مفهوم VNet

در اَمنِت به یک شبکه همپوشان مجزا از شبکه های دیگر VNet می‌گویند. در مثال بالا در کل شبکه، VNet های زیر را داریم:

• VNet فنی: این VNet برای اتصال تمامی قسمت های فنی در کل شبکه به همدیگر استفاده می‌شود

• ‌Vnet مالی: این VNet برای اتصال تمامی قسمتهای مالی در شهرهای مختلف استفاده می‌گردد

• ‌‌‌‌VNet پیمانکار خارجی: این ‌‌VNet برای اتصال کاربران یک پیمانکار خارجی موجود در شهرهای مختلف که برای سازمان کار می‌کنند، به همدیگر مورد استفاده قرار می‌گیرد.

هر VNet دارای مشخصات زیر است:

1. می‌تواند به صورت لایه ۲ یا لایه ۳ شبکه های خصوصی پشتی را به همدیگر متصل نماید. که در صورت اتصال لایه ۲ تمامی کاربران به عنوان یک شبکه بزرگ LAN به همدیگر متصل می‌گردند و می‌توانند در یک شبکه IP قرار گیرند. اتصال لایه ۲ بین شبکه های مختلف اکثرا با استفاده از MPLS میباشد که در اینجا دیگر نیازی به این پروتکل نیست. اتصال لایه ۲ در مراکز داده برای اتصال شبکه های مشتریان مورد استفاده قرار می گیرد.

2. برای ارتباط بین دو نود مجزا، از تونلهای امن Wireguard استفاده می شود که در قسمت دیگری به تفصیل در مورد Wireguard صحبت میشود. تنظیمات مربوط به تونلهای Wireguard اتوماتیک بوده و نیازی به ورود تنظیمات توسط مدیر سیستم نمی‌باشد.

3. برای مسیریابی پویا در ارتباطات لایه ۳ از OSPF استفاده میگردد. این پروتکل درون تونلهای امن با همتایان خود در VNet مربوطه صحبت میکند. بنابراین کل این پروتکل در بیرون قابل مشاهده نیست و خطر امنیتی برای سیستم ایجاد نمیکند. تمامی تنظیمات این پروتکل به صورت اتوماتیک صورت می پذیرد و نیازی به انجام تنظیمات در این قسمت نیست.

4. برای اتصال شبکه های لایه ۲ از VXLAN استفاده میگردد. ترافیک VXLAN از درون تونلهای امن عبور میکند و از بیرون قابل مشاهده نیست. تمامی تنظیمات این پروتکل به صورت اتوماتیک صورت می پذیرد.

5. هر کارت شبکه فیزیکی نود به یک VNet منصوب می گردد. در ابتدا تمامی کارتهای شبکه در VNet مدیریتی قرار دارند و باید آنها توسط مدیر محلی شبکه در VNet های مربوطه قرار گیرد.

در این محصول برای VNet ها می‌توان لایه اتصال را مشخص نمود یعنی به عنوان نمونه ما می توانیم تمامی اتصال‌های مربوط به کاربران فنی را به صورت لایه ۲ معرفی نماییم. و مابقی VNet ها به صورت لایه ۳ تعریف گردند.

برای سهولت استفاده و جلوگیری از خطای تایپی برای هر VNet متعلق به کاربر از یک شماره استفاده می‌گردد که بسته به نوع VNet در بازه های عددی مختلف قرار می‌گیرند.

• ۲۰۰-۲۹۹: برای VNet های لایه ۲ مورد استفاده قرار می‌گیرد و اگر شماره یک VNet را در این بازه وارد کردیم این VNet به صورت اتوماتیک لایه ۲ معرفی می‌گردد.

• ۳۰۰-۳۹۹: برای VNet های لایه ۳ مورد استفاده قرار می‌گیرد و اگر شماره یک VNet را در این بازه تعریف نماییم، این ‌VNet به صورت اتوماتیک لایه ۳ تعریف می‌گردد.

• ۱-۱۹۹ : برای کاربردهای داخلی مورد استفاده قرار میگیرد که شامل موارد زیر است:

  • VNet مدیریت شبکه که به صورت اتوماتیک در تمامی نودها ایجاد میشود و کاربر نمی تواند آن را تغییر دهد. این شبکه برای اتصال مدیران شبکه به نود ها و تنظیم هر نود مورد استفاده قرار می‌گیرد. این شبکه از شبکه های دیگر مجزا شده تا امنیت نودها افزایش یابد. تمامی ترافیک مربوط به مانیتورینگ نودها نیز از این شبکه منتقل می‌گردد.

  • ‌VNet شبکه های عمومی که به صورت محلی در هر نود تعریف شده و سراسری نیست. این VNet ها برای امنیت درونی نودها ایجاد می‌گردد تا پروسه‌های عمومی نود را که نیاز به ارتباط با شبکه عمومی دارند، از دیگر پروسه ها مجزا نماید

VNet های سیستمی توسط نرم افزار و به صورت اتوماتیک ایجاد می‌گردد و هر VNet کاربرد خاص خود را داراست.

ناحیه بندی

اتصال Full Mesh تونلهای شبکه امکان خوبی است برای اینکه داده ها با کمترین تاخیر به مقصد برسند و همچنین سربار پردازشی در طول شبکه نداشته باشیم. اما از طرفی، ما همیشه قادر به اتصال Full Mesh نیستیم یا به دلایل مدیریتی یا سیاستهای ترافیکی نمی خواهیم این اتفاق بیافتد. همچنین اگر تعداد نودهای شبکه زیاد باشد تعداد تونلها زیاد شده و مشکلاتی را بوجود می آورد. برای حل این مشکل از ناحیه بندی نودها استفاده می شود.

هر نود میتواند در یک یا چند ناحیه قرار داشته باشد. هر نود با تمام نودهای همه نواحی که در آن قرار دارد اتصال Full Mesh برقرار میکند.