Utforska virtuella Azure-nätverk
Du har ett lokalt datacenter som du planerar att behålla, men du vill använda Azure för att avlasta trafiktoppar med virtuella datorer som finns i Azure. Du vill behålla ditt befintliga IP-adressschema och nätverksinstallationer, samtidigt som du ser till att all dataöverföring är säker.
Vad är virtuella Azure-nätverk?
virtuella Azure-nätverk göra det möjligt för Azure-resurser, till exempel virtuella datorer, webbappar och databaser, att kommunicera med varandra, användare på Internet och lokala klientdatorer. Du kan se ett Azure-nätverk som en uppsättning resurser som länkar andra Azure-resurser.
Virtuella Azure-nätverk tillhandahåller viktiga nätverksfunktioner:
- Isolering och segmentering
- Internetkommunikation
- Kommunicera mellan Azure-resurser
- Kommunicera med lokala resurser
- Dirigera nätverkstrafik
- Filtrera nätverkstrafik
- Ansluta virtuella nätverk
Isolering och segmentering
Med Azure kan du skapa flera isolerade virtuella nätverk. När du konfigurerar ett virtuellt nätverk definierar du ett privat IP-adressutrymme (Internet Protocol) med offentliga eller privata IP-adressintervall. Du kan sedan segmentera ip-adressutrymmet i undernät och allokera en del av det definierade adressutrymmet till varje namngivet undernät.
För namnmatchning kan du använda namnmatchningstjänsten som är inbyggd i Azure, eller så kan du konfigurera det virtuella nätverket att använda antingen en intern eller en extern DNS-server (Domain Name System).
Internetkommunikation
En virtuell dator i Azure kan ansluta till Internet som standard. Du kan aktivera inkommande anslutningar från Internet genom att definiera en offentlig IP-adress eller en offentlig lastbalanserare. För hantering av virtuella datorer kan du ansluta via Azure CLI, Remote Desktop Protocol (RDP) eller Secure Shell (SSH).
Kommunicera mellan Azure-resurser
Du vill göra det möjligt för Azure-resurser att kommunicera säkert med varandra. Du kan göra det på ett av två sätt:
Virtuella nätverk
Virtuella nätverk kan ansluta inte bara virtuella datorer, utan även andra Azure-resurser, till exempel App Service Environment, Azure Kubernetes Service och Skalningsuppsättningar för virtuella Azure-datorer.
Serviceendpunkter
Du kan använda tjänstslutpunkter för att ansluta till andra Azure-resurstyper, till exempel Azure SQL-databaser och lagringskonton. Med den här metoden kan du länka flera Azure-resurser till virtuella nätverk, vilket förbättrar säkerheten och ger optimal routning mellan resurser.
Kommunicera med lokala resurser
Med virtuella Azure-nätverk kan du länka samman resurser i din lokala miljö och i din Azure-prenumeration, vilket i praktiken skapar ett nätverk som omfattar både dina lokala miljöer och molnmiljöer. Det finns tre mekanismer för att uppnå den här anslutningen:
virtuella privata nätverk från punkt till plats
Den här metoden är som en VPN-anslutning (Virtual Private Network) som en dator utanför organisationen gör tillbaka till företagets nätverk, förutom att den fungerar i motsatt riktning. I det här fallet initierar klientdatorn en krypterad VPN-anslutning till Azure och ansluter datorn till det virtuella Azure-nätverket.
Virtuella privata nätverk från plats till plats En plats-till-plats-VPN länkar din lokala VPN-enhet eller gateway till Azure VPN-gatewayen i ett virtuellt nätverk. I själva verket kan enheterna i Azure visas som i det lokala nätverket. Anslutningen krypteras och fungerar via Internet.
Azure ExpressRoute
För miljöer där du behöver större bandbredd och ännu högre säkerhetsnivåer är Azure ExpressRoute den bästa metoden. Azure ExpressRoute tillhandahåller dedikerad privat anslutning till Azure som inte reser via Internet.
Dirigera nätverkstrafik
Som standard dirigerar Azure trafik mellan undernät på alla anslutna virtuella nätverk, lokala nätverk och Internet. Du kan dock styra routning och åsidosätta dessa inställningar på följande sätt:
Routningstabeller
Med en routningstabell kan du definiera regler för hur trafik ska dirigeras. Du kan skapa anpassade routningstabeller som styr hur paket dirigeras mellan undernät.
Border Gateway Protocol
Border Gateway Protocol (BGP) fungerar med Azure VPN-gatewayer eller ExpressRoute för att sprida lokala BGP-vägar till virtuella Azure-nätverk.
Filtrera nätverkstrafik
Med virtuella Azure-nätverk kan du filtrera trafik mellan undernät med hjälp av följande metoder:
Nätverkssäkerhetsgrupper
En nätverkssäkerhetsgrupp (NSG) är en Azure-resurs som kan innehålla flera regler för inkommande och utgående säkerhet. Du kan definiera dessa regler för att tillåta eller blockera trafik, baserat på faktorer som käll- och mål-IP-adress, port och protokoll.
Virtuella nätverksinstallationer
En virtuell nätverksinstallation är en specialiserad virtuell dator som kan jämföras med en härdad nätverksinstallation. En virtuell nätverksinstallation utför en viss nätverksfunktion, till exempel att köra en brandvägg eller utföra WAN-optimering.
Ansluta virtuella nätverk
Du kan länka samman virtuella nätverk med hjälp av virtuella nätverk peering. Peering gör det möjligt för resurser i varje virtuellt nätverk att kommunicera med varandra. Dessa virtuella nätverk kan finnas i separata regioner, så att du kan skapa ett globalt sammankopplat nätverk via Azure.
Inställningar för virtuellt Azure-nätverk
Du kan skapa och konfigurera virtuella Azure-nätverk från Azure-portalen, Azure PowerShell på din lokala dator eller Azure Cloud Shell.
Skapa ett virtuellt nätverk
När du skapar ett virtuellt Azure-nätverk konfigurerar du många grundläggande inställningar. Du kan också konfigurera avancerade inställningar, till exempel flera undernät, DDoS-skydd (Distribuerad överbelastning) och tjänstslutpunkter.
Du konfigurerar följande inställningar för ett grundläggande virtuellt nätverk:
Nätverksnamn
Nätverksnamnet måste vara unikt i din prenumeration, men behöver inte vara globalt unikt. Gör namnet beskrivande och enkelt att komma ihåg och identifiera från andra virtuella nätverk.
Adressutrymme
När du konfigurerar ett virtuellt nätverk definierar du det interna adressutrymmet i CIDR-format (Classless Inter-Domain Routning). Det här adressutrymmet måste vara unikt i din prenumeration och alla andra nätverk som du ansluter till.
Anta att du väljer adressutrymmet 10.0.0.0/24 för ditt första virtuella nätverk. Adresserna som definieras i det här adressutrymmet varierar från 10.0.0.1 till 10.0.0.254. Sedan skapar du ett andra virtuellt nätverk och väljer ett adressutrymme på 10.0.0.0/8. Adressen i det här adressutrymmet varierar från 10.0.0.1 till 10.255.255.254. Vissa av adresserna överlappar varandra och kan inte användas för de två virtuella nätverken.
Du kan dock använda 10.0.0.0/16, med adresser från 10.0.0.1 till 10.0.255.254 och 10.1.0.0/16, med adresser från 10.1.0.1 till 10.1.255.254. Du kan tilldela dessa adressutrymmen till dina virtuella nätverk eftersom det inte finns någon adress överlappning.
Not
Du kan lägga till adressutrymmen när du har skapat det virtuella nätverket.
Prenumeration
Gäller endast om du har flera prenumerationer att välja mellan.
resursgrupp
Precis som andra Azure-resurser måste ett virtuellt nätverk finnas i en resursgrupp. Du kan antingen välja en befintlig resursgrupp eller skapa en ny.
plats
Välj den plats där du vill att det virtuella nätverket ska finnas.
undernät
Inom varje adressintervall för virtuella nätverk kan du skapa ett eller flera undernät som partitioneras i det virtuella nätverkets adressutrymme. Routning mellan undernät beror sedan på standardtrafikvägarna, eller så kan du definiera anpassade vägar. Du kan också definiera ett undernät som omfattar alla de virtuella nätverkens adressintervall.
Not
Undernätsnamn måste börja med en bokstav eller siffra, sluta med en bokstav, ett nummer eller understreck och får endast innehålla bokstäver, siffror, understreck, punkter eller bindestreck.
DDoS-skydd
Du kan välja antingen Basic- eller Standard DDoS-skydd. Standard DDoS Protection är en premiumtjänst. Azure DDoS Protection innehåller mer information om DDoS Protection.
Serviceslutpunkter
Här aktiverar du tjänstslutpunkter och väljer sedan i listan vilka Azure-tjänstslutpunkter du vill aktivera. Alternativen inkluderar Azure Cosmos DB, Azure Service Bus, Azure Key Vault och så vidare.
När du har konfigurerat de här inställningarna väljer du Skapa.
Definiera andra inställningar
När du har skapat ett virtuellt nätverk kan du definiera ytterligare inställningar. De här inställningarna omfattar:
Nätverkssäkerhetsgrupp
Nätverkssäkerhetsgrupper har säkerhetsregler som gör att du kan filtrera den typ av nätverkstrafik som kan flöda in och ut från virtuella nätverksundernät och nätverksgränssnitt. Du skapar nätverkssäkerhetsgruppen separat och associerar den sedan med det virtuella nätverket.
Routningstabell
Azure skapar automatiskt en routningstabell för varje undernät i ett virtuellt Azure-nätverk och lägger till systemets standardvägar i tabellen. Du kan dock lägga till anpassade routningstabeller för att ändra trafik mellan virtuella nätverk.
Du kan också ändra tjänstslutpunkterna.
Konfigurera virtuella nätverk
När du har skapat ett virtuellt nätverk kan du ändra ytterligare inställningar från fönstret Virtuella nätverk i Azure-portalen. Du kan också använda PowerShell-kommandon i Cloud Shell för att göra ändringar.
Du kan sedan granska och ändra inställningar i ytterligare underintervall. De här inställningarna omfattar:
Adressutrymmen: Du kan lägga till ytterligare adressutrymmen i den inledande definitionen.
Anslutna enheter: Använd det virtuella nätverket för att ansluta datorer.
Undernät: Lägg till ytterligare undernät.
Peerings: Länka virtuella nätverk i peeringkonfigurationer.
Du kan också övervaka och felsöka virtuella nätverk eller skapa ett automatiseringsskript för att generera det aktuella virtuella nätverket.
Virtuella nätverk är kraftfulla och mycket konfigurerbara mekanismer för att ansluta entiteter i Azure. Du kan ansluta Azure-resurser till varandra eller till resurser som du har lokalt. Du kan isolera, filtrera och dirigera nätverkstrafiken, och Med Azure kan du öka säkerheten där du känner att du behöver den.