AZ-104實作和管理虛擬網路筆記

 

Private Networking in the cloud

根據IETF RFC 1918規範私有網路(Private IP)

會根據以下3個IP Address Range來設置，只有VNet的內部才看的到。

• 10.0.0.0/8 IP addresses: 10.0.0.0 – 10.255.255.255
• 172.16.0.0/12 IP addresses: 172.16.0.0 – 172.31.255.255
• 192.168.0.0/16 IP addresses: 192.168.0.0 – 192.168.255.255

Public IP則是網路世界都全看的到，常見有

Static IP       =>不會再更動，一直保留同一個IP。

Dynamic IP  =>當VM一關機重開就重新分配一個動態IP。

那注意Crate Public IP Address 的SKU根據你選Standard或Basic有差異

世界上每一個私有網路（無論是雲端、內部資料中心 on-prem DC，或家用網路）都會使用這些位址區段，並透過它們的 NAT Gateway（該閘道擁有公開 IP）互相通訊。

NAT 是 Network Address Translation（網路位址轉換）的縮寫。它的功能是把私有 IP 位址轉換成公開 IP 位址，反之亦然。

這也就是為何即便至今已有數兆台裝置，我們仍能用 IPv4 位址來管理的原因。

Virtual Network(虛擬網路)的組成

定義虛擬網路的空間也就是Address Space，VNet就有點像是一個房子，並切分不同空間的Subnet，比方哪裡是客廳哪邊是臥室、浴室....。

那後續你可能還會去跨不同房子去打通、進行溝通。(跨VNet溝通)，常見做法透過VPN Gateway去跟地端的機器打通或是所謂的VNet Peering來跨虛擬網路之間溝通。

規劃Virtual Network常見要注意的細節

• VNet名稱 =>利於辨別的名稱可助於管理
• Region => 你的服務到底預計放在哪些Region?
• Subscription =>要用到捨麼Subscription?
• Subnet的切割 =>要管理好各自可見範圍
• 連線能力 =>可跟捨麼東西做連線的能力，比方地跟雲之間的VPN或者VNet之間的Peering。

• VNet是可以支援IPv6的
• 可以透過不為子網提供對外出站的 NAT Gateway（NATG），來將該子網設為私有。
• 可以在「安全性（Security）」分頁使用 VNet 加密 來加密虛擬網路中資源之間的流量。
• 可以使用 網路安全群組（Network Security Groups，NSG） 與 應用程式安全群組（Application Security Groups，ASG） 的規則來過濾子網之間的流量，這些規則會指定來源與目的 IP 位址、連接埠（port）與協定（protocol）。

• 虛擬網路對等互連（Virtual Network Peering） 允許你在 Azure 中無縫地連接兩個或多個虛擬網路。
• 在連線用途上，這些虛擬網路會被視為同一個網路。
• 已對等互連的虛擬網路之間，虛擬機器的流量會透過 Microsoft 的骨幹網路基礎設施 傳送。
• 單一 VNet 最多可與 1000 個 VNet 進行對等互連。
• VNet 屬於區域性資源（regional resource），但可以進行 跨區域對等互連。
• 可以 跨訂閱（subscription） 與 跨 Azure 租戶（tenant） 建立對等互連。
• 可以使用 網路安全群組（NSG） 規則來封鎖或拒絕特定存取（例如指定埠、協定或位址）。
• 對等的 VNet 不得有重疊的 IP 位址範圍（此限制同樣適用於內部資料中心/on-prem 網路）。

NSG(Network Security Group)網路安全群組

• 基本上就是用於控制Virtual Network的Inbound,Outbound
• 可以進來跟出去的有那些，可以控制捨麼樣的來源可以存取捨麼port。
• 可套用於subnet或NIC
• 可套用多個(比方在VNet或裡面的subnet都加)但不建議，不利於管理容易錯亂。
• 你可以去對每一個VNet的Subnet下的VM的Network Interface 繫配0或1個NSG。
• 所有 NSG 都有一條預設的 DenyAllInBound 規則，會阻擋來自網際網路的流量。
• 對於 入站 流量，Azure 會先處理附加在 子網（Subnet） 的 NSG 規則，然後才處理附加在 網路介面（NIC） 的規則。
• 對於 出站 流量則相反：會先處理附加在 NIC 的 NSG，然後才處理附加在 子網 的 NSG。
  
  
  
  
• 那在Inbound/Outbound Security Rules數字愈小愈前面優先級愈高，若前面就被擋下來後面就不用再看了。

ASG(Application Security Group)應用程式安全組

• 可以在不需要定義或記住 IP 位址範圍的情況下，定義安全策略。
• 允許我們將虛擬機器（VM）分組，並根據這些群組定義網路安全策略。
• 可以在虛擬機器的 “Networking”（網路） 設定頁面中，將 VM 加入某個 ASG。
• 如上面的圖，在NSG中建立一個Rule去參考到ASG。

舉例:

為 Web 層 和 DB 層 分別建立 ASG，並將多台 VM 加入對應的群組。

再建立 NSG（Network Security Group），規定 DB 層只能接受來自 Web 層的流量，不能直接來自 Internet。

Azure Firewall

別於 Network Security Groups (NSGs)只提供Filter traffic at the network layer.

Firewalls: Provide more advanced filtering, including application-layer security.

• 是一個Stateful Firewall as service並可以跨Region、Network使用。
• 內建High Availability以及scalability
• 後續整合LOG跟分析到Azure Monitor
• SKUs : 細分為Standard , Premium , Basic
• 可以使用 Azure Firewall Manager 來跨多個訂閱（subscriptions）集中管理 Azure 防火牆。
• Firewall Manager 會使用防火牆政策（firewall policies），將一組共用的網路／應用程式規則與設定套用到租戶中的防火牆。透過Policy設定Rule有開啟才可通過。
• Firewall Manager 支援部署在 虛擬網路（virtual network） 與 虛擬 WAN（virtual WAN，Secure Virtual Hub） 環境中的防火牆。

Azure FIrewall Standard

• 提供了L3~L7的Filtering 跟直接發出威脅警示比對來自微軟資料庫。
• Thread intelligence-based 可以提醒與拒絕來自或已知惡意的IP流量。

Azure Firewall Premium則提供更高階功能:

• 中包括基於簽名的 IDPS（入侵偵測與防護系統），可透過搜尋特定模式來快速偵測攻擊。被偵測/防護的攻擊類別包括 惡意軟體、網路釣魚、加密貨幣挖礦，以及木馬攻擊。
• 這些模式可能包含網路流量中的位元組序列，或惡意軟體使用的已知惡意指令序列。
• 系統有超過 67,000 個簽名，分屬 50 多個類別，並以即時更新來防護新的與即將出現漏洞利用。

Azure Firewall Basic

為中小型企業（SMB）設計，用來保護其 Azure 雲端環境。

以經濟可負擔的價格提供中小型企業所需的基本防護。

類似於 Firewall Standard，但具有以下主要限制：

• 僅支援 Intel Threat Warning 模式。
• 以固定單元方式在 兩台後端虛擬機實例 上執行該服務。
• 建議用於估計帶寬約 250 Mbps 的環境。