenden Sie öffentliche IP-Adressen, die von Ihrem ausgehenden Internetdatenverkehr als Quelle verwendet werden. Dies sind auch die Adressen, die für eingehenden Datenverkehr über das Internet verwendet werden. Der ISP stellt Ihnen möglicherweise einen Block von IP-Adressen aus, die Sie Ihren Geräten zuweisen, oder Sie verfügen vielleicht über einen eigenen Block von öffentlichen IP-Adressen, die Ihre Organisation besitzt und kontrolliert. Sie können diese Adressen Systemen zuweisen, die Sie über das Internet zugänglich machen möchten (z. B. Webserver).
Das Umkreisnetzwerk und die interne Zone verfügen über private IP-Adressen. Im Umkreisnetzwerk und der internen Zone kann auf die IP-Adressen, die diesen Geräten zugewiesen sind, nicht über das Internet zugegriffen werden. Der Administrator verfügt über die vollständige Kontrolle über die IP-Adresszuweisung, Namensauflösung, Sicherheitseinstellungen und Sicherheitsregeln. Es gibt drei Bereiche von nicht routingfähigen IP-Adressen, die für interne Netzwerke bestimmt sind, die nicht über Internetrouter gesendet werden.
- 10.0.0.0 bis 10.255.255.255
- 172.16.0.0 bis 172.31.255.255
- 192.168.0.0 bis 192.168.255.255
Der Administrator kann lokale Subnetze hinzufügen oder entfernen, um Netzwerkgeräte und Dienste zu unterstützen. Die Anzahl der Subnetze und IP-Adressen, die Sie in Ihrem lokalen Netzwerk verwenden können, hängt vom klassenlosen domänenübergreifenden Routing (Classless Inter-Domain Routing, CIDR) für den IP-Adressblock ab.
CIDR
CIDR (Classless Inter-Domain Routing, klassenloses domänenübergreifendes Routing) ist eine Methode zum Zuweisen von IP-Adressen und Routing von Internetprotokollpaketen. CIDR ermöglicht eine effizientere Nutzung des IP-Adressraums, indem die Erstellung von Subnetzmasken mit variabler Länge (VLSMs) ermöglicht wird, die IP-Adressen präziser und flexibler zuweisen können. Diese Methode trägt dazu bei, die Verschwendung von IP-Adressen zu reduzieren, und sie verbessert die Skalierbarkeit des Netzwerks. Die CIDR-Notation stellt eine IP-Adresse gefolgt von einem Schrägstrich und einer Zahl dar; 192.168.0.0/24. Die Zahl gibt die Länge der Subnetzmaske an.
Azure-IP-Adressierung
Virtuelle Azure-Netzwerk verwenden private IP-Adressen. Die Bereiche der privaten IP-Adressen sind identisch mit denen für die lokale IP-Adressierung. Wie in lokalen Netzwerken verfügt der Administrator über vollständige Kontrolle über IP-Adresszuweisung, Namensauflösung, Sicherheitseinstellungen und Sicherheitsregeln in einem virtuellen Azure-Netzwerk. Der Administrator kann Subnetze abhängig vom CIDR für den IP-Adressblock hinzufügen oder entfernen.
Der Entwurf eines typischen Azure-Netzwerks enthält normalerweise die folgenden Komponenten:
- Virtuelle Netzwerke
- Subnetze
- Netzwerksicherheitsgruppen
- Firewalls
- Load Balancer
In Azure weist der Netzwerkentwurf Features und Funktionen wie ein lokales Netzwerk auf, aber die Struktur des Netzwerks ist anders. Das Azure-Netzwerk folgt nicht der typischen Hierarchie eines lokalen Netzwerkentwurfs. Das Azure-Netzwerk ermöglicht es Ihnen, die Infrastruktur basierend auf der Nachfrage zentral hoch- und herunterzuskalieren. Die Bereitstellung im Azure-Netzwerk erfolgt innerhalb weniger Sekunden. Es sind keine Hardwaregeräte wie Router oder Switches vorhanden. Die gesamte Infrastruktur ist virtuell, und Sie können sie in Blöcke aufteilen, die Ihren Anforderungen entsprechen.
In Azure implementieren Sie in der Regel eine Netzwerksicherheitsgruppe und eine Firewall. Sie würden Subnetze verwenden, um Front-End-Dienste wie Webserver und DNS sowie Back-End-Dienste wie Datenbanken und Speichersysteme zu isolieren. Netzwerksicherheitsgruppen filtern internen und auch externen Datenverkehr auf der Netzwerkebene. Eine Firewall verfügt über umfangreichere Filterfunktionen auf der Netzwerk- und der Anwendungsebene. Durch die Bereitstellung von Netzwerksicherheitsgruppen und einer Firewall erreichen Sie eine bessere Isolation von Ressourcen für eine sichere Netzwerkarchitektur.
Grundlegende Eigenschaften virtueller Azure-Netzwerke
Ein virtuelles Netzwerk ist Ihr Netzwerk in der Cloud. Sie können Ihr virtuelles Netzwerk in mehrere Subnetze unterteilen. Jedes Subnetz enthält einen Teil des IP-Adressraums, der dem virtuellen Netzwerk zugewiesen ist. Sie können ein Subnetz hinzufügen, entfernen, erweitern oder verkleinern, wenn darin keine VMs oder Dienste bereitgestellt werden.
Standardmäßig können alle Subnetze in einem virtuellen Azure-Netzwerk miteinander kommunizieren. Sie können jedoch eine Netzwerksicherheitsgruppe verwenden, um die Kommunikation zwischen Subnetzen zu verhindern. Bei der Größenanpassung verwendet das kleinste unterstützte Subnetz eine /29-Subnetzmaske, und das größte unterstützte Subnetz verwendet eine /2-Subnetzmaske. Das kleinste Subnetz verfügt über acht IP-Adressen, und das größte Subnetz verfügt über 1.073.741.824 IP-Adressen.
Integrieren von Azure in lokale Netzwerke
Bevor Sie mit der Integration von Azure mit lokalen Netzwerken beginnen, ist es wichtig, das aktuelle private IP-Adressenschema zu identifizieren, das im lokalen Netzwerk verwendet wird. Für miteinander verbundene Netzwerke dürfen keine Überschneidungen von IP-Adressen vorhanden sein.
Beispielsweise können Sie nicht 192.168.0.0/16 in Ihrem lokalen Netzwerk und 192.168.10.0/24 in Ihrem virtuellen Azure-Netzwerk verwenden. Diese Bereiche enthalten beide die gleichen IP-Adressen, sodass Datenverkehr nicht zwischen ihnen weitergeleitet werden kann.
Sie können jedoch für mehrere Netzwerke denselben Klassenbereich verwenden. Beispielsweise können Sie den 10.10.0.0/16-Adressraum für Ihr lokales Netzwerk und den 10.20.0.0/16-Adressraum für Ihr Azure-Netzwerk verwenden, da diese sich nicht überschneiden.
Es ist von entscheidender Bedeutung, bei der Planung eines IP-Adressenschemas nach Überschneidungen zu suchen. Wenn sich IP-Adressen überlappen, können Sie Ihr lokales Netzwerk nicht in Ihr Azure-Netzwerk integrieren.