Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中專用網(wǎng)絡(luò)的基本構(gòu)建塊���。
Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中專用網(wǎng)絡(luò)的基本構(gòu)建塊����。VNet允許許多類型的Azure資源(例如Azure虛擬機(VM))以安全方式彼此通信����、與Internet通信,以及與本地網(wǎng)絡(luò)通信��。VNet類似于在你在自己的數(shù)據(jù)中心運營的傳統(tǒng)網(wǎng)絡(luò)�����,但附帶了Azure基礎(chǔ)設(shè)施的其他優(yōu)勢��,例如可伸縮性����、可用性和隔離性。
VNet概念
·地址空間:創(chuàng)建VNet時����,必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間。Azure從分配的地址空間中向虛擬網(wǎng)絡(luò)中的資源分配一個專用IP地址���。例如�,如果在地址空間為10.0.0.0/16的VNet中部署某個VM����,將為該VM分配類似于10.0.0.4的專用IP�。
·子網(wǎng):使用子網(wǎng)可將虛擬網(wǎng)絡(luò)劃分為一個或多個子網(wǎng)絡(luò)�����,并向每個子網(wǎng)分配一部分虛擬網(wǎng)絡(luò)地址空間���。然后����,可以在特定的子網(wǎng)中部署Azure資源����。就像在傳統(tǒng)網(wǎng)絡(luò)中一樣,使用子網(wǎng)可將VNet地址空間劃分為適合組織內(nèi)部網(wǎng)絡(luò)的網(wǎng)段��。這還會提高地址分配效率����。可以使用網(wǎng)絡(luò)安全組保護子網(wǎng)中的資源�����。有關(guān)詳細(xì)信息���,請參閱網(wǎng)絡(luò)安全組���。
·區(qū)域:VNet局限于一個區(qū)域/位置��;但是,可以使用虛擬網(wǎng)絡(luò)對等互連將不同區(qū)域的多個虛擬網(wǎng)絡(luò)連接起來����。
·訂閱:VNet的范圍限定為訂閱?����?稍诿總€Azure訂閱和Azure區(qū)域中實現(xiàn)多個虛擬網(wǎng)絡(luò)��。
最佳做法
在Azure中構(gòu)建網(wǎng)絡(luò)時��,必須記住以下通用設(shè)計原則:
·確保地址空間不重疊��。確保VNet地址空間(CIDR塊)不與組織的其他網(wǎng)絡(luò)范圍重疊��。
·子網(wǎng)不應(yīng)涵蓋VNet的整個地址空間����。提前規(guī)劃�,為將來留出一些地址空間��。
·建議使用少量的大型VNet�,而不要使用多個小型VNet。這可以防止出現(xiàn)管理開銷���。
·通過將網(wǎng)絡(luò)安全組(NSG)分配給VNet下的子網(wǎng)來保護VNet�����。
與Internet通信
默認(rèn)情況下����,VNet中的所有資源都可以與Internet進行出站通信��?��?梢酝ㄟ^分配公共IP地址或公共負(fù)載均衡器來與資源進行入站通信����。還可以使用公共IP或公共負(fù)載均衡器來管理出站連接���。若要詳細(xì)了解Azure中的出站連接�����,請參閱出站連接�、公共IP地址和負(fù)載均衡器。
備注
僅使用內(nèi)部標(biāo)準(zhǔn)負(fù)載均衡器時����,在定義出站連接如何與實例級公共IP或公共負(fù)載均衡器配合使用之前,出站連接不可用���。
Azure資源之間的通信
Azure資源采用下述某種方式安全地相互通信:
·通過虛擬網(wǎng)絡(luò):可以將VM和多個其他類型的Azure資源部署到虛擬網(wǎng)絡(luò),如Azure應(yīng)用服務(wù)環(huán)境����、Azure Kubernetes服務(wù)(AKS)和Azure虛擬機規(guī)模集。若要查看可部署到虛擬網(wǎng)絡(luò)的Azure資源的完整列表���,請參閱虛擬網(wǎng)絡(luò)服務(wù)集成����。
·通過虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點:通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識擴展到Azure服務(wù)資源����,例如Azure存儲帳戶和Azure SQL數(shù)據(jù)庫�����。使用服務(wù)終結(jié)點可以保護關(guān)鍵的Azure服務(wù)資源���,只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問。有關(guān)詳細(xì)信息�����,請參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點概述�����。
·通過VNet對等互連:可以互相連接虛擬網(wǎng)絡(luò)��,使虛擬網(wǎng)絡(luò)中的資源能夠通過虛擬網(wǎng)絡(luò)對等互連相互進行通信�。連接的虛擬網(wǎng)絡(luò)可以在相同或不同的Azure區(qū)域中。有關(guān)詳細(xì)信息�����,請參閱虛擬網(wǎng)絡(luò)對等互連����。
與本地資源通信
可組合使用以下任何選項將本地計算機和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò):
·點到站點虛擬專用網(wǎng)絡(luò)(VPN):在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺計算機之間建立連接��。要與虛擬網(wǎng)絡(luò)建立連接的每臺計算機必須配置其連接�。這種連接類型適用于剛開始使用Azure的人員或開發(fā)人員����,因為該連接類型僅需對現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡(luò)之間的通信經(jīng)Internet通過加密的通道來發(fā)送���。若要了解更多信息��,請參閱點到站點VPN���。
·站點到站點VPN:在本地VPN設(shè)備和虛擬網(wǎng)絡(luò)中部署的Azure VPN網(wǎng)關(guān)之間建立連接����。此連接類型可使授權(quán)的任何本地資源訪問虛擬網(wǎng)絡(luò)。本地VPN設(shè)備和Azure VPN網(wǎng)關(guān)之間的通信經(jīng)Internet通過加密的通道來發(fā)送���。若要了解更多信息�,請參閱站點到站點VPN��。
·Azure ExpressRoute:通過ExpressRoute合作伙伴在網(wǎng)絡(luò)和Azure之間建立連接。此連接是專用連接�����。流量不經(jīng)過Internet����。若要了解詳細(xì)信息,請參閱ExpressRoute���。
篩選網(wǎng)絡(luò)流量
可使用以下兩個選項中任意一個或同時使用這兩個方案篩選子網(wǎng)之間的網(wǎng)絡(luò)流量:
·網(wǎng)絡(luò)安全組:網(wǎng)絡(luò)安全組和應(yīng)用程序安全組可包含多個入站和出站安全規(guī)則���,通過這些規(guī)則可按源和目標(biāo)IP地址、端口和協(xié)議篩選出入資源的流量�。要了解詳細(xì)信息,請參閱網(wǎng)絡(luò)安全組或應(yīng)用程序安全組����。
·網(wǎng)絡(luò)虛擬設(shè)備:虛擬網(wǎng)絡(luò)設(shè)備是可執(zhí)行網(wǎng)絡(luò)功能(例如防火墻、WAN優(yōu)化等)的VM�。若要查看可在虛擬網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)虛擬設(shè)備,請參閱Azure市場����。
路由網(wǎng)絡(luò)流量
默認(rèn)情況下���,Azure在子網(wǎng)、連接的虛擬網(wǎng)絡(luò)�����、本地網(wǎng)絡(luò)以及Internet之間路由流量���?��?墒褂靡韵聝蓚€選項中任意一個或同時使用二者替代Azure創(chuàng)建的默認(rèn)路由:
路由表:可創(chuàng)建自定義路由表,其中包含可對每個子網(wǎng)控制流量路由到位置的路由���。詳細(xì)了解路由表�����。
邊界網(wǎng)關(guān)協(xié)議(BGP)路由:如果使用Azure VPN網(wǎng)關(guān)或ExpressRoute連接將虛擬網(wǎng)絡(luò)連接到本地網(wǎng)絡(luò)��,則可將本地BGP路由傳播到虛擬網(wǎng)絡(luò)。詳細(xì)了解如何將BGP與Azure VPN網(wǎng)關(guān)和ExpressRoute配合使用���。
Azure服務(wù)的虛擬網(wǎng)絡(luò)集成
通過將Azure服務(wù)集成到Azure虛擬網(wǎng)絡(luò)��,可從虛擬機或虛擬網(wǎng)絡(luò)中的計算資源私密訪問服務(wù)�。可通過以下選項在虛擬網(wǎng)絡(luò)中集成Azure服務(wù):
·將服務(wù)的專用實例部署到虛擬網(wǎng)絡(luò)中���。隨后即可在虛擬網(wǎng)絡(luò)內(nèi)以及從本地網(wǎng)絡(luò)私密訪問這些服務(wù)�����。
·使用專用鏈接以專用方式從你的虛擬網(wǎng)絡(luò)和本地網(wǎng)絡(luò)訪問服務(wù)的特定實例��。
·也可使用公共終結(jié)點來訪問服務(wù)�,只需通過服務(wù)終結(jié)點將虛擬網(wǎng)絡(luò)擴展到服務(wù)即可�����。服務(wù)終結(jié)點可使服務(wù)資源在虛擬網(wǎng)絡(luò)中得到保護��。
Azure VNet的限制
可部署的Azure資源數(shù)存在一定的限制��。大多數(shù)Azure網(wǎng)絡(luò)限制設(shè)置在最大值�����。但是���,你可以根據(jù)VNet限制頁中的指定����,提高某些網(wǎng)絡(luò)限制。
定價
使用Azure VNet不會產(chǎn)生費用���,它是免費的�。標(biāo)準(zhǔn)費率適用于虛擬機(VM)等資源和其他產(chǎn)品�。有關(guān)詳細(xì)信息,請參閱VNet定價和Azure定價計算器��。
立即登錄��,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Microsoft Azure����,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任��。文章內(nèi)容系作者個人觀點��,不代表快出海對觀點贊同或支持�。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號
