Plánování virtuálních sítí

Vytvoření virtuální sítě pro experimentování je dost snadné, ale pravděpodobně nasadíte více virtuálních sítí v průběhu času, abyste podporovali provozní potřeby vaší organizace. Při plánování můžete nasadit virtuální sítě a efektivněji propojit prostředky, které potřebujete. Informace v tomto článku jsou nejužitečnější, pokud už znáte virtuální sítě a máte s nimi zkušenosti. Pokud virtuální sítě neznáte, doporučujeme vám přečíst si přehled virtuální sítě.

Pojmenování

Všechny prostředky Azure mají název. Název musí být jedinečný v rámci oboru, který se může u každého typu prostředku lišit. Název virtuální sítě musí být například jedinečný v rámci skupiny prostředků, ale v rámci předplatného nebo oblasti Azure můžete použít duplicitní název. Definování konvence vytváření názvů, které můžete používat konzistentně, když pojmenujete prostředky, je užitečné při správě několika síťových prostředků v průběhu času. Návrhy najdete v tématu Konvence vytváření názvů.

Oblasti

Všechny prostředky Azure se vytvářejí v oblasti a předplatném Azure. Prostředek můžete vytvořit pouze ve virtuální síti, která existuje ve stejné oblasti a předplatném jako prostředek. Můžete ale propojit virtuální sítě, které existují v různých předplatných a oblastech. Další informace najdete v tématu Připojení. Když se rozhodnete, ve kterých oblastech se nasadí prostředky, zvažte, kde se fyzicky nacházejí příjemci prostředků:

• Máte nízkou latenci sítě? Příjemci prostředků obvykle chtějí nejnižší latenci sítě pro své prostředky. Pokud chcete určit relativní latence mezi zadaným umístěním a oblastmi Azure, přečtěte si téma Zobrazení relativních latencí.
• Máte požadavky na rezidenci dat, suverenitu, dodržování předpisů nebo odolnost? Pokud ano, je důležité zvolit oblast, která odpovídá požadavkům. Další informace najdete v geografických oblastech Azure.
• Vyžadujete odolnost napříč zónami dostupnosti Azure ve stejné oblasti Azure pro prostředky, které nasazujete? Prostředky, jako jsou virtuální počítače, můžete nasadit do různých zón dostupnosti ve stejné virtuální síti. Ne všechny oblasti Azure podporují zóny dostupnosti. Další informace o zónách dostupnosti a oblastech, které je podporují, najdete v tématu Zóny dostupnosti.

Předplatná

V rámci každého předplatného můžete nasadit libovolný počet virtuálních sítí až do limitu. Některé organizace mají různá předplatná pro různá oddělení, například. Další informace a aspekty týkající se předplatných najdete v tématu Zásady správného řízení předplatného.

Segmentace

Pro každé předplatné a každou oblast můžete vytvořit více virtuálních sítí. V rámci každé virtuální sítě můžete vytvořit více podsítí. Následující aspekty vám pomůžou určit, kolik virtuálních sítí a podsítí potřebujete.

Virtuální sítě

Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Každá virtuální síť je vyhrazená pro vaše předplatné. Když se rozhodnete, jestli chcete vytvořit jednu virtuální síť nebo více virtuálních sítí v předplatném, zvažte následující body:

• Existují nějaké požadavky na zabezpečení organizace pro izolování provozu do samostatných virtuálních sítí? Můžete se rozhodnout pro připojení virtuálních sítí nebo ne. Pokud propojíte virtuální sítě, můžete implementovat síťové virtuální zařízení, jako je brána firewall, a řídit tok provozu mezi virtuálními sítěmi. Další informace najdete v tématu Zabezpečení a připojení.
• Existují nějaké požadavky organizace pro izolování virtuálních sítí do samostatných předplatných nebo oblastí?
• Máte požadavky na síťové rozhraní ? Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s dalšími prostředky. Každé síťové rozhraní má přiřazenou jednu nebo více privátních IP adres. Kolik síťových rozhraní a privátních IP adres potřebujete ve virtuální síti? Existuje omezení počtu síťových rozhraní a privátních IP adres, které můžete mít ve virtuální síti.
• Chcete virtuální síť připojit k jiné virtuální síti nebo k místní síti? Můžete se rozhodnout připojit některé virtuální sítě k sobě navzájem nebo k místním sítím, ale ne k ostatním. Další informace najdete v tématu Připojení. Každá virtuální síť, kterou se připojujete k jiné virtuální síti nebo místní síti, musí mít jedinečný adresní prostor. Každá virtuální síť má přiřazený jeden nebo více rozsahů veřejných nebo privátních adres k adresního prostoru. Rozsah adres je zadaný ve formátu CIDR (Classless Internet Domain Routing), například 10.0.0.0/16. Přečtěte si další informace o rozsahech adres pro virtuální sítě.
• Máte nějaké požadavky na správu organizace pro prostředky v různých virtuálních sítích? Pokud ano, můžete prostředky rozdělit do samostatných virtuálních sítí, abyste zjednodušili přiřazení oprávnění jednotlivcům ve vaší organizaci nebo přiřadili různé zásady různým virtuálním sítím.
• Máte požadavky na prostředky, které můžou vytvořit vlastní virtuální síť? Když do virtuální sítě nasadíte některé prostředky služby Azure, vytvoří vlastní virtuální síť. Pokud chcete zjistit, jestli služba Azure vytváří vlastní virtuální síť, přečtěte si informace o každé službě Azure, kterou můžete nasadit do virtuální sítě.

Podsítě

Virtuální síť můžete segmentovat do jedné nebo více podsítí až do limitů. Když se rozhodnete, jestli chcete vytvořit jednu podsíť nebo více virtuálních sítí v předplatném, zvažte následující body:

• Mít jedinečný rozsah adres pro každou podsíť určenou ve formátu CIDR v rámci adresního prostoru virtuální sítě. Rozsah adres se nemůže překrývat s jinými podsítěmi ve virtuální síti.
• Mějte na paměti, že pokud plánujete nasadit některé prostředky služby Azure do virtuální sítě, můžou vyžadovat nebo vytvořit vlastní podsíť. K tomu musí být dostatek nepřidělených prostorů. Pokud chcete zjistit, jestli služba Azure vytváří vlastní podsíť, přečtěte si informace o každé službě Azure, kterou můžete nasadit do virtuální sítě. Pokud například připojíte virtuální síť k místní síti pomocí brány Azure VPN Gateway, musí mít virtuální síť vyhrazenou podsíť pro bránu. Přečtěte si další informace o podsítích brány.
• Přepište výchozí směrování síťového provozu mezi všemi podsítěmi ve virtuální síti. Chcete například zabránit směrování Azure mezi podsítěmi nebo směrování provozu mezi podsítěmi prostřednictvím síťového virtuálního zařízení. Pokud potřebujete, aby provoz mezi prostředky ve stejné virtuální síti procházel síťovým virtuálním zařízením(NVA), nasaďte prostředky do různých podsítí. Další informace najdete v článku Zabezpečení.
• Omezte přístup k prostředkům Azure, jako je účet Azure Storage nebo Azure SQL Database, na konkrétní podsítě s koncovým bodem služby virtuální sítě. Můžete také odepřít přístup k prostředkům z internetu. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné. Přečtěte si další informace o koncových bodech služby a prostředcích Azure, pro které je můžete povolit.
• Přidružte k každé podsíti ve virtuální síti nulovou nebo jednu skupinu zabezpečení sítě. Ke každé podsíti můžete přidružit stejnou nebo jinou skupinu zabezpečení sítě. Každá skupina zabezpečení sítě obsahuje pravidla, která povolují nebo zakazují provoz do a ze zdrojů a cílů. Přečtěte si další informace o skupinách zabezpečení sítě.

Zabezpečení

Síťový provoz do a z prostředků ve virtuální síti můžete filtrovat pomocí skupin zabezpečení sítě a síťových virtuálních zařízení. Můžete řídit, jak Azure směruje provoz z podsítí. Můžete také omezit, kdo ve vaší organizaci může pracovat s prostředky ve virtuálních sítích.

Filtrování provozu

• Pokud chcete filtrovat síťový provoz mezi prostředky ve virtuální síti, použijte skupinu zabezpečení sítě, síťové virtuální zařízení, které filtruje síťový provoz nebo obojí. Pokud chcete nasadit síťové virtuální zařízení, jako je brána firewall, pro filtrování síťového provozu, podívejte se na Azure Marketplace. Při použití síťového virtuálního zařízení vytvoříte také vlastní trasy pro směrování provozu z podsítí do síťového virtuálního zařízení. Přečtěte si další informace o směrování provozu.
• Skupina zabezpečení sítě obsahuje několik výchozíchpravidelch Skupinu zabezpečení sítě můžete přidružit k síťovému rozhraní, podsíť, ve které je síťové rozhraní, nebo obojí. Pokud chcete zjednodušit správu pravidel zabezpečení, doporučujeme přidružit skupinu zabezpečení sítě k jednotlivým podsítím, nikoli k jednotlivým síťovým rozhraním v rámci podsítě, kdykoli je to možné.
• Pokud různé virtuální počítače v podsíti potřebují různá pravidla zabezpečení, můžete síťové rozhraní ve virtuálním počítači přidružit k jedné nebo více skupinám zabezpečení aplikace. Pravidlo zabezpečení může zadat skupinu zabezpečení aplikace ve zdroji, cíli nebo obojím. Toto pravidlo se pak vztahuje pouze na síťová rozhraní, která jsou členy skupiny zabezpečení aplikace. Přečtěte si další informace o skupinách zabezpečení sítě a skupinách zabezpečení aplikací.
• Pokud je skupina zabezpečení sítě přidružená na úrovni podsítě, vztahuje se na všechny řadiče síťového rozhraní v podsíti, nejen na provoz přicházející z podsítě. Může to mít vliv i na provoz mezi virtuálními počítači obsaženými v podsíti.
• Azure vytvoří několik výchozích pravidel zabezpečení v rámci každé skupiny zabezpečení sítě. Jedno výchozí pravidlo umožňuje tok veškerého provozu mezi všemi prostředky ve virtuální síti. Pokud chcete toto chování přepsat, použijte skupiny zabezpečení sítě, vlastní směrování pro směrování provozu do síťového virtuálního zařízení nebo obojí. Doporučujeme seznámit se se všemi výchozími pravidly zabezpečení Azure a porozumět způsobu použití pravidel skupin zabezpečení sítě na prostředek.

Ukázkové návrhy pro implementaci hraniční sítě (označované také jako DMZ) mezi Azure a internetem můžete zobrazit pomocí síťového virtuálního zařízení.

Směrování provozu

Azure vytvoří několik výchozích tras pro odchozí provoz z podsítě. Výchozí směrování Azure můžete přepsat vytvořením směrovací tabulky a jejím přidružením k podsíti. Mezi běžné důvody přepsání výchozího směrování Azure patří:

• Chcete, aby provoz mezi podsítěmi procházel síťovým virtuálním zařízením. Přečtěte si další informace o tom, jak nakonfigurovat směrovací tabulky tak, aby vynutily provoz přes síťové virtuální zařízení.
• Chcete vynutit veškerý internetový provoz přes síťové virtuální zařízení nebo místní provoz prostřednictvím brány Azure VPN. Vynucení internetového provozu místně pro kontrolu a protokolování se často označuje jako vynucené tunelování. Přečtěte si další informace o tom, jak nakonfigurovat vynucené tunelování.

Pokud potřebujete implementovat vlastní směrování, doporučujeme seznámit se se směrováním v Azure.

Připojení

Virtuální síť můžete připojit k jiným virtuálním sítím pomocí partnerského vztahu virtuálních sítí nebo k místní síti pomocí brány Azure VPN.

Peering

Při použití partnerského vztahu virtuálních sítí můžete mít virtuální sítě ve stejných nebo různých podporovaných oblastech Azure. Virtuální sítě můžete mít ve stejném nebo jiném předplatném Azure (dokonce i předplatná, která patří do různých tenantů Microsoft Entra).

Před vytvořením partnerského vztahu doporučujeme seznámit se se všemi požadavky a omezeními partnerského vztahu. Šířka pásma mezi prostředky ve virtuálníchsítích

VPN Gateway

Bránu Azure VPN můžete použít k připojení virtuální sítě k místní síti pomocí sítě VPN typu site-to-site nebo vyhrazeného připojení s Azure ExpressRoute.

Partnerský vztah a bránu VPN můžete zkombinovat a vytvořit hvězdicové sítě, kde se paprskové virtuální sítě připojují k centrální virtuální síti a rozbočovač se například připojí k místní síti.

Překlad adres IP

Prostředky v jedné virtuální síti nemůžou překládat názvy prostředků v partnerské virtuální síti pomocí integrovaného systému DNS (Domain Name System) Azure. Pokud chcete přeložit názvy v partnerské virtuální síti, nasaďte vlastní server DNS nebo použijte privátní domény Azure DNS. Překlad názvů mezi prostředky ve virtuální síti a místními sítěmi vyžaduje také nasazení vlastního serveru DNS.

Oprávnění

Azure používá řízení přístupu na základě role v Azure. Oprávnění se přiřazují k oboru v hierarchii skupiny pro správu, předplatného, skupiny prostředků a jednotlivých prostředků. Další informace o hierarchii najdete v tématu Uspořádání prostředků.

Pokud chcete pracovat s virtuálními sítěmi Azure a všemi jejich souvisejícími funkcemi, jako jsou partnerské vztahy, skupiny zabezpečení sítě, koncové body služeb a směrovací tabulky, přiřaďte členy vaší organizace k předdefinovaným rolím Vlastník, Přispěvatel nebo Přispěvatel sítě. Pak přiřaďte roli k příslušnému oboru. Pokud chcete přiřadit konkrétní oprávnění pro podmnožinu funkcí virtuální sítě, vytvořte vlastní roli a přiřaďte konkrétní oprávnění požadovaná pro:

• Virtuální sítě
• Podsítě a koncové body služby
• Síťová rozhraní
• Zírání
• Skupiny zabezpečení sítě a aplikací
• Směrovací tabulky

Zásady

Pomocí služby Azure Policy můžete vytvářet, přiřazovat a spravovat definice zásad. Definice zásad vynucují pro vaše prostředky různá pravidla, takže prostředky zůstanou v souladu se standardy vaší organizace a smlouvami o úrovni služeb. Azure Policy spouští vyhodnocení vašich prostředků. Vyhledá prostředky, které nevyhovují definicím zásad, které máte.

Můžete například definovat a použít zásadu, která umožňuje vytváření virtuálních sítí pouze v konkrétní skupině prostředků nebo oblasti. Další zásada může vyžadovat, aby každá podsíť má přidruženou skupinu zabezpečení sítě. Zásady se pak vyhodnocují při vytváření a aktualizaci prostředků.

Zásady se použijí na následující hierarchii: skupina pro správu, předplatné a skupina prostředků. Přečtěte si další informace o službě Azure Policy nebo nasaďte některé definice služby Azure Policy virtuální sítě.

Související obsah

Přečtěte si o všech úkolech, nastaveních a možnostech pro:

• Virtuální síť
• Podsíť a koncový bod služby
• Síťové rozhraní
• Zírání
• Skupina zabezpečení sítě a aplikací
• Směrovací tabulka