Informacje o sieci wirtualnej platformy Azure
Sieci wirtualne platformy Azure i podsieci wirtualne umożliwiają zasobom platformy Azure, takim jak maszyny wirtualne, aplikacje internetowe i bazy danych, komunikowanie się ze sobą, z użytkownikami w Internecie oraz z lokalnymi komputerami klienckimi. Sieć platformy Azure można traktować jako rozszerzenie sieci lokalnej z zasobami, które łączą inne zasoby platformy Azure.
Sieci wirtualne platformy Azure zapewniają następujące kluczowe możliwości sieciowe:
- Izolacja i segmentacja
- Komunikacja z Internetem
- Komunikacja między zasobami platformy Azure
- Komunikacja z zasobami lokalnymi
- Routing ruchu sieciowego
- Filtrowanie ruchu sieciowego
- Łączenie sieci wirtualnych
Sieć wirtualna platformy Azure obsługuje zarówno publiczne, jak i prywatne punkty końcowe, aby umożliwić komunikację między zasobami zewnętrznymi lub wewnętrznymi z innymi zasobami wewnętrznymi.
- Publiczne punkty końcowe mają publiczny adres IP i mogą być dostępne z dowolnego miejsca na świecie.
- Prywatne punkty końcowe istnieją w sieci wirtualnej i mają prywatny adres IP z przestrzeni adresowej tej sieci wirtualnej.
Izolacja i segmentacja
Sieć wirtualna platformy Azure umożliwia tworzenie wielu izolowanych sieci wirtualnych. Po skonfigurowaniu sieci wirtualnej należy zdefiniować przestrzeń adresową protokołu IP przy użyciu zakresów publicznych lub prywatnych adresów IP. Zakres adresów IP istnieje tylko w sieci wirtualnej i nie jest routingiem internetowym. Następnie możesz podzielić przestrzeń adresów IP na podsieci i przydzielić część zdefiniowanej przestrzeni adresowej do każdej nazwanej podsieci.
Na potrzeby rozpoznawania nazw można użyć usługi rozpoznawania nazw wbudowanej na platformie Azure. Możesz również skonfigurować sieć wirtualną do korzystania z wewnętrznego lub zewnętrznego serwera DNS.
Komunikacja z Internetem
Połączenia przychodzące z Internetu można włączyć, przypisując publiczny adres IP do zasobu platformy Azure lub umieszczając zasób za publicznym modułem równoważenia obciążenia.
Komunikacja między zasobami platformy Azure
Chcesz umożliwić zasobom platformy Azure bezpieczne komunikowanie się ze sobą. Możesz to zrobić na dwa sposoby:
- Sieci wirtualne mogą łączyć nie tylko maszyny wirtualne, ale także inne zasoby platformy Azure, takie jak środowisko App Service Environment dla usługi Power Apps, usługa Azure Kubernetes Service i zestawy skalowania maszyn wirtualnych platformy Azure.
- Punkty końcowe usługi mogą łączyć się z innymi typami zasobów platformy Azure, takimi jak bazy danych Azure SQL Database i konta magazynu. Takie podejście umożliwia połączenie wielu zasobów platformy Azure z sieciami wirtualnymi, a tym samym poprawę bezpieczeństwa oraz zapewnienie optymalnego routingu między zasobami.
Komunikacja z zasobami lokalnymi
Sieci wirtualne platformy Azure umożliwiają łączenie zasobów w środowisku lokalnym i w ramach subskrypcji platformy Azure. W wyniku można utworzyć sieć obejmującą zarówno środowisko lokalne, jak i środowisko chmury. Istnieją trzy mechanizmy umożliwiające osiągnięcie tego połączenia:
- Połączenia wirtualnej sieci prywatnej typu punkt-lokacja pochodzą z komputera spoza organizacji z powrotem do sieci firmowej. W takim przypadku komputer kliencki inicjuje zaszyfrowane połączenie sieci VPN w celu nawiązania połączenia z siecią wirtualną platformy Azure.
- Wirtualne sieci prywatne typu lokacja-lokacja łączą lokalne urządzenie sieci VPN lub bramę z bramą sieci VPN platformy Azure w sieci wirtualnej. W efekcie urządzenia na platformie Azure mogą być wyświetlane tak, jakby znajdowały się w sieci lokalnej. Połączenie jest szyfrowane i działa za pośrednictwem Internetu.
- Usługa Azure ExpressRoute zapewnia dedykowaną prywatną łączność z platformą Azure, która nie podróżuje przez Internet. Usługa ExpressRoute jest przydatna w środowiskach, w których potrzebna jest większa przepustowość, a nawet wyższy poziom zabezpieczeń.
Routing ruchu sieciowego
Domyślnie platforma Azure kieruje ruchem między podsieciami w obrębie dowolnych połączonych sieci wirtualnych, sieciami lokalnymi oraz Internetem. Możesz również sterować routingiem i zastąpić te ustawienia w następujący sposób:
- Tabele tras umożliwiają definiowanie reguł dotyczących kierowania ruchu. Możesz utworzyć niestandardowe tabele tras, które kontrolują sposób kierowania pakietów między podsieciami.
- Protokół BGP (Border Gateway Protocol) współpracuje z bramami sieci VPN platformy Azure, usługą Azure Route Server lub usługą Azure ExpressRoute w celu propagowania lokalnych tras protokołu BGP do sieci wirtualnych platformy Azure.
Filtrowanie ruchu sieciowego
Sieci wirtualne platformy Azure umożliwiają filtrowanie ruchu między podsieciami za pomocą następujących metod:
- Sieciowe grupy zabezpieczeń to zasoby platformy Azure, które mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Możesz zdefiniować te zasady tak, aby zezwalały na ruch lub go blokowały w zależności od czynników takich jak adres IP elementu źródłowego i docelowego, port oraz protokół.
- Wirtualne urządzenia sieciowe to wyspecjalizowane maszyny wirtualne, które można porównać do urządzenia sieciowego ze wzmocnionymi zabezpieczeniami. Wirtualne urządzenie sieciowe realizuje określoną funkcję sieciową, na przykład uruchamia zaporę lub wykonuje optymalizację sieci WAN (Wide Area Network).
Łączenie sieci wirtualnych
Sieci wirtualne można łączyć przy użyciu komunikacji równorzędnej sieci wirtualnych. Komunikacja równorzędna pozwala dwóm sieciom wirtualnym łączyć się bezpośrednio ze sobą. Ruch sieciowy między sieciami równorzędnymi jest prywatny i podróżuje w sieci szkieletowej firmy Microsoft, nigdy nie wchodzi do publicznego Internetu. Komunikacja równorzędna umożliwia zasobom w każdej sieci wirtualnej komunikowanie się ze sobą. Te sieci wirtualne mogą znajdować się w oddzielnych regionach. Ta funkcja umożliwia utworzenie globalnej sieci połączonej za pośrednictwem platformy Azure.
Trasy zdefiniowane przez użytkownika (UDR) umożliwiają kontrolowanie tabel routingu między podsieciami w sieci wirtualnej lub między sieciami wirtualnymi. Umożliwia to większą kontrolę nad przepływem ruchu sieciowego.