「Azure云」什么是Azure虛擬網絡?

來源: 51CTO
作者:mob604756f59f47
時間:2021-05-07
17161
Azure虛擬網絡(VNet)是Azure中私有網絡的基本構件。VNet支持許多類型的Azure資源,比如Azure虛擬機(VM),來安全地與internet和內部網絡進行通信。VNet類似于您在自己的數據中心中操作的傳統(tǒng)網絡,但它也帶來了Azure基礎設施的額外好處,如可伸縮性、可用性和隔離性。

Azure虛擬網絡(VNet)是Azure中私有網絡的基本構件。VNet支持許多類型的Azure資源,比如Azure虛擬機(VM),來安全地與internet和內部網絡進行通信。VNet類似于您在自己的數據中心中操作的傳統(tǒng)網絡,但它也帶來了Azure基礎設施的額外好處,如可伸縮性、可用性和隔離性。

圖片


VNet 的概念

  • Address space:在創(chuàng)建VNet時,必須使用公共和私有(RFC 1918)地址指定自定義私有IP地址空間。Azure從您分配的地址空間中為虛擬網絡中的資源分配一個私有IP地址。例如,如果您在地址空間為10.0.0.0/16的VNet中部署VM,那么將為VM分配一個類似于10.0.0.4的私有IP。

  • 子網:子網使您能夠將虛擬網絡分割成一個或多個子網,并為每個子網分配部分虛擬網絡的地址空間。然后可以在特定的子網中部署Azure資源。與傳統(tǒng)網絡一樣,子網允許您將VNet地址空間分割成適合組織內部網絡的段。這也提高了地址分配效率。您可以使用網絡安全組保護子網中的資源。有關更多信息,請參見安全組。

  • 區(qū)域:VNet的作用域為單個區(qū)域/位置;然而,使用虛擬網絡對等技術可以將來自不同區(qū)域的多個虛擬網絡連接在一起。

  • 訂閱:VNet的作用域是訂閱。您可以在每個Azure訂閱和Azure區(qū)域內實現多個虛擬網絡。

最佳實踐

當你在Azure中構建你的網絡時,記住以下通用的設計原則是很重要的:

  • 確保地址空間不重疊。確保您的VNet地址空間(CIDR塊)不與您組織的其他網絡范圍重疊。

  • 您的子網不應該覆蓋VNet的整個地址空間。提前計劃,為將來預留一些地址空間。

  • 建議您使用更少的大型vnet,而不是多個小型vnet。這將防止管理開銷。

  • 使用網絡安全組(NSGs)保護您的VNet。

與互聯(lián)網溝通

默認情況下,VNet中的所有資源都可以與internet進行出站通信。您可以通過分配公共IP地址或公共負載均衡器與資源進行入站通信。您還可以使用公共IP或公共負載均衡器來管理出站連接。要了解關于Azure中的出站連接的更多信息,請參見出站連接、公共IP地址和負載均衡器。

請注意

僅使用內部標準負載平衡器時,在定義希望出站連接如何使用實例級公共IP或公共負載平衡器之前,出站連接是不可用的。

Azure資源之間的通信

Azure資源之間的安全通信方式有以下幾種:

  • 通過虛擬網絡(virtual network):您可以將vm和其他幾種類型的Azure資源部署到虛擬網絡中,比如Azure應用程序服務環(huán)境、Azure Kubernetes服務(AKS)和Azure虛擬機規(guī)模集。要查看可以部署到虛擬網絡中的Azure資源的完整列表,請參閱虛擬網絡服務集成。

  • 通過虛擬網絡服務端點(virtual network service endpoint:):通過直接連接將虛擬網絡私有地址空間和虛擬網絡的身份擴展到Azure服務資源,如Azure存儲帳戶和Azure SQL數據庫。服務端點允許您將關鍵的Azure服務資源僅保護到一個虛擬網絡。要了解更多信息,請參見虛擬網絡服務端點概述。

  • 通過VNet對等連接(VNet Peering):通過使用虛擬網絡對等連接,您可以將虛擬網絡連接到其他網絡,從而使兩個虛擬網絡中的資源能夠相互通信。您連接的虛擬網絡可以位于相同的Azure區(qū)域,也可以位于不同的Azure區(qū)域。有關更多信息,請參見虛擬網絡對等。

與on-premises資源溝通

你可以使用下列選項的任何組合,將你的本地電腦和網絡連接至虛擬網絡:

  • 點到點虛擬專用網(***)(Point-to-site virtual private network (***)):在虛擬網絡和網絡中的一臺計算機之間建立。希望與虛擬網絡建立連接的每臺計算機都必須配置其連接。如果您剛剛開始使用Azure,或者對于開發(fā)人員來說,這種連接類型非常好,因為它只需要對您現有的網絡進行很少或根本不需要進行更改。您的計算機和虛擬網絡之間的通信是通過internet上的加密隧道發(fā)送的。要了解更多信息,請參見點到點***。

  • 站點到站點***(Site-to-site ***):在您的本地***設備和部署在虛擬網絡中的Azure ***網關之間建立。此連接類型允許您授權訪問虛擬網絡的任何本地資源。您的本地***設備和Azure ***網關之間的通信是通過internet上的加密隧道發(fā)送的。要了解更多信息,請參見站點到站點***。

  • Azure Expre***oute:通過一個Expre***oute合作伙伴,在您的網絡和Azure之間建立。這個連接是私有的。網絡上沒有流量。要了解更多,請參見高速公路。

過濾網絡流量

您可以過濾網絡之間的網絡流量使用以下任一或兩個選項:

  • 安全組(Security groups):網絡安全組和應用程序安全組可以包含多個入站和出站安全規(guī)則,使您能夠根據源和目標IP地址、端口和協(xié)議對進出資源的流量進行過濾。要了解更多信息,請參見網絡安全組或應用程序安全組。

  • 網絡虛擬設備(Network virtual appliances):網絡虛擬設備是執(zhí)行網絡功能(如防火墻、WAN優(yōu)化或其他網絡功能)的VM。要查看可在虛擬網絡中部署的可用網絡虛擬設備列表,請參閱Azure Marketplace。

過濾網絡流量

默認情況下,Azure路由子網、連接的虛擬網絡、內部網絡和Internet之間的通信。你可以實現以下選項中的一個或兩個來覆蓋Azure創(chuàng)建的默認路由:

  • 路由表(Route tables):您可以創(chuàng)建自定義路由表,其中路由控制每個子網的流量被路由到何處。了解更多關于路由表。

  • 邊界網關協(xié)議(BGP)路由(Border gateway protocol (BGP) routes):如果您使用Azure ***網關或Expre***oute連接您的虛擬網絡到您的本地網絡,您可以將您的本地BGP路由傳播到您的虛擬網絡。了解更多關于使用Azure ***網關和express路由的BGP。

Azure VNet限制

您可以部署的Azure資源的數量有一定的限制。大多數Azure網絡限制都在最大值處。但是,您可以增加VNet限制(https://docs.microsoft.com/en-us/azure/azure-supportability/networking-quota-requests)頁面中指定的某些網絡限制(https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits#networking-limits)。

立即登錄,閱讀全文
版權說明:
本文內容來自于51CTO,本站不擁有所有權,不承擔相關法律責任。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
掃碼登錄
打開掃一掃, 關注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
個人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務合作
商務合作
投稿采訪
投稿采訪
出海管家
出海管家