- یک شبکه مجازی لاجوردی؛ به عنوان مثال، VNet، نمایشی از شبکه خود در فضای ابری است.
- اساسا، این یک جداسازی منطقی از ابر Azure است که به طور کامل به اشتراک شما اختصاص داده شده است.
- شما کنترل کامل بر بلوک های آدرس IP، تنظیمات DNS، سیاست های امنیتی و جداول مسیر در این شبکه را دارید.
- شما همچنین این قدرت را دارید که VNet را به پارتیشنهای بیشتری به نام زیرشبکه تقسیم کنید و ماشینهای مجازی Azure خود را همراه با سرویسهای ابری خود راهاندازی کنید.
- می توانید VNet را با استفاده از یکی از گزینه های اتصال موجود در Azure به شبکه داخلی خود متصل کنید.
- به طور خلاصه می توان گفت که می توانید با کنترل کامل بر بلوک های آدرس IP و همچنین مزایای مقیاس سازمانی که Azure ارائه می دهد، شبکه خود را به Azure گسترش دهید.
- فرض کنید پایگاه داده ای داریم که نمی خواهیم آن را در معرض شبکه عمومی قرار دهیم، اما می خواهیم توسط برنامه های Azure ما استفاده شود. بنابراین، برای آن، میتوانیم شبکه محلی خود را گسترش دهیم و ماشینها را به بخشی از VNet تبدیل کنیم. بنابراین، VNet فقط یک نسخه توسعه یافته از شبکه محلی ما خواهد بود.
اصطلاحات
آدرس های IP
دو نوع آدرس IP به منابع در Azure اختصاص داده شده است، یعنی عمومی و خصوصی.
آدرس های IP
دو نوع آدرس IP به منابع در Azure اختصاص داده شده است، یعنی عمومی و خصوصی.
- آدرسهای IP عمومی به منابع Azure اجازه میدهند تا با اینترنت و سایر سرویسهای عمومی Azure مانند Azure Redis Cache ارتباط برقرار کنند.
- آدرسهای IP خصوصی امکان ارتباط بین منابع موجود در شبکه مجازی را به همراه منابعی که از طریق یک شبکه خصوصی مجازی بدون استفاده از آدرس IP قابل مسیریابی اینترنت متصل هستند، میدهند.
برخی از IP های ترجیحی برای اینترانت وجود دارد،
- شبکه کوچک: 192.168.0.X برای 28 سیستم. در اینجا فقط آخرین بایت تغییر می کند تا محدوده آدرس IP 192.168.0.0/24 باشد.
- اگر یک شبکه کوچک دیگر وجود دارد، می توانید از 192.168.1.X نیز برای همان تعداد سیستم استفاده کنید و محدوده آدرس IP نیز یکسان خواهد بود زیرا فقط آخرین بایت تغییر می کند.
- برای شبکه های بزرگ، 172.168.XX برای 216 سیستم است. در اینجا آخرین بایت ها در حال تغییر هستند و از این رو محدوده آدرس IP 172.168.0.0/16 خواهد بود.
- و اگر موردی از یک شبکه بسیار بزرگ وجود داشته باشد، آدرس IP می تواند 10.XXX برای 232 سیستم باشد. در اینجا سه بایت آخر تغییر می کند بنابراین محدوده 10.0.0.0/8 خواهد بود.
- در اینجا، آدرس های IP گرفته شده فقط برای نمایش هستند. این واقعاً به شما بستگی دارد که کدام آدرس IP را انتخاب کنید.
نماد مسیریابی بین دامنهای بدون کلاس (CIDR)
این یک نمایش فشرده از یک آدرس IP است و با پیشوند مسیریابی مرتبط است. این از یک آدرس IP، یک اسلش و یک عدد اعشاری ساخته شده است. عدد در اینجا تعداد 1 بیت اصلی در ماسک مسیریابی است که معمولاً ماسک شبکه نامیده می شود. بنابراین، برای مثال، 192.168.0.0/24 یک نماد CIDR است.
این یک نمایش فشرده از یک آدرس IP است و با پیشوند مسیریابی مرتبط است. این از یک آدرس IP، یک اسلش و یک عدد اعشاری ساخته شده است. عدد در اینجا تعداد 1 بیت اصلی در ماسک مسیریابی است که معمولاً ماسک شبکه نامیده می شود. بنابراین، برای مثال، 192.168.0.0/24 یک نماد CIDR است.
زیرشبکه ها
یک زیرشبکه طیفی از آدرس های IP در VNet است که می توانید یک VNet را به چندین زیرشبکه تقسیم کنید که عمدتاً امنیتی و برای سازماندهی بهتر است.
یک زیرشبکه طیفی از آدرس های IP در VNet است که می توانید یک VNet را به چندین زیرشبکه تقسیم کنید که عمدتاً امنیتی و برای سازماندهی بهتر است.
- تمام نمونههای نقش VM و PaaS که در زیرشبکهها، چه یکسان یا متفاوت، در یک VNet مستقر شدهاند، میتوانند به راحتی بدون هیچ گونه پیکربندی اضافی با یکدیگر ارتباط برقرار کنند.
- علاوه بر این، میتوانید جداول مسیر و گروههای امنیتی شبکه را پیکربندی کنید که ترافیک ورودی و خروجی را به یک زیرشبکه مدیریت کنند.
- ماسک زیر شبکه بر اساس تعداد سیستم های یک شبکه تنظیم می شود. به عنوان مثال، 255.255.255.0 برای 28 سیستم است که سه بایت اول یکسان خواهد بود.
- و به همین ترتیب 255.255.0.0 برای 216 سیستم و 255.0.0.0 برای 224 سیستم است.
گروه امنیت شبکه (NSG)
همانطور که قبلاً گفتم، گروههای امنیت شبکه برای کنترل ترافیک ورودی و خروجی به رابطهای شبکه، ماشینهای مجازی و زیرشبکهها استفاده میشوند. هر گروه امنیت شبکه حاوی یک یا چند قانون است که مشخص می کند ترافیک بر اساس پارامترهای مختلف مانند منبع آدرس های IP، پورت مبدأ، آدرس IP مقصد و پورت مقصد تایید یا رد شود.
همانطور که قبلاً گفتم، گروههای امنیت شبکه برای کنترل ترافیک ورودی و خروجی به رابطهای شبکه، ماشینهای مجازی و زیرشبکهها استفاده میشوند. هر گروه امنیت شبکه حاوی یک یا چند قانون است که مشخص می کند ترافیک بر اساس پارامترهای مختلف مانند منبع آدرس های IP، پورت مبدأ، آدرس IP مقصد و پورت مقصد تایید یا رد شود.
کارت رابط شبکه (NIC)
برای ارتباط بین ماشین های مجازی و برای ارتباط آنها با سایر منابع موجود در شبکه، از کارت رابط شبکه مجازی استفاده می کنند. به طور پیشفرض، کارتهای شبکه مجازی دارای یک IP خصوصی اجباری هستند، اما این گزینه را دارند که یک IP عمومی نیز داشته باشند. ماشین های مجازی بر اساس نیاز خود می توانند بیش از یک NIC برای پیکربندی شبکه های مختلف داشته باشند.
Azure Load Balancers
ماشینهای مجازی و سرویسهای ابری در VNet را میتوان با استفاده از Azure Load Balances در معرض اینترنت قرار داد.
- External Load Balancer
اگر از یک اینترنت عمومی به نمونه های IaaS VMs و PaaS دسترسی دارید، باید از یک load balancer خارجی استفاده کنید. - Internal Load Balancer
اگر به نمونههای نقشهای IaaS VM و PaaS از سرویسهای دیگر داخل VNet خود دسترسی دارید، باید از یک load balancer داخلی استفاده کنید.
Azure DNS
یادآوری یک ماشین مجازی با آدرس IP آن خسته کننده است. بنابراین، سیستم نامگذاری دامنه برای Azure، مشتریان را قادر میسازد تا نامهای دامنه کاملاً واجد شرایط کاربرپسند (FQDN) را حل کنند. Azure DNS به شما امکان می دهد دامنه های خود را با برنامه های Azure خود میزبانی کنید. در اشتراک Azure خود، می توانید سوابق DNS خود را مدیریت کنید.
یادآوری یک ماشین مجازی با آدرس IP آن خسته کننده است. بنابراین، سیستم نامگذاری دامنه برای Azure، مشتریان را قادر میسازد تا نامهای دامنه کاملاً واجد شرایط کاربرپسند (FQDN) را حل کنند. Azure DNS به شما امکان می دهد دامنه های خود را با برنامه های Azure خود میزبانی کنید. در اشتراک Azure خود، می توانید سوابق DNS خود را مدیریت کنید.
شبکه داخلی ساده شده
- از طریق اینترنت، زمانی که درخواستی وارد شبکه می شود، ابتدا باید توسط روتر پاک شود.
- سپس به فایروال می رود. اگر فایروال به آن اجازه عبور ندهد، درخواست فقط در آنجا رد می شود.
- سپس درخواست به Internet Facing Load Balancer میرود که سپس درخواست را به یکی از وب سرورهایی که با یکدیگر خوشهبندی شدهاند ارسال میکند، زیرا ما میتوانستیم همان وبسایت را بر روی چندین وب سرور برای در دسترس بودن و به خاطر امنیت میزبانی کنیم. خوب.
- سپس این وب سرورها درخواست را اجرا می کنند و ممکن است برای همین نیاز به دسترسی به پایگاه داده داشته باشند.
- سپس دوباره باید از طریق یک فایروال برای دسترسی به پایگاه داده عبور کند. اکنون فقط در صورت وجود ترافیک زیاد، ما دوباره یک بار متعادل کننده داخلی برای تعادل بار داریم.
- آن بار متعادل کننده داخلی بار را به چند نمونه از پایگاه داده تکرار شده تقسیم می کند.
- در داخل شبکه، ما یک سرور DNS برای حل نام و یک Domain Controller (DC) برای احراز هویت داریم.
- هر چیزی که باید عمومی شود باید در DMZ (منطقه غیرنظامی شده) قرار داده شود. DMZ یک شبکه فرعی فیزیکی یا منطقی است که یک شبکه محلی داخلی را از سایر شبکه های غیرقابل اعتماد که معمولاً اینترنت است جدا می کند.
- با این حال، نمونه های پایگاه داده باید داخلی نگه داشته شوند و به طور آشکار به آنها دسترسی نداشته باشید. فقط سرورهای وب با کمک فایروال می توانند به پایگاه داده دسترسی داشته باشند.
- بیایید ببینیم چگونه می توان همان شبکه داخلی را در یک شبکه مجازی Azure تکرار کرد.
همان شبکه میزبانی شده در Azure
![](http://pezhvak24.ir/dl/10kcor/cscd/article/azure-virtual-networks/Images/figure02.png)