Поделиться через

Azure для сетевых инженеров

  • Статья

Будучи инженером, работающим с привычными сетями, при создании инфраструктуры вы имели дело с физическими ресурсами. Например, с маршрутизаторами, коммутаторами, кабелями и брандмауэрами. На логическом уровне вы настраивали виртуальную локальную сеть (виртуальную ЛС), протокол связующего дерева (STP) и протоколы маршрутизации (RIP, OSPF, BGP). Вы управляли сетью с помощью средств управления и интерфейса командной строки. Сети в облаке отличаются от логических конечных точек сети, а протоколы маршрутизации используются по минимуму. При настройке ресурсов и управлении ими в Azure вы будете работать с API для Azure Resource Manager, интерфейсом командной строки Azure и PowerShell. Вы начнете свое знакомство с облачными сетями с изучения сведений об основных клиентах сетей Azure.

Виртуальная сеть

При проектировании сети снизу вверх собирается ряд основных сведений. Речь идет о числе узлов, сетевых устройствах, количестве подсетей, маршрутизации между подсетями и доменах изоляции, таких как виртуальные локальные сети. Эти сведения помогают определять размер сети и устройства безопасности, а также создавать архитектуру в целях поддержки приложений и служб.

Когда планируется развернуть приложения и службы в Azure, вначале в Azure создается логическая граница, которая называется виртуальной сетью. Эта виртуальная сеть похожа на границу физической сети. Так как это виртуальная сеть, физическое оборудование не требуется. Но все равно нужно планировать такие логические объекты, как IP-адреса, IP-подсети, маршрутизацию и политики.

При создании виртуальной сети в Azure она предварительно настраивается. При этом выбирается диапазон IP-адресов (10.0.0.0/16). Этот диапазон не фиксирован, и можно определить собственный диапазон IP-адресов. Это касается как диапазона адресов IPv4, так и диапазона адресов IPv6. Диапазоны IP-адресов, определяемые для виртуальной сети, не объявляются в Интернете. Вы можете создать несколько подсетей на основе своего диапазона IP-адресов. Эти подсети будут использоваться для назначения IP-адресов интерфейсам виртуальной сети (виртуальным сетевым адаптерам). Первые четыре IP-адреса из каждой подсети зарезервированы, и их нельзя использовать для выделения IP-адресов. В общедоступном облаке нет такого понятия как "виртуальные локальные сети". Однако можно создать изоляцию в рамках виртуальной сети на основе определенных подсетей.

Можно либо создать одну крупную подсеть, охватывающую все адресное пространство виртуальной сети, либо создать несколько подсетей. Однако, если применяется шлюз виртуальной сети Azure, необходимо создать подсеть с именем "Подсеть шлюза". Эта подсеть будет использоваться в Azure для назначения IP-адресов шлюзам виртуальной сети.

Выделение IP

При назначении IP-адреса узлу вы фактически назначаете IP-адрес сетевой карте (сетевому адаптеру). В Azure сетевой карте можно назначить два типа IP-адресов.

  • Общедоступные IP-адреса, которые используются для входящего и исходящего подключения без преобразования сетевых адресов (NAT) к Интернету и другим ресурсам Azure, не подключенным к виртуальной сети. Для сетевого интерфейса общедоступные IP-адреса назначать необязательно. Общедоступные IP-адреса принадлежат пространству IP-адресов Майкрософт.
  • Частные IP-адреса, которые применяются для обмена данными с преобразованием сетевых адресов (NAT) в виртуальной сети, локальной сети и Интернете. Пространство IP-адресов, которое вы определили в виртуальной сети, считается частным, даже если вы настроили свое пространство IP-адресов так, чтобы оно было общедоступным. Корпорация Майкрософт не объявляет это пространство в Интернете. Виртуальная машина должна иметь по крайней мере один частный IP-адрес.

Как и в случае физических узлов или устройств, существует два способа выделения IP-адреса для ресурса: динамический и статический. В Azure по умолчанию применяется динамический метод выделения, когда IP-адрес выделяется при создании виртуальной машины или при запуске остановленной виртуальной машины. Если остановить или удалить виртуальную машину, IP-адрес освобождается. Чтобы IP-адрес виртуальной машины не изменялся, вы можете явным образом задать статический способ выделения. В рамках этого способа IP-адрес назначается немедленно, а освобождается только тогда, когда вы удаляете виртуальную машину или задаете динамический способ выделения.

Частные IP-адреса выделяются из подсетей, определенных в рамках виртуальной сети. В случае виртуальной машины выбирается подсеть для выделения IP-адресов. Если виртуальная машина содержит несколько сетевых карт, для каждой сетевой карты можно выбрать разную подсеть.

Маршрутизация

При создании виртуальной сети Azure создает для нее таблицу маршрутизации. Эта таблица маршрутизации содержит следующие типы маршрутов.

  • системные маршруты.
  • Маршруты подсети по умолчанию
  • Маршруты из других виртуальных сетей
  • маршруты BGP;
  • Маршруты конечной точки службы
  • Определяемые пользователем маршруты (UDR)

Когда виртуальная сеть создается впервые без определения каких-либо подсетей, в Azure создаются записи маршрутизации в таблице маршрутизации. Эти маршруты называются системными маршрутами. Системные маршруты определены в этом расположении. Эти маршруты нельзя изменить. Однако можно переопределить системные маршруты, настроив определяемые пользователем маршруты.

При создании одной или нескольких подсетей в виртуальной сети Azure создает записи по умолчанию в таблице маршрутизации, чтобы обеспечить связь между этими подсетями в пределах виртуальной сети. Эти маршруты можно изменять с помощью статических маршрутов, которые в Azure являются определяемыми пользователем маршрутами (UDR).

При создании пиринга между двумя виртуальными сетями добавляется маршрут для каждого диапазона адресов в адресном пространстве каждой из этих виртуальных сетей.

Если локальный сетевой шлюз обменивается маршрутами протокола пограничного шлюза (BGP) со шлюзом виртуальной сети Azure, маршрут добавляется для каждого маршрута, распространяемого из локального сетевого шлюза. Эти маршруты отображаются в таблице маршрутизации в качестве маршрутов BGP.

Когда вы включаете конечные точки службы, Azure добавляет в таблицу маршрутов общедоступные IP-адреса для определенных служб. Конечные точки службы включены для отдельных подсетей в пределах виртуальной сети. При включении конечной точки службы маршрут добавляется только в таблицу маршрутизации той подсети, которая принадлежит этой службе. При изменении адресов Azure автоматически управляет ими в таблице маршрутов.

Определяемые пользователем маршруты называются также пользовательскими маршрутами. Можно создавать маршруты UDR в Azure, чтобы переопределять системные маршруты Azure по умолчанию или добавлять дополнительные маршруты в таблицу маршрутизации подсети. В Azure создается таблица маршрутизации, которая затем связывается с несколькими подсетями в виртуальной сети.

При наличии конкурирующих записей в таблице маршрутизации следующий прыжок в Azure выбирается исходя из наиболее длинного префикса подобно тому, что происходит при использовании традиционных маршрутизаторов. Однако, если имеется несколько записей следующего прыжка с одинаковым префиксом адреса, маршруты в Azure выбираются по порядку следующим образом.

  1. Определяемые пользователем маршруты (UDR)
  2. маршруты BGP;
  3. системные маршруты.

Безопасность

Можно фильтровать входящий и исходящий сетевой трафик ресурсов в виртуальной сети с помощью групп безопасности сети. Можно также использовать виртуальные сетевые модули (NVA), такие как Брандмауэр Azure или брандмауэры других поставщиков. Кроме того, можно контролировать, как Azure маршрутизирует трафик из подсетей. Вы также можете ограничить количество сотрудников организации, которые могут работать с ресурсами в виртуальных сетях.

Группа безопасности сети содержит перечень правил списка управления доступом (ACL), которые разрешают или запрещают сетевой трафик к подсетям и сетевым интерфейсам (или и к тому, и к другому). Группы безопасности сети можно связать с подсетями или отдельными сетевыми интерфейсами, подключенными к подсети. Если группа безопасности сети связана с подсетью, правила списка управления доступом применяются ко всем виртуальным машинам в этой подсети. Кроме того, трафик к отдельному сетевому адаптеру можно ограничить, связав NSG непосредственно с сетевой картой.

Группы безопасности сети содержат два набора правил: для входящего и исходящего трафика. Приоритет для правила должен быть уникальным в пределах каждого набора. Каждое правило имеет свойства протокола, диапазоны исходных портов и портов назначения, префиксы адресов, направление трафика, приоритет и тип доступа. Все группы NSG содержат набор правил по умолчанию. Эти правила нельзя удалить, но у них самый низкий приоритет, поэтому их можно переопределить, создав другие правила.

Проверка

Маршруты в виртуальной сети

Созданные вами маршруты, маршруты по умолчанию Azure и все маршруты, распространяемые из локальной сети через VPN-шлюз Azure (если виртуальная сеть подключена к локальной сети) через протокол BGP, являются действующими маршрутами для всех сетевых интерфейсов в подсети. Эти действующие маршруты можно просмотреть, перейдя по адресу сетевой карты с помощью портала, PowerShell или интерфейса командной строки. Дополнительные сведения об эффективных маршрутах на сетевом адаптере см. в статье Get-AzEffectiveRouteTable.

группы сетевой безопасности;

Действующие правила безопасности, применяемые к сетевому интерфейсу, являются агрегированием правил, которые существуют в NSG, связанном с сетевым интерфейсом, и подсеть сетевого интерфейса находится в. Вы можете просмотреть все действующие правила безопасности из групп безопасности, применяемых к сетевым интерфейсам виртуальной машины, перейдя к сетевому адаптеру через портал, PowerShell или CLI.

Следующие шаги

Ознакомьтесь со сведениями о виртуальной сети.

Ознакомьтесь со сведениями о маршрутизации виртуальной сети.

Ознакомьтесь со сведениями о группах безопасности сети.