網路 IP 位址與整合
若要將 Azure 虛擬網路中的資源與內部部署網路中的資源整合,您必須了解如何連接那些資源,以及如何設定 IP 位址。
您的製造公司想要將業務關鍵資料庫移轉至 Azure。 桌上型電腦、膝上型電腦與行動裝置上的用戶端應用程式需要像資料庫仍在內部部署網路中一樣,持續存取資料庫。 您想要在不影響使用者的情況下移動資料庫伺服器。
在此單元中,您會查看一般的內部部署網路設計,並將其與典型的 Azure 網路設計進行比較。 您也會了解將 Azure 網路與內部部署網路整合時的相關 IP 定址需求。
內部部署 IP 定址
典型的內部部署網路設計包含下列元件:
- 路由器
- 防火牆
- 交換器
- 網路分割
上圖顯示典型內部部署網路簡化版本。 在面向網際網路服務提供者 (ISP) 的路由器上,您的連出網際網路流量會使用公用 IP 位址作為其來源。 這些位址也會用於跨網際網路連入流量。 ISP 可能會將 IP 位址區塊核發給您,以指派給您的裝置,或者您可能會有自己的組織所擁有並控制的公用 IP 位址區塊。 您可以將這些位址指派給您想要從網際網路存取的系統 (例如 Web 伺服器)。
周邊網路與內部區域具有私人 IP 位址。 在周邊網路與內部區域中,指派給這些裝置的 IP 位址無法從網際網路存取。 系統管理員可以完全控制 IP 位址指派、名稱解析、安全性設定與安全性規則。 有三個非可路由IP位址範圍,專為不會透過因特網路由器傳送的內部網路所設計:
- 10.0.0.0 至 10.255.255.255
- 172.16.0.0 至 172.31.255.255
- 192.168.0.0 至 192.168.255.255
系統管理員可以新增或移除內部部署子網路,以配合網路裝置與服務。 您在內部部署網路中可以擁有的子網路與 IP 位址數目,取決於 IP 位址區塊的無類別網域間路由選擇 (CIDR)。
Azure IP 定址
Azure 虛擬網路會使用私人 IP 位址。 私人 IP 位址的範圍與內部部署 IP 定址相同。 如同在內部部署網路中一般,系統管理員可以完全控制 IP 位址指派、名稱解析、安全性設定與 Azure 虛擬網路中的安全性規則。 系統管理員可以根據 IP 位址區塊的 CIDR 來新增或移除子網路。
典型的 Azure 網路設計通常會有下列元件:
- 虛擬網路
- 子網路
- 網路安全性群組
- 防火牆
- 負載平衡器
在 Azure 中,網路設計與內部部署網路具有類似的特色和功能,但網路的結構不同。 Azure 網路不會遵循典型的內部部署階層式網路設計。 Azure 網路可讓您根據需求相應增加和相應減少基礎結構。 Azure 網路中的佈建速度是以秒來計算的。 沒有像是路由器或交換器這樣的硬體裝置。 整個基礎結構都是虛擬的,而且您可以將其分割成符合您需求的區塊。
在 Azure 中,您通常會實作網路安全性群組與防火牆。 您可以使用子網路來隔離前端服務 (包括 Web 伺服器與 DNS) 與後端服務 (例如資料庫與儲存系統)。 網路安全性群組會過濾網路層的內部與外部流量。 防火牆具有更廣泛的網路層過濾與應用程式層過濾功能。 透過部署網路安全性群組與防火牆,您可以改善安全網路架構的資源隔離狀況。
Azure 虛擬網路的基本屬性
虛擬網路是您在雲端的網路。 您可以將虛擬網路分割成多個子網路。 每個子網都包含指派給您虛擬網路的IP位址空間的一部分。 如果其中沒有部署任何 VM 或服務,您可以新增、移除、展開或縮小子網路。
依照預設,Azure 虛擬網路中的所有子網路均可彼此通訊。 不過,您可以使用網路安全性群組拒絕子網之間的通訊。 關於重設大小,最小支援的子網會使用 /29 子網掩碼,而最大的支援子網則使用 /2 子網掩碼。 最小的子網有八個IP位址,而最大的子網有1,073,741,824個IP位址。
將 Azure 與內部部署網路整合
開始將 Azure 與內部部署網路整合之前,請務必識別內部部署網路目前所使用的私人 IP 位址配置。 互連網路的 IP 位址不能重疊。
例如,您無法在內部部署網路上使用 192.168.0.0/16 並在 Azure 虛擬網路上使用 192.168.10.0/24。 這些範圍都包含相同的IP位址,因此無法路由傳送流量。
但是,您可以在多個網路中擁有相同的類別範圍。 例如,您可以將 10.10.0.0/16 位址空間用於內部部署網路,並將 10.20.0.0/16 位址空間用於您的 Azure 網路,因為其不會重疊。
規劃 IP 位址配置時,檢查是否重疊是很重要的。 若 IP 位址重疊,您就無法將內部部署網路與 Azure 網路整合。