Создание подсетей
Подсети предоставляют способ реализации логических разделов в виртуальной сети. Сеть может быть сегментирована в подсети, чтобы повысить безопасность, повысить производительность и упростить управление.
Сведения о подсетях
При применении сегментации с подсетями существуют определенные условия для IP-адресов в виртуальной сети.
Каждая подсеть содержит диапазон IP-адресов, которые попадают в адресное пространство виртуальной сети.
Диапазон адресов для подсети должен быть уникальным в адресном пространстве виртуальной сети.
Диапазон для одной подсети не может перекрываться с другими диапазонами IP-адресов подсети в одной виртуальной сети.
Пространство IP-адресов для подсети должно быть указано с помощью нотации CIDR.
Вы можете сегментирование виртуальной сети в одну или несколько подсетей в портал Azure. Перечислены характеристики IP-адресов для подсетей.
Зарезервированные адреса
Для каждой подсети Azure резервирует пять IP-адресов. Первые четыре адреса и последний адрес зарезервированы.
Давайте рассмотрим зарезервированные адреса в диапазоне 192.168.1.0/24IP-адресов.
| Зарезервированный адрес | Причина |
|---|---|
192.168.1.0 |
Это значение определяет адрес виртуальной сети. |
192.168.1.1 |
Azure настраивает этот адрес в качестве шлюза по умолчанию. |
192.168.1.2и 192.168.1.3 |
Azure сопоставляет эти IP-адреса Azure DNS с пространством виртуальной сети. |
192.168.1.255 |
Это значение предоставляет адрес трансляции виртуальной сети. |
Рекомендации по использованию подсетей
При планировании добавления сегментов подсети в виртуальной сети необходимо учитывать несколько факторов. Ознакомьтесь со следующими сценариями.
Рассмотрим требования к службе. Каждая служба, развернутая непосредственно в виртуальной сети, имеет определенные требования к маршрутизации и типам трафика, которые должны быть разрешены в связанные подсети и из них. Службе может потребоваться или создать собственную подсеть. Для удовлетворения требований к службе должно быть достаточно нераспределенного пространства. Предположим, что вы подключаете виртуальную сеть к локальной сети с помощью VPN-шлюз Azure. Виртуальная сеть должна иметь выделенную подсеть для шлюза.
Рассмотрим виртуальные сетевые устройства. По умолчанию Azure маршрутизирует трафик между всеми подсетями в виртуальной сети. Вы можете переопределить маршрутизацию Azure по умолчанию, чтобы предотвратить маршрутизацию Azure между подсетями. Можно также переопределить значение по умолчанию для маршрутизации трафика между подсетями через сетевое виртуальное устройство. Если требуется трафик между ресурсами в одной виртуальной сети для передачи через сетевое виртуальное устройство, разверните ресурсы в разных подсетях.
Оцените конечные точки службы. Доступ к ресурсам Azure, таким как учетная запись хранения Azure или база данных SQL Azure, можно ограничить определенными подсетями с помощью конечной точки службы виртуальной сети. Вы также можете запретить доступ к ресурсам из Интернета. Можно создать несколько подсетей, а затем включить конечную точку службы для некоторых подсетей, но не других.
Рассмотрим группы безопасности сети. Вы можете связать не более одной группы безопасности сети с каждой подсетью в виртуальной сети. Вы можете связать одну или другую группу безопасности сети с каждой подсетью. Каждая группа безопасности сети содержит правила, разрешающие или запрещающие трафик из источников и назначений.
Рассмотрим частные ссылки. Приватный канал Azure обеспечивает частное подключение из виртуальной сети к Azure PaaS (платформа как услуга), а также к службам, принадлежащим клиентам или партнерам Майкрософт. Приватный канал упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure. Служба устраняет уязвимость данных к общедоступному Интернету.