Virtuális hálózatok tervezése

  • Cikk

A virtuális hálózat létrehozása elég egyszerű, de valószínű, hogy idővel több virtuális hálózatot fog üzembe helyezni, hogy támogassa a szervezet éles igényeit. Némi tervezéssel virtuális hálózatokat helyezhet üzembe, és hatékonyabban csatlakoztathatja a szükséges erőforrásokat. A cikkben szereplő információk akkor hasznosak, ha már ismeri a virtuális hálózatokat, és van némi tapasztalata a velük való munkában. Ha nem ismeri a virtuális hálózatokat, javasoljuk, hogy olvassa el a virtuális hálózatok áttekintését.

Elnevezés

Minden Azure-erőforrásnak van neve. A névnek egyedinek kell lennie egy hatókörön belül, amely az egyes erőforrástípusokhoz eltérő lehet. Egy virtuális hálózat nevének például egyedinek kell lennie egy erőforráscsoporton belül, de duplikálható egy előfizetésen vagy Azure-régión belül. Az erőforrások elnevezésekor következetesen használható elnevezési konvenció meghatározása hasznos lehet több hálózati erőforrás időben történő kezelésekor. A javaslatokért lásd az elnevezési konvenciókról szóló témakört.

Regions

Minden Azure-erőforrás egy Azure-régióban és -előfizetésben jön létre. Erőforrás csak olyan virtuális hálózaton hozható létre, amely ugyanabban a régióban és előfizetésben található, mint az erőforrás. Azonban különböző előfizetésekben és régiókban található virtuális hálózatokat is csatlakoztathat. További információ: kapcsolat. Amikor eldönti, hogy mely régió(ka)ban helyezi üzembe az erőforrásokat, fontolja meg, hogy az erőforrások felhasználói hol találhatók fizikailag:

  • Az erőforrások felhasználói általában a legalacsonyabb hálózati késést szeretnék elérni az erőforrásaikkal. A megadott hely és az Azure-régiók közötti relatív késések meghatározásához tekintse meg a relatív késések megtekintését.
  • Rendelkezik adattárolási, szuverenitási, megfelelőségi vagy rugalmassági követelményekkel? Ha igen, a követelményeknek megfelelő régió kiválasztása kritikus fontosságú. További információkért tekintse meg az Azure földrajzi helyeit.
  • Igényel rugalmasságot az azure-beli rendelkezésre állási zónák között ugyanazon az Azure-régión belül az üzembe helyezhető erőforrásokhoz? Az erőforrásokat, például a virtuális gépeket (VM) egyazon virtuális hálózaton belül különböző rendelkezésre állási zónákba helyezheti üzembe. Azonban nem minden Azure-régió támogatja a rendelkezésre állási zónákat. A rendelkezésre állási zónákról és az őket támogató régiókról a Rendelkezésre állási zónák című témakörben olvashat bővebben.

Subscriptions

Az egyes előfizetések esetében a szükséges számú virtuális hálózatot üzembe helyezheti, a korlátig. Egyes szervezetek különböző előfizetésekkel rendelkeznek különböző részlegekhez, például. Az előfizetésekkel kapcsolatos további információkért és szempontokért tekintse meg az előfizetések szabályozását.

Szegmentálás

Előfizetésenként és régiónként több virtuális hálózatot is létrehozhat. Az egyes virtuális hálózatokon belül több alhálózatot is létrehozhat. Az alábbi szempontok segítenek meghatározni, hogy hány virtuális hálózatra és alhálózatra van szükség:

Virtual networks

A virtuális hálózat az Azure nyilvános hálózatának egy virtuális, elkülönített része. Minden virtuális hálózat dedikált az előfizetéséhez. Megfontolandó szempontok, amikor eldönti, hogy egy vagy több virtuális hálózatot hoz létre egy előfizetésben:

  • Léteznek szervezeti biztonsági követelmények a forgalom különálló virtuális hálózatokba való elkülönítéséhez? Választhat, hogy csatlakoztatja a virtuális hálózatokat, vagy nem. Ha virtuális hálózatokat csatlakoztat, egy hálózati virtuális berendezést, például egy tűzfalat implementálhat a virtuális hálózatok közötti forgalom szabályozásához. További információ: biztonság és kapcsolat.
  • Léteznek szervezeti követelmények a virtuális hálózatok különálló előfizetések vagy régiók közötti elkülönítéséhez?
  • A hálózati adapter lehetővé teszi, hogy a virtuális gép kommunikáljon más erőforrásokkal. Minden hálózati adapterhez egy vagy több magánhálózati IP-cím van hozzárendelve. Hány hálózati adaptert és magánhálózati IP-címet igényel egy virtuális hálózat? A virtuális hálózaton belül korlátozva van a hálózati adapterek és a magánhálózati IP-címek száma.
  • Csatlakoztatja a virtuális hálózatot egy másik virtuális hálózathoz vagy helyszíni hálózathoz? Dönthet úgy, hogy egyes virtuális hálózatokat egymáshoz vagy helyszíni hálózatokhoz csatlakoztat, másokat azonban nem. További információ: kapcsolat. Minden olyan virtuális hálózatnak, amelyhez egy másik virtuális hálózathoz vagy helyszíni hálózathoz csatlakozik, egyedi címtérrel kell rendelkeznie. Minden virtuális hálózat egy vagy több nyilvános vagy privát címtartományt rendel hozzá a címteréhez. A címtartomány osztály nélküli internetes tartomány-útválasztás (CIDR) formátumban van megadva, például 10.0.0.0/16. További információ a virtuális hálózatok címtartományairól .
  • Rendelkezik szervezeti adminisztrációs követelményekkel a különböző virtuális hálózatok erőforrásaival kapcsolatban? Ha igen, külön virtuális hálózatra oszthatja az erőforrásokat, így egyszerűbbé teheti a szervezeten belüli személyek engedély-hozzárendelését , vagy különböző szabályzatokat rendelhet különböző virtuális hálózatokhoz.
  • Amikor üzembe helyez néhány Azure-szolgáltatási erőforrást egy virtuális hálózatban, azok létrehozzák a saját virtuális hálózatukat. Annak megállapításához, hogy egy Azure-szolgáltatás létrehozza-e a saját virtuális hálózatát, tekintse meg az egyes Azure-szolgáltatások adatait, amelyek üzembe helyezhetők egy virtuális hálózaton.

Subnets

A virtuális hálózatok a korlátokig egy vagy több alhálózatra szegmentáltak. Megfontolandó szempontok, amikor eldönti, hogy egy alhálózatot vagy több virtuális hálózatot hoz létre egy előfizetésben:

  • Minden alhálózatnak ciDR formátumban megadott egyedi címtartományt kell tartalmaznia a virtuális hálózat címterén belül. A címtartomány nem fedhető át a virtuális hálózat többi alhálózatával.
  • Ha azure-beli szolgáltatáserőforrásokat szeretne üzembe helyezni egy virtuális hálózaton, előfordulhat, hogy saját alhálózatot igényelnek vagy hoznak létre, így elegendő szabad területnek kell lennie ahhoz, hogy ezt elvégezzék. Annak megállapításához, hogy egy Azure-szolgáltatás létrehozza-e a saját alhálózatát, tekintse meg az egyes Azure-szolgáltatások adatait, amelyek üzembe helyezhetők egy virtuális hálózaton. Ha például azure VPN Gateway használatával csatlakoztat egy virtuális hálózatot egy helyszíni hálózathoz, a virtuális hálózatnak dedikált alhálózattal kell rendelkeznie az átjáróhoz. További információ az átjáróalhálózatokról.
  • Az Azure alapértelmezés szerint egy virtuális hálózat összes alhálózata között irányítja a hálózati forgalmat. Felülbírálhatja az Azure alapértelmezett útválasztását, hogy megakadályozza az Azure-útválasztást az alhálózatok között, vagy például egy hálózati virtuális berendezésen keresztül irányíthassa az alhálózatok közötti forgalmat. Ha azt szeretné, hogy az ugyanazon virtuális hálózat erőforrásai közötti forgalom egy hálózati virtuális berendezésen (NVA) keresztül haladjon, helyezze üzembe az erőforrásokat különböző alhálózatokon. További információ a biztonságról.
  • Az Azure-erőforrásokhoz, például az Azure Storage-fiókhoz vagy az Azure SQL Database-hez való hozzáférést a virtuális hálózati szolgáltatásvégponttal rendelkező adott alhálózatokra korlátozhatja. Emellett az internetről is megtagadhatja az erőforrásokhoz való hozzáférést. Létrehozhat több alhálózatot, és engedélyezheti a szolgáltatásvégpontot egyes alhálózatokhoz, másokhoz azonban nem. További információ a szolgáltatásvégpontokról és az azure-erőforrásokról, amelyekhez engedélyezheti őket.
  • Nulla vagy egy hálózati biztonsági csoportot társíthat egy virtuális hálózat minden alhálózatához. Ugyanazt vagy egy másik hálózati biztonsági csoportot társíthatja minden alhálózathoz. Minden hálózati biztonsági csoport olyan szabályokat tartalmaz, amelyek engedélyezik vagy letiltják a forrásokba és a célhelyekre érkező és onnan érkező forgalmat. További információ a hálózati biztonsági csoportokról.

Biztonság

A hálózati biztonsági csoportok és a hálózati virtuális berendezések használatával szűrheti a virtuális hálózat erőforrásaiba érkező és onnan érkező hálózati forgalmat. Szabályozhatja, hogy az Azure hogyan irányítja át a forgalmat az alhálózatokról. Azt is korlátozhatja, hogy a szervezeten belül kik dolgozhatnak a virtuális hálózatok erőforrásaival.

Forgalomszűrés

  • A virtuális hálózat erőforrásai közötti hálózati forgalmat egy hálózati biztonsági csoport, egy hálózati forgalmat vagy mindkettőt szűrő NVA használatával szűrheti. Ha NVA-t ( például tűzfalat) szeretne üzembe helyezni a hálózati forgalom szűréséhez, tekintse meg az Azure Marketplace-et. NVA használata esetén egyéni útvonalakat is létrehozhat az alhálózatok forgalmának az NVA felé történő átirányításához. További információ a forgalomirányításról.
  • A hálózati biztonsági csoportok számos alapértelmezett biztonsági szabályt tartalmaznak, amelyek engedélyezik vagy letiltják az erőforrások felé vagy onnan érkező forgalmat. A hálózati biztonsági csoport társítható egy hálózati adapterhez, ahhoz az alhálózathoz, amelyben a hálózati adapter található, vagy mindkettő. A biztonsági szabályok kezelésének egyszerűsítése érdekében javasoljuk, hogy lehetőség szerint az alhálózaton belüli egyedi hálózati adapterek helyett egy hálózati biztonsági csoportot társítson az egyes alhálózatokhoz.
  • Ha egy alhálózat különböző virtuális gépeire eltérő biztonsági szabályok vonatkoznak, a virtuális gép hálózati adapterét társíthatja egy vagy több alkalmazásbiztonsági csoporthoz. A biztonsági szabályok megadhatnak egy alkalmazásbiztonsági csoportot a forrásban, a célhelyen vagy mindkettőben. Ez a szabály ezután csak azokra a hálózati adapterekre vonatkozik, amelyek az alkalmazásbiztonsági csoport tagjai. További információ a hálózati biztonsági csoportokról és az alkalmazásbiztonsági csoportokról.
  • Ha egy hálózati biztonsági csoport az alhálózat szintjén van társítva, az az alhálózat összes hálózati adapterére vonatkozik, nem csak az alhálózaton kívülről érkező forgalomra. Ez azt jelenti, hogy az alhálózatban található virtuális gépek közötti forgalom is érintett lehet.
  • Az Azure több alapértelmezett biztonsági szabályt hoz létre az egyes hálózati biztonsági csoportokon belül. Az egyik alapértelmezett szabály lehetővé teszi, hogy az összes forgalom a virtuális hálózat összes erőforrása között áramoljon. A viselkedés felülbírálásához használjon hálózati biztonsági csoportokat, egyéni útválasztást a forgalom NVA-hoz vagy mindkettőhöz való átirányításához. Javasoljuk, hogy ismerkedjen meg az Azure összes alapértelmezett biztonsági szabályával , és ismerje meg, hogyan vonatkoznak a hálózati biztonsági csoportok szabályai az erőforrásokra.

Az Azure és az internet közötti szegélyhálózat (más néven DMZ) megvalósítására szolgáló mintaterveket egy NVA használatával tekintheti meg.

Forgalom útválasztása

Az Azure több alapértelmezett útvonalat hoz létre az alhálózatról érkező kimenő forgalomhoz. Az Azure alapértelmezett útválasztását felülbírálhatja egy útvonaltábla létrehozásával és egy alhálózathoz való társításával. Az Azure alapértelmezett útválasztásának felülírásának gyakori okai a következők:

  • Mivel azt szeretné, hogy az alhálózatok közötti forgalom NVA-n haladjon keresztül. Ha többet szeretne megtudni arról, hogyan konfigurálhatja az útvonaltáblákat az NVA-n keresztüli forgalom kényszerítéséhez.
  • Mivel egy Azure VPN-átjárón keresztül szeretné kikényszeríteni az összes internethez kötött forgalmat egy NVA-n vagy a helyszínen. Az internetes forgalom helyszíni ellenőrzésére és naplózására való kényszerítését gyakran kényszerített bújtatásnak nevezik. További információ a kényszerített bújtatás konfigurálásáról.

Ha egyéni útválasztást kell implementálnia, javasoljuk, hogy ismerkedjen meg az azure-beli útválasztással.

Kapcsolatok

Virtuális hálózatot csatlakoztathat más virtuális hálózatokhoz virtuális hálózatok közötti társviszony-létesítéssel vagy a helyszíni hálózathoz egy Azure VPN-átjáró használatával.

Társhálózat-létesítés

Virtuális hálózatok közötti társviszony-létesítés esetén a virtuális hálózatok lehetnek azonos vagy eltérő támogatott Azure-régiókban. A virtuális hálózatok lehetnek azonos vagy különböző Azure-előfizetésekben (akár különböző Microsoft Entra-bérlőkhöz tartozó előfizetésekben is). A társviszony létrehozása előtt javasoljuk, hogy ismerkedjen meg a társviszony-létesítési követelményekkel és megkötésekkel. Az ugyanabban a régióban társviszonyban lévő virtuális hálózatok erőforrásai közötti sávszélesség ugyanaz, mintha az erőforrások ugyanabban a virtuális hálózaton lennének.

VPN Gateway

Az Azure VPN Gateway használatával virtuális hálózatot csatlakoztathat a helyszíni hálózathoz helyek közötti VPN használatával, vagy dedikált kapcsolattal az Azure ExpressRoute-tal.

A társviszonyok és a VPN-átjárók kombinálásával küllős és küllős hálózatokat hozhat létre, ahol a küllős virtuális hálózatok egy központi virtuális hálózathoz csatlakoznak, és a központ például egy helyszíni hálózathoz csatlakozik.

Névfeloldás

Az egyik virtuális hálózat erőforrásai nem tudják feloldani a társhálózatban lévő erőforrások nevét az Azure beépített DNS-ével. A társhálózatok neveinek feloldásához helyezze üzembe saját DNS-kiszolgálóját, vagy használja az Azure DNS privát tartományait. A virtuális hálózatok és a helyszíni hálózatok erőforrásai közötti nevek feloldásához saját DNS-kiszolgálót is üzembe kell helyeznie.

Permissions

Az Azure azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ az erőforrásokhoz. Az engedélyek egy hatókörhöz vannak rendelve a következő hierarchiában: felügyeleti csoport, előfizetés, erőforráscsoport és egyéni erőforrás. A hierarchiával kapcsolatos további információkért tekintse meg az erőforrások rendszerezését ismertető témakört. Az Azure-beli virtuális hálózatokkal és azok összes kapcsolódó funkciójával, például a társviszony-létesítéssel, a hálózati biztonsági csoportokkal, a szolgáltatásvégpontokkal és az útvonaltáblákkal való együttműködéshez a szervezet tagjait hozzárendelheti a beépített tulajdonosi, közreműködői vagy hálózati közreműködői szerepkörökhöz, majd hozzárendelheti a szerepkört a megfelelő hatókörhöz. Ha konkrét engedélyeket szeretne hozzárendelni a virtuális hálózati képességek egy részhalmazához, hozzon létre egy egyéni szerepkört, és rendelje hozzá a virtuális hálózatokhoz, alhálózatokhoz és szolgáltatásvégpontokhoz, hálózati adapterekhez, társviszony-létesítéshez, hálózati és alkalmazásbiztonsági csoportokhoz, illetve a szerepkörhöz tartozó táblákhoz szükséges engedélyeket.

Policy

Az Azure Policy lehetővé teszi a szabályzatdefiníciók létrehozását, hozzárendelését és kezelését. A szabályzatdefiníciók különböző szabályokat kényszerítenek ki az erőforrásokra, így az erőforrások megfelelnek a szervezeti szabványoknak és a szolgáltatásiszint-szerződéseknek. Az Azure Policy kiértékeli az erőforrásokat, és olyan erőforrásokat keres, amelyek nem felelnek meg a szabályzatdefinícióknak. Definiálhat és alkalmazhat például olyan szabályzatot, amely csak egy adott erőforráscsoportban vagy régióban teszi lehetővé a virtuális hálózatok létrehozását. Egy másik szabályzat megkövetelheti, hogy minden alhálózathoz hálózati biztonsági csoport legyen társítva. A szabályzatok ezután kiértékelésre kerülnek az erőforrások létrehozásakor és frissítésekor.

A szabályzatok a következő hierarchiára vonatkoznak: felügyeleti csoport, előfizetés és erőforráscsoport. További információ az Azure Policyról vagy néhány virtuális hálózati Azure Policy-definíció üzembe helyezéséről.

Következő lépések

Ismerje meg a virtuális hálózat, alhálózat és szolgáltatásvégpont, hálózati adapter, társviszony-létesítés, hálózati és alkalmazásbiztonsági csoport vagy útvonaltábla összes feladatát, beállításait és beállításait.