Poznawanie sieci wirtualnej platformy Azure

  • 10 min

Masz lokalne centrum danych, które chcesz zachować, ale chcesz za pomocą platformy Azure odciążyć szczytowe natężenie ruchu przy użyciu maszyn wirtualnych hostowanych na platformie Azure. Chcesz zachować istniejący schemat przydzielania adresów IP oraz urządzeń sieciowych przy jednoczesnym zapewnieniu bezpieczeństwa transferu danych.

Co to jest sieć wirtualna platformy Azure?

Sieć wirtualna platformy Azure umożliwia zasobom platformy Azure, takim jak maszyny wirtualne, aplikacje internetowe czy bazy danych, komunikowanie się między sobą, z użytkownikami w Internecie i z lokalnymi komputerami klienckimi. Sieć platformy Azure można traktować jako zestaw zasobów łączący inne zasoby platformy Azure.

Sieci wirtualne platformy Azure zapewniają następujące kluczowe możliwości sieciowe:

  • Izolacja i segmentacja
  • Komunikacja z Internetem
  • Komunikacja między zasobami platformy Azure
  • Komunikacja z zasobami lokalnymi
  • Routing ruchu sieciowego
  • Filtrowanie ruchu sieciowego
  • Łączenie sieci wirtualnych

Izolacja i segmentacja

Platforma Azure umożliwia tworzenie wielu izolowanych sieci wirtualnych. Po skonfigurowaniu sieci wirtualnej należy zdefiniować przestrzeń adresową protokołu IP przy użyciu zakresów publicznych lub prywatnych adresów IP. Następnie możesz podzielić przestrzeń adresów IP na podsieci i przydzielić część zdefiniowanej przestrzeni adresowej do każdej nazwanej podsieci.

Na potrzeby rozpoznawania nazw możesz użyć wbudowanej usługi rozpoznawania nazw platformy Azure lub możesz skonfigurować sieć wirtualną do używania wewnętrznego bądź zewnętrznego serwera DNS.

Komunikacja z Internetem

Maszyna wirtualna na platformie Azure może domyślnie łączyć się z Internetem. Możesz włączyć połączenia przychodzące z Internetu, definiując publiczny adres IP lub publiczny moduł równoważenia obciążenia. Na potrzeby zarządzania maszyną wirtualną możesz połączyć się za pośrednictwem interfejsu wiersza polecenia platformy Azure, protokołu RDP (Remote Desktop Protocol) lub protokołu SSH (Secure Shell).

Komunikacja między zasobami platformy Azure

Aby zasoby platformy Azure mogły się ze sobą bezpiecznie komunikować, należy je włączyć. Możesz to zrobić na dwa sposoby:

  • Sieci wirtualne

    Sieci wirtualne mogą łączyć nie tylko maszyny wirtualne, ale także inne zasoby platformy Azure, takie jak środowisko usługi App Service, usługa Azure Kubernetes Service i zestawy skalowania maszyn wirtualnych platformy Azure.

  • Punkty końcowe usługi

    Przy użyciu punktów końcowych usługi możesz nawiązywać połączenia z innymi typami zasobów platformy Azure, takimi jak bazy danych Azure SQL Database i konta magazynów. Takie podejście umożliwia połączenie wielu zasobów platformy Azure z sieciami wirtualnymi, a tym samym poprawę bezpieczeństwa oraz zapewnienie optymalnego routingu między zasobami.

Komunikacja z zasobami lokalnymi

Sieci wirtualne platformy Azure umożliwiają łączenie zasobów w środowisku lokalnym i w ramach subskrypcji platformy Azure, w wyniku czego powstaje sieć obejmująca zarówno środowisko lokalne, jak i środowisko chmury. Istnieją trzy mechanizmy umożliwiające osiągnięcie tego połączenia:

  • Wirtualne sieci prywatne punkt-lokacja

    To podejście jest jak połączenie wirtualnej sieci prywatnej (VPN), które komputer spoza Twojej organizacji nawiązuje z siecią firmową, ale tutaj działa to w przeciwnym kierunku. W tym przypadku komputer kliencki inicjuje szyfrowane połączenie sieci VPN z platformą Azure, które łączy ten komputer z siecią wirtualną platformy Azure.

  • Wirtualne sieci prywatne typu lokacja-lokacja Sieć VPN typu lokacja-lokacja łączy bramę lub lokalne urządzenie sieci VPN z bramą sieci VPN platformy Azure w sieci wirtualnej. W efekcie urządzenia na platformie Azure mogą być wyświetlane tak, jakby znajdowały się w sieci lokalnej. Połączenie jest szyfrowane i działa za pośrednictwem Internetu.

  • Azure ExpressRoute

    W środowiskach, w których potrzebna jest większa przepustowość i jeszcze wyższy poziom bezpieczeństwa, najlepszym rozwiązaniem jest usługa ExpressRoute. Usługa Azure ExpressRoute zapewnia dedykowaną prywatną łączność z platformą Azure, która nie podróżuje przez Internet.

Routing ruchu sieciowego

Domyślnie platforma Azure kieruje ruchem między podsieciami w obrębie dowolnych połączonych sieci wirtualnych, sieciami lokalnymi oraz Internetem. Możesz jednak sterować routingiem i zastąpić te ustawienia w następujący sposób:

  • Tabele tras

    Tabela tras umożliwia definiowanie reguł dotyczących sposobu kierowania ruchu. Możesz utworzyć niestandardowe tabele tras, które kontrolują sposób kierowania pakietów między podsieciami.

  • Protokół Border Gateway Protocol

    Protokół Border Gateway Protocol (BGP) współdziała z bramami sieci VPN platformy Azure lub usługą ExpressRoute w celu propagowania lokalnych tras BGP do sieci wirtualnych platformy Azure.

Filtrowanie ruchu sieciowego

Sieci wirtualne platformy Azure umożliwiają filtrowanie ruchu między podsieciami za pomocą następujących metod:

  • Sieciowe grupy zabezpieczeń

    Sieciowa grupa zabezpieczeń to zasób platformy Azure, który może zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Możesz zdefiniować te zasady tak, aby zezwalały na ruch lub go blokowały w zależności od czynników takich jak adres IP elementu źródłowego i docelowego, port oraz protokół.

  • Wirtualne urządzenia sieciowe

    Wirtualne urządzenie sieciowe jest wyspecjalizowaną maszyną wirtualną, którą można porównać do urządzenia sieciowego ze wzmocnionymi zabezpieczeniami. Wirtualne urządzenie sieciowe realizuje określoną funkcję sieciową, na przykład uruchamia zaporę lub wykonuje optymalizację sieci WAN.

Łączenie sieci wirtualnych

Sieci wirtualne można łączyć przy użyciu komunikacji równorzędnej sieci wirtualnych. Komunikacja równorzędna umożliwia zasobom w każdej sieci wirtualnej komunikowanie się ze sobą. Te sieci wirtualne mogą znajdować się w osobnych regionach, dzięki czemu za pośrednictwem platformy Azure możesz utworzyć globalnie połączoną sieć.

Ustawienia sieci wirtualnej platformy Azure

Sieci wirtualne platformy Azure możesz tworzyć i konfigurować z poziomu witryny Azure Portal, programu Azure PowerShell na komputerze lokalnym lub przy użyciu usługi Azure Cloud Shell.

Tworzenie sieci wirtualnej

Podczas tworzenia sieci wirtualnej platformy Azure konfigurujesz wiele podstawowych ustawień. Można również skonfigurować zaawansowane ustawienia, takie jak wiele podsieci, ochrona przed rozproszoną odmową usługi (DDoS) i punkty końcowe usługi.

Screenshot of the Azure portal showing an example of the Create virtual network pane fields.

Należy skonfigurować następujące ustawienia dla podstawowej sieci wirtualnej:

  • Nazwa sieci

    Nazwa sieci musi być unikatowa w subskrypcji, ale nie musi być globalnie unikatowa. Wprowadź nazwę, która będzie opisowa oraz łatwa do zapamiętania i odróżnienia od innych sieci wirtualnych.

  • Przestrzeń adresowa

    Podczas konfigurowania sieci wirtualnej należy zdefiniować wewnętrzną przestrzeń adresową w formacie Classless Inter-Domain Routing (CIDR). Ta przestrzeń adresowa musi być unikatowa w obrębie subskrypcji i innych sieci, z którymi się łączysz.

    Załóżmy, że wybierasz dla pierwszej sieci wirtualnej przestrzeń adresową 10.0.0.0/24. Adresy zdefiniowane w tej przestrzeni adresowej mieszczą się w zakresie od 10.0.0.1 – 10.0.0.254. Następnie utworzysz drugą sieć wirtualną i wybierz przestrzeń adresową 10.0.0.0/8. Adresy w tej przestrzeni adresowej mieszczą się w zakresie 10.0.0.1–10.255.255.254. Niektóre adresy nakładają się na siebie i nie można ich użyć dla dwóch sieci wirtualnych.

    Można jednak użyć 10.0.0.0/16, z adresami mieszczącymi się w zakresie 10.0.0.1 – 10.0.255.254, oraz 10.1.0.0/16, z adresami mieszczącymi się w zakresie 10.1.0.1 – 10.1.255.254. Te przestrzenie adresowe można przypisać do sieci wirtualnych, ponieważ adresy nie nakładają się na siebie.

    Uwaga

    Przestrzenie adresowe możesz dodać po utworzeniu sieci wirtualnej.

  • Subskrypcja

    Ma zastosowanie tylko wtedy, gdy masz wiele subskrypcji do wyboru.

  • Grupa zasobów:

    Podobnie jak inne zasoby platformy Azure sieć wirtualna musi istnieć w grupie zasobów. Możesz wybrać istniejącą grupę zasobów lub utworzyć nową.

  • Lokalizacja

    Wybierz lokalizację, w której ma istnieć sieć wirtualna.

  • Podsieć

    W obrębie każdego zakresu adresów sieci wirtualnej możesz utworzyć jedną lub więcej podsieci dzielących przestrzeń adresową sieci wirtualnej. Routing między podsieciami będzie wtedy zależny od domyślnych tras ruchu, ale możesz też zdefiniować trasy niestandardowe. Alternatywnie możesz zdefiniować jedną podsieć obejmującą wszystkie zakresy adresów sieci wirtualnej.

    Uwaga

    Nazwy podsieci muszą zaczynać się literą lub cyfrą, a kończyć literą, cyfrą lub znakiem podkreślenia oraz mogą zawierać litery, cyfry, znaki podkreślenia, kropki i łączniki.

  • Ochrona przed rozproszoną odmową usługi (DDoS)

    Możesz wybrać podstawową lub standardową ochronę przed atakami DDoS. Standardowa ochrona przed atakami DDoS jest usługą premium. Usługa Azure DDoS Protection zawiera więcej informacji na temat usługi DDoS Protection.

  • Punkty końcowe usługi

    W tym miejscu możesz włączyć punkty końcowe usługi, a następnie wybrać z listy, które punkty końcowe usługi platformy Azure mają być włączone. Dostępne opcje obejmują usługi Azure Cosmos DB, Azure Service Bus, Azure Key Vault i tak dalej.

Po skonfigurowaniu tych ustawień wybierz pozycję Utwórz.

Definiowanie innych ustawień

Po utworzeniu sieci wirtualnej możesz zdefiniować więcej ustawień. Do tych ustawień należą:

  • Sieciowa grupa zabezpieczeń

    Sieciowe grupy zabezpieczeń mają reguły zabezpieczeń umożliwiające filtrowanie typu ruchu sieciowego, który może wchodzić do podsieci sieci wirtualnej i interfejsów sieciowych oraz z nich wychodzić. Sieciową grupę zabezpieczeń należy utworzyć osobno, a następnie skojarzyć ją z siecią wirtualną.

  • Tabela tras

    Platforma Azure automatycznie tworzy tabelę tras dla każdej podsieci w sieci wirtualnej platformy Azure i dodaje domyślne trasy systemowe do tabeli. Możesz jednak dodać niestandardowe tabele tras, aby zmodyfikować ruch między sieciami wirtualnymi.

Możesz również zmienić punkty końcowe usługi.

Screenshot of the Azure portal showing an example pane for editing virtual network settings.

Konfigurowanie sieci wirtualnych

Po utworzeniu sieci wirtualnej możesz zmienić wszelkie dalsze ustawienia w okienku Sieci wirtualne w witrynie Azure Portal. Alternatywnie możesz wprowadzić zmiany przy użyciu poleceń programu PowerShell lub poleceń w usłudze Cloud Shell.

Screenshot of the Azure portal showing an example pane for configuring a virtual network.

Następnie możesz przejrzeć i zmienić ustawienia w kolejnych okienkach podrzędnych. Do tych ustawień należą:

  • Przestrzenie adresowe: możesz dodać kolejne przestrzenie adresowe do początkowej definicji.

  • Połączenie urządzenia: połącz maszyny przy użyciu sieci wirtualnej.

  • Podsieci: dodaj kolejne podsieci.

  • Komunikacja równorzędna: łączenie sieci wirtualnych w ustaleniach dotyczących komunikacji równorzędnej.

Możesz także monitorować sieci wirtualne i rozwiązywać związane z nimi problemy lub utworzyć skrypt automatyzacji, który wygeneruje bieżącą sieć wirtualną.

Sieci wirtualne to zaawansowane i w wysokim stopniu konfigurowalne mechanizmy łączenia jednostek na platformie Azure. Możesz połączyć zasoby platformy Azure ze sobą lub z zasobami, które masz lokalnie. Możesz izolować, filtrować i kierować ruch sieciowy, a platforma Azure umożliwia zwiększenie bezpieczeństwa tam, gdzie jest to potrzebne.