Granska säker kommunikation med hjälp av virtuella nätverk

  • 10 minuter

Azure Virtual Network är en tjänst som tillhandahåller den grundläggande byggstenen för ditt privata nätverk i Azure. En instans av tjänsten (ett virtuellt nätverk) gör det möjligt för många typer av Azure-resurser att kommunicera säkert med varandra, internet och lokala nätverk. Dessa Azure-resurser omfattar virtuella datorer (VM).

Ett virtuellt nätverk liknar ett traditionellt nätverk som du använder i ditt eget datacenter. Men det ger extra fördelar med Azure-infrastrukturen, till exempel skalning, tillgänglighet och isolering.

Viktiga scenarier som du kan utföra med ett virtuellt nätverk är:

  • Kommunikation av Azure-resurser med Internet.
  • Kommunikation mellan Azure-resurser.
  • Kommunikation med lokala resurser.
  • Filtrering av nätverkstrafik.
  • Routning av nätverkstrafik.
  • Integrering med Azure-tjänster.

Kommunicera med Internet

Alla resurser i ett virtuellt nätverk kan som standard kommunicera utgående med Internet. Du kan också använda en offentlig IP-adress, NAT-gateway eller offentlig lastbalanserare för att hantera dina utgående anslutningar. Du kan kommunicera inkommande med en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare.

När du bara använder en intern standardlastbalanserare är utgående anslutning inte tillgänglig förrän du definierar hur du vill att utgående anslutningar ska fungera med en offentlig IP-adress på instansnivå eller en offentlig lastbalanserare.

Kommunicera mellan Azure-resurser

Azure-resurser kommunicerar säkert med varandra på något av följande sätt:

  • Virtuellt nätverk: Du kan distribuera virtuella datorer och andra typer av Azure-resurser i ett virtuellt nätverk. Exempel på resurser är App Service-miljöer, Azure Kubernetes Service (AKS) och Azure Virtual Machine Scale Sets.

  • Tjänstslutpunkt för virtuellt nätverk: Du kan utöka det virtuella nätverkets privata adressutrymme och identiteten för ditt virtuella nätverk till Azure-tjänstresurser via en direkt anslutning. Exempel på resurser är Azure Storage-konton och Azure SQL Database. Med tjänstslutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast ett virtuellt nätverk.

  • Peering för virtuella nätverk: Du kan ansluta virtuella nätverk till varandra med hjälp av virtuell peering. Resurserna i något av de virtuella nätverken kan sedan kommunicera med varandra. De virtuella nätverk som du ansluter kan finnas i samma eller olika Azure-regioner.

Kommunicera med lokala resurser

Du kan ansluta dina lokala datorer och nätverk till ett virtuellt nätverk med något av följande alternativ:

  • Punkt-till-plats virtuellt privat nätverk (VPN): Upprättas mellan ett virtuellt nätverk och en enda dator i nätverket. Varje dator som vill upprätta anslutning med ett virtuellt nätverk måste konfigurera sin anslutning. Den här anslutningstypen är användbar om du precis har börjat med Azure, eller för utvecklare, eftersom det kräver få eller inga ändringar i ett befintligt nätverk. Kommunikationen mellan datorn och ett virtuellt nätverk skickas via en krypterad tunnel via Internet.

  • Plats-till-plats-VPN: Upprättas mellan din lokala VPN-enhet och en Azure VPN-gateway som distribueras i ett virtuellt nätverk. Den här anslutningstypen gör det möjligt för alla lokala resurser som du ger åtkomst till ett virtuellt nätverk. Kommunikationen mellan din lokala VPN-enhet och en Azure VPN-gateway skickas via en krypterad tunnel via Internet.

  • Azure ExpressRoute: Upprättas mellan ditt nätverk och Azure via en ExpressRoute-partner. Den här anslutningen är privat. Trafiken går inte via Internet.

Filtrera nätverkstrafik

Du kan filtrera nätverkstrafik mellan undernät med hjälp av något av följande alternativ:

  • Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper och programsäkerhetsgrupper kan innehålla flera regler för inkommande och utgående säkerhet. Med de här reglerna kan du filtrera trafik till och från resurser efter källans och målets IP-adress, port och protokoll.

  • Virtuella nätverksinstallationer: En virtuell nätverksinstallation är en virtuell dator som utför en nätverksfunktion, till exempel en brandvägg eller WAN-optimering. Om du vill visa en lista över tillgängliga virtuella nätverksinstallationer som du kan distribuera i ett virtuellt nätverk går du till Azure Marketplace.

Dirigera nätverkstrafik

Azure dirigerar trafik mellan undernät, anslutna virtuella nätverk, lokala nätverk och Internet som standard. Du kan implementera något av eller båda av följande alternativ för att åsidosätta de standardvägar som Azure skapar:

  • Routningstabeller: Du kan skapa anpassade routningstabeller som styr var trafiken dirigeras till för varje undernät.

  • BGP-vägar (Border Gateway Protocol): Om du ansluter ditt virtuella nätverk till ditt lokala nätverk med hjälp av en Azure VPN-gateway eller en ExpressRoute-anslutning kan du sprida dina lokala BGP-vägar till dina virtuella nätverk.

Integrera med Azure-tjänster

Integreringen av Azure-tjänster med ett virtuellt Azure-nätverk ger privat åtkomst till tjänsten från virtuella datorer eller beräkningsresurser i det virtuella nätverket. Du kan använda följande alternativ för den här integreringen:

  • Distribuera dedikerade instanser av tjänsten till ett virtuellt nätverk. Tjänsterna kan sedan nås privat i det virtuella nätverket och från lokala nätverk.

  • Använd Azure Private Link för att privat komma åt en specifik instans av tjänsten från ditt virtuella nätverk och från lokala nätverk.

  • Få åtkomst till tjänsten via offentliga slutpunkter genom att utöka ett virtuellt nätverk till tjänsten, via tjänstslutpunkter. Tjänstslutpunkter tillåter att tjänstresurser skyddas i det virtuella nätverket.

Du kan begränsa åtkomsten till ett register genom att tilldela privata IP-adresser för virtuella nätverk till registerslutpunkterna och använda Azure Private Link. Nätverkstrafik mellan klienterna i det virtuella nätverket och registrets privata slutpunkter passerar det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet. Private Link ger också åtkomst till privata register lokalt via Azure ExpressRoute, privat peering eller en VPN-gateway.

Du kan konfigurera DNS-inställningar för registrets privata slutpunkter så att inställningarna matchar registrets allokerade privata IP-adress. Med DNS-konfigurationen kan klienter och tjänster i nätverket fortsätta att komma åt registret vid registrets fullständigt kvalificerade domännamn, till exempel myregistry.azurecr.io.

Obs

Privat slutpunktskonfiguration är tillgänglig på tjänstnivån 'Premium' för containerregistertjänsten .

Konfigurera privat slutpunkt

  1. Gå till containerregistret i portalen.

  2. Under Inställningarväljer du Nätverk.

  3. På fliken Privat åtkomst väljer du + Skapa privat slutpunktsanslutning.

    Skärmbild som visar sidan Nätverk för en containerregisterinstans.

  4. På fliken Grundläggande på sidan Skapa en privat slutpunkt anger eller väljer du följande information:

    • Prenumeration: Välj din prenumeration.
    • Resursgrupp: Ange namnet på en befintlig grupp eller skapa en ny.
    • Namn: Ange ett namn.
    • Region: Välj en region.

  5. Välj Nästa: Resurs.

  6. På fliken Resurs på sidan Skapa en privat slutpunkt anger eller väljer du följande information:

    • Anslutningsmetod: I det här exemplet väljer du Anslut till en Azure-resurs i min katalog.
    • Prenumeration: Välj din prenumeration.
    • Resurstyp: Välj Microsoft.ContainerRegistry/registries.
    • Resurs: Välj namnet på registret.
    • Måldelresurs: Välj register.

  7. Välj Nästa: Konfiguration.

  8. På fliken Konfiguration på sidan Skapa en privat slutpunkt anger eller väljer du informationen:

    • Virtuellt nätverk: Välj det virtuella nätverket för den privata slutpunkten.
    • Undernät: Välj undernätet för den privata slutpunkten.
    • Integrera med privat DNS-zon: Välj Ja.
    • Privat DNS-zon: Välj (ny) privatelink.azurecr.io