Dela via

Azure för nätverkstekniker

  • Artikel

Som konventionell nätverkstekniker har du hanterat fysiska tillgångar som routrar, växlar, kablar, brandväggar för att bygga infrastruktur. På ett logiskt lager har du konfigurerat virtuellt LAN (VLAN), Spanning Tree Protocol (STP), routningsprotokoll (RIP, OSPF, BGP). Du har hanterat nätverket med hjälp av hanteringsverktyg och CLI. Nätverk i molnet skiljer sig där nätverksslutpunkter är logiska och användningen av routningsprotokoll är minimal. Du kommer att arbeta med Azure Resource Manager API, Azure CLI och PowerShell för att konfigurera och hantera tillgångar i Azure. Du börjar din nätverksresa i molnet genom att förstå grundläggande klientorganisationer i Azure-nätverk.

Virtuellt nätverk

När du utformar ett nätverk nedifrån och upp samlar du in grundläggande information. Den här informationen kan vara antal värdar, nätverksenheter, antal undernät, routning mellan undernät, isoleringsdomäner som VLAN. Den här informationen hjälper till att storleksanpassa nätverk och säkerhetsenheter samt att skapa arkitekturen för program och tjänster.

När du planerar att distribuera dina program och tjänster i Azure börjar du med att skapa en logisk gräns i Azure, som kallas för ett virtuellt nätverk. Det här virtuella nätverket liknar en fysisk nätverksgräns. Eftersom det är ett virtuellt nätverk behöver du inte fysisk utrustning, men du måste ändå planera för logiska entiteter som IP-adresser, IP-undernät, routning och principer.

När du skapar ett virtuellt nätverk i Azure är det förkonfigurerat med ett IP-intervall (10.0.0.0/16). Det här intervallet är inte fast, du kan definiera ditt eget IP-intervall. Du kan definiera adressintervall för både IPv4 och IPv6. IP-intervall som definierats för det virtuella nätverket annonseras inte till Internet. Du kan skapa flera undernät från ditt IP-intervall. Dessa undernät används för att tilldela IP-adresser till virtuella nätverksgränssnitt (vNICs). De första fyra IP-adresserna från varje undernät är reserverade och kan inte användas för IP-allokering. Det finns inget begrepp om VLAN i ett offentligt moln. Du kan dock skapa isolering i ett virtuellt nätverk baserat på dina definierade undernät.

Du kan skapa ett stort undernät som omfattar allt adressutrymme för det virtuella nätverket eller välja att skapa flera undernät. Men om du använder en virtuell nätverksgateway kräver Azure att du skapar ett undernät med namnet "gateway-undernät". Azure använder det här undernätet för att tilldela IP-adresser till virtuella nätverksgatewayer.

IP-allokering

När du tilldelar en IP-adress till en värd tilldelar du faktiskt IP till ett nätverkskort (NIC). Du kan tilldela två typer av IP-adresser till ett nätverkskort i Azure:

  • Offentliga IP-adresser – Används för att kommunicera inkommande och utgående (utan nat)) med Internet och andra Azure-resurser som inte är anslutna till ett virtuellt nätverk. Tilldelning av en offentlig IP-adress till ett NIC är valfritt. Offentliga IP-adresser tillhör Microsofts IP-adressutrymme.
  • Privata IP-adresser – Används för kommunikation inom ett virtuellt nätverk, ditt lokala nätverk och Internet (med NAT). IP-adressutrymme som du definierar i det virtuella nätverket anses vara privat även om du konfigurerar ditt offentliga IP-adressutrymme. Microsoft annonserar inte det här utrymmet till Internet. Du måste tilldela minst en privat IP-adress till en virtuell Dator.

Precis som med fysiska värdar eller enheter finns det två sätt att allokera en IP-adress till en resurs – dynamisk eller statisk. I Azure är standardallokeringsmetoden dynamisk, där en IP-adress allokeras när du skapar en virtuell dator (VM) eller startar en stoppad virtuell dator. IP-adressen frisläpps när du stoppar eller tar bort den virtuella datorn. Om du inte vill att IP-adressen för den virtuella datorn ska ändras kan du uttryckligen ange allokeringsmetoden till statisk. I så fall tilldelas en IP-adress direkt. Den frisläpps bara om du ta bort den virtuella datorn eller om du ändrar dess allokeringsmetod till dynamisk.

Privata IP-adresser allokeras från de undernät som du har definierat i ett virtuellt nätverk. För en virtuell dator väljer du ett undernät för IP-allokeringen. Om en virtuell dator innehåller flera nätverkskort kan du välja ett annat undernät för varje nätverkskort.

Routning

När du skapar ett virtuellt nätverk skapar Azure en routningstabell för nätverket. Den här routningstabellen innehåller följande typer av vägar.

  • Systemvägar
  • Standardvägar för undernät
  • Vägar från andra virtuella nätverk
  • BGP-vägar
  • Tjänstslutpunktsvägar
  • Användardefinierade vägar (UDR)

När du skapar ett virtuellt nätverk för första gången utan att definiera några undernät skapar Azure routningsposter i routningstabellen. Dessa vägar kallas systemvägar. Systemvägar definieras på den här platsen. Du kan inte ändra dessa vägar. Du kan dock åsidosätta systemvägar genom att konfigurera UDF:er.

När du skapar ett eller flera undernät i ett virtuellt nätverk skapar Azure standardposter i routningstabellen för att möjliggöra kommunikation mellan dessa undernät i ett virtuellt nätverk. Dessa vägar kan ändras med hjälp av statiska vägar, som är användardefinierade vägar (UDR) i Azure.

När du skapar en virtuell nätverkspeering mellan två virtuella nätverk läggs en väg till för varje adressintervall i adressutrymmet för varje virtuellt nätverk som en peering har skapats för.

Om din lokala nätverksgateway utbyter Border Gateway Protocol-vägar (BGP) med en virtuell nätverksgateway i Azure läggs en väg till för varje väg som sprids från den lokala nätverksgatewayen. Dessa vägar visas i routningstabellen som BGP-vägar.

De offentliga IP-adresserna för vissa tjänster läggs till i routningstabellen av Azure när du aktiverar en tjänstslutpunkt för tjänsten. Tjänstslutpunkter är aktiverade för enskilda undernät i ett virtuellt nätverk. När du aktiverar en tjänstslutpunkt läggs vägen bara till i routningstabellen för för det undernät som tillhör den här tjänsten. Azure hanterar adresserna i routningstabellen automatiskt när adresserna ändras.

Användardefinierade vägar kallas även anpassade vägar. Du skapar UDR i Azure för att åsidosätta Azures standardsystemvägar eller för att lägga till ytterligare vägar i ett undernäts routningstabell. I Azure skapar du en routningstabell och associerar sedan routningstabellen till virtuella nätverksundernät.

När du har konkurrerande poster i en routningstabell väljer Azure nästa hopp baserat på den längsta prefixmatchningen som liknar traditionella routrar. Men om det finns flera nästa hoppposter med samma adressprefix väljer Azure vägarna i följande ordning.

  1. Användardefinierade vägar
  2. BGP-vägar
  3. Systemvägar

Säkerhet

Du kan filtrera nätverkstrafik till och från resurser i ett virtuellt nätverk med hjälp av nätverkssäkerhetsgrupper. Du kan också använda virtuella nätverksinstallationer (NVA) som Azure Firewall eller brandväggar från andra leverantörer. Du kan styra hur Azure dirigerar trafik från undernät. Du kan också begränsa vem i din organisation som kan arbeta med resurser i virtuella nätverk.

En Nätverkssäkerhetsgrupp (NSG) innehåller en lista över regler för åtkomstkontrollistan (ACL) som tillåter eller nekar nätverkstrafik till undernät, NICs eller både och. NSG:er kan antingen associeras med undernät eller individuella NICs anslutna till ett undernät. När en NSG är associerad med ett undernät, tillämpas ACL-reglerna på alla virtuella datorer i det undernätet. Dessutom kan trafik till ett enskilt nätverkskort begränsas genom att associera en nätverkssäkerhetsgrupp direkt med ett nätverkskort.

NSG:er innehåller två regeluppsättningar: inkommande och utgående. En regels prioritet måste vara unik inom varje uppsättning. Varje regel har egenskaperna för protokoll, källa och målportintervall, adressprefix, trafikriktning, prioritet och behörighetstyp. Alla NSG:er har en uppsättning standardregler. Standardreglerna kan inte tas bort, men eftersom de tilldelas lägst prioritet så kan de överskridas av de reglerna du själv skapar.

Verifiering

Vägar i virtuellt nätverk

Kombinationen av vägar som du skapar, Azures standardvägar och eventuella vägar som sprids från ditt lokala nätverk via en Azure VPN-gateway (om ditt virtuella nätverk är anslutet till ditt lokala nätverk) via BGP (Border Gateway Protocol) är de effektiva vägarna för alla nätverksgränssnitt i ett undernät. Du kan se dessa effektiva vägar genom att navigera till nätverkskortet via portalen, PowerShell eller CLI. Mer information om effektiva vägar på ett nätverkskort finns i Get-AzEffectiveRouteTable.

Nätverkssäkerhetsgrupper

De effektiva säkerhetsregler som tillämpas på ett nätverksgränssnitt är en aggregering av de regler som finns i den NSG som är associerad med ett nätverksgränssnitt och undernätet som nätverksgränssnittet finns i. Du kan visa alla gällande säkerhetsregler från NSG:er som tillämpas på den virtuella datorns nätverksgränssnitt genom att navigera till nätverkskortet via portalen, PowerShell eller CLI.

Nästa steg

Lär dig mer om virtuella nätverk.

Läs mer om routning av virtuella nätverk.

Läs mer om nätverkssäkerhetsgrupperna.