Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tworzenie wirtualnej sieci do eksperymentowania jest dość proste, ale prawdopodobnie będziesz wdrażać wiele wirtualnych sieci z czasem, aby wspierać potrzeby produkcyjne swojej organizacji. Przy odrobinie planowania możesz wdrożyć wirtualne sieci i skuteczniej połączyć potrzebne zasoby. Informacje zawarte w tym artykule są najbardziej pomocne, jeśli znasz już sieci wirtualne i masz pewne doświadczenie w pracy z nimi. Jeśli nie jesteś zaznajomiony z sieciami wirtualnymi, zalecamy przeczytać Przegląd sieci wirtualnych.
Nazewnictwo
Wszystkie zasoby platformy Azure mają nazwę. Nazwa musi być unikalna w obrębie obszaru, który może się różnić w zależności od typu zasobu. Na przykład, nazwa sieci wirtualnej musi być unikalna w obrębie resource group, ale można używać tej samej nazwy w obrębie jednej subskrypcji lub regionu Azure. Zdefiniowanie konwencji nazewnictwa, która może być używana spójnie podczas nadawania nazw zasobom, jest przydatne w przypadku zarządzania kilkoma zasobami sieciowymi w czasie. Aby uzyskać propozycje, zobacz Konwencje nazewnictwa.
Regionów
Wszystkie zasoby Azure są tworzone w regionie Azure oraz w subskrypcji. Zasób można utworzyć tylko w sieci wirtualnej, która istnieje w tym samym regionie i subskrypcji co zasób. Możesz jednak połączyć sieci wirtualne istniejące w różnych subskrypcjach i regionach. Aby uzyskać więcej informacji, zobacz Łączność. Gdy decydujesz, w których regionach rozmieścić zasoby, weź pod uwagę, gdzie fizycznie znajdują się konsumenci tych zasobów.
- Czy masz niskie opóźnienie sieci? Konsumenci zasobów zazwyczaj chcą, aby opóźnienie sieciowe do ich zasobów było jak najniższe. Aby określić względne opóźnienia między wskazaną lokalizacją a regionami Azure, zobacz Zobacz względne opóźnienia.
- Czy masz wymagania dotyczące lokalizacji danych, suwerenności, zgodności lub odporności? Jeśli tak, wybór regionu dopasowanego do wymagań jest kluczowy. Więcej informacji można znaleźć w Azure geographies.
- Czy potrzebujesz odporności na awarie w strefach dostępności Azure w tym samym regionie Azure dla zasobów, które wdrażasz? Możesz wdrażać zasoby, takie jak maszyny wirtualne (VMs), do różnych stref dostępności w ramach tej samej sieci wirtualnej. Nie wszystkie regiony Azure obsługują strefy dostępności. Aby dowiedzieć się więcej o strefach dostępności i regionach, które je obsługują, zobacz Strefy dostępności.
Subskrypcje
Możesz wdrożyć dowolną liczbę sieci wirtualnych, jaka jest wymagana w ramach każdej subskrypcji, aż do limitu. Niektóre organizacje mają różne subskrypcje dla różnych działów, na przykład. Aby uzyskać więcej informacji i rozważań dotyczących subskrypcji, zobacz Zarządzanie subskrypcjami.
Segmentacja
Możesz utworzyć wiele sieci wirtualnych na każdy abonament i na każdy region. Możesz utworzyć wiele podsieci w każdej sieci wirtualnej. Poniższe rozważania pomogą ci ustalić, ile sieci wirtualnych i podsieci potrzebujesz.
Sieci wirtualne
Pl-PL: Wirtualna sieć to wirtualna, odizolowana część publicznej sieci Azure. Każda wirtualna sieć jest dedykowana dla twojej subskrypcji. Gdy zastanawiasz się, czy utworzyć jedną sieć wirtualną czy wiele sieci wirtualnych w ramach subskrypcji, rozważ następujące kwestie:
- Czy istnieją jakiekolwiek organizacyjne wymogi bezpieczeństwa dotyczące izolowania ruchu na oddzielne sieci wirtualne? Możesz zdecydować, czy połączyć sieci wirtualne, czy nie. Jeśli połączysz sieci wirtualne, możesz wdrożyć wirtualne urządzenie sieciowe, takie jak zapora sieciowa, aby kontrolować przepływ ruchu między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz Security i Connectivity.
- Czy istnieją jakiekolwiek wymagania organizacyjne dotyczące izolowania sieci wirtualnych w oddzielne subskrypcje lub regiony?
- Czy masz wymagania dotyczące network interface? Interfejs sieciowy umożliwia maszynie wirtualnej komunikację z innymi zasobami. Każdy interfejs sieciowy ma przypisany jeden lub więcej prywatnych adresów IP. Ile interfejsów sieciowych i prywatnych adresów IP potrzebujesz w sieci wirtualnej? Istnieją limity dotyczące liczby interfejsów sieciowych i prywatnych adresów IP, które można mieć w wirtualnej sieci.
- Czy chcesz połączyć sieć wirtualną z inną siecią wirtualną lub siecią lokalną? Możesz zdecydować się na połączenie niektórych sieci wirtualnych ze sobą lub sieciami lokalnymi, ale nie z innymi. Aby uzyskać więcej informacji, zobacz Łączność. Każda wirtualna sieć, którą łączysz z inną wirtualną siecią lub siecią lokalną, musi mieć unikalną przestrzeń adresową. Każda wirtualna sieć ma przypisany jeden lub więcej zakresów adresów publicznych lub prywatnych do swojej przestrzeni adresowej. Zakres adresów jest określony w formacie bezklasowego routingu domen internetowych (CIDR), na przykład 10.0.0.0/16. Dowiedz się więcej o zakresach adresów dla sieci wirtualnych.
- Czy masz jakiekolwiek wymagania dotyczące administracji organizacyjnej zasobów w różnych sieciach wirtualnych? Jeśli tak, możesz podzielić zasoby na oddzielne sieci wirtualne, aby uprościć przypisywanie uprawnień osobom w Twojej organizacji lub przypisać różne polityki do różnych sieci wirtualnych.
- Czy masz wymagania dotyczące zasobów, które mogą tworzyć własną sieć wirtualną? Kiedy wdrażasz niektóre zasoby usług Azure do wirtualnej sieci, tworzą one własną wirtualną sieć. Aby ustalić, czy usługa Azure tworzy własną sieć wirtualną, zobacz informacje dla każdej usługi Azure, którą możesz wdrożyć w sieci wirtualnej.
Podsieci
Możesz podzielić sieć wirtualną na jedną lub więcej podsieci zgodnie z limitami. Kiedy decydujesz, czy utworzyć jedną podsieć, czy wiele wirtualnych sieci w subskrypcji, rozważ następujące kwestie:
- Miej unikalny zakres adresów dla każdej podsieci, określony w formacie CIDR, w ramach przestrzeni adresowej sieci wirtualnej. Zakres adresów nie może nakładać się na inne podsieci w sieci wirtualnej.
- Jeśli planujesz wdrożyć niektóre zasoby usługi platformy Azure w sieci wirtualnej, mogą wymagać lub utworzyć własną podsieć. Musi być wystarczająco dużo nieprzydzielonego miejsca, aby mogli to zrobić. Aby ustalić, czy usługa Azure tworzy własną podsieć, zapoznaj się z informacjami dla każdej usługi Azure, którą można wdrożyć w sieci wirtualnej. Na przykład, jeśli połączysz sieć wirtualną z siecią lokalną za pomocą bramy VPN Azure, sieć wirtualna musi mieć dedykowaną podsieć dla tej bramy. Dowiedz się więcej o podsieciach bramy.
- Zastąp domyślny routing dla ruchu sieciowego między wszystkimi podsieciami w sieci wirtualnej. Jeśli chcesz zapobiec trasowaniu Azure między podsieciami lub, na przykład, skierować ruch między podsieciami przez wirtualne urządzenie sieciowe. Jeśli wymagane jest, aby ruch między zasobami w tej samej wirtualnej sieci przepływał przez wirtualne urządzenie sieciowe (NVA), należy wdrożyć zasoby w różnych podsieciach. Dowiedz się więcej w Security.
- Ogranicz dostęp do zasobów platformy Azure, takich jak konto usługi Azure Storage lub Azure SQL Database, do określonych podsieci za pomocą punktu końcowego usługi sieci wirtualnej. Możesz także odmówić dostępu do zasobów z Internetu. Można utworzyć wiele podsieci i włączyć punkt końcowy usługi dla niektórych podsieci, ale nie dla innych. Dowiedz się więcej o punktach końcowych usług i zasobach Azure, dla których możesz je włączyć.
- Skojarz zerową lub jedną sieciową grupę zabezpieczeń z każdą podsiecią w sieci wirtualnej. Do każdej podsieci można skojarzyć tę samą lub inną sieciową grupę zabezpieczeń. Każda grupa zabezpieczeń sieci zawiera zasady, które zezwalają lub blokują ruch do i z źródeł oraz miejsc docelowych. Dowiedz się więcej o network security groups.
Bezpieczeństwo
Ruch sieciowy do i z zasobów w sieci wirtualnej można filtrować przy użyciu sieciowych grup zabezpieczeń i wirtualnych urządzeń sieciowych. Możesz kontrolować, jak Azure trasuje ruch z podsieci. Możesz również ograniczyć, kto w Twojej organizacji może pracować z zasobami w wirtualnych sieciach.
Filtrowanie ruchu
- Aby filtrować ruch sieciowy między zasobami w sieci wirtualnej, użyj sieciowej grupy zabezpieczeń, urządzenia WUS, które filtruje ruch sieciowy, lub obu tych elementów. Aby wdrożyć urządzenie WUS, takie jak zapora, w celu filtrowania ruchu sieciowego, zobacz Azure Marketplace. Gdy używasz NVA, tworzysz również niestandardowe trasy, aby kierować ruch z podsieci do NVA. Dowiedz się więcej o trasowaniu ruchu.
- Grupa zabezpieczeń sieci zawiera kilka domyślnych zasad bezpieczeństwa, które umożliwiają lub blokują ruch do lub z zasobów. Możesz powiązać grupę zabezpieczeń sieciowych z interfejsem sieciowym, podsiecią, w której znajduje się ten interfejs, lub obydwoma. Aby ułatwić zarządzanie regułami bezpieczeństwa, zalecamy kojarzenie grupy zabezpieczeń sieci z poszczególnymi podsieciami, a nie z poszczególnymi interfejsami sieciowymi w obrębie podsieci, gdy tylko jest to możliwe.
- Jeśli różne maszyny wirtualne (VM) w obrębie jednej podsieci wymagają zastosowania różnych reguł bezpieczeństwa, możesz powiązać interfejs sieciowy w maszynie wirtualnej z jedną lub więcej grup bezpieczeństwa aplikacji. Zasada bezpieczeństwa może określać grupę zabezpieczeń aplikacji w źródle, miejscu docelowym lub obu. Następnie ta zasada dotyczy tylko interfejsów sieciowych, które są członkami grupy zabezpieczeń aplikacji. Dowiedz się więcej o grupach zabezpieczeń sieci i grupach zabezpieczeń aplikacji.
- Gdy grupa zabezpieczeń sieciowych jest przypisana na poziomie podsieci, dotyczy wszystkich kontrolerów interfejsów sieciowych w podsieci, a nie tylko ruchu przychodzącego spoza podsieci. Ruch między maszynami wirtualnymi znajdującymi się w podsieci może również być zakłócony.
- Azure tworzy kilka domyślnych zasad bezpieczeństwa w każdej grupie zabezpieczeń sieci. Domyślna zasada pozwala na przepływ całego ruchu między wszystkimi zasobami w sieci wirtualnej. Aby nadpisać to zachowanie, użyj grup zabezpieczeń sieciowych, niestandardowego routingu do przekierowania ruchu do NVA lub obu tych metod. Zalecamy zapoznanie się ze wszystkimi domyślnymi regułami zabezpieczeń platformy Azure i zrozumienie, w jaki sposób reguły sieciowej grupy zabezpieczeń są stosowane do zasobu.
Możesz wyświetlić przykładowe projekty implementowania sieci obwodowej (nazywanej również strefą DMZ) między platformą Azure a Internetem przy użyciu urządzenia WUS.
Routowanie ruchu
Azure tworzy kilka domyślnych tras dla ruchu wychodzącego z podsieci. Routing domyślny platformy Azure można zastąpić, tworząc tabelę tras i kojarząc ją z podsiecią. Typowe przyczyny zastępowania routingu domyślnego platformy Azure to:
- Chcesz, aby ruch między podsieciami odbywał się poprzez NVA. Dowiedz się więcej o tym, jak skonfigurować tablice tras, aby wymusić ruch przez NVA.
- Chcesz przymusić cały ruch internetowy do przechodzenia przez NVA lub na miejscu przez bramę VPN Azure. Wymuszanie lokalnego ruchu internetowego na potrzeby inspekcji i rejestrowania jest często nazywane wymuszonym tunelowaniem. Dowiedz się więcej na temat konfigurowania wymuszonego tunelowania.
Jeśli musisz zaimplementować routing niestandardowy, zalecamy zapoznanie się z routingiem na platformie Azure.
Łączność
Sieć wirtualną można połączyć z innymi sieciami wirtualnymi przy użyciu komunikacji równorzędnej sieci wirtualnych lub z siecią lokalną przy użyciu bramy sieci VPN platformy Azure.
Wzajemne połączenie
Gdy używasz peeringu sieci wirtualnej, możesz mieć sieci wirtualne w tych samych lub różnych obsługiwanych regionach platformy Azure. Można posiadać sieci wirtualne w ramach tych samych lub różnych subskrypcji Azure (nawet subskrypcji należących do różnych dzierżaw Microsoft Entra).
Zanim utworzysz połączenie peeringowe, zalecamy zapoznanie się ze wszystkimi wymaganiami i ograniczeniami dotyczącymi peeringu. Pasmo między zasobami w połączonych sieciach wirtualnych w tym samym regionie jest takie samo, jak by zasoby znajdowały się w tej samej sieci wirtualnej.
Brama sieci VPN
Możesz użyć bramy VPN Azure, aby połączyć sieć wirtualną z siecią lokalną, korzystając z sieci VPN typu site-to-site lub dedykowanego połączenia za pomocą usługi Azure ExpressRoute.
Możesz połączyć peering i bramę VPN, aby stworzyć sieci typu hub and spoke, w których wirtualne sieci szprychowe łączą się z wirtualną siecią centralną, a centrala łączy się na przykład z siecią lokalną w siedzibie firmy.
Rozwiązywanie nazw
Zasoby w jednej wirtualnej sieci nie mogą rozwiązywać nazw zasobów w połączonej wirtualnej sieci przy użyciu wbudowanego systemu nazw domen (DNS) Azure. Aby rozwiązywać nazwy w sieci wirtualnej sparowanej, wdroż własny serwer DNS lub użyj prywatnych domen Azure DNS dominy prywatne. Rozwiązywanie nazw między zasobami w sieci wirtualnej a sieciami lokalnymi również wymaga wdrożenia własnego serwera DNS.
Uprawnienia
Azure używa Azure role-based access control. Uprawnienia są przypisywane do zakresu w hierarchii grupy zarządzania, subskrypcji, grupy zasobów i poszczególnych zasobów. Aby dowiedzieć się więcej o hierarchii, zobacz Zorganizuj swoje zasoby.
Aby pracować z wirtualnymi sieciami Azure i wszystkimi powiązanymi funkcjami, takimi jak peering, grupy zabezpieczeń sieci, punkty końcowe usługi oraz tablice routingu, przypisz członkom swojej organizacji wbudowane role Właściciel, Współpracownik lub Współpracownik sieci. Następnie przypisz rolę do odpowiedniego zakresu. Jeśli chcesz przypisać określone uprawnienia dla podzbioru możliwości wirtualnej sieci, utwórz rolę niestandardową i przypisz wymagane określone uprawnienia do:
- Sieci wirtualne
- Podsieci i punkty końcowe usług
- Interfejsy sieciowe
- Wpatrując się
- Grupy zabezpieczeń sieci i aplikacji
- Tablice trasowania
Polityka
Za pomocą Azure Policy możesz tworzyć, przypisywać i zarządzać definicjami polityk. Definicje polityki wymuszają różne zasady dotyczące Twoich zasobów, aby zasoby były zgodne z Twoimi standardami organizacyjnymi i umowami o poziomie usług. Azure Policy przeprowadza ocenę twoich zasobów. Skanuje zasoby, które nie są zgodne z definicjami zasad, które posiadasz.
Na przykład, możesz zdefiniować i zastosować politykę, która pozwala na tworzenie sieci wirtualnych tylko w określonej grupie zasobów lub regionie. Inna polityka może wymagać, żeby każda podsieć miała przypisaną grupę zabezpieczeń sieciowych. Polityki są następnie oceniane, gdy tworzysz i aktualizujesz zasoby.
Zasady są stosowane do następującej hierarchii: grupa zarządzania, subskrypcja i grupa zasobów. Dowiedz się więcej o Azure Policy lub wdróż definicje Azure Policy sieci wirtualnej.
Treści powiązane
Dowiedz się więcej o wszystkich zadaniach, ustawieniach i opcjach dotyczących zasobów sieci wirtualnej i funkcji w następujących artykułach: