Planowanie sieci wirtualnych

Tworzenie sieci wirtualnej do eksperymentowania z programem jest wystarczająco łatwe, ale prawdopodobnie wdrożysz wiele sieci wirtualnych w czasie, aby obsługiwać potrzeby produkcyjne organizacji. W przypadku planowania można wdrażać sieci wirtualne i łączyć potrzebne zasoby wydajniej. Informacje zawarte w tym artykule są najbardziej przydatne, jeśli znasz już sieci wirtualne i masz pewne doświadczenie w pracy z nimi. Jeśli nie znasz sieci wirtualnych, zalecamy zapoznanie się z omówieniem sieci wirtualnej.

Nazewnictwo

Wszystkie zasoby platformy Azure mają nazwę. Nazwa musi być unikatowa w zakresie, co może się różnić w zależności od typu zasobu. Na przykład nazwa sieci wirtualnej musi być unikatowa w grupie zasobów, ale można użyć zduplikowanych nazw w ramach subskrypcji lub regionu świadczenia usługi Azure. Definiowanie konwencji nazewnictwa, której można używać spójnie, gdy nazwy zasobów są przydatne podczas zarządzania kilkoma zasobami sieciowymi w czasie. Aby uzyskać sugestie, zobacz Konwencje nazewnictwa.

Regiony

Wszystkie zasoby platformy Azure są tworzone w regionie i subskrypcji platformy Azure. Zasób można utworzyć tylko w sieci wirtualnej, która istnieje w tym samym regionie i subskrypcji co zasób. Można jednak połączyć sieci wirtualne, które istnieją w różnych subskrypcjach i regionach. Aby uzyskać więcej informacji, zobacz Łączność. Podczas decydowania o regionach, w których mają być wdrażane zasoby, należy rozważyć, gdzie fizycznie znajdują się konsumenci zasobów:

• Czy masz małe opóźnienie sieci? Konsumenci zasobów zwykle chcą najmniejszego opóźnienia sieci w swoich zasobach. Aby określić względne opóźnienia między określoną lokalizacją a regionami platformy Azure, zobacz Wyświetlanie względnych opóźnień.
• Czy masz wymagania dotyczące rezydencji danych, niezależności, zgodności lub odporności? Jeśli tak, wybór regionu, który jest zgodny z wymaganiami, ma kluczowe znaczenie. Aby uzyskać więcej informacji, zobacz Lokalizacje geograficzne platformy Azure.
• Czy wymagana jest odporność w różnych strefach dostępności platformy Azure w tym samym regionie świadczenia usługi Azure dla wdrażanych zasobów? Zasoby, takie jak maszyny wirtualne, można wdrażać w różnych strefach dostępności w tej samej sieci wirtualnej. Nie wszystkie regiony świadczenia usługi Azure obsługują strefy dostępności. Aby dowiedzieć się więcej o strefach dostępności i regionach, które je obsługują, zobacz Strefy dostępności.

Subskrypcje

Można wdrożyć dowolną liczbę sieci wirtualnych zgodnie z wymaganiami w ramach każdej subskrypcji, maksymalnie do limitu. Niektóre organizacje mają różne subskrypcje dla różnych działów, na przykład. Aby uzyskać więcej informacji i uwagi dotyczące subskrypcji, zobacz Zarządzanie subskrypcjami.

Segmentacja

Można utworzyć wiele sieci wirtualnych na subskrypcję i region. W każdej sieci wirtualnej można utworzyć wiele podsieci. Poniższe zagadnienia ułatwiają określenie, ile sieci wirtualnych i podsieci jest potrzebnych.

Sieci wirtualne

Sieć wirtualna to wirtualna, izolowana część sieci publicznej platformy Azure. Każda sieć wirtualna jest dedykowana twojej subskrypcji. Jeśli zdecydujesz, czy utworzyć jedną sieć wirtualną, czy wiele sieci wirtualnych w ramach subskrypcji, należy wziąć pod uwagę następujące kwestie:

• Czy istnieją jakiekolwiek wymagania dotyczące zabezpieczeń organizacji dotyczące izolowania ruchu do oddzielnych sieci wirtualnych? Możesz wybrać połączenie sieci wirtualnych, a nie. W przypadku łączenia sieci wirtualnych można zaimplementować wirtualne urządzenie sieciowe, takie jak zapora, w celu kontrolowania przepływu ruchu między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz Zabezpieczenia i łączność.
• Czy istnieją jakiekolwiek wymagania organizacyjne dotyczące izolowania sieci wirtualnych do oddzielnych subskrypcji lub regionów?
• Czy masz wymagania dotyczące interfejsu sieciowego? Interfejs sieciowy umożliwia maszynie wirtualnej komunikowanie się z innymi zasobami. Każdy interfejs sieciowy ma przypisany co najmniej jeden prywatny adres IP. Ile interfejsów sieciowych i prywatnych adresów IP jest potrzebnych w sieci wirtualnej? Istnieją ograniczenia dotyczące liczby interfejsów sieciowych i prywatnych adresów IP, które można mieć w sieci wirtualnej.
• Czy chcesz połączyć sieć wirtualną z inną siecią wirtualną lub siecią lokalną? Możesz zdecydować się na połączenie niektórych sieci wirtualnych ze sobą lub sieciami lokalnymi, ale nie z innymi. Aby uzyskać więcej informacji, zobacz Łączność. Każda sieć wirtualna łącząca się z inną siecią wirtualną lub siecią lokalną musi mieć unikatową przestrzeń adresową. Każda sieć wirtualna ma co najmniej jeden zakres adresów publicznych lub prywatnych przypisanych do swojej przestrzeni adresowej. Zakres adresów jest określony w formacie CIDR (Classless Internet Domain Routing), takim jak 10.0.0.0/16. Dowiedz się więcej o zakresach adresów dla sieci wirtualnych.
• Czy masz jakiekolwiek wymagania dotyczące administracji organizacyjnej dla zasobów w różnych sieciach wirtualnych? Jeśli tak, możesz oddzielić zasoby od oddzielnych sieci wirtualnych, aby uprościć przypisywanie uprawnień osobom w organizacji lub przypisać różne zasady do różnych sieci wirtualnych.
• Czy masz wymagania dotyczące zasobów, które mogą tworzyć własną sieć wirtualną? Podczas wdrażania niektórych zasobów usługi platformy Azure w sieci wirtualnej tworzą własną sieć wirtualną. Aby określić, czy usługa platformy Azure tworzy własną sieć wirtualną, zobacz informacje dotyczące każdej usługi platformy Azure, którą można wdrożyć w sieci wirtualnej.

Podsieci

Sieć wirtualną można podzielić na maksymalnie jedną podsiecię. Jeśli zdecydujesz, czy utworzyć jedną podsieć, czy wiele sieci wirtualnych w ramach subskrypcji, należy wziąć pod uwagę następujące kwestie:

• Mają unikatowy zakres adresów dla każdej podsieci określonej w formacie CIDR w przestrzeni adresowej sieci wirtualnej. Zakres adresów nie może nakładać się na inne podsieci w sieci wirtualnej.
• Należy pamiętać, że jeśli planujesz wdrożyć niektóre zasoby usługi platformy Azure w sieci wirtualnej, mogą wymagać lub utworzyć własną podsieć. Aby to zrobić, musi być wystarczająca ilość miejsca bez przydziału. Aby określić, czy usługa platformy Azure tworzy własną podsieć, zobacz informacje dotyczące każdej usługi platformy Azure, którą można wdrożyć w sieci wirtualnej. Jeśli na przykład połączysz sieć wirtualną z siecią lokalną przy użyciu bramy sieci VPN platformy Azure, sieć wirtualna musi mieć dedykowaną podsieć dla bramy. Dowiedz się więcej o podsieciach bramy.
• Zastąpij domyślny routing dla ruchu sieciowego między wszystkimi podsieciami w sieci wirtualnej. Chcesz uniemożliwić routing platformy Azure między podsieciami lub kierować ruch między podsieciami za pośrednictwem wirtualnego urządzenia sieciowego, na przykład. Jeśli potrzebujesz, aby ruch między zasobami w tej samej sieci wirtualnej przepływał za pośrednictwem wirtualnego urządzenia sieciowego (WUS), wdróż zasoby w różnych podsieciach. Dowiedz się więcej w temacie Zabezpieczenia.
• Ogranicz dostęp do zasobów platformy Azure, takich jak konto usługi Azure Storage lub usługa Azure SQL Database, do określonych podsieci z punktem końcowym usługi sieci wirtualnej. Możesz również odmówić dostępu do zasobów z Internetu. Możesz utworzyć wiele podsieci i włączyć punkt końcowy usługi dla niektórych podsieci, ale nie innych. Dowiedz się więcej o punktach końcowych usługi i zasobach platformy Azure, dla których można je włączyć.
• Skojarz zero lub jedną sieciową grupę zabezpieczeń z każdą podsiecią w sieci wirtualnej. Tę samą lub inną sieciową grupę zabezpieczeń można skojarzyć z każdą podsiecią. Każda sieciowa grupa zabezpieczeń zawiera reguły, które zezwalają na ruch do źródeł i miejsc docelowych oraz zezwalają na ruch do i z nich. Dowiedz się więcej o sieciowych grupach zabezpieczeń.

Zabezpieczenia

Ruch sieciowy do i z zasobów w sieci wirtualnej można filtrować przy użyciu sieciowych grup zabezpieczeń i wirtualnych urządzeń sieciowych. Możesz kontrolować sposób kierowania ruchu przez platformę Azure z podsieci. Możesz również ograniczyć, kto w organizacji może pracować z zasobami w sieciach wirtualnych.

Filtrowanie ruchu

• Aby filtrować ruch sieciowy między zasobami w sieci wirtualnej, użyj sieciowej grupy zabezpieczeń, urządzenia WUS filtrujące ruch sieciowy lub oba te elementy. Aby wdrożyć urządzenie WUS, takie jak zapora, aby filtrować ruch sieciowy, zobacz Azure Marketplace. W przypadku korzystania z urządzenia WUS tworzysz również trasy niestandardowe do kierowania ruchu z podsieci do urządzenia WUS. Dowiedz się więcej o routingu ruchu.
• Sieciowa grupa zabezpieczeń zawiera kilka domyślnych reguł zabezpieczeń, które zezwalają lub blokują ruch do lub z zasobów. Sieciową grupę zabezpieczeń można skojarzyć z interfejsem sieciowym, podsiecią, w której znajduje się interfejs sieciowy, lub oba te elementy. Aby uprościć zarządzanie regułami zabezpieczeń, zalecamy skojarzenie sieciowej grupy zabezpieczeń z poszczególnymi podsieciami, a nie z poszczególnymi interfejsami sieciowymi w podsieci, jeśli to możliwe.
• Jeśli różne maszyny wirtualne w podsieci wymagają zastosowania różnych reguł zabezpieczeń, możesz skojarzyć interfejs sieciowy na maszynie wirtualnej z co najmniej jedną grupą zabezpieczeń aplikacji. Reguła zabezpieczeń może określać grupę zabezpieczeń aplikacji w jej źródle, miejscu docelowym lub obu tych grupach. Ta reguła ma następnie zastosowanie tylko do interfejsów sieciowych, które są członkami grupy zabezpieczeń aplikacji. Dowiedz się więcej o sieciowych grupach zabezpieczeń i grupach zabezpieczeń aplikacji.
• Gdy sieciowa grupa zabezpieczeń jest skojarzona na poziomie podsieci, ma zastosowanie do wszystkich kontrolerów interfejsu sieciowego w podsieci, a nie tylko do ruchu pochodzącego spoza podsieci. Ruch między maszynami wirtualnymi zawartymi w podsieci może również mieć wpływ.
• Platforma Azure tworzy kilka domyślnych reguł zabezpieczeń w ramach każdej sieciowej grupy zabezpieczeń. Jedna reguła domyślna zezwala na przepływ całego ruchu między wszystkimi zasobami w sieci wirtualnej. Aby zastąpić to zachowanie, użyj sieciowych grup zabezpieczeń, niestandardowego routingu do kierowania ruchu do urządzenia WUS lub obu tych elementów. Zalecamy zapoznanie się ze wszystkimi domyślnymi regułami zabezpieczeń platformy Azure i zrozumienie sposobu stosowania reguł sieciowej grupy zabezpieczeń do zasobu.

Możesz wyświetlić przykładowe projekty implementowania sieci obwodowej (nazywanej również strefą DMZ) między platformą Azure i Internetem przy użyciu urządzenia WUS.

Routing ruchu

Platforma Azure tworzy kilka domyślnych tras dla ruchu wychodzącego z podsieci. Domyślny routing platformy Azure można zastąpić, tworząc tabelę tras i kojarząc ją z podsiecią. Typowe przyczyny zastąpienia domyślnego routingu platformy Azure to:

• Chcesz, aby ruch między podsieciami przepływł przez urządzenie WUS. Dowiedz się więcej na temat konfigurowania tabel tras w celu wymuszenia ruchu przez urządzenie WUS.
• Chcesz wymusić cały ruch związany z Internetem za pośrednictwem urządzenia WUS lub lokalnego za pośrednictwem bramy sieci VPN platformy Azure. Wymuszanie lokalnego ruchu internetowego na potrzeby inspekcji i rejestrowania jest często określane jako wymuszone tunelowanie. Dowiedz się więcej na temat konfigurowania wymuszonego tunelowania.

Jeśli musisz zaimplementować routing niestandardowy, zalecamy zapoznanie się z routingiem na platformie Azure.

Łączność

Sieć wirtualną można połączyć z innymi sieciami wirtualnymi przy użyciu komunikacji równorzędnej sieci wirtualnych lub z siecią lokalną przy użyciu bramy sieci VPN platformy Azure.

Komunikacja równorzędna

W przypadku korzystania z komunikacji równorzędnej sieci wirtualnych można mieć sieci wirtualne w tych samych lub różnych obsługiwanych regionach świadczenia usługi Azure. Sieci wirtualne można mieć w ramach tych samych lub różnych subskrypcji platformy Azure (nawet subskrypcji należących do różnych dzierżaw firmy Microsoft Entra).

Przed utworzeniem komunikacji równorzędnej zalecamy zapoznanie się ze wszystkimi wymaganiami i ograniczeniami komunikacji równorzędnej. Przepustowość między zasobami w sieciach wirtualnych równorzędnych w tym samym regionie jest taka sama jak w przypadku, gdy zasoby znajdowały się w tej samej sieci wirtualnej.

VPN Gateway

Brama sieci VPN platformy Azure umożliwia połączenie sieci wirtualnej z siecią lokalną przy użyciu sieci VPN typu lokacja-lokacja lub dedykowanego połączenia z usługą Azure ExpressRoute.

Możesz połączyć komunikację równorzędną i bramę sieci VPN w celu utworzenia sieci piasty i szprych, gdzie sieci wirtualne będące szprychami łączą się z siecią wirtualną piasty, a koncentrator łączy się z siecią lokalną, na przykład.

Rozpoznawanie nazw

Zasoby w jednej sieci wirtualnej nie mogą rozpoznawać nazw zasobów w równorzędnej sieci wirtualnej przy użyciu wbudowanego systemu nazw domen platformy Azure (DNS). Aby rozpoznać nazwy w równorzędnej sieci wirtualnej, wdróż własny serwer DNS lub użyj domen prywatnych usługi Azure DNS. Rozpoznawanie nazw między zasobami w sieci wirtualnej i sieciach lokalnych wymaga również wdrożenia własnego serwera DNS.

Uprawnienia

Platforma Azure używa kontroli dostępu opartej na rolach platformy Azure. Uprawnienia są przypisywane do zakresu w hierarchii grupy zarządzania, subskrypcji, grupy zasobów i poszczególnych zasobów. Aby dowiedzieć się więcej na temat hierarchii, zobacz Organizowanie zasobów.

Aby pracować z sieciami wirtualnymi platformy Azure i wszystkimi powiązanymi z nimi funkcjami, takimi jak komunikacja równorzędna, sieciowe grupy zabezpieczeń, punkty końcowe usługi i tabele tras, przypisz członków organizacji do wbudowanych ról Właściciel, Współautor lub Współautor sieci. Następnie przypisz rolę do odpowiedniego zakresu. Jeśli chcesz przypisać określone uprawnienia dla podzestawu możliwości sieci wirtualnej, utwórz rolę niestandardową i przypisz określone uprawnienia wymagane dla:

• Sieci wirtualne
• Podsieci i punkty końcowe usługi
• Interfejsy sieciowe
• Wpatrując się
• Grupy zabezpieczeń sieci i aplikacji
• Tabele tras

Zasady

Za pomocą usługi Azure Policy można tworzyć, przypisywać i zarządzać definicjami zasad. Definicje zasad wymuszają różne reguły dotyczące zasobów, dzięki czemu zasoby pozostają zgodne ze standardami organizacji i umowami dotyczącymi poziomu usług. Usługa Azure Policy uruchamia ocenę zasobów. Skanuje ona pod kątem zasobów, które nie są zgodne z definicjami zasad.

Można na przykład zdefiniować i zastosować zasady umożliwiające tworzenie sieci wirtualnych tylko w określonej grupie zasobów lub regionie. Inne zasady mogą wymagać, aby każda podsieć ma skojarzona sieciowa grupa zabezpieczeń. Zasady są następnie oceniane podczas tworzenia i aktualizowania zasobów.

Zasady są stosowane do następującej hierarchii: grupa zarządzania, subskrypcja i grupa zasobów. Dowiedz się więcej o usłudze Azure Policy lub wdróż definicje usługi Azure Policy w sieci wirtualnej.

Powiązana zawartość

Dowiedz się więcej o wszystkich zadaniach, ustawieniach i opcjach dla elementu:

• Sieć wirtualna
• Podsieć i punkt końcowy usługi
• Interfejs sieciowy
• Wpatrując się
• Grupa zabezpieczeń sieci i aplikacji
• Tabela tras