Plánování virtuálních sítí

Vytvoření virtuální sítě pro experimentování je dostatečně snadné, ale je pravděpodobné, že časem nasadíte více virtuálních sítí, abyste podpořili produkční potřeby vaší organizace. Při plánování budete moct nasazovat virtuální sítě a efektivněji připojovat prostředky, které potřebujete. Informace v tomto článku jsou nejužitenější, pokud už jste obeznámeni s virtuálními sítěmi a máte s nimi nějaké zkušenosti. Pokud virtuální sítě dobře znáte, doporučujeme přečíst si přehled virtuálních sítí.

Pojmenování

Všechny prostředky Azure mají název. Název musí být jedinečný v rámci oboru, který se může pro každý typ prostředku lišit. Například název virtuální sítě musí být v rámci skupiny prostředků jedinečný,ale může být duplikovaný v rámci předplatného nebo oblasti Azure. Definování zásady vytváření názvů, které můžete při vytváření názvů prostředků používat konzistentně, je užitečné při správě několika síťových prostředků v průběhu času. Návrhy najdete v tématu Zásady vytváření názvů.

Oblasti

Všechny prostředky Azure se vytvářejí v oblasti a předplatném Azure. Prostředek je možné vytvořit pouze ve virtuální síti, která existuje ve stejné oblasti a předplatném jako prostředek. Můžete ale propojit virtuální sítě, které existují v různých předplatných a oblastech. Další informace najdete v tématu připojení. Při rozhodování o tom, ve kterých oblastech se mají prostředky nasadit, zvažte, kde se fyzicky nacházejí spotřebitelé prostředků:

  • Spotřebiteli prostředků obvykle chtějí u svých prostředků nejnižší latenci sítě. Pokud chcete určit relativní latence mezi zadaným umístěním a oblastmi Azure, podívejte se na zobrazení relativních latencí.
  • Máte požadavky na rezidenci dat, suverenitu, dodržování předpisů nebo odolnost? Pokud ano, výběr oblasti, která je v souladu s požadavky, je zásadní. Další informace najdete v tématu Geografické oblasti Azure.
  • Vyžadujete odolnost proti chybám Zóny dostupnosti Azure prostředků ve stejné oblasti Azure pro prostředky, které nasazujete? Prostředky, jako jsou virtuální počítače, můžete nasadit do různých zón dostupnosti v rámci stejné virtuální sítě. Zóny dostupnosti ale nepodporují všechny oblasti Azure. Další informace o zónách dostupnosti a oblastech, které je podporují, najdete v tématu Zóny dostupnosti.

Předplatná

V rámci každého předplatného můžete nasadit tolik virtuálních sítí, kolik je potřeba, až do limitu. Některé organizace mají například různá předplatná pro různá oddělení. Další informace a důležité informace týkající se předplatných najdete v tématu Zásady správného řízení předplatného.

Segmentation

Pro jedno předplatné a oblast můžete vytvořit několik virtuálních sítí. V každé virtuální síti můžete vytvořit několik podsítí. Následující aspekty vám pomůžou určit, kolik virtuálních sítí a podsítí potřebujete:

Virtuální sítě

Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Každá virtuální síť je vyhrazená pro vaše předplatné. Co je třeba zvážit při rozhodování, jestli v předplatném vytvořit jednu virtuální síť nebo více virtuálních sítí:

  • Existují nějaké požadavky na zabezpečení organizace pro izolování provozu do samostatných virtuálních sítí? Můžete se rozhodnout pro připojení virtuálních sítí, nebo ne. Pokud propojíte virtuální sítě, můžete implementovat síťové virtuální zařízení, jako je brána firewall, abyste mohli řídit tok provozu mezi virtuálními sítěmi. Další informace najdete v tématu Zabezpečení a připojení.
  • Existují nějaké požadavky organizace na izolování virtuálních sítí do samostatných předplatných nebo oblastí?
  • Síťové rozhraní umožňuje virtuálnímu počítače komunikovat s jinými prostředky. Každé síťové rozhraní má přiřazenou jednu nebo více privátních IP adres. Kolik síťových rozhraní a privátních IP adres ve virtuální síti potřebujete? Existují omezení počtu síťových rozhraní a privátních IP adres, které můžete mít v rámci virtuální sítě.
  • Chcete virtuální síť připojit k jiné virtuální nebo místní síti? Můžete se rozhodnout propojit některé virtuální sítě mezi sebou nebo k místním sítím, ale ne k jiným. Další informace najdete v tématu připojení. Každá virtuální síť, kterou připojíte k jiné virtuální síti nebo místní síti, musí mít jedinečný adresní prostor. Každá virtuální síť má jeden nebo více veřejných nebo privátních rozsahů adres přiřazených k adresní prostoru. Rozsah adres je určený ve formátu CIDR (Classless Internet Domain Routing), například 10.0.0.0/16. Přečtěte si další informace o rozsahech adres pro virtuální sítě.
  • Máte nějaké požadavky na správu organizace pro prostředky v různých virtuálních sítích? Pokud ano, můžete prostředky rozdělit do samostatné virtuální sítě, abyste zjednodušili přiřazování oprávnění jednotlivcům ve vaší organizaci nebo přiřazování různých zásad různým virtuálním sítím.
  • Když nasadíte některé prostředky služeb Azure do virtuální sítě, vytvoří si vlastní virtuální síť. Pokud chcete zjistit, jestli služba Azure vytvoří vlastní virtuální síť, podívejte se na informace o každé službě Azure, kterou je možné nasadit do virtuální sítě.

Podsítě

Virtuální síť je možné segmentovat do jedné nebo více podsítí až do limitů. Co je třeba zvážit při rozhodování, jestli v předplatném vytvořit jednu podsíť nebo více virtuálních sítí:

  • Každá podsíť musí mít jedinečný rozsah adres určený ve formátu CIDR v rámci adresního prostoru virtuální sítě. Rozsah adres se nemůže překrývat s jinými podsítěmi ve virtuální síti.
  • Pokud plánujete nasadit některé prostředky služeb Azure do virtuální sítě, mohou vyžadovat nebo vytvořit vlastní podsíť, takže k tomu musí být dostatek nepřiděleného místa. Pokud chcete zjistit, jestli služba Azure vytvoří vlastní podsíť, podívejte se na informace o každé službě Azure, kterou je možné nasadit do virtuální sítě. Pokud například připojíte virtuální síť k místní síti pomocí služby Azure VPN Gateway, musí mít virtuální síť vyhrazenou podsíť pro bránu. Další informace o podsítích brány.
  • Azure ve výchozím nastavení směruje síťový provoz mezi všemi podsítěmi ve virtuální síti. Můžete například přepsat výchozí směrování Azure, abyste zabránili směrování Azure mezi podsítěmi, nebo směrovat provoz mezi podsítěmi přes síťové virtuální zařízení. Pokud potřebujete, aby provoz mezi prostředky ve stejné virtuální síti protékal síťovým virtuálním zařízením, nasaďte prostředky do různých podsítí. Další informace o zabezpečení
  • Přístup k prostředkům Azure, jako je účet úložiště Azure nebo Azure SQL Database, můžete omezit na konkrétní podsítě s koncovým bodem služby pro virtuální síť. Dále můžete odepřít přístup k prostředkům z internetu. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné. Přečtěte si další informace o koncových bodechslužby a zdrojích Azure, pro které je můžete povolit.
  • Ke každé podsíti ve virtuální síti můžete přidružit žádnou nebo jednu skupinu zabezpečení sítě. Ke každé podsíti můžete přidružit stejnou nebo jinou skupinu zabezpečení sítě. Každá skupina zabezpečení sítě obsahuje pravidla, která povolují nebo zakírají provoz do a ze zdrojů a cílů. Další informace o skupinách zabezpečení sítě.

Zabezpečení

Síťový provoz do a z prostředků ve virtuální síti můžete filtrovat pomocí skupin zabezpečení sítě a síťových virtuálních zařízení. Můžete řídit, jak Azure směruje provoz z podsítí. Můžete také omezit, kdo ve vaší organizaci může pracovat s prostředky ve virtuálních sítích.

Filtrování provozu

  • Síťový provoz mezi prostředky ve virtuální síti můžete filtrovat pomocí skupiny zabezpečení sítě, síťového virtuálního zařízení, které filtruje síťový provoz, nebo obojího. Informace o nasazení síťového virtuálního zařízení, jako je brána firewall, k filtrování síťového provozu, najdete v Azure Marketplace. Při použití síťového virtuálního zařízení také vytvoříte vlastní trasy pro směrování provozu z podsítí do síťového virtuálního zařízení. Další informace o směrování provozu.
  • Skupina zabezpečení sítě obsahuje několik výchozích pravidel zabezpečení, která povolují nebo zakírají provoz do nebo z prostředků. Skupina zabezpečení sítě může být přidružená k síťovému rozhraní, podsíti, ve které se síťové rozhraní nachází, nebo k oběma. Pokud chcete zjednodušit správu pravidel zabezpečení, doporučujeme přidružit skupinu zabezpečení sítě k jednotlivým podsítím, a ne k jednotlivým síťovým rozhraním v rámci podsítě, kdykoli je to možné.
  • Pokud různé virtuální počítače v rámci podsítě potřebují použít různá pravidla zabezpečení, můžete síťové rozhraní ve virtuálním počítače přidružit k jedné nebo více skupinám zabezpečení aplikace. Pravidlo zabezpečení může zadat skupinu zabezpečení aplikace ve svém zdroji, cíli nebo obojím. Toto pravidlo se pak vztahuje pouze na síťová rozhraní, která jsou členy skupiny zabezpečení aplikace. Přečtěte si další informace o skupinách zabezpečení sítě a skupinách zabezpečení aplikací.
  • Azure v každé skupině zabezpečení sítě vytvoří několik výchozích pravidel zabezpečení. Jedno výchozí pravidlo umožňuje tok veškerého provozu mezi všemi prostředky ve virtuální síti. Pokud chcete toto chování přepsat, použijte skupiny zabezpečení sítě, vlastní směrování pro směrování provozu do síťového virtuálního zařízení nebo obojí. Doporučujeme, abyste se seznámili se všemi výchozími pravidly zabezpečení Azure a seznámili se s tím, jak se pravidla skupiny zabezpečení sítě aplikují na prostředek.

Můžete si prohlédnout ukázkové návrhy pro implementaci hraniční sítě (označované také jako DMZ) mezi Azure a Internetem pomocí síťové virtuální zařízení.

Směrování provozu

Azure vytvoří několik výchozích tras pro odchozí provoz z podsítě. Výchozí směrování Azure můžete přepsat tak, že vytvoříte směrovací tabulku a přidružíte ji k podsíti. Mezi běžné důvody pro přepsání výchozího směrování Azure patří:

  • Vzhledem k tomu, že chcete, aby tok dat mezi podsítěmi síťové virtuální zařízení. Další informace o tom, jak nakonfigurovat směrovací tabulky pro vynucení provozu přes síťové virtuální zařízení.
  • Vzhledem k tomu, že chcete vynutit všechny přenosy vázané na Internet prostřednictvím síťové virtuální zařízení nebo místního prostředí prostřednictvím služby Azure VPN Gateway. Pro kontrolu a protokolování se často označuje jako vynucené tunelové propojení v místním prostředí pro Internet. Přečtěte si další informace o tom, jak nakonfigurovat vynucené tunelování.

Pokud potřebujete implementovat vlastní směrování, doporučujeme, abyste se seznámili se směrováním v Azure.

Připojení

Virtuální síť můžete připojit k jiným virtuálním sítím pomocí partnerského vztahu virtuálních sítí nebo k místní síti pomocí Azure VPN Gateway.

Partnerské vztahy

Při použití partnerského vztahu virtuálních sítímůžou být virtuální sítě ve stejné nebo jiné podporované oblasti Azure. virtuální sítě můžou být ve stejném nebo jiném předplatném Azure (dokonce i v předplatných, která patří různým Azure Active Directorym klientům). Před vytvořením partnerského vztahu doporučujeme, abyste se seznámili se všemi požadavky a omezenímipartnerských vztahů. Šířka pásma mezi prostředky ve virtuálních sítích partnerských ve stejné oblasti je stejná, jako kdyby byly prostředky ve stejné virtuální síti.

VPN Gateway

Pomocí VPN Gateway Azure můžete připojit virtuální síť k místní síti pomocí sítě VPN typu Site-to-sitenebo pomocí vyhrazeného připojení s Azure ExpressRoute.

Partnerský vztah a bránu sítě VPN můžete kombinovat a vytvořit tak sítě rozbočovačů a paprsků, ve kterých se virtuální sítě s paprsky připojují k virtuální síti rozbočovače, a rozbočovač se připojí k místní síti, například.

Překlad adres

Prostředky v jedné virtuální síti nemůžou přeložit názvy prostředků v partnerské virtuální síti pomocí integrované DNSAzure. Chcete-li přeložit názvy v partnerské virtuální síti, Nasaďte vlastní server DNSnebo použijte Azure DNS privátní domény. Překlad názvů mezi prostředky ve virtuální síti a v místních sítích taky vyžaduje, abyste nasadili vlastní server DNS.

Oprávnění

Azure využívá řízení přístupu na základě role v Azure (Azure RBAC) k prostředkům. Oprávnění jsou přiřazena k oboru v následující hierarchii: skupina pro správu, předplatné, skupina prostředků a jednotlivé prostředky. Další informace o hierarchii najdete v tématu uspořádání prostředků. Pokud chcete pracovat s virtuálními sítěmi Azure a všemi jejich souvisejícími možnostmi, jako je například partnerský vztah, skupiny zabezpečení sítě, koncové body služby a směrovací tabulky, můžete členům vaší organizace přiřadit předdefinované role přispěvatele , přispěvatelenebo sítě a potom přiřadit roli příslušnému oboru. Pokud chcete přiřadit konkrétní oprávnění k podmnožině možností virtuální sítě, vytvořte vlastní roli a přiřaďte specifická oprávnění požadovaná pro virtuální sítě, podsítě a koncové body služby, Síťová rozhraní, partnerské vztahy, skupiny zabezpečení sítě a aplikacenebo směrovací tabulky k roli.

Zásady

Azure Policy vám umožní vytvářet, přiřazovat a spravovat definice zásad. Definice zásad pro vaše prostředky vynutila různá pravidla, takže prostředky zůstávají v souladu se standardy vaší organizace a smlouvami o úrovni služeb. Azure Policy spouští vyhodnocení vašich prostředků, hledá prostředky, které nejsou kompatibilní s definicemi zásad, které máte. Můžete například definovat a použít zásadu, která umožňuje vytváření virtuálních sítí jenom v konkrétní skupině prostředků nebo oblasti. Jiná zásada může vyžadovat, aby každá podsíť měla přidruženou skupinu zabezpečení sítě. Zásady se pak vyhodnotí při vytváření a aktualizaci prostředků.

Zásady jsou aplikovány na následující hierarchii: skupina pro správu, předplatné a skupina prostředků. Přečtěte si další informace o Azure Policy nebo nasazení některých Azure Policy definicvirtuálních sítí.

Další kroky

Přečtěte si o všech úlohách, nastaveních a možnostech pro virtuální síť, podsíť a koncový bod služby, síťové rozhraní, partnerský vztah, síť a skupinu zabezpečení aplikacenebo směrovací tabulku.