(Azure Virtual Network (Vnet היא רשת לכל דבר, דרכה נוכל להגדיר ולנהל מגוון תחומים כגון IP Static, DNS, VPN, חוקי Firewall, ניהול Subnet באותה רשת, Route table (ניתוב) ועוד.
הפרדה וסגמנטציה
ניתן להקים Virtual Networksככל שנרצה (תלוי בדרישה) ב-Azure: subscription ו-region. כל Vnet מופרדת מ- Vnet אחר, כל אחת Vnet נוכל לבצע:
• נוכל להתאים לפי צורך כתובות IP פרטיות וציבוריות, Azure מקציב משאב ב-Vnet לצורך כתובות IP פרטיות, אותן ניתן לקחת מטווח הכתובות שהוגדר
• בכל Vnet ניתן להקים מס Subnets עם סגמנט שונה
• כברירת מחדל, Azure משתמש ב-Azure-provided או נותן הקמת שרת DNS בשביל לתרגם שמות לכתובת IP
תקשורת בין משאבי Azure
משאבי Azure מתקשרים בצורה מאובטחת זה עם זה, באחת מהדרכים הבאות:
• Virtual Network - באפשרותנו לפרוס מערכות וירטואליות (וכן מספר סוגים נוספים של משאבי Azure) לרשת וירטואלית, כגון סביבות שירות אפליקציות ב-Azure, שירות Azure Kubernetes Service (AKS) ו-Azure Virtual Scale Set
• Virtual network service endpoint - ניתן לחבר שירותי Azure ל-VNET/Subnet שלכם, כגון חשבונות אחסון מסוג Azure, ומסדי נתונים מסוג Azure SQL, דרך חיבור ישיר. נקודות קצה של שירות מאפשרות לאבטח את משאבי השירות Azure הקריטיים רק לרשת וירטואלית
תקשורת עם משאבי On-Premises
ניתן לחבר את מחשבי ה-On-Premises והרשתות ל- Virtual Network באמצעות שילוב של האפשרויות הבאות:
• Point-to-site virtual private network (VPN) - מבוסס בין Virtual Network ולמחשב בודד ברשת. כל מחשב שרוצה ליצור קישוריות עם רשת וירטואלית צריך להגדיר את החיבור שלו. מכיוון שהוא דורש מעט או ללא שינויים ברשת הקיימת, התקשורת בין המחשב ל-Virtual Network מועברת באמצעות הצפנה דרך האינטרנט
• Site-to-site VPN - מבוסס בין ה- VPN המקומי לבין Azure VPN Gateway לאחר deploy ב-Virtual Network. סוג חיבור זה מאפשר לכל משאב לגשת ל-virtual network. התקשורת בין ה-VPN המקומי לבין Azure VPN Gateway נשלחת באמצעות הצפנה
• Azure ExpressRoute - מבוססת בין הרשת שלך ל- Azure, באמצעות ExpressRoute. הקישור הוא פרטי, וה-Traffic לא הולך לאינטרנט. מטרתה היא ליצור יציבות
סינון תעבורת הרשת
ניתן לסנן את תעבורת הרשת בין רשתות משנה (Subnets) באמצעות אחת מהאפשרויות הבאות, או שימוש בשתיהן:
• Network security groups (NSG) - יכולה להכיל מספר רב של כללי אבטחה נכנסים ויוצאים, המאפשרים לסנן תנועה אל המשאבים לפי כתובת IP של מקור ויעד, יציאה ופרוטוקול.
• Network virtual appliances - נמצא בפלטפורמה של VM שמבצע פונקציית רשת, כגון: firewall, אופטימיזציה של WAN או פונקציית רשת אחרת.
ניתוב תעבורת הרשת
Azure מנתב תנועה בין רשתות משנה (Subnets), רשתות וירטואליות מחוברות, רשתות on-premises והאינטרנט, כברירת מחדל. ניתן ליישם אחת מהאפשרויות הבאות או את שתיהן כדי לעקוף את נתיבי ברירת המחדל ש- Azure יוצר:
• Route tables - אפשרות ליצור Route tables מותאמות אישית עם שליטה ובקרה עבור כל תתי הרשת המשנה (Subnet)
• Border gateway protocol (BGP) routes - במידה ונחבר את הרשת הווירטואלית ל- on-premises באמצעות Azure VPN Gateway או חיבור ExpressRoute, נוכל להפיץ את נתיבי ה- BGP ל- on-premises לרשתות הווירטואליות שנמצאים ב- Azure
חיבור בין רשתות - Azure Vnet Peering
Vnet peering - מאפשרת להתחבר שתי רשתות ווירטואליות נפרדות באותו Azure Region. בנוסף, הפתרון מאפשר לנו לחבר Vnets שנמצאים ב-Subscriptions שונים. בעזרת התעבורה בין הרשתות, נוכל לגרום לשירותים לדבר באופן חופשי ומנותבת באמצעות התשתית של מיקרוסופט, הרשתות מתקשרות האחת עם השנייה באמצעות כתובות IP פנימיות בלבד.
מאת: אליאור ממה
(Azure Virtual Network (Vnet היא רשת לכל דבר, דרכה נוכל להגדיר ולנהל מגוון תחומים כגון IP Static, DNS, VPN, חוקי Firewall, ניהול Subnet באותה רשת, Route table (ניתוב) ועוד.
הפרדה וסגמנטציה
ניתן להקים Virtual Networksככל שנרצה (תלוי בדרישה) ב-Azure: subscription ו-region. כל Vnet מופרדת מ- Vnet אחר, כל אחת Vnet נוכל לבצע:
• נוכל להתאים לפי צורך כתובות IP פרטיות וציבוריות, Azure מקציב משאב ב-Vnet לצורך כתובות IP פרטיות, אותן ניתן לקחת מטווח הכתובות שהוגדר
• בכל Vnet ניתן להקים מס Subnets עם סגמנט שונה
• כברירת מחדל, Azure משתמש ב-Azure-provided או נותן הקמת שרת DNS בשביל לתרגם שמות לכתובת IP
תקשורת בין משאבי Azure
משאבי Azure מתקשרים בצורה מאובטחת זה עם זה, באחת מהדרכים הבאות:
• Virtual Network - באפשרותנו לפרוס מערכות וירטואליות (וכן מספר סוגים נוספים של משאבי Azure) לרשת וירטואלית, כגון סביבות שירות אפליקציות ב-Azure, שירות Azure Kubernetes Service (AKS) ו-Azure Virtual Scale Set
• Virtual network service endpoint - ניתן לחבר שירותי Azure ל-VNET/Subnet שלכם, כגון חשבונות אחסון מסוג Azure, ומסדי נתונים מסוג Azure SQL, דרך חיבור ישיר. נקודות קצה של שירות מאפשרות לאבטח את משאבי השירות Azure הקריטיים רק לרשת וירטואלית
תקשורת עם משאבי On-Premises
ניתן לחבר את מחשבי ה-On-Premises והרשתות ל- Virtual Network באמצעות שילוב של האפשרויות הבאות:
• Point-to-site virtual private network (VPN) - מבוסס בין Virtual Network ולמחשב בודד ברשת. כל מחשב שרוצה ליצור קישוריות עם רשת וירטואלית צריך להגדיר את החיבור שלו. מכיוון שהוא דורש מעט או ללא שינויים ברשת הקיימת, התקשורת בין המחשב ל-Virtual Network מועברת באמצעות הצפנה דרך האינטרנט
• Site-to-site VPN - מבוסס בין ה- VPN המקומי לבין Azure VPN Gateway לאחר deploy ב-Virtual Network. סוג חיבור זה מאפשר לכל משאב לגשת ל-virtual network. התקשורת בין ה-VPN המקומי לבין Azure VPN Gateway נשלחת באמצעות הצפנה
• Azure ExpressRoute - מבוססת בין הרשת שלך ל- Azure, באמצעות ExpressRoute. הקישור הוא פרטי, וה-Traffic לא הולך לאינטרנט. מטרתה היא ליצור יציבות
סינון תעבורת הרשת
ניתן לסנן את תעבורת הרשת בין רשתות משנה (Subnets) באמצעות אחת מהאפשרויות הבאות, או שימוש בשתיהן:
• Network security groups (NSG) - יכולה להכיל מספר רב של כללי אבטחה נכנסים ויוצאים, המאפשרים לסנן תנועה אל המשאבים לפי כתובת IP של מקור ויעד, יציאה ופרוטוקול.
• Network virtual appliances - נמצא בפלטפורמה של VM שמבצע פונקציית רשת, כגון: firewall, אופטימיזציה של WAN או פונקציית רשת אחרת.
ניתוב תעבורת הרשת
Azure מנתב תנועה בין רשתות משנה (Subnets), רשתות וירטואליות מחוברות, רשתות on-premises והאינטרנט, כברירת מחדל. ניתן ליישם אחת מהאפשרויות הבאות או את שתיהן כדי לעקוף את נתיבי ברירת המחדל ש- Azure יוצר:
• Route tables - אפשרות ליצור Route tables מותאמות אישית עם שליטה ובקרה עבור כל תתי הרשת המשנה (Subnet)
• Border gateway protocol (BGP) routes - במידה ונחבר את הרשת הווירטואלית ל- on-premises באמצעות Azure VPN Gateway או חיבור ExpressRoute, נוכל להפיץ את נתיבי ה- BGP ל- on-premises לרשתות הווירטואליות שנמצאים ב- Azure
חיבור בין רשתות - Azure Vnet Peering
Vnet peering - מאפשרת להתחבר שתי רשתות ווירטואליות נפרדות באותו Azure Region. בנוסף, הפתרון מאפשר לנו לחבר Vnets שנמצאים ב-Subscriptions שונים. בעזרת התעבורה בין הרשתות, נוכל לגרום לשירותים לדבר באופן חופשי ומנותבת באמצעות התשתית של מיקרוסופט, הרשתות מתקשרות האחת עם השנייה באמצעות כתובות IP פנימיות בלבד.
מאת: אליאור ממה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
