Prozkoumání virtuálních sítí Azure

  • 10 min

Virtuální sítě Azure jsou základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě umožňují vytvářet složité virtuální sítě podobné místní síti s dalšími výhodami infrastruktury Azure, jako je škálování, dostupnost a izolace.

Každá virtuální síť, kterou vytvoříte, má vlastní blok CIDR a dá se propojit s jinými virtuálními sítěmi a místními sítěmi, pokud se bloky CIDR nepřekrývají. Máte také kontrolu nad nastavením serveru DNS pro virtuální sítě a segmentací virtuální sítě do podsítí.

Možnosti virtuálních sítí Azure

Virtuální sítě Azure umožňují prostředkům v Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.

  • Komunikace s internetem. Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Veřejnou IP adresu nebo veřejný Load Balancer můžete použít také ke správě odchozích připojení.
  • Komunikace mezi prostředky Azure Existují tři klíčové mechanismy, kterými může prostředek Azure komunikovat: virtuální sítě, koncové body služeb virtuální sítě a partnerský vztah virtuálních sítí. Virtuální sítě se můžou připojovat nejen k virtuálním počítačům, ale i dalším prostředkům Azure, jako jsou App Service Environment, Azure Kubernetes Service a Azure Virtual Machine Scale Sets. Pomocí koncových bodů služby se můžete připojit k dalším typům prostředků Azure, jako jsou databáze SQL Azure a účty úložiště. Když vytvoříte virtuální síť, můžou vaše služby a virtuální počítače ve vaší virtuální síti komunikovat přímo a bezpečně mezi sebou v cloudu.
  • Komunikace mezi místními prostředky Bezpečné rozšíření datového centra K virtuální síti můžete připojit místní počítače a sítě pomocí některé z následujících možností: virtuální privátní síť typu Point-to-Site (VPN), VPN typu Site-to-Site, Azure ExpressRoute.
  • Filtrování síťového provozu Síťový provoz mezi podsítěmi můžete filtrovat pomocí jakékoli kombinace skupin zabezpečení sítě a síťových virtuálních zařízení, jako jsou brány firewall, brány, proxy servery a služby PŘEKLADU ADRES (NAT).
  • Směrování síťového provozu Azure ve výchozím nastavení směruje provoz mezi podsítěmi, propojenými virtuálními sítěmi, místními sítěmi a internetem. K přepsání výchozích tras, které Azure vytvoří, můžete implementovat směrovací tabulky nebo trasy protokolu BGP (Border Gateway Protocol).

Aspekty návrhu pro virtuální sítě Azure

Adresní prostor a podsítě

Pro každé předplatné můžete vytvořit více virtuálních sítí. V rámci každé virtuální sítě můžete vytvořit více podsítí.

Virtuální sítě

Při vytváření virtuální sítě se doporučuje použít rozsahy adres uvedené v dokumentu RFC 1918, které byly vyhrazeny nástrojem IETF pro privátní nesměrovatelné adresní prostory:

  • 10.0.0.0 – 10.255.255.255 (předpona 10/8)
  • 172.16.0.0 – 172.31.255.255 (předpona 172.16/12)
  • 192.168.0.0 – 192.168.255.255 (předpona 192.168/16)

Kromě toho nemůžete přidat následující rozsahy adres:

  • 224.0.0.0/4 (vícesměrové vysílání)
  • 255.255.255.255/32 (Vysílání)
  • 127.0.0.0/8 (zpětné smyčky)
  • 169.254.0.0/16 (link-local)
  • 168.63.129.16/32 (interní DNS)

Azure přiřazuje prostředkům ve virtuální síti privátní IP adresu z adresního prostoru, který zřídíte. Pokud například nasadíte virtuální počítač ve virtuální síti s adresní prostorem podsítě 192.168.1.0/24, přiřadí se virtuálnímu počítači privátní IP adresa, například 192.168.1.4. Azure si v každé podsíti vyhrazuje první čtyři a poslední IP adresu na celkem 5 IP adres. Jedná se o x.x.x.0-x.x.x.3 a poslední adresu podsítě.

Rozsah IP adres 192.168.1.0/24 má například následující rezervované adresy:

  • 192.168.1.0 : Síťová adresa
  • 192.168.1.1: Vyhrazeno azure pro výchozí bránu
  • 192.168.1.2, 192.168.1.3: Vyhrazeno Službou Azure pro mapování IP adres DNS Azure do prostoru virtuální sítě
  • 192.168.1.255 : Adresa vysílání sítě.

Při plánování implementace virtuálních sítí je potřeba zvážit následující:

  • Ujistěte se, že se nepřekrývají adresní prostory. Ujistěte se, že se adresní prostor virtuální sítě (blok CIDR) nepřekrývá s ostatními rozsahy sítě vaší organizace.
  • Vyžaduje se nějaká izolace zabezpečení?
  • Potřebujete zmírnit omezení přidělování IP adres?
  • Budou mezi virtuálními sítěmi Azure a místními sítěmi připojení?
  • Vyžaduje se nějaká izolace pro účely správy?
  • Používáte nějaké služby Azure, které vytvářejí vlastní virtuální sítě?

Podsítě

Podsíť je rozsah IP adres ve virtuální síti. Virtuální sítě můžete segmentovat do podsítí různých velikostí a vytvářet tolik podsítí, kolik potřebujete pro organizaci a zabezpečení v rámci limitu předplatného. Prostředky Azure pak můžete nasadit v konkrétní podsíti. Stejně jako v tradiční síti umožňují podsítě segmentovat adresní prostor virtuální sítě do segmentů, které jsou vhodné pro interní síť organizace. To také zlepšuje efektivitu přidělování adres. Nejmenší podporovaná podsíť IPv4 je /29 a největší je /2 (pomocí definic podsítě CIDR). Podsítě IPv6 musí mít velikost přesně /64. Při plánování implementace podsítí je potřeba zvážit následující:

  • Každá podsíť musí mít jedinečný rozsah adres zadaný ve formátu CIDR (Classless Inter-Domain Routing).
  • Některé služby Azure vyžadují vlastní podsíť.
  • Podsítě je možné použít ke správě provozu. Můžete například vytvořit podsítě pro směrování provozu přes síťové virtuální zařízení.
  • Přístup k prostředkům Azure můžete omezit na konkrétní podsítě pomocí koncového bodu služby virtuální sítě. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné.

Určení konvence vytváření názvů

V rámci návrhu sítě Azure je důležité naplánovat zásady vytváření názvů pro vaše prostředky. Efektivní konvence vytváření názvů se skládá z důležitých informací o jednotlivých prostředcích. Dobře zvolený název vám pomůže rychle identifikovat typ prostředku, jeho přidruženou úlohu, prostředí nasazení a oblast Azure, která ho hostuje. Například prostředek veřejné IP adresy pro produkční úlohu SharePointu umístěný v oblasti USA – západ může být pip-sharepoint-prod-westus-001.

Azure resource naming example.

Všechny typy prostředků Azure mají obor, který definuje úroveň, kterou názvy prostředků musí být jedinečné. Prostředek musí mít v rámci svého oboru jedinečný název. Obor můžete zadat čtyřmi úrovněmi: skupina pro správu, předplatné, skupina prostředků a prostředek. Obory jsou hierarchické, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji.

Například virtuální síť má obor skupiny prostředků, což znamená, že v každé skupině prostředků může existovat pouze jedna síť s názvem vnet-prod-westus-001. Jiné skupiny prostředků můžou mít vlastní virtuální síť s názvem vnet-prod-westus-001. Podsítě jsou omezené na virtuální sítě, takže každá podsíť v rámci virtuální sítě musí mít jedinečný název.

Principy oblastí a předplatných

Všechny prostředky Azure se vytvářejí v oblasti a předplatném Azure. Prostředek lze vytvořit pouze ve virtuální síti, která existuje ve stejné oblasti a předplatném jako prostředek. Můžete ale propojit virtuální sítě, které existují v různých předplatných a oblastech. Oblasti Azure jsou důležité při návrhu sítě Azure ve vztahu k vaší infrastruktuře, datům, aplikacím a koncovým uživatelům.

V rámci každého předplatného můžete nasadit tolik virtuálních sítí, kolik potřebujete, až do limitu předplatného. Některé větší organizace s globálními nasazeními mají například několik virtuálních sítí propojených mezi oblastmi.

Screen capture of a World map showing Azure global network.

Zóny dostupnosti Azure

Zóna dostupnosti Azure umožňuje definovat jedinečná fyzická umístění v rámci oblasti. Každou zónu tvoří jedno nebo několik datacenter vybavených nezávislým napájením, chlazením a sítí. Navržené tak, aby zajistily vysokou dostupnost služeb Azure, fyzické oddělení Zóny dostupnosti v rámci oblasti chrání aplikace a data před selháním datacentra.

Azure region showing three availability zones.

Při návrhu sítě Azure byste měli zvážit zóny dostupnosti a naplánovat služby, které podporují zóny dostupnosti.

Služby Azure, které podporují Zóny dostupnosti spadají do tří kategorií:

  • Zónové služby: Prostředky je možné připnout ke konkrétní zóně. Například virtuální počítače, spravované disky nebo standardní IP adresy je možné připnout ke konkrétní zóně, což umožňuje zvýšit odolnost tím, že se jedna nebo několik instancí prostředků rozdělí mezi zónami.
  • Zónově redundantní služby: Prostředky se replikují nebo distribuují mezi zóny automaticky. Azure replikuje data napříč třemi zónami, aby selhání zóny nemělo vliv na její dostupnost.
  • Neregionální služby: Služby jsou vždy dostupné z geografických oblastí Azure a jsou odolné vůči výpadkům v celé zóně i výpadkům v celé oblasti.