Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中私有網(wǎng)絡(luò)的基本構(gòu)件��。VNet支持許多類型的Azure資源���,比如Azure虛擬機(jī)(VM),來安全地與internet和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信�。VNet類似于您在自己的數(shù)據(jù)中心中操作的傳統(tǒng)網(wǎng)絡(luò),但它也帶來了Azure基礎(chǔ)設(shè)施的額外好處����,如可伸縮性、可用性和隔離性���。
Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中私有網(wǎng)絡(luò)的基本構(gòu)件����。VNet支持許多類型的Azure資源��,比如Azure虛擬機(jī)(VM)���,來安全地與internet和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信����。VNet類似于您在自己的數(shù)據(jù)中心中操作的傳統(tǒng)網(wǎng)絡(luò),但它也帶來了Azure基礎(chǔ)設(shè)施的額外好處�,如可伸縮性、可用性和隔離性���。
VNet 的概念
Address space:在創(chuàng)建VNet時(shí)���,必須使用公共和私有(RFC 1918)地址指定自定義私有IP地址空間。Azure從您分配的地址空間中為虛擬網(wǎng)絡(luò)中的資源分配一個(gè)私有IP地址���。例如,如果您在地址空間為10.0.0.0/16的VNet中部署VM����,那么將為VM分配一個(gè)類似于10.0.0.4的私有IP。
子網(wǎng):子網(wǎng)使您能夠?qū)⑻摂M網(wǎng)絡(luò)分割成一個(gè)或多個(gè)子網(wǎng)����,并為每個(gè)子網(wǎng)分配部分虛擬網(wǎng)絡(luò)的地址空間。然后可以在特定的子網(wǎng)中部署Azure資源���。與傳統(tǒng)網(wǎng)絡(luò)一樣�,子網(wǎng)允許您將VNet地址空間分割成適合組織內(nèi)部網(wǎng)絡(luò)的段。這也提高了地址分配效率���。您可以使用網(wǎng)絡(luò)安全組保護(hù)子網(wǎng)中的資源�。有關(guān)更多信息�,請(qǐng)參見安全組。
區(qū)域:VNet的作用域?yàn)閱蝹€(gè)區(qū)域/位置;然而����,使用虛擬網(wǎng)絡(luò)對(duì)等技術(shù)可以將來自不同區(qū)域的多個(gè)虛擬網(wǎng)絡(luò)連接在一起。
訂閱:VNet的作用域是訂閱���。您可以在每個(gè)Azure訂閱和Azure區(qū)域內(nèi)實(shí)現(xiàn)多個(gè)虛擬網(wǎng)絡(luò)���。
最佳實(shí)踐
當(dāng)你在Azure中構(gòu)建你的網(wǎng)絡(luò)時(shí),記住以下通用的設(shè)計(jì)原則是很重要的:
確保地址空間不重疊��。確保您的VNet地址空間(CIDR塊)不與您組織的其他網(wǎng)絡(luò)范圍重疊����。
您的子網(wǎng)不應(yīng)該覆蓋VNet的整個(gè)地址空間。提前計(jì)劃�,為將來預(yù)留一些地址空間。
建議您使用更少的大型vnet,而不是多個(gè)小型vnet�。這將防止管理開銷。
使用網(wǎng)絡(luò)安全組(NSGs)保護(hù)您的VNet����。
與互聯(lián)網(wǎng)溝通
默認(rèn)情況下,VNet中的所有資源都可以與internet進(jìn)行出站通信���。您可以通過分配公共IP地址或公共負(fù)載均衡器與資源進(jìn)行入站通信����。您還可以使用公共IP或公共負(fù)載均衡器來管理出站連接���。要了解關(guān)于Azure中的出站連接的更多信息���,請(qǐng)參見出站連接��、公共IP地址和負(fù)載均衡器����。
請(qǐng)注意
僅使用內(nèi)部標(biāo)準(zhǔn)負(fù)載平衡器時(shí),在定義希望出站連接如何使用實(shí)例級(jí)公共IP或公共負(fù)載平衡器之前���,出站連接是不可用的����。
Azure資源之間的通信
Azure資源之間的安全通信方式有以下幾種:
通過虛擬網(wǎng)絡(luò)(virtual network):您可以將vm和其他幾種類型的Azure資源部署到虛擬網(wǎng)絡(luò)中,比如Azure應(yīng)用程序服務(wù)環(huán)境�、Azure Kubernetes服務(wù)(AKS)和Azure虛擬機(jī)規(guī)模集。要查看可以部署到虛擬網(wǎng)絡(luò)中的Azure資源的完整列表�,請(qǐng)參閱虛擬網(wǎng)絡(luò)服務(wù)集成。
通過虛擬網(wǎng)絡(luò)服務(wù)端點(diǎn)(virtual network service endpoint:):通過直接連接將虛擬網(wǎng)絡(luò)私有地址空間和虛擬網(wǎng)絡(luò)的身份擴(kuò)展到Azure服務(wù)資源��,如Azure存儲(chǔ)帳戶和Azure SQL數(shù)據(jù)庫(kù)��。服務(wù)端點(diǎn)允許您將關(guān)鍵的Azure服務(wù)資源僅保護(hù)到一個(gè)虛擬網(wǎng)絡(luò)���。要了解更多信息��,請(qǐng)參見虛擬網(wǎng)絡(luò)服務(wù)端點(diǎn)概述����。
通過VNet對(duì)等連接(VNet Peering):通過使用虛擬網(wǎng)絡(luò)對(duì)等連接���,您可以將虛擬網(wǎng)絡(luò)連接到其他網(wǎng)絡(luò)�,從而使兩個(gè)虛擬網(wǎng)絡(luò)中的資源能夠相互通信��。您連接的虛擬網(wǎng)絡(luò)可以位于相同的Azure區(qū)域,也可以位于不同的Azure區(qū)域��。有關(guān)更多信息����,請(qǐng)參見虛擬網(wǎng)絡(luò)對(duì)等。
與on-premises資源溝通
你可以使用下列選項(xiàng)的任何組合����,將你的本地電腦和網(wǎng)絡(luò)連接至虛擬網(wǎng)絡(luò):
點(diǎn)到點(diǎn)虛擬專用網(wǎng)(***)(Point-to-site virtual private network (***)):在虛擬網(wǎng)絡(luò)和網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)之間建立。希望與虛擬網(wǎng)絡(luò)建立連接的每臺(tái)計(jì)算機(jī)都必須配置其連接����。如果您剛剛開始使用Azure,或者對(duì)于開發(fā)人員來說��,這種連接類型非常好���,因?yàn)樗恍枰獙?duì)您現(xiàn)有的網(wǎng)絡(luò)進(jìn)行很少或根本不需要進(jìn)行更改�。您的計(jì)算機(jī)和虛擬網(wǎng)絡(luò)之間的通信是通過internet上的加密隧道發(fā)送的����。要了解更多信息���,請(qǐng)參見點(diǎn)到點(diǎn)***���。
站點(diǎn)到站點(diǎn)***(Site-to-site ***):在您的本地***設(shè)備和部署在虛擬網(wǎng)絡(luò)中的Azure ***網(wǎng)關(guān)之間建立���。此連接類型允許您授權(quán)訪問虛擬網(wǎng)絡(luò)的任何本地資源。您的本地***設(shè)備和Azure ***網(wǎng)關(guān)之間的通信是通過internet上的加密隧道發(fā)送的�。要了解更多信息,請(qǐng)參見站點(diǎn)到站點(diǎn)***��。
Azure Expre***oute:通過一個(gè)Expre***oute合作伙伴�,在您的網(wǎng)絡(luò)和Azure之間建立。這個(gè)連接是私有的��。網(wǎng)絡(luò)上沒有流量�。要了解更多,請(qǐng)參見高速公路�。
過濾網(wǎng)絡(luò)流量
您可以過濾網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量使用以下任一或兩個(gè)選項(xiàng):
安全組(Security groups):網(wǎng)絡(luò)安全組和應(yīng)用程序安全組可以包含多個(gè)入站和出站安全規(guī)則,使您能夠根據(jù)源和目標(biāo)IP地址��、端口和協(xié)議對(duì)進(jìn)出資源的流量進(jìn)行過濾����。要了解更多信息,請(qǐng)參見網(wǎng)絡(luò)安全組或應(yīng)用程序安全組��。
網(wǎng)絡(luò)虛擬設(shè)備(Network virtual appliances):網(wǎng)絡(luò)虛擬設(shè)備是執(zhí)行網(wǎng)絡(luò)功能(如防火墻、WAN優(yōu)化或其他網(wǎng)絡(luò)功能)的VM��。要查看可在虛擬網(wǎng)絡(luò)中部署的可用網(wǎng)絡(luò)虛擬設(shè)備列表����,請(qǐng)參閱Azure Marketplace。
過濾網(wǎng)絡(luò)流量
默認(rèn)情況下����,Azure路由子網(wǎng)、連接的虛擬網(wǎng)絡(luò)����、內(nèi)部網(wǎng)絡(luò)和Internet之間的通信。你可以實(shí)現(xiàn)以下選項(xiàng)中的一個(gè)或兩個(gè)來覆蓋Azure創(chuàng)建的默認(rèn)路由:
路由表(Route tables):您可以創(chuàng)建自定義路由表���,其中路由控制每個(gè)子網(wǎng)的流量被路由到何處��。了解更多關(guān)于路由表���。
邊界網(wǎng)關(guān)協(xié)議(BGP)路由(Border gateway protocol (BGP) routes):如果您使用Azure ***網(wǎng)關(guān)或Expre***oute連接您的虛擬網(wǎng)絡(luò)到您的本地網(wǎng)絡(luò),您可以將您的本地BGP路由傳播到您的虛擬網(wǎng)絡(luò)���。了解更多關(guān)于使用Azure ***網(wǎng)關(guān)和express路由的BGP����。
Azure VNet限制
您可以部署的Azure資源的數(shù)量有一定的限制�。大多數(shù)Azure網(wǎng)絡(luò)限制都在最大值處。但是����,您可以增加VNet限制(https://docs.microsoft.com/en-us/azure/azure-supportability/networking-quota-requests)頁(yè)面中指定的某些網(wǎng)絡(luò)限制(https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits#networking-limits)。
立即登錄�,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于51CTO���,本站不擁有所有權(quán)�,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持����。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號(hào)
