Planera virtuella nätverk

Det är enkelt att skapa ett virtuellt nätverk att experimentera med, men det är risk att du distribuerar flera virtuella nätverk över tid för att stödja organisationens produktionsbehov. Med viss planering kommer du att kunna distribuera virtuella nätverk och ansluta de resurser du behöver mer effektivt. Informationen i den här artikeln är mest användbar om du redan är bekant med virtuella nätverk och har viss erfarenhet av att arbeta med dem. Om du inte är bekant med virtuella nätverk rekommenderar vi att du läser Översikt över virtuella nätverk.

Namngivning

Alla Azure-resurser har ett namn. Namnet måste vara unikt inom ett omfång, som kan variera för varje resurstyp. Till exempel måste namnet på ett virtuellt nätverk vara unikt inom en resursgrupp ,men kan dupliceras i en prenumeration eller Azure-region. Att definiera en namngivningskonvention som du kan använda konsekvent när du namnger resurser är användbart när du hanterar flera nätverksresurser över tid. Förslag finns i Namngivningskonventioner.

Regioner

Alla Azure-resurser skapas i en Azure-region och -prenumeration. En resurs kan bara skapas i ett virtuellt nätverk som finns i samma region och prenumeration som resursen. Du kan dock ansluta virtuella nätverk som finns i olika prenumerationer och regioner. Mer information finns i anslutning . När du bestämmer vilka regioner som resurser ska distribueras i bör du tänka på var resursernas användare finns fysiskt:

  • Resurskonsumenter vill vanligtvis ha den lägsta nätverksfördröjningen för sina resurser. Information om hur du fastställer relativa svarstider mellan en angiven plats och Azure-regioner finns i Visa relativa svarstider.
  • Har du krav på datahemlighet, landssuveränitet, efterlevnad eller återhämtning? I så fall är det viktigt att välja den region som uppfyller kraven. Mer information finns i Azures geografiska områden.
  • Behöver du återhämtning i Azure-tillgänglighetszoner i samma Azure-region för de resurser som du distribuerar? Du kan distribuera resurser, till exempel virtuella datorer (VM) till olika tillgänglighetszoner i samma virtuella nätverk. Alla Azure-regioner stöder dock inte tillgänglighetszoner. Mer information om tillgänglighetszoner och de regioner som stöder dem finns i Tillgänglighetszoner.

Prenumerationer

Du kan distribuera så många virtuella nätverk som krävs i varje prenumeration, upp till gränsen. Vissa organisationer har till exempel olika prenumerationer för olika avdelningar. Mer information och överväganden kring prenumerationer finns i Prenumerationsstyrning.

Segmentering

Du kan skapa flera virtuella nätverk per prenumeration och per region. Du kan skapa flera undernät i varje virtuellt nätverk. Följande överväganden hjälper dig att avgöra hur många virtuella nätverk och undernät du behöver:

Virtuella nätverk

Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket. Varje virtuellt nätverk är dedikerat till din prenumeration. Saker att tänka på när du bestämmer om du vill skapa ett virtuellt nätverk eller flera virtuella nätverk i en prenumeration:

  • Finns det några säkerhetskrav för organisationer för att isolera trafik i separata virtuella nätverk? Du kan välja att ansluta virtuella nätverk eller inte. Om du ansluter virtuella nätverk kan du implementera en virtuell nätverksinstallation, till exempel en brandvägg, för att styra trafikflödet mellan de virtuella nätverken. Mer information finns i säkerhet och anslutning.
  • Finns det några organisatoriska krav för att isolera virtuella nätverk i separata prenumerationer eller regioner?
  • Med ett nätverksgränssnitt kan en virtuell dator kommunicera med andra resurser. Varje nätverksgränssnitt har en eller flera tilldelade privata IP-adresser. Hur många nätverksgränssnitt och privata IP-adresser behöver du i ett virtuellt nätverk? Det finns gränser för antalet nätverksgränssnitt och privata IP-adresser som du kan ha i ett virtuellt nätverk.
  • Vill du ansluta det virtuella nätverket till ett annat virtuellt nätverk eller lokalt nätverk? Du kan välja att ansluta vissa virtuella nätverk till varandra eller lokala nätverk, men inte till andra. Mer information finns i anslutning . Varje virtuellt nätverk som du ansluter till ett annat virtuellt nätverk eller ett lokalt nätverk måste ha ett unikt adressutrymme. Varje virtuellt nätverk har ett eller flera offentliga eller privata adressintervall tilldelade till sitt adressutrymme. Ett adressintervall anges i formatet CIDR (Classless Internet Domain Routing), till exempel 10.0.0.0/16. Läs mer om adressintervall för virtuella nätverk.
  • Har du några organisationsadministrationskrav för resurser i olika virtuella nätverk? I så fall kan du separera resurser i separata virtuella nätverk för att förenkla behörighetstilldelningen för enskilda personer i din organisation eller för att tilldela olika principer till olika virtuella nätverk.
  • När du distribuerar vissa Azure-tjänstresurser till ett virtuellt nätverk skapar de ett eget virtuellt nätverk. Information om huruvida en Azure-tjänst skapar ett eget virtuellt nätverk finns i information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk.

Undernät

Ett virtuellt nätverk kan delas upp i ett eller flera undernät upp till gränserna. Saker att tänka på när du bestämmer om du vill skapa ett undernät eller flera virtuella nätverk i en prenumeration:

  • Varje undernät måste ha ett unikt adressintervall, angivet i CIDR-format, inom det virtuella nätverkets adressutrymme. Adressintervallet får inte överlappa andra undernät i det virtuella nätverket.
  • Om du planerar att distribuera vissa Azure-tjänstresurser till ett virtuellt nätverk kan de behöva, eller skapa, sitt eget undernät, så det måste finnas tillräckligt med ledigt utrymme för att de ska kunna göra det. Information om huruvida en Azure-tjänst skapar ett eget undernät finns i information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk. Om du till exempel ansluter ett virtuellt nätverk till ett lokalt nätverk med hjälp av en Azure VPN Gateway måste det virtuella nätverket ha ett dedikerat undernät för gatewayen. Läs mer om gateway-undernät.
  • Azure dirigerar nätverkstrafik mellan alla undernät i ett virtuellt nätverk som standard. Du kan till exempel åsidosätta Azures standardroutning för att förhindra Azure-routning mellan undernät eller dirigera trafik mellan undernät via en virtuell nätverksinstallation. Om du behöver att trafiken mellan resurser i samma virtuella nätverk flödar genom en virtuell nätverksinstallation (NVA) distribuerar du resurserna till olika undernät. Läs mer i säkerhet.
  • Du kan begränsa åtkomsten till Azure-resurser som ett Azure-lagringskonto eller Azure SQL Database till specifika undernät med en tjänstslutpunkt för virtuellt nätverk. Dessutom kan du neka åtkomst till resurserna från Internet. Du kan skapa flera undernät och aktivera en tjänstslutpunkt för vissa undernät, men inte andra. Läs mer om tjänstslutpunkteroch de Azure-resurser som du kan aktivera dem för.
  • Du kan associera noll eller en nätverkssäkerhetsgrupp till varje undernät i ett virtuellt nätverk. Du kan associera samma eller en annan nätverkssäkerhetsgrupp till varje undernät. Varje nätverkssäkerhetsgrupp innehåller regler som tillåter eller nekar trafik till och från källor och mål. Läs mer om nätverkssäkerhetsgrupper.

Säkerhet

Du kan filtrera nätverkstrafik till och från resurser i ett virtuellt nätverk med hjälp av nätverkssäkerhetsgrupper och virtuella nätverks installationer. Du kan styra hur Azure dirigerar trafik från undernät. Du kan också begränsa vem i din organisation som kan arbeta med resurser i virtuella nätverk.

Trafikfiltrering

  • Du kan filtrera nätverkstrafik mellan resurser i ett virtuellt nätverk med hjälp av en nätverkssäkerhetsgrupp, en NVA som filtrerar nätverkstrafik eller båda. Information om hur du distribuerar en NVA, till exempel en brandvägg, för att filtrera nätverkstrafik finns i Azure Marketplace. När du använder en NVA skapar du även anpassade vägar för att dirigera trafik från undernät till NVA. Läs mer om trafikroutning.
  • En nätverkssäkerhetsgrupp innehåller flera standardsäkerhetsregler som tillåter eller nekar trafik till eller från resurser. En nätverkssäkerhetsgrupp kan associeras med ett nätverksgränssnitt, det undernät som nätverksgränssnittet finns i eller båda. För att förenkla hanteringen av säkerhetsregler rekommenderar vi att du associerar en nätverkssäkerhetsgrupp med enskilda undernät i stället för enskilda nätverksgränssnitt i undernätet när det är möjligt.
  • Om olika virtuella datorer i ett undernät behöver olika säkerhetsregler kan du associera nätverksgränssnittet i den virtuella datorn till en eller flera programsäkerhetsgrupper. En säkerhetsregel kan ange en programsäkerhetsgrupp i dess källa, mål eller både och. Regeln gäller sedan endast för nätverksgränssnitt som är medlemmar i programsäkerhetsgruppen. Läs mer om nätverkssäkerhetsgrupper och programsäkerhetsgrupper.
  • Azure skapar flera standardsäkerhetsregler i varje nätverkssäkerhetsgrupp. Med en standardregel kan all trafik flöda mellan alla resurser i ett virtuellt nätverk. Om du vill åsidosätta det här beteendet använder du nätverkssäkerhetsgrupper, anpassad routning för att dirigera trafik till en NVA eller båda. Vi rekommenderar att du bekantar dig med alla Azures standardsäkerhetsregler och förstår hur regler för nätverkssäkerhetsgrupp tillämpas på en resurs.

Du kan visa exempelutformningar för implementering av ett perimeternätverk (även kallat DMZ) mellan Azure och Internet med hjälp av en NVA.

Trafikroutning

Azure skapar flera standardvägar för utgående trafik från ett undernät. Du kan åsidosätta Azures standardroutning genom att skapa en routningstabell och koppla den till ett undernät. Vanliga orsaker till att åsidosätta Azures standardroutning är:

  • Eftersom du vill att trafik mellan undernät ska flöda genom en NVA. Om du vill veta mer om hur du konfigurerar vägtabeller för att tvinga trafik via en NVA.
  • Eftersom du vill tvinga all Internet-bunden trafik via en NVA, eller lokalt, via en Azure VPN-gateway. Att tvinga internettrafik lokalt för inspektion och loggning kallas ofta tvingad tunneltrafik. Läs mer om hur du konfigurerar tvingad tunnel.

Om du behöver implementera anpassad routning rekommenderar vi att du bekantar dig med routning i Azure.

Anslutning

Du kan ansluta ett virtuellt nätverk till andra virtuella nätverk med peering för virtuella nätverk eller till ditt lokala nätverk med hjälp av en Azure VPN-gateway.

Peering

När du använder peering för virtuellanätverk kan de virtuella nätverken finnas i samma eller olika Azure-regioner som stöds. De virtuella nätverken kan finnas i samma eller olika Azure-prenumerationer (även prenumerationer som tillhör Azure Active Directory klient). Innan du skapar en peering rekommenderar vi att du bekantar dig med alla peering-krav och begränsningar. Bandbredden mellan resurser i virtuella nätverk som är peer-peerade i samma region är samma som om resurserna fanns i samma virtuella nätverk.

VPN gateway

Du kan använda en Azure VPN Gateway för att ansluta ett virtuellt nätverk till ditt lokala nätverk med hjälp av en plats-till-plats-VPN,eller med hjälp av en dedikerad anslutning med Azure ExpressRoute.

Du kan kombinera peering och en VPN-gateway för att skapa nav- och ekernätverk, där virtuella ekernätverk ansluter till ett virtuellt navnätverk och hubben till exempel ansluter till ett lokalt nätverk.

Namnmatchning

Resurser i ett virtuellt nätverk kan inte matcha namnen på resurser i ett peer-erat virtuellt nätverk med hjälp av Azures inbyggda DNS. Om du vill matcha namn i ett peer-erat virtuellt nätverk distribuerar du en egen DNS-servereller använder Azure DNS privata domäner. För att matcha namn mellan resurser i ett virtuellt nätverk och lokala nätverk måste du också distribuera din egen DNS-server.

Behörigheter

Azure använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) till resurser. Behörigheter tilldelas till ett omfång i följande hierarki: hanteringsgrupp, prenumeration, resursgrupp och enskild resurs. Mer information om hierarkin finns i Organisera dina resurser. Omdu vill arbeta med virtuella Azure-nätverk och alla deras relaterade funktioner, till exempel peering, nätverkssäkerhetsgrupper, tjänstslutpunkter och vägtabeller, kan du tilldela medlemmar i din organisation till de inbyggdarollerna Ägare, Deltagare eller Nätverksdeltagare och sedan tilldela rollen till lämpligt omfång. Om du vill tilldela specifika behörigheter för en delmängd av virtuella nätverksfunktioner skapar du en anpassad roll och tilldelar de specifika behörigheter som krävs för virtuella nätverk, undernätoch tjänstslutpunkter, nätverksgränssnitt, peering,nätverks- och programsäkerhetsgrupper ellerdirigerar tabeller till rollen.

Policy

Azure Policy kan du skapa, tilldela och hantera principdefinitioner. Principdefinitioner tillämpar olika regler för dina resurser, så att resurserna följer organisationens standarder och serviceavtal. Azure Policy kör en utvärdering av dina resurser och söker efter resurser som inte är kompatibla med de principdefinitioner som du har. Du kan till exempel definiera och tillämpa en princip som endast tillåter att virtuella nätverk skapas i en viss resursgrupp eller region. En annan princip kan kräva att varje undernät har en associerad nätverkssäkerhetsgrupp. Principerna utvärderas sedan när du skapar och uppdaterar resurser.

Principer tillämpas på följande hierarki: hanteringsgrupp, prenumeration och resursgrupp. Läs mer om hur Azure Policy distribuerar vissa definitioner för virtuella Azure Policy nätverk.

Nästa steg

Lär dig mer om alla uppgifter, inställningar och alternativ för ett virtuellt nätverk, undernätoch tjänstslutpunkt, nätverksgränssnitt, peering,nätverks- och programsäkerhetsgrupp eller vägtabell.