Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальная сеть Azure — это базовый стандартный блок для частной сети в Azure. Это позволяет ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.
Виртуальная сеть аналогична традиционной сети, которой вы управляете в своем собственном центре обработки данных. Однако она обеспечивает дополнительные преимущества инфраструктуры Azure, таких как масштабирование, доступность и изоляция.
Понимание концепций виртуальных сетей и следование лучшим практикам помогает разрабатывать надежные, безопасные и масштабируемые сетевые архитектуры. Независимо от того, выполняете ли вы миграцию существующих рабочих нагрузок в Azure или создаете новые облачные приложения, правильная сетевая конструкция необходима для повышения производительности, безопасности и оптимизации затрат.
В этой статье описаны основные понятия и рекомендации по виртуальной сети Azure, которые помогут вам разработать эффективную, безопасную и масштабируемую сетевую инфраструктуру для облачных приложений. Узнайте о адресных пространствах, подсетях, группах безопасности и рекомендациях по архитектуре, которые оптимизируют стратегию сети Azure.
Основные понятия виртуальной сети
Адресное пространство. При создании виртуальной сети необходимо указать пользовательское пространство частных IP-адресов с помощью общедоступных и частных адресов (RFC 1918). Azure назначает ресурсам в виртуальной сети частный IP-адрес из определенного вами адресного пространства. Например, при развертывании виртуальной машины в виртуальной сети с адресным пространством 10.0.0.0/16 частный IP-адрес, аналогичный 10.0.0.4, назначается виртуальной машине.
Подсетей: Подсети позволяют сегментировать виртуальную сеть на одну или несколько подсетей и выделять часть адресного пространства виртуальной сети для каждой подсети. Затем можно развернуть ресурсы Azure в определенной подсети. Как и в традиционной сети, подсети позволяют сегментировать адресное пространство виртуальной сети на сегменты, подходящие для внутренней сети организации. Сегментация повышает эффективность распределения адресов. Вы можете защищать ресурсы в рамках подсетей с помощью групп безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети.
Регионы: виртуальная сеть ограничена одним регионом или расположением. Однако несколько виртуальных сетей из разных регионов могут быть подключены вместе с помощью пиринга виртуальная сеть.
Подписка: виртуальная сеть ограничена подпиской. Вы можете реализовать несколько виртуальных сетей в пределах подписки и региона Azure.
Лучшие практики
При создании сети в Azure важно учитывать следующие универсальные принципы проектирования:
Убедитесь, что адресные пространства не перекрываются. Убедитесь, что адресные пространства виртуальной сети (блоки CIDR) не перекрываются с другими диапазонами сети, используемыми вашей организацией.
- Ознакомьтесь с рекомендуемыми диапазонами адресов в разделе часто задаваемых вопросов
Подсети не должны охватывать все адресное пространство виртуальной сети. Подготовьтесь заранее и зарезервируйте некоторое адресное пространство на будущее.
Используйте несколько крупных виртуальных сетей вместо нескольких небольших, чтобы сократить затраты на управление в одной подписке Azure.
- Вы также должны следовать принципу разработки целевой зоны Azure для демократизации подписок , что рекомендуется иметь множество подписок, каждый из которых имеет собственную виртуальную сеть (возможно, несколько), чтобы помочь вам достичь и реализовать нулевое доверие в сети Azure.
- Обычно для реализации этой архитектуры используется центральная и периферийная архитектура с использованием традиционного подхода к виртуальной сети или виртуальной глобальной сети.
Защита виртуальных сетей путем назначения групп безопасности сети (NSG) подсетям под ними. Дополнительные сведения о группах безопасности сети см. в статье Обзор сетевой безопасности Azure.
Дальнейшие шаги
Чтобы начать использовать виртуальную сеть, создайте ее, разверните в ней несколько виртуальных машин и выполните обмен данными между виртуальными машинами. Чтобы узнать, как это сделать, см. краткое руководство по созданию виртуальной сети.