Что такое виртуальная сеть Azure?
Azure виртуальная сеть — это служба, которая предоставляет базовый стандартный блок для частной сети в Azure. Экземпляр службы (виртуальной сети) позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Эти ресурсы Azure включают виртуальные машины (VMs).
Виртуальная сеть похожа на традиционную сеть, в которой вы бы работали в собственном центре обработки данных. Но это дает дополнительные преимущества инфраструктуры Azure, таких как масштабирование, доступность и изоляция.
Зачем использовать виртуальную сеть Azure?
Ниже перечислены основные сценарии, которые можно выполнить с помощью виртуальной сети.
Обмен данными о ресурсах Azure с Интернетом.
Обмен данными между ресурсами Azure.
Взаимодействие с локальными ресурсами.
Фильтрация сетевого трафика.
Маршрутизация сетевого трафика.
Интеграция со службами Azure.
Обмен данными через Интернет
Все ресурсы в виртуальной сети по умолчанию могут взаимодействовать с интернетом. Вы также можете использовать общедоступный IP-адрес, шлюз NAT или общедоступную подсистему балансировки нагрузки для управления исходящими подключениями. Вы можете взаимодействовать с ресурсом, назначив общедоступный IP-адрес или общедоступную подсистему балансировки нагрузки.
Если вы используете только внутренний стандартный балансировщик нагрузки, исходящие подключения недоступны, пока вы не определите, как должны работать исходящие подключения с общедоступным IP-адресом на уровне экземпляра или общедоступным балансировщиком нагрузки.
обмен данными между ресурсами Azure;
Безопасный обмен данными между ресурсами обеспечивается одним из следующих способов:
- Виртуальная сеть. Вы можете развернуть виртуальные машины и другие типы ресурсов Azure в виртуальной сети. Примеры ресурсов включают среду App Service, службу Azure Kubernetes (AKS) и масштабируемые наборы виртуальных машин Azure. Полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. в статье "Развертывание выделенных служб Azure в виртуальных сетях".
Примечание.
Чтобы переместить виртуальную машину из одной виртуальной сети в другую, необходимо удалить и повторно создать виртуальную машину в новой виртуальной сети. Диски виртуальной машины можно сохранить для использования в новой виртуальной машине.
Конечная точка службы виртуальной сети: вы можете расширить частное адресное пространство и идентификацию вашей виртуальной сети к ресурсам службы Azure через прямое подключение. Примеры ресурсов включают в себя учетные записи Azure Storage и базы данных Azure SQL. Конечные точки служб позволяют защищать критически важные ресурсы служб Azure в пределах вашей виртуальной сети. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.
Пиринг между виртуальными сетями. Вы можете подключать виртуальные сети друг к другу с помощью виртуального пиринга. Затем ресурсы в любой виртуальной сети могут взаимодействовать друг с другом. Виртуальные сети, которые вы подключаетесь, могут находиться в одном или разных регионах Azure. Дополнительные сведения см. в статье Пиринг между виртуальными сетями.
Обмен данными через локальные ресурсы
Локальные компьютеры и сети можно подключить к виртуальной сети с помощью любого из следующих параметров:
Виртуальная частная сеть (VPN) типа "точка — сеть": устанавливается между виртуальной сетью и одним компьютером в сети. Необходимо настроить подключение для каждого компьютера, который требуется подключить к виртуальной сети. Этот тип подключения полезен, если вы только начинаете работу с Azure или для разработчиков, так как это требует нескольких изменений в существующей сети. Обмен данными между компьютером и виртуальной сетью осуществляется через Интернет с помощью зашифрованного туннеля. Дополнительные сведения см. в разделе "Сведения о VPN типа "точка — сеть".
VPN типа "сеть — сеть": устанавливается между локальным VPN-устройством и VPN-шлюзом Azure, развернутым в виртуальной сети. Используя такой тип соединения, авторизованные локальные ресурсы могут получить доступ к виртуальной сети. Обмен данными между локальным VPN-устройством и VPN-шлюзом Azure осуществляется через Интернет с помощью зашифрованного туннеля. Дополнительные сведения см. в разделе о VPN-подключении "сеть — сеть".
Azure ExpressRoute: устанавливается между сетью и Azure через партнера ExpressRoute. Это подключение является закрытым. Трафик не проходит через Интернет. Дополнительные сведения см. в статье "Что такое Azure ExpressRoute?".
Фильтрация сетевого трафика
Сетевой трафик можно фильтровать между подсетями с помощью одного или обоих из следующих параметров:
Группы безопасности сети: группы безопасности сети и группы безопасности приложений могут содержать несколько правил безопасности для входящего и исходящего трафика. Эти правила позволяют фильтровать трафик в ресурсы и от них по исходному и целевому IP-адресу, порту и протоколу. Дополнительные сведения см. в разделе "Группы безопасности сети" и "Группы безопасности приложений".
Сетевые виртуальные устройства: сетевое виртуальное устройство — это виртуальная машина, которая выполняет сетевую функцию, например брандмауэр или оптимизация глобальной сети. Чтобы просмотреть список доступных виртуальных сетевых устройств, которые можно развернуть в виртуальной сети, перейдите в Azure Marketplace.
Маршрутизация сетевого трафика
Azure направляет трафик между подсетями, подключенными виртуальными сетями, локальными сетями и Интернетом по умолчанию. Вы можете реализовать любой из следующих параметров, чтобы переопределить маршруты по умолчанию, создаваемые Azure:
Таблицы маршрутов. Вы можете создать пользовательские таблицы маршрутов, управляющие маршрутизацией трафика для каждой подсети.
Маршруты протокола BGP: При подключении виртуальной сети к локальной сети с помощью VPN-шлюза Azure или подключения ExpressRoute вы можете распространить локальные маршруты BGP на ваши виртуальные сети.
Интеграция со службами Azure
Интеграция служб Azure с виртуальной сетью Azure обеспечивает частный доступ к службе с виртуальных машин или вычислительных ресурсов в виртуальной сети. Для этой интеграции можно использовать следующие параметры:
Разверните выделенные экземпляры службы в виртуальной сети. В этом случае закрытый доступ к этим службам сможет осуществляться в виртуальной сети и из локальных сетей.
Используйте Приватный канал Azure для частного доступа к определенному экземпляру службы из виртуальной сети и из локальных сетей.
Получите доступ к службе через общедоступные конечные точки, расширяя виртуальную сеть к службе с помощью конечных точек службы. Конечные точки службы позволяют защитить ресурсы службы в виртуальной сети.
Ограничения
Существуют ограничения на количество ресурсов Azure, которые можно развернуть. Для большинства ограничений сети Azure заданы максимальные значения. Однако можно увеличить определенные ограничения сети. Дополнительные сведения см. в разделе "Ограничения сети".
Виртуальные сети и зоны доступности
Виртуальные сети и подсети охватывают все зоны доступности в регионе. Их не нужно разделять по зонам доступности для размещения зональных ресурсов. Например, если вы настроили зональную виртуальную машину, то при выборе зоны доступности для виртуальной машины вам не понадобиться принимать во внимание виртуальную сеть. Это касается и других зональных ресурсов.
Цены
Плата за использование Azure виртуальная сеть не взимается. Это бесплатно. Стандартные расходы применяются к ресурсам, таким как виртуальные машины и другие продукты. Дополнительные сведения см. в статье Цены на виртуальные сети и калькулятор цен для Azure.
Следующие шаги
Узнайте о концепциях и лучших практиках Виртуальной сети Azure
Начните использовать виртуальную сеть, создав ее, развернув в ней несколько виртуальных машин и организовав взаимодействие между этими машинами. Дополнительные сведения см. в кратком руководстве по созданию виртуальной сети с использованием портала Azure.
Выполните обучающий модуль по проектированию и реализации основной сетевой инфраструктуры Azure, включая виртуальные сети: общие сведения о виртуальных сетях Azure.