Что такое виртуальная сеть Azure?

  • Статья

Azure виртуальная сеть — это служба, которая является основным стандартным блоком для частной сети в Azure. Экземпляр службы (виртуальная сеть) позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. К этим ресурсам Azure относятся виртуальные машины.

Виртуальная сеть похожа на традиционную сеть, в которой вы бы работали в собственном центре обработки данных. Но это дает дополнительные преимущества инфраструктуры Azure, такие как масштабирование, доступность и изоляция.

Зачем использовать виртуальную сеть Azure?

Ниже перечислены основные сценарии, которые можно выполнить с помощью виртуальной сети.

  • Связь ресурсов Azure с Интернетом.

  • Обмен данными между ресурсами Azure.

  • Взаимодействие с локальными ресурсами.

  • Фильтрация сетевого трафика.

  • Маршрутизация сетевого трафика.

  • Интеграция со службами Azure.

Обмен данными через Интернет

По умолчанию все ресурсы в виртуальной сети могут обмениваться исходящими данными через Интернет. Вы также можете использовать общедоступный IP-адрес, шлюз NAT или общедоступную подсистему балансировки нагрузки для управления исходящими подключениями. Вы можете обмениваться данными с ресурсом, назначив общедоступный IP-адрес или общедоступную подсистему балансировки нагрузки.

При использовании только внутренней подсистемы балансировки нагрузки уровня "Стандартный" исходящие подключения недоступны, пока вы не определите, как исходящие подключения должны работать с общедоступным IP-адресом уровня экземпляра или общедоступной подсистемой балансировки нагрузки.

Обмен данными между ресурсами Azure

Безопасный обмен данными между ресурсами обеспечивается одним из следующих способов:

  • Виртуальная сеть. Виртуальные машины и другие типы ресурсов Azure можно развертывать в виртуальной сети. Примеры ресурсов: Служба приложений Environments, Служба Azure Kubernetes (AKS) и Azure Масштабируемые наборы виртуальных машин. Полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. в статье Развертывание выделенных служб Azure в виртуальных сетях.

  • Конечная точка службы виртуальной сети. Вы можете расширить частное адресное пространство виртуальной сети и удостоверение виртуальной сети для ресурсов службы Azure через прямое подключение. Примерами ресурсов являются учетные записи хранения Azure и база данных Azure SQL. Конечные точки служб позволяют защищать критически важные ресурсы служб Azure в пределах вашей виртуальной сети. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.

  • Пиринг между виртуальными сетями. Виртуальные сети можно подключать друг к другу с помощью виртуального пиринга. После этого ресурсы в любой виртуальной сети могут взаимодействовать друг с другом. Виртуальные сети, к которым вы подключаетесь, могут находиться в одном или разных регионах Azure. Дополнительные сведения см. в статье Пиринг между виртуальными сетями.

Обмен данными через локальные ресурсы

Локальные компьютеры и сети можно подключить к виртуальной сети с помощью любого из следующих вариантов:

  • Виртуальная частная сеть (VPN) типа "точка — сеть": устанавливается между виртуальной сетью и одним компьютером в сети. Необходимо настроить подключение для каждого компьютера, который требуется подключить к виртуальной сети. Этот тип подключения полезен, если вы только начинаете работу с Azure или для разработчиков, так как для него требуется несколько изменений или никаких изменений в существующей сети. Обмен данными между компьютером и виртуальной сетью осуществляется через Интернет с помощью зашифрованного туннеля. Дополнительные сведения см. в разделе Сведения о VPN типа "точка — сеть".

  • VPN типа "сеть — сеть" — устанавливается между локальным VPN-устройством и VPN-шлюзом Azure, развернутым в виртуальной сети. Используя такой тип соединения, авторизованные локальные ресурсы могут получить доступ к виртуальной сети. Обмен данными между локальным VPN-устройством и VPN-шлюзом Azure осуществляется через Интернет с помощью зашифрованного туннеля. Дополнительные сведения см. в разделе о VPN-подключении "сеть — сеть".

  • Azure ExpressRoute: устанавливается между сетью и Azure через партнера ExpressRoute. Это подключение является закрытым. Трафик не передается через Интернет. Дополнительные сведения см. в статье Что такое Azure ExpressRoute?.

фильтрацию сетевого трафика;

Вы можете фильтровать сетевой трафик между подсетями, используя один или оба из следующих параметров:

  • Группы безопасности сети. Группы безопасности сети и группы безопасности приложений могут содержать несколько правил безопасности для входящего и исходящего трафика. Эти правила позволяют фильтровать трафик в ресурсы и из них по исходному и целевому IP-адресу, порту и протоколу. Дополнительные сведения см. в разделах Группы безопасности сети и Группы безопасности приложений.

  • Сетевые виртуальные устройства. Виртуальный сетевой (модуль) — это виртуальная машина, которая выполняет сетевую функцию, например оптимизацию брандмауэра или глобальной сети. Чтобы просмотреть список доступных виртуальных сетевых устройств, которые можно развернуть в виртуальной сети, перейдите к Azure Marketplace.

Маршрутизация сетевого трафика

По умолчанию Azure направляет трафик между подсетями, подключенными виртуальными сетями, локальными сетями и Интернетом. Вы можете реализовать один или оба из следующих параметров, чтобы переопределить маршруты по умолчанию, создаваемые Azure:

  • Таблицы маршрутизации. Вы можете создавать настраиваемые таблицы маршрутов , которые определяют, куда направляется трафик для каждой подсети.

  • Маршруты протокола BGP. Если вы подключаете виртуальную сеть к локальной сети с помощью VPN-шлюза Azure или подключения ExpressRoute , вы можете распространить локальные маршруты BGP на виртуальные сети.

Интеграция со службами Azure

Интеграция служб Azure с виртуальной сетью Azure обеспечивает частный доступ к службе из виртуальных машин или вычислительных ресурсов в виртуальной сети. Для этой интеграции можно использовать следующие параметры:

  • Развертывание выделенных экземпляров службы в виртуальной сети. В этом случае закрытый доступ к этим службам сможет осуществляться в виртуальной сети и из локальных сетей.

  • Используйте Приватный канал Azure для частного доступа к определенному экземпляру службы из виртуальной сети и из локальных сетей.

  • Доступ к службе через общедоступные конечные точки путем расширения виртуальной сети для службы через конечные точки службы. Конечные точки службы позволяют защитить ресурсы службы в виртуальной сети.

Ограничения

Количество ресурсов Azure, которые можно развернуть, ограничено. Для большинства ограничений сети Azure заданы максимальные значения. Однако вы можете увеличить определенные ограничения сети. Дополнительные сведения см. в разделе Ограничения сети.

Виртуальные сети и зоны доступности

Виртуальные сети и подсети охватывают все зоны доступности в регионе. Их не нужно разделять по зонам доступности для размещения зональных ресурсов. Например, если вы настроили зональную виртуальную машину, то при выборе зоны доступности для виртуальной машины вам не понадобиться принимать во внимание виртуальную сеть. Это касается и других зональных ресурсов.

Цены

Плата за использование azure виртуальная сеть не взимается. Это бесплатно. За ресурсы, такие как виртуальные машины и другие продукты, взимается стандартная плата. Дополнительные сведения см. в виртуальная сеть ценах и калькуляторе цен Azure.

Дальнейшие действия