Назначение IP-адресов в сети и интеграция
Чтобы интегрировать ресурсы в виртуальных сетях Azure с ресурсами в локальной сети, необходимо понять, как можно подключить эти ресурсы и настроить IP-адреса.
Вашей производственной компании требуется перенести критически важную для бизнеса базу данных в Azure. Клиентским приложениям на настольных компьютерах, ноутбуках и мобильных устройствах требуется постоянный доступ к базе данных, как если бы она оставалась в локальной сети. Вы хотите перенести сервер базы данных так, чтобы это не повлияло на пользователей.
В этом уроке вы посмотрите на типичный проект локальной сети и сравниваете его с типичным проектом сети Azure. Вы узнаете о требованиях к IP-адресам при интеграции сети Azure с локальными сетями.
Назначение IP-адресов в локальной сети
Типичная структура локальной сети включает в себя следующие компоненты:
- Маршрутизаторы
- Брандмауэры
- коммутаторы;
- сегментация сети.
На предыдущей схеме показана упрощенная версия типичной локальной сети. На маршрутизаторах, подключенных к поставщику услуг Интернета (ISP), у вас есть общедоступные IP-адреса, которые исходящий интернет-трафик использует в качестве источника. Эти адреса также используются для входящего интернет-трафика. Поставщик услуг Интернета может выдать вам блок IP-адресов, назначаемых устройствам. Кроме того, у вас может быть собственный блок общедоступных IP-адресов, принадлежащих вашей организации и элементам управления. Вы можете назначить эти адреса системам, которые должны быть доступны из Интернета, например веб-серверам.
В сети периметра и внутренней зоне используются частные IP-адреса. IP-адреса, назначенные устройствам в сети периметра и внутренней зоне, недоступны через Интернет. Администратор имеет полный контроль над назначением IP-адресов, разрешением имен, параметрами безопасности и правилами безопасности. Существует три диапазона неуправляемых IP-адресов, предназначенных для внутренних сетей, которые не будут отправляться по интернет-маршрутизаторам:
- 10.0.0.0 — 10.255.255.255
- 172.16.0.0 — 172.31.255.255
- 192.168.0.0–192.168.255.255
Администратор может добавлять или удалять локальные подсети для размещения сетевых устройств и служб. Возможное количество подсетей и IP-адресов в локальной сети зависит от бесклассовой междоменной маршрутизации (CIDR) для блока IP-адресов.
CIDR
Маршрутизация между доменами (CIDR) — это метод выделения IP-адресов и маршрутизации пакетов протокола Интернета. CIDR позволяет более эффективно использовать пространство IP-адресов, позволяя создавать маски подсети переменной длины (VLSM), которые могут выделять IP-адреса более детализированной и гибкой. Этот метод помогает сократить количество ip-адресов и повысить масштабируемость сети. Нотация CIDR представляет IP-адрес, за которым следует косая черта и число; 192.168.0.0/24. Число указывает длину маски подсети.
Назначение IP-адресов в Azure
В виртуальных сетях Azure используются частные IP-адреса. Их диапазоны те же, что и в локальных сетях. Как и в локальных сетях, администратор имеет полный контроль над назначением IP-адресов, разрешением имен, параметрами безопасности и правилами безопасности в виртуальной сети Azure. Администратор может добавлять или удалять подсети в зависимости от CIDR для блока IP-адресов.
Типичный проект сети Azure обычно имеет следующие компоненты:
- Виртуальные сети
- подсети;
- Группы безопасности сети
- Брандмауэры
- Подсистемы балансировки нагрузки
Сеть Azure имеет схожие возможности и функции, что и локальная, но ее структура иная. Сеть Azure не соответствует типичной иерархической структуре локальной сети. Сеть Azure позволяет масштабировать инфраструктуру вверх и уменьшить масштаб на основе спроса. Подготовка в сети Azure происходит за считанные секунды. Аппаратные устройства, такие как маршрутизаторы или коммутаторы, отсутствуют. Вся инфраструктура является виртуальной и вы можете разделить ее на фрагменты в соответствии с вашими требованиями.
В Azure обычно реализуется группа безопасности сети и брандмауэр. Вы используете подсети для изоляции интерфейсных служб, включая веб-серверы и системы доменных имен (DNS), а также серверные службы, такие как базы данных и системы хранения. Группы безопасности сети фильтруют внутренний и внешний трафик на уровне сети. Брандмауэр имеет более широкие возможности фильтрации на уровне сети и фильтрации на уровне приложений. Развернув как группы безопасности сети, так и брандмауэр, вы улучшаете изоляцию ресурсов и получаете более безопасную архитектуру сети.
Основные свойства виртуальных сетей Azure
Виртуальная сеть — это сеть в облаке. Ее можно разделить на несколько подсетей. Каждая подсеть содержит часть пространства IP-адресов, назначенного виртуальной сети. Вы можете добавлять, удалять, расширять или уменьшать подсеть (если в ней не развернуты виртуальные машины и службы).
По умолчанию все подсети в виртуальной сети Azure могут взаимодействовать друг с другом. Тем не менее вы можете использовать группу безопасности сети, чтобы запретить обмен данными между подсетями. В отношении размера наименьшая поддерживаемая подсеть использует маску подсети /29, а самая большая поддерживаемая подсеть использует маску подсети /2. Наименьшая подсеть имеет восемь IP-адресов, а самая большая подсеть имеет 1 073 741 824 IP-адреса.
Интеграция Azure с локальными сетями
Прежде чем приступить к интеграции Azure с локальными сетями, важно определить текущую схему частных IP-адресов, которую использует локальная сеть. IP-адреса связанных сетей не должны пересекаться.
Например, в виртуальной сети Azure нельзя использовать подсеть 192.168.10.0/24, если в локальной сети есть подсеть 192.168.0.0/16. Эти диапазоны содержат одни и те же IP-адреса, чтобы трафик не был перенаправлен между ними.
Однако в нескольких сетях может быть один диапазон классов. Например, можно использовать адресное пространство 10.10.0.0/16 для локальной сети и адресное пространство 10.20.0.0/16 для сети Azure, поскольку они не пересекаются.
При планировании схемы IP-адресов важно проверить перекрытие. Если IP-адреса пересекаются, вы не сможете интегрировать локальную сеть с сетью Azure.