Planowanie sieci wirtualnych

  • Artykuł

Tworzenie sieci wirtualnej do eksperymentowania z programem jest wystarczająco łatwe, ale istnieje prawdopodobieństwo, że w miarę upływu czasu wdrożysz wiele sieci wirtualnych w celu zapewnienia obsługi potrzeb produkcyjnych organizacji. W przypadku planowania można wdrażać sieci wirtualne i łączyć potrzebne zasoby wydajniej. Informacje zawarte w tym artykule są najbardziej przydatne, jeśli znasz już sieci wirtualne i masz pewne doświadczenie w pracy z nimi. Jeśli nie znasz sieci wirtualnych, zalecamy zapoznanie się z omówieniem sieci wirtualnej.

Nazewnictwo

Wszystkie zasoby platformy Azure mają nazwę. Nazwa musi być unikatowa w zakresie, który może być różny dla każdego typu zasobu. Na przykład nazwa sieci wirtualnej musi być unikatowa w obrębie grupy zasobów, ale może być zduplikowana w ramach subskrypcji lub regionu świadczenia usługi Azure. Definiowanie konwencji nazewnictwa, której można używać spójnie podczas nazewnictwa zasobów, jest przydatne podczas zarządzania kilkoma zasobami sieciowymi w czasie. Aby uzyskać sugestie, zobacz Konwencje nazewnictwa.

Regiony

Wszystkie zasoby platformy Azure są tworzone w regionie i subskrypcji platformy Azure. Zasób można utworzyć tylko w sieci wirtualnej, która istnieje w tym samym regionie i subskrypcji co zasób. Można jednak połączyć sieci wirtualne istniejące w różnych subskrypcjach i regionach. Aby uzyskać więcej informacji, zobacz łączność. Podczas podejmowania decyzji o regionach, w których mają być wdrażane zasoby, należy rozważyć, gdzie fizycznie znajdują się konsumenci zasobów:

  • Konsumenci zasobów zwykle chcą najmniejszego opóźnienia sieci w swoich zasobach. Aby określić względne opóźnienia między określoną lokalizacją a regionami platformy Azure, zobacz Wyświetlanie względnych opóźnień.
  • Czy masz wymagania dotyczące rezydencji danych, niezależności, zgodności lub odporności? Jeśli tak, wybór regionu, który jest zgodny z wymaganiami, ma kluczowe znaczenie. Aby uzyskać więcej informacji, zobacz Lokalizacje geograficzne platformy Azure.
  • Czy wymagana jest odporność w usłudze Azure Strefy dostępności w tym samym regionie świadczenia usługi Azure dla wdrażanych zasobów? Zasoby, takie jak maszyny wirtualne, można wdrażać w różnych strefach dostępności w tej samej sieci wirtualnej. Nie wszystkie regiony platformy Azure obsługują jednak strefy dostępności. Aby dowiedzieć się więcej o strefach dostępności i regionach, które je obsługują, zobacz Strefy dostępności.

Subskrypcje

Można wdrożyć dowolną liczbę sieci wirtualnych zgodnie z wymaganiami w ramach każdej subskrypcji, maksymalnie do limitu. Niektóre organizacje mają różne subskrypcje dla różnych działów, na przykład. Aby uzyskać więcej informacji i uwagi dotyczące subskrypcji, zobacz Zarządzanie subskrypcjami.

Segmentacja

Można utworzyć wiele sieci wirtualnych na subskrypcję i region. W każdej sieci wirtualnej można utworzyć wiele podsieci. Poniższe zagadnienia ułatwiają określenie, ile sieci wirtualnych i podsieci jest potrzebnych:

Sieci wirtualne

Sieć wirtualna to wirtualna, izolowana część sieci publicznej platformy Azure. Każda sieć wirtualna jest dedykowana twojej subskrypcji. Podczas podejmowania decyzji o utworzeniu jednej sieci wirtualnej lub wielu sieciach wirtualnych w ramach subskrypcji należy wziąć pod uwagę następujące kwestie:

  • Czy istnieją jakiekolwiek wymagania dotyczące zabezpieczeń organizacji dotyczące izolowania ruchu do oddzielnych sieci wirtualnych? Możesz wybrać połączenie sieci wirtualnych, a nie. W przypadku łączenia sieci wirtualnych można zaimplementować wirtualne urządzenie sieciowe, takie jak zapora, w celu kontrolowania przepływu ruchu między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz Zabezpieczenia i łączność.
  • Czy istnieją jakiekolwiek wymagania organizacyjne dotyczące izolowania sieci wirtualnych do oddzielnych subskrypcji lub regionów?
  • Interfejs sieciowy umożliwia maszynie wirtualnej komunikowanie się z innymi zasobami. Każdy interfejs sieciowy ma przypisany co najmniej jeden prywatny adres IP. Ile interfejsów sieciowych i prywatnych adresów IP jest potrzebnych w sieci wirtualnej? Istnieją ograniczenia dotyczące liczby interfejsów sieciowych i prywatnych adresów IP, które można mieć w sieci wirtualnej.
  • Czy chcesz połączyć sieć wirtualną z inną siecią wirtualną lub siecią lokalną? Możesz połączyć niektóre sieci wirtualne ze sobą lub sieciami lokalnymi, ale nie z innymi. Aby uzyskać więcej informacji, zobacz łączność. Każda sieć wirtualna, która łączy się z inną siecią wirtualną lub siecią lokalną, musi mieć unikatową przestrzeń adresową. Każda sieć wirtualna ma co najmniej jeden zakres adresów publicznych lub prywatnych przypisanych do swojej przestrzeni adresowej. Zakres adresów jest określony w formacie CIDR (Classless Internet Domain Routing), takim jak 10.0.0.0/16. Dowiedz się więcej o zakresach adresów dla sieci wirtualnych.
  • Czy masz jakiekolwiek wymagania dotyczące administracji organizacyjnej dla zasobów w różnych sieciach wirtualnych? Jeśli tak, możesz podzielić zasoby na oddzielną sieć wirtualną, aby uprościć przypisywanie uprawnień osobom w organizacji lub przypisać różne zasady do różnych sieci wirtualnych.
  • Podczas wdrażania niektórych zasobów usługi platformy Azure w sieci wirtualnej tworzą własną sieć wirtualną. Aby określić, czy usługa platformy Azure tworzy własną sieć wirtualną, zobacz informacje dotyczące każdej usługi platformy Azure, którą można wdrożyć w sieci wirtualnej.

Podsieci

Sieć wirtualną można podzielić na co najmniej jedną podsiecię do limitów. Kwestie, które należy wziąć pod uwagę podczas podejmowania decyzji o utworzeniu jednej podsieci lub wielu sieciach wirtualnych w subskrypcji:

  • Każda podsieć musi mieć unikatowy zakres adresów określony w formacie CIDR w przestrzeni adresowej sieci wirtualnej. Zakres adresów nie może nakładać się na inne podsieci w sieci wirtualnej.
  • Jeśli planujesz wdrożyć niektóre zasoby usługi platformy Azure w sieci wirtualnej, mogą wymagać lub utworzyć własną podsieć, więc musi być wystarczająco dużo miejsca, aby mogły to zrobić. Aby określić, czy usługa platformy Azure tworzy własną podsieć, zobacz informacje dotyczące każdej usługi platformy Azure, którą można wdrożyć w sieci wirtualnej. Jeśli na przykład połączysz sieć wirtualną z siecią lokalną przy użyciu usługi Azure VPN Gateway, sieć wirtualna musi mieć dedykowaną podsieć dla bramy. Dowiedz się więcej o podsieciach bramy.
  • Platforma Azure domyślnie kieruje ruch sieciowy między wszystkimi podsieciami w sieci wirtualnej. Możesz zastąpić domyślny routing platformy Azure, aby uniemożliwić routing platformy Azure między podsieciami lub kierować ruch między podsieciami, na przykład za pośrednictwem wirtualnego urządzenia sieciowego. Jeśli potrzebujesz, aby ruch między zasobami w tej samej sieci wirtualnej przepływał za pośrednictwem wirtualnego urządzenia sieciowego (WUS), wdróż zasoby w różnych podsieciach. Dowiedz się więcej na temat zabezpieczeń.
  • Dostęp do zasobów platformy Azure, takich jak konto usługi Azure Storage lub Usługa Azure SQL Database, można ograniczyć do określonych podsieci z punktem końcowym usługi sieci wirtualnej. Ponadto możesz odmówić dostępu do zasobów z Internetu. Możesz utworzyć wiele podsieci i włączyć punkt końcowy usługi dla niektórych podsieci, ale nie innych. Dowiedz się więcej o punktach końcowych usługi i zasobach platformy Azure, dla których można je włączyć.
  • Można skojarzyć zero lub jedną sieciową grupę zabezpieczeń z każdą podsiecią w sieci wirtualnej. Tę samą lub inną sieciową grupę zabezpieczeń można skojarzyć z każdą podsiecią. Każda sieciowa grupa zabezpieczeń zawiera reguły, które zezwalają na ruch do źródeł i miejsc docelowych oraz zezwalają na ruch do i z nich. Dowiedz się więcej o sieciowych grupach zabezpieczeń.

Zabezpieczenia

Ruch sieciowy do i z zasobów w sieci wirtualnej można filtrować przy użyciu sieciowych grup zabezpieczeń i wirtualnych urządzeń sieciowych. Możesz kontrolować sposób kierowania ruchu przez platformę Azure z podsieci. Możesz również ograniczyć, kto w organizacji może pracować z zasobami w sieciach wirtualnych.

Filtrowanie ruchu

  • Ruch sieciowy między zasobami w sieci wirtualnej można filtrować przy użyciu sieciowej grupy zabezpieczeń, urządzenia WUS filtrujące ruch sieciowy lub oba te elementy. Aby wdrożyć urządzenie WUS, takie jak zapora, aby filtrować ruch sieciowy, zobacz witrynę Azure Marketplace. W przypadku korzystania z urządzenia WUS można również tworzyć trasy niestandardowe do kierowania ruchu z podsieci do urządzenia WUS. Dowiedz się więcej o routingu ruchu.
  • Sieciowa grupa zabezpieczeń zawiera kilka domyślnych reguł zabezpieczeń, które zezwalają lub blokują ruch do lub z zasobów. Sieciowa grupa zabezpieczeń może być skojarzona z interfejsem sieciowym, podsiecią, w których znajduje się interfejs sieciowy, lub oba te elementy. Aby uprościć zarządzanie regułami zabezpieczeń, zaleca się skojarzenie sieciowej grupy zabezpieczeń z poszczególnymi podsieciami, a nie z poszczególnymi interfejsami sieciowymi w podsieci, jeśli to możliwe.
  • Jeśli różne maszyny wirtualne w podsieci wymagają zastosowania różnych reguł zabezpieczeń, możesz skojarzyć interfejs sieciowy na maszynie wirtualnej z co najmniej jedną grupą zabezpieczeń aplikacji. Reguła zabezpieczeń może określać grupę zabezpieczeń aplikacji w jej źródle, miejscu docelowym lub obu tych grupach. Ta reguła ma następnie zastosowanie tylko do interfejsów sieciowych, które są członkami grupy zabezpieczeń aplikacji. Dowiedz się więcej o sieciowych grupach zabezpieczeń i grupach zabezpieczeń aplikacji.
  • Gdy sieciowa grupa zabezpieczeń jest skojarzona na poziomie podsieci, ma zastosowanie do wszystkich kart sieciowych w podsieci, a nie tylko do ruchu pochodzącego spoza podsieci. Oznacza to, że może również mieć wpływ na ruch między maszynami wirtualnymi zawartymi w podsieci.
  • Platforma Azure tworzy kilka domyślnych reguł zabezpieczeń w ramach każdej sieciowej grupy zabezpieczeń. Jedna reguła domyślna zezwala na przepływ całego ruchu między wszystkimi zasobami w sieci wirtualnej. Aby zastąpić to zachowanie, użyj sieciowych grup zabezpieczeń, niestandardowego routingu do kierowania ruchu do urządzenia WUS lub obu tych elementów. Zaleca się zapoznanie się ze wszystkimi domyślnymi regułami zabezpieczeń platformy Azure i zrozumienie sposobu stosowania reguł sieciowej grupy zabezpieczeń do zasobu.

Możesz wyświetlić przykładowe projekty implementowania sieci obwodowej (nazywanej również strefą DMZ) między platformą Azure i Internetem przy użyciu urządzenia WUS.

Routing ruchu

Platforma Azure tworzy kilka domyślnych tras dla ruchu wychodzącego z podsieci. Domyślny routing platformy Azure można zastąpić, tworząc tabelę tras i kojarząc ją z podsiecią. Typowe przyczyny zastąpienia domyślnego routingu platformy Azure to:

  • Ponieważ ruch między podsieciami ma przepływać przez urządzenie WUS. Aby dowiedzieć się więcej na temat konfigurowania tabel tras w celu wymuszenia ruchu przez urządzenie WUS.
  • Ponieważ chcesz wymusić cały ruch związany z Internetem za pośrednictwem urządzenia WUS lub lokalnego, za pośrednictwem bramy sieci VPN platformy Azure. Wymuszanie lokalnego ruchu internetowego na potrzeby inspekcji i rejestrowania jest często określane jako wymuszone tunelowanie. Dowiedz się więcej na temat konfigurowania wymuszonego tunelowania.

Jeśli musisz zaimplementować routing niestandardowy, zalecamy zapoznanie się z routingiem na platformie Azure.

Łączność

Sieć wirtualną można połączyć z innymi sieciami wirtualnymi przy użyciu komunikacji równorzędnej sieci wirtualnych lub z siecią lokalną przy użyciu bramy sieci VPN platformy Azure.

Komunikacja równorzędna

W przypadku korzystania z komunikacji równorzędnej sieci wirtualnych sieci wirtualnych mogą znajdować się w tych samych lub różnych obsługiwanych regionach świadczenia usługi Azure. Sieci wirtualne mogą znajdować się w tych samych lub różnych subskrypcjach platformy Azure (nawet subskrypcjach należących do różnych dzierżaw firmy Microsoft Entra). Przed utworzeniem komunikacji równorzędnej zaleca się zapoznanie się ze wszystkimi wymaganiami i ograniczeniami dotyczącymi komunikacji równorzędnej. Przepustowość między zasobami w sieciach wirtualnych równorzędnych w tym samym regionie jest taka sama jak w przypadku, gdy zasoby znajdowały się w tej samej sieci wirtualnej.

VPN Gateway

Brama azure VPN Gateway umożliwia połączenie sieci wirtualnej z siecią lokalną przy użyciu sieci VPN typu lokacja-lokacja lub użycie dedykowanego połączenia z usługą Azure ExpressRoute.

Możesz połączyć komunikację równorzędną i bramę sieci VPN w celu utworzenia sieci piasty i szprych, gdzie sieci wirtualne szprych łączą się z siecią wirtualną piasty, a koncentrator łączy się z siecią lokalną, na przykład.

Rozpoznawanie nazw

Zasoby w jednej sieci wirtualnej nie mogą rozpoznawać nazw zasobów w równorzędnej sieci wirtualnej przy użyciu wbudowanego systemu DNS platformy Azure. Aby rozpoznać nazwy w równorzędnej sieci wirtualnej, wdróż własny serwer DNS lub użyj domen prywatnych usługi Azure DNS. Rozpoznawanie nazw między zasobami w sieci wirtualnej i sieciach lokalnych wymaga również wdrożenia własnego serwera DNS.

Uprawnienia

Platforma Azure korzysta z kontroli dostępu opartej na rolach (RBAC) platformy Azure do zasobów. Uprawnienia są przypisywane do zakresu w następującej hierarchii: grupa zarządzania, subskrypcja, grupa zasobów i pojedynczy zasób. Aby dowiedzieć się więcej na temat hierarchii, zobacz Organizowanie zasobów. Aby pracować z sieciami wirtualnymi platformy Azure i wszystkimi powiązanymi z nimi funkcjami, takimi jak komunikacja równorzędna, sieciowe grupy zabezpieczeń, punkty końcowe usługi i tabele tras, możesz przypisać członków organizacji do wbudowanych ról Właściciel, Współautor lub Współautor sieci, a następnie przypisać rolę do odpowiedniego zakresu. Jeśli chcesz przypisać określone uprawnienia dla podzestawu funkcji sieci wirtualnej, utwórz rolę niestandardową i przypisz określone uprawnienia wymagane dla sieci wirtualnych, podsieci i punktów końcowych usługi, interfejsów sieciowych, komunikacji równorzędnej, sieci i grup zabezpieczeń aplikacji lub tabel tras do roli.

Zasady

Usługa Azure Policy umożliwia tworzenie i przypisywanie definicji zasad oraz zarządzanie nimi. Definicje zasad wymuszają różne reguły dotyczące zasobów, dzięki czemu zasoby pozostają zgodne ze standardami organizacji i umowami dotyczącymi poziomu usług. Usługa Azure Policy uruchamia ocenę zasobów, skanując zasoby, które nie są zgodne z definicjami zasad. Można na przykład zdefiniować i zastosować zasady umożliwiające tworzenie sieci wirtualnych tylko w określonej grupie zasobów lub regionie. Inne zasady mogą wymagać, aby każda podsieć ma skojarzona sieciowa grupa zabezpieczeń. Zasady są następnie oceniane podczas tworzenia i aktualizowania zasobów.

Zasady są stosowane do następującej hierarchii: grupa zarządzania, subskrypcja i grupa zasobów. Dowiedz się więcej o usłudze Azure Policy lub wdróż definicje usługi Azure Policy w sieci wirtualnej.

Następne kroki

Dowiedz się więcej o wszystkich zadaniach, ustawieniach i opcjach sieci wirtualnej, podsieci i punktu końcowego usługi, interfejsu sieciowego, komunikacji równorzędnej, sieciowej i sieciowej grupy zabezpieczeń aplikacji lub tabeli tras.