Начало работы с сетью Azure
Вы новичок в работе с сетями Azure и пытаетесь разобраться в сетевой документации на Azure.com? Это может быть проблемой, потому что навигация по этому сайту построена вокруг названий продуктов, и эти названия продуктов не всегда упрощают вам понимание того, что на самом деле делает этот продукт или функция. Многие веб-сайты сталкиваются с той же дилеммой; вы увидите похожий макет на сайте Amazon AWS. Проблема в том, что если вы не знакомы с названием продукта или функции и ищете информацию о конкретных сетевых возможностях, вам, возможно, придется некоторое время бродить вокруг, чтобы найти то, что вы ищете.
Итак, сначала мы поговорим о некоторых сетевых возможностях и сообщим вам названия продуктов или услуг, которые сопровождаются этими возможностями. Вот краткая «шпаргалка»:
- Виртуальная сетевая инфраструктура (виртуальные сети Azure)
- Контроль доступа к сети (группы безопасности сети)
- Удаленный доступ (шлюз Azure/точка-точка VPN/RDP/удаленный PowerShell/SSH)
- Возможность межсетевого подключения (межсетевая VPN/выделенная глобальная сеть)
Теперь давайте взглянем на каждый из них и получим представление о том, как они работают.
Виртуальная сетевая инфраструктура (виртуальные сети Azure)
Виртуальная сеть Azure — это ваша маленькая часть облака — представление вашей собственной изолированной сети в многопользовательской инфраструктуре. Вы можете создавать подсети, управлять блоками IP-адресов, развертывать серверы, устанавливать политики безопасности, таблицы маршрутизации и конфигурации DNS, как и в локальной сети. Вы даже можете подключить его к локальной сети.
Машины в вашей виртуальной сети Azure — это, конечно же, виртуальные машины (ВМ). Виртуальные машины Azure построены на основе Hyper-V, как и виртуальные машины во многих локальных центрах обработки данных. Поскольку Azure — это многопользовательская среда, Microsoft приходится изолировать сети клиентов друг от друга. Они делают это с помощью виртуализации сети Hyper-V (HNV в программно определяемом сетевом стеке Windows Server, который инкапсулирует сетевые коммуникации каждого клиента в заголовок GRE с полем, специфичным для каждого отдельного клиента).
Узнайте больше о виртуализации сети Hyper-V в этой статье Обзор виртуализации сети Hyper-V.
Перед созданием виртуальной машины необходимо создать виртуальную сеть Azure, так как все виртуальные машины должны быть размещены в виртуальной сети Azure. Большинство клиентов при создании виртуальной сети Azure используют большой блок IP-адресов, а затем разбивают этот диапазон на подсети, как вы это делаете локально. Виртуальным машинам можно назначать динамические или статические IP-адреса.
Узнайте больше о виртуальных сетях Azure в этой статье
Контроль доступа к сети (группы безопасности сети)
Контроль доступа является ключом к ограничению доступа к сетевым ресурсам тем, кто имеет право их использовать, независимо от того, является ли эта сеть локальной или облачной. В Azure группы безопасности сети (NSG) — это метод, с помощью которого вы реализуете и применяете элементы управления доступом в виртуальной сети Azure.
Группы безопасности сети — это не группы виртуальных машин или группы пользователей; скорее, это группы правил брандмауэра, которые определяют, разрешен или запрещен трафик для определенного источника или назначения. Группы безопасности сети работают как простой брандмауэр или маршрутизатор с фильтрацией пакетов с отслеживанием состояния; они используют 5-кортеж, состоящий из IP-адреса источника и получателя, порта источника и получателя и протокола (TCP или UDP). Вы можете использовать группы безопасности сети для управления доступом между двумя виртуальными машинами, между одной виртуальной машиной и группой виртуальных машин или между подсетями.
Группы безопасности сети поставляются со следующими встроенными правилами:
- РАЗРЕШИТЬ весь трафик в определенной виртуальной сети. Позволяет всем виртуальным машинам в одной виртуальной сети Azure взаимодействовать друг с другом.
- РАЗРЕШИТЬ входящий баланс нагрузки Azure. Разрешает трафик с любого исходного адреса на любой целевой адрес для балансировщика нагрузки Azure.
- DENY все входящие. Блокирует весь трафик из Интернета, который вы явно не разрешили.
- РАЗРЕШИТЬ весь исходящий в Интернет трафик. Позволяет виртуальным машинам инициировать подключения к Интернету. Если вы не хотите, чтобы виртуальные машины инициировали подключения к Интернету, вы можете создать правило для блокировки таких подключений или .
Узнайте больше о группах безопасности сети в этой статье Что такое группа безопасности сети (NSG)?
Удаленный доступ (RDP/SSH/шлюз Azure/точка-сеть VPN)
Когда вы запускаете собственную инфраструктуру виртуализации, вы можете напрямую обращаться к виртуальным машинам через шину виртуальных машин (VMbus). Вам не нужно переходить через виртуальную сетевую инфраструктуру. Владельцам виртуальных машин или служб, работающих на виртуальных машинах, обычно не разрешается доступ через VMbus. Если да, то этот уровень доступа часто является временным и отменяется, когда он больше не нужен.
Когда вы находитесь в общедоступном облаке, все по-другому. Теперь вы не являетесь администратором платформы виртуализации, поэтому у вас нет прямого доступа к виртуальной машине через VMbus платформы виртуализации. Если вы хотите настроить виртуальную машину и управлять ею, вы должны делать это через удаленное сетевое подключение — обычно через Интернет или выделенный канал глобальной сети. Давайте рассмотрим типы подключений удаленного доступа, которые вы будете использовать через Интернет для управления виртуальными машинами и службами, работающими на виртуальных машинах. По сути, у вас есть три варианта:
- Протокол удаленного рабочего стола (RDP). Обычно это самый простой способ удаленного доступа к виртуальной машине в виртуальной сети Azure. Вы можете создать правило NSG, которое разрешает доступ из Интернета к виртуальной машине с помощью RDP. Однако порты RDP часто становятся целью злоумышленников, которые пытаются получить учетные данные с помощью грубой силы, поэтому использование RDP может быть не лучшим вариантом с точки зрения безопасности.
- Протокол Secure Shell (SSH). Вы можете использовать SSH для доступа к виртуальным машинам Windows и Linux в виртуальной сети Azure. Однако, как и в случае с RDP, имена пользователей и пароли могут быть скомпрометированы с помощью грубой принудительной атаки, поэтому это может быть не самый безопасный вариант.
- VPN типа «точка-сеть» с использованием протокола туннелирования защищенных сокетов (SSTP). Протокол SSTP туннелирует обмен данными через Интернет с использованием зашифрованного TLS-заголовка HTTP, что означает, что SSTP можно использовать через брандмауэры и веб-прокси. Чтобы установить VPN-подключение типа «точка-сеть», необходимо пройти аутентификацию на шлюзе VPN. VPN-шлюз Azure и VPN-клиент используют сертификаты для проверки подлинности друг друга. Аутентификация сертификата не подвержена атакам грубой силы, в отличие от прямых RDP или SSH-соединений через Интернет. Это хорошее преимущество в плане безопасности.
Возможность межсетевого подключения (VPN между сайтами)
Под подключением между предприятиями (или между сайтами) понимается подключение между одним сайтом (например, вашей локальной сетью) и другим сайтом (например, виртуальной сетью Azure). Это позволяет трафику перемещаться между этими двумя сетями. Вы можете установить межсайтовое подключение к Azure с помощью VPN типа «сеть-сеть» или выделенного канала глобальной сети.
В отличие от VPN типа "точка-сеть", с помощью VPN типа "сеть-сеть" вы можете подключить всю сеть к виртуальной сети Azure, а не только одно устройство (конечную точку). Другой термин для VPN типа «сеть-сеть» — это VPN «шлюз-шлюз»; это потому, что каждый конец VPN-подключения является устройством VPN-шлюза. Шлюз VPN действует как маршрутизатор, который использует туннель VPN для маршрутизации подключений из локальной сети в виртуальную сеть Azure. VPN-шлюз Azure совместим с большинством стандартных локальных VPN-шлюзов, если они используют туннельный режим IPsec (как и большинство).
Недостатки VPN типа «сеть-сеть» заключаются в том, что они ограничены в скорости передачи, достигая максимальной скорости примерно 200 Мбит/с, и VPN-соединение проходит через Интернет (в отличие от выделенного канала WAN). В зависимости от ваших потребностей в производительности первое может представлять или не представлять серьезную проблему. Каждый раз, когда трафик проходит через Интернет, он может быть перехвачен или атакован. Однако туннель IPsec считается очень безопасным. Если вы не имеете дело с информацией, которая требует самого высокого уровня безопасности, это может не быть проблемой; это то, что должно быть решено с помощью комплексной системы классификации данных и оценки рисков.
Узнайте больше о VPN-подключении "сеть-сеть" в Azure в этой статье
Возможность межсетевого подключения (выделенный канал глобальной сети с ExpressRoute)
Если вам действительно нужно абсолютно безопасное соединение между вашей локальной сетью и виртуальной сетью Azure и/или вам нужна максимальная производительность/скорость, и вы готовы платить за это, вы можете приобрести выделенный Ссылка WAN от телефонной компании, обеспечивающая прямое физическое соединение, не проходящее через Интернет. Microsoft предлагает вариант использования ExpressRoute для установки выделенного канала глобальной сети между вашей сетью и виртуальной сетью Azure. Это дает вам следующие преимущества:
- Более быстрое соединение — до 10 Гбит/с, что в 50 раз быстрее, чем максимальная скорость VPN типа «сеть-сеть».
- Более безопасное соединение — частное, прямое соединение, которое не проходит через Интернет.
- SLA — соглашение об уровне обслуживания, которое обеспечивает гарантированный уровень безотказной работы и производительности.
ExpressRoute поддерживает два различных типа каналов глобальной сети: многопротокольная коммутация линий (MPLS) и подключение к поставщику Exchange. Exchange Provider быстрее (до 10 Гбит/с по сравнению с 1 Гбит/с для MPLS.
Узнайте больше о выделенных каналах глобальной сети с виртуальными сетями Azure в этой статье,
В этой статье мы кратко рассмотрели некоторые сетевые возможности Azure, но затронули лишь верхушку айсберга. Azure — это мощная и гибкая инфраструктура, предоставляющая множество возможностей. Мы надеемся, что это поможет вам начать долгое и счастливое путешествие в облако.