Utforska virtuella Azure-nätverk
Du har ett lokalt datacenter som du planerar att behålla, men du vill använda Azure för att avlasta trafiktoppar med hjälp av virtuella datorer i Azure. Du vill behålla ditt befintliga IP-adresschema och dina befintliga nätverksenheter, samtidigt som all dataöverföring är säker.
Vad är virtuella Azure-nätverk?
Med virtuella Azure-nätverk kan Azure-resurser som virtuella datorer, webbappar och databaser kommunicera med varandra, användare på Internet och lokala klientdatorer. Du kan tänka på ett Azure-nätverk som en uppsättning resurser som länkar till andra Azure-resurser.
Virtuella Azure-nätverk tillhandahåller viktiga nätverksfunktioner:
- Isolering och segmentering
- Internetkommunikation
- Kommunicera mellan Azure-resurser
- Kommunicera med lokala resurser
- Dirigering av nätverkstrafik
- Filtrera nätverkstrafik
- Anslutning till virtuella nätverk
Isolering och segmentering
Med Azure kan du skapa flera isolerade virtuella nätverk. När du konfigurerar ett virtuellt nätverk definierar du ett privat IP-adressutrymme (Internet Protocol) med hjälp av antingen offentliga eller privata IP-adressintervall. Sedan kan du segmentera IP-adressutrymmet i undernät och allokera en del av det definierade adressutrymmet till varje namngivet undernät.
Som namnmatchning kan du använda namnmatchningstjänsten som är inbyggd i Azure eller konfigurera det virtuella nätverket till att använda antingen en intern eller extern DNS-server (Domain Name System).
Internetkommunikation
En virtuell dator i Azure kan ansluta till Internet som standard. Du kan aktivera inkommande anslutningar från Internet genom att definiera en offentlig IP-adress eller en offentlig lastbalanserare. När du ska hantera den virtuella datorn kan du ansluta via Azure CLI, Remote Desktop Protocol (RDP) eller Secure Shell (SSH).
Kommunicera mellan Azure-resurser
Du vill aktivera säker kommunikation mellan Azure-resurser. Du kan göra det på två sätt:
Virtuella nätverk
Förutom att ansluta till virtuella datorer kan virtuella nätverk även ansluta till andra Azure-resurser, som App Service-miljöer, Azure Kubernetes Service och VM-skalningsuppsättningar för Azure.
Tjänstslutpunkter
Du kan använda tjänstslutpunkter för att ansluta till andra typer av Azure-resurser, som Azure SQL-databaser och lagringskonton. Med den här metoden kan du länka flera Azure-resurser till virtuella nätverk och därmed förbättra säkerheten och ge optimal routning mellan resurser.
Kommunicera med lokala resurser
Med virtuella Azure-nätverk kan du länka resurser i din lokala miljö och i Azure-prenumerationen, vilket skapar ett nätverk som omfattar både dina lokala och molnbaserade miljöer. Det finns tre metoder för att uppnå den här anslutningen:
Virtuella privata nätverk av typen punkt-till-plats
Den här metoden fungerar som en VPN-anslutning som en dator utanför din organisation arbetar mot i företagets nätverk, förutom att den fungerar i motsatt riktning. I det här fallet initierar klientdatorn en krypterad VPN-anslutning till Azure och ansluter datorn till det virtuella Azure-nätverket.
Virtuella privata nätverk av typen plats-till-plats Ett plats-till-plats-VPN länkar din lokala VPN-enhet eller gateway till Azure VPN-gatewayen i ett virtuellt nätverk. Enheter i Azure kan i praktiken visas som om de fanns i det lokala nätverket. Anslutningen är krypterad och fungerar över Internet.
Azure ExpressRoute
För miljöer där du behöver mer bandbredd och ännu högre säkerhet är Azure ExpressRoute den bästa metoden. Azure ExpressRoute tillhandahåller dedikerad privat anslutning till Azure som inte reser via Internet.
Dirigering av nätverkstrafik
I Azure dirigeras trafik som standard mellan undernät i alla anslutna virtuella nätverk, lokala nätverk och internet. Du kan dock styra dirigeringen och åsidosätta inställningarna enligt följande:
Routningstabeller
Med en routningstabell kan du definiera regler för hur trafik ska dirigeras. Du kan skapa anpassade routningstabeller som styr hur paket dirigeras mellan undernät.
Border Gateway Protocol
Border Gateway Protocol (BGP) används med Azure VPN-gatewayer eller ExpressRoute för att sprida lokala BGP-vägar till virtuella Azure-nätverk.
Filtrera nätverkstrafik
Virtuella Azure-nätverk gör det möjligt att filtrera trafik mellan undernät med hjälp av följande metoder:
Nätverkssäkerhetsgrupper
En nätverkssäkerhetsgrupp (NSG) är en Azure-resurs som kan innehålla flera regler för inkommande och utgående säkerhet. Du kan definiera dessa regler för att tillåta eller blockera trafik, baserat på faktorer som IP-adress för källa och destination, port och protokoll.
Virtuella nätverksinstallationer
En virtuell nätverksinstallation är en specialiserad virtuell dator som kan jämföras med en förstärkt nätverksenhet. En virtuell nätverksinstallation utför en viss nätverksfunktion, som att köra en brandvägg eller utföra WAN-optimering.
Anslutning till virtuella nätverk
Du kan länka samman virtuella nätverk med peering för virtuella nätverk. Peering aktiverar resurser i varje virtuellt nätverk så att de kan kommunicera med varandra. Dessa virtuella nätverk kan finnas i olika regioner, så du kan skapa ett globalt, sammankopplat nätverk via Azure.
Inställningar för virtuella Azure-nätverk
Du kan skapa och konfigurera virtuella Azure-nätverk från Azure Portal, Azure PowerShell på den lokala datorn eller Azure Cloud Shell.
Skapa ett virtuellt nätverk
När du skapar ett virtuellt Azure-nätverk konfigurerar du många grundläggande inställningar. Du kan också konfigurera avancerade inställningar, till exempel flera undernät, DDoS-skydd (Distribuerad överbelastning) och tjänstslutpunkter.
För ett grundläggande virtuellt nätverk konfigurerar du följande inställningar:
Nätverksnamn
Nätverksnamnet måste vara unikt i din prenumeration, men behöver inte vara globalt unikt. Se till att namnet är beskrivande och lätt att komma ihåg, så att du kan skilja det från andra virtuella nätverk.
Adressutrymme
När du konfigurerar ett virtuellt nätverk definierar du det interna adressutrymmet i formatet CIDR (Classless Inter-Domain Routing). Det här adressutrymmet måste vara unikt i prenumerationen och i de andra nätverk du ansluter till.
Vi antar att du väljer adressutrymmet 10.0.0.0/24 för ditt första virtuella nätverk. Adresserna som är definierade i det här adressutrymmet är 10.0.0.1–10.0.0.254. Sedan skapar du ett andra virtuellt nätverk och väljer ett adressutrymme på 10.0.0.0/8. Adresserna i det här adressutrymmet är 10.0.0.1–10.255.255.254. Vissa av adresserna överlappar och kan inte användas för de två virtuella nätverken.
Du kan dock använda 10.0.0.0/16, med adresser mellan 10.0.0.1–10.0.255.254 och 10.1.0.0/16 med adresser mellan 10.1.0.1–10.1.255.254. Du kan tilldela dessa adressutrymmen till dina virtuella nätverk eftersom adresserna inte överlappar.
Kommentar
Du kan lägga till ytterligare adressutrymmen när du har skapat det virtuella nätverket.
Abonnemang
Gäller endast om du har flera prenumerationer att välja mellan.
Resursgrupp
Precis som med alla andra Azure-resurser måste ett virtuellt nätverk finnas i en resursgrupp. Du kan antingen välja en befintlig resursgrupp eller skapa en ny.
Plats
Välj den plats där du vill att det virtuella nätverket ska finnas.
Undernät
Inom varje enskilt virtuellt nätverk kan du skapa ett eller flera undernät som partitionerar det virtuella nätverkets adressutrymme. Routning mellan undernät förlitar sig sedan på standardtrafikvägar eller så kan du definiera anpassade vägar. Alternativt kan du definiera ett undernät som omfattar det virtuella nätverkets alla adressintervall.
Kommentar
Namn på undernät måste börja med en bokstav eller siffra, sluta med en bokstav, siffra eller ett understreck och får endast innehålla bokstäver, siffror, understreck, punkter eller bindestreck.
DDoS-skydd (distribuerade överbelastningsattacker)
Du kan välja DDoS-skydd på nivån Basic eller Standard. Standard-DDoS-skydd är en premiumtjänst. Azure DDoS Protection innehåller mer information om DDoS Protection.
Tjänstslutpunkter
Här kan du aktivera tjänstslutpunkter och sedan välja i listan vilka Azure-tjänstslutpunkter som du vill aktivera. Du kan välja Azure Cosmos DB, Azure Service Bus, Azure Key Vault och så vidare.
När du har konfigurerat de här inställningarna väljer du Skapa.
Definiera andra inställningar
När du har skapat ett virtuellt nätverk kan du definiera fler inställningar. Några av dessa inställningar är:
Nätverkssäkerhetsgrupp
Nätverkssäkerhetsgrupper har säkerhetsregler som gör det möjligt att filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt. Du skapar nätverkssäkerhetsgruppen separat och associerar den sedan med det virtuella nätverket.
Routningstabell
Azure skapar automatiskt en routningstabell för varje undernät i ett virtuellt Azure-nätverk och lägger till systemets standardvägar i tabellen. Du kan dock lägga till anpassade routningstabeller för att ändra trafik mellan virtuella nätverk.
Du kan också ändra tjänstslutpunkterna.
Konfigurera virtuella nätverk
När du har skapat ett virtuellt nätverk kan du ändra ytterligare inställningar från fönstret Virtuella nätverk i Azure-portalen. Du kan också använda PowerShell-kommandon eller CloudShell-kommandon för att göra ändringar.
Du kan sedan granska och ändra inställningarna i de underordnade fönstren. Några av dessa inställningar är:
Adressutrymmen: Du kan lägga till ytterligare adressutrymmen i den inledande definitionen.
Anslut enheter: Använd det virtuella nätverket för att ansluta datorer.
Undernät: Lägg till ytterligare undernät.
Peerings: Länka virtuella nätverk i peering-arrangemang.
Du kan också övervaka och felsöka virtuella nätverk eller skapa ett automationsskript för att generera det nuvarande virtuella nätverket.
Virtuella nätverk är kraftfulla och mycket konfigurerbara mekanismer för att ansluta enheter i Azure. Du kan ansluta Azure-resurser till varandra eller till resurser som du har lokalt. Du kan isolera, filtrera och dirigera nätverkstrafiken, och Med Azure kan du öka säkerheten där du känner att du behöver den.