Типы IP-адресов и методы распределения (классическая модель) в Azure
Вы можете назначать IP-адреса ресурсам Azure, чтобы они могли взаимодействовать с другими ресурсами Azure, а также подключаться к вашей локальной сети и Интернету. В Azure можно использовать два типа IP-адресов: общедоступные и частные.
Общедоступные IP-адреса используются для доступа к Интернету, в том числе к общедоступным службам Azure.
Частные IP-адреса используются для обмена данными в виртуальной сети Azure (VNet), облачной службе или вашей локальной сети (если для расширения сети за счет Azure используется VPN-шлюз или канал ExpressRoute).
Важно!
В Azure предлагаются две модели развертывания для создания ресурсов и работы с ними: модель развертывания с помощью Resource Manager и классическая модель. В этой статье рассматривается использование классической модели развертывания. Для большинства новых развертываний мы рекомендуем использовать модель развертывания с помощью Azure Resource Manager. Дополнительные сведения об IP-адресах в Resource Manager см. в этой статье.
Общедоступные IP-адреса
Общедоступные IP-адреса позволяют ресурсам Azure подключаться к Интернету и другим общедоступным службам Azure, таким как кэш Azure для Redis, Центры событий Azure, базы данных SQL и служба хранилища Azure.
Общедоступный IP-адрес связывается со следующими типами ресурсов:
- Облачные службы
- виртуальные машины IaaS;
- экземпляры роли PaaS;
- VPN-шлюзы
- шлюзы приложений.
Способ выделения
Когда ресурсу Azure нужно назначить общедоступный IP-адрес, он динамически выделяется из пула имеющихся в наличии общедоступных IP-адресов в том расположении, где создан ресурс. При остановке ресурса этот IP-адрес освобождается. С помощью облачной службы это происходит, когда останавливаются все экземпляры роли. Этого можно избежать, используя статический (зарезервированный) IP-адрес (см. раздел Облачные службы).
Примечание
Список диапазонов IP-адресов, из которых общедоступные IP-адреса назначаются ресурсам Azure, опубликован в файле с диапазонами IP-адресов центров обработки данных Azure.
Разрешение DNS-имен узлов
При создании облачной службы или виртуальной машины IaaS вам нужно указать DNS-имя облачной службы, которое является уникальным для всех ресурсов в Azure. Таким образом вы сопоставляете DNS-имя.cloudapp.net и общедоступный IP-адрес ресурса на DNS-серверах, которыми управляет Azure. Например, если вы создаете облачную службу с DNS-именем contoso, полное доменное имя (FQDN) contoso.cloudapp.net будет соответствовать общедоступному IP-адресу (виртуальному IP-адресу) облачной службы. С помощью FQDN вы можете создать запись CNAME личного домена, указывающую на общедоступный IP-адрес в Azure.
Облачные службы
У облачной службы всегда есть общедоступный IP-адрес, который называют виртуальным IP-адресом. Вы можете связать различные порты виртуального IP-адреса с внутренними портами виртуальных машин и экземплярами роли в облачной службе, создав конечные точки в облачной службе.
Облачная служба может содержать несколько виртуальных машин IaaS или экземпляров роли PaaS. Все они доступны по одному виртуальному IP-адресу облачной службы. Назначив облачной службе несколько виртуальных IP-адресов, вы сможете создать многопользовательскую среду с веб-сайтами, поддерживающими доступ по протоколу SSL.
Чтобы общедоступный IP-адрес облачной службы не изменялся даже тогда, когда останавливаются все экземпляры роли, используйте статический общедоступный IP-адрес, известный как зарезервированный IP-адрес. Вы можете создать статический (зарезервированный) IP-ресурс в определенном расположении и назначить этот ресурс любой облачной службе в этом расположении. В качестве зарезервированного IP-адреса невозможно указать фактический IP-адрес, так как зарезервированный адрес выделяется из пула доступных IP-адресов в том расположении, где он создан. Этот IP-адрес не освобождается, пока не будет явно удален.
Статические (зарезервированные) общедоступные IP-адреса обычно используются в таких случаях:
- конечным пользователям нужно настроить правила брандмауэра для облачной службы;
- облачная служба зависит от разрешения внешних DNS-имен, и для динамического IP-адреса нужно обновить записи A;
- облачная служба использует внешние веб-службы, в которых применяется модель безопасности на основе IP-адресов;
- облачная служба использует SSL-сертификаты, связанные с IP-адресом.
Примечание
При создании классической виртуальной машины в Azure создается облачная служба -контейнер с виртуальным IP-адресом. Если виртуальная машина создается с помощью портала, на портале также настраивается конечная точка RDP или SSH по умолчанию, чтобы можно было подключаться к виртуальной машине по виртуальному IP-адресу облачной службы. Этот виртуальный IP-адрес облачной службы можно зарезервировать, предоставив таким образом зарезервированный IP-адрес для подключения к виртуальной машине. Настраивая дополнительные конечные точки, вы можете открыть дополнительные порты.
Виртуальные машины IaaS и экземпляры роли PaaS
Общедоступный IP-адрес можно назначить виртуальной машине IaaS или экземпляру роли PaaS в облачной службе. Такой адрес будет называться общедоступным IP-адресом уровня экземпляра (ILPIP). и он может быть только динамическим.
Примечание
Он отличается от виртуального IP-адреса облачной службы, которая является контейнером для виртуальных машин IaaS или экземпляров роли PaaS, так как облачная служба может содержать несколько виртуальных машин IaaS или экземпляров роли PaaS, доступ к которым можно получить через один и тот же виртуальный IP-адрес облачной службы.
VPN-шлюзы
VPN-шлюз может использоваться для подключения виртуальной сети Azure к локальным сетям или другим виртуальным сетям Azure. Общедоступный IP-адрес назначается VPN-шлюзу динамическии обеспечивает взаимодействие с удаленной сетью.
шлюзы приложений.
Шлюз приложений Azure может использоваться для балансировки нагрузки на седьмом уровне и маршрутизации сетевого HTTP-трафика. Общедоступный IP-адрес назначается шлюзу приложений динамическии выступает в роли виртуального IP-адреса с балансировкой нагрузки.
Вкратце
В приведенной ниже таблице представлены все типы ресурсов. Для каждого из них указан возможный способ выделения (динамический или статический), а также то, поддерживает ли ресурс назначение нескольких общедоступных IP-адресов.
| Ресурс | Динамический | Статические | Несколько IP-адресов |
|---|---|---|---|
| облачная служба | Да | Да | Да |
| Виртуальная машина IaaS или экземпляр роли PaaS | Да | Нет | Нет |
| VPN-шлюз | Да | Нет | нет |
| Шлюз приложений | Да | Нет | Нет |
Частные IP-адреса
С помощью частных IP-адресов ресурсы Azure взаимодействуют с другими ресурсами в облачной службе, а также в виртуальнойи локальной сетях (через VPN-шлюз или канал ExpressRoute), не используя для этого IP-адрес, доступный из Интернета.
В классической модели развертывания Azure частный IP-адрес можно назначить следующим ресурсам Azure:
- Виртуальные машины IaaS и экземпляры роли PaaS
- Внутренняя подсистема балансировки нагрузки
- Шлюз приложений
Виртуальные машины IaaS и экземпляры роли PaaS
Виртуальные машины, созданные по классической модели развертывания, всегда размещаются в облачной службе, равно как и экземпляры роли PaaS. В связи с этим частный IP-адрес работает с этими ресурсами одинаково.
Следует отметить, что для облачной службы возможны два варианта развертывания:
- служба не входит в виртуальную сеть и является автономной ;
- служба является частью виртуальной сети.
Способ выделения
Когда облачная служба работает автономно, ресурсам динамически назначается частный IP-адрес, полученный из диапазона адресов центра обработки данных Azure. Этот адрес может использоваться только для взаимодействия с другими виртуальными машинами в той же облачной службе. После перезапуска ресурса частный IP-адрес может измениться.
Если облачная служба развернута в виртуальной сети, ресурсы получают частные IP-адреса, выделенные из диапазона адресов связанных подсетей (как указано в конфигурации сети). Эти частные IP-адреса используются для обмена данными между всеми виртуальными машинами в виртуальной сети.
Кроме того, если облачная служба развернута в виртуальной сети, частный IP-адрес выделяется динамически по умолчанию (с помощью DHCP). После перезапуска ресурса IP-адрес может измениться. Чтобы IP-адрес не изменялся, настройте выделение статическогоадреса и укажите допустимый IP-адрес из соответствующего диапазона.
Вот для чего обычно используются статические частные IP-адреса:
- для виртуальных машин, работающих в качестве контроллеров домена или DNS-серверов;
- для виртуальных машин, на которых в правилах брандмауэра нужно использовать IP-адреса;
- для виртуальных машин со службами, к которым другие приложения обращаются по IP-адресу.
Разрешение внутренних DNS-имен узлов
По умолчанию все виртуальные машины Azure и экземпляры роли PaaS используют DNS-серверы, которыми управляет система Azure (кроме случаев, когда вы настроили другие DNS-серверы). Эти DNS-серверы отвечают за разрешение внутренних имен для виртуальных машин и экземпляров роли, которые находятся в той же виртуальной сети или облачной службе.
Когда вы создаете виртуальную машину, в DNS-серверы, находящиеся под управлением Azure, добавляется сопоставление имени узла с частным IP-адресом. С помощью виртуальной машины с несколькими сетевыми адаптерами имя узла сопоставляется с частным IP-адресом главного сетевого адаптера. Сведения о сопоставлении содержат данные только о ресурсах, которые находятся в той же облачной службе или виртуальной сети.
В случае автономной облачной службы разрешаться будут имена узлов всех виртуальных машин или экземпляров роли в пределах одной облачной службы. Если облачная служба развернута в виртуальной сети, разрешаться будут имена узлов всех виртуальных машин или экземпляров роли в пределах одной виртуальной сети.
Внутренние балансировщики нагрузки и шлюзы приложений
Вы можете назначить частный IP-адрес конфигурации внешнего интерфейсавнутреннего балансировщика нагрузки Azure или шлюза приложений Azure. Этот IP-адрес является внутренней конечной точкой, доступной только для ресурсов виртуальной сети и подключенных к ней удаленных сетей. Конфигурации внешнего интерфейса можно назначить динамический или статический частный IP-адрес. Кроме того, чтобы можно было создавать сценарии с несколькими виртуальными IP-адресами, вы можете назначить несколько частных IP-адресов.
Вкратце
В приведенной ниже таблице представлены все типы ресурсов. Для каждого из них указан возможный способ выделения (динамический или статический), а также то, поддерживает ли ресурс назначение нескольких частных IP-адресов.
| Ресурс | Динамический | Статические | Несколько IP-адресов |
|---|---|---|---|
| Виртуальная машина (в автономной облачной службе или виртуальной сети) | Да | Да | Да |
| Экземпляр роли PaaS (в автономной облачной службе или виртуальной сети) | Да | Нет | Нет |
| Внешний интерфейс внутреннего балансировщика нагрузки | Да | Да | Да |
| Интерфейсная часть шлюза приложений | Да | Да | Да |
Ограничения
В следующей таблице показаны ограничения, накладываемые на IP-адресацию в Azure в зависимости от подписки. Для увеличения ограничений по умолчанию до максимальных ограничений в зависимости от потребностей своего бизнеса вы можете обратиться в службу поддержки .
| Ограничение по умолчанию | Максимальное ограничение | |
|---|---|---|
| Общедоступные IP-адреса (динамические) | 5 | обратиться в службу поддержки |
| Зарезервированные общедоступные IP-адреса | 20 | обратиться в службу поддержки |
| Общедоступный виртуальный IP-адрес на развертывание (облачная служба) | 5 | обратиться в службу поддержки |
| Частный виртуальный IP-адрес на развертывание (облачная служба) | 1 | 1 |
Ознакомьтесь с полным списком сетевых ограничений в Azure.
Цены
В большинстве случаев общедоступные IP-адреса бесплатны. Существует номинальная плата за использование дополнительных или статических общедоступных IP-адресов. Ознакомьтесь со структурой ценообразования для общедоступных IP-адресов.
Различие развертываний диспетчера ресурсов и классических развертываний
Ниже приведено сравнение возможностей IP-адресации диспетчера ресурсов и классической модели развертывания.
| Ресурс | Классический | Resource Manager | |
|---|---|---|---|
| Общедоступный IP-адрес | ВМ | Называется ILPIP (только динамический) | Называется общедоступным IP-адресом (динамический или статический) |
| Назначается виртуальной машине IaaS или экземпляру роли PaaS | Назначается сетевому адаптеру виртуальной машины | ||
| Подсистема балансировки нагрузки для Интернета | Называется виртуальным IP-адресом (динамический) или зарезервированным IP-адресом (статический) | Называется общедоступным IP-адресом (динамический или статический) | |
| Назначается облачной службе | Связывается с конфигурацией клиентской части балансировщика нагрузки | ||
| Частные IP-адреса | ВМ | Называется динамическим IP-адресом | Называется частным IP-адресом |
| Назначается виртуальной машине IaaS или экземпляру роли PaaS | Назначается сетевому адаптеру виртуальной машины | ||
| Внутренний балансировщик нагрузки (ILB) | Назначается ILB (динамический или статический) | Назначается конфигурации клиентской части ILB (динамический или статический) |
Дальнейшие действия
- Разверните виртуальную машину со статическим частным IP-адресом с помощью портал Azure.