Що таке віртуальна мережа Azure

  • 7 хв.

Azure Virtual Network – це служба, яка забезпечує основний стандартний блок для вашої приватної мережі в Azure. Екземпляр служби (віртуальна мережа) дає змогу багатьом типам ресурсів Azure безпечно спілкуватися між собою, Інтернетом і локальними мережами. До цих ресурсів Azure належать віртуальні машини (віртуальні машини).

Віртуальна мережа подібна до традиційної мережі, яку ви б працювали у власному центрів обробки даних. Але це приносить додаткові переваги інфраструктури Azure, такі як масштаб, доступність і ізоляція.

схеми, на якій показано приклад віртуальної мережі Azure.

Навіщо використовувати віртуальну мережу Azure?

Основні сценарії, які можна виконати за допомогою віртуальної мережі:

  • Спілкування ресурсів Azure з Інтернетом.
  • Спілкування між ресурсами Azure.
  • Спілкування з локальними ресурсами.
  • Фільтрування мережевого трафіку.
  • Маршрутизація мережевого трафіку.
  • Інтеграція зі службами Azure.

Спілкування з Інтернетом

Усі ресурси у віртуальній мережі можуть здійснювати вихідні дані з Інтернету за замовчуванням. Також можна використовувати загальнодоступну IP-адресу, шлюзу NAT або балансувальника громадського навантаження, щоб керувати вихідними підключеннями . Ви можете зв'язатися з ресурсом, призначивши загальнодоступну IP-адресу або балансувальник загальнодоступного навантаження.

Якщо використовується лише внутрішній стандартний балансувальник навантаження, підключення до вихідних підключень недоступне, доки ви не визначите спосіб роботи вихідних підключень із загальнодоступною IP-адресою на рівні екземпляра або балансувальником загальнодоступного навантаження.

Обмін даними між ресурсами Azure

Ресурси Azure надійно спілкуються один з одним із таких способів:

  • Віртуальна мережа. Віртуальні машини та інші типи ресурсів Azure можна розгортати у віртуальній мережі. Приклади ресурсів: середовища служби програм, служба Azure Kubernetes (AKS) і набори масштабів віртуальних машин Azure. Повний список ресурсів Azure, які можна розгорнути у віртуальній мережі, див. в статті Розгортання виділених служб Azure у віртуальних мережах.
  • Кінцева точка віртуальної мережевої служби. Ви можете розширити простір приватної адреси віртуальної мережі та ідентичність віртуальної мережі до ресурсів служби Azure через пряме підключення. До прикладів ресурсів належать облікові записи Сховища Azure і база даних Azure SQL. Кінцеві точки служби дають змогу захистити критично важливі ресурси служби Azure лише для віртуальної мережі. Докладні відомості див. в статті кінцеві точки служби віртуальної мережі .
  • Однорангова робота віртуальної мережі. Віртуальні мережі можна підключати один до одного за допомогою віртуальної однорангової мережі. Ресурси у віртуальній мережі можуть спілкуватися один з одним. Віртуальні мережі, до яких ви підключаєтеся, можуть бути в однакових або різних регіонах Azure. Докладні відомості див. в статті однорангової мережі віртуальної мережі.

Спілкування з локальними ресурсами

Локальні комп'ютери та мережі можна підключити до віртуальної мережі за допомогою будь-якого з наведених нижче параметрів.

  • Віртуальна приватна мережа (VPN), створена між віртуальною мережею та одним комп'ютером у мережі. Кожен комп'ютер, який хоче встановити підключення до віртуальної мережі, має настроїти його підключення. Цей тип підключення корисний, якщо ви тільки починаєте роботу з Azure або розробниками, оскільки для цього потрібно мало змін до наявної мережі. Зв'язок між комп'ютером і віртуальною мережею надсилається через зашифрований тунель через Інтернет. Докладні відомості див. в статті ПроVPN на сайті.
  • VPN на сайті: створено між локальним пристроєм VPN і шлюзом AZURE VPN, розгорнутим у віртуальній мережі. Цей тип підключення дає змогу будь-якому локальному ресурсу, який ви дозволяєте отримувати доступ до віртуальної мережі. Зв'язок між локальним пристроєм VPN і шлюзом Azure VPN надсилається через зашифрований тунель через Інтернет. Докладні відомості див. в статті VPN"Сайт на сайт".
  • Azure ExpressRoute: створена між вашою мережею та Azure через партнера ExpressRoute. Це підключення приватне. Трафік не передається через Інтернет. Докладні відомості див. в статті Що таке Azure ExpressRoute?.

Фільтрування мережевого трафіку

Мережевий трафік між підмережами можна фільтрувати за допомогою таких параметрів:

  • Групи безпеки мережі: групи безпеки мережі та групи безпеки програм можуть містити кілька вхідних і вихідних правил безпеки. Ці правила дають змогу фільтрувати трафік до ресурсів і з них за IP-адресою, портом і протоколом джерела та призначення. Докладні відомості див. в статті Групи безпеки мережі та Групи безпеки програм.
  • Мережеві віртуальні прилади: мережевий віртуальний пристрій – це віртуальна машини, яка виконує мережеву функцію, наприклад брандмауер або оптимізацію глобальної мережі. Щоб переглянути список доступних мережевих віртуальних пристроїв, які можна розгорнути у віртуальній мережі, перейдіть до Azure Marketplace.

Маршрутизація мережевого трафіку

За замовчуванням Azure спрямовує трафік між підмережами, підключеними віртуальними мережами, локальними мережами та Інтернетом. Щоб змінити стандартні маршрути, які створює Azure, можна скористатися або обома наведеними нижче параметрами.

  • Таблиці маршрутів. Можна створити настроювані таблиці маршрутів, які визначають, куди спрямовується трафік для кожної підмережі.
  • Маршрути протоколу BGP. Якщо підключити віртуальну мережу до локальної мережі за допомогою шлюзу AZURE VPN або підключення ExpressRoute, можна поширити локальні маршрути BGP на віртуальні мережі.

Інтеграція зі службами Azure

Інтеграція служб Azure з віртуальною мережею Azure забезпечує приватний доступ до служби з віртуальних машин або обчислювальних ресурсів у віртуальній мережі. Для цієї інтеграції можна використовувати такі параметри:

  • Розгортання виділених екземплярів служби у віртуальну мережу. Після цього до служб можна отримати приватний доступ у віртуальній мережі та локальних мережах.
  • Використовуйте Azure Private Link для приватного доступу до певного екземпляра служби з віртуальної мережі та локальних мереж.
  • Доступ до служби через загальнодоступні кінцеві точки шляхом розширення віртуальної мережі до служби через кінцеві точки служби . Кінцеві точки служби дають змогу забезпечити захист ресурсів служби до віртуальної мережі.

Обмеження

Кількість ресурсів Azure, які можна розгорнути, обмежено. Більшість обмежень для мереж Azure мають максимальне значення. Однак можна збільшити певні обмеження мережі. Докладні відомості див. в статті Обмеження мережі.

Віртуальні мережі та зони доступності

Віртуальні мережі та підмережі охоплюють усі зони доступності в регіоні. Щоб вмістити зональні ресурси, не потрібно ділити їх за зонами доступності. Наприклад, якщо настроїти Зональну віртуальну машину, не потрібно враховувати віртуальну мережу під час вибору зони доступності для віртуальної машини. Те ж саме стосується інших зональних ресурсів.

Ціноутворення

Плата за використання віртуальної мережі Azure не стягується. Це безкоштовно. Стандартні витрати застосовуються для ресурсів, наприклад віртуальних машин та інших продуктів. Докладні відомості див. в статті ціни віртуальної мережі та калькулятор цін для Azure .