Планирование виртуальных сетей
Процесс создания виртуальной сети, используемой при проведении экспериментов, достаточно простой, но, скорее всего, со временем понадобится развернуть несколько таких сетей с учетом потребностей организации. Обладая знаниями по планированию, вы сможете более эффективно развертывать виртуальные сети и подключать необходимые ресурсы. Сведения в этой статье наиболее полезны, если вы уже работали с виртуальными сетям. Если вы не знакомы с их работой, советуем прочитать статью Что такое виртуальная сеть Azure?
Именование
Все ресурсы Azure имеют имена. Имя должно быть уникальным в пределах области, которая может отличаться в зависимости от типа ресурса. Например, имя виртуальной сети должно быть уникальным в пределах группы ресурсов, но может повторяться в подписке или регионе Azure. Определение соглашения об именовании, которое можно постоянно использовать при именовании ресурсов, полезно, когда вы управляете несколькими сетевыми ресурсами в течение долгого времени. Дополнительные рекомендации см. в статье, посвященной соглашениям об именовании.
Регионы
Все ресурсы Azure создаются в регионе или подписке Azure. Ресурс можно создать только в виртуальной сети, которая принадлежит к тому же региону и подписке, что и этот ресурс. Однако вы можете подключить виртуальные сети, которые расположены в разных подписках и регионах. Дополнительные сведения см. в разделе Соединение. При выборе регионов развертывания ресурсов следует также учитывать, где физически размещаются клиенты, использующие их.
- Клиенты обычно хотят иметь минимальную задержку сети при взаимодействии с ресурсами. Сведения об определении относительной задержки между указанными расположениями и регионами Azure см. в этой статье.
- Если вы имеете определенные требования к хранению и независимости данных, соответствию нормам и устойчивости, критически важно выбрать регион, который соответствует требованиям. Дополнительные сведения см. в статье Географические области Azure.
- Если необходимо обеспечить устойчивость в зонах доступности Azure в пределах одного региона Azure, вы можете развернуть ресурсы, например виртуальные машины, в разных зонах доступности в пределах одной виртуальной сети. Тем не менее не все регионы Azure поддерживают зоны доступности. Дополнительные сведения о зонах доступности и регионах, которые их поддерживают, см. в этой статье.
Подписки
Вы можете развернуть любое количество виртуальных сетей, требуемых в рамках подписки, вплоть до предела. Например, некоторые организации используют разные подписки в разных отделах. Дополнительные сведения и рекомендации, связанные с подписками, см. в разделе Определение иерархии.
Сегментация
Вы можете создать несколько виртуальных сетей в рамках одной подписки и одного региона. Каждая виртуальная сеть может иметь несколько подсетей. Ниже приведены рекомендации, которые помогут определить необходимое количество виртуальных сетей и подсетей.
Виртуальные сети
Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. Каждая виртуальная сеть выделяется для подписки. При принятии решения о создании одной или нескольких виртуальных сетей в подписке, необходимо учитывать следующее:
- Имеются ли в организации требования к безопасности относительно разделения трафика по отдельным виртуальным сетям. Вы можете выбрать, следует ли подключать виртуальные сети. При подключении виртуальных сетей можно внедрить виртуальный сетевой модуль, например брандмауэр, который позволяет управлять потоком трафика между виртуальными сетями. Дополнительные сведения см. в разделе о безопасности и соединении.
- Имеются ли в организации требования относительно разделения виртуальных сетей по отдельным подпискам или регионам.
- Сетевой интерфейс позволяет виртуальной машине взаимодействовать с другими ресурсами. Каждому сетевому интерфейсу назначается один или несколько частных IP-адресов. Количество сетевых интерфейсов или частных IP-адресов в виртуальной сети. Число сетевых интерфейсов и частных IP-адресов, которое можно иметь в виртуальной сети, ограничено.
- Необходимо ли подключить виртуальную сеть к другой виртуальной сети или к локальной сети. Вы можете подключить некоторые виртуальные сети только к другим виртуальным сетям или локальным сетям. Дополнительные сведения см. в разделе Соединение. Каждая виртуальная сеть, подключенная к другой виртуальной сети или локальной сети, должна иметь уникальное пространство адресов. Пространству адресов каждой виртуальной сети назначено один или несколько общедоступных или частных диапазонов адресов. Диапазон адресов указывается в формате CIDR, например 10.0.0.0/16. Дополнительные сведения о диапазонах адресов виртуальных сетей см. здесь.
- Имеются ли в организации требования к администрированию ресурсов в разных виртуальных сетях. Если да, вы можете разделить ресурсы по разным виртуальным сетям, чтобы упростить назначение разрешений отдельным лицам в организации, или чтобы назначить различные политики разным виртуальным сетям.
- При развертывании в виртуальных сетях некоторые ресурсы службы Azure создают собственные виртуальные сети. Чтобы определить, создает ли служба Azure собственную виртуальную сеть, ознакомьтесь со сведениями в разделе Службы, которые можно развернуть в виртуальной сети.
подсети;
Виртуальную сеть можно разделить на одну или несколько подсетей, вплоть до предела. При принятии решения о создании одной подсети или нескольких виртуальных сетей в подписке, необходимо учитывать следующее:
- Каждая подсеть должна иметь уникальный диапазон адресов, указанный в формате CIDR, в пространстве адресов виртуальной сети. Диапазон адресов не должен перекрываться с другими подсетями в виртуальной сети.
- Если вы планируете развернуть некоторые ресурсы службы Azure в виртуальной сети, они могут потребовать (или создать) собственную подсеть. Для этого в них должно быть достаточно свободного места. Чтобы определить, создает ли служба Azure собственную подсеть, ознакомьтесь со сведениями в разделе Службы, которые можно развернуть в виртуальной сети. Например, если подключить виртуальную сеть к локальной сети с помощью VPN-шлюза Azure, виртуальная сеть должна иметь выделенную подсеть для шлюза. Дополнительные сведения о подсетях шлюза см. здесь.
- По умолчанию Azure маршрутизирует трафик между всеми подсетями в виртуальной сети. Например, вы можете переопределить параметры по умолчанию, чтобы избежать маршрутизации трафика Azure между подсетями, или маршрутизировать трафик между подсетями через виртуальный сетевой модуль. Если необходимо, чтобы трафик между ресурсами в одной виртуальной сети проходил через виртуальный сетевой модуль, разверните ресурсы в разных подсетях. Дополнительные сведения о безопасности см. здесь.
- Вы можете ограничить доступ к ресурсам Azure, например к учетной записи хранения Azure или Базе данных SQL Azure, в определенных подсетях с помощью конечной точки службы для виртуальной сети. Кроме того, можно запретить доступ к ресурсам из Интернета. Вы можете создать несколько подсетей и активировать конечную точку службы только для некоторых подсетей. Дополнительные сведения о конечных точках службы и ресурсах Azure, которые можно для них активировать, см. здесь.
- Вы можете связать не более одной группы безопасности сети с каждой подсетью в виртуальной сети. Ту же или другую группу безопасности сети можно связать с каждой подсетью. Каждая группа безопасности сети содержит правила, которые разрешают или запрещают входящий и исходящий трафик из источников и назначений. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Безопасность
Вы можете фильтровать входящий и исходящий сетевой трафик ресурсов в виртуальной сети с помощью групп безопасности и виртуальных сетевых модулей. Кроме того, можно контролировать, как Azure маршрутизирует трафик из подсетей. Вы также можете ограничить количество сотрудников организации, которые могут работать с ресурсами в виртуальных сетях.
Фильтрация трафика
- Сетевой трафик между ресурсами в виртуальной сети можно фильтровать с помощью группы безопасности и (или) виртуального сетевого модуля. Чтобы развернуть виртуальный сетевой модуль, например брандмауэр, для фильтрации трафика, перейдите к Azure Marketplace. При использовании виртуального сетевого модуля вы также создаете настраиваемые маршруты, маршрутизирующие трафик из подсетей в виртуальный сетевой модуль. Дополнительные сведения о маршрутизации трафика см. здесь.
- Группа безопасности сети содержит несколько стандартных правил безопасности, которые разрешают или запрещают входящий и исходящий трафик ресурсов. Вы можете связать группу безопасности сети с сетевым интерфейсом и подсетью, в которой находится сетевой интерфейс. Чтобы упростить управление правилами безопасности, советуем связать группу безопасности сети с отдельными подсетями, а не отдельные сетевые интерфейсы в подсети, если это возможно.
- Если для разных виртуальных машин в подсети необходимо применить различные правила безопасности, вы можете связать сетевой интерфейс виртуальной машины с одной или несколькими группами безопасности приложения. Правило безопасности может указать группу безопасности приложения как в источнике, так и в назначении. Это правило затем применяется только к сетевым интерфейсам, которые входят в группу безопасности приложения. Ознакомьтесь с дополнительными сведениями о группах безопасности сети и приложения.
- Если группа безопасности сети связана на уровне подсети, она применяется ко всем сетевым картам в этой подсети, а не только к поступающему извне трафику. Таким образом, она повлияет даже на трафик между виртуальными машинами в пределах подсети.
- Azure создает несколько стандартных правил безопасности в каждой группе безопасности сети. Одно стандартное правило разрешает передачу всего трафика между всеми ресурсами в виртуальной сети. Это поведение можно изменить с помощью групп безопасности сети, настраиваемой маршрутизации для перенаправления трафика в виртуальный сетевой модуль, или используя оба метода. Рекомендуется ознакомиться со всеми стандартными правилами безопасности Azure и понять, как правила безопасности сети применяются к ресурсам.
Вы можете просмотреть примеры проектирования для реализации сети периметра между Azure и Интернетом с помощью виртуальных сетевых модулей.
Маршрутизация трафика
Azure создает несколько стандартных маршрутов для исходящего трафика из подсети. Вы можете переопределить стандартную маршрутизацию Azure, создав таблицу маршрутов и связав ее с подсетью. Ниже приведены распространенные причини для переопределения стандартной маршрутизации Azure.
- Необходимо, чтобы трафик между подсетями проходил через виртуальный сетевой модуль. Дополнительные сведения см. в руководстве Маршрутизация сетевого трафика с помощью таблицы маршрутов и портала Azure.
- Необходимо принудительно направить весь интернет-трафик через виртуальный сетевой модуль или локально через VPN-шлюз Azure. Принудительная отправка интернет-трафика локально для проверки и ведения журнала часто называется принудительным туннелированием. Ознакомьтесь с подробными сведениями о настройке принудительного туннелирования.
Если необходимо реализовать настраиваемую маршрутизацию, рекомендуется ознакомиться с маршрутизацией в Azure.
Подключение
Вы можете подключить виртуальную сеть к другим виртуальным сетям с помощью пиринга между виртуальными сетями или к локальной сети с помощью VPN-шлюза Azure.
Пиринг
При использовании пиринга виртуальной сети виртуальные сети могут находиться в одном или разных поддерживаемых регионах Azure. Виртуальные сети могут находиться в одной или разных подписках Azure (даже подписки, принадлежащие разным клиентам Microsoft Entra). Рекомендуется ознакомиться с требованиями и ограничениями пиринга перед его созданием. Пропускная способность между ресурсами в пиринговых виртуальных сетях в одном регионе такая же, как если бы ресурсы находились в одной виртуальной сети.
VPN-шлюз
VPN-шлюз позволяет подключить виртуальную сеть к локальной сети с помощью VPN-подключения "сеть—сеть" или с помощью выделенного подключения с Azure ExpressRoute.
Например, вы можете объединить пиринг и VPN-шлюз для создания звездообразных сетей, где периферийные виртуальные сети подключаются к центральной виртуальной сети, а центральная виртуальная сеть подключается к локальной сети.
Разрешение имен
Ресурсы в одной виртуальной сети не могут разрешать имена ресурсов в пиринговой виртуальной сети с помощью встроенной DNS-службы Azure. Чтобы разрешить имена в пиринговой виртуальной сети, разверните собственный DNS-сервер или используйте частные домены Azure DNS. Для разрешения имен между ресурсами в виртуальной сети и локальными сетями необходимо развернуть собственный DNS-сервер.
Разрешения
Azure использует управление доступом на основе ролей Azure (Azure RBAC) для ресурсов. Разрешения назначаются для области в следующем порядке: группа управления, подписка, группа ресурсов и отдельный ресурс. Дополнительные сведения об иерархии см. в статье Упорядочивание ресурсов с помощью групп управления Azure. Чтобы работать с виртуальными сетями Azure и со всеми их связанными возможностями, например пирингом, группами безопасности сети, конечными точками службы и таблицами маршрутов, вы можете назначить членам организации встроенные роли владельца, участника или участника сети, а затем назначить эти роли соответствующей области. Если вы хотите назначить специальные разрешения для подмножества возможностей виртуальной сети, создайте настраиваемую роль и назначьте конкретные разрешения, необходимые для виртуальных сетей, конечных точек подсети и поставщика, сетевых интерфейсов, пиринга, групп безопасности сети и приложения или таблиц маршрутов для роли.
Политика
Политика Azure позволяет создать и назначить определения политик, а также управлять ими. Определения политики применяют различные правила к ресурсам, что обеспечивает соответствие этих ресурсов стандартам организации и соглашениям об уровне обслуживания. Служба "Политика Azure" выполняет оценку ресурсов, выявляя те из них, которые не соответствуют вашим определениям политик. Например, вы можете определить и применить политику, которая разрешает создавать виртуальные сети только в определенной группе ресурсов или регионе. Для другой политики может потребоваться, чтобы каждая подсеть имела связанную с ней группу безопасности сети. Политики оцениваются при создании и обновлении ресурсов.
Политики применяются в следующем порядке: группа управления, подписка и группа ресурсов. Узнайте больше о Политике Azure или разверните примеры определений Политики Azure.
Следующие шаги
См. дополнительные сведения обо всех задачах, параметрах и вариантах для виртуальной сети, подсети и конечной точки службы, сетевого интерфейса, пиринга, группы безопасности сети и приложений или таблицы маршрутов.