Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Создание виртуальной сети для экспериментов достаточно просто, но вы, скорее всего, развертываете несколько виртуальных сетей со временем для поддержки рабочих потребностей вашей организации. При планировании можно развернуть виртуальные сети и подключить необходимые ресурсы более эффективно. Сведения в этой статье наиболее полезны, если вы уже знакомы с виртуальными сетями и имеете некоторый опыт работы с ними. Если вы не знакомы с виртуальными сетями, рекомендуется ознакомиться с обзором виртуальной сети.
Именование
Все ресурсы Azure имеют имена. Имя должно быть уникальным в пределах области, которая может отличаться для каждого типа ресурса. Например, имя виртуальной сети должно быть уникальным в группе ресурсов, но можно использовать повторяющееся имя в подписке или регионе Azure. Определение соглашения об именовании, которое можно использовать последовательно при присвоении имен ресурсам, полезно при управлении несколькими сетевыми ресурсами со временем. Дополнительные рекомендации см. в статье, посвященной соглашениям об именовании.
Регионы
Все ресурсы Azure создаются в регионе или подписке Azure. Ресурс можно создать только в виртуальной сети, которая существует в том же регионе и подписке, что и ресурс. Но вы можете подключить виртуальные сети, которые существуют в разных подписках и регионах. Дополнительные сведения см. в разделе "Подключение". При выборе регионов, в которых развертываются ресурсы, рассмотрите расположение потребителей ресурсов:
- У вас низкая задержка в сети? Клиенты обычно хотят иметь минимальную задержку сети при взаимодействии с ресурсами. Для определения относительных задержек между указанным расположением и регионами Azure см. Посмотреть относительные задержки.
- Есть ли у вас требования к размещению данных, их суверенитету, соответствию нормам или устойчивости? критически важно выбрать регион, который соответствует требованиям. Дополнительные сведения см. в статье Географические области Azure.
- Нужно ли вам резервирование между зонами доступности Azure в одном регионе Azure для ресурсов, которые вы развертываете? Ресурсы, такие как виртуальные машины, можно развернуть в разных зонах доступности в одной виртуальной сети. Не все регионы Azure поддерживают зоны доступности. Дополнительные сведения о зонах доступности и регионах, которые их поддерживают, см. в этой статье.
Подписки
Вы можете развернуть любое количество виртуальных сетей, необходимых в рамках подписки, до предела. Например, некоторые организации используют разные подписки в разных отделах. Дополнительные сведения и рекомендации, связанные с подписками, см. в разделе Определение иерархии.
Сегментация
Вы можете создать несколько виртуальных сетей в рамках одной подписки и одного региона. Каждая виртуальная сеть может иметь несколько подсетей. Следующие рекомендации помогут определить количество необходимых виртуальных сетей и подсетей.
Виртуальные сети
Виртуальная сеть — это виртуальная изолированная часть общедоступной сети Azure. Каждая виртуальная сеть предназначена для вашей подписки. При выборе того, следует ли создать одну виртуальную сеть или несколько виртуальных сетей в подписке, рассмотрите следующие моменты:
- Имеются ли в организации требования к безопасности относительно разделения трафика по отдельным виртуальным сетям. Вы можете выбрать, следует ли подключать виртуальные сети. При подключении виртуальных сетей можно внедрить виртуальный сетевой модуль, например брандмауэр, который позволяет управлять потоком трафика между виртуальными сетями. Дополнительные сведения см. в разделе "Безопасность и подключение".
- Имеются ли в организации требования относительно разделения виртуальных сетей по отдельным подпискам или регионам.
- У вас есть требования к сетевому интерфейсу ? Сетевой интерфейс позволяет виртуальной машине взаимодействовать с другими ресурсами. Каждому сетевому интерфейсу назначается один или несколько частных IP-адресов. Сколько сетевых интерфейсов и закрытых IP-адресов вам требуется в виртуальной сети? Число сетевых интерфейсов и частных IP-адресов, которое можно иметь в виртуальной сети, ограничено.
- Необходимо ли подключить виртуальную сеть к другой виртуальной сети или к локальной сети. Возможно, вы решите подключить некоторые виртуальные сети друг к другу или локальным сетям, но не к другим. Дополнительные сведения см. в разделе "Подключение". Каждая виртуальная сеть, которая подключается к другой виртуальной сети или локальной сети, должна иметь уникальное адресное пространство. Пространству адресов каждой виртуальной сети назначено один или несколько общедоступных или частных диапазонов адресов. Диапазон адресов указывается в формате бесклассовой адресации доменов интернета (CIDR), например 10.0.0.0/16. Дополнительные сведения о диапазонах адресов виртуальных сетей см. здесь.
- Имеются ли в организации требования к администрированию ресурсов в разных виртуальных сетях. В этом случае можно разделить ресурсы на отдельные виртуальные сети, чтобы упростить назначение разрешений отдельным лицам в организации или назначить разные политики разным виртуальным сетям.
- У вас есть требования к ресурсам, которые могут создавать собственную виртуальную сеть? При развертывании некоторых ресурсов службы Azure в виртуальную сеть, они создают свои собственные виртуальные сети. Чтобы определить, создает ли служба Azure собственную виртуальную сеть, см. сведения для каждой службы Azure, которую можно развернуть в виртуальной сети.
подсети;
Вы можете сегментировать виртуальную сеть на одну или несколько подсетей в пределах ограничений. При выборе того, следует ли создать одну подсеть или несколько виртуальных сетей в подписке, рассмотрите следующие моменты:
- Укажите уникальный диапазон адресов для каждой подсети, указанной в формате CIDR, в адресном пространстве виртуальной сети. Диапазон адресов не может перекрываться с другими подсетями в виртуальной сети.
- Если вы планируете развернуть некоторые ресурсы службы Azure в виртуальной сети, они могут требовать или создавать собственную подсеть. Для этого должно быть достаточно нераспределенного пространства. Чтобы определить, создает ли служба Azure собственную подсеть, см. сведения для каждой службы Azure, которую можно развернуть в виртуальной сети. Например, если вы подключаете виртуальную сеть к локальной сети с помощью VPN-шлюза Azure, виртуальная сеть должна иметь выделенную подсеть для шлюза. Узнайте больше о подсетях шлюза.
- Переопределите маршрутизацию по умолчанию для сетевого трафика между всеми подсетями в виртуальной сети. Вы хотите предотвратить маршрутизацию Azure между подсетями или маршрутизировать трафик между подсетями через сетевое виртуальное устройство, например. Если требуется, чтобы трафик между ресурсами в одной виртуальной сети проходит через сетевое виртуальное устройство (NVA), разверните ресурсы в разных подсетях. Дополнительные сведения см. в разделе "Безопасность".
- Ограничение доступа к ресурсам Azure, таким как учетная запись хранилища Azure или база данных SQL Azure, до определенных подсетей с помощью конечной точки службы виртуальной сети. Вы также можете запретить доступ к ресурсам из Интернета. Можно создать несколько подсетей и включить конечную точку службы для некоторых подсетей, но не других. Узнайте больше о конечных точках служб и ресурсах Azure, для которых их можно включить.
- К каждой подсети в виртуальной сети можно привязать не более одной группы безопасности сети. Ту же или другую группу безопасности сети можно связать с каждой подсетью. Каждая группа безопасности сети содержит правила, которые разрешают или запрещают трафик на вход и на выход из источников и пунктов назначения. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Безопасность
Сетевой трафик можно фильтровать из ресурсов в виртуальной сети с помощью групп безопасности сети и виртуальных сетевых устройств. Кроме того, можно контролировать, как Azure маршрутизирует трафик из подсетей. Вы также можете ограничить количество сотрудников организации, которые могут работать с ресурсами в виртуальных сетях.
Фильтрация трафика
- Чтобы фильтровать сетевой трафик между ресурсами в виртуальной сети, используйте группу безопасности сети, NVA, которая фильтрует сетевой трафик или оба. Для развертывания NVA, например, брандмауэра, для фильтрации сетевого трафика, см. в Azure Marketplace. При использовании NVA вы также создаете настраиваемые маршруты для маршрутизации трафика из подсетей в NVA. Дополнительные сведения о маршрутизации трафика см. здесь.
- Группа безопасности сети содержит несколько стандартных правил безопасности, которые разрешают или запрещают входящий и исходящий трафик ресурсов. Вы можете связать группу безопасности сети с сетевым интерфейсом, подсетью, в которой находится сетевой интерфейс, или с обоими. Чтобы упростить управление правилами безопасности, рекомендуется связать группу безопасности сети с отдельными подсетями, а не отдельными сетевыми интерфейсами в подсети по возможности.
- Если для разных виртуальных машин в подсети необходимо применить различные правила безопасности, вы можете связать сетевой интерфейс виртуальной машины с одной или несколькими группами безопасности приложения. Правило безопасности может указывать группу безопасности приложения в качестве источника, назначения или того и другого. Это правило применяется только к сетевым интерфейсам, которые являются членами группы безопасности приложений. Ознакомьтесь с дополнительными сведениями о группах безопасности сети и приложения.
- Если группа безопасности сети связана на уровне подсети, она применяется ко всем контроллерам сетевого интерфейса в подсети, а не только к трафику, исходящему извне подсети. Трафик между виртуальными машинами, содержащимися в подсети, также может быть затронут.
- Azure создает несколько стандартных правил безопасности в каждой группе безопасности сети. Одно стандартное правило разрешает передачу всего трафика между всеми ресурсами в виртуальной сети. Это поведение можно изменить с помощью групп безопасности сети, настраиваемой маршрутизации для перенаправления трафика в виртуальный сетевой модуль, или используя оба метода. Мы рекомендуем ознакомиться со всеми правилами безопасности Azure по умолчанию и понять, как правила группы безопасности сети применяются к ресурсу.
Примеры проектов для реализации сети периметра (также известной как DMZ) между Azure и Интернетом можно просмотреть с помощью NVA.
Маршрутизация трафика
Azure создает несколько стандартных маршрутов для исходящего трафика из подсети. Вы можете переопределить маршрутизацию По умолчанию Azure, создав таблицу маршрутов и связав ее с подсетью. Распространенными причинами переопределения маршрутизации по умолчанию Azure являются:
- Требуется, чтобы трафик между подсетями проходил через NVA. Узнайте больше о настройке таблиц маршрутов для принуждения трафика через NVA.
- Вы хотите принудительно направить весь интернет-трафик через NVA или локальную инфраструктуру через VPN-шлюз Azure. Принудительная отправка интернет-трафика локально для проверки и ведения журнала часто называется принудительным туннелированием. Ознакомьтесь с подробными сведениями о настройке принудительного туннелирования.
Если необходимо реализовать пользовательскую маршрутизацию, рекомендуется ознакомиться с маршрутизацией в Azure.
Подключение
Вы можете подключить виртуальную сеть к другим виртуальным сетям с помощью пиринга виртуальных сетей или локальной сети с помощью VPN-шлюза Azure.
Пиринг
При использовании пиринга между виртуальными сетями можно использовать виртуальные сети в одном или разных поддерживаемых регионах Azure. Виртуальные сети можно использовать в одной или разных подписках Azure (даже подписки, принадлежащие разным клиентам Microsoft Entra).
Перед созданием пиринга рекомендуется ознакомиться со всеми требованиями и ограничениями пиринга. Пропускная способность между ресурсами в пиринговых виртуальных сетях в одном регионе такая же, как если бы ресурсы находились в одной виртуальной сети.
VPN-шлюз
Vpn-шлюз Azure можно использовать для подключения виртуальной сети к локальной сети с помощью VPN типа "сеть — сеть" или выделенного подключения к Azure ExpressRoute.
Вы можете объединить пиринг и VPN-шлюз для создания сетей концентратора и периферийных сетей, где периферийные виртуальные сети подключаются к виртуальной сети концентратора, а концентратор подключается к локальной сети, например.
Разрешение имен
Ресурсы в одной виртуальной сети не могут разрешать имена ресурсов в другой виртуальной сети с одноранговым подключением, используя встроенную систему доменных имен (DNS) Azure . Чтобы разрешить имена в одноранговой виртуальной сети, разверните собственный DNS-сервер или используйте частные домены Azure DNS. Для разрешения имен между ресурсами в виртуальной сети и локальными сетями необходимо развернуть собственный DNS-сервер.
Разрешения
Azure использует ролевое управление доступом Azure. Разрешения назначаются к области в иерархии группы управления, подписки, группы ресурсов и отдельного ресурса. Дополнительные сведения об иерархии см. в статье Упорядочение ваших ресурсов.
Чтобы работать с виртуальными сетями Azure и всеми связанными с ними возможностями, например пирингом, группами безопасности сети, конечными точками служб и таблицами маршрутизации, назначьте членам организации встроенные роли владельца, участника или участника сети. Затем назначьте роль на соответствующий уровень. Если вы хотите назначить определенные разрешения для подмножества возможностей виртуальной сети, создайте пользовательскую роль и назначьте определенные разрешения, необходимые для:
- Виртуальные сети
- Подсети и конечные точки служб
- Сетевые интерфейсы
- Пиринг
- Группы безопасности сети и приложений
- Таблицы маршрутов
Политика
С помощью Политика Azure можно создавать, назначать и управлять определениями политик. Определения политики применяют различные правила к ресурсам, что обеспечивает соответствие этих ресурсов стандартам организации и соглашениям об уровне обслуживания. Политика Azure выполняет оценку ваших ресурсов. Он сканирует ресурсы, которые не соответствуют определениям политик, которые у вас есть.
Например, вы можете определить и применить политику, которая разрешает создавать виртуальные сети только в определенной группе ресурсов или регионе. Для другой политики может потребоваться, чтобы каждая подсеть имела связанную с ней группу безопасности сети. Затем политики оцениваются при создании и обновлении ресурсов.
Политики применяются в следующем порядке: группа управления, подписка и группа ресурсов. Узнайте больше о Политике Azure или разверните некоторые определения Политики Azure для виртуальной сети.
Связанный контент
Сведения обо всех задачах, настройках и опциях ресурсов и функций виртуальной сети в следующих статьях: