Planera virtuella nätverk

Det är enkelt att skapa ett virtuellt nätverk att experimentera med, men du kommer att distribuera flera virtuella nätverk över tid för att stödja organisationens produktionsbehov. Med viss planering kommer du att kunna distribuera virtuella nätverk och ansluta de resurser du behöver mer effektivt. Informationen i den här artikeln är till stor hjälp om du redan är bekant med virtuella nätverk och har viss erfarenhet av att arbeta med dem. Om du inte är bekant med virtuella nätverk rekommenderar vi att du läser Översikt över virtuellt nätverk.

Namngivning

Alla Azure-resurser har ett namn. Namnet måste vara unikt inom ett omfång som kan variera för varje resurstyp. Namnet på ett virtuellt nätverk måste till exempel vara unikt i en resursgrupp, men kan dupliceras inom en prenumeration eller Azure-region. Att definiera en namngivningskonvention som du kan använda konsekvent när du namnger resurser är användbart när du hanterar flera nätverksresurser över tid. Förslag finns i Namngivningskonventioner.

Regioner

Alla Azure-resurser skapas i en Azure-region och prenumeration. En resurs kan bara skapas i ett virtuellt nätverk som finns i samma region och prenumeration som resursen. Du kan dock ansluta virtuella nätverk som finns i olika prenumerationer och regioner. Mer information finns i Anslutning. När du bestämmer vilka regioner som ska distribuera resurser i bör du tänka på var användarna av resurserna finns fysiskt:

  • Användare av resurser vill vanligtvis ha den lägsta nätverksfördröjningen för sina resurser. Information om hur du fastställer relativa svarstider mellan en angiven plats och Azure-regioner finns i Visa relativa svarstider.
  • Har du krav på datahemvist, suveränitet, efterlevnad eller återhämtning? I så fall är det viktigt att välja den region som överensstämmer med kraven. Mer information finns i Azure-geografiska områden.
  • Behöver du återhämtning i Azure Tillgänglighetszoner i samma Azure-region för de resurser som du distribuerar? Du kan distribuera resurser, till exempel virtuella datorer (VM) till olika tillgänglighetszoner i samma virtuella nätverk. Alla Azure-regioner har dock inte stöd för tillgänglighetszoner. Mer information om tillgänglighetszoner och de regioner som stöder dem finns i Tillgänglighetszoner.

Prenumerationer

Du kan distribuera så många virtuella nätverk som krävs i varje prenumeration, upp till gränsen. Vissa organisationer har till exempel olika prenumerationer för olika avdelningar. Mer information och överväganden kring prenumerationer finns i Prenumerationsstyrning.

Segmentering

Du kan skapa flera virtuella nätverk per prenumeration och per region. Du kan skapa flera undernät i varje virtuellt nätverk. De överväganden som följer hjälper dig att avgöra hur många virtuella nätverk och undernät du behöver:

Virtuella nätverk

Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Varje virtuellt nätverk är dedikerat till din prenumeration. Saker att tänka på när du bestämmer om du vill skapa ett virtuellt nätverk eller flera virtuella nätverk i en prenumeration:

  • Finns det några organisatoriska säkerhetskrav för att isolera trafik i separata virtuella nätverk? Du kan välja att ansluta virtuella nätverk eller inte. Om du ansluter virtuella nätverk kan du implementera en virtuell nätverksinstallation, till exempel en brandvägg, för att styra trafikflödet mellan de virtuella nätverken. Mer information finns i säkerhet och anslutning.
  • Finns det några organisatoriska krav för att isolera virtuella nätverk i separata prenumerationer eller regioner?
  • Med ett nätverksgränssnitt kan en virtuell dator kommunicera med andra resurser. Varje nätverksgränssnitt har en eller flera privata IP-adresser tilldelade till sig. Hur många nätverksgränssnitt och privata IP-adresser behöver du i ett virtuellt nätverk? Det finns gränser för antalet nätverksgränssnitt och privata IP-adresser som du kan ha i ett virtuellt nätverk.
  • Vill du ansluta det virtuella nätverket till ett annat virtuellt nätverk eller ett lokalt nätverk? Du kan välja att ansluta vissa virtuella nätverk till varandra eller lokala nätverk, men inte till andra. Mer information finns i Anslutning. Varje virtuellt nätverk som du ansluter till ett annat virtuellt nätverk eller lokalt nätverk måste ha ett unikt adressutrymme. Varje virtuellt nätverk har ett eller flera offentliga eller privata adressintervall tilldelade till sitt adressutrymme. Ett adressintervall anges i CIDR-format (klasslös internetdomänroutning), till exempel 10.0.0.0/16. Läs mer om adressintervall för virtuella nätverk.
  • Har du några krav på organisationsadministration för resurser i olika virtuella nätverk? I så fall kan du dela upp resurser i separata virtuella nätverk för att förenkla behörighetstilldelningen till enskilda personer i din organisation eller för att tilldela olika principer till olika virtuella nätverk.
  • När du distribuerar vissa Azure-tjänstresurser till ett virtuellt nätverk skapar de ett eget virtuellt nätverk. Information om huruvida en Azure-tjänst skapar ett eget virtuellt nätverk finns i information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk.

Undernät

Ett virtuellt nätverk kan segmenteras i ett eller flera undernät upp till gränserna. Saker att tänka på när du bestämmer om du vill skapa ett undernät eller flera virtuella nätverk i en prenumeration:

  • Varje undernät måste ha ett unikt adressintervall som anges i CIDR-format inom adressutrymmet för det virtuella nätverket. Adressintervallet kan inte överlappa andra undernät i det virtuella nätverket.
  • Om du planerar att distribuera vissa Azure-tjänstresurser till ett virtuellt nätverk kan de kräva eller skapa ett eget undernät, så det måste finnas tillräckligt med ledigt utrymme för att de ska kunna göra det. Information om huruvida en Azure-tjänst skapar ett eget undernät finns i information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk. Om du till exempel ansluter ett virtuellt nätverk till ett lokalt nätverk med hjälp av en Azure VPN Gateway måste det virtuella nätverket ha ett dedikerat undernät för gatewayen. Läs mer om gatewayundernät.
  • Azure dirigerar nätverkstrafik mellan alla undernät i ett virtuellt nätverk som standard. Du kan åsidosätta Azures standardroutning för att förhindra Azure-routning mellan undernät eller dirigera trafik mellan undernät via en virtuell nätverksinstallation, till exempel. Om du behöver den trafiken mellan resurser i samma virtuella nätverksflöde via en virtuell nätverksinstallation (NVA) distribuerar du resurserna till olika undernät. Läs mer om säkerhet.
  • Du kan begränsa åtkomsten till Azure-resurser, till exempel ett Azure Storage-konto eller Azure SQL Database, till specifika undernät med en tjänstslutpunkt för virtuellt nätverk. Dessutom kan du neka åtkomst till resurserna från Internet. Du kan skapa flera undernät och aktivera en tjänstslutpunkt för vissa undernät, men inte andra. Läs mer om tjänstslutpunkter och de Azure-resurser som du kan aktivera dem för.
  • Du kan associera noll eller en nätverkssäkerhetsgrupp till varje undernät i ett virtuellt nätverk. Du kan associera samma eller en annan nätverkssäkerhetsgrupp till varje undernät. Varje nätverkssäkerhetsgrupp innehåller regler som tillåter eller nekar trafik till och från källor och mål. Läs mer om nätverkssäkerhetsgrupper.

Säkerhet

Du kan filtrera nätverkstrafik till och från resurser i ett virtuellt nätverk med hjälp av nätverkssäkerhetsgrupper och virtuella nätverksinstallationer. Du kan styra hur Azure dirigerar trafik från undernät. Du kan också begränsa vem i din organisation som kan arbeta med resurser i virtuella nätverk.

Trafikfiltrering

  • Du kan filtrera nätverkstrafik mellan resurser i ett virtuellt nätverk med hjälp av en nätverkssäkerhetsgrupp, en NVA som filtrerar nätverkstrafik eller båda. Information om hur du distribuerar en NVA, till exempel en brandvägg, för att filtrera nätverkstrafik finns i Azure Marketplace. När du använder en NVA skapar du även anpassade vägar för att dirigera trafik från undernät till NVA. Läs mer om trafikroutning.
  • En nätverkssäkerhetsgrupp innehåller flera standardsäkerhetsregler som tillåter eller nekar trafik till eller från resurser. En nätverkssäkerhetsgrupp kan associeras till ett nätverksgränssnitt, undernätet som nätverksgränssnittet finns i eller båda. För att förenkla hanteringen av säkerhetsregler rekommenderar vi att du associerar en nätverkssäkerhetsgrupp med enskilda undernät i stället för enskilda nätverksgränssnitt i undernätet när det är möjligt.
  • Om olika virtuella datorer i ett undernät behöver olika säkerhetsregler kan du associera nätverksgränssnittet på den virtuella datorn med en eller flera programsäkerhetsgrupper. En säkerhetsregel kan ange en programsäkerhetsgrupp i källan, målet eller båda. Den regeln gäller sedan endast för de nätverksgränssnitt som är medlemmar i programsäkerhetsgruppen. Läs mer om nätverkssäkerhetsgrupper och programsäkerhetsgrupper.
  • När en nätverkssäkerhetsgrupp är associerad på undernätsnivå gäller den för alla nätverkskort i undernätet, inte bara för trafiken som kommer utanför undernätet. Det innebär att även trafiken mellan de virtuella datorerna i undernätet kan påverkas.
  • Azure skapar flera standardsäkerhetsregler inom varje nätverkssäkerhetsgrupp. En standardregel tillåter att all trafik flödar mellan alla resurser i ett virtuellt nätverk. Om du vill åsidosätta det här beteendet använder du nätverkssäkerhetsgrupper, anpassad routning för att dirigera trafik till en NVA eller båda. Vi rekommenderar att du bekantar dig med alla Azures standardsäkerhetsregler och förstår hur regler för nätverkssäkerhetsgrupper tillämpas på en resurs.

Du kan visa exempeldesigner för att implementera ett perimeternätverk (även kallat DMZ) mellan Azure och Internet med hjälp av en NVA.

Trafikroutning

Azure skapar flera standardvägar för utgående trafik från ett undernät. Du kan åsidosätta Azures standardroutning genom att skapa en routningstabell och associera den till ett undernät. Vanliga orsaker till att åsidosätta Azures standardroutning är:

Om du behöver implementera anpassad routning rekommenderar vi att du bekantar dig med routning i Azure.

Anslutning

Du kan ansluta ett virtuellt nätverk till andra virtuella nätverk med peering för virtuella nätverk eller till ditt lokala nätverk med hjälp av en Azure VPN-gateway.

Peering

När du använder peering för virtuella nätverk kan de virtuella nätverken finnas i samma eller olika Azure-regioner som stöds. De virtuella nätverken kan finnas i samma eller olika Azure-prenumerationer (även prenumerationer som tillhör olika Microsoft Entra-klienter). Innan du skapar en peering rekommenderar vi att du bekantar dig med alla peeringkrav och begränsningar. Bandbredden mellan resurser i virtuella nätverk som är peer-kopplade i samma region är densamma som om resurserna fanns i samma virtuella nätverk.

VPN gateway

Du kan använda en Azure VPN Gateway för att ansluta ett virtuellt nätverk till ditt lokala nätverk med hjälp av ett plats-till-plats-VPN eller med hjälp av en dedikerad anslutning med Azure ExpressRoute.

Du kan kombinera peering och en VPN-gateway för att skapa nav- och ekernätverk, där virtuella ekernätverk ansluter till ett virtuellt navnätverk, och hubben ansluter till ett lokalt nätverk, till exempel.

Namnmatchning

Resurser i ett virtuellt nätverk kan inte matcha namnen på resurser i ett peer-kopplat virtuellt nätverk med hjälp av Azures inbyggda DNS. Lös namn i ett peer-kopplat virtuellt nätverk genom att distribuera din egen DNS-server eller använda privata Azure DNS-domäner. För att matcha namn mellan resurser i ett virtuellt nätverk och lokala nätverk måste du också distribuera din egen DNS-server.

Behörigheter

Azure använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) till resurser. Behörigheter tilldelas till ett omfång i följande hierarki: hanteringsgrupp, prenumeration, resursgrupp och enskild resurs. Mer information om hierarkin finns i Ordna dina resurser. Om du vill arbeta med virtuella Azure-nätverk och alla deras relaterade funktioner, till exempel peering, nätverkssäkerhetsgrupper, tjänstslutpunkter och routningstabeller, kan du tilldela medlemmar i din organisation till de inbyggda rollerna Ägare, Deltagare eller Nätverk-deltagare och sedan tilldela rollen till lämpligt omfång. Om du vill tilldela specifika behörigheter för en delmängd av virtuella nätverksfunktioner skapar du en anpassad roll och tilldelar de specifika behörigheter som krävs för virtuella nätverk, undernät och tjänstslutpunkter, nätverksgränssnitt, peering, nätverks- och programsäkerhetsgrupper eller dirigerar tabeller till rollen.

Princip

Med Azure Policy kan du skapa, tilldela och hantera principdefinitioner. Principdefinitioner tillämpar olika regler för dina resurser, så att resurserna följer organisationens standarder och serviceavtal. Azure Policy kör en utvärdering av dina resurser och söker efter resurser som inte är kompatibla med de principdefinitioner du har. Du kan till exempel definiera och tillämpa en princip som gör det möjligt att skapa virtuella nätverk i endast en specifik resursgrupp eller region. En annan princip kan kräva att varje undernät har en associerad nätverkssäkerhetsgrupp. Principerna utvärderas sedan när du skapar och uppdaterar resurser.

Principer tillämpas på följande hierarki: hanteringsgrupp, prenumeration och resursgrupp. Läs mer om Azure Policy eller distribuera några azure policy-definitioner för virtuella nätverk.

Nästa steg

Lär dig mer om alla uppgifter, inställningar och alternativ för ett virtuellt nätverk, undernät och tjänstslutpunkt, nätverksgränssnitt, peering, nätverks- och programsäkerhetsgrupp eller routningstabell.