Модуль 3.2: Віртуальні мережі (VNet)
Складність: [COMPLEX] | Час на виконання: 3 год | Передумови: Модуль 3.1 (Entra ID та RBAC)
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»У червні 2023 року велика e-commerce платформа в Azure зазнала повного збою під час наймасштабнішого розпродажу року. Причина була приголомшливо простою: інженер платформи вирішив “навести порядок” і змінив діапазон IP-адрес однієї з мереж. Він не врахував, що це розірвало зв’язок із центральною мережею, де знаходилися DNS та платіжний шлюз. Сайт “лежав” 4 години, що коштувало компанії $3.8 мільйона.
Мережа в Azure непомітна, коли вона працює, і катастрофічна, коли ламається. На відміну від серверів, які можна просто перезапустити, помилки в мережі часто призводять до каскадних збоїв усій інфраструктурі.
У цьому модулі ви навчитеся будувати мережі в Azure з нуля. Ви зрозумієте, як працюють підмережі, як налаштовувати файрволи (NSG), як з’єднувати різні мережі через піринг і як впровадити архітектуру hub-and-spoke — стандарт для великих компаній.
VNet та Subnets: Ваша приватна мережа
Розділ «VNet та Subnets: Ваша приватна мережа»Azure Virtual Network (VNet) — це ваша ізольована мережа у хмарі.
Основні правила:
Розділ «Основні правила:»- VNet є регіональною: вона не може охоплювати кілька регіонів (напр. США та Європу одночасно).
- Підмережі (Subnets): Ви ділите свою мережу на частини. Наприклад: одна підмережа для сайтів, інша — для баз даних.
- Зарезервовані IP: Azure завжди забирає 5 IP-адрес у кожній підмережі для власних потреб. Якщо ви створите дуже маленьку підмережу (напр. на 8 адрес), вам залишиться лише 3.
Network Security Groups (NSG): Файрвол на рівні мережі
Розділ «Network Security Groups (NSG): Файрвол на рівні мережі»NSG — це головний інструмент захисту. Це список правил, які дозволяють або забороняють трафік.
- Priority (Пріоритет): Правила оцінюються від меншого числа до більшого. Перше правило, що підійшло — виконується, решта ігнорується.
- Stateful: Якщо ви дозволили вихідний запит, відповідь на нього повернеться автоматично. Вам не треба відкривати порти в обидві сторони.
Порада: Завжди приєднуйте NSG до цілої підмережі, а не до кожної віртуальної машини окремо. Це спрощує управління.
VNet Peering: З’єднання мереж
Розділ «VNet Peering: З’єднання мереж»Піринг дозволяє з’єднати дві мережі так, ніби вони є однією. Трафік іде через внутрішню мережу Microsoft, не виходячи в публічний інтернет.
Важливо: Піринг не є транзитивним. Якщо Мережа А з’єднана з Б, а Б з В — мережа А не бачить В автоматично. Для цього потрібна спеціальна налаштування маршрутизації.
Hub-and-Spoke: Архітектура підприємства
Розділ «Hub-and-Spoke: Архітектура підприємства»Це найпопулярніша топологія в Azure:
- Hub (Центр): Тут живуть спільні сервіси: VPN-шлюз для офісу, Azure Firewall для перевірки трафіку, DNS.
- Spoke (Промені): Окремі мережі для різних додатків або команд. Вони з’єднані з Hub і ходять в інтернет через його центральний файрвол.
Типові помилки
Розділ «Типові помилки»| Помилка | Чому це стається | Як виправити |
|---|---|---|
| Перетин IP-діапазонів | Не було планування заздалегідь | Ви не зможете з’єднати дві мережі (піринг), якщо їхні IP накладаються |
| Занадто малі підмережі | Забули про 5 зарезервованих IP | Завжди робіть підмережі “із запасом”, мінімум /24 або /26 |
| Відкритий порт 22/3389 усім | Щоб швидше зайти на сервер | Використовуйте Azure Bastion для безпечного доступу через браузер |
| Створення пірингу тільки в один бік | Забули, що зв’язок має бути двостороннім | Завжди створюйте два записи пірингу (А->Б та Б->А) |
Тест
Розділ «Тест»1. Скільки usable IP-адрес ви отримаєте у підмережі /24 (всього 256 адрес)?
Ви отримаєте 251 адресу. Azure резервує 5 адрес у кожній підмережі для мережевих сервісів, DNS та шлюзу.
2. Чи можна з'єднати мережі в різних регіонах (напр. East US та West Europe) через VNet Peering?
Так. Це називається Global VNet Peering. Трафік все одно залишиться всередині мережі Microsoft, але за таку передачу даних між регіонами буде стягуватися невелика плата.
Практична вправа: Hub-and-Spoke за 5 хвилин
Розділ «Практична вправа: Hub-and-Spoke за 5 хвилин»- Створіть Hub VNet з діапазоном
10.0.0.0/16. - Створіть Spoke VNet з діапазоном
10.1.0.0/16. - Налаштуйте Peering в обидва боки.
- Створіть NSG в Spoke мережі, що дозволяє порт 80 тільки з діапазону Hub мережі.
Наступний модуль
Розділ «Наступний модуль»Переходьте до Модуля 3.3: ВМ та VM Scale Sets — ви навчитеся запускати сервери, обирати правильні розміри та налаштовувати автоматичне масштабування для високих навантажень.