Prozkoumání virtuálních sítí Azure
Máte místní datacentrum, které plánujete zachovat, ale chcete pomocí Azure přesměrovat provoz ve špičce pomocí virtuálních počítačů hostovaných v Azure. Chcete zachovat stávající schéma přidělování IP adres a síťová zařízení a zároveň zajistit zabezpečení přenosu dat.
Co jsou virtuální sítě Azure?
virtuální sítě Azure umožňují prostředkům Azure, jako jsou virtuální počítače, webové aplikace a databáze, komunikovat mezi sebou, uživatelé na internetu a místní klientské počítače. Síť Azure si můžete představit jako sadu prostředků, které propojí další prostředky Azure.
Virtuální sítě Azure poskytují klíčové síťové funkce:
- Izolace a segmentace
- Internetová komunikace
- Komunikace mezi prostředky Azure
- Komunikujte s místními prostředky
- Směrování síťového provozu
- Filtrování síťového provozu
- Připojení virtuálních sítí
Izolace a segmentace
Azure umožňuje vytvářet několik izolovaných virtuálních sítí. Při nastavování virtuální sítě definujete privátní adresní prostor IP (Internet Protocol) pomocí rozsahů veřejných nebo privátních IP adres. Tento adresní prostor IP adres pak můžete segmentovat do podsítí a přidělit část definovaného adresního prostoru každé pojmenované podsíti.
Pro překlad názvů můžete použít službu překladu ip adres, která je integrovaná v Azure, nebo můžete virtuální síť nakonfigurovat tak, aby používala interní nebo externí server DNS (Domain Name System).
Internetová komunikace
Virtuální počítač v Azure se ve výchozím nastavení může připojit k internetu. Příchozí připojení z internetu můžete povolit definováním veřejné IP adresy nebo veřejného nástroje pro vyrovnávání zatížení. Ke správě virtuálních počítačů se můžete připojit přes Azure CLI, protokol RDP (Remote Desktop Protocol) nebo Secure Shell (SSH).
Komunikace mezi prostředky Azure
Budete chtít povolit, aby prostředky Azure mohly mezi sebou bezpečně komunikovat. Můžete to udělat jedním ze dvou způsobů:
virtuální sítě
Virtuální sítě se můžou připojovat nejen k virtuálním počítačům, ale i dalším prostředkům Azure, jako jsou App Service Environment, Azure Kubernetes Service a škálovací sady virtuálních počítačů Azure.
koncové body služby
Koncové body služby můžete použít k připojení k jiným typům prostředků Azure, jako jsou databáze Azure SQL a účty úložiště. Tento přístup umožňuje propojit více prostředků Azure s virtuálními sítěmi, což zlepšuje zabezpečení a zajišťuje optimální směrování mezi prostředky.
Komunikace s místními prostředky
Virtuální sítě Azure umožňují propojit prostředky v místním prostředí a v rámci vašeho předplatného Azure a vytvořit síť, která zahrnuje místní i cloudová prostředí. K dosažení tohoto připojení můžete použít tři mechanismy:
virtuální privátní sítě typu point-to-site
Tento přístup se podobá připojení virtuální privátní sítě (VPN), které počítač mimo vaši organizaci vytváří zpět do podnikové sítě, s tím rozdílem, že pracuje v opačném směru. V tomto případě klientský počítač zahájí šifrované připojení VPN k Azure a připojí tento počítač k virtuální síti Azure.
Virtuální privátní sítě typu site-to-site Síť VPN typu site-to-site propojuje vaše místní zařízení nebo bránu VPN s bránou Azure VPN ve virtuální síti. Zařízení v Azure se pak můžou zobrazovat jako v místní síti. Připojení je šifrované a funguje přes internet.
Azure ExpressRoute
Pro prostředí, kde potřebujete větší šířku pásma a ještě vyšší úroveň zabezpečení, je nejlepším přístupem Azure ExpressRoute. Azure ExpressRoute poskytuje vyhrazené privátní připojení k Azure, které neprochází přes internet.
Směrování síťového provozu
Azure ve výchozím nastavení bude směrovat provoz mezi podsítěmi ve všech připojených virtuálních sítích, místních sítích a internetu. Můžete ale řídit směrování a přepsat tato nastavení následujícím způsobem:
směrovací tabulky
Směrovací tabulka umožňuje definovat pravidla pro směrování provozu. Můžete vytvořit vlastní směrovací tabulky, které řídí směrování paketů mezi podsítěmi.
Border Gateway Protocol
Protokol BGP (Border Gateway Protocol) spolupracuje s bránami Azure VPN nebo ExpressRoute a šíří místní trasy protokolu BGP do virtuálních sítí Azure.
Filtrování síťového provozu
Virtuální sítě Azure umožňují filtrovat provoz mezi podsítěmi pomocí následujících přístupů:
skupiny zabezpečení sítě
Skupina zabezpečení sítě (NSG) je prostředek Azure, který může obsahovat více příchozích a odchozích pravidel zabezpečení. Tato pravidla můžete definovat tak, aby povolovala nebo blokovala provoz na základě faktorů, jako jsou zdrojová a cílová IP adresa, port a protokol.
Síťové virtuální zařízení
Síťové virtuální zařízení je specializovaný virtuální počítač, který je možné porovnat s posíleným síťovým zařízením. Síťové virtuální zařízení provádí konkrétní síťovou funkci, jako je spuštění brány firewall nebo optimalizace sítě WAN.
Připojení virtuálních sítí
Virtuální sítě můžete propojit pomocí propojení virtuálních sítí . Peering umožňuje vzájemné komunikaci prostředků v jednotlivých virtuálních sítích. Tyto virtuální sítě můžou být v samostatných oblastech, což vám umožní vytvořit globální propojenou síť prostřednictvím Azure.
Nastavení virtuální sítě Azure
Virtuální sítě Azure můžete vytvářet a konfigurovat z webu Azure Portal, Azure PowerShellu na místním počítači nebo v Azure Cloud Shellu.
Vytvoření virtuální sítě
Při vytváření virtuální sítě Azure nakonfigurujete mnoho základních nastavení. Můžete také nakonfigurovat upřesňující nastavení, jako je několik podsítí, ochrana před útoky DDoS (Distributed Denial of Service) a koncové body služby.
Pro základní virtuální síť nakonfigurujete následující nastavení:
název sítě
Název sítě musí být ve vašem předplatném jedinečný, ale nemusí být globálně jedinečný. Pojmenujte popisný název, který je snadno zapamatovatelný a identifikovaný z jiných virtuálních sítí.
adresní prostor
Při nastavování virtuální sítě definujete interní adresní prostor ve formátu CIDR (Classless Inter-Domain Routing). Tento adresní prostor musí být v rámci vašeho předplatného a všech ostatních sítí, ke kterým se připojujete, jedinečný.
Předpokládejme, že pro svou první virtuální síť zvolíte adresní prostor 10.0.0.0/24. Adresy definované v tomto adresního prostoru jsou v rozsahu od 10.0.0.1 do 10.0.0.254. Pak vytvoříte druhou virtuální síť a zvolíte adresní prostor 10.0.0.0/8. Adresa v tomto adresního prostoru je v rozsahu od 10.0.0.1 do 10.255.255.254. Některé adresy se překrývají a nelze je použít pro dvě virtuální sítě.
Můžete však použít 10.0.0.0/16, s adresami od 10.0.0.1 do 10.0.255.254 a 10.1.0.0/16 s adresami od 10.1.0.1-10.1.255.254. Tyto adresní prostory můžete přiřadit virtuálním sítím, protože se nepřekrývají žádné adresy.
Poznámka
Po vytvoření virtuální sítě můžete přidat adresní prostory.
Předplatné
Platí jenom v případě, že máte více předplatných, ze kterých si můžete vybrat.
Skupina prostředků
Stejně jako jakýkoli jiný prostředek Azure musí virtuální síť existovat ve skupině prostředků. Můžete buď vybrat existující skupinu prostředků, nebo vytvořit novou.
umístění
Vyberte umístění, ve kterém má virtuální síť existovat.
podsítě
V rámci každého rozsahu adres virtuální sítě můžete vytvořit jednu nebo více podsítí, které rozdělí adresní prostor virtuální sítě. Směrování mezi podsítěmi pak závisí na výchozích trasách provozu nebo můžete definovat vlastní trasy. Alternativně můžete definovat jednu podsíť, která zahrnuje všechny rozsahy adres virtuálních sítí.
Poznámka
Názvy podsítí musí začínat písmenem nebo číslem, končí písmenem, číslem nebo podtržítkem a mohou obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky.
ochrany před distribuovaným odepřením služby (DDoS)
Můžete vybrat ochranu před útoky DDoS úrovně Basic nebo Standard. Služba DDoS Protection úrovně Standard je prémiová služba. azure DDoS Protection poskytuje další informace o službě DDoS Protection.
Koncové body služby
Tady povolíte koncové body služby a pak vyberete ze seznamu, které koncové body služby Azure chcete povolit. Mezi možnosti patří Azure Cosmos DB, Azure Service Bus, Azure Key Vault atd.
Po nakonfigurování těchto nastavení vyberte Vytvořit.
Definování dalších nastavení
Po vytvoření virtuální sítě můžete definovat další nastavení. Mezi tato nastavení patří:
skupina zabezpečení sítě
Skupiny zabezpečení sítě mají pravidla zabezpečení, která umožňují filtrovat typ síťového provozu, který může proudit do podsítí virtuálních sítí a síťových rozhraní a z nich. Skupinu zabezpečení sítě vytvoříte samostatně a pak ji přidružíte k virtuální síti.
směrovací tabulka
Azure automaticky vytvoří směrovací tabulku pro každou podsíť ve virtuální síti Azure a přidá do tabulky systémové výchozí trasy. Můžete ale přidat vlastní směrovací tabulky pro úpravu provozu mezi virtuálními sítěmi.
Koncové body služby můžete také změnit.
Konfigurace virtuálních sítí
Po vytvoření virtuální sítě můžete na webu Azure Portal změnit další nastavení v podokně Virtuální sítě. Případně můžete ke změnám použít příkazy PowerShellu nebo příkazy v Cloud Shellu.
Nastavení pak můžete zkontrolovat a změnit v dalších dílčích podoknech. Mezi tato nastavení patří:
Adresní prostory: Do počáteční definice můžete přidat další adresní prostory.
Připojená zařízení: K připojení počítačů použijte virtuální síť.
Podsítě: Přidejte další podsítě.
Propojení: Propojte virtuální sítě pomocí peeringových uspořádání.
Můžete také monitorovat a řešit potíže s virtuálními sítěmi nebo vytvořit automatizační skript, který vygeneruje aktuální virtuální síť.
Virtuální sítě jsou výkonné a vysoce konfigurovatelné mechanismy pro připojení entit v Azure. Prostředky Azure můžete připojit k sobě navzájem nebo k prostředkům, které máte místně. Můžete izolovat, filtrovat a směrovat síťový provoz a Azure umožňuje zvýšit zabezpečení tam, kde ho potřebujete.