Beskriv virtuella Azure-nätverk

  • 5 minuter

Med virtuella Azure-nätverk och virtuella undernät kan Azure-resurser, till exempel virtuella datorer, webbappar och databaser, kommunicera med varandra, med användare på Internet och med dina lokala klientdatorer. Du kan se ett Azure-nätverk som ett tillägg till ditt lokala nätverk med resurser som länkar andra Azure-resurser.

Virtuella Azure-nätverk innehåller följande viktiga nätverksfunktioner:

  • Isolering och segmentering
  • Internetkommunikation
  • Kommunicera mellan Azure-resurser
  • Kommunicera med lokala resurser
  • Dirigering av nätverkstrafik
  • Filtrera nätverkstrafik
  • Anslutning till virtuella nätverk

Virtuella Azure-nätverk stöder både offentliga och privata slutpunkter för att möjliggöra kommunikation mellan externa eller interna resurser med andra interna resurser.

  • Offentliga slutpunkter har en offentlig IP-adress och kan nås var som helst i världen.
  • Privata slutpunkter finns i ett virtuellt nätverk och har en privat IP-adress inifrån adressutrymmet för det virtuella nätverket.

Isolering och segmentering

Med det virtuella Azure-nätverket kan du skapa flera isolerade virtuella nätverk. När du konfigurerar ett virtuellt nätverk definierar du ett privat IP-adressutrymme med hjälp av antingen offentliga eller privata IP-adressintervall. IP-intervallet finns bara i det virtuella nätverket och kan inte dirigeras via Internet. Du kan segmentera IP-adressutrymmet i undernät och allokera en del av det definierade adressutrymmet till varje namngivet undernät.

För namnmatchning kan du använda namnmatchningstjänsten som är inbyggd i Azure. Du kan även konfigurera det virtuella nätverket så att det använder antingen en intern eller en extern DNS-server.

Internetkommunikation

Du kan aktivera inkommande anslutningar från Internet genom att tilldela en offentlig IP-adress till en Azure-resurs eller placera resursen bakom en offentlig lastbalanserare.

Kommunicera mellan Azure-resurser

Du vill aktivera säker kommunikation mellan Azure-resurser. Du kan göra det på två sätt:

  • Utöver att ansluta till virtuella datorer kan virtuella nätverk även ansluta till andra Azure-resurser, till exempel App Service-miljön för Power Apps, Azure Kubernetes Service och VM-skalningsuppsättningar för Azure.
  • Tjänstslutpunkter kan ansluta till andra Azure-resurstyper, till exempel Azure SQL-databaser och lagringskonton. Med den här metoden kan du länka flera Azure-resurser till virtuella nätverk i syfte att förbättra säkerheten och ge optimal routning mellan resurser.

Kommunicera med lokala resurser

Med virtuella Azure-nätverk kan du länka ihop resurser i din lokala miljö och i din Azure-prenumeration. Du kan i praktiken skapa ett nätverk som omfattar både lokala och molnbaserade miljöer. Det finns tre metoder för att uppnå den här anslutningen:

  • Punkt-till-plats-anslutningar för virtuella privata nätverk kommer från en dator utanför organisationen tillbaka till företagets nätverk. I det här fallet initierar klientdatorn en krypterad VPN-anslutning för att ansluta till det virtuella Azure-nätverket.
  • Plats-till-plats-virtuella privata nätverk länkar din lokala VPN-enhet eller gateway till Azure VPN-gatewayen i ett virtuellt nätverk. Enheter i Azure kan i praktiken visas som om de fanns i det lokala nätverket. Anslutningen är krypterad och fungerar över Internet.
  • Azure ExpressRoute tillhandahåller en dedikerad privat anslutning till Azure som inte reser via Internet. ExpressRoute är användbart för miljöer där du behöver större bandbredd och ännu högre säkerhetsnivåer.

Dirigering av nätverkstrafik

Som standard dirigerar Azure trafik mellan undernät i alla anslutna virtuella nätverk, lokala nätverk och Internet. Du kan även kontrollera routningen och åsidosätta inställningarna enligt följande:

  • Med routningstabeller kan du definiera regler för hur trafik ska dirigeras. Du kan skapa anpassade routningstabeller som styr hur paket dirigeras mellan undernät.
  • Border Gateway Protocol (BGP) fungerar med Azure VPN-gatewayer, Azure Route Server eller Azure ExpressRoute för att sprida lokala BGP-vägar till virtuella Azure-nätverk.

Filtrera nätverkstrafik

Virtuella Azure-nätverk gör det möjligt att filtrera trafik mellan undernät med hjälp av följande metoder:

  • Nätverkssäkerhetsgrupper är Azure-resurser som kan innehålla flera regler för inkommande och utgående säkerhet. Du kan definiera dessa regler för att tillåta eller blockera trafik, baserat på faktorer som IP-adress för källa och destination, port och protokoll.
  • Virtuella nätverksinstallationer är specialiserade virtuella datorer som kan jämföras med en härdad nätverksinstallation. En virtuell nätverksinstallation utför en specifik nätverksfunktion, som att köra en brandvägg eller utföra en WAN-optimering (Wide Area Network).

Anslutning till virtuella nätverk

Du kan länka samman virtuella nätverk med hjälp av peering för virtuella nätverk. Med peering kan två virtuella nätverk ansluta direkt till varandra. Nätverkstrafiken mellan peer-kopplade nätverk är privat och färdas i Microsofts stamnätverk och kommer aldrig in på det offentliga Internet. Peering aktiverar resurser i varje virtuellt nätverk så att de kan kommunicera med varandra. Dessa virtuella nätverk kan finnas i olika regioner, vilket gör att du kan skapa ett globalt sammankopplat nätverk via Azure.

Med användardefinierade vägar (UDR) kan du styra routningstabellerna mellan undernät i ett virtuellt nätverk eller mellan virtuella nätverk. Detta ger större kontroll över nätverkstrafikflödet.