Azure虛擬網絡(VNet)是Azure中專用網絡的基本構建塊。
Azure虛擬網絡(VNet)是Azure中專用網絡的基本構建塊�。VNet允許許多類型的Azure資源(例如Azure虛擬機(VM))以安全方式彼此通信、與Internet通信�,以及與本地網絡通信。VNet類似于在你在自己的數(shù)據中心運營的傳統(tǒng)網絡�,但附帶了Azure基礎設施的其他優(yōu)勢,例如可伸縮性��、可用性和隔離性��。
VNet概念
·地址空間:創(chuàng)建VNet時���,必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間�����。Azure從分配的地址空間中向虛擬網絡中的資源分配一個專用IP地址�。例如�,如果在地址空間為10.0.0.0/16的VNet中部署某個VM,將為該VM分配類似于10.0.0.4的專用IP���。
·子網:使用子網可將虛擬網絡劃分為一個或多個子網絡���,并向每個子網分配一部分虛擬網絡地址空間。然后��,可以在特定的子網中部署Azure資源��。就像在傳統(tǒng)網絡中一樣�,使用子網可將VNet地址空間劃分為適合組織內部網絡的網段���。這還會提高地址分配效率?��?梢允褂镁W絡安全組保護子網中的資源�。有關詳細信息�,請參閱網絡安全組。
·區(qū)域:VNet局限于一個區(qū)域/位置��;但是�,可以使用虛擬網絡對等互連將不同區(qū)域的多個虛擬網絡連接起來。
·訂閱:VNet的范圍限定為訂閱���??稍诿總€Azure訂閱和Azure區(qū)域中實現(xiàn)多個虛擬網絡���。
最佳做法
在Azure中構建網絡時,必須記住以下通用設計原則:
·確保地址空間不重疊��。確保VNet地址空間(CIDR塊)不與組織的其他網絡范圍重疊�。
·子網不應涵蓋VNet的整個地址空間。提前規(guī)劃��,為將來留出一些地址空間。
·建議使用少量的大型VNet�,而不要使用多個小型VNet。這可以防止出現(xiàn)管理開銷�����。
·通過將網絡安全組(NSG)分配給VNet下的子網來保護VNet�����。
與Internet通信
默認情況下��,VNet中的所有資源都可以與Internet進行出站通信�����?����?梢酝ㄟ^分配公共IP地址或公共負載均衡器來與資源進行入站通信���。還可以使用公共IP或公共負載均衡器來管理出站連接��。若要詳細了解Azure中的出站連接��,請參閱出站連接��、公共IP地址和負載均衡器��。
備注
僅使用內部標準負載均衡器時���,在定義出站連接如何與實例級公共IP或公共負載均衡器配合使用之前�����,出站連接不可用�。
Azure資源之間的通信
Azure資源采用下述某種方式安全地相互通信:
·通過虛擬網絡:可以將VM和多個其他類型的Azure資源部署到虛擬網絡���,如Azure應用服務環(huán)境�、Azure Kubernetes服務(AKS)和Azure虛擬機規(guī)模集�����。若要查看可部署到虛擬網絡的Azure資源的完整列表�,請參閱虛擬網絡服務集成。
·通過虛擬網絡服務終結點:通過直接連接將虛擬網絡專用地址空間和虛擬網絡的標識擴展到Azure服務資源���,例如Azure存儲帳戶和Azure SQL數(shù)據庫���。使用服務終結點可以保護關鍵的Azure服務資源,只允許在客戶自己的虛擬網絡中對其進行訪問�。有關詳細信息,請參閱虛擬網絡服務終結點概述�����。
·通過VNet對等互連:可以互相連接虛擬網絡���,使虛擬網絡中的資源能夠通過虛擬網絡對等互連相互進行通信���。連接的虛擬網絡可以在相同或不同的Azure區(qū)域中。有關詳細信息��,請參閱虛擬網絡對等互連��。
與本地資源通信
可組合使用以下任何選項將本地計算機和網絡連接到虛擬網絡:
·點到站點虛擬專用網絡(VPN):在網絡中的虛擬網絡和單臺計算機之間建立連接���。要與虛擬網絡建立連接的每臺計算機必須配置其連接�。這種連接類型適用于剛開始使用Azure的人員或開發(fā)人員�,因為該連接類型僅需對現(xiàn)有網絡作出極少更改或不做任何更改。計算機與虛擬網絡之間的通信經Internet通過加密的通道來發(fā)送。若要了解更多信息���,請參閱點到站點VPN�����。
·站點到站點VPN:在本地VPN設備和虛擬網絡中部署的Azure VPN網關之間建立連接���。此連接類型可使授權的任何本地資源訪問虛擬網絡。本地VPN設備和Azure VPN網關之間的通信經Internet通過加密的通道來發(fā)送���。若要了解更多信息�,請參閱站點到站點VPN�����。
·Azure ExpressRoute:通過ExpressRoute合作伙伴在網絡和Azure之間建立連接��。此連接是專用連接�����。流量不經過Internet�。若要了解詳細信息�����,請參閱ExpressRoute。
篩選網絡流量
可使用以下兩個選項中任意一個或同時使用這兩個方案篩選子網之間的網絡流量:
·網絡安全組:網絡安全組和應用程序安全組可包含多個入站和出站安全規(guī)則�,通過這些規(guī)則可按源和目標IP地址、端口和協(xié)議篩選出入資源的流量�。要了解詳細信息,請參閱網絡安全組或應用程序安全組�����。
·網絡虛擬設備:虛擬網絡設備是可執(zhí)行網絡功能(例如防火墻���、WAN優(yōu)化等)的VM���。若要查看可在虛擬網絡中部署的網絡虛擬設備,請參閱Azure市場�����。
路由網絡流量
默認情況下�,Azure在子網、連接的虛擬網絡���、本地網絡以及Internet之間路由流量�。可使用以下兩個選項中任意一個或同時使用二者替代Azure創(chuàng)建的默認路由:
路由表:可創(chuàng)建自定義路由表�,其中包含可對每個子網控制流量路由到位置的路由。詳細了解路由表�����。
邊界網關協(xié)議(BGP)路由:如果使用Azure VPN網關或ExpressRoute連接將虛擬網絡連接到本地網絡���,則可將本地BGP路由傳播到虛擬網絡���。詳細了解如何將BGP與Azure VPN網關和ExpressRoute配合使用。
Azure服務的虛擬網絡集成
通過將Azure服務集成到Azure虛擬網絡���,可從虛擬機或虛擬網絡中的計算資源私密訪問服務��?����?赏ㄟ^以下選項在虛擬網絡中集成Azure服務:
·將服務的專用實例部署到虛擬網絡中���。隨后即可在虛擬網絡內以及從本地網絡私密訪問這些服務�����。
·使用專用鏈接以專用方式從你的虛擬網絡和本地網絡訪問服務的特定實例�����。
·也可使用公共終結點來訪問服務,只需通過服務終結點將虛擬網絡擴展到服務即可�����。服務終結點可使服務資源在虛擬網絡中得到保護�����。
Azure VNet的限制
可部署的Azure資源數(shù)存在一定的限制�����。大多數(shù)Azure網絡限制設置在最大值��。但是��,你可以根據VNet限制頁中的指定�,提高某些網絡限制�����。
定價
使用Azure VNet不會產生費用��,它是免費的�����。標準費率適用于虛擬機(VM)等資源和其他產品�����。有關詳細信息�,請參閱VNet定價和Azure定價計算器�。
立即登錄,閱讀全文
版權說明:
本文內容來自于Microsoft Azure��,本站不擁有所有權�,不承擔相關法律責任。文章內容系作者個人觀點���,不代表快出海對觀點贊同或支持�����。如有侵權���,請聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網安備 35010202001226號
