Eksplorowanie sieci wirtualnych platformy Azure

  • 10 min

Sieci wirtualne platformy Azure to podstawowy blok konstrukcyjny sieci prywatnej na platformie Azure. Sieci wirtualne umożliwiają tworzenie złożonych sieci wirtualnych, które są podobne do sieci lokalnej, z dodatkowymi korzyściami infrastruktury platformy Azure, takimi jak skalowanie, dostępność i izolacja.

Każda utworzona sieć wirtualna ma własny blok CIDR i może być połączona z innymi sieciami wirtualnymi i sieciami lokalnymi, o ile bloki CIDR nie nakładają się na siebie. Masz również kontrolę nad ustawieniami serwera DNS dla sieci wirtualnych i segmentacją sieci wirtualnej w podsieciach.

Możliwości sieci wirtualnych platformy Azure

Sieci wirtualne platformy Azure umożliwiają zasobom na platformie Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.

  • Komunikacja z Internetem. Wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się z Internetem. Z zasobem w ruchu przychodzącym możesz komunikować się przez przypisanie publicznego adresu IP lub publicznego modułu równoważenia obciążenia. Publicznego adresu IP lub publicznego modułu równoważenia obciążenia możesz używać również do zarządzania połączeniami w ruchu wychodzącym.
  • Komunikacja między zasobami platformy Azure. Istnieją trzy kluczowe mechanizmy, za pomocą których zasób platformy Azure może komunikować się: sieci wirtualne, punkty końcowe usługi sieci wirtualnej i komunikacja równorzędna sieci wirtualnych. Sieci wirtualne mogą łączyć się nie tylko z maszynami wirtualnymi, ale także innymi zasobami platformy Azure, takimi jak App Service Environment, Azure Kubernetes Service i Azure Virtual Machine Scale Sets. Przy użyciu punktów końcowych usługi możesz nawiązywać połączenia z innymi typami zasobów platformy Azure, takimi jak bazy danych Azure SQL Database i konta magazynów. Podczas tworzenia sieci wirtualnej usługi i maszyny wirtualne w sieci wirtualnej mogą komunikować się bezpośrednio i bezpiecznie ze sobą w chmurze.
  • Komunikacja między zasobami lokalnymi. Bezpieczne rozszerzanie centrum danych. Możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu dowolnej z następujących opcji: wirtualna sieć prywatna typu punkt-lokacja (VPN), sieć VPN typu lokacja-lokacja, usługa Azure ExpressRoute.
  • Filtrowanie ruchu sieciowego. Ruch sieciowy między podsieciami można filtrować przy użyciu dowolnej kombinacji sieciowych grup zabezpieczeń i wirtualnych urządzeń sieciowych, takich jak zapory, bramy, serwery proxy i usługi translatora adresów sieciowych (NAT).
  • Routing ruchu sieciowego. Platforma Azure domyślnie kieruje ruchem pomiędzy podsieciami, połączonymi sieciami wirtualnymi, sieciami lokalnymi oraz Internetem. Możesz zaimplementować tabele tras lub trasy protokołu BGP (Border Gateway Protocol), aby zastąpić domyślne trasy tworzone przez platformę Azure.

Zagadnienia dotyczące projektowania sieci wirtualnych platformy Azure

Przestrzeń adresowa i podsieci

Możesz utworzyć wiele sieci wirtualnych na region na subskrypcję. W każdej sieci wirtualnej można utworzyć wiele podsieci.

Sieci wirtualne

Podczas tworzenia sieci wirtualnej zaleca się użycie zakresów adresów wyliczonych w dokumencie RFC 1918, które zostały odłożone przez program IETF dla prywatnych, niezwiązanych z routingiem przestrzeni adresowych:

  • 10.0.0.0 - 10.255.255.255 (prefiks 10/8)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 prefiks)
  • 192.168.0.0 - 192.168.255.255 (192.168/168/16 prefiks)

Ponadto nie można dodać następujących zakresów adresów:

  • 224.0.0.0/4 (multiemisji)
  • 255.255.255.255/32 (emisja)
  • 127.0.0.0/8 (sprzężenia zwrotnego)
  • 169.254.0.0/16 (łącze lokalne)
  • 168.63.129.16/32 (wewnętrzny system DNS)

Platforma Azure przypisuje zasoby w sieci wirtualnej prywatny adres IP z aprowiznej przestrzeni adresowej. Jeśli na przykład wdrożysz maszynę wirtualną w sieci wirtualnej z przestrzenią adresową podsieci 192.168.1.0/24, maszyna wirtualna zostanie przypisana prywatny adres IP, taki jak 192.168.1.4. Platforma Azure rezerwuje pierwsze cztery i ostatnie adresy IP dla łącznie 5 adresów IP w każdej podsieci. Są to x.x.x.0-x.x.x.3 i ostatni adres podsieci.

Na przykład zakres adresów IP 192.168.1.0/24 ma następujące zastrzeżone adresy:

  • 192.168.1.0: Adres sieciowy
  • 192.168.1.1: Zarezerwowane przez platformę Azure dla bramy domyślnej
  • 192.168.1.2, 192.168.1.3: Zarezerwowane przez platformę Azure do mapowania adresów IP usługi Azure DNS na przestrzeń sieci wirtualnej
  • 192.168.1.255: Adres emisji sieciowej.

Podczas planowania wdrożenia sieci wirtualnych należy wziąć pod uwagę następujące kwestie:

  • Upewnij się, że przestrzenie adresowe nie nakładają się. Upewnij się, że przestrzeń adresowa sieci wirtualnej (blok CIDR) nie nakłada się na inne zakresy sieci organizacji.
  • Czy wymagana jest izolacja zabezpieczeń?
  • Czy należy ograniczyć ograniczenia adresowania IP?
  • Czy będą istnieć połączenia między sieciami wirtualnymi platformy Azure i sieciami lokalnymi?
  • Czy jest wymagana izolacja do celów administracyjnych?
  • Czy używasz dowolnych usług platformy Azure, które tworzą własne sieci wirtualne?

Podsieci

Podsieć to zakres adresów IP w sieci wirtualnej. Sieci wirtualne można podzielić na różne podsieci o różnych rozmiarach, tworząc tyle podsieci, ile jest potrzebnych dla organizacji i zabezpieczeń w ramach limitu subskrypcji. Następnie możesz wdrożyć zasoby platformy Azure w określonej podsieci. Podobnie jak w tradycyjnej sieci podsieci umożliwiają segmentowanie przestrzeni adresowej sieci wirtualnej na segmenty odpowiednie dla sieci wewnętrznej organizacji. Zwiększa to również wydajność alokacji adresów. Najmniejsza obsługiwana podsieć IPv4 to /29, a największa to /2 (przy użyciu definicji podsieci CIDR). Podsieci IPv6 muszą mieć dokładnie /64 rozmiar. Podczas planowania wdrożenia podsieci należy wziąć pod uwagę następujące kwestie:

  • Każda podsieć musi mieć unikatowy zakres adresów określony w formacie CIDR (Classless Inter-Domain Routing).
  • Niektóre usługi platformy Azure wymagają własnej podsieci.
  • Podsieci mogą służyć do zarządzania ruchem. Można na przykład utworzyć podsieci w celu kierowania ruchu przez wirtualne urządzenie sieciowe.
  • Dostęp do zasobów platformy Azure można ograniczyć do określonych podsieci za pomocą punktu końcowego usługi sieci wirtualnej. Możesz utworzyć wiele podsieci i włączyć punkt końcowy usługi dla niektórych podsieci, ale nie innych.

Określanie konwencji nazewnictwa

W ramach projektu sieci platformy Azure ważne jest zaplanowanie konwencji nazewnictwa zasobów. Obowiązująca konwencja nazewnictwa komponuje nazwy zasobów z ważnych informacji o każdym zasobie. Dobrze wybrana nazwa ułatwia szybkie zidentyfikowanie typu zasobu, skojarzonego z nim obciążenia, środowiska wdrażania i regionu świadczenia usługi Azure hostowania go. Na przykład zasób publicznego adresu IP dla produkcyjnego obciążenia programu SharePoint znajdującego się w regionie Zachodnie stany USA może być pip-sharepoint-prod-westus-001

Azure resource naming example.

Wszystkie typy zasobów platformy Azure mają zakres, który definiuje poziom, na który muszą być unikatowe nazwy zasobów. Zasób musi mieć unikatową nazwę w zakresie. Istnieją cztery poziomy, które można określić: grupę zarządzania, subskrypcję, grupę zasobów i zasób. Zakresy są hierarchiczne, a każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy.

Na przykład sieć wirtualna ma zakres grupy zasobów, co oznacza, że w każdej grupie zasobów może istnieć tylko jedna sieć o nazwie vnet-prod-westus-001. Inne grupy zasobów mogą mieć własną sieć wirtualną o nazwie vnet-prod-westus-001. Podsieci są ograniczone do sieci wirtualnych, więc każda podsieć w sieci wirtualnej musi mieć odrębną nazwę.

Omówienie regionów i subskrypcji

Wszystkie zasoby platformy Azure są tworzone w regionie i subskrypcji platformy Azure. Zasób można utworzyć tylko w sieci wirtualnej, która istnieje w tym samym regionie i subskrypcji co zasób. Można jednak połączyć sieci wirtualne istniejące w różnych subskrypcjach i regionach. Regiony platformy Azure należy wziąć pod uwagę podczas projektowania sieci platformy Azure w odniesieniu do infrastruktury, danych, aplikacji i użytkowników końcowych.

Możesz wdrożyć dowolną liczbę sieci wirtualnych, ile potrzebujesz w ramach każdej subskrypcji, do limitu subskrypcji. Niektóre większe organizacje z wdrożeniami globalnymi mają na przykład wiele sieci wirtualnych połączonych między regionami.

Screen capture of a World map showing Azure global network.

Strefy dostępności platformy Azure

Strefa dostępności platformy Azure umożliwia definiowanie unikatowych lokalizacji fizycznych w regionie. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Zaprojektowano tak, aby zapewnić wysoką dostępność usług platformy Azure, fizyczne rozdzielenie Strefy dostępności w regionie chroni aplikacje i dane przed awariami centrum danych.

Azure region showing three availability zones.

Podczas projektowania sieci platformy Azure należy rozważyć strefy dostępności i zaplanować usługi obsługujące strefy dostępności.

Usługi platformy Azure, które obsługują Strefy dostępności należą do trzech kategorii:

  • Usługi strefowe: zasoby można przypiąć do określonej strefy. Na przykład maszyny wirtualne, dyski zarządzane lub standardowe adresy IP mogą zostać przypięte do określonej strefy, co umożliwia zwiększenie odporności dzięki istnieniu jednego lub większej liczby wystąpień zasobów rozmieszczonych w obrębie stref.
  • Usługi strefowo nadmiarowe: zasoby są replikowane lub dystrybuowane automatycznie między strefami. Platforma Azure replikuje dane w trzech strefach, aby awaria strefy nie wpływała na jej dostępność.
  • Usługi inne niż regionalne: usługi są zawsze dostępne w lokalizacjach geograficznych platformy Azure i są odporne na awarie obejmujące całą strefę, a także awarie w całym regionie.