Crearea subrețelelor
Subrețelele vă oferă o modalitate de a implementa diviziuni logice în cadrul rețelei virtuale. Rețeaua dvs. poate fi segmentată în subrețele pentru a contribui la îmbunătățirea securității, la creșterea performanței și la facilitarea gestionării.
Lucruri de știut despre subrețele
Există anumite condiții pentru adresele IP dintr-o rețea virtuală atunci când aplicați segmentarea cu subrețele.
Fiecare subrețea conține o gamă de adrese IP care se încadrează în spațiul de adrese de rețea virtuală.
Intervalul de adrese pentru o subrețea trebuie să fie unic în spațiul de adrese pentru rețeaua virtuală.
Intervalul pentru o subrețea nu se poate suprapune cu alte intervale de adrese IP de subrețea din aceeași rețea virtuală.
Spațiul de adrese IP pentru o subrețea trebuie specificat utilizând notația CIDR.
Puteți segmenta o rețea virtuală într-una sau mai multe subrețele din portalul Azure. Sunt enumerate caracteristicile adreselor IP pentru subrețele.
Adrese rezervate
Pentru fiecare subrețea, Azure rezervă cinci adrese IP. Primele patru adrese și ultima adresă sunt rezervate.
Să examinăm adresele rezervate într-un interval de adrese IP de 192.168.1.0/24.
| Adresa rezervată | Motiv |
|---|---|
192.168.1.0 |
Această valoare identifică adresa rețelei virtuale. |
192.168.1.1 |
Azure configurează această adresă ca gateway implicit. |
192.168.1.2și 192.168.1.3 |
Azure mapează aceste adrese IP DNS Azure la spațiul rețelei virtuale. |
192.168.1.255 |
Această valoare furnizează adresa de difuzare a rețelei virtuale. |
Lucruri de luat în considerare atunci când utilizați subrețele
Când intenționați să adăugați segmente de subrețea în rețeaua virtuală, există mai mulți factori de luat în considerare. Examinați următoarele scenarii.
Luați în considerare cerințele de serviciu. Fiecare serviciu implementat direct într-o rețea virtuală are cerințe specifice pentru rutare și tipurile de trafic care trebuie permise în și din subrețelele asociate. Un serviciu poate solicita sau crea propria subrețea. Trebuie să existe suficient spațiu nealocat pentru a îndeplini cerințele de serviciu. Să presupunem că conectați o rețea virtuală la o rețea locală utilizând Azure VPN Gateway. Rețeaua virtuală trebuie să aibă o subrețea dedicată pentru gateway.
Luați în considerare aparatele virtuale de rețea. Azure direcționează traficul de rețea între toate subrețelele dintr-o rețea virtuală, în mod implicit. Puteți înlocui rutarea implicită Azure pentru a preveni rutarea Azure între subrețele. De asemenea, puteți suprascrie setarea implicită pentru a direcționa traficul între subrețele printr-o aplicație virtuală de rețea. Dacă aveți nevoie de trafic între resurse din aceeași rețea virtuală pentru a trece printr-o aplicație virtuală de rețea, implementați resursele în subrețele diferite.
Luați în considerare punctele finale ale serviciului. Puteți limita accesul la resursele Azure, cum ar fi un cont de stocare Azure sau o bază de date SQL Azure, la anumite subrețele cu un punct final al serviciului de rețea virtuală. De asemenea, puteți refuza accesul la resursele de pe internet. Este posibil să creați mai multe subrețele, apoi să activați un punct final de serviciu pentru unele subrețele, dar nu și pentru altele.
Luați în considerare grupurile de securitate a rețelei. Puteți asocia zero sau un grup de securitate de rețea la fiecare subrețea dintr-o rețea virtuală. Puteți asocia același grup de securitate de rețea sau un grup de securitate de rețea diferit la fiecare subrețea. Fiecare grup de securitate a rețelei conține reguli care permit sau refuză traficul către și dinspre surse și destinații.
Luați în considerare linkurile private. Azure Private Link oferă conectivitate privată de la o rețea virtuală la platforma Azure ca serviciu (PaaS), deținută de client sau servicii partenere Microsoft. Private Link simplifică arhitectura rețelei și securizează conexiunea între punctele finale din Azure. Serviciul elimină expunerea datelor la internetul public.