Описание виртуальной сети Azure

  • 5 мин

Виртуальные сети и подсети Azure позволяют ресурсам Azure, в том числе виртуальным машинам, веб-приложениям и базам данных, взаимодействовать друг с другом, с пользователями в Интернете и с локальными клиентскими компьютерами. Сеть Azure можно считать расширением локальной сети с набором ресурсов, которые связывают другие ресурсы Azure.

Виртуальные сети Azure обеспечивают следующие основные сетевые возможности:

  • Изоляция и сегментирование
  • Обмен данными через Интернет
  • обмен данными между ресурсами Azure;
  • Обмен данными через локальные ресурсы
  • Маршрутизация сетевого трафика
  • Фильтрация сетевого трафика
  • Подключение виртуальных сетей

Виртуальные сети Azure поддерживают общедоступные и частные конечные точки для обеспечения обмена данными между внешними или внутренними ресурсами с другими внутренними ресурсами.

  • У общедоступных конечных точек есть общедоступный IP-адрес и к ним можно обращаться из любой точки мира.
  • Частные конечные точки существуют только в виртуальной сети и имеют частный IP-адрес в пределах адресного пространства этой виртуальной сети.

Изоляция и сегментирование

С помощью виртуальной сети Azure можно создать несколько изолированных виртуальных сетей. Настраивая виртуальную сеть, вы определяете частный диапазон IP-адресов, используя общедоступные или частные диапазоны IP-адресов. Диапазон IP-адресов существует только в пределах виртуальной сети и не поддерживает маршрутизацию через Интернет. Вы можете разделить этот диапазон IP-адресов на подсети и назначить каждой именованной подсети определенную часть диапазона адресов.

Для разрешения имен можно использовать службу разрешения имен, встроенную в Azure. Кроме того, вы можете настроить для виртуальной сети использование внутреннего или внешнего DNS-сервера.

Обмен данными через Интернет

Можно разрешить входящие подключения из Интернета, определив общедоступный IP-адрес для ресурса Azure или разместив ресурс за пределами общедоступной подсистемы балансировки нагрузки.

обмен данными между ресурсами Azure;

Можно разрешить ресурсам Azure безопасно обмениваться данными друг с другом. Это можно сделать одним из двух способов.

  • Виртуальные сети могут соединять не только виртуальные машины, но и другие ресурсы Azure, такие как Среда службы приложений для Power Apps, Служба Azure Kubernetes и масштабируемые наборы виртуальных машин Azure.
  • Конечные точки службы можно использовать для подключения к другим типам ресурсов Azure, таким как базы данных SQL Azure и учетные записи хранения. Такой подход позволяет связать несколько ресурсов Azure с виртуальными сетями, повышая уровень безопасности и обеспечивая оптимальную маршрутизацию между ресурсами.

Обмен данными через локальные ресурсы

С помощью виртуальных сетей Azure можно связывать ресурсы в локальной среде и в рамках подписки Azure. Фактически вы создаете сеть, которая охватывает и локальные, и облачные среды. Существует три механизма выполнения этого подключения.

  • Подключения "точка — сеть" — с компьютера за пределами организации обратно в корпоративную сеть. В этом случае клиентский компьютер инициирует зашифрованное VPN-подключение к Azure, чтобы подключиться к виртуальной сети Azure.
  • Виртуальные частные сети типа "сеть — сеть" связывают локальное устройство или шлюз VPN с VPN-шлюзом Azure в виртуальной сети. По сути, устройства в Azure могут отображаться как находящиеся в локальной сети. Подключение зашифровано и работает через Интернет.
  • Azure ExpressRoute предоставляет выделенное частное соединение с Azure, которое не выходит в общедоступный Интернет. ExpressRoute подходит для сред, в которых требуется большая пропускная способность и даже более высокие уровни безопасности.

Маршрутизация сетевого трафика

По умолчанию Azure самостоятельно маршрутизирует трафик между подсетями во всех подключенных виртуальных сетях, локальных сетях и в Интернете. Но вы можете управлять маршрутизацией, переопределяя стандартные параметры, как описано ниже.

  • С помощью таблицы маршрутов можно задать правила для направления трафика. Можно создать пользовательские таблицы маршрутов, которые управляют маршрутизацией пакетов между подсетями.
  • Протокол BGP с помощью VPN-шлюзов Azure, Azure Route Server или Azure ExpressRoute распространяет локальные маршруты BGP в виртуальные сети Azure.

Фильтрация сетевого трафика

Виртуальные сети Azure позволяют фильтровать трафик между подсетями с помощью приведенных ниже подходов.

  • Группа безопасности сети — это ресурс Azure, который может содержать несколько правил безопасности относительно входящего и исходящего трафика. Эти правила для разрешения или блокировки трафика можно определить в зависимости от таких факторов, как исходный и конечный IP-адрес, порт и протокол.
  • Сетевой виртуальный модуль — это специализированная виртуальная машина, которую можно сравнить с сетевым устройством с усиленной защитой. Сетевой виртуальный модуль выполняет определенную сетевую функцию, например роль брандмауэра или оптимизацию глобальной сети.

Подключение виртуальных сетей

Виртуальные сети можно связать с помощью пиринга виртуальной сети. Пиринг позволяет двум виртуальным сетям подключаться напрямую друг к другу. Сетевой трафик между пиринговыми сетями является частным и перемещается по магистральной сети Майкрософт, никогда не входя в общедоступный Интернет. Пиринг позволяет ресурсам в каждой виртуальной сети взаимодействовать друг с другом. Эти виртуальные сети могут располагаться в разных регионах, что позволяет создать глобальную взаимосвязанную сеть на основе Azure.

Определяемые пользователем маршруты (UDR) позволяют управлять таблицами маршрутизации между подсетями в виртуальной сети или между виртуальными сетями. Это обеспечивает больший контроль над потоком сетевого трафика.