网络 IP 寻址和集成
要将 Azure 虚拟网络中的资源与本地网络中的资源相集成,你必须了解如何连接这些资源以及如何配置 IP 地址。
你所在的制造企业希望将业务关键数据库迁移到 Azure。 台式机、笔记本电脑和移动设备上的客户端应用程序需要持续访问数据库,就像数据库仍在本地网络中一样。 你希望在不影响用户的情况下移动数据库服务器。
在本单元中,你将了解典型的本地网络设计,并将其与典型的 Azure 网络设计进行比较。 你还将了解在将 Azure 网络与本地网络集成时 IP 寻址的要求。
本地 IP 寻址
典型的本地网络设计包括以下组件:
- 路由器
- 防火墙
- 交换机
- 网络分段
上图展示了典型本地网络的简化版本。 在面向 Internet 服务提供商 (ISP) 的路由器上,你的出站 Internet 流量使用公共 IP 地址作为它们的源。 入站流量通过 Internet 时还会使用这些地址。 ISP 可能会向你分配 IP 地址块(分配到你的设备),或者你可能有自己的公共 IP 地址块,而这些地址由你所在组织所有和控制。 可将这些地址分配到你希望能通过 Internet 访问的系统(例如 Web 服务器)。
外围网络和内部区域具有专用 IP 地址。 在外围网络和内部区域中,无法通过 Internet 访问分配给这些设备的 IP 地址。 管理员可以完全控制 IP 地址分配、名称解析、安全设置和安全规则。 有三个不可路由的 IP 地址范围,它们用于不通过 Internet 路由器发送的内部网络:
- 10.0.0.0 至 10.255.255.255
- 172.16.0.0 至 172.31.255.255
- 192.168.0.0 至 192.168.255.255
管理员可添加或删除本地子网以容纳网络设备和服务。 可在本地网络中拥有的子网和 IP 地址数取决于 IP 地址块的无类别域间路由 (CIDR)。
Azure IP 寻址
Azure 虚拟网络使用专用 IP 地址。 专用 IP 地址的范围与本地 IP 地址的范围相同。 如同在本地网络中一样,管理员可完全控制 Azure 虚拟网络中的 IP 地址分配、名称解析、安全设置和安全规则。 管理员可根据 IP 地址块的 CIDR 来添加或删除子网。
典型的 Azure 网络设计通常有以下组件:
- 虚拟网络
- 子网
- 网络安全组
- 防火墙
- 负载均衡器
在 Azure 中,网络设计与本地网络具有相似的特点和功能,但网络结构不同。 Azure 网络不遵循典型的本地分层网络设计。 Azure 网络允许你根据需求扩展和缩减基础结构。 只需几秒钟即可在 Azure 网络中完成预配。 没有路由器或交换机之类的硬件设备。 整个基础结构是虚拟的,你可以将它切分成符合你的要求的区块。
在 Azure 中,通常会实现网络安全组和防火墙。 可使用子网来隔离前端服务(包括 Web 服务器和 DNS)和后端服务(如数据库和存储系统)。 网络安全组在网络层筛选内部流量和外部流量。 防火墙具有更广泛的网络层筛选和应用层筛选功能。 通过部署网络安全组和防火墙,可以改进安全网络体系结构的资源隔离。
Azure 虚拟网络基本属性
虚拟网络是云中的网络。 你可以将你的虚拟网络分为多个子网。 每个子网都包含分配给你的虚拟网络的 IP 地址空间的一部分。 如果子网中未部署任何 VM 或服务,你可添加、删除、扩展或收缩该子网。
默认情况下,Azure 虚拟网络中的所有子网都可以相互通信。 但是,可以使用网络安全组拒绝子网之间的通信。 关于大小调整,支持的最小子网使用 /29 子网掩码,支持的最大子网使用 /2 子网掩码。 最小子网有 8 个 IP 地址,最大子网有 1,073,741,824 个 IP 地址。
将 Azure 与本地网络相集成
在开始将 Azure 与本地网络集成之前,请务必确定本地网络使用的当前专用 IP 地址方案。 互连的网络不得有 IP 地址重叠。
例如,不能在本地网络上使用 192.168.0.0/16,而在 Azure 虚拟网络上使用 192.168.10.0/24。 这两个范围包含相同的 IP 地址,因此无法在它们之间路由流量。
但是,多个网络可具有相同的类范围。 例如,可对本地网络使用 10.10.0.0/16 地址空间,对 Azure 网络使用 10.20.0.0/16 地址空间,因为它们不会重叠。
规划 IP 地址方案时,必须检查是否存在重叠。 如果 IP 地址重叠,则不能将本地网络与 Azure 网络集成。