Planera virtuella nätverk

Det är enkelt att skapa ett virtuellt nätverk att experimentera med, men det är troligt att du distribuerar flera virtuella nätverk över tid för att stödja organisationens produktionsbehov. Med viss planering kan du distribuera virtuella nätverk och ansluta de resurser du behöver mer effektivt. Informationen i den här artikeln är till stor hjälp om du redan är bekant med virtuella nätverk och har viss erfarenhet av att arbeta med dem. Om du inte är bekant med virtuella nätverk rekommenderar vi att du läser Översikt över virtuellt nätverk.

Namngivning

Alla Azure-resurser har ett namn. Namnet måste vara unikt inom ett omfång, vilket kan variera för varje resurstyp. Namnet på ett virtuellt nätverk måste till exempel vara unikt i en resursgrupp, men du kan använda ett duplicerat namn i en prenumeration eller Azure-region. Att definiera en namngivningskonvention som du kan använda konsekvent när du namnger resurser är användbart när du hanterar flera nätverksresurser över tid. Förslag finns i Namngivningskonventioner.

Regioner

Alla Azure-resurser skapas i en Azure-region och prenumeration. Du kan bara skapa en resurs i ett virtuellt nätverk som finns i samma region och prenumeration som resursen. Men du kan ansluta virtuella nätverk som finns i olika prenumerationer och regioner. Mer information finns i Anslutning. När du bestämmer i vilka regioner resurserna ska distribueras bör du tänka på var användarna av resurserna finns fysiskt:

• Har du låg nätverksfördröjning? Användare av resurser vill vanligtvis ha den lägsta nätverksfördröjningen för sina resurser. Information om hur du fastställer relativa svarstider mellan en angiven plats och Azure-regioner finns i Visa relativa svarstider.
• Har du krav på datahemvist, suveränitet, efterlevnad eller återhämtning? I så fall är det viktigt att välja den region som överensstämmer med kraven. Mer information finns i Azure-geografiska områden.
• Behöver du återhämtning i azure-tillgänglighetszoner i samma Azure-region för de resurser som du distribuerar? Du kan distribuera resurser, till exempel virtuella datorer till olika tillgänglighetszoner i samma virtuella nätverk. Alla Azure-regioner har inte stöd för tillgänglighetszoner. Mer information om tillgänglighetszoner och de regioner som stöder dem finns i Tillgänglighetszoner.

Prenumerationer

Du kan distribuera så många virtuella nätverk som krävs i varje prenumeration, upp till gränsen. Vissa organisationer har till exempel olika prenumerationer för olika avdelningar. Mer information och överväganden kring prenumerationer finns i Prenumerationsstyrning.

Segmentering

Du kan skapa flera virtuella nätverk per prenumeration och per region. Du kan skapa flera undernät i varje virtuellt nätverk. Följande överväganden hjälper dig att avgöra hur många virtuella nätverk och undernät du behöver.

Virtuella nätverk

Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Varje virtuellt nätverk är dedikerat till din prenumeration. Tänk på följande när du bestämmer dig för att skapa ett virtuellt nätverk eller flera virtuella nätverk i en prenumeration:

• Finns det några organisatoriska säkerhetskrav för att isolera trafik i separata virtuella nätverk? Du kan välja att ansluta virtuella nätverk eller inte. Om du ansluter virtuella nätverk kan du implementera en virtuell nätverksinstallation, till exempel en brandvägg, för att styra trafikflödet mellan de virtuella nätverken. Mer information finns i Säkerhet och anslutning.
• Finns det några organisatoriska krav för att isolera virtuella nätverk i separata prenumerationer eller regioner?
• Har du krav på nätverksgränssnitt? Med ett nätverksgränssnitt kan en virtuell dator kommunicera med andra resurser. Varje nätverksgränssnitt har en eller flera privata IP-adresser tilldelade till sig. Hur många nätverksgränssnitt och privata IP-adresser behöver du i ett virtuellt nätverk? Det finns gränser för antalet nätverksgränssnitt och privata IP-adresser som du kan ha i ett virtuellt nätverk.
• Vill du ansluta det virtuella nätverket till ett annat virtuellt nätverk eller ett lokalt nätverk? Du kan välja att ansluta vissa virtuella nätverk till varandra eller lokala nätverk, men inte till andra. Mer information finns i Anslutning. Varje virtuellt nätverk som du ansluter till ett annat virtuellt nätverk eller lokalt nätverk måste ha ett unikt adressutrymme. Varje virtuellt nätverk har ett eller flera offentliga eller privata adressintervall tilldelade till sitt adressutrymme. Ett adressintervall anges i CIDR-format (klasslös internetdomänroutning), till exempel 10.0.0.0/16. Läs mer om adressintervall för virtuella nätverk.
• Har du några krav på organisationsadministration för resurser i olika virtuella nätverk? I så fall kan du dela upp resurser i separata virtuella nätverk för att förenkla behörighetstilldelningen till enskilda personer i din organisation eller för att tilldela olika principer till olika virtuella nätverk.
• Har du krav på resurser som kan skapa ett eget virtuellt nätverk? När du distribuerar vissa Azure-tjänstresurser till ett virtuellt nätverk skapar de ett eget virtuellt nätverk. Information om huruvida en Azure-tjänst skapar ett eget virtuellt nätverk finns i information för varje Azure-tjänst som du kan distribuera till ett virtuellt nätverk.

Undernät

Du kan segmentera ett virtuellt nätverk i ett eller flera undernät upp till gränserna. Tänk på följande när du bestämmer dig för att skapa ett undernät eller flera virtuella nätverk i en prenumeration:

• Ha ett unikt adressintervall för varje undernät som anges i CIDR-format inom adressutrymmet för det virtuella nätverket. Adressintervallet kan inte överlappa andra undernät i det virtuella nätverket.
• Tänk på att om du planerar att distribuera vissa Azure-tjänstresurser till ett virtuellt nätverk kan de kräva eller skapa ett eget undernät. Det måste finnas tillräckligt med ledigt utrymme för att de ska kunna göra det. Information om huruvida en Azure-tjänst skapar ett eget undernät finns i information för varje Azure-tjänst som du kan distribuera till ett virtuellt nätverk. Om du till exempel ansluter ett virtuellt nätverk till ett lokalt nätverk med hjälp av en Azure VPN-gateway måste det virtuella nätverket ha ett dedikerat undernät för gatewayen. Läs mer om gatewayundernät.
• Åsidosätt standardroutning för nätverkstrafik mellan alla undernät i ett virtuellt nätverk. Du vill förhindra Azure-routning mellan undernät eller dirigera trafik mellan undernät via en virtuell nätverksinstallation, till exempel. Om du behöver den trafiken mellan resurser i samma virtuella nätverk flödar via en virtuell nätverksinstallation (NVA) distribuerar du resurserna till olika undernät. Läs mer i Säkerhet.
• Begränsa åtkomsten till Azure-resurser, till exempel ett Azure Storage-konto eller Azure SQL Database, till specifika undernät med en tjänstslutpunkt för virtuellt nätverk. Du kan också neka åtkomst till resurserna från Internet. Du kan skapa flera undernät och aktivera en tjänstslutpunkt för vissa undernät, men inte andra. Läs mer om tjänstslutpunkter och de Azure-resurser som du kan aktivera dem för.
• Associera noll eller en nätverkssäkerhetsgrupp till varje undernät i ett virtuellt nätverk. Du kan associera samma eller en annan nätverkssäkerhetsgrupp till varje undernät. Varje nätverkssäkerhetsgrupp innehåller regler som tillåter eller nekar trafik till och från källor och mål. Läs mer om nätverkssäkerhetsgrupper.

Säkerhet

Du kan filtrera nätverkstrafik till och från resurser i ett virtuellt nätverk med hjälp av nätverkssäkerhetsgrupper och virtuella nätverksinstallationer. Du kan styra hur Azure dirigerar trafik från undernät. Du kan också begränsa vem i din organisation som kan arbeta med resurser i virtuella nätverk.

Trafikfiltrering

• Om du vill filtrera nätverkstrafik mellan resurser i ett virtuellt nätverk använder du en nätverkssäkerhetsgrupp, en NVA som filtrerar nätverkstrafik eller både och. Information om hur du distribuerar en NVA, till exempel en brandvägg, för att filtrera nätverkstrafik finns i Azure Marketplace. När du använder en NVA skapar du även anpassade vägar för att dirigera trafik från undernät till NVA. Läs mer om trafikroutning.
• En nätverkssäkerhetsgrupp innehåller flera standardsäkerhetsregler som tillåter eller nekar trafik till eller från resurser. Du kan associera en nätverkssäkerhetsgrupp med ett nätverksgränssnitt, undernätet som nätverksgränssnittet finns i eller båda. För att förenkla hanteringen av säkerhetsregler rekommenderar vi att du associerar en nätverkssäkerhetsgrupp med enskilda undernät i stället för enskilda nätverksgränssnitt i undernätet när det är möjligt.
• Om olika virtuella datorer i ett undernät behöver olika säkerhetsregler kan du associera nätverksgränssnittet på den virtuella datorn med en eller flera programsäkerhetsgrupper. En säkerhetsregel kan ange en programsäkerhetsgrupp i källan, målet eller båda. Den regeln gäller sedan endast för de nätverksgränssnitt som är medlemmar i programsäkerhetsgruppen. Läs mer om nätverkssäkerhetsgrupper och programsäkerhetsgrupper.
• När en nätverkssäkerhetsgrupp är associerad på undernätsnivå gäller den för alla nätverksgränssnittsstyrenheter i undernätet, inte bara för trafiken som kommer utanför undernätet. Trafiken mellan de virtuella datorerna i undernätet kan också påverkas.
• Azure skapar flera standardsäkerhetsregler inom varje nätverkssäkerhetsgrupp. En standardregel tillåter att all trafik flödar mellan alla resurser i ett virtuellt nätverk. Om du vill åsidosätta det här beteendet använder du nätverkssäkerhetsgrupper, anpassad routning för att dirigera trafik till en NVA eller båda. Vi rekommenderar att du bekantar dig med alla standardsäkerhetsregler i Azure och förstår hur regler för nätverkssäkerhetsgrupper tillämpas på en resurs.

Du kan visa exempeldesigner för att implementera ett perimeternätverk (även kallat DMZ) mellan Azure och Internet med hjälp av en NVA.

Trafikroutning

Azure skapar flera standardvägar för utgående trafik från ett undernät. Du kan åsidosätta Azures standardroutning genom att skapa en routningstabell och associera den till ett undernät. Vanliga orsaker till att åsidosätta Azures standardroutning är:

• Du vill att trafik mellan undernät ska flöda genom en NVA. Läs mer om hur du konfigurerar routningstabeller för att tvinga trafik via en NVA.
• Du vill framtvinga all internetbunden trafik via en NVA, eller lokalt, via en Azure VPN-gateway. Att tvinga internettrafik lokalt för inspektion och loggning kallas ofta för tvingad tunneltrafik. Läs mer om hur du konfigurerar tvingad tunneltrafik.

Om du behöver implementera anpassad routning rekommenderar vi att du bekantar dig med routning i Azure.

Anslutning

Du kan ansluta ett virtuellt nätverk till andra virtuella nätverk med hjälp av peering för virtuella nätverk eller till ditt lokala nätverk med hjälp av en Azure VPN-gateway.

Peering

När du använder peering för virtuella nätverk kan du ha virtuella nätverk i samma eller olika Azure-regioner som stöds. Du kan ha virtuella nätverk i samma eller olika Azure-prenumerationer (även prenumerationer som tillhör olika Microsoft Entra-klienter).

Innan du skapar en peering rekommenderar vi att du bekantar dig med alla peeringkrav och begränsningar. Bandbredden mellan resurser i virtuella nätverk som är peer-kopplade i samma region är densamma som om resurserna fanns i samma virtuella nätverk.

VPN gateway

Du kan använda en Azure VPN-gateway för att ansluta ett virtuellt nätverk till ditt lokala nätverk med hjälp av ett plats-till-plats-VPN eller en dedikerad anslutning med Azure ExpressRoute.

Du kan kombinera peering och en VPN-gateway för att skapa nav- och ekernätverk, där virtuella ekernätverk ansluter till ett virtuellt hubbnätverk och hubben ansluter till ett lokalt nätverk, till exempel.

Namnmatchning

Resurser i ett virtuellt nätverk kan inte matcha namnen på resurser i ett peer-kopplat virtuellt nätverk med hjälp av det inbyggda DNS-systemet (Domain Name System). Lös namn i ett peer-kopplat virtuellt nätverk genom att distribuera din egen DNS-server eller använda privata Azure DNS-domäner. För att matcha namn mellan resurser i ett virtuellt nätverk och lokala nätverk måste du också distribuera din egen DNS-server.

Behörigheter

Azure använder rollbaserad åtkomstkontroll i Azure. Behörigheter tilldelas till ett omfång i hierarkin för hanteringsgrupp, prenumeration, resursgrupp och enskild resurs. Mer information om hierarkin finns i Ordna dina resurser.

Om du vill arbeta med virtuella Azure-nätverk och alla deras relaterade funktioner, till exempel peering, nätverkssäkerhetsgrupper, tjänstslutpunkter och routningstabeller, tilldelar du medlemmar i din organisation till de inbyggda rollerna Ägare, Deltagare eller Nätverksdeltagare . Tilldela sedan rollen till rätt omfång. Om du vill tilldela specifika behörigheter för en delmängd av virtuella nätverksfunktioner skapar du en anpassad roll och tilldelar de specifika behörigheter som krävs för:

• Virtuella nätverk
• Undernät och tjänstslutpunkter
• Nätverksgränssnitt
• Peering
• Nätverks- och programsäkerhetsgrupper
• Routningstabeller

Policy

Med Azure Policy kan du skapa, tilldela och hantera principdefinitioner. Principdefinitioner tillämpar olika regler för dina resurser, så att resurserna följer organisationens standarder och serviceavtal. Azure Policy kör en utvärdering av dina resurser. Den söker efter resurser som inte är kompatibla med de principdefinitioner du har.

Du kan till exempel definiera och tillämpa en princip som gör det möjligt att skapa virtuella nätverk i endast en specifik resursgrupp eller region. En annan princip kan kräva att varje undernät har en associerad nätverkssäkerhetsgrupp. Principerna utvärderas sedan när du skapar och uppdaterar resurser.

Principer tillämpas på följande hierarki: hanteringsgrupp, prenumeration och resursgrupp. Läs mer om Azure Policy eller distribuera några azure policy-definitioner för virtuella nätverk.

Relaterat innehåll

Lär dig mer om alla uppgifter, inställningar och alternativ för en:

• Virtuellt nätverk
• Undernät och tjänstslutpunkt
• Nätverksgränssnitt
• Peering
• Nätverks- och programsäkerhetsgrupp
• Routningstabell