Экспорт (0) Печать
Развернуть все

Вопросы по виртуальным сетям

Обновлено: Май 2014 г.

Основы виртуальной сети

Конфигурация виртуальной сети

Подключение между виртуальными сетями организаций (виртуальные частные сети)

Подключение к нескольким сайтам и подключение разных виртуальных сетей

Виртуальная сеть и разрешение имен (DNS)

Виртуальная сеть и виртуальные машины

Виртуальная сеть и службы

Виртуальная сеть и безопасность

API-интерфейсы, схемы и средства

Виртуальная сеть позволяет настраивать виртуальные частные сети (VPN) и управлять ими в Azure, а также привязывать VPN к локальной ИТ-инфраструктуре для создания гибридных решений и решений, объединяющих несколько организаций. С помощью виртуальной сети ИТ-администраторы могут контролировать топологию сети, в том числе конфигурацию DNS и диапазоны IP-адресов.
Дополнительные сведения см. в разделе Общие сведения о виртуальных сетях.

Виртуальные сети можно использовать для следующих целей:

  • Создание выделенной частной виртуальной сети, размещенной только в облаке

    Иногда для решения не требуется конфигурация распределенного развертывания. При создании виртуальной сети ваши службы и ВМ в ней могут безопасно взаимодействовать напрямую друг с другом в облаке. Это надежно сдерживает трафик в пределах виртуальной сети, но при этом позволяет настроить подключения конечных точек для ВМ и служб, которым необходимо подключение к Интернету.

  • Безопасное расширение центра обработки данных.

    Благодаря виртуальной сети можно построить традиционную VPN типа «сеть-сеть», безопасно масштабирующую емкости центра обработки данных. Виртуальная сеть использует стандартный протокол IPSEC для установки безопасного соединения между корпоративным шлюзом VPN и Azure. За шлюзом VPN можно добавить столько машин, сколько требуется.

  • Поддержка гибридных облачных сценариев

    Виртуальная сеть предоставляет гибкие возможности для ряда гибридных облачных сценариев. Вы можете надежно подключать облачные приложения к тому или иному типу локальной системы, в том числе большим ЭВМ и системам Unix.

В обзоре виртуальных сетей представлена таблица решений, которая поможет вам подобрать наилучший вариант сети.

Страница Ресурсы поможет вам приступить к работе. Она содержит ссылки на распространенные процедуры настройки, а также сведения, необходимые для проектирования виртуальной сети.

Виртуальную сеть можно использовать с облачными службами (PaaS) и виртуальными машинами. В настоящее время виртуальную сеть нельзя использовать с другими службами.

Да. Виртуальную сеть можно использовать без подключения «сеть-сеть». Это особенно полезно, если вы хотите запустить в Azure контроллеры доменов и фермы SharePoint .

Для создания и настройки виртуальной сети можно использовать следующие средства.

Можно использовать любой диапазон IP-адресов, определенный в RFC1918. Сюда входят IP-адреса в следующих диапазонах:

  • 10.0.0.0–10.255.255.255 (префикс 10/8)

  • 172.16.0.0–172.31.255.255 (префикс 172.16/12)

  • 192.168.0.0–192.168.255.255 (префикс 192.168/16)

IP-адреса за пределами диапазона RFC1918 не поддерживаются.

Ограничения на количество подсетей в виртуальной сети нет. Все подсети должны полностью находиться в адресном пространстве виртуальной сети и не перекрываться друг с другом.

Некоторые IP-адреса в каждой подсети резервируются. Первый и последний IP-адреса подсетей зарезервированы для соответствия протоколу. Также дополнительно резервируются несколько IP-адресов для наших служб.

Самая малая поддерживаемая подсеть - /29, а самая большая - /8 (по определениям подсети CIDR). Мы резервируем некоторые IP-адреса из каждой подсети.

Виртуальные сети представляют собой перекрывающиеся сети уровня 3. Они не поддерживают семантику уровня - 2.

Нет. Пользовательские политики маршрутизации в виртуальных сетях не поддерживаются.

Нет. Многоадресная рассылка и широковещательная передача не поддерживаются.

Поддерживаются стандартные протоколы на основе IP. Тем не менее запрещены: многоадресная рассылка, широковещательные сообщения, инкапсулированные пакеты IP-в-IP и пакеты по протоколу GRE. Поддерживаемые стандартные протоколы включают:

  • TCP

  • UDP

  • ICMP

Нет. Применение команды ping для шлюза по умолчанию в подсети не поддерживается.

Подсети можно добавлять к виртуальным сетям в любое время, если адрес подсети не входит в другую подсеть виртуальной сети.

Вы можете добавить, удалить, расширить или сжать подсеть при отсутствии развернутых в ней виртуальных машин и служб с помощью командлетов PowerShell или файла NETCFG. Также можно добавить, удалить, расширить или сжать любые префиксы подсетей, содержащих виртуальные машины или службы, которые не затрагиваются изменением.

Адреса подсетей можно изменять, если в них не развернуты виртуальные машины или службы, с помощью командлетов PowerShell или файла NETCFG. Нельзя изменить или удалить подсеть после развертывания в ней виртуальных машин и служб.

Да. Все службы, развернутые в виртуальной сети, могут подключиться к Интернету. Каждой облачной службе, развернутой в Azure, присвоен общедоступный VIP. Чтобы эти службы могли принимать соединения из Интернета, необходимо определить конечные точки входа для ролей PaaS и конечные точки для виртуальных машин.

Нет. Адреса IPv6 не поддерживаются для виртуальных сетей.

Нет. Виртуальная сеть ограничена одним регионом.

Да. Вы можете создать канал связи между VNet с помощью API REST или Windows PowerShell. См. раздел Настройка связи типа "VNet to VNet".

Виртуальные сети поддерживаются следующие подключения между организациями:

  • Site-to-site — VPN-подключение по протоколу IPsec (IKE v1 и IKE v2)

  • Point-to-site — VPN-подключение по протоколу SSTP

  • ExpressRoute — прямое безопасное подключение из глобальной сети, а не общедоступной сети Интернет

Подключения «сеть-сеть» позволяет подключать любые компьютеры, расположенные в локальной среде, к любым виртуальным машинам или экземплярам в виртуальной сети в зависимости от настройки маршрутизации. Это прекрасный вариант для постоянно доступного подключения между организациями, который также подходит для гибридных конфигураций. Подключение «сеть-сеть» полагается на устройство VPN IPsec (аппаратное или программное), которое должно быть развернуто на границе сети. Для создания такого типа подключения необходимо соответствующее оборудование VPN и общедоступный IPv4-адрес.

Соединения «точка-сеть» позволяют подключаться с одного компьютера к любому объекту в виртуальной сети. Для этого используется VPN-клиент Windows. При настройке конфигурации «точка-сеть» устанавливается сертификат и пакет конфигурации VPN-клиента, который содержит настройки, позволяющие компьютеру подключиться к любой ВМ или экземпляру роли в виртуальной сети. Это удобно, если вам требуется подключиться к виртуальной сети, но компьютер расположен не в локальной среде. Это также удобно, если у вас нет доступа к оборудованию VPN или общедоступному IPv4-адресу, которые необходимы для подключения «сеть-сеть».

Примечание. Виртуальную сеть можно настроить для одновременного использования конфигураций «точка-сеть» и «сеть-сеть», если подключение «сеть-сеть» создано с помощью динамического шлюза. Дополнительные сведения см. в Сведения о безопасной сети для нескольких организаций.

Вы можете подключиться к нескольким сайтам, используя Windows PowerShell и API-интерфейсы REST Azure. См. раздел вопросов и ответов Подключение к нескольким сайтам и подключение разных виртуальных сетей.

Мы утвердили набор стандартных VPN-устройств типа «сеть-сеть» (S2S) в условиях партнерства поставщиков устройств. Перечень известных совместимых устройств VPN, соответствующих им шаблонов конфигурации и спецификаций устройств можно найти здесь. Все устройства в семействах устройств, перечисленных как совместимые, должны работать с виртуальной сетью. Чтобы легче настроить устройство VPN, используйте шаблон конфигурации, который соответствует соответствующему семейству устройств.

Если ваше устройство не входит в список совместимых устройств VPN, но вам бы хотелось использовать его для соединения VPN, необходимо убедиться, что оно соответствует минимальным требованиям. Устройства, соответствующие минимальным требованиям, также должны хорошо работать с виртуальной сетью. Минимальные требования к устройствам перечислены ниже как для статических, так и для динамических конфигураций маршрутизации. Дополнительные сведения можно найти здесь. За дополнительной поддержкой и инструкциями по настройке обратитесь к изготовителю соответствующего устройства.

Серверы маршрутизации и удаленного доступа (RRAS) Windows Server 2012 можно использовать в конфигурации «сеть-сеть».

Другие программные решения VPN должны работать со шлюзом, если они соответствуют промышленному стандарту IPsec. По вопросам настройки и поддержки обратитесь к поставщику программных продуктов.

Поддерживаются следующие операционные системы:

  • Windows 7 (только 64-разрядная версия)

  • Windows Server 2008 R2

  • Windows 8 (только 64-разрядная версия)

  • Windows Server 2012

Нет. Поддержка ограничена только версиями операционной системы Windows, перечисленными выше.

К виртуальной сети может подключиться до 128 VPN-клиентов.

Да. Для туннелирования через брандмауэры используется протокол SSTP (Secure Sockets Tunneling Protocol). Этот туннель будет отображаться как соединение HTTPs.

Автоматическое повторное подключение и DDNS в настоящее время не поддерживаются в виртуальных частных сетях «точка-сеть».

Да. Оба этих решения будут работать при наличии в виртуальной сети шлюза VPN с динамической маршрутизацией. В шлюзах VPN со статической маршрутизацией конфигурация «точка-сеть» не поддерживается.

Да, можно. Но при этом виртуальные сети не могут иметь перекрывающиеся префиксы IP, а адресные пространства подключения «точка-сеть» между виртуальными сетями не должны перекрываться.

Точную пропускную способность для туннелей VPN определить сложно. IPsec и SSTP - протоколы VPN с шифрованием. Пропускная способность также ограничивается задержкой и полосой пропускания между вашей локальной сетью и Интернетом.

VPN со статической маршрутизацией также называется VPN на основе политик VPN на основе политик шифруют и маршрутизируют пакеты через интерфейс на основе определенных клиентом политик. Политика обычно определяется в виде списка доступа.

VPN с динамической маршрутизацией также называются VPN на основе маршрутов. VPN на основе маршрутов используют интерфейс туннеля, специально созданный для пересылки пакетов. Любой пакет, поступающий на интерфейс туннеля, переправляется через соединение VPN.

Нет. Чтобы получить IP-адрес шлюза, необходимо сначала создать этот шлюз. При удалении и повторном создании шлюза VPN IP-адрес изменится.

При создании шлюза VPN формируется общий ключ (PSK). Необходимо использовать этот PSK для проверки подлинности. PSK можно создавать повторно в любое время, а длину PSK можно изменить по необходимости.

Да, интерфейс Set Pre-Shared Key API и командлет PowerShell можно использовать для настройки VPN статической маршрутизации Azure и VPN-сетей динамической маршрутизации.

Для проверки подлинности можно использовать только общие ключи (PSK).

Имеется служба шлюза, выполняемая для предоставления подключений между организациями. Для обеспечения маршрутизации между локальной сетью и облаком необходимы два IP-адреса вашего домена маршрутизации. Требуется указать по крайней мере подсеть /29, из которой мы сможем отобрать IP-адреса для настройки маршрутов.

Учтите, что внутри подсетей шлюза нельзя развертывать виртуальные машины и экземпляры ролей.

Добавьте каждый диапазон, который нужно отправлять через шлюз, на странице «Сети» в разделе локальных сетей.

Нет. Настройка маршрутов не поддерживается. Для подключения между организациями необходимо использовать шлюз виртуальной сети.

Да, он защищен с помощью шифрования IPsec/IKE.

В сумме к 10, например одна виртуальная сеть Azure может подключиться к 6 локальным сайтам и 4 виртуальным сетям.

Да, VPN типа P2S можно использовать с VPN-шлюзами, подключенными к нескольким локальным сайтам и другим виртуальным сетям.

Нет, избыточные туннели между виртуальной сетью Azure и локальным сайтом не поддерживаются.

Нет, пересекающиеся адресные пространства вызовут передачу NETCFG или ошибку виртуальной сети.

Нет, все VPN-туннели, в том числе VPN типа P2S, используют один VPN-шлюз Azure и доступную полосу пропускания.

Передача трафика через VPN-шлюз Azure возможна, но для этого требуется определить статически определенные адресные пространства в файле конфигурации NETCFG. BGP еще не поддерживается для виртуальных сетей Azure и VPN-шлюзов. Без BGP ручное определение транзитных адресных пространств в NETCFG может привести к появлению множества ошибок и не рекомендуется.

Да. На самом деле ограничений по регионам не существует. Одна виртуальная сеть может подключиться к другой виртуальной сети в том же или другом регионе Azure.

Нет, Azure по умолчанию создает разные предварительные ключи для различных VPN-подключений. Однако вы можете использовать новый интерфейс Set VPN Gateway Key REST API или командлет PowerShell, чтобы задать нужное значение ключа. Ключ ДОЛЖЕН быть буквенно-цифровой строкой длиной от 1 до 128 символов.

Плата взимается только за трафик, передаваемый из одного региона Azure в другой. Стоимость передачи трафика основана на ставке, равной ставке для передачи исходящих данных, указанной на странице цен Azure.

Да. Вы можете указать IP-адреса DNS-сервера в определении виртуальной сети. Они будут применены как DNS-серверы по умолчанию для всех виртуальных машин в виртуальной сети.

Можно указать до 12 DNS-серверов.

Да. Изменить список DNS-серверов для виртуальной сети можно в любое время. При изменении списка DNS-серверов необходимо перезапустить каждую из виртуальных машин в виртуальной сети, чтобы она стала использовать новый DNS-сервер.

Используйте таблицу решений на странице Разрешение имен для просмотра имеющихся параметров DNS.

DNS Azure - это многопользовательская служба DNS. Все ваши виртуальные машины регистрируются в этой службе. Служба позволяет использовать разрешение по имени узла для ВМ, содержащихся в той же облачной службе, и по полному доменному имени для ВМ в одной виртуальной сети. Примечание. В данный момент есть ограничение на межклиентское разрешение имен с помощью DNS Azure до 100 первых облачных служб в виртуальной сети. При использовании собственного DNS-сервера это ограничение не применяется.

Да. Можно задать DNS-серверы на уровне облачной службы и тем самым переопределить параметры сети по умолчанию. Однако рекомендуем, по возможности, использовать общесетевую службу DNS.

Нет. Возможность указывать пользовательский суффикс DNS для виртуальных сетей не поддерживается.

Поддерживаются все дистрибутивы Linux, поддерживаемые в Windows Azure.

  • Внутренний IP-адрес (DIP) — это IP-адрес, который назначен той или иной виртуальной машине сервером DHCP. Он не доступен извне. Если вы создали виртуальную сеть, внутренний IP-адрес назначается из указанного диапазона. При отсутствии виртуальной сети внутренний IP-адрес по-прежнему назначается. Внутренний IP-адрес остается с виртуальной машиной на протяжении всего времени ее существования, то есть до ее остановки (высвобождения ее ресурсов).

  • Общедоступный VIP — это общедоступный IP-адрес, назначенный вашей облачной службе. Он не назначается напрямую сетевому адаптеру виртуальной машины. VIP продолжает принадлежать облачной службе, которой он назначен, пока все виртуальные машины в этой службе не будут остановлены (освобождены) или удалены. В таком случае он освобождается.

  • DIP - При развертывании виртуальной машины в виртуальной сети она всегда получает внутренний IP-адрес (DIP) из пула внутренних IP-адресов, который вы укажете. ВМ взаимодействуют в виртуальной сети с помощью DIP. Хотя DIP назначается Azure, вы можете запросить статический DIP для виртуальной машины, если она развернута с помощью PowerShell. См. раздел Настройка статического внутреннего IP-адреса (DIP) для виртуальной машины.

  • VIP - Виртуальная машина также связана с VIP, хотя VIP никогда не назначается виртуальной машине напрямую. VIP — это общедоступный IP-адрес, который может быть назначен облачной службе. При необходимости можно зарезервировать VIP-адрес для облачной службы. См. раздел Reserved IP Addresses.

  • PIP - При необходимости ВМ также может получить общедоступный IP-адрес (PIP) на уровне экземпляра. PIP напрямую связан с ВМ, а не облачной службой. Возможность использования PIP-адресов сейчас находится в состоянии предварительной версии. См. раздел Общедоступные IP-адреса на уровне экземпляра.

Windows Azure будет использовать DHCP для назначения внутреннего IP-адреса для каждой виртуальной машины и экземпляра PaaS из подсети, которую вы укажете.

Да. Для указания DIP необходимо создать виртуальную машину с помощью командлетов PowerShell. Существуют командлеты, которые позволяют задать DIP виртуальной машины. Необходимо убедиться в том, что указанный DIP не занят другой виртуальной машиной или службой в виртуальной сети. При указании DIP он будет привязан к виртуальной машине в течение всего срока ее существования, даже если ее остановить (освободить). Если вы запустите виртуальную машину после остановки (освобождения), она будет использовать DIP, который был указан ранее. Не нужно указывать DIP для виртуальной машины без необходимости.

Нет. DIP нельзя зарезервировать. Если DIP доступен, он может быть назначен виртуальной машине DHCP-сервером. Она может не соответствовать той, для которой вы хотите оставить этот DIP. Можно, однако, поменять DIP уже созданной виртуальной машины на доступный адрес с помощью PowerShell. Если желаемый DIP после этого станет доступен в системе, можно затем указать его при создании новой виртуальной машины. Можно также забрать DIP у виртуальной машины с помощью PowerShell. При этом виртуальной машине DHCP-сервером будет назначен новый DIP.

Внутренние IP-адреса остаются с виртуальной машиной в течение всего срока ее работы, если только ее не остановить (освободить). При остановке (освобождении) виртуальной машины внутренние IP-адреса освобождаются, если не с помощью PowerShell не определен статический DIP. Если виртуальная машина просто остановлена (и не переведена в состояние «Остановлена (освобождена)»), IP-адрес останется назначенным виртуальной машине.

Нет. Свойства интерфейсов виртуальных машин изменять нельзя. Любые изменения могут привести к потере подключения виртуальной машиной.

Ни одна. IP-адреса (как общедоступные, так и внутренние) будут закреплены за облачной службой и виртуальной машиной. Примечание. Если вы хотите просто завершить работу виртуальной машины, не используйте для этого портал управления. В настоящее время кнопка завершения работы виртуальной машины позволяет только остановить (освободить) ее.

Остановлена (освобождена) — это состояние, которое можно указать в портале управления, завершив работу виртуальной машины. Оно отличается от простого завершения работы виртуальной машины изнутри самой виртуальной машины. При остановке (освобождении) виртуальной машины вы не только остановите работу машины, но также освободите внутренний IP-адрес, а также общедоступный VIP (если другие виртуальные машины не используют этот VIP, так как VIP назначается облачной службе, а не самой виртуальной машине). При повторном запуске виртуальной машины ей будет назначен новый общедоступный VIP (если она не соединена с облачной службой, уже имеющей VIP), а также новый внутренний IP-адрес.

Единственный способ сохранить DIP за виртуальной машиной, которую вы хотите остановить (освободить), — указать статический IP-адрес для данной виртуальной машины. Если вы остановили (освободили) виртуальную машину, но хотите сохранить исходный DIP, можно указать его при повторном развертывании виртуальной машины с помощью PowerShell, если DIP не был назначен другой виртуальной машине в виртуальной сети.

Нет. MAC-адрес нельзя статически настроить.

Нет. MAC-адрес виртуальной машины может изменяться по нескольким причинам. В случае если виртуальная машина переведена в состояние «Остановлена (освобождена)», при изменении размера виртуальной машины, восстановлении службы или плановом обслуживании сервера размещения MAC-адрес не сохраняется.

Да. Все службы, развернутые в виртуальной сети, могут подключиться к Интернету. Дополнительно, каждая облачная служба, развернутая в Azure, получает общедоступный VIP-адрес. Чтобы эти службы могли принимать соединения из Интернета, необходимо определить конечные точки входа для ролей PaaS и конечные точки для виртуальных машин.

Можно сделать и так, и так. Если включен протокол удаленного рабочего стола (RDP) и создана конечная точка, можно также подключиться к виртуальной машине с помощью VIP-адреса. В это случае необходимо указать виртуальный адрес и порт, к которому следует подключиться. На виртуальной машине необходимо настроить порт для получения трафика. Обычно можно открыть портал управления и сохранить параметры подключения к удаленному рабочему столу на компьютере. Параметры будут содержать необходимые сведения о подключении.

Если имеется виртуальная сеть с настроенным перекрестным подключением, можно подключаться к своей виртуальной машине с помощью внутреннего DIP. Вы также можете подключиться к виртуальной машине через внутренний DIP с другой виртуальной машины, расположенной в той же виртуальной сети. С помощью внутреннего адреса нельзя подключиться к удаленному рабочему столу виртуальной машины, если подключение производится из-за пределов виртуальной сети. Например, если имеется виртуальная сеть типа «точка-сеть» и нет установленного соединения от вашего компьютера, нельзя подключиться к виртуальной машине через DIP-адрес.

Нет. Только тот трафик, у которого конечный IP-адрес содержится в указанных диапазонах IP-адресов локальной сети. Трафик с конечным IP-адресом, расположенным в виртуальной сети, будет оставаться в виртуальной сети. Другой трафик будет отправлен через подсистему балансировки нагрузки к общедоступным сетям. При устранении неполадок важно убедиться, что указаны все диапазоны в вашей локальной сети, которые вы хотите направить через шлюз. Убедитесь, что диапазоны адресов локальной сети не перекрываются с диапазонами адресов в виртуальной сети. Кроме того, необходимо убедиться, что используемый DNS-сервер разрешает имя в правильный IP-адрес.

В виртуальных сетях поддерживаются только службы вычислений. Службы вычислений ограничены облачными службами (рабочими и веб-ролями) и виртуальными машинами.

Нет. Веб-сайты в виртуальных сетях не поддерживаются.

Нет. Базы данных SQL в виртуальных сетях не поддерживаются.

Да. Развертывание служб PaaS внутри виртуальных сетей поддерживается. Развертывание не требует изменения кодов.

Это можно сделать, указав имя виртуальной сети и сопоставления «роль-подсеть» в разделе конфигурации сети файла конфигурации службы. При этом не требуется обновлять двоичные файлы.

Нет. Возможность перемещения служб в виртуальную сеть и из нее не поддерживается. Необходимо будет удалить службу и повторно развернуть ее в виртуальной сети.

Windows Azure использует механизм DHCP для назначения внутреннего IP-адреса каждой виртуальной машине и экземпляру PaaS в указанной подсети виртуальной сети.

Виртуальные сети полностью изолированы друг от друга и от других служб, размещенных в инфраструктуре Azure. Граница доверия = граница виртуальной сети.

Нет. Списки ACL для подсетей внутри виртуальных сетей не поддерживаются. Однако списки ACL можно определять на конечных точках входа для виртуальных машин, развернутых в виртуальной сети. Примечание. Виртуальная машина не должна обязательно быть развернута в виртуальной сети для определения списка ACL для конечной точки входа.

Да. Для управления виртуальными сетями и подключения между организациями предназначен API-интерфейс REST. Дополнительные сведения можно найти здесь.

Да. Доступны Powershell и средства командной строки для различных платформ. Дополнительные сведения можно найти здесь.

См. также

Показ:
© 2014 Microsoft