Udostępnij za pośrednictwem

Platforma Azure dla inżynierów sieci

  • Artykuł

Jako konwencjonalny inżynier sieci masz do czynienia z fizycznymi aktywami, takimi jak routery, przełączniki, kable, zapory do tworzenia infrastruktury. W warstwie logicznej skonfigurowano wirtualną sieć LAN (VLAN), protokół STP (Spanning Tree Protocol), protokoły routingu (RIP, OSPF, BGP). Sieć zarządzała przy użyciu narzędzi do zarządzania i interfejsu wiersza polecenia. Sieć w chmurze różni się od tego, gdzie punkty końcowe sieci są logiczne, a użycie protokołów routingu jest minimalne. Będziesz pracować z interfejsem API usługi Azure Resource Manager, interfejsem wiersza polecenia platformy Azure i programem PowerShell na potrzeby konfigurowania zasobów na platformie Azure i zarządzania nimi. Rozpoczniesz podróż po sieci w chmurze, poznając podstawowe dzierżawy sieci platformy Azure.

Sieć wirtualna

Podczas projektowania sieci od dołu do góry zbierasz kilka podstawowych informacji. Te informacje mogą być liczbą hostów, urządzeń sieciowych, liczby podsieci, routingu między podsieciami, domenami izolacji, takimi jak sieci VLAN. Te informacje ułatwiają ustalanie rozmiaru sieci i urządzeń zabezpieczeń, a także tworzenie architektury do obsługi aplikacji i usług.

Podczas planowania wdrażania aplikacji i usług na platformie Azure rozpoczniesz od utworzenia logicznej granicy na platformie Azure, która jest nazywana siecią wirtualną. Ta sieć wirtualna jest powiązana z granicą sieci fizycznej. Ponieważ jest to sieć wirtualna, nie potrzebujesz fizycznego sprzętu, ale nadal musisz zaplanować jednostki logiczne, takie jak adresy IP, podsieci IP, routing i zasady.

Podczas tworzenia sieci wirtualnej na platformie Azure jest ona wstępnie skonfigurowana przy użyciu zakresu adresów IP (10.0.0.0/16). Ten zakres nie jest stały. Można zdefiniować własny zakres adresów IP. Zakresy adresów IPv4 i IPv6 można zdefiniować. Zakresy adresów IP zdefiniowane dla sieci wirtualnej nie są anonsowane do Internetu. Z zakresu adresów IP można utworzyć wiele podsieci. Te podsieci będą używane do przypisywania adresów IP do wirtualnych interfejsów sieciowych (vNICs). Pierwsze cztery adresy IP z każdej podsieci są zarezerwowane i nie można ich używać do alokacji adresów IP. W chmurze publicznej nie ma pojęcia sieci VLAN. Można jednak utworzyć izolację w sieci wirtualnej na podstawie zdefiniowanych podsieci.

Możesz utworzyć jedną dużą podsieć obejmującą całą przestrzeń adresową sieci wirtualnej lub utworzyć wiele podsieci. Jeśli jednak używasz bramy sieci wirtualnej, platforma Azure wymaga utworzenia podsieci o nazwie "podsieć bramy". Platforma Azure będzie używać tej podsieci do przypisywania adresów IP do bram sieci wirtualnej.

Alokacja adresów IP

Po przypisaniu adresu IP do hosta faktycznie przypisujesz adres IP do karty interfejsu sieciowego (NIC). Możesz przypisać dwa typy adresów IP do karty sieciowej na platformie Azure:

  • Publiczne adresy IP — służy do komunikowania ruchu przychodzącego i wychodzącego (bez translatora adresów sieciowych (NAT) z Internetem i innymi zasobami platformy Azure, które nie są połączone z siecią wirtualną. Przypisanie publicznego adresu IP do karty sieciowej jest opcjonalne. Publiczne adresy IP należą do przestrzeni adresów IP firmy Microsoft.
  • Prywatne adresy IP — używane do komunikacji w sieci wirtualnej, sieci lokalnej i Internetu (z translatorem adresów sieciowych). Przestrzeń adresowa IP zdefiniowana w sieci wirtualnej jest uznawana za prywatną, nawet jeśli skonfigurujesz publiczną przestrzeń adresów IP. Firma Microsoft nie anonsuje tej przestrzeni do Internetu. Do maszyny wirtualnej należy przypisać co najmniej jeden prywatny adres IP.

Podobnie jak w przypadku hostów fizycznych lub urządzeń, istnieją dwa sposoby przydzielenia adresu IP do zasobu — dynamiczny lub statyczny. Na platformie Azure domyślna metoda alokacji jest dynamiczna, gdzie adres IP jest przydzielany podczas tworzenia maszyny wirtualnej lub uruchamiania zatrzymanej maszyny wirtualnej. Adres IP jest zwalniany, gdy zatrzymujesz lub usuwasz maszynę wirtualną. Aby mieć pewność, że adres IP maszyny wirtualnej pozostaje taki sam, ustaw metodę alokacji jawnie jako statyczną. W takim przypadku adres IP jest przypisywany natychmiast. Jest on zwalniany tylko wtedy, gdy usuniesz maszynę wirtualną lub zmienisz jej metodę alokacji na dynamiczną.

Prywatne adresy IP są przydzielane z podsieci zdefiniowanych w sieci wirtualnej. W przypadku maszyny wirtualnej należy wybrać podsieć dla alokacji adresów IP. Jeśli maszyna wirtualna zawiera wiele kart sieciowych, możesz wybrać inną podsieć dla każdej karty sieciowej.

Routing

Podczas tworzenia sieci wirtualnej platforma Azure tworzy tabelę routingu dla sieci. Ta tabela routingu zawiera następujące typy tras.

  • Trasy systemowe
  • Trasy domyślne podsieci
  • Trasy z innych sieci wirtualnych
  • Trasy protokołu BGP
  • Trasy punktu końcowego usługi
  • Trasy zdefiniowane przez użytkownika (UDR)

Podczas tworzenia sieci wirtualnej po raz pierwszy bez definiowania podsieci platforma Azure tworzy wpisy routingu w tabeli routingu. Te trasy są nazywane trasami systemowych. Trasy systemowe są definiowane w tej lokalizacji. Nie można modyfikować tych tras. Można jednak zastąpić trasy systemów, konfigurując trasy zdefiniowane przez użytkownika.

Podczas tworzenia jednej lub wielu podsieci wewnątrz sieci wirtualnej platforma Azure tworzy domyślne wpisy w tabeli routingu, aby umożliwić komunikację między tymi podsieciami w sieci wirtualnej. Te trasy można modyfikować przy użyciu tras statycznych, które są trasami zdefiniowanymi przez użytkownika (UDR) na platformie Azure.

Podczas tworzenia komunikacji równorzędnej sieci wirtualnej między dwiema sieciami wirtualnymi dodawana jest trasa dla każdego zakresu adresów w obrębie przestrzeni adresowej w każdej sieci wirtualnej, dla której jest tworzona komunikacja równorzędna.

Jeśli Twoja brama sieci lokalnej wymienia trasy protokołu BGP z bramą sieci wirtualnej platformy Azure, dla każdej trasy propagowanej z bramy sieci lokalnej dodawana jest trasa. Te trasy są wyświetlane w tabeli routingu jako trasy protokołu BGP.

Publiczne adresy IP dla niektórych usług są dodawane do tabeli tras przez platformę Azure po włączeniu punktu końcowego usługi do usługi. Punkty końcowe usługi są włączone dla poszczególnych podsieci w sieci wirtualnej. Po włączeniu punktu końcowego usługi trasa jest dodawana tylko do tabeli tras dla podsieci należącej do tej usługi. Platforma Azure zarządza adresami w tabeli tras automatycznie po zmianie adresów.

Trasy zdefiniowane przez użytkownika są również nazywane trasami niestandardowymi. Trasa zdefiniowana przez użytkownika jest tworzona na platformie Azure w celu zastąpienia domyślnych tras systemowych platformy Azure lub dodania dodatkowych tras do tabeli tras podsieci. Na platformie Azure utworzysz tabelę tras, a następnie skojarzysz tabelę tras z podsieciami sieci wirtualnej.

Jeśli masz konkurencyjne wpisy w tabeli routingu, platforma Azure wybiera następny przeskok na podstawie najdłuższego dopasowania prefiksu podobnego do tradycyjnych routerów. Jeśli jednak istnieje wiele wpisów następnego przeskoku z tym samym prefiksem adresu, platforma Azure wybiera trasy w następującej kolejności.

  1. Trasy definiowane przez użytkownika
  2. Trasy protokołu BGP
  3. Trasy systemowe

Zabezpieczenia

Ruch sieciowy do i z zasobów w sieci wirtualnej można filtrować przy użyciu sieciowych grup zabezpieczeń. Możesz również użyć wirtualnych urządzeń sieciowych (WUS), takich jak usługa Azure Firewall lub zapory od innych dostawców. Możesz kontrolować sposób kierowania ruchu przez platformę Azure z podsieci. Możesz również ograniczyć, kto w organizacji może pracować z zasobami w sieciach wirtualnych.

Sieciowa grupa zabezpieczeń zawiera listę reguł listy kontroli dostępu (ACL), które blokują lub zezwalają na ruch sieciowy do podsieci i/lub kart sieciowych. Sieciowe grupy zabezpieczeń można kojarzyć z podsieciami lub poszczególnymi kartami sieciowymi połączonymi z podsiecią. Gdy sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, reguły listy ACL dotyczą wszystkich maszyn wirtualnych w tej podsieci. Ponadto ruch do pojedynczej karty sieciowej można ograniczyć przez skojarzenie sieciowej grupy zabezpieczeń bezpośrednio z kartą sieciową.

Sieciowe grupy zabezpieczeń zawierają dwa zestawy reguł: zestaw reguł przychodzących i wychodzących. Priorytety reguł muszą być unikatowe w poszczególnych zestawach. Każda reguła ma właściwości protokołu, zakresów portów źródłowych i docelowych, prefiksów adresów, kierunku ruchu, priorytetu i typu dostępu. Wszystkie sieciowe grupy zabezpieczeń zawierają zestaw reguł domyślnych. Reguł domyślnych nie można usunąć, ale ponieważ mają przypisany najniższy priorytet, mogą być zastąpione przez tworzone zasady.

Weryfikacja

Trasy w sieci wirtualnej

Kombinacja tras tworzonych, tras domyślnych platformy Azure i wszystkich tras propagowanych z sieci lokalnej za pośrednictwem bramy sieci VPN platformy Azure (jeśli sieć wirtualna jest połączona z siecią lokalną) za pośrednictwem protokołu BGP (Border Gateway Protocol), są skutecznymi trasami dla wszystkich interfejsów sieciowych w podsieci. Te obowiązujące trasy można wyświetlić, przechodząc do karty sieciowej za pośrednictwem portalu, programu PowerShell lub interfejsu wiersza polecenia. Aby uzyskać więcej informacji na temat obowiązujących tras na karcie sieciowej, zobacz Get-AzEffectiveRouteTable.

Grupy zabezpieczeń sieci

Obowiązujące reguły zabezpieczeń stosowane do interfejsu sieciowego to agregacja reguł, które istnieją w sieciowej grupie zabezpieczeń skojarzonej z interfejsem sieciowym, a podsieć, w którą znajduje się interfejs sieciowy. Wszystkie obowiązujące reguły zabezpieczeń można wyświetlić w sieciowych grupach zabezpieczeń, które są stosowane do interfejsów sieciowych maszyny wirtualnej, przechodząc do karty sieciowej za pośrednictwem portalu, programu PowerShell lub interfejsu wiersza polecenia.

Następne kroki

Dowiedz się więcej o sieci wirtualnej.

Dowiedz się więcej o routingu sieci wirtualnej.

Dowiedz się więcej o sieciowych grupach zabezpieczeń.