Popis virtuálních sítí Azure
Virtuální sítě a virtuální podsítě Azure umožňují prostředkům Azure, jako jsou virtuální počítače, webové aplikace a databáze, vzájemně komunikovat, s uživateli na internetu a s místními klientskými počítači. Síť Azure si můžete představit jako rozšíření místní sítě s prostředky, které propojují další prostředky Azure.
Virtuální sítě Azure poskytují následující klíčové možnosti sítě:
- Izolace a segmentace
- Internetová komunikace
- Komunikace mezi prostředky Azure
- Komunikace s místními prostředky
- Směrování síťového provozu
- Filtrování provozu sítě
- Propojení virtuálních sítí
Virtuální sítě Azure podporují veřejné i privátní koncové body, které umožňují komunikaci mezi externími nebo interními prostředky s jinými interními prostředky.
- Veřejné koncové body mají veřejnou IP adresu a dají se k němu přistupovat odkudkoli na světě.
- Privátní koncové body existují ve virtuální síti a mají privátní IP adresu z adresního prostoru této virtuální sítě.
Izolace a segmentace
Virtuální síť Azure umožňuje vytvořit několik izolovaných virtuálních sítí. Při nastavování virtuální sítě definujete privátní adresní prostor IP adres s využitím rozsahů veřejných nebo privátních IP adres. Rozsah IP adres existuje pouze ve virtuální síti a není směrovatelný na internetu. Tento adresní prostor IP adres můžete rozdělit na podsítě a každé podsíti přiřadit část definovaného adresního prostoru.
K překladu ip adres můžete použít službu překladu ip adres integrovanou do Azure. Virtuální síť můžete také nakonfigurovat tak, aby používala interní nebo externí server DNS.
Internetová komunikace
Příchozí připojení z internetu můžete povolit přiřazením veřejné IP adresy k prostředku Azure nebo umístěním prostředku za veřejný nástroj pro vyrovnávání zatížení.
Komunikace mezi prostředky Azure
Chcete povolit, aby prostředky Azure mohly mezi sebou bezpečně komunikovat. Můžete to provést dvěma způsoby:
- Virtuální sítě můžou propojit nejen virtuální počítače, ale i další prostředky Azure, jako jsou App Service Environment pro Power Apps, Azure Kubernetes Service a škálovací sady virtuálních počítačů Azure.
- Koncové body služby se můžou připojit k jiným typům prostředků Azure, jako jsou databáze Azure SQL a účty úložiště. Tento přístup vám umožní propojit s virtuálními sítěmi více prostředků Azure a tím zlepšit zabezpečení a zajistit optimální směrování mezi prostředky.
Komunikace s místními prostředky
Virtuální sítě Azure umožňují vzájemně propojit prostředky ve vašem místním prostředí a v rámci vašeho předplatného Azure. Můžete tak vytvořit síť zahrnující místní i cloudové prostředí. Těchto možností připojení můžete dosáhnout třemi způsoby:
- Připojení virtuální privátní sítě typu point-to-site pocházejí z počítače mimo vaši organizaci zpět do podnikové sítě. V tomto případě klientský počítač zahájí šifrované připojení VPN pro připojení k virtuální síti Azure.
- Virtuální privátní sítě typu Site-to-Site propojují místní zařízení VPN nebo bránu s bránou Azure VPN Gateway ve virtuální síti. Díky tomu zařízení v Azure vypadají, jako by byla v místní síti. Připojení je šifrované a funguje přes internet.
- Azure ExpressRoute poskytuje vyhrazené privátní připojení k Azure, které neprochází přes internet. ExpressRoute je užitečný pro prostředí, kde potřebujete větší šířku pásma a ještě vyšší úroveň zabezpečení.
Směrování síťového provozu
Ve výchozím nastavení Azure směruje provoz mezi podsítěmi v jakékoli propojené virtuální nebo místní síti a internetem. Směrování můžete řídit a můžete také přepsat nastavení následujícím způsobem:
- Směrovací tabulky umožňují definovat pravidla týkající se směrování provozu. Můžete vytvářet vlastní směrovací tabulky řídící způsob směrování paketů mezi podsítěmi.
- Protokol BGP (Border Gateway Protocol) funguje s bránami Azure VPN, Azure Route Serverem nebo Azure ExpressRoute k šíření místních tras protokolu BGP do virtuálních sítí Azure.
Filtrování provozu sítě
Virtuální sítě Azure umožňují filtrovat provoz mezi podsítěmi pomocí následujících postupů:
- Skupiny zabezpečení sítě jsou prostředky Azure, které můžou obsahovat několik příchozích a odchozích pravidel zabezpečení. Tato pravidla můžete definovat tak, aby povolovala nebo blokovala provoz na základě faktorů, jako jsou zdrojová a cílová IP adresa, port a protokol.
- Síťová virtuální zařízení jsou specializované virtuální počítače, které je možné porovnat s posíleným síťovým zařízením. Síťové virtuální zařízení provádí konkrétní síťovou funkci, jako je provozování brány firewall nebo optimalizace sítě WAN (Wide Area Network).
Propojení virtuálních sítí
Virtuální sítě mezi sebou můžete propojit pomocí partnerského vztahu virtuálních sítí. Peering umožňuje, aby se dvě virtuální sítě vzájemně připojily přímo. Síťový provoz mezi partnerskými sítěmi je soukromý a cestuje do páteřní sítě Microsoftu a nikdy nezachází do veřejného internetu. Partnerský vztah umožňuje vzájemnou komunikaci prostředků v jednotlivých virtuálních sítích. Tyto virtuální sítě můžou být v samostatných oblastech. Tato funkce umožňuje vytvořit globální propojenou síť prostřednictvím Azure.
Trasy definované uživatelem umožňují řídit směrovací tabulky mezi podsítěmi ve virtuální síti nebo mezi virtuálními sítěmi. To umožňuje větší kontrolu nad tokem síťového provozu.