Co je Azure Virtual Network?

Azure Virtual Network je služba, která poskytuje základní stavební blok pro vaši privátní síť v Azure. Instance služby (virtuální síť) umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Mezi tyto prostředky Azure patří virtuální počítače.

Virtuální síť je podobná tradiční síti, kterou provozujete ve svém vlastním datacentru. Přináší ale další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Proč používat virtuální síť Azure?

Mezi klíčové scénáře, které můžete provést s virtuální sítí, patří:

• Komunikace prostředků Azure s internetem.

• Komunikace mezi prostředky Azure.

• Komunikace s místními prostředky.

• Filtrování síťového provozu.

• Směrování síťového provozu.

• Integrace se službami Azure

Komunikace s internetem

Všechny prostředky ve virtuální síti můžou ve výchozím nastavení komunikovat odchozí s internetem. Ke správě odchozích připojení můžete použít také veřejnou IP adresu, službu NAT Gateway nebo veřejný nástroj pro vyrovnávání zatížení. Příchozí komunikaci s prostředkem můžete provést přiřazením veřejné IP adresy nebo veřejného nástroje pro vyrovnávání zatížení.

Pokud používáte jenom interní nástroj pro vyrovnávání zatížení úrovně Standard, není odchozí připojení dostupné, dokud nedefinujete, jak mají odchozí připojení fungovat s veřejnou IP adresou na úrovni instance nebo s veřejným nástrojem pro vyrovnávání zatížení.

Komunikace mezi prostředky Azure

Prostředky Azure mezi sebou zabezpečeně komunikují jedním z následujících způsobů:

• Virtuální síť: Ve virtuální síti můžete nasadit virtuální počítače a další typy prostředků Azure. Mezi příklady prostředků patří prostředí App Service, Azure Kubernetes Service (AKS) a Azure Virtual Machine Scale Sets. Úplný seznam prostředků Azure, které můžete nasadit ve virtuální síti, najdete v tématu Nasazení vyhrazených služeb Azure do virtuálních sítí.

• Koncový bod služby virtuální sítě: Přes přímé připojení můžete rozšířit privátní adresní prostor virtuální sítě a identitu virtuální sítě na prostředky služby Azure. Mezi příklady prostředků patří účty Azure Storage a Azure SQL Database. Koncové body služeb umožňují svázat vaše důležité prostředky služeb Azure pouze s virtuální sítí. Další informace najdete v tématu Koncové body služeb virtuální sítě.

• Partnerský vztah virtuálních sítí: Virtuální sítě můžete vzájemně propojit pomocí virtuálního partnerského vztahu. Prostředky v obou virtuálních sítích pak můžou vzájemně komunikovat. Virtuální sítě, které připojíte, můžou být ve stejných nebo různých oblastech Azure. Další informace najdete v tématu Partnerský vztah virtuálních sítí.

Komunikace s místními prostředky

Místní počítače a sítě můžete připojit k virtuální síti pomocí některé z následujících možností:

• Virtuální privátní síť (VPN) typu point-to-site: Vytvořeno mezi virtuální sítí a jedním počítačem v síti. Každý počítač, který chcete navázat připojení k virtuální síti, musí toto připojení nakonfigurovat. Tento typ připojení je užitečný, pokud teprve začínáte s Azure, nebo pro vývojáře, protože vyžaduje jen málo nebo žádné změny stávající sítě. Komunikace mezi počítačem a virtuální sítí se odesílá prostřednictvím šifrovaného tunelu přes internet. Další informace najdete v tématu o síti VPN typu point-to-site.

• Vpn typu site-to-site: Vytvořeno mezi místním zařízením VPN a bránou AZURE VPN, která je nasazená ve virtuální síti. Tento typ připojení povoluje přístup k virtuální síti všem místním prostředkům, které autorizujete. Komunikace mezi místním zařízením VPN a službou Azure VPN Gateway se odesílá prostřednictvím šifrovaného tunelu přes internet. Další informace najdete v tématu popisujícím síť VPN typu Site-to-Site.

• Azure ExpressRoute: Vytvořeno mezi vaší sítí a Azure prostřednictvím partnera ExpressRoute. Toto připojení je soukromé. Provoz neprochází přes internet. Další informace najdete v tématu Co je Azure ExpressRoute?.

Filtrování provozu sítě

Síťový provoz mezi podsítěmi můžete filtrovat pomocí jedné nebo obou následujících možností:

• Skupiny zabezpečení sítě: Skupiny zabezpečení sítě a skupiny zabezpečení aplikací můžou obsahovat několik příchozích a odchozích pravidel zabezpečení. Tato pravidla umožňují filtrovat provoz do a z prostředků podle zdrojové a cílové IP adresy, portu a protokolu. Další informace najdete v tématech Skupiny zabezpečení sítě a Skupiny zabezpečení aplikací.

• Síťová virtuální zařízení: Síťové virtuální zařízení je virtuální počítač, který provádí síťové funkce, jako je brána firewall nebo optimalizace sítě WAN. Pokud chcete zobrazit seznam dostupných síťových virtuálních zařízení, která můžete nasadit ve virtuální síti, přejděte na Azure Marketplace.

Směrování provozu sítě

Azure ve výchozím nastavení směruje provoz mezi podsítěmi, připojenými virtuálními sítěmi, místními sítěmi a internetem. Pokud chcete přepsat výchozí trasy, které Azure vytváří, můžete implementovat jednu nebo obě z následujících možností:

• Směrovací tabulky: Můžete vytvořit vlastní směrovací tabulky , které určují, kam se provoz pro jednotlivé podsítě směruje.

• Trasy protokolu BGP (Border Gateway Protocol): Pokud připojíte virtuální síť k místní síti pomocí brány Azure VPN nebo připojení ExpressRoute , můžete místní trasy protokolu BGP rozšířit do virtuálních sítí.

Integrace se službami Azure

Integrace služeb Azure s virtuální sítí Azure umožňuje privátní přístup ke službě z virtuálních počítačů nebo výpočetních prostředků ve virtuální síti. Pro tuto integraci můžete použít následující možnosti:

• Nasaďte vyhrazené instance služby do virtuální sítě. Ke službám se pak dá přistupovat soukromě v rámci virtuální sítě a z místních sítí.

• Použijte Azure Private Link pro privátní přístup ke konkrétní instanci služby z vaší virtuální sítě a z místních sítí.

• Získejte přístup ke službě přes veřejné koncové body rozšířením virtuální sítě na službu prostřednictvím koncových bodů služby. Koncové body služby umožňují, aby se prostředky služby zabezpečily do virtuální sítě.

Omezení

Počet prostředků Azure, které můžete nasadit, jsou omezena. Většina omezení sítí Azure je na maximálních hodnotách. Můžete ale zvýšit určitá omezení sítě. Další informace najdete v tématu Omezení sítě.

Virtuální sítě a zóny dostupnosti

Virtuální sítě a podsítě pokrývají všechny zóny dostupnosti v oblasti. Abyste mohli pojmout zónové prostředky, nemusíte je dělit podle zón. Pokud například nakonfigurujete zónový virtuální počítač, nemusíte při výběru zóny dostupnosti virtuálního počítače brát v úvahu virtuální síť. Totéž platí pro ostatní zónové prostředky.

Ceny

Za používání Azure Virtual Network se neúčtují žádné poplatky. Je to zadarmo. Za prostředky, jako jsou virtuální počítače a další produkty, se účtují standardní poplatky. Další informace najdete v tématu o cenách Virtual Network a cenové kalkulačce Azure.

Další kroky

• Seznamte se s koncepty a osvědčenými postupy azure Virtual Network.

• Začněte používat virtuální síť vytvořením virtuální sítě, nasazením několika virtuálních počítačů do ní a komunikací mezi virtuálními počítači. Postup najdete v rychlém startu Použití Azure Portal k vytvoření virtuální sítě.

• Postupujte podle školicího modulu o návrhu a implementaci základní síťové infrastruktury Azure, včetně virtuálních sítí: Úvod do virtuálních sítí Azure.