Изучение виртуальных сетей Azure

  • 10 мин

У вас есть локальный центр обработки данных, который планируется сохранить, но вы хотите использовать Azure для разгрузки пикового трафика с помощью виртуальных машин, размещенных в Azure. Вы хотите сохранить существующую схему IP-адресации и сетевые устройства, обеспечивая безопасность передачи данных.

Что такое виртуальная сеть Azure?

виртуальные сети Azure позволяют ресурсам Azure, таким как виртуальные машины, веб-приложения и базы данных, взаимодействовать друг с другом, пользователями в Интернете и локальными клиентскими компьютерами. Вы можете рассматривать сеть Azure как набор ресурсов, которые связывают другие ресурсы Azure.

Виртуальные сети Azure предоставляют ключевые возможности сети:

  • Изоляция и сегментация
  • Интернет-коммуникации
  • Обмен данными между ресурсами Azure
  • Взаимодействие с локальными ресурсами
  • Маршрутизация сетевого трафика
  • Фильтрация сетевого трафика
  • Подключение виртуальных сетей

Изоляция и сегментация

Azure позволяет создавать несколько изолированных виртуальных сетей. Когда вы настраиваете виртуальную сеть, вы определяете пространство IP-адресов, используя диапазоны общедоступных или частных IP-адресов. Затем можно сегментировать пространство IP-адресов в подсети и выделить часть определенного адресного пространства для каждой именованной подсети.

Для разрешения имен можно использовать службу разрешения имен, встроенную в Azure, или настроить виртуальную сеть для использования внутреннего или внешнего сервера доменных имен (DNS).

Интернет-коммуникации

Виртуальная машина в Azure может подключаться к Интернету по умолчанию. Вы можете включить входящие подключения из Интернета, определив общедоступный IP-адрес или общедоступную подсистему балансировки нагрузки. Для управления виртуальными машинами можно подключиться через Azure CLI, протокол удаленного рабочего стола (RDP) или Secure Shell (SSH).

Обмен данными между ресурсами Azure

Вы хотите разрешить ресурсам Azure безопасно взаимодействовать друг с другом. Это можно сделать одним из двух способов:

  • Виртуальные сети

    Виртуальные сети могут подключать не только виртуальные машины, но и другие ресурсы Azure, такие как среда службы приложений, служба Azure Kubernetes и масштабируемые наборы виртуальных машин Azure.

  • конечные точки службы

    Конечные точки службы можно использовать для подключения к другим типам ресурсов Azure, таким как базы данных SQL Azure и учетные записи хранения. Этот подход позволяет связать несколько ресурсов Azure с виртуальными сетями, тем самым повышая безопасность и обеспечивая оптимальную маршрутизацию между ресурсами.

Взаимодействие с локальными ресурсами

Виртуальные сети Azure позволяют связывать ресурсы в локальной среде и в подписке Azure, создавая сеть, которая охватывает как локальные, так и облачные среды. Существует три механизма для достижения этой возможности подключения.

  • Виртуальные частные сети типа «от точки к сайту»

    Такой подход похож на подключение виртуальной частной сети (VPN), которое компьютер за пределами вашей организации использует для подключения обратно к корпоративной сети, но работает в противоположном направлении. В этом случае клиентский компьютер инициирует зашифрованное VPN-подключение к Azure, подключая этот компьютер к виртуальной сети Azure.

  • Виртуальные частные сети типа site-to-site VPN-соединение связывает ваше локальное VPN-устройство или шлюз с VPN-шлюзом Azure в виртуальной сети. В действительности устройства в Azure могут отображаться как в локальной сети. Подключение шифруется и работает через Интернет.

  • Azure ExpressRoute

    Для сред, где требуется более высокая пропускная способность и еще более высокий уровень безопасности, Azure ExpressRoute — лучший подход. Azure ExpressRoute предоставляет выделенное частное подключение к Azure, которое не перемещается по Интернету.

Маршрутизация сетевого трафика

По умолчанию Azure перенаправит трафик между подсетями в любых подключенных виртуальных сетях, локальных сетях и Интернете. Однако вы можете управлять маршрутизацией и переопределять эти параметры следующим образом:

  • таблиц маршрутов

    Таблица маршрутов позволяет определять правила направления трафика. Можно создать пользовательские таблицы маршрутов, которые управляют маршрутизацией пакетов между подсетями.

  • протокол пограничного шлюза

    Протокол BGP работает с VPN-шлюзами Azure или ExpressRoute для распространения локальных маршрутов BGP в виртуальные сети Azure.

Фильтрация сетевого трафика

Виртуальные сети Azure позволяют фильтровать трафик между подсетями с помощью следующих подходов:

  • группы безопасности сети

    Группа безопасности сети (NSG) — это ресурс Azure, который может содержать несколько правил безопасности для входящего и исходящего трафика. Эти правила можно определить для разрешения или блокировки трафика на основе таких факторов, как исходный и конечный IP-адрес, порт и протокол.

  • виртуальные устройства сети

    Сетевое виртуальное устройство — это специализированная виртуальная машина, которую можно сравнить с защищенным сетевым устройством. Сетевое виртуальное устройство выполняет определенную сетевую функцию, например запуск брандмауэра или оптимизацию глобальной сети.

Подключение виртуальных сетей

Вы можете связать виртуальные сети с помощью пиринга виртуальных сетей . Пиринг позволяет ресурсам в каждой виртуальной сети взаимодействовать друг с другом. Эти виртуальные сети могут находиться в отдельных регионах, что позволяет создавать глобальную сеть через Azure.

Параметры виртуальной сети Azure

Вы можете создавать и настраивать виртуальные сети Azure на портале Azure, Azure PowerShell на локальном компьютере или Azure Cloud Shell.

Создание виртуальной сети

При создании виртуальной сети Azure вы настраиваете множество основных параметров. Кроме того, можно настроить дополнительные параметры, такие как несколько подсетей, распределенная защита от отказов в обслуживании (DDoS) и конечные точки службы.

снимок экрана портала Azure с примером полей области

Вы настроите следующие параметры для базовой виртуальной сети:

  • имя сети

    Имя сети должно быть уникальным в подписке, но не должно быть глобально уникальным. Создайте описательное имя, которое легко запомнить и определить из других виртуальных сетей.

  • адресного пространства

    При настройке виртуальной сети определяется внутреннее адресное пространство в формате "Бессерверная маршрутизация Inter-Domain" (CIDR). Это адресное пространство должно быть уникальным в пределах подписки и любых других сетей, к которым вы подключаетесь.

    Предположим, вы выберете адресное пространство 10.0.0.0/24 для первой виртуальной сети. Адреса, определенные в диапазоне адресного пространства от 10.0.0.1 до 10.0.0.254. Затем вы создадите вторую виртуальную сеть и выберите адресное пространство 10.0.0.0/8. Диапазон адресов в этом адресном пространстве составляет от 10.0.0.1 до 10.255.255.254. Некоторые из адресов перекрываются и не могут быть использованы для двух виртуальных сетей.

    Однако можно использовать 10.0.0.0/16, с адресами от 10.0.0.1 до 10.0.255.254 и 10.1.0.0/16 с адресами от 10.1.0.1 до 10.1.255.254. Эти адресные пространства можно назначить виртуальным сетям, так как нет перекрывающихся адресов.

    Заметка

    После создания виртуальной сети можно добавить адресные пространства.

  • подписка

    Применяется только при наличии нескольких подписок для выбора.

  • группа ресурсов

    Как и любой другой ресурс Azure, виртуальная сеть должна существовать в группе ресурсов. Можно выбрать существующую группу ресурсов или создать новую.

  • расположение

    Выберите расположение, в котором должна существовать виртуальная сеть.

  • подсети

    В каждом диапазоне адресов виртуальной сети можно создать одну или несколько подсетей, которые секционирует адресное пространство виртуальной сети. Маршрутизация между подсетями будет зависеть от маршрутов трафика по умолчанию или можно определить пользовательские маршруты. Кроме того, можно определить одну подсеть, которая охватывает все диапазоны адресов виртуальных сетей.

    Заметка

    Имена подсети должны начинаться с буквы или цифры, заканчиваться буквой, числом или символом подчеркивания, а также содержать только буквы, цифры, знаки подчеркивания, точки или дефисы.

  • защита от распределённых атак типа "отказ в обслуживании" (DDoS)

    Вы можете выбрать защиту от атак DDoS уровня "Базовый" или "Стандартный". Защита от атак DDoS уровня "Стандартный" — это служба уровня "Премиум". Защита от атак DDoS Azure предоставляет дополнительные сведения о защите от атак DDoS.

  • конечных точек службы

    Здесь можно включить конечные точки службы, а затем выбрать из списка, какие конечные точки службы Azure необходимо включить. К ним относятся Azure Cosmos DB, служебная шина Azure, Azure Key Vault и т. д.

После конфигурирования этих параметров выберите Создать.

Определение других параметров

После создания виртуальной сети можно определить дополнительные параметры. К этим параметрам относятся:

  • группа безопасности сети

    Группы безопасности сети имеют правила безопасности, позволяющие фильтровать тип сетевого трафика, который может передаваться в подсети виртуальной сети и сетевые интерфейсы. Вы создаете группу безопасности сети отдельно, а затем связываете ее с виртуальной сетью.

  • таблица маршрутов

    Azure автоматически создает таблицу маршрутов для каждой подсети в виртуальной сети Azure и добавляет системные маршруты по умолчанию в таблицу. Однако можно добавить настраиваемые таблицы маршрутов для изменения трафика между виртуальными сетями.

Вы также можете изменить конечные точки службы.

снимок экрана портала Azure с примером области редактирования параметров виртуальной сети.

Настройка виртуальных сетей

При создании виртуальной сети можно изменить все дополнительные параметры на панели виртуальных сетей на портале Azure. Кроме того, для внесения изменений можно использовать команды PowerShell или команды в Cloud Shell.

снимок экрана портала Azure с примером области настройки виртуальной сети.

Затем можно просмотреть и изменить параметры в дополнительных подпанах. К этим параметрам относятся:

  • Адресные пространства: можно добавить дополнительные адресные пространства в начальное определение.

  • Подключенные устройства: используйте виртуальную сеть для подключения компьютеров.

  • Подсети: добавление дополнительных подсетей.

  • Пиринги: связывание виртуальных сетей в соглашениях пиринга.

Вы также можете отслеживать и устранять неполадки виртуальных сетей или создавать скрипт автоматизации для создания текущей виртуальной сети.

Виртуальные сети — это мощные и высоко настраиваемые механизмы для подключения сущностей в Azure. Вы можете подключить ресурсы Azure друг к другу или к ресурсам, которые у вас есть на локальной системе. Вы можете изолировать, фильтровать и маршрутизировать сетевой трафик, и Azure позволяет повысить безопасность там, где это необходимо.