Plánování virtuálních sítí
Vytvoření virtuální sítě pro experimentování je dostatečně snadné, ale je možné, že v průběhu času nasadíte několik virtuálních sítí, abyste podporovali provozní potřeby vaší organizace. Při plánování budete moct nasadit virtuální sítě a efektivněji propojit prostředky, které potřebujete. Informace v tomto článku jsou nejužitečnější, pokud už znáte virtuální sítě a máte s nimi zkušenosti. Pokud virtuální sítě neznáte, doporučujeme si přečíst přehled virtuální sítě.
Pojmenování
Všechny prostředky Azure mají název. Název musí být jedinečný v rámci oboru, který se může u každého typu prostředku lišit. Název virtuální sítě musí být například jedinečný v rámci skupiny prostředků, ale může být duplikován v rámci předplatného nebo oblasti Azure. Definování konvence vytváření názvů, které můžete používat konzistentně při pojmenování prostředků, je užitečné při správě několika síťových prostředků v průběhu času. Návrhy najdete v tématu Konvence vytváření názvů.
Oblasti
Všechny prostředky Azure se vytvářejí v oblasti a předplatném Azure. Prostředek lze vytvořit pouze ve virtuální síti, která existuje ve stejné oblasti a předplatném jako prostředek. Můžete ale propojit virtuální sítě, které existují v různých předplatných a oblastech. Další informace najdete v tématu připojení. Při rozhodování o tom, ve kterých oblastech se mají nasazovat prostředky, zvažte, kde jsou spotřebitelé prostředků fyzicky umístěni:
- Příjemci prostředků obvykle chtějí nejnižší latenci sítě pro své prostředky. Pokud chcete určit relativní latence mezi zadaným umístěním a oblastmi Azure, přečtěte si téma Zobrazení relativních latencí.
- Máte požadavky na rezidenci dat, suverenitu, dodržování předpisů nebo odolnost? Pokud ano, je důležité zvolit oblast, která odpovídá požadavkům. Další informace najdete v geografických oblastech Azure.
- Vyžadujete odolnost napříč azure Zóny dostupnosti ve stejné oblasti Azure pro prostředky, které nasazujete? Prostředky, jako jsou virtuální počítače, můžete nasadit do různých zón dostupnosti ve stejné virtuální síti. Ne všechny oblasti Azure ale podporují zóny dostupnosti. Další informace o zónách dostupnosti a oblastech, které je podporují, najdete v tématu Zóny dostupnosti.
Předplatná
V rámci každého předplatného můžete nasadit libovolný počet virtuálních sítí až do limitu. Některé organizace mají různá předplatná pro různá oddělení, například. Další informace a aspekty týkající se předplatných najdete v tématu Zásady správného řízení předplatného.
Segmentace
Pro každé předplatné a každou oblast můžete vytvořit více virtuálních sítí. V rámci každé virtuální sítě můžete vytvořit více podsítí. Následující aspekty vám pomůžou určit, kolik virtuálních sítí a podsítí potřebujete:
Virtuální sítě
Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Každá virtuální síť je vyhrazená pro vaše předplatné. Co je potřeba vzít v úvahu při rozhodování, jestli vytvořit jednu virtuální síť nebo více virtuálních sítí v předplatném:
- Existují nějaké požadavky na zabezpečení organizace pro izolování provozu do samostatných virtuálních sítí? Můžete se rozhodnout pro připojení virtuálních sítí nebo ne. Pokud propojíte virtuální sítě, můžete implementovat síťové virtuální zařízení, jako je brána firewall, a řídit tok provozu mezi virtuálními sítěmi. Další informace najdete v tématu zabezpečení a připojení.
- Existují nějaké požadavky organizace pro izolování virtuálních sítí do samostatných předplatných nebo oblastí?
- Síťové rozhraní umožňuje virtuálnímu počítači komunikovat s dalšími prostředky. Každé síťové rozhraní má přiřazenou jednu nebo více privátních IP adres. Kolik síťových rozhraní a privátních IP adres potřebujete ve virtuální síti? Existuje omezení počtu síťových rozhraní a privátních IP adres, které můžete mít ve virtuální síti.
- Chcete virtuální síť připojit k jiné virtuální síti nebo k místní síti? Můžete se rozhodnout připojit některé virtuální sítě k sobě navzájem nebo k místním sítím, ale ne k jiným sítím. Další informace najdete v tématu připojení. Každá virtuální síť, kterou se připojujete k jiné virtuální síti nebo místní síti, musí mít jedinečný adresní prostor. Každá virtuální síť má přiřazený jeden nebo více rozsahů veřejných nebo privátních adres k adresního prostoru. Rozsah adres je zadaný ve formátu CIDR (Classless Internet Domain Routing), například 10.0.0.0/16. Přečtěte si další informace o rozsahech adres pro virtuální sítě.
- Máte nějaké požadavky na správu organizace pro prostředky v různých virtuálních sítích? Pokud ano, můžete prostředky rozdělit do samostatné virtuální sítě, abyste zjednodušili přiřazení oprávnění jednotlivcům ve vaší organizaci nebo přiřadili různé zásady různým virtuálním sítím.
- Když do virtuální sítě nasadíte některé prostředky služby Azure, vytvoří vlastní virtuální síť. Pokud chcete zjistit, jestli služba Azure vytvoří svou vlastní virtuální síť, přečtěte si informace o každé službě Azure, kterou je možné nasadit do virtuální sítě.
Podsítě
Virtuální síť je možné segmentovat do jedné nebo více podsítí až do limitů. Co je potřeba vzít v úvahu při rozhodování o vytvoření jedné podsítě nebo několika virtuálních sítí v předplatném:
- Každá podsíť musí mít jedinečný rozsah adres zadaný ve formátu CIDR v rámci adresního prostoru virtuální sítě. Rozsah adres se nemůže překrývat s jinými podsítěmi ve virtuální síti.
- Pokud plánujete nasadit některé prostředky služby Azure do virtuální sítě, můžou vyžadovat nebo vytvořit vlastní podsíť, takže pro ně musí být dostatek nepřidělených prostorů. Pokud chcete zjistit, jestli služba Azure vytváří vlastní podsíť, přečtěte si informace o každé službě Azure, kterou je možné nasadit do virtuální sítě. Pokud například připojíte virtuální síť k místní síti pomocí služby Azure VPN Gateway, musí mít virtuální síť vyhrazenou podsíť pro bránu. Přečtěte si další informace o podsítích brány.
- Azure ve výchozím nastavení směruje síťový provoz mezi všemi podsítěmi ve virtuální síti. Výchozí směrování Azure můžete přepsat tak, aby se zabránilo směrování Azure mezi podsítěmi nebo směrování provozu mezi podsítěmi prostřednictvím síťového virtuálního zařízení, například. Pokud potřebujete, aby provoz mezi prostředky ve stejné virtuální síti procházel síťovým virtuálním zařízením(NVA), nasaďte prostředky do různých podsítí. Další informace o zabezpečení
- Přístup k prostředkům Azure, jako je účet úložiště Azure nebo Azure SQL Database, můžete omezit na konkrétní podsítě s koncovým bodem služby virtuální sítě. Dále můžete odepřít přístup k prostředkům z internetu. Můžete vytvořit více podsítí a povolit koncový bod služby pro některé podsítě, ale ne pro jiné. Přečtěte si další informace o koncových bodech služby a prostředcích Azure, pro které je můžete povolit.
- K každé podsíti ve virtuální síti můžete přidružit žádnou nebo jednu skupinu zabezpečení sítě. Ke každé podsíti můžete přidružit stejnou nebo jinou skupinu zabezpečení sítě. Každá skupina zabezpečení sítě obsahuje pravidla, která povolují nebo zakazují provoz do a ze zdrojů a cílů. Přečtěte si další informace o skupinách zabezpečení sítě.
Zabezpečení
Síťový provoz do a z prostředků ve virtuální síti můžete filtrovat pomocí skupin zabezpečení sítě a síťových virtuálních zařízení. Můžete řídit, jak Azure směruje provoz z podsítí. Můžete také omezit, kdo ve vaší organizaci může pracovat s prostředky ve virtuálních sítích.
Filtrování provozu
- Síťový provoz mezi prostředky ve virtuální síti můžete filtrovat pomocí skupiny zabezpečení sítě, síťového virtuálního zařízení, které filtruje síťový provoz nebo obojí. Pokud chcete nasadit síťové virtuální zařízení, jako je brána firewall, pro filtrování síťového provozu, podívejte se na Azure Marketplace. Při použití síťového virtuálního zařízení také vytvoříte vlastní trasy pro směrování provozu z podsítí do síťového virtuálního zařízení. Přečtěte si další informace o směrování provozu.
- Skupina zabezpečení sítě obsahuje několik výchozíchpravidelch Skupinu zabezpečení sítě lze přidružit k síťovému rozhraní, podsíť, ve které je síťové rozhraní, nebo obojí. Pokud chcete zjednodušit správu pravidel zabezpečení, doporučujeme přidružit skupinu zabezpečení sítě k jednotlivým podsítím, nikoli k jednotlivým síťovým rozhraním v rámci podsítě, kdykoli je to možné.
- Pokud různé virtuální počítače v podsíti potřebují různá pravidla zabezpečení, můžete síťové rozhraní ve virtuálním počítači přidružit k jedné nebo více skupinám zabezpečení aplikace. Pravidlo zabezpečení může zadat skupinu zabezpečení aplikace ve zdroji, cíli nebo obojím. Toto pravidlo se pak vztahuje pouze na síťová rozhraní, která jsou členy skupiny zabezpečení aplikace. Přečtěte si další informace o skupinách zabezpečení sítě a skupinách zabezpečení aplikací.
- Pokud je skupina zabezpečení sítě přidružená na úrovni podsítě, vztahuje se na všechny síťové karty v podsíti, nejen na provoz přicházející mimo podsíť. To znamená, že může být ovlivněn i provoz mezi virtuálními počítači obsaženými v podsíti.
- Azure vytvoří několik výchozích pravidel zabezpečení v rámci každé skupiny zabezpečení sítě. Jedno výchozí pravidlo umožňuje tok veškerého provozu mezi všemi prostředky ve virtuální síti. Pokud chcete toto chování přepsat, použijte skupiny zabezpečení sítě, vlastní směrování pro směrování provozu do síťového virtuálního zařízení nebo obojí. Doporučujeme, abyste se seznámili se všemi výchozími pravidly zabezpečení Azure a porozuměli tomu, jak se na prostředek používají pravidla skupin zabezpečení sítě.
Ukázkové návrhy pro implementaci hraniční sítě (označované také jako DMZ) mezi Azure a internetem můžete zobrazit pomocí síťového virtuálního zařízení.
Směrování provozu
Azure vytvoří několik výchozích tras pro odchozí provoz z podsítě. Výchozí směrování Azure můžete přepsat vytvořením směrovací tabulky a jejím přidružením k podsíti. Mezi běžné důvody přepsání výchozího směrování Azure patří:
- Protože chcete, aby provoz mezi podsítěmi procházel síťovým virtuálním zařízením. Další informace o tom, jak nakonfigurovat směrovací tabulky tak, aby vynutily provoz přes síťové virtuální zařízení.
- Vzhledem k tomu, že chcete vynutit veškerý internetový provoz přes síťové virtuální zařízení nebo místní provoz přes bránu Vpn Azure. Vynucení internetového provozu místně pro kontrolu a protokolování se často označuje jako vynucené tunelování. Přečtěte si další informace o tom, jak nakonfigurovat vynucené tunelování.
Pokud potřebujete implementovat vlastní směrování, doporučujeme se seznámit se směrováním v Azure.
Připojení
Virtuální síť můžete připojit k jiným virtuálním sítím pomocí partnerského vztahu virtuálních sítí nebo k místní síti pomocí brány Azure VPN.
Peering
Při použití partnerského vztahu virtuálních sítí můžou být virtuální sítě ve stejných nebo různých podporovaných oblastech Azure. Virtuální sítě můžou být ve stejném nebo jiném předplatném Azure (dokonce i předplatná patřící do různých tenantů Microsoft Entra). Před vytvořením partnerského vztahu doporučujeme seznámit se se všemi požadavky a omezeními partnerského vztahu. Šířka pásma mezi prostředky ve virtuálníchsítích
VPN Gateway
Službu Azure VPN Gateway můžete použít k připojení virtuální sítě k místní síti pomocí sítě VPN typu site-to-site nebo pomocí vyhrazeného připojení k Azure ExpressRoute.
Partnerský vztah a bránu VPN můžete kombinovat, abyste vytvořili hvězdicové sítě, kde se paprskové virtuální sítě připojují k virtuální síti rozbočovače a rozbočovač se například připojuje k místní síti.
Překlad adres IP
Prostředky v jedné virtuální síti nemůžou překládat názvy prostředků v partnerské virtuální síti pomocí integrovaného DNS Azure. Pokud chcete přeložit názvy v partnerské virtuální síti, nasaďte vlastní server DNS nebo použijte privátní domény Azure DNS. Překlad názvů mezi prostředky ve virtuální síti a místními sítěmi vyžaduje také nasazení vlastního serveru DNS.
Oprávnění
Azure využívá řízení přístupu na základě role v Azure (Azure RBAC) k prostředkům. Oprávnění se přiřazují k oboru v následující hierarchii: skupina pro správu, předplatné, skupina prostředků a jednotlivé prostředky. Další informace o hierarchii najdete v tématu Uspořádání prostředků. Pokud chcete pracovat s virtuálními sítěmi Azure a všemi jejich souvisejícími funkcemi, jako jsou peering, skupiny zabezpečení sítě, koncové body služeb a směrovací tabulky, můžete členům vaší organizace přiřadit předdefinované role Vlastník, Přispěvatel nebo Přispěvatel sítě a pak přiřadit tuto roli k příslušnému oboru. Pokud chcete přiřadit konkrétní oprávnění pro podmnožinu funkcí virtuální sítě, vytvořte vlastní roli a přiřaďte konkrétní oprávnění požadovaná pro virtuální sítě, podsítě a koncové body služby, síťová rozhraní, peering, skupiny zabezpečení sítě a aplikací nebo směrovací tabulky do role.
Zásady
Azure Policy umožňuje vytvářet, přiřazovat a spravovat definice zásad. Definice zásad vynucují pro vaše prostředky různá pravidla, takže prostředky zůstanou v souladu se standardy vaší organizace a smlouvami o úrovni služeb. Azure Policy spouští vyhodnocení vašich prostředků a hledá prostředky, které nevyhovují definicm zásad, které máte. Můžete například definovat a použít zásadu, která umožňuje vytváření virtuálních sítí pouze v konkrétní skupině prostředků nebo oblasti. Další zásada může vyžadovat, aby každá podsíť má přidruženou skupinu zabezpečení sítě. Zásady se pak vyhodnocují při vytváření a aktualizaci prostředků.
Zásady se použijí na následující hierarchii: skupina pro správu, předplatné a skupina prostředků. Přečtěte si další informace o službě Azure Policy nebo nasaďte některé definice služby Azure Policy virtuální sítě.
Další kroky
Přečtěte si o všech úkolech, nastaveních a možnostech virtuální sítě, koncového bodu podsítě a služby, síťovém rozhraní, partnerském vztahu, skupině zabezpečení sítě a aplikací nebo směrovací tabulce.