Планирование виртуальных сетей

Создание виртуальной сети для экспериментов достаточно просто, но вы, скорее всего, развертываете несколько виртуальных сетей со временем для поддержки рабочих потребностей вашей организации. При планировании можно развернуть виртуальные сети и подключить необходимые ресурсы более эффективно. Сведения в этой статье наиболее полезны, если вы уже работали с виртуальными сетям. Если вы не знакомы с виртуальными сетями, рекомендуется ознакомиться с обзором виртуальной сети.

Именование

Все ресурсы Azure имеют имена. Имя должно быть уникальным в пределах области, которая может отличаться для каждого типа ресурса. Например, имя виртуальной сети должно быть уникальным в группе ресурсов, но можно использовать повторяющееся имя в подписке или регионе Azure. Определение соглашения об именовании, которое можно использовать последовательно при использовании ресурсов имен при управлении несколькими сетевыми ресурсами с течением времени. Дополнительные рекомендации см. в статье, посвященной соглашениям об именовании.

Регионы

Все ресурсы Azure создаются в регионе или подписке Azure. Ресурс можно создать только в виртуальной сети, которая существует в том же регионе и подписке, что и ресурс. Но вы можете подключить виртуальные сети, которые существуют в разных подписках и регионах. Дополнительные сведения см. в разделе "Подключение". При выборе регионов, в которых развертываются ресурсы, рассмотрите расположение потребителей ресурсов:

• У вас низкая задержка в сети? Клиенты обычно хотят иметь минимальную задержку сети при взаимодействии с ресурсами. Сведения об определении относительной задержки между указанными расположениями и регионами Azure см. в этой статье.
• Если вы имеете определенные требования к хранению и независимости данных, соответствию нормам и устойчивости, критически важно выбрать регион, который соответствует требованиям. Дополнительные сведения см. в статье Географические области Azure.
• Требуется ли устойчивость между зонами доступности Azure в одном регионе Azure для развернутых ресурсов? Ресурсы, такие как виртуальные машины, можно развернуть в разных зонах доступности в одной виртуальной сети. Не все регионы Azure поддерживают зоны доступности. Дополнительные сведения о зонах доступности и регионах, которые их поддерживают, см. в этой статье.

Подписки

Вы можете развернуть любое количество виртуальных сетей, требуемых в рамках подписки, вплоть до предела. Например, некоторые организации используют разные подписки в разных отделах. Дополнительные сведения и рекомендации, связанные с подписками, см. в разделе Определение иерархии.

Сегментация (Segmentation)

Вы можете создать несколько виртуальных сетей в рамках одной подписки и одного региона. Каждая виртуальная сеть может иметь несколько подсетей. Следующие рекомендации помогут определить количество необходимых виртуальных сетей и подсетей.

Виртуальные сети

Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. Каждая виртуальная сеть выделяется для подписки. При выборе того, следует ли создать одну виртуальную сеть или несколько виртуальных сетей в подписке, рассмотрите следующие моменты:

• Имеются ли в организации требования к безопасности относительно разделения трафика по отдельным виртуальным сетям. Вы можете выбрать, следует ли подключать виртуальные сети. При подключении виртуальных сетей можно внедрить виртуальный сетевой модуль, например брандмауэр, который позволяет управлять потоком трафика между виртуальными сетями. Дополнительные сведения см. в разделе "Безопасность и подключение".
• Имеются ли в организации требования относительно разделения виртуальных сетей по отдельным подпискам или регионам.
• У вас есть требования к сетевому интерфейсу ? Сетевой интерфейс позволяет виртуальной машине взаимодействовать с другими ресурсами. Каждому сетевому интерфейсу назначается один или несколько частных IP-адресов. Количество сетевых интерфейсов или частных IP-адресов в виртуальной сети. Число сетевых интерфейсов и частных IP-адресов, которое можно иметь в виртуальной сети, ограничено.
• Необходимо ли подключить виртуальную сеть к другой виртуальной сети или к локальной сети. Возможно, вы решите подключить некоторые виртуальные сети друг к другу или локальным сетям, но не к другим. Дополнительные сведения см. в разделе "Подключение". Каждая виртуальная сеть, которая подключается к другой виртуальной сети или локальной сети, должна иметь уникальное адресное пространство. Пространству адресов каждой виртуальной сети назначено один или несколько общедоступных или частных диапазонов адресов. Диапазон адресов указывается в формате CIDR, например 10.0.0.0/16. Дополнительные сведения о диапазонах адресов виртуальных сетей см. здесь.
• Имеются ли в организации требования к администрированию ресурсов в разных виртуальных сетях. В этом случае можно разделить ресурсы на отдельные виртуальные сети, чтобы упростить назначение разрешений отдельным лицам в организации или назначить разные политики разным виртуальным сетям.
• У вас есть требования к ресурсам, которые могут создавать собственную виртуальную сеть? При развертывании в виртуальных сетях некоторые ресурсы службы Azure создают собственные виртуальные сети. Чтобы определить, создает ли служба Azure собственную виртуальную сеть, см. сведения для каждой службы Azure, которую можно развернуть в виртуальной сети.

подсети;

Вы можете сегментировать виртуальную сеть в одну или несколько подсетей до ограничений. При выборе того, следует ли создать одну подсеть или несколько виртуальных сетей в подписке, рассмотрите следующие моменты:

• Укажите уникальный диапазон адресов для каждой подсети, указанной в формате CIDR, в адресном пространстве виртуальной сети. Диапазон адресов не может перекрываться с другими подсетями в виртуальной сети.
• Помните, что если вы планируете развернуть некоторые ресурсы службы Azure в виртуальной сети, они могут потребоваться или создать собственную подсеть. Для этого должно быть достаточно нераспределенного пространства. Чтобы определить, создает ли служба Azure собственную подсеть, см. сведения для каждой службы Azure, которую можно развернуть в виртуальной сети. Например, если вы подключаете виртуальную сеть к локальной сети с помощью VPN-шлюза Azure, виртуальная сеть должна иметь выделенную подсеть для шлюза. Дополнительные сведения о подсетях шлюза см. здесь.
• Переопределите маршрутизацию по умолчанию для сетевого трафика между всеми подсетями в виртуальной сети. Вы хотите предотвратить маршрутизацию Azure между подсетями или маршрутизировать трафик между подсетями через сетевое виртуальное устройство, например. Если требуется, чтобы трафик между ресурсами в одной виртуальной сети проходит через сетевое виртуальное устройство (NVA), разверните ресурсы в разных подсетях. Дополнительные сведения см. в разделе "Безопасность".
• Ограничение доступа к ресурсам Azure, например учетной записи служба хранилища Azure или База данных SQL Azure, определенным подсетям с конечной точкой службы виртуальной сети. Вы также можете запретить доступ к ресурсам из Интернета. Можно создать несколько подсетей и включить конечную точку службы для некоторых подсетей, но не других. Узнайте больше о конечных точках служб и ресурсах Azure, для которых их можно включить.
• Свяжите ноль или одну группу безопасности сети с каждой подсетью в виртуальной сети. Ту же или другую группу безопасности сети можно связать с каждой подсетью. Каждая группа безопасности сети содержит правила, которые разрешают или запрещают входящий и исходящий трафик из источников и назначений. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

Безопасность

Сетевой трафик можно фильтровать из ресурсов в виртуальной сети с помощью групп безопасности сети и виртуальных сетевых устройств. Кроме того, можно контролировать, как Azure маршрутизирует трафик из подсетей. Вы также можете ограничить количество сотрудников организации, которые могут работать с ресурсами в виртуальных сетях.

Фильтрация трафика

• Чтобы фильтровать сетевой трафик между ресурсами в виртуальной сети, используйте группу безопасности сети, NVA, которая фильтрует сетевой трафик или оба. Чтобы развернуть NVA, например брандмауэр, для фильтрации сетевого трафика, см. в Azure Marketplace. При использовании NVA вы также создаете настраиваемые маршруты для маршрутизации трафика из подсетей в NVA. Дополнительные сведения о маршрутизации трафика см. здесь.
• Группа безопасности сети содержит несколько стандартных правил безопасности, которые разрешают или запрещают входящий и исходящий трафик ресурсов. Вы можете связать группу безопасности сети с сетевым интерфейсом, подсеть сетевого интерфейса или обоих. Чтобы упростить управление правилами безопасности, рекомендуется связать группу безопасности сети с отдельными подсетями, а не отдельными сетевыми интерфейсами в подсети по возможности.
• Если для разных виртуальных машин в подсети необходимо применить различные правила безопасности, вы можете связать сетевой интерфейс виртуальной машины с одной или несколькими группами безопасности приложения. Правило безопасности может указать группу безопасности приложения как в источнике, так и в назначении. Это правило применяется только к сетевым интерфейсам, которые являются членами группы безопасности приложений. Ознакомьтесь с дополнительными сведениями о группах безопасности сети и приложения.
• Если группа безопасности сети связана на уровне подсети, она применяется ко всем контроллерам сетевого интерфейса в подсети, а не только к трафику, исходящему извне подсети. Также может повлиять трафик между виртуальными машинами, содержащимися в подсети.
• Azure создает несколько стандартных правил безопасности в каждой группе безопасности сети. Одно стандартное правило разрешает передачу всего трафика между всеми ресурсами в виртуальной сети. Это поведение можно изменить с помощью групп безопасности сети, настраиваемой маршрутизации для перенаправления трафика в виртуальный сетевой модуль, или используя оба метода. Мы рекомендуем ознакомиться со всеми правилами безопасности Azure по умолчанию и понять, как правила группы безопасности сети применяются к ресурсу.

Примеры проектов для реализации сети периметра (также известной как DMZ) между Azure и Интернетом можно просмотреть с помощью NVA.

Маршрутизация трафика

Azure создает несколько стандартных маршрутов для исходящего трафика из подсети. Вы можете переопределить маршрутизацию По умолчанию Azure, создав таблицу маршрутов и связав ее с подсетью. Распространенными причинами переопределения маршрутизации по умолчанию Azure являются:

• Требуется, чтобы трафик между подсетями проходил через NVA. Дополнительные сведения о настройке таблиц маршрутов для принудительного трафика через NVA.
• Вы хотите принудительно принудительно использовать весь интернет-трафик через NVA или локальную сеть через VPN-шлюз Azure. Принудительная отправка интернет-трафика локально для проверки и ведения журнала часто называется принудительным туннелированием. Ознакомьтесь с подробными сведениями о настройке принудительного туннелирования.

Если необходимо реализовать пользовательскую маршрутизацию, рекомендуется ознакомиться с маршрутизацией в Azure.

Подключение

Вы можете подключить виртуальную сеть к другим виртуальным сетям с помощью пиринга виртуальных сетей или локальной сети с помощью VPN-шлюза Azure.

Пиринг

При использовании пиринга между виртуальными сетями можно использовать виртуальные сети в одном или разных поддерживаемых регионах Azure. Виртуальные сети можно использовать в одной или разных подписках Azure (даже подписки, принадлежащие разным клиентам Microsoft Entra).

Перед созданием пиринга рекомендуется ознакомиться со всеми требованиями и ограничениями пиринга. Пропускная способность между ресурсами в пиринговых виртуальных сетях в одном регионе такая же, как если бы ресурсы находились в одной виртуальной сети.

VPN-шлюз

Vpn-шлюз Azure можно использовать для подключения виртуальной сети к локальной сети с помощью VPN типа "сеть — сеть" или выделенного подключения к Azure ExpressRoute.

Вы можете объединить пиринг и VPN-шлюз для создания сетей концентратора и периферийных сетей, где периферийные виртуальные сети подключаются к виртуальной сети концентратора, а концентратор подключается к локальной сети, например.

Разрешение имен

Ресурсы в одной виртуальной сети не могут разрешать имена ресурсов в одноранговой виртуальной сети с помощью встроенной системы доменных имен Azure (DNS). Чтобы разрешить имена в одноранговой виртуальной сети, разверните собственный DNS-сервер или используйте частные домены Azure DNS. Для разрешения имен между ресурсами в виртуальной сети и локальными сетями необходимо развернуть собственный DNS-сервер.

Разрешения

Azure использует управление доступом на основе ролей Azure. Разрешения назначаются области в иерархии группы управления, подписки, группы ресурсов и отдельного ресурса. Дополнительные сведения об иерархии см. в статье Упорядочивание ресурсов с помощью групп управления Azure.

Чтобы работать с виртуальными сетями Azure и всеми связанными с ними возможностями, например пирингом, группами безопасности сети, конечными точками служб и таблицами маршрутизации, назначьте членам организации встроенные роли владельца, участника или участника сети. Затем назначьте роль соответствующей области. Если вы хотите назначить определенные разрешения для подмножества возможностей виртуальной сети, создайте пользовательскую роль и назначьте определенные разрешения, необходимые для:

• Виртуальные сети
• Подсети и конечные точки служб
• Сетевые интерфейсы
• Пиринг
• Группы безопасности сети и приложений
• Таблицы маршрутов

Политика

С помощью Политика Azure можно создавать, назначать и управлять определениями политик. Определения политики применяют различные правила к ресурсам, что обеспечивает соответствие этих ресурсов стандартам организации и соглашениям об уровне обслуживания. Политика Azure выполняет оценку ресурсов. Он сканирует ресурсы, которые не соответствуют определениям политик, которые у вас есть.

Например, вы можете определить и применить политику, которая разрешает создавать виртуальные сети только в определенной группе ресурсов или регионе. Для другой политики может потребоваться, чтобы каждая подсеть имела связанную с ней группу безопасности сети. Затем политики оцениваются при создании и обновлении ресурсов.

Политики применяются в следующем порядке: группа управления, подписка и группа ресурсов. Узнайте больше о Политике Azure или разверните примеры определений Политики Azure.

Связанный контент

Сведения обо всех задачах, параметрах и параметрах:

• Виртуальная сеть
• Подсеть и конечная точка службы
• Сетевой интерфейс
• Пиринг
• Группа безопасности сети и приложений
• Таблица маршрутов