Prozkoumání virtuálních sítí Azure

  • 10 min

Virtuální sítě Azure jsou základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě umožňují vytvářet složité virtuální sítě, které se podobají místní síti, s dalšími výhodami infrastruktury Azure, jako je škálování, dostupnost a izolace.

Každá virtuální síť, kterou vytvoříte, má vlastní blok CIDR a dá se propojit s jinými virtuálními sítěmi a místními sítěmi, pokud se bloky CIDR nepřekrývají. Máte také kontrolu nad nastavením serveru DNS pro virtuální sítě a segmentací virtuální sítě do podsítí.

Možnosti virtuálních sítí Azure

Virtuální sítě Azure umožňují prostředkům v Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

  • Komunikace s internetem. Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Veřejnou IP adresu nebo veřejný Load Balancer můžete použít také ke správě odchozích připojení.
  • Komunikace mezi prostředky Azure Existují tři klíčové mechanismy, kterými může prostředek Azure komunikovat: virtuální sítě, koncové body služeb virtuální sítě a partnerský vztah virtuálních sítí. Virtuální sítě se můžou připojovat nejen k virtuálním počítačům, ale i dalším prostředkům Azure, jako jsou App Service Environment, Azure Kubernetes Service a Azure Virtual Machine Scale Sets. Pomocí koncových bodů služby se můžete připojit k dalším typům prostředků Azure, jako jsou databáze SQL Azure a účty úložiště. Když vytvoříte virtuální síť, můžou vaše služby a virtuální počítače ve vaší virtuální síti komunikovat přímo a bezpečně mezi sebou v cloudu.
  • Komunikace mezi místními prostředky Bezpečné rozšíření datového centra K virtuální síti můžete připojit místní počítače a sítě pomocí některé z následujících možností: virtuální privátní síť typu Point-to-Site (VPN), VPN typu Site-to-Site, Azure ExpressRoute.
  • Filtrování síťového provozu Síťový provoz mezi podsítěmi můžete filtrovat pomocí libovolné kombinace skupin zabezpečení sítě a síťových virtuálních zařízení.
  • Směrování síťového provozu Azure ve výchozím nastavení směruje provoz mezi podsítěmi, propojenými virtuálními sítěmi, místními sítěmi a internetem. K přepsání výchozích tras, které Azure vytvoří, můžete implementovat směrovací tabulky nebo trasy protokolu BGP (Border Gateway Protocol).

Aspekty návrhu pro virtuální sítě Azure

Adresní prostor a podsítě

Pro každé předplatné můžete vytvořit více virtuálních sítí. V rámci každé virtuální sítě můžete vytvořit více podsítí.

Virtuální sítě

Při vytváření virtuální sítě použijte výčty rozsahů adres v DOKUMENTU RFC 1918. Tyto adresy jsou určené pro privátní nesměrovatelné adresní prostory.

  • 10.0.0.0 – 10.255.255.255 (předpona 10/8)
  • 172.16.0.0 – 172.31.255.255 (předpona 172.16/12)
  • 192.168.0.0 – 192.168.255.255 (předpona 192.168/16)

Kromě toho nemůžete přidat následující rozsahy adres.

  • 224.0.0.0/4 (vícesměrové vysílání)
  • 255.255.255.255/32 (Vysílání)
  • 127.0.0.0/8 (zpětné smyčky)
  • 169.254.0.0/16 (link-local)
  • 168.63.129.16/32 (interní DNS)

Azure přiřazuje prostředkům ve virtuální síti privátní IP adresu z adresního prostoru, který zřídíte. Pokud například nasadíte virtuální počítač ve virtuální síti s adresní prostorem podsítě 192.168.1.0/24, přiřadí se virtuálnímu počítači privátní IP adresa, například 192.168.1.4. Azure si vyhrazuje první čtyři a poslední IP adresu pro celkem pět IP adres v rámci každé podsítě. Tyto adresy jsou x.x.x.x.0-x.x.x.3 a poslední adresa podsítě.

Rozsah IP adres 192.168.1.0/24 má například následující rezervované adresy:

  • 192.168.1.0
  • 192.168.1.1 (rezervováno Azure pro výchozí bránu.)
  • 192.168.1.2, 192.168.1.3 (Rezervováno Azure pro mapování IP adres DNS Azure do prostoru virtuální sítě.)
  • 192.168.1.255 (adresa vysílání sítě.)

Při plánování implementace virtuálních sítí je potřeba zvážit:

  • Ujistěte se, že se nepřekryvuje adresní prostory. Ujistěte se, že se adresní prostor virtuální sítě (blok CIDR) nepřekrývá s ostatními rozsahy sítě vaší organizace.
  • Vyžaduje se nějaká izolace zabezpečení?
  • Potřebujete zmírnit omezení přidělování IP adres?
  • Existují připojení mezi virtuálními sítěmi Azure a místními sítěmi?
  • Vyžaduje se nějaká izolace pro účely správy?
  • Používáte nějaké služby Azure, které vytvářejí vlastní virtuální sítě?

Podsítě

Podsíť je rozsah IP adres ve virtuální síti. Virtuální sítě můžete segmentovat do podsítí různých velikostí a vytvářet tolik podsítí, kolik potřebujete pro organizaci a zabezpečení v rámci limitu předplatného. Prostředky Azure pak můžete nasadit v konkrétní podsíti. Stejně jako v tradiční síti umožňují podsítě segmentovat adresní prostor virtuální sítě do segmentů, které jsou vhodné pro interní síť organizace. Nejmenší podporovaná podsíť IPv4 je /29 a největší je /2 (pomocí definic podsítě CIDR). Podsítě IPv6 musí mít velikost přesně /64. Při plánování implementace podsítí zvažte:

  • Každá podsíť musí mít jedinečný rozsah adres zadaný ve formátu CIDR (Classless Inter-Domain Routing).
  • Některé služby Azure vyžadují vlastní podsíť.
  • Podsítě je možné použít ke správě provozu. Můžete například vytvořit podsítě pro směrování provozu přes síťové virtuální zařízení.
  • Přístup k prostředkům Azure můžete omezit na konkrétní podsítě pomocí koncového bodu služby virtuální sítě. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné.

Určení konvence vytváření názvů

V rámci návrhu sítě Azure je důležité naplánovat zásady vytváření názvů pro vaše prostředky. Efektivní konvence vytváření názvů se skládá z důležitých informací o jednotlivých prostředcích. Dobře zvolený název vám pomůže rychle identifikovat typ prostředku, jeho přidruženou úlohu, prostředí nasazení a oblast Azure, která ho hostuje. Například prostředek veřejné IP adresy pro produkční úlohu SharePointu umístěný v oblasti USA – západ může být pip-sharepoint-prod-westus-001.

Diagram příkladu pojmenování prostředků

Všechny typy prostředků Azure mají obor, který definuje úroveň, kterou názvy prostředků musí být jedinečné. Prostředek musí mít v rámci svého oboru jedinečný název. Obor můžete zadat čtyřmi úrovněmi: skupina pro správu, předplatné, skupina prostředků a prostředek. Obory jsou hierarchické, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji.

Například virtuální síť má obor skupiny prostředků, což znamená, že v každé skupině prostředků může existovat pouze jedna síť s názvem vnet-prod-westus-001. Jiné skupiny prostředků můžou mít vlastní virtuální síť s názvem vnet-prod-westus-001. Podsítě jsou omezené na virtuální sítě, takže každá podsíť v rámci virtuální sítě musí mít jedinečný název.

Principy oblastí a předplatných

Všechny prostředky Azure se vytvářejí v oblasti a předplatném Azure. Prostředek lze vytvořit pouze ve virtuální síti, která existuje ve stejné oblasti a předplatném jako prostředek. Můžete ale propojit virtuální sítě, které existují v různých předplatných a oblastech. Oblasti Azure jsou důležité při návrhu sítě Azure ve vztahu k vaší infrastruktuře, datům, aplikacím a koncovým uživatelům.

V rámci každého předplatného můžete nasadit tolik virtuálních sítí, kolik potřebujete, až do limitu předplatného. Některé větší organizace s globálními nasazeními mají například několik virtuálních sítí propojených mezi oblastmi.

Diagram mapy světa znázorňující globální síť Azure

Zóny dostupnosti Azure

Zóna dostupnosti Azure umožňuje definovat jedinečná fyzická umístění v rámci oblasti. Každou zónu tvoří jedno nebo několik datacenter vybavených nezávislým napájením, chlazením a sítí. Navržené tak, aby zajistily vysokou dostupnost služeb Azure, fyzické oddělení Zóny dostupnosti v rámci oblasti chrání aplikace a data před selháním datacentra.

Diagram oblasti Azure zobrazující tři zóny dostupnosti

Při návrhu sítě Azure byste měli zvážit zóny dostupnosti a naplánovat služby, které podporují zóny dostupnosti.

Služby Azure, které podporují Zóny dostupnosti spadají do tří kategorií:

  • Zónové služby. Prostředky je možné připnout ke konkrétní zóně. Například virtuální počítače, spravované disky nebo standardní IP adresy je možné připnout ke konkrétní zóně. Toto plánování umožňuje zvýšit odolnost tím, že má jednu nebo více instancí prostředků rozložených mezi zóny.
  • Zónově redundantní služby. Prostředky se replikují nebo distribuují mezi zóny automaticky. Azure replikuje data napříč třemi zónami, aby selhání zóny nemělo vliv na její dostupnost.
  • Neregionální služby. Služba je dostupná z geografických oblastí Azure a je odolná vůči výpadkům na úrovni zóny.