Compartir a través de

Azure 虚拟网络常见问题 (FAQ)

基础

什么是虚拟网络?

虚拟网络是你自己的网络在云中的表示形式,由 Azure 虚拟网络服务提供。 虚拟网络是对专用于订阅的 Azure 云进行的逻辑隔离。

可以使用虚拟网络在 Azure 中预配和管理虚拟专用网 (VPN)。 你可以将虚拟网络与 Azure 中的其他虚拟网络或与本地 IT 基础结构链接,以创建混合或跨界解决方案。

你创建的每个虚拟网络都有自己的 CIDR 块。 只要 CIDR 块不重叠,就可以将虚拟网络链接到其他虚拟网络和本地网络。 你还可以控制虚拟网络的 DNS 服务器设置,并将虚拟网络分割为子网。

使用虚拟网络:

  • 创建私有云专用的虚拟网络。 有时不需要适用于解决方案的跨界配置。 创建虚拟网络时,虚拟网络中你的服务和虚拟机 (VM) 可以在云中直接安全地互相通信。 在解决方案中,还可为需要进行 Internet 通信的 VM 和服务配置终结点连接。

  • 安全地扩展数据中心。 借助虚拟网络,可以构建传统的站点到站点 (S2S) VPN,以便安全地缩放数据中心容量。 S2S VPN 使用 IPsec 提供企业 VPN 网关和 Azure 之间的安全连接。

  • 实现混合云方案。 可以安全地将基于云的应用程序连接到任何类型的本地系统,包括大型机和 Unix 系统。

如何开始?

请访问 Azure 虚拟网络文档帮助自己入门。 该内容提供了所有虚拟网络功能的概述和部署信息。

无跨界连接能否使用虚拟网络?

是的。 可以在不连接到本地的情况下使用虚拟网络。 例如,可以在 Azure 虚拟网络中单独运行 Microsoft Windows Server Active Directory 域控制器和 SharePoint 场。

能否在虚拟网络之间或虚拟网络与本地数据中心之间执行 WAN 优化?

是的。 可以通过 Azure 市场部署多个供应商提供的 WAN 优化网络虚拟设备

配置

要使用哪些工具创建虚拟网络?

可以使用以下工具创建或配置虚拟网络:

  • Azure 门户
  • PowerShell
  • Azure CLI
  • 网络配置文件netcfg,仅适用于经典虚拟网络)

在我的虚拟网络中可以使用哪些地址范围?

建议使用 RFC 1918 中枚举的以下地址范围。 IETF 已为专用、不可路由的地址空间留出这些范围。

  • 10.0.0.0 至 10.255.255.255(10/8 前缀)
  • 172.16.0.0 至 172.31.255.255(172.16/12 前缀)
  • 192.168.0.0 至 192.168.255.255(192.168/16 前缀)

你还可部署 RFC 6598 中保留的共享地址空间,该空间在 Azure 中被视为专用 IP 地址空间:

  • 100.64.0.0 至 100.127.255.255(100.64/10 前缀)

其他地址空间(包括 IETF 识别其他所有专用、不可路由的地址空间)可能有效,但可能会产生不良副作用。

此外,不能添加以下地址范围:

  • 224.0.0.0/4(多播)
  • 255.255.255.255/32(广播)
  • 127.0.0.0/8(环回)
  • 169.254.0.0/16(本地链路)
  • 168.63.129.16/32(内部 DNS)

虚拟网络中能否具有公共 IP 地址?

是的。 有关公共 IP 地址范围的详细信息,请参阅创建虚拟网络。 无法从 Internet 直接访问公共 IP 地址。

虚拟网络中的子网数量是否有限制?

是的。 有关详细信息,请参阅网络限制。 子网地址空间不能相互重叠。

使用这些子网中的 IP 地址是否有任何限制?

是的。 Azure 保留每个子网中前四个地址和最后一个地址,总共五个 IP 地址。

例如,IP 地址范围 192.168.1.0/24 具有以下保留地址:

  • 192.168.1.0:网络地址。
  • 192.168.1.1:由 Azure 为默认网关保留。
  • 192.168.1.2、192.168.1.3:由 Azure 保留,用于将 Azure DNS IP 地址映射到虚拟网络空间。
  • 192.168.1.255:网络广播地址。

虚拟网络和子网的最小和最大容量是多少?

支持的最小 IPv4 子网为 /29,最大为 /2(使用 CIDR 子网定义)。 IPv6 子网的大小必须是 /64。

能否使用虚拟网络将 VLAN 带入 Azure?

不是。 虚拟网络是第 3 层叠加。 Azure 不支持任何第 2 层语义。

是否可以在虚拟网络和子网上指定自定义路由策略?

是的。 你可以创建路由表并将其关联到子网。 有关 Azure 中的路由的详细信息,请参阅自定义路由

在子网中同时应用 NSG 和 UDR 时,会出现什么行为?

对于入站流量,会处理网络安全组 (NSG) 入站规则。 对于出站流量,会处理 NSG 出站规则,然后处理用户定义路由 (UDR) 规则。

在 NIC 和子网中为 VM 应用 NSG 时,会出现什么行为?

在网络适配器 (NIC) 和子网中为 VM 应用 NSG 时:

  • 对于入站流量,会处理子网级 NSG,然后处理 NIC 级 NSG。
  • 对于出站流量,会处理 NIC 级 NSG,然后处理子网级 NSG。

虚拟网络是否支持多播或广播?

不是。 不支持多播和广播。

可以在虚拟网络中使用哪些协议?

可以在虚拟网络中使用 TCP、UDP、ESP、AH 和 ICMP TCP/IP 协议。

虚拟网络支持单播。 虚拟网络中会阻止多播、广播、在 IP 里面封装 IP 的数据包以及通用路由封装 (GRE) 数据包。 不能通过单播(源端口 UDP/68、目标端口 UDP/67)使用动态主机配置协议 (DHCP)。 为主机保留 UDP 源端口 65330。

能否在虚拟网络中部署 DHCP 服务器?

Azure 虚拟网络向 Azure 虚拟机提供 DHCP 服务和 DNS。 但还可以在 Azure VM 中部署 DHCP 服务器,以通过 DHCP 中继代理为本地客户端提供服务。

Azure 中的 DHCP 服务器以前标记为不可行,因为发往端口 UDP/67 的流量在 Azure 中受到速率限制。 但最近的平台更新移除了速率限制,从而启用了此功能。

注意

Azure 仍不支持本地客户端到 DHCP 服务器(源端口 UDP/68、目标端口 UDP/67),因为截获和处理此流量的方式是不同的。 当客户端直接尝试在 Azure 中访问 DHCP 服务器时,这将在进行 T1 级 DHCP 续订时导致超时消息。 通过 DHCP 中继代理在 T2 级尝试进行 DHCP 续订时,DHCP 续订将成功。 有关 T1 和 T2 DHCP RENEW 计时器的更多详细信息,请参阅 RFC 2131

能否对虚拟网络中的默认网关执行 ping 命令?

不是。 Azure 提供的默认网关不响应 ping。 但是,可以在虚拟网络中使用 ping 检查 VM 之间的连接并进行故障排除。

是否可以使用 tracert 诊断连接?

是的。

能否在创建虚拟网络后添加子网?

是的。 只要满足以下两个条件,可以随时向虚拟网络添加子网:

  • 子网地址范围不是另一个子网的一部分。
  • 虚拟网络的地址范围内有可用空间。

创建后是否可以修改子网的大小?

是的。 如果子网中未部署任何 VM 或服务,你可添加、删除、扩展或收缩该子网。

创建虚拟网络后能否对其进行修改?

是的。 可以添加、删除和修改虚拟网络使用的 CIDR 块。

在虚拟网络中运行服务时能否连接到 Internet?

是的。 虚拟网络中部署的所有服务都可以在出站方向连接到 Internet。 有关 Azure 中出站 Internet 连接的详细信息,请参阅用于出站连接的源网络地址转换 (SNAT)

如果希望在入站方向连接到通过 Azure 资源管理器部署的某个资源,该资源必须具有分配给它的公共 IP 地址。 有关详细信息,请参阅创建、更改或删除 Azure 公共 IP 地址

Azure 中部署的每个云服务都具有分配到它的可公开寻址的虚拟 IP (VIP)。 你将定义平台即服务 (PaaS) 角色的输入终结点和虚拟机的终结点,以使这些服务可以接受来自 Internet 的连接。

虚拟网络是否支持 IPv6?

是的。 虚拟网络可以是纯 IPv4,也可以是双堆叠 (IPv4 + IPv6)。 有关详细信息,请参阅什么是适用于 Azure 虚拟网络的 IPv6?

虚拟网络能否跨越区域?

不是。 虚拟网络仅限用于一个区域。 但是,虚拟网络可以跨可用性区域。 有关可用性区域的详细信息,请参阅什么是 Azure 区域和可用性区域?

可以通过使用虚拟网络对等互连来连接不同区域中的虚拟网络。 有关详细信息,请参阅虚拟网络对等互连

能否将 Azure 中的一个虚拟网络连接到另一个虚拟网络?

是的。 可以使用以下任一方法将一个虚拟网络连接到另一个虚拟网络:

名称解析 (DNS)

虚拟网络的 DNS 选项有哪些?

使用 Azure 虚拟网络中资源的名称解析中的决策表来指导你完成可用的 DNS 选项。

能否为虚拟网络指定 DNS 服务器?

是的。 你可以在虚拟网络设置中指定 DNS 服务器的 IP 地址。 此设置将应用为虚拟网络中的所有 VM 的默认 DNS 服务器。

可以指定多少 DNS 服务器?

请参阅网络限制

创建网络后能否修改 DNS 服务器?

是的。 可以随时更改虚拟网络的 DNS 服务器列表。

如果更改 DNS 服务器列表,则需在虚拟网络中所有受影响的 VM 上执行 DHCP 租约续订。 新的 DNS 设置在租约续订后生效。 对于运行 Windows 的 VM,可以通过直接在 VM 上输入 ipconfig /renew 来续订租约。 对于其他 OS 类型,请参阅 DHCP 租约续订文档。

Azure 提供的 DNS 是什么,它是否用于虚拟网络?

Azure 提供的 DNS 是由 Microsoft 提供的多租户 DNS 服务。 Azure 在此服务中注册所有 VM 和云服务角色实例。 此服务:

  • 通过主机名为同一云服务中的 VM 和角色实例提供名称解析。
  • 通过完全限定的域名 (FQDN) 为同一虚拟网络中的 VM 和角色实例提供名称解析。

若要了解有关 DNS 的详细信息,请参阅 Azure 虚拟网络中资源的名称解析

通过 Azure 提供的 DNS 进行跨租户名称解析时,虚拟网络中的前 100 个云服务存在限制。 如果使用自己的 DNS 服务器,此限制则不适用。

能否为每个 VM 或云服务替代 DNS 设置?

是的。 可以为每个 VM 或云服务设置 DNS 服务器,以替代默认网络设置。 但是,我们建议使用尽可能多的整个网络的 DNS。

是否可以引入我自己的 DNS 后缀?

不是。 不能为虚拟网络指定自定义的 DNS 后缀。

连接虚拟机

能否将 VM 部署到虚拟网络?

是的。 附加到通过资源管理器部署模型部署的 VM 的所有网络适配器 (NIC) 必须连接到虚拟网络。 可以将通过经典部署模型部署的 VM 连接到虚拟网络。

可向 VM 分配哪些类型的 IP 地址?

  • 专用:通过静态或动态方法分配给每个 VM 中的每个 NIC。 应该分配虚拟网络子网设置中指定的范围内的专用 IP 地址。

    通过经典部署模型部署的资源会分配专用 IP 地址,即使它们未连接到虚拟网络。 分配方法的行为根据资源是使用资源管理器还是使用经典部署模型部署的而不同:

    • 资源管理器:通过动态或静态方法分配的专用 IP 地址保持分配给虚拟机(资源管理器),直到该资源被删除。 差别在于,使用静态方法时由你来选择要分配的地址,而使用动态方法时由 Azure 来选择要分配的地址。
    • 经典:如果虚拟机(经典)VM 在处于停止(解除分配)状态后重新启动,则通过动态方法分配的的专用 IP 地址可能会变化。 如果需要确保通过经典部署模型部署的资源的专用 IP 地址永远不会变化,请使用静态方法分配专用 IP 地址。
  • 公共:选择性地分配给附加到通过资源管理器部署模型部署的 VM 的 NIC。 可以使用静态或动态分配方法分配地址。

    通过经典部署模型部署的所有 VM 和 Azure 云服务角色实例位于云服务中。 云服务分配了一个动态公共 VIP 地址。 可以选择性地将某个公共静态 IP 地址(称为保留 IP 地址)分配为 VIP。

    可将公共 IP 地址分配给通过经典部署模型部署的单个 VM 或云服务角色实例。 这些地址称为实例级公共 IP 地址,可动态分配。

能否为以后创建的 VM 保留专用 IP 地址?

不是。 无法保留专用 IP 地址。 如果某个专用 IP 地址可用,则 DHCP 服务器会将其分配给某个 VM 或角色实例。 该 VM 可能是你希望将专用 IP 地址分配到的 VM,也可能不是。 但是,可将现有 VM 的专用 IP 地址更改为任何可用的专用 IP 地址。

虚拟网络中 VM 的专用 IP 地址是否会变化?

视情况而定。 如果使用资源管理器部署 VM,则无论使用静态还是动态分配方法分配地址,IP 地址都不会变化。 如果使用经典部署模型部署 VM,则启动处于停止(解除分配)状态的 VM 时,动态 IP 地址可能会变化。

当删除通过任一部署模型部署的 VM 时,会从该 VM 释放地址。

是否可以在 VM 操作系统中手动将 IP 地址分配到 NIC?

可以,但是除非必要,不建议这样做,例如为虚拟机分配多个 IP 地址时。 有关详细信息,请参阅将多个 IP 地址分配到虚拟机

如果分配给附加到 VM 的 Azure NIC 的 IP 地址更改,并且 VM 操作系统内的 IP 地址不同,则会丢失到 VM 的连接。

如果在操作系统中停止云服务部署槽位或关闭 VM,IP 地址会发生什么情况?

无变化。 IP 地址(公共 VIP、公共和专用)将保留分配给该云服务部署槽位或 VM。

能否不重新部署即将 VM 从虚拟网络中的一个子网移到另一个子网?

是的。 可在将 VM 或角色实例移到其他子网一文中找到详细信息。

是否可以为我的 VM 配置静态 MAC 地址?

不是。 不能静态配置 MAC 地址。

创建 VM 后,其 MAC 地址是否将保持不变?

是的。 通过资源管理器和经典部署模型部署的 VM 在被删除之前,其 MAC 地址将保持不变。

以前,如果停止(解除分配)VM,则会释放 MAC 地址。 但现在,当 VM 处于解除分配状态时会保留 MAC 地址。 在你执行以下任务之一之前,MAC 地址会保持分配给网络适配器:

  • 删除网络适配器。
  • 更改分配给主网络适配器的主 IP 配置的专用 IP 地址。

能否通过虚拟网络中的 VM 连接到 Internet?

是的。 虚拟网络中部署的所有 VM 和云服务角色实例都可连接到 Internet。

连接到虚拟网络的 Azure 服务

能否共同使用 Web 应用和虚拟网络?

是的。 可以使用应用服务环境在虚拟网络中部署 Azure 应用服务的 Web 应用功能。 然后,可以:

  • 使用虚拟网络集成将应用的后端连接到虚拟网络。
  • 使用服务终结点锁定发往应用的入站流量。

有关详细信息,请参阅以下文章:

能否在虚拟网络中部署云服务连同 Web 和辅助角色 (PaaS)?

是的。 (可选)可在虚拟网络中部署云服务角色实例。 若要实现此目的,请在服务配置的网络配置部分中指定虚拟网络名称和角色/子网映射。 不需要更新任何二进制文件。

能否将虚拟机规模集连接到虚拟网络?

是的。 必须将虚拟机规模集连接到虚拟网络。

是否存在可以将其中的资源部署到虚拟网络的 Azure 服务完整列表?

是的。 有关详细信息,请参阅将专用 Azure 服务部署到虚拟网络

如何从虚拟网络限制对 Azure PaaS 资源的访问?

通过某些 Azure PaaS 服务(例如 Azure 存储和 Azure SQL 数据库)部署的资源可以通过使用虚拟网络服务终结点或 Azure 专用链接限制对虚拟网络的网络访问。 有关详细信息,请参阅虚拟网络服务终结点什么是 Azure 专用链接?

是否可以将服务移入和移出虚拟网络?

不是。 不能将服务移入和移出虚拟网络。 若要将某个资源移动到另一个虚拟网络,必须删除并重新部署该资源。

安全性

虚拟网络的安全模型是什么?

虚拟网络彼此之间以及与 Azure 基础结构中托管的其他服务隔离。 虚拟网络是信任边界。

能否将入站或出站流量流限制到连接到虚拟网络的资源?

是的。 可向虚拟网络中的单个子网和/或附加到虚拟网络的 NIC 应用网络安全组

能否在连接到虚拟网络的资源之间实现防火墙?

是的。 可以通过 Azure 市场部署多个供应商提供的防火墙网络虚拟设备

是否有介绍如何保护虚拟网络的信息?

是的。 请参阅 Azure 网络安全概述

虚拟网络是否存储客户数据?

不是。 虚拟网络不存储任何客户数据。

能否为整个订阅设置 FlowTimeoutInMinutes 属性?

不是。 必须在虚拟网络中设置 FlowTimeoutInMinutes 属性。 以下代码可帮助你为较大的订阅自动设置此属性:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API、架构和工具

能否通过代码管理虚拟网络?

是的。 可以在 Azure 资源管理器经典部署模型中使用适用于虚拟网络的 REST API。

是否有虚拟网络的工具支持?

是的。 详细了解以下操作:

虚拟网络对等

什么是虚拟网络对等互连?

使用虚拟网络对等互连可连接虚拟网络。 使用虚拟网络之间的对等互连连接,可通过 IPv4 地址在这些虚拟网络之间私下路由流量。

对等互连的虚拟网络中的虚拟机可相互通信,如同它们处于同一网络中一样。 这些虚拟网络可以位于相同区域或不同区域中(也称为全局虚拟网络对等互连)。

还可以跨 Azure 订阅创建虚拟网络对等互连连接。

能否在另一区域创建到虚拟网络的对等互连连接?

是的。 通过全局虚拟网络对等互连,可以对不同区域中的虚拟网络进行对等互连。 全球虚拟网络对等互连适用于所有 Azure 公共区域和中国云区域。 不能通过全局对等互连的方式从 Azure 公共区域连接到国家/地区云区域。

如果两个区域的两个虚拟网络通过全局虚拟网络对等互连进行对等互连,则无法通过负载均衡器的前端 IP 连接到基本负载均衡器后面的资源。 标准负载均衡器不存在此限制。

以下资源可以使用基本负载均衡器,这意味着不能通过全局虚拟网络对等互连使用负载均衡器的前端 IP 来访问这些资源。 但是,可以使用全局虚拟网络对等互连通过其专用虚拟网络 IP 直接访问资源(如果允许)。

  • 位于基本负载均衡器后的 VM
  • 采用基本负载均衡器的虚拟机规模集
  • 用于 Redis 的 Azure 缓存
  • Azure 应用程序网关 v1
  • Azure Service Fabric
  • Azure API 管理 API stv1
  • Microsoft Entra 域服务
  • Azure 逻辑应用
  • Azure HDInsight
  • Azure Batch
  • 应用服务环境 v1 和 v2

可以通过 Azure ExpressRoute 连接到这些资源,也可以通过虚拟网关的网络到网络连接来连接到这些资源。

如果虚拟网络所属的订阅位于不同的 Microsoft Entra 租户中,能否启用虚拟网络对等互连?

是的。 如果订阅属于不同的 Microsoft Entra 租户,则可以建立虚拟网络对等互连(无论是本地还是全局)。 可以通过 Azure 门户、PowerShell 或 Azure CLI 执行此操作。

虚拟网络对等互连连接处于“已启动”状态, 为什么不能连接?

如果对等互连连接处于“已启动”状态,则意味着只创建了一个链路。 必须创建双向链接才能成功建立连接。

例如,若要从 VNetA 对等互连到 VNetB,必须创建从 VNetA 到 VNetB 以及从 VNetB 到 VNetA 的链接。 创建两个链接后,状态会更改为“已连接”。

虚拟网络对等互连连接处于“已断开连接”状态, 为什么无法创建对等互连连接?

如果虚拟网络对等互连连接处于“已断开连接”状态,则意味着创建的某个链接已被删除。 若要重新建立对等互连连接,需要删除剩余的链接并重新创建这两个链接。

能否将虚拟网络与另一订阅中的虚拟网络对等互连?

是的。 可以跨订阅和跨区域进行虚拟网络对等互连。

能否将地址范围匹配或重叠的两个虚拟网络对等互连?

不是。 如果地址空间重叠,则无法启用虚拟网络对等互连。

能否在两个对等互连上启用“使用远程网关”选项的情况下将虚拟网络对等互连到两个虚拟网络?

不是。 只能在与其中一个虚拟网络的对等互连上启用“使用远程网关”选项。

是否可以将具有对等互连连接的虚拟网络移到另一个虚拟网络?

否。 无法将具有对等互连连接的虚拟网络移到另一个虚拟网络。 在移动虚拟网络之前,必须删除对等互连连接。

创建虚拟网络对等互连连接不收取任何费用。 跨对等互连连接进行数据传输收费。 有关详细信息,请参阅 Azure 虚拟网络定价页

虚拟网络对等互连流量是否已加密?

当 Azure 流量在数据中心之间移动(不受 Microsoft 或代表 Microsoft 控制的外部物理边界)时,基础网络硬件会使用 MACsec 数据链路层加密。 此加密适用于虚拟网络对等互连流量。

为什么我的对等互连连接处于“已断开连接”状态?

删除其中一个虚拟网络对等互连链接时,虚拟网络对等互连连接将进入“已断开连接”状态。 必须删除两个链接才能重新建立成功的对等互连连接。

如果我从 VNetA 对等互连到 VNetB,然后又从 VNetB 对等互连到 VNetC,这是否意味着 VNetA 和 VNetC 已对等互连?

否。 不支持可传递对等互连。 必须将 VNetA 手动对等互连到 VNetC。

对等互连连接是否存在带宽限制?

不是。 不管是本地虚拟网络对等互连还是全局虚拟网络对等互连,都没有任何带宽限制。 带宽仅受 VM 或计算资源的限制。

如何排查虚拟网络对等互连问题?

请试用故障排除指南

虚拟网络服务终结点

为 Azure 服务设置服务终结点的正确操作顺序是什么?

通过服务终结点保护 Azure 服务资源有两个步骤:

  1. 启用 Azure 服务的服务终结点。
  2. 在 Azure 服务上设置虚拟网络访问控制列表 (ACL)。

第一步是网络端操作,第二步是服务资源端操作。 这两个步骤可以由同一管理员或不同的管理员根据授予管理员角色的 Azure 基于角色的访问控制 (RBAC) 权限执行。

建议在 Azure 服务端设置虚拟网络 ACL 之前打开虚拟网络的服务终结点。 若要设置虚拟网络服务终结点,必须按照上述顺序执行步骤。

注意

必须先完成上述两项操作,然后才能限制 Azure 服务对允许的虚拟网络和子网的访问权限。 只有打开网络端 Azure 服务的服务终结点才能获得有限的访问权限。 此外,还必须在 Azure 服务端设置虚拟网络 ACL。

某些服务(例如 Azure SQL 和 Azure Cosmos DB)允许通过 IgnoreMissingVnetServiceEndpoint 标志对上述序列进行异常处理。 将标志设置为 True 后,可以先在 Azure 服务端设置虚拟网络 ACL,然后在网络端打开服务终结点。 Azure 服务提供此标志,用于当 Azure 服务上配置特定 IP 防火墙时为客户提供帮助。

打开网络端的服务端点可能会导致连接中断,因为源 IP 从公共 IPv4 地址更改为专用地址。 在网络端打开服务终结点之前,在 Azure 服务端设置虚拟网络 ACL 可帮助避免连接性下降。

注意

如果你在某些服务(例如“Microsoft.AzureActiveDirectory”)上启用服务终结点,则可以在登录日志上看到 IPV6 地址连接。 Microsoft 对此类连接使用内部 IPV6 专用范围。

是否所有 Azure 服务都位于客户提供的 Azure 虚拟网络中? 虚拟网络服务终结点如何与 Azure 服务一起工作?

并非所有 Azure 服务都位于客户提供的虚拟网络中。 大多数 Azure 数据服务(如 Azure 存储、Azure SQL 和 Azure Cosmos DB)都是可以通过公共 IP 地址访问的多租户服务。 有关详细信息,请参阅将专用 Azure 服务部署到虚拟网络中

在网络端打开虚拟网络服务终结点并在 Azure 服务端设置适当的虚拟网络 ACL 时,从允许的虚拟网络和子网访问 Azure 服务具有一定限制。

虚拟网络服务终结点如何提供安全性?

虚拟网络服务终结点限制 Azure 服务对允许的虚拟网络和子网的访问权限。 通过这种方式,它们为 Azure 服务流量提供网络级别的安全性和隔离。

使用虚拟网络服务终结点的所有流量都流经 Microsoft 主干网络,以提供与公共 Internet 的另一层隔离。 客户还可选择完全删除对 Azure 服务资源的公共 Internet 访问权限,并且只允许通过 IP 防火墙和虚拟网络 ACL 的组合从其虚拟网络中访问流量。 删除 Internet 访问权限有助于保护 Azure 服务资源免受未经授权的访问。

虚拟网络服务终结点保护什么 - 虚拟网络资源或 Azure 服务资源?

虚拟网络服务终结点有助于保护 Azure 服务资源。 虚拟网络资源通过网络安全组进行保护。

使用虚拟网络服务终结点是否会产生任何费用?

不是。 使用虚拟网络服务终结点不会产生额外的费用。

如果虚拟网络和 Azure 服务资源属于不同的订阅,是否可打开虚拟网络服务终结点并设置虚拟网络 ACL?

是的,有可能。 虚拟网络和 Azure 服务资源可以位于相同的订阅或不同的订阅中。 唯一的要求是虚拟网络和 Azure 服务资源必须位于相同的 Microsoft Entra 租户下。

如果虚拟网络和 Azure 服务资源属于不同的 Microsoft Entra 租户,是否可打开虚拟网络服务终结点并设置虚拟网络 ACL?

是的,在将服务终结点用于 Azure 存储和 Azure Key Vault 时可以这样。 对于其他服务,不支持跨 Microsoft Entra 租户使用虚拟网络服务终结点和虚拟网络 ACL。

通过 Azure 虚拟网关 (VPN) 或 ExpressRoute 网关连接的本地设备 IP 地址是否可通过虚拟网络服务终结点访问 Azure PaaS 服务?

默认情况下,无法从本地网络访问在虚拟网络中保护的 Azure 服务资源。 要允许来自本地的流量,还必须允许来自本地或 ExpressRoute 的公共(通常为 NAT)IP 地址。 可通过 Azure 服务资源的 IP 防火墙配置添加这些 IP 地址。

能否使用虚拟网络服务终结点将对 Azure 服务的访问限定到一个虚拟网络内的多个子网或多个虚拟网络上的多个子网?

若要在一个虚拟网络中的多个子网内或者跨多个虚拟网络保护 Azure 服务,可以针对每个子网的网络端单独启用服务终结点。 然后,通过在 Azure 服务端设置适当的虚拟网络 ACL,保护所有子网的 Azure 服务资源。

如何筛选从虚拟网络到 Azure 服务的出站流量,并且仍然使用服务终结点?

若要检查或筛选从虚拟网络发往 Azure 服务的流量,可在该虚拟网络中部署网络虚拟设备。 然后,可将服务终结点应用到部署了网络虚拟设备的子网,并通过虚拟网络 ACL 在该子网中保护 Azure 服务资源。

从虚拟网络外部访问已启用虚拟网络 ACL 的 Azure 服务帐户时会发生什么情况?

此服务会返回 HTTP 403 或 HTTP 404 错误。

是否允许不同区域中创建的虚拟网络子网访问另一个区域中的 Azure 服务帐户?

是的。 对于大多数 Azure 服务,在不同区域创建的虚拟网络可以通过虚拟网络服务终结点访问另一个区域的 Azure 服务。 例如,如果 Azure Cosmos DB 帐户位于美国西部或美国东部区域,而虚拟网络位于多个区域,该虚拟网络可以访问 Azure Cosmos DB。

Azure 存储和 Azure SQL 是例外情况,本质上是区域性服务。 虚拟网络和 Azure 服务需要位于同一区域。

Azure 服务能否同时设置虚拟网络 ACL 和 IP 防火墙?

是的。 虚拟网络 ACL 和 IP 防火墙可以共存。 这两个功能相互补充以确保隔离和安全性。

如果删除为 Azure 服务打开服务终结点的虚拟网络或子网,会发生什么情况?

删除虚拟网络和删除子网是独立的操作。 即使为 Azure 服务打开服务终结点,也支持这些操作。

如果为 Azure 服务设置了虚拟网络 ACL,则删除已打开虚拟网络服务终结点的虚拟网络或子网时,会禁用与这些 Azure 服务相关的 ACL 信息。

如果删除已打开虚拟网络服务终结点的 Azure 服务帐户,会发生什么情况?

删除 Azure 服务帐户是一项独立的操作。 即使已在网络端打开服务终结点并在 Azure 服务端设置虚拟网络 ACL,也支持该操作。

已打开虚拟网络服务终结点的资源(如子网中的 VM)的源 IP 地址会发生什么?

打开虚拟网络服务终结点后,虚拟网络子网中资源的源 IP 地址将从使用公共 IPv4 地址更改为使用 Azure 虚拟网络的专用 IP 地址,以便将流量传送到 Azure 服务。 此更改会导致前面在 Azure 服务上设置为公共 IPv4 地址的特定 IP 防火墙失败。

服务终结点路由是否始终优先?

服务终结点添加的系统路由要优先于边界网关协议 (BGP) 路由,并为服务终结点流量提供最佳路由。 服务终结点始终将直接来自虚拟网络的服务流量转发到 Azure 主干网络上的服务。

有关 Azure 如何选择路由的详细信息,请参阅虚拟网络流量路由

服务终结点是否使用 ICMP?

不是。 来自启用了服务终结点的子网的 ICMP 流量不会从服务隧道路径到达所需的终结点。 服务终结点只处理 TCP 流量。 如果想要通过服务终结点测试到终结点的延迟或连接性,则 ping 和 tracert 等工具不会显示子网中的资源将采用的真实路径。

子网上的 NSG 如何与服务终结点配合使用?

要访问 Azure 服务,NSG 需要允许出站连接。 如果 NSG 对所有 Internet 出站流量开放,则服务终结点流量应有效。 还可使用服务标记将出站流量限制为仅服务 IP 地址。

设置服务终结点需要哪些权限?

如果对虚拟网络具有写入访问权限,则可以单独在该网络上配置服务终结点。

若要在虚拟网络中保护 Azure 服务资源,你必须对所添加的子网拥有“Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action”权限。 此权限默认包含在内置的服务管理员角色中,可通过创建自定义角色进行修改。

有关内置角色和将特定权限分配给自定义角色的详细信息,请参阅 Azure 自定义角色

能否使用服务终结点筛选到 Azure 服务的虚拟网络流量?

可以使用虚拟网络服务终结点策略通过服务终结点筛选发往 Azure 服务的虚拟网络流量,以便仅允许特定的 Azure 服务资源。 终结点策略从发往 Azure 服务的虚拟网络流量提供精细的访问控制。

若要了解详细信息,请参阅 Azure 存储的虚拟网络服务终结点策略

Microsoft Entra ID 是否支持虚拟网络服务终结点?

Microsoft Entra ID 不以本机方式支持服务终结点。 有关支持虚拟网络服务终结点的 Azure 服务完整列表,请参阅虚拟网络服务终结点

对于可以从虚拟网络中设置的服务终结点的数量是否有限制?

虚拟网络中的服务终结点总数没有限制。 对于 Azure 服务资源(例如 Azure 存储帐户),服务可能会对用于保护资源的子网数目施加限制。 下表显示了一些示例限制:

Azure 服务 虚拟网络规则限制
Azure 存储 200
Azure SQL 128
Azure Synapse Analytics 128
Azure Key Vault 200
Azure Cosmos DB 64
Azure 事件中心 128
Azure 服务总线 128

注意

Azure 服务自行决定是否对这些限制进行更改。 有关详细信息,请参阅相应的服务文档。

将经典网络资源迁移到资源管理器

什么是 Azure Service Manager 和术语“经典”?

Azure Service Manager 是 Azure 的旧部署模型,负责创建、管理和删除资源。 网络服务中的“经典”是指由 Azure Service Manager 模型管理的资源。 有关详细信息,请参阅部署模型的比较

什么是 Azure 资源管理器?

Azure 资源管理器是 Azure 的最新部署和管理模型,负责在 Azure 订阅中创建、管理和删除资源。 有关详细信息,请参阅什么是 Azure 资源管理器?

资源提交到资源管理器后,能否还原迁移?

只要资源处于准备就绪状态,就可以退出迁移。 通过提交操作成功迁移资源后,不支持回滚到以前的部署模型。

如果提交操作失败,能否还原迁移?

如果提交操作失败,无法撤消迁移。 启动后,无法更改所有迁移操作,包括提交操作。 建议稍后再重试该操作。 如果操作继续失败,请提交支持请求。

我是否可以验证订阅或资源,以查看其是否能够迁移?

是的。 准备迁移的第一步是验证是否可以迁移资源。 如果验证失败,你会收到包含无法完成迁移的所有原因的消息。

应用程序网关资源是否作为经典虚拟网络迁移的一部分迁移到资源管理器?

在虚拟网络迁移过程中,不会自动迁移 Azure 应用程序网关资源。 如果虚拟网络中存在一个,则迁移不会成功。 若要将应用程序网关资源迁移到资源管理器,迁移完成后,必须删除并重新创建应用程序网关实例。

VPN 网关资源是否作为经典虚拟网络迁移的一部分迁移到资源管理器?

Azure VPN 网关资源作为虚拟网络迁移过程的一部分进行迁移。 一次完成一个虚拟网络的迁移,没有其他要求。 迁移步骤与在没有 VPN 网关的情况下迁移虚拟网络相同。

将经典 VPN 网关迁移到资源服务器时是否发生服务中断?

迁移到资源管理器时,不会遇到 VPN 连接的任何服务中断。 在迁移期间,现有工作负载将继续在完全的本地连接下运行。

在将 VPN 网关迁移到资源管理器后,是否需要重新配置本地设备?

迁移后,与 VPN 网关关联的公共 IP 地址会保持不变。 无需重新配置本地路由器。

经典 VPN 网关迁移到资源管理器时支持的方案是什么?

从经典到资源管理器的迁移涵盖了最常用的 VPN 连接方案。 支持的场景包括:

  • 点到站点连接。

  • 站点到站点连接,其中 VPN 网关连接到本地位置。

  • 使用 VPN 网关的两个虚拟网络之间的网络到网络连接。

  • 多个虚拟网络连接到同一本地位置。

  • 多站点连接。

  • 已启用强制隧道的虚拟网络。

经典 VPN 网关迁移到资源管理器时不支持哪些方案?

不支持的方案包括:

  • 使用 ExpressRoute 网关和 VPN 网关的虚拟网络。

  • 将 ExpressRoute 网关连接到其他订阅中的线路的虚拟网络。

  • VM 扩展连接到本地服务器的传输方案。

在哪里可以找到有关从经典迁移到资源管理器的详细信息?

请参阅有关从经典部署模型迁移到 Azure 资源管理器的常见问题解答