Sdílet prostřednictvím

Azure pro odborníky na sítě

  • Článek

Jako běžný síťový inženýr jste se zabývali fyzickými prostředky, jako jsou směrovače, přepínače, kabely, brány firewall pro sestavování infrastruktury. V logické vrstvě jste nakonfigurovali virtuální síť LAN (VLAN), protokoly směrování (RIP, OSPF, BGP). Síť jste spravovali pomocí nástrojů pro správu a rozhraní příkazového řádku. Sítě v cloudu se liší v případě, že jsou koncové body sítě logické a používají směrovací protokoly, jsou minimální. Budete pracovat s rozhraním API Azure Resource Manageru, Azure CLI a PowerShellem pro konfiguraci a správu prostředků v Azure. Cestu k síti v cloudu zahájíte pochopením základních tenantů sítí Azure.

Virtuální síť

Při návrhu sítě zespoda nahoru shromáždíte některé základní informace. Tyto informace můžou být počet hostitelů, síťových zařízení, počet podsítí, směrování mezi podsítěmi, domény izolace, jako jsou sítě VLAN. Tyto informace pomáhají při nastavení velikosti síťových a bezpečnostních zařízení a také vytvoření architektury pro podporu aplikací a služeb.

Když plánujete nasadit aplikace a služby v Azure, začnete vytvořením logické hranice v Azure, která se nazývá virtuální síť. Tato virtuální síť se podobá hranici fyzické sítě. Protože se jedná o virtuální síť, nepotřebujete fyzické ozubené kolo, ale stále musíte plánovat logické entity, jako jsou IP adresy, podsítě IP, směrování a zásady.

Když vytvoříte virtuální síť v Azure, je předem nakonfigurovaný s rozsahem IP adres (10.0.0.0/16). Tento rozsah není pevný, můžete definovat vlastní rozsah IP adres. Můžete definovat rozsahy adres IPv4 i IPv6. Rozsahy IP adres definované pro virtuální síť se neinzerují do internetu. Z rozsahu IP adres můžete vytvořit více podsítí. Tyto podsítě se použijí k přiřazení IP adres k virtuálním síťovým rozhraním (vNICs). První čtyři IP adresy z každé podsítě jsou rezervované a nejde je použít k přidělování IP adres. Ve veřejném cloudu neexistuje žádný koncept sítí VLAN. Izolaci však můžete vytvořit ve virtuální síti na základě definovaných podsítí.

Můžete vytvořit jednu velkou podsíť zahrnující veškerý adresní prostor virtuální sítě nebo můžete vytvořit více podsítí. Pokud ale používáte bránu virtuální sítě, Azure vyžaduje, abyste vytvořili podsíť s názvem Podsíť brány. Azure použije tuto podsíť k přiřazení IP adres branám virtuální sítě.

Přidělování IP adres

Když přiřadíte IP adresu hostiteli, ve skutečnosti přiřadíte IP adresu síťové kartě. Síťové kartě v Azure můžete přiřadit dva typy IP adres:

  • Veřejné IP adresy – Slouží ke komunikaci příchozích a odchozích přenosů (bez překladu síťových adres (NAT) s internetem a dalšími prostředky Azure, které nejsou připojené k virtuální síti. Přiřazení veřejné IP adresy síťovému rozhraní je volitelné. Veřejné IP adresy patří do adresního prostoru IP adres Microsoftu.
  • Privátní IP adresy – slouží ke komunikaci v rámci virtuální sítě, vaší místní sítě a internetu (s překladem adres (NAT). Adresní prostor IP, který definujete ve virtuální síti, se považuje za privátní i v případě, že nakonfigurujete veřejný adresní prostor IP adres. Microsoft tento prostor neinzeruje na internet. Virtuálnímu počítači je nutné přiřadit alespoň jeden privátní IP adresu.

Stejně jako u fyzických hostitelů nebo zařízení existují dva způsoby, jak přidělit IP adresu prostředku – dynamickému nebo statickému. V Azure je výchozí metoda přidělování dynamická, kde se IP adresa přidělí při vytváření virtuálního počítače nebo spuštění zastaveného virtuálního počítače. Když tento virtuální počítač zastavíte nebo odstraníte, IP adresa se uvolní. Pokud chcete zajistit, aby IP adresa virtuálního počítače zůstala stejná, můžete explicitně nastavit statickou metodu přidělování. V takovém případě se IP adresa přiřadí okamžitě. Uvolní se, jenom když virtuální počítač odstraníte nebo změníte jeho metodu přidělování na dynamickou.

Privátní IP adresy se přidělují z podsítí, které jste definovali ve virtuální síti. Pro virtuální počítač zvolíte podsíť pro přidělování IP adres. Pokud virtuální počítač obsahuje více síťových adaptérů, můžete pro každou síťovou kartu zvolit jinou podsíť.

Směrování

Když vytvoříte virtuální síť, Azure vytvoří pro vaši síť směrovací tabulku. Tato směrovací tabulka obsahuje následující typy tras.

  • Systémové trasy
  • Výchozí trasy podsítě
  • Trasy z jiných virtuálních sítí
  • Trasy protokolu BGP
  • Trasy koncových bodů služby
  • Trasy definované uživatelem (UDR)

Když poprvé vytvoříte virtuální síť bez definování podsítí, Azure vytvoří položky směrování ve směrovací tabulce. Tyto trasy se nazývají systémové trasy. Systémové trasy jsou definovány v tomto umístění. Tyto trasy nelze upravit. Trasy systémů ale můžete přepsat konfigurací tras definovaných uživatelem.

Když ve virtuální síti vytvoříte jednu nebo více podsítí, Azure vytvoří ve směrovací tabulce výchozí položky, které umožní komunikaci mezi těmito podsítěmi ve virtuální síti. Tyto trasy je možné upravit pomocí statických tras, což jsou trasy definované uživatelem (UDR) v Azure.

Když vytvoříte partnerský vztah virtuální sítě mezi dvěma virtuálními sítěmi, přidá se trasa pro každý rozsah adres v rámci adresního prostoru každé virtuální sítě, pro kterou se vytvoří partnerský vztah.

Pokud si vaše místní síťová brána vyměňuje trasy protokolu BGP (Border Gateway Protocol) s bránou virtuální sítě Azure, přidá se trasa pro každou trasu rozšířenou z místní síťové brány. Tyto trasy se ve směrovací tabulce zobrazují jako trasy protokolu BGP.

Veřejné IP adresy pro určité služby se přidají do směrovací tabulky Azure, když povolíte do služby koncový bod služby. Koncové body služby jsou povolené pro jednotlivé podsítě v rámci virtuální sítě. Když povolíte koncový bod služby, trasa se přidá jenom do směrovací tabulky podsítě, která patří do této služby. Azure při změně adres spravuje adresy ve směrovací tabulce automaticky.

Trasy definované uživatelem se také nazývají Vlastní trasy. V Azure vytvoříte trasu definovanou uživatelem, která přepíše výchozí systémové trasy Azure, nebo přidáte další trasy do směrovací tabulky podsítě. V Azure vytvoříte směrovací tabulku a pak přidružíte směrovací tabulku k podsítím virtuální sítě.

Pokud máte v směrovací tabulce konkurenční položky, Azure vybere další segment směrování na základě nejdelší shody předpony podobné tradičním směrovačům. Pokud však existuje více položek dalšího segmentu směrování se stejnou předponou adresy, Azure vybere trasy v následujícím pořadí.

  1. Trasy definované uživatelem (UDR)
  2. Trasy protokolu BGP
  3. Systémové trasy

Zabezpečení

Síťový provoz do a z prostředků ve virtuální síti můžete filtrovat pomocí skupin zabezpečení sítě. Můžete také použít síťová virtuální zařízení(NVA), jako je Azure Firewall nebo brány firewall od jiných dodavatelů. Můžete řídit, jak Azure směruje provoz z podsítí. Můžete také omezit, kdo ve vaší organizaci může pracovat s prostředky ve virtuálních sítích.

Skupina zabezpečení sítě (NSG) obsahuje seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zamítají síťový provoz pro podsítě, síťová rozhraní nebo oboje. Skupiny NSG můžou být přidružené buď k podsítím, nebo k jednotlivým síťovým rozhraním připojeným k podsíti. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla seznamu ACL platí pro všechny virtuální počítače v této podsíti. Kromě toho je možné přenosy do jednotlivých síťových adaptérů omezit tím, že přímo přidružují skupinu zabezpečení sítě k síťové kartě.

Skupiny NSG obsahují dvě sady pravidel: příchozí a odchozí. Priorita pravidla musí být v rámci jednotlivých sad jedinečná. Každé pravidlo má vlastnosti, které popisují protokol, zdrojový a cílový rozsah portů, předpony adres, směr přenosu, prioritu a typ přístupu. Všechny skupiny NSG obsahují sadu výchozích pravidel. Výchozí pravidla se nedají odstranit, ale protože je jim přiřazená nejnižší priorita, dají se přepsat pravidly, která vytvoříte.

Ověření

Trasy ve virtuální síti

Kombinace tras, které vytvoříte, výchozích tras Azure a všech tras šířených z vaší místní sítě prostřednictvím brány Azure VPN Gateway (pokud je vaše virtuální síť připojená k místní síti) prostřednictvím protokolu BGP (Border Gateway Protocol), jsou efektivními trasami pro všechna síťová rozhraní v podsíti. Tyto efektivní trasy můžete zobrazit tak, že přejdete na síťovou kartu prostřednictvím portálu, PowerShellu nebo rozhraní příkazového řádku. Další informace o efektivních trasách na síťové kartě najdete v tématu Get-AzEffectiveRouteTable.

Network Security Groups (Skupiny zabezpečení sítě)

Platná pravidla zabezpečení použitá pro síťové rozhraní jsou agregací pravidel, která existují v NSG přidruženém k síťovému rozhraní, a podsíť, ve které síťové rozhraní je. Všechna platná pravidla zabezpečení můžete zobrazit z skupin zabezpečení sítě, které se použijí na síťová rozhraní virtuálního počítače, a to tak, že přejdete na síťovou kartu přes portál, PowerShell nebo rozhraní příkazového řádku.

Další kroky

Seznamte se s virtuální sítí.

Seznamte se se směrováním virtuální sítě.

Seznamte se se skupinami zabezpečení sítě.