Виртуальные сети в Microsoft Azure (часть 1)

Опубликовано: 8 Марта, 2023

Введение

В первой части этой статьи вы узнаете, как создать новую виртуальную сеть в Azure. Вы также узнаете, как разрешить виртуальным машинам и облачным службам в разных виртуальных сетях взаимодействовать через магистральную сеть Azure, соединяя виртуальные сети Azure друг с другом. Часть II этой статьи покажет вам, как расширить локальную сеть до общедоступного облака Microsoft Azure.

Обзор виртуальной сети Microsoft Azure

Точно так же, как вы создаете виртуальные сети в Hyper-V для подключения виртуальных машин (VM) друг к другу (частная виртуальная сеть) или внешним сетям (внешняя виртуальная сеть), вы можете создавать виртуальные сети (VNet) в Microsoft Azure для подключения виртуальных машин и служб. друг к другу (только облачная виртуальная сеть), а также подключить локальную сеть к виртуальной сети Windows Azure (кросс-локальная виртуальная сеть).

Облачная виртуальная сеть — это изолированная сеть, которую вы создаете для подключения виртуальных машин или облачных служб, чтобы они могли взаимодействовать через магистраль Azure. Вы должны проявлять инициативу и планировать конфигурацию виртуальной сети до развертывания виртуальных машин и облачных служб, поскольку они получают свои сетевые параметры во время развертывания. Если вы создаете новую виртуальную сеть и хотите подключить к ней существующие виртуальные машины и облачные службы, вам придется повторно развернуть их для достижения своей цели.

Распределенная виртуальная сеть позволяет создать безопасное подключение с помощью VPN-устройства в локальной сети к шлюзу виртуальной сети Azure. После установления подключения ресурсы, подключенные к вашей локальной сети, могут напрямую и безопасно взаимодействовать с ресурсами Azure, подключенными к виртуальной сети Azure. Это тип конфигурации, который вы бы реализовали, если бы развертывали филиал с несколькими устройствами, которым требовался доступ к ресурсам, развернутым в Azure. Также можно настроить безопасные подключения типа "точка-сеть" к виртуальной сети Azure, если вам требуется возможность настройки подключений с ограниченного числа локальных устройств. В этом случае вы настраиваете соединение на каждом устройстве с помощью VPN-клиента. Если у вас есть локальная инфраструктура, требующая высокоскоростных, надежных подключений к ресурсам Azure с малой задержкой и более высоким уровнем безопасности, вы можете использовать службу Azure ExpressRoute для создания частных подключений, не использующих общедоступный Интернет. С помощью ExpressRoute подключения из локальных сетей устанавливаются в расположении ExpressRoute или из глобальной сети (WAN) через поставщика услуг.

Создание облачной виртуальной сети

Создание облачной виртуальной сети с помощью портала управления Azure — довольно простой процесс. После создания виртуальной сети вы можете развернуть и подключить виртуальные машины и облачные службы, которым необходимо взаимодействовать друг с другом.

В локальной системе войдите на портал управления Azure и выполните следующую процедуру, чтобы создать виртуальную сеть только для облака.

  1. Нажмите «Создать » в левом нижнем углу экрана, как показано на рис. 1.

Изображение 1020
Рис. 1. Экран портала управления Azure

  1. На новой панели нажмите «Сетевые службы», затем выберите «Виртуальная сеть», а затем параметр «Выборочное создание», как показано на рис. 2.

Изображение 1021
Рис. 2. Создание виртуальной сети с дополнительными параметрами

  1. На странице «Сведения о виртуальных сетях» введите имя виртуальной сети и выберите расположение из раскрывающегося списка, как показано на рис. 3. Имя виртуальной сети может быть любым, которое вам нравится, но вы должны разработать и использовать соглашение об именовании, определяющее цель виртуальная сеть. Расположение виртуальной сети следует выбирать в зависимости от региона, в котором вы хотите развернуть свои виртуальные машины и облачные службы. После выбора вы не сможете изменить регион, связанный с виртуальной сетью.

Изображение 1022
Рис. 3. Определение сведений о виртуальной сети

  1. На странице DNS-серверы и VPN-подключение никаких изменений вносить не нужно. Azure предоставит разрешение имен по умолчанию, как показано на рис. 4. Поскольку вы создаете виртуальную сеть только для облака, вам не нужно выбирать параметры подключения Site-to-Site или Point-to-Site.

Изображение 1023
Рисунок 4: Определение DNS-сервера и VPN-подключения

  1. На странице «Адресные пространства виртуальной сети» не нужно вносить никаких изменений, если только вам не требуется конкретное определение подсети или диапазон внутренних IP-адресов, как показано на рис. 5. Если вы хотите связать несколько подсетей с виртуальной сетью, выберите « Добавить подсеть». вариант. При развертывании новых виртуальных машин в этой виртуальной сети Azure выделяет IP-адреса из определенных диапазонов для связи только внутри виртуальной сети.

Изображение 1024
Рис. 5. Определение адресных пространств виртуальной сети

  1. После того как вы нажмете галочку в правом нижнем углу страницы, Azure создаст новую виртуальную сеть. Затем виртуальная сеть появится на портале управления, как показано на рис. 6.

Изображение 1025
Рис. 6. Новая виртуальная сеть на портале управления Azure

  1. При создании новых виртуальных машин для развертывания в новой виртуальной сети через портал управления Azure необходимо выбрать параметр Из коллекции, чтобы иметь возможность выбрать новую виртуальную сеть.

Справочная информация о подключении виртуальной сети к виртуальной сети

Если вы развертываете виртуальные машины и облачные службы в разных виртуальных сетях Azure, а позднее вам потребуется, чтобы они взаимодействовали друг с другом, вам необходимо настроить подключение между виртуальными сетями, чтобы создать путь связи. Для подключения между виртуальными сетями требуется использование VPN-шлюза Azure с динамической маршрутизацией. Виртуальные сети можно подключать с помощью туннелей IPSEC, а одна виртуальная сеть может подключаться к 10 шлюзам между виртуальными сетями. По умолчанию виртуальная сеть разрешает сетевой трафик только между одной виртуальной сетью и подключением к шлюзу виртуальной сети. Виртуальные сети могут находиться в одной или разных подписках Azure, а также в одном или разных регионах Azure.

Подключения между виртуальными сетями можно настроить либо с использованием модели концентратора и луча, либо модели с последовательной цепочкой, как показано на рис. 7 и 8 соответственно.

Изображение 1026
Рис. 7. Модель подключения узловой и лучевой виртуальной сети

В модели концентратора и луча виртуальная машина в виртуальной сети 1 может обмениваться данными с виртуальными машинами в виртуальной сети 2, виртуальной сети 3, виртуальной сети 4 и виртуальной сети 5. Однако виртуальная машина в виртуальной сети VNet2, VNet3, VNet4 или VNet5 может обмениваться данными только с виртуальной машиной в виртуальной сети 1 из-за изоляции одного прыжка по умолчанию для подключения между виртуальными сетями.

Изображение 1027
Рис. 8. Модель подключения виртуальной сети с гирляндной цепью

В модели с гирляндной цепочкой виртуальная машина в виртуальной сети 1 может обмениваться данными с виртуальными машинами в виртуальной сети 2, но не с виртуальными машинами в виртуальных сетях 3, 4 и 5. Однако виртуальная машина в виртуальной сети 2 может обмениваться данными с виртуальными машинами в виртуальных сетях VNet1 и VNet3, но не с виртуальными сетями VNet4 или VNet5 из-за изоляции одного прыжка по умолчанию.

Создание подключения виртуальной сети к виртуальной сети

Чтобы создать подключение между виртуальными сетями, необходимо сначала убедиться, что диапазоны IP-адресов, определенные для каждой виртуальной сети, не перекрываются. Например, если вы подключаете виртуальные сети с именами SouthCentralVNet1 и SouthCentralVNet2, диапазоны адресов должны быть уникальными, как показано в таблице 1.

Виртуальная сеть

Определение IP-адреса виртуальной сети

Южная центральная внет1 (VNet1)

10.1.0.0/16

Южный центральный внет2 (VNet2)

10.2.0.0/16

Таблица 1. Примеры диапазонов IP-адресов виртуальной сети

После создания виртуальных сетей необходимо выполнить еще пять шагов, прежде чем будет завершена настройка подключения между виртуальными сетями.

  • Настройте каждую виртуальную сеть, чтобы идентифицировать другую виртуальную сеть как сайт локальной сети в Azure.
  • Создайте шлюзы динамической маршрутизации для каждой виртуальной сети.
  • Настройте каждую локальную сеть с IP-адресом локального шлюза.
  • Настройка общего ключа для подключения между виртуальными сетями.
  • Подключить VPN-шлюзы

В локальной системе войдите на портал управления Azure и выполните следующую процедуру, чтобы создать подключение между виртуальными сетями для двух существующих виртуальных сетей Azure с уникальными диапазонами адресов.

  1. На портале управления Azure нажмите «Создать», затем выберите «Сетевые службы», затем «Виртуальная сеть», а затем выберите параметр « Добавить локальную сеть», как показано на рис. 9.

Изображение 1028
Рис. 9. Добавление параметра локальной сети

  1. На странице сведений о локальной сети введите имя первой виртуальной сети, к которой вы хотите подключиться, как показано на рис. 10. В качестве IP-адреса VPN-устройства введите адрес-заполнитель, когда вы вернетесь и настроите этот параметр после Azure. чуть позже создает IP-адрес шлюза.

Изображение 1029
Рисунок 10: Настройка сведений о локальной сети

  1. На странице Укажите адресное пространство введите фактический диапазон IP-адресов, созданный для виртуальной сети 1, как показано на рис. 11.

Изображение 1030
Рисунок 11: Настройка адресного пространства локальной сети

  1. Повторите шаги с 1 по 4 для виртуальной сети 2, используя уникальный диапазон IP-адресов, определенный для виртуальной сети в Azure.
  2. На странице Networks щелкните VNet1, а затем выберите страницу Configure, как показано на рис. 12.

Изображение 1031
Рис. 12. Страница настройки VNet1

  1. В разделе подключения между сайтами выберите Подключиться к локальной сети, а затем выберите виртуальную сеть 2 в качестве локальной сети, как показано на рис. 13.

Изображение 1032
Рис. 13. Выбор подключения Site-to-Site для виртуальной сети 1

  1. В разделе адресных пространств виртуальной сети щелкните Добавить подсеть шлюза, а затем щелкните значок сохранения, как показано на рис. 14.

Изображение 1033
Рис. 14. Добавление подсети шлюза для виртуальной сети 1

  1. Повторите шаги с 5 по 7 для виртуальной сети 2 и укажите виртуальную сеть 1 в качестве локальной сети.
  2. На странице панели мониторинга для виртуальной сети 1 выберите Создать шлюз, как показано на рис. 15.

Изображение 1034
Рис. 15. Создание шлюза для виртуальной сети 1

  1. Обязательно выберите Dynamic Routing, как показано на рисунке 16.

Изображение 1035
Рис. 16. Выбор динамической маршрутизации для шлюза виртуальной сети

  1. Пока Azure создает шлюз, что занимает около 15 минут, вы увидите состояние, показанное на рис. 17.

Изображение 1036
Рис. 17. Состояние панели мониторинга VNet1 во время создания шлюза

  1. Повторите шаги 9 и 10, чтобы создать шлюз для виртуальной сети 2. Вам не нужно ждать создания первого шлюза, поскольку Azure может создавать оба шлюза одновременно.
  2. Когда статус шлюза изменится на , получите IP-адрес для каждого шлюза с панели управления, как показано на рис. 18.

Изображение 1037
Рисунок 18: IP-адрес шлюза после создания шлюза

  1. На странице «Добавить локальные сети» щелкните виртуальную сеть 1, а затем нажмите «Изменить» внизу страницы. В поле IP-адрес устройства VPN введите IP-адрес шлюза, который вы записали для виртуальной сети 1, как показано на рис. 19.

Изображение 1038
Рисунок 19: Конфигурация IP-адреса локального сетевого шлюза

  1. Повторите шаг 14 для виртуальной сети 2.
  2. Последним шагом для настройки подключения к VPN-шлюзу является настройка предварительно общего ключа IPSEC на то же значение. Этого можно добиться с помощью следующих командлетов в Windows Azure PowerShell:
    Set-AzureVnetGatewayKey – VNetName – LocalNetworkSiteName – SharedKey Set-AzureVnetGatewayKey — VNetName — LocalNetworkSiteName — SharedKey
  3. После успешного выполнения этих командлетов вы можете выбрать параметр Подключиться на странице панели мониторинга виртуальной сети, и подключение будет инициализировано. После инициализации подключения на панели мониторинга отобразится подключение между виртуальными сетями, как показано на рис. 20.

Изображение 1039
Рис. 20. Успешное подключение виртуальной сети к виртуальной сети

Вывод

Конфигурация по умолчанию виртуальной сети только для облака Microsoft Azure ограничивает обмен данными между ресурсами, развернутыми в этой виртуальной сети. Соединение между виртуальными сетями позволяет предоставить канал связи между ресурсами, развернутыми в двух разных виртуальных сетях, в магистрали Azure. Настройка подключения между виртуальными сетями очень похожа на настройку локальной сети на виртуальную сеть Azure, о которой вы узнаете во второй части этой статьи.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023