Az Azure-alapú virtuális hálózatok megismerése

  • 10 perc

Van egy helyszíni adatközpontja, amelyet meg kíván tartani, de az Azure-t is használni szeretné, hogy a forgalmi csúcsok kezelését kiszervezze az Azure-ban futó virtuális gépekre. Célszerű megtartani meglévő IP-címzési sémáját és hálózati berendezéseit úgy, hogy közben biztosítva legyen az adatok biztonságos átvitele.

Mik az Azure-beli virtuális hálózatok?

Az Azure-beli virtuális hálózatok lehetővé teszik, hogy az Azure-erőforrások, például virtuális gépek, webalkalmazások és adatbázisok kommunikáljanak egymással, az interneten elérhető felhasználókkal, valamint a helyszíni ügyfélszámítógépekkel. Az Azure-hálózatok olyan erőforráskészleteknek is tekinthetők, amely további Azure-erőforrásokat kapcsolnak össze.

Azure-beli virtuális hálózatok kulcsfontosságú hálózatkezelési képességeket nyújtanak:

  • Elkülönítés és szegmentálás
  • Internetes kommunikáció
  • Azure-erőforrások közötti kommunikáció
  • Kommunikáció helyszíni erőforrásokkal
  • Hálózati forgalom továbbítása
  • Hálózati forgalom szűrése
  • Virtuális hálózatok csatlakoztatása

Elkülönítés és szegmentálás

Az Azure lehetővé teszi több elkülönített virtuális hálózat létrehozását. Egy virtuális hálózat beállításakor nyilvános vagy magánhálózati IP-címtartományok használatával meg kell adnia egy privát Internet Protocol- (IP-) címteret. Ezután az IP-címteret feloszthatja alhálózatokra, és minden elnevezett alhálózat számára lefoglalhatja a megadott címtér egy részét.

A névfeloldáshoz használhatja az Azure beépített névfeloldási szolgáltatását, illetve egy belső vagy külső tartománynévrendszer- (DNS-) kiszolgáló használatára is konfigurálhatja a virtuális hálózatot.

Internetes kommunikáció

Az Azure-beli virtuális gépek alapértelmezés szerint csatlakozhatnak az internethez. A bejövő internetes kapcsolatok egy nyilvános IP-cím vagy nyilvános terheléselosztó meghatározásával engedélyezhetők. A virtuális gépek kezeléséhez csatlakozhat az Azure CLI, a Remote Desktop Protocol (RDP) vagy a Secure Shell (SSH) használatával.

Azure-erőforrások közötti kommunikáció

Az Azure-erőforrások egymás közötti biztonságos kommunikációját engedélyeznie kell. Ennek kétféle módja van:

  • Virtuális hálózatok

    A virtuális hálózatok nemcsak más virtuális gépekhez csatlakozhatnak, hanem egyéb Azure-erőforrásokhoz is, például Azure App Service Environment-környezetekhez, az Azure Kubernetes Service-hez (AKS) és Azure Virtual Machine Scale Sets-készletekhez.

  • Szolgáltatásvégpontok

    A szolgáltatásvégpontok használatával olyan egyéb Azure-erőforrástípusokhoz csatlakozhat, mint az Azure SQL Database-adatbázisok és a tárfiókok. Így több Azure-erőforrást kapcsolhat össze egy virtuális hálózattal, ami javítja a biztonságot és biztosítja az erőforrások közötti optimális útválasztást.

Kommunikáció helyszíni erőforrásokkal

Az Azure-beli virtuális hálózatok lehetővé teszik az erőforrások összekapcsolását a helyszíni környezetben és az Azure-előfizetésben, így a helyszíni és a felhőbeli környezetre is kiterjedő hálózatot hozhat létre. Ez a kapcsolat háromféle mechanizmussal hozható létre:

  • Pont–hely virtuális magánhálózatok

    Ez a megközelítés hasonlít egy olyan VPN-kapcsolathoz, amelyet egy szervezeten kívüli számítógép létesít a vállalati hálózattal, csak az ellenkező irányban működik. Ebben az esetben az ügyfélszámítógép kezdeményez egy titkosított VPN-kapcsolatot az Azure-ral, és összeköti a számítógépet az Azure-beli virtuális hálózattal.

  • Helyek közötti VPN A helyek közötti VPN összeköti a helyszíni VPN-eszközt vagy -átjárót egy virtuális hálózaton található Azure VPN Gateway-jel. Az Azure-beli eszközök gyakorlatilag úgy jeleníthetők meg, mintha a helyi hálózathoz tartoznának. A kapcsolat titkosított, és az interneten keresztül működik.

  • Azure ExpressRoute

    A nagyobb sávszélességet és még magasabb biztonsági szintet igénylő környezetekben az Azure ExpressRoute a legjobb megoldás. Az Azure ExpressRoute dedikált privát kapcsolatot biztosít az Azure-hoz, amely nem utazik az interneten keresztül.

Hálózati forgalom továbbítása

Az Azure alapértelmezés szerint elosztja a forgalmat az alhálózatok, a csatlakoztatott virtuális hálózatok, a helyszíni hálózatok és az internet között. Az útválasztás azonban vezérelhető, és a beállítások felülbírálhatók az alábbiak szerint:

  • Útválasztási táblázatok

    Az útvonaltáblák lehetővé teszik a forgalom irányítására vonatkozó szabályok meghatározását. Létrehozhat egyéni útválasztási táblázatokat, amelyek szabályozzák a csomagok útválasztását az alhálózatok között.

  • Border Gateway Protocol

    A Border Gateway Protocol (BGP) az Azure VPN-átjárókkal vagy ExpressRoute-kapcsolattal propagálja a helyszíni BGP-útvonalakat az Azure-beli virtuális hálózatokra.

Hálózati forgalom szűrése

Az Azure-beli virtuális hálózatokon az alábbi módokon szűrhető az alhálózatok közötti forgalom:

  • Hálózati biztonsági csoportok

    A hálózati biztonsági csoport (NSG) egy Azure-erőforrás, amely több bejövő és kimenő biztonsági szabályt tartalmazhat. A szabályok olyan tényezők alapján engedélyezik vagy blokkolják a forgalmat, mint a forrás vagy cél IP-cím, a port és a protokoll.

  • Hálózati virtuális berendezések

    A hálózati virtuális berendezések olyan speciális virtuális gépek, amelyek egy megerősített hálózati berendezéshez hasonlíthatók. A hálózati virtuális berendezések egy adott hálózati funkciót látnak el, mint például egy tűzfal futtatása vagy a WAN-optimalizáció.

Virtuális hálózatok csatlakoztatása

A virtuális hálózatok össze is kapcsolhatók egymással egy társviszony létesítésével. Ez lehetővé teszi, hogy a virtuális hálózatok erőforrásai kommunikálhassanak egymással. Ezek a virtuális hálózatok különböző régiókban is lehetnek, így akár egy globális összekapcsolt hálózat is létrehozható az Azure-on keresztül.

Az Azure Virtual Network-hálózatok beállításai

Az Azure-beli virtuális hálózatok az Azure Portalon, a helyi számítógépen az Azure PowerShell-lel, valamint az Azure Cloud Shell-lel hozhatók létre és konfigurálhatók.

Virtuális hálózat létrehozása

Azure-beli virtuális hálózat létrehozásakor számos alapvető beállítást konfigurálhat. Speciális beállításokat is konfigurálhat, például több alhálózatot, elosztott szolgáltatásmegtagadási (DDoS) védelmet és szolgáltatásvégpontokat.

Screenshot of the Azure portal showing an example of the Create virtual network pane fields.

Egy alapszintű virtuális hálózathoz a következő beállításokat kell konfigurálnia:

  • Hálózat neve

    A hálózat nevének egyedinek kell lennie az előfizetésben, de nem kell globálisan egyedinek lennie. Adjon meg olyan nevet, amely könnyen megjegyezhető és megkülönböztethető a többi virtuális hálózattól.

  • Címtér

    A virtuális hálózat beállításakor meg kell adni a belső címteret, Classless Interdomain Routing (CIDR) formátumban. A címtérnek egyedinek kell lennie az előfizetésben és minden más hálózatban, amelyhez csatlakozik.

    Tegyük fel, hogy a 10.0.0.0/24 címteret választja az első virtuális hálózathoz. Az ebben a címtérben található címek a 10.0.0.1-től a 10.0.0.254-ig terjednek. Ezután létrehoz egy második virtuális hálózatot, és kiválaszt egy 10.0.0.0/8 címteret. Az ebben a címtartományban található címek 10.0.0.1-től 10.255.255.254-ig terjednek. Egyes címek átfedésben vannak, így nem használhatók mindkét virtuális hálózathoz.

    Azonban a 10.0.0.0/16 címteret is használhatja, amelynek címei 10.0.0.1 és 10.0.255.254 közé esnek, valamint a 10.1.0.0/16 címteret, melynek címei 10.1.0.1 és 10.1.255.254 között találhatók. Ezeket a címtereket már hozzárendelheti a virtuális hálózatokhoz, mert nincs köztük átfedés.

    Feljegyzés

    A virtuális hálózat létrehozása után további címtereket is felvehet.

  • Előfizetés

    Ezt csak akkor kell megadnia, ha több választható előfizetéssel rendelkezik.

  • Erőforráscsoport

    Mint minden Azure-erőforrásnak, a virtuális hálózatoknak is tartozniuk kell egy erőforráscsoporthoz. Választhat egy meglévő erőforráscsoportot, vagy létrehozhat egy újat.

  • Helyen

    Válassza ki a virtuális hálózat kívánt helyét.

  • Alhálózat

    Az egyes virtuális hálózatok címterein belül létrehozhat több alhálózatot is, amelyek felbontják az adott virtuális hálózat címterét. Az alhálózatok közötti útválasztás vagy alapértelmezett forgalmi útvonalakon, vagy a felhasználó által megadott egyéni útvonalakon történik. Azt is megteheti, hogy egy darab alhálózatot határoz meg, amely a virtuális hálózat összes címtartományát magában foglalja.

    Feljegyzés

    Az alhálózatok nevének betűvel vagy számmal kell kezdődnie, betűvel, számmal vagy aláhúzásjellel kell végződnie, és csak betűket, számokat, aláhúzásjelet, pontot vagy kötőjelet tartalmazhat.

  • Elosztott szolgáltatásmegtagadásos támadások (DDoS) elleni védelem

    Alapszintű és standard szintű DDoS elleni védelem közül választhat. A standard szintű DDoS Protection prémium szolgáltatás. Az Azure DDoS Protection további információt nyújt a DDoS Protectionről.

  • Szolgáltatásvégpontok

    Itt engedélyezheti a szolgáltatásvégpontok használatát, majd kiválaszthatja a listából az engedélyezni kívánt Azure-szolgáltatásvégpontokat. Ezek közé tartozik például az Azure Cosmos DB, az Azure Service Bus, az Azure Key Vault és így tovább.

Amikor konfigurálta ezeket a beállításokat, válassza a Létrehozás lehetőséget.

Egyéb beállítások megadása

A virtuális hálózat létrehozása után további beállításokat is megadhat. Ezek a beállítások többek között:

  • Hálózati biztonsági csoport

    A hálózati biztonsági csoportok biztonsági szabályokat tartalmaznak, amelyekkel szűrhető, hogy a virtuális hálózat alhálózatain és hálózati adapterein milyen típusú bejövő és kimenő forgalom haladhat át. A hálózati biztonsági csoportot külön kell létrehozni, majd társítani kell a virtuális hálózathoz.

  • Útvonaltábla

    Az Azure automatikusan létrehoz egy útvonaltáblát egy Azure-beli virtuális hálózat minden alhálózatához, és hozzáadja a rendszer alapértelmezett útvonalait a táblához. Azonban egyéni útválasztási táblázatok is megadhatók a virtuális hálózatok közötti forgalom módosításához.

Emellett a szolgáltatásvégpontok is módosíthatók.

Screenshot of the Azure portal showing an example pane for editing virtual network settings.

Virtuális hálózatok konfigurálása

Amikor létrehozott egy virtuális hálózatot, az Azure Portal Virtuális hálózatok paneljén módosíthatja a további beállításokat. Emellett PowerShell-parancsokkal vagy a Cloud Shell parancsaival is végezhet módosításokat.

Screenshot of the Azure portal showing an example pane for configuring a virtual network.

Ezután a további alpaneleken tekintheti át és módosíthatja a beállításokat. Ezek a beállítások többek között:

  • Címterek: További címtereket is hozzáadhat a kezdeti definícióhoz.

  • Csatlakozás eszközök: A virtuális hálózat használatával csatlakoztathat gépeket.

  • Alhálózatok: További alhálózatok hozzáadása.

  • Társviszonyok: Virtuális hálózatok összekapcsolása társviszony-létesítési rendszerekben.

Emellett monitorozhatja a virtuális hálózatokat, hibaelhárítást végezhet, vagy létrehozhat egy automatizációs szkriptet a jelenlegi virtuális hálózat létrehozásához.

A virtuális hálózatok nagy teljesítményű és nagymértékben konfigurálható mechanizmusok, amelyek az Azure-beli entitások összekapcsolását szolgálják. Azure-erőforrásokat csatlakoztathat egymáshoz, vagy helyszíni erőforrásokhoz. Elkülönítheti, szűrheti és irányíthatja a hálózati forgalmat, az Azure pedig lehetővé teszi a biztonság növelését, ahol úgy érzi, hogy szüksége van rá.