Azure Virtual Network常见问题（常见问题解答）

基础

什么是virtual network？

一个虚拟网络是在云中你自己的网络的表现形式，由Azure虚拟网络服务提供。 虚拟网络是对于 Azure 云的您的订阅专属的逻辑隔离。

可以使用虚拟网络在Azure中预配和管理虚拟专用网络（VPN）。 （可选）可以在Azure或本地 IT 基础结构中将虚拟网络链接到其他虚拟网络，以创建混合或跨界解决方案。

你创建的每个virtual network都有其自己的 CIDR 块。 只要 CIDR 块不重叠，就可以将virtual network链接到其他虚拟网络和本地网络。 还可以控制虚拟网络的 DNS 服务器设置，以及将virtual network分段为子网。

利用虚拟网络来：

• 创建专用的私有云专属虚拟网络。 有时，您的解决方案不需要跨场所配置。 创建虚拟网络时，您的虚拟网络内的服务和虚拟机（VM）可以在云中直接且安全地相互通信。 在解决方案中，还可为需要进行 Internet 通信的 VM 和服务配置终结点连接。

• 安全地扩展数据中心。 借助虚拟网络，可以构建传统的站点到站点 (S2S) VPN，以便安全地缩放数据中心容量。 S2S VPN 使用 IPsec 在公司VPN gateway和Azure之间提供安全连接。

• 实现混合云方案。 可以安全地将基于云的应用程序连接到任何类型的本地系统，包括大型机和 Unix 系统。

如何开始？

请访问 Azure Virtual Network 文档以开始使用。 此内容提供所有virtual network功能的概述和部署信息。

我可以在没有跨机构连接的情况下使用虚拟网络吗？

是的。 可以在不将其连接到本地的情况下使用virtual network。 例如，你可以仅在 Azure 虚拟网络中运行 Microsoft Windows Server Active Directory 域控制器和 SharePoint 场。

是否可以在虚拟网络之间或virtual network与本地数据中心之间执行 WAN 优化？

是的。 可以通过Azure Marketplace从多个供应商部署 network 虚拟设备，以便进行 WAN 优化。

配置

使用哪些工具创建virtual network？

可以使用以下工具创建或配置虚拟网络：

• Azure portal
• PowerShell
• Azure CLI
• Network 配置文件（仅限经典虚拟网络的 netcfg）

在我的虚拟网络中可以使用哪些地址范围？

建议使用 RFC 1918 中枚举的以下地址范围。 IETF 已为专用、不可路由的地址空间留出这些范围。

• 10.0.0.0 至 10.255.255.255（10/8 前缀）
• 172.16.0.0 至 172.31.255.255（172.16/12 前缀）
• 192.168.0.0 至 192.168.255.255（192.168/16 前缀）

还可以在 RFC 6598 中部署保留的共享地址空间，该空间被视为Azure中的专用 IP 地址空间：

• 100.64.0.0 至 100.127.255.255（100.64/10 前缀）

其他地址空间（包括 IETF 识别其他所有专用、不可路由的地址空间）可能有效，但可能会产生不良副作用。

此外，不能添加以下地址范围：

• 224.0.0.0/4（多播）
• 255.255.255.255/32（广播）
• 127.0.0.0/8（环回）
• 169.254.0.0/16（本地链路）
• 168.63.129.16/32（内部 DNS）

虚拟网络中能否具有公共 IP 地址？

是的。 有关公共 IP 地址范围的详细信息，请参阅 创建 virtual network。 无法从 Internet 直接访问公共 IP 地址。

我的virtual network中的子网数是否有限制？

是的。 有关详细信息，请参阅 网络限制。 子网地址空间不能相互重叠。

使用这些子网中的 IP 地址是否有任何限制？

是的。 Azure保留前四个地址和最后一个地址，总共在每个子网中保留五个 IP 地址。

例如，IP 地址范围 192.168.1.0/24 具有以下保留地址：

• 192.168.1.0：网络地址。
• 192.168.1.1 被 Azure 保留用于默认网关。
• 192.168.1.2、192.168.1.3：由Azure保留，用于将Azure DNS IP地址映射到虚拟网络空间。
• 192.168.1.255：网络广播地址。

虚拟网络和子网的最小和最大容量是多少？

支持的最小 IPv4 子网为 /29，最大为 /2（使用 CIDR 子网定义）。 IPv6 子网的大小必须是 /64。

是否可以使用虚拟网络将 VLAN 带到Azure？

不是。 虚拟网络是第 3 层叠加。 Azure不支持任何第 2 层语义。

是否可以在虚拟网络和子网上指定自定义路由策略？

是的。 你可以创建路由表并将其关联到子网。 有关Azure中的路由的详细信息，请参阅 Custom 路由。

在子网中同时应用 NSG 和 UDR 时，会出现什么行为？

对于入站流量，将处理网络安全组 (NSG) 的入站规则。 对于出站流量，首先会处理 NSG 出站规则，然后处理用户定义的路由 (UDR) 规则。

在 NIC 和子网中为 VM 应用 NSG 时，会出现什么行为？

在网络适配器 (NIC) 和子网中为 VM 应用 NSG 时：

• 对于入站流量，先处理子网级 NSG，然后处理 NIC 级 NSG。
• 对于出站流量，首先处理 NIC 级 NSG，然后处理子网级 NSG。

虚拟网络是否支持多播或广播？

不是。 不支持多播和广播。

可以在虚拟网络中使用哪些协议？

可以在虚拟网络中使用 TCP、UDP、ESP、AH 和 ICMP TCP/IP 协议。

虚拟网络支持单播。 虚拟网络中会阻止多播、广播、在 IP 里面封装 IP 的数据包以及通用路由封装 (GRE) 数据包。 不能通过单播（源端口 UDP/68、目标端口 UDP/67）使用动态主机配置协议 (DHCP)。 为主机保留 UDP 端口 4791 和 65330。

是否可以在virtual network中部署 DHCP 服务器？

Azure虚拟网络提供 DHCP 服务和 DNS 给 Azure虚拟机。 但是，还可以在Azure VM 中部署 DHCP 服务器，以便通过 DHCP 中继代理为本地客户端提供服务。

Azure中的 DHCP 服务器以前被视为不可行，因为发往端口 UDP/67 的流量在Azure中受到速率限制。 但最近的平台更新移除了速率限制，从而启用了此功能。

是否可以 ping virtual network中的默认网关？

不是。 Azure提供的默认网关不会响应 ping。 但是，可以在虚拟网络中使用 ping 检查 VM 之间的连接并进行故障排除。

是否可以使用 tracert 诊断连接？

是的。

创建virtual network后是否可以添加子网？

是的。 只要满足以下两个条件，可以随时向虚拟网络添加子网：

• 子网地址范围不是另一个子网的一部分。
• 虚拟网络的地址范围内有可用空间。

创建后是否可以修改子网的大小？

是的。 如果子网中未部署任何 VM 或服务，你可添加、删除、扩展或收缩该子网。

是否可以在创建virtual network后对其进行修改？

是的。 可以添加、删除和修改虚拟网络使用的 CIDR 块。

如果我在virtual network中运行服务，是否可以连接到 Internet？

是的。 部署在虚拟网络中的所有服务都可以连接到互联网。 若要详细了解 Azure 中的出站 Internet 连接，请参阅 使用源网络地址转换（SNAT）进行出站连接。

如果要将入站连接到通过Azure Resource Manager部署的资源，该资源必须分配一个公共 IP 地址。 有关详细信息，请参阅 创建、更改或删除Azure公共 IP 地址。

Azure中部署的每个云服务都分配有一个可公开寻址的虚拟 IP（VIP）。 为平台即服务（PaaS）角色和虚拟机定义输入终结点，以使这些服务能够接受来自 Internet 的连接。

虚拟网络是否支持 IPv6？

是的。 虚拟网络可以是纯 IPv4，也可以是双堆叠 (IPv4 + IPv6)。 有关详细信息，请参阅 Azure 虚拟网络的 IPv6

虚拟网络可以跨越区域吗？

不是。 虚拟网络限制为单个区域。 但是虚拟网络是可以跨越可用区的。 若要了解有关可用性区域的详细信息，请参阅 什么是 Azure 区域和可用性区域？

可以使用虚拟网络对等互连来连接不同区域中的这些虚拟网络。 有关详细信息，请参阅 虚拟网络对等互连。

是否可以将虚拟网络连接到Azure中的另一个虚拟网络？

是的。 可以使用以下任一方法将一个virtual network连接到另一个virtual network：

• 虚拟网络对等互连。 有关详细信息，请参阅 虚拟网络对等互连。
• Azure VPN Gateway。 有关详细信息，请参阅 配置网络到网络 VPN 网关连接。

名称解析 (DNS)

虚拟网络的 DNS 选项有哪些？

请使用Azure 虚拟网络中资源名称解析的决策表来指导您了解可用的 DNS 选项。

是否可以为virtual network指定 DNS 服务器？

是的。 可以在virtual network设置中为 DNS 服务器指定 IP 地址。 该设置将作为virtual network中所有 VM 的默认 DNS 服务器或服务器应用。

可以指定多少 DNS 服务器？

请参阅 网络限制。

创建网络后能否修改 DNS 服务器？

是的。 可以随时更改virtual network的 DNS 服务器列表。

如果更改 DNS 服务器列表，则需要对virtual network中所有受影响的 VM 执行 DHCP 租约续订。 新的 DNS 设置在租约续订后生效。 对于运行 Windows 的 VM，可以通过直接在 VM 上输入 ipconfig /renew 来续订租约。 对于其他 OS 类型，请参阅 DHCP 租约续订文档。

Azure提供的 DNS 是什么，它是否适用于虚拟网络？

Azure提供的 DNS 是来自Microsoft的多租户 DNS 服务。 Azure在此服务中注册所有 VM 和云服务角色实例。 此服务提供名称解析功能：

• 通过主机名为同一云服务中的虚拟机（VM）和角色实例（Role Instances）进行名称解析。
• 通过同一虚拟网络中 VM 和角色实例的完全限定域名（FQDN）的支持。

若要了解有关 DNS 的详细信息，请参阅 Azure 虚拟网络中资源的 Name 解析。

通过 Azure 提供的 DNS 进行跨租户名称解析时，虚拟网络中前 100 个云服务有一定的限制。 如果使用自己的 DNS 服务器，此限制则不适用。

能否为每个 VM 或云服务替代 DNS 设置？

是的。 可以为每个 VM 或云服务设置 DNS 服务器，以替代默认网络设置。 但是，我们建议尽可能多地使用网络范围内的 DNS。

是否可以引入我自己的 DNS 后缀？

不是。 不能为虚拟网络指定自定义的 DNS 后缀。

连接虚拟机

是否可以将 VM 部署到virtual network？

是的。 所有通过资源管理器（Resource Manager）部署模型部署到 VM 的网络适配器（NIC）都必须连接到虚拟网络。 （可选）可将通过经典部署模型部署的 VM 连接到virtual network。

可向 VM 分配哪些类型的 IP 地址？

• 专用：通过静态或动态方法分配给每个 VM 中的每个 NIC。 专用 IP 地址是从您在虚拟网络的子网设置中指定的范围进行分配的。

  通过经典部署模型部署的资源将被分配专用 IP 地址，即使它们未连接到虚拟网络。 分配方法的行为有所不同，具体取决于是使用Resource Manager还是经典部署模型部署资源：

  • Resource Manager：通过动态或静态方法分配的专用 IP 地址将一直分配给虚拟机（Resource Manager），直到删除资源。 区别在于，使用静态方法时由您选择要分配的地址，而使用动态方法时由 Azure 选择。
  • 经典：如果虚拟机（经典）VM 在处于停止（解除分配）状态后重新启动，则通过动态方法分配的的专用 IP 地址可能会变化。 如果需要确保通过经典部署模型部署的资源的专用 IP 地址永远不会变化，请使用静态方法分配专用 IP 地址。

• Public：可选地分配给连接到通过 Resource Manager 部署模型创建的 VM 的 NIC。 可以使用静态或动态分配方法分配地址。

  通过经典部署模型部署的所有 VM 和Azure Cloud Services角色实例都存在于云服务中。 云服务分配了一个动态公共 VIP 地址。 可以选择将公共静态 IP 地址（称为 保留的 IP 地址）分配为 VIP。

  可以为通过经典部署模型部署的单个虚拟机或云服务角色实例分配公共 IP 地址。 这些地址称为 instance 级公共 IP 地址，并且可以动态分配。

能否为以后创建的 VM 保留专用 IP 地址？

不是。 无法保留专用 IP 地址。 如果某个专用 IP 地址可用，则 DHCP 服务器会将其分配给某个 VM 或角色实例。 该 VM 可能是您希望分配专用 IP 地址的 VM，也可能不是。 但是，可将现有 VM 的专用 IP 地址更改为任何可用的专用 IP 地址。

virtual network中的 VM 的专用 IP 地址是否更改？

视情况而定。 如果使用Resource Manager部署 VM，则无论使用静态分配方法还是动态分配方法分配了地址，IP 地址都无法更改。 如果使用经典部署模型部署 VM，则启动处于停止（解除分配）状态的 VM 时，动态 IP 地址可能会变化。

当删除通过任一部署模型部署的 VM 时，其 IP 地址将被释放。

是否可以在 VM 操作系统中手动将 IP 地址分配到 NIC？

可以，但是除非必要，不建议这样做，例如为虚拟机分配多个 IP 地址时。 有关详细信息，请参阅 将多个 IP 地址分配给 virtual machines。

如果分配给附加到 VM 的 Azure NIC 的 IP 地址发生更改，并且 VM作系统中的 IP 地址不同，则失去与 VM 的连接。

如果我停止云服务部署槽位或者从操作系统内部关闭 VM，IP 地址会有什么变化？

无变化。 IP 地址（公共 VIP、公共和专用）将保留分配给该云服务部署槽位或 VM。

是否可以在不重新部署的情况下将 VM 从一个子网移到virtual network中的另一个子网？

是的。 可以在 将 VM 或角色实例移动到其他子网中找到详细信息。

是否可以为我的 VM 配置静态 MAC 地址？

不是。 不能静态配置 MAC 地址。

创建 VM 后，其 MAC 地址是否将保持不变？

是的。 对于通过Resource Manager和经典部署模型部署的 VM，MAC 地址保持不变，直到将其删除。

以前，如果停止（解除分配）VM，则会释放 MAC 地址。 但现在，当 VM 处于解除分配状态时会保留 MAC 地址。 在你执行以下任务之一之前，MAC 地址会保持分配给网络适配器：

• 删除网络适配器。
• 更改分配给主网络适配器的主 IP 配置的专用 IP 地址。

连接到虚拟网络的Azure服务

是否可以将 Web 应用程序用于虚拟网络？

是的。 可以使用 App Service Environment 在虚拟网络中部署 Azure App Service 的 Web Apps 功能。 然后，你可以：

• 通过虚拟网络集成将您的应用后端连接到您的虚拟网络。
• 通过服务终结点限制向应用程序的入站流量。

有关详细信息，请参阅以下文章：

• App Service网络功能
• 使用 App Service Environment
• 将您的应用程序与 Azure 虚拟网络集成
• 设置 Azure 应用服务访问限制

是否可以在虚拟网络中使用 Web 角色和辅助角色（PaaS）来部署云服务？

是的。 可以在虚拟网络中（可选）部署Cloud Services角色实例。 为此，请在服务配置的网络配置部分中指定虚拟网络名称和角色/子网映射。 不需要更新任何二进制文件。

是否可以将虚拟机规模集连接到虚拟网络？

是的。 必须将虚拟机规模集连接到虚拟网络。

是否有可以将资源部署到虚拟网络的完整 Azure 服务列表？

是的。 有关详细信息，请参阅 将专用Azure服务部署到虚拟网络。

如何限制虚拟网络访问Azure PaaS资源？

通过某些 Azure PaaS 服务（例如 Azure Storage 和 Azure SQL Database）部署的资源，可以通过使用虚拟网络服务终结点或 Azure 专用链接来限制网络访问。 有关详细信息，请参阅 Virtual network 服务终结点和 什么是 Azure Private Link？

是否可以将服务移入和移出虚拟网络？

不是。 不能将服务移入和移出虚拟网络。 若要将资源移到另一个virtual network，必须删除并重新部署资源。

安全性

虚拟网络的安全模型是什么？

虚拟网络彼此隔离，并与托管在 Azure 基础设施中的其他服务隔离。 虚拟网络是一种信任边界。

是否可以将入站或出站流量限制到连接到虚拟网络的资源？

是的。 可以将 网络安全组应用于虚拟网络内的单个子网、附加到虚拟网络的 NIC，或两者。

是否可以在连接到virtual network的资源之间实现防火墙？

是的。 可以通过Azure Marketplace从多个供应商部署 firewall 网络虚拟设备。

是否有介绍如何保护虚拟网络的信息？

是的。 请参阅 Azure 网络安全概述。

虚拟网络是否存储客户数据？

不是。 虚拟网络不存储任何客户数据。

可以为整个订阅设置 FlowTimeoutInMinutes 属性吗？

不是。 必须在虚拟网络上设置 FlowTimeoutInMinutes 属性。 以下代码可帮助你为较大的订阅自动设置此属性：

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API、架构和工具

能否通过代码管理虚拟网络？

是的。 可以将 REST API 用于 Azure Resource Manager 和 classic 部署模型中的虚拟网络。

是否有虚拟网络的工具支持？

是的。 详细了解使用方法：

• Azure portal 通过 Azure Resource Manager 和 classic 部署模型来部署虚拟网络。
• 用于管理通过 Resource Manager 部署模型部署的虚拟网络的 PowerShell。
• Azure CLI或Azure经典 CLI，用于部署和管理通过 Resource Manager 和 classic 部署模型部署的虚拟网络。

虚拟网络对等互连

什么是虚拟网络对等互连？

虚拟网络对等互连功能使您能够连接虚拟网络。 使用虚拟网络之间的对等互连连接，可通过 IPv4 地址在这些虚拟网络之间私下路由流量。

对等互连虚拟网络中的虚拟机可以相互通信，就像它们位于同一网络中一样。 这些虚拟网络可以位于同一区域或不同区域（也称为全局虚拟网络对等连接）。

还可以跨Azure订阅创建虚拟网络对等互连。

是否可以在不同的区域中创建与虚拟网络的对等互连连接？

是的。 全局虚拟网络对等互连使您能够在不同区域中对虚拟网络进行对等互连。 全球虚拟网络对等互连在所有 Azure 公共区域以及中国云区域中提供。 从 Azure 公共区域到国家云区域，不能进行全球对等互连。

与全局虚拟网络对等互连和负载均衡器相关的约束是什么？

如果两个区域中的两个虚拟网络通过全局虚拟网络对等互连进行连接，则无法通过负载均衡器的前端 IP 连接到基本负载均衡器后面的资源。 对于一个标准负载均衡器不存在此限制。

以下资源可以使用基本负载均衡器，这意味着不能通过负载均衡器的前端 IP 通过全局虚拟网络对等互连访问它们。 但是，如果允许，可以使用全局虚拟网络对等互连直接通过其专用虚拟网络IP访问资源。

• 位于基本负载均衡器后面的 VM
• 虚拟机规模集与基本负载均衡器
• Azure 缓存 (Cache) for Redis
• Azure Application Gateway v1
• Azure Service Fabric
• Azure API Management stv1
• Microsoft Entra 域服务
• Azure Logic Apps
• Azure HDInsight
• Azure Batch
• App Service Environment v1 和 v2

可以通过 Azure ExpressRoute 连接到这些资源，或者通过虚拟网络网关实现网络对网络连接。

如果我的虚拟网络属于不同 Microsoft Entra 租户中的订阅，是否可以启用虚拟网络对等互连？

是的。 如果您的订阅属于不同的 Microsoft Entra 租户，则可以建立虚拟网络对等互连（无论是本地还是全局）。 可以通过 Azure portal、PowerShell 或 Azure CLI 执行此作。

我的虚拟网络对等互连处于已启动状态。 为什么不能连接？

如果对等连接处于“已启动”状态，则意味着只创建了一个链路。 必须创建双向链接才能成功建立连接。

例如，要让 VNetA 与 VNetB 实现对等连接，必须分别创建从 VNetA 到 VNetB 和从 VNetB 到 VNetA 的连接。 创建两个链接后，状态会更改为“已连接”。

我的虚拟网络对等互连连接处于断开状态。 为什么无法创建对等连接？

如果虚拟网络对等互连处于 Disconnected 状态，则已删除您创建的链接之一。 若要重新建立对等连接，需要删除现有的链接并重新创建两者。

是否可以将我的虚拟网络与其他订阅中的虚拟网络对等互连？

是的。 可以跨订阅和跨区域进行虚拟网络对等互连。

能否将地址范围匹配或重叠的两个虚拟网络对等互连？

不是。 如果地址空间重叠，则无法启用虚拟网络对等互连。

是否可以将虚拟网络对等互连到两个虚拟网络，并在两个对等互连上都启用“使用远程网关”选项？

不是。 只能在与其中一个虚拟网络的对等互连上启用“使用远程网关”选项。

是否可以将具有对等互连连接的虚拟网络移到另一个虚拟网络？

不是。 无法将具有对等互连连接的虚拟网络移动到另一个虚拟网络。 在移动虚拟网络之前，必须删除对等连接。

虚拟网络对等互连的成本是多少？

创建虚拟网络对等互连不收费。 跨对等连接传输数据是收费的。 有关详细信息，请参阅 Azure Virtual Network 定价页。

虚拟网络对等互连流量是否加密？

当 Azure 流量在数据中心之间移动时（在那些不受 Microsoft 或其代表控制的物理边界之外），基础网络硬件将使用 MACsec 数据链路层加密。 此加密适用于虚拟网络对等互连的流量。

为什么我的对等互连连接显示为“已断开连接”状态？

虚拟网络对等连接在删除一个虚拟网络对等连接链接时进入 断开 状态。 必须删除两个链接才能重新建立成功的对等互连连接。

如果我将 VNetA 对等连接到 VNetB，再将 VNetB 对等连接到 VNetC，这是否意味着 VNetA 和 VNetC 已对等连接？

不是。 不支持传递性对等互联。 您必须手动将 VNetA 对等连接到 VNetC。

对等互连连接是否存在带宽限制？

不是。 虚拟网络对等连接（无论是本地还是全球）不会施加任何带宽限制。 带宽仅受 VM 或计算资源的限制。

如何排查虚拟网络对等连接的问题？

请试用故障排除指南。

虚拟网络服务终结点

为Azure服务设置服务终结点的正确作顺序是什么？

通过服务终结点保护Azure服务资源有两个步骤：

1. 为Azure服务启用服务终结点。
2. 在 Azure 服务上设置虚拟网络访问控制列表 (ACL)。

第一步是网络端操作，第二步是服务资源端操作。 同一管理员或不同的管理员可以根据授予管理员角色的 Azure 基于角色的访问控制 (RBAC) 权限执行这些操作。

我们建议您在 Azure 服务端设置虚拟网络 ACL 之前，先为您的虚拟网络开启服务终结点。 若要设置virtual network服务终结点，必须执行上述序列中的步骤。

某些服务（如 Azure SQL 和 Azure Cosmos DB）允许通过 IgnoreMissingVnetServiceEndpoint 标志对前面的序列进行异常。 将标志设置为 True 后，可以在Azure服务端设置virtual network ACL，然后再在网络端启用服务终结点。 Azure服务提供此标志，以帮助客户在Azure服务上配置特定 IP 防火墙的情况。

打开网络端的服务端点可能会导致连接中断，因为源 IP 从公共 IPv4 地址更改为专用地址。 在网络端启用服务终结点之前，先在Azure服务端设置虚拟网络ACL，有助于避免连接中断。

所有Azure服务是否都驻留在客户提供的Azure virtual network中？ 虚拟网络服务终结点如何与Azure服务配合使用？

并非所有Azure服务都驻留在客户的virtual network中。 大多数Azure数据服务（例如Azure Storage、Azure SQL和Azure Cosmos DB）都是可通过公共 IP 地址访问的多租户服务。 有关详细信息，请参阅 将专用Azure服务部署到虚拟网络。

在网络端启用虚拟网络服务终结点，并在 Azure 服务端设置适当的虚拟网络 ACL 时，对 Azure 服务的访问仅限于允许的虚拟网络和子网。

虚拟网络的服务终结点如何提供安全性？

虚拟网络服务终结点将 Azure 服务的访问限制为允许的虚拟网络和子网。 通过这种方式，它们提供网络级别的安全性和Azure服务流量的隔离。

使用虚拟网络服务端点的所有流量都流经 Microsoft 主干，以提供与公共互联网的另一层隔离。 客户还可以选择完全取消到 Azure 服务资源的公共互联网访问，并通过 IP 防火墙和虚拟网络 ACL 的组合，仅允许来自其虚拟网络的流量。 删除互联网访问有助于保护 Azure 服务资源免受未经授权的访问。

虚拟网络服务终结点保护什么 - 虚拟网络资源还是Azure服务资源？

虚拟网络服务终端有助于保护Azure的服务资源。 虚拟网络资源通过网络安全组进行保护。

使用虚拟网络服务终结点是否收取费用？

不是。 使用virtual network服务终结点无需额外付费。

如果虚拟网络和 Azure 服务资源属于不同的订阅，是否可以启用虚拟网络服务终结点并设置虚拟网络 ACL？

是的，有可能。 虚拟网络和Azure服务资源可以位于同一订阅或不同订阅中。 唯一的要求是，virtual network和Azure服务资源必须位于同一Microsoft Entra 租户下。

如果虚拟网络和 Azure 服务资源属于不同的 Microsoft Entra 租户，是否可以启用虚拟网络服务终结点并设置虚拟网络 ACL？

是的，当你使用服务终结点用于 Azure Storage 和 Azure Key Vault 时，这是可能的。 对于其他服务，虚拟网络服务终结点和虚拟网络访问控制列表在 Microsoft Entra 租户之间不受支持。

通过 Azure 虚拟网络网关（VPN）或 ExpressRoute 网关连接的本地设备的 IP 地址能否通过虚拟网络服务终结点访问 Azure PaaS 服务？

默认情况下，Azure保护到虚拟网络的服务资源无法从本地网络访问。 要允许来自本地的流量，还必须允许来自本地或 ExpressRoute 的公共（通常为 NAT）IP 地址。 可以通过Azure服务资源的 IP 防火墙配置添加这些 IP 地址。

或者，可以为受支持的服务实现专用终结点。

是否可以使用虚拟网络服务终结点将Azure服务的安全性扩展到虚拟网络内或跨多个虚拟网络的多个子网？

若要在多个子网内或跨多个虚拟网络中保护 Azure 服务，请在每个子网的网络侧独立启用服务终结点。 然后，通过在Azure服务端设置适当的virtual network ACL，保护Azure服务资源到所有子网。

如何通过筛选从虚拟网络到 Azure 服务的出站流量，并继续使用服务终结点？

如果要检查或筛选从virtual network发往Azure服务的流量，可以在virtual network中部署网络虚拟设备。 然后，可以将服务终结点应用到部署网络虚拟设备的子网，并通过虚拟网络 ACL 将 Azure 服务资源安全地限制到此子网。

当有人从虚拟网络外部访问启用了虚拟网络ACL的Azure服务帐户时，会有什么后果？

此服务会返回 HTTP 403 或 HTTP 404 错误。

是否允许在不同区域内创建的虚拟网络子网访问位于另一区域的 Azure 服务帐户？

是的。 对于大多数 Azure 服务，可以通过虚拟网络服务终结点使在不同区域中创建的虚拟网络访问另一个区域中的 Azure 服务。 例如，如果Azure Cosmos DB 帐户位于美国西部或美国东部区域，并且虚拟网络位于多个区域，则虚拟网络可以access Azure Cosmos DB。

Azure SQL是一个例外，具有区域性特征。 virtual network和Azure服务都需要位于同一区域。

Azure服务是否可以同时具有 virtual network ACL 和 IP 防火墙？

是的。 virtual network ACL 和 IP 防火墙可以共存。 这两个功能相互补充以确保隔离和安全性。

如果您删除了已为 Azure 服务启用服务终结点的虚拟网络或子网，会发生什么情况？

删除虚拟网络和删除子网是独立的操作。 即使为 Azure 服务启用服务终结点，仍然可以支持它们。

如果为 Azure 服务设置了虚拟网络 ACL，那么当您删除已启用虚拟网络服务终结点的虚拟网络或子网时，与这些 Azure 服务关联的 ACL 信息将被禁用。

如果删除已启用virtual network服务终结点的Azure服务帐户，会发生什么情况？

删除Azure服务帐户是一项独立的作。 即使您在网络端启用服务终结点，并在 Azure 服务端设置虚拟网络 ACL，这种情况也是受支持的。

启用了虚拟网络服务终结点的资源（例如子网中的 VM）的源 IP 地址会发生什么变化？

打开virtual network服务终结点时，virtual network子网中资源的源 IP 地址从使用公共 IPv4 地址切换到使用Azure virtual network的专用 IP 地址，以便流量流向Azure服务。 此交换机可能导致Azure服务上之前设置为公共 IPv4 地址的特定 IP 防火墙失败。

服务终结点路由是否始终优先？

服务终结点添加的系统路由要优先于边界网关协议 (BGP) 路由，并为服务终结点流量提供最佳路由。 服务终结点始终将服务流量直接从您的虚拟网络传送到 Azure 主干网络上的服务。

有关 Azure 如何选择路由的详细信息，请参阅 虚拟网络流量路由。

服务终结点是否使用 ICMP？

不是。 来自启用了服务终结点的子网的 ICMP 流量不会从服务隧道路径到达所需的终结点。 服务终结点只处理 TCP 流量。 如果想要通过服务终结点测试到终结点的延迟或连接性，则 ping 和 tracert 等工具不会显示子网中的资源将采用的真实路径。

子网上的 NSG 如何与服务终结点一起工作？

若要访问Azure服务，NSG 需要允许出站连接。 如果 NSG 对所有互联网出站流量开放，则服务终结点流量应正常工作。 还可使用服务标记将出站流量限制为仅服务 IP 地址。

设置服务终结点需要哪些权限？

如果对该网络有写入权限，则可以独立在虚拟网络中配置服务终结点。

为了将 Azure 的服务资源保护到虚拟网络，您必须对要添加的子网具有 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 权限。 此权限默认包含在内置的服务管理员角色中，可通过创建自定义角色进行修改。

有关内置角色和向自定义角色分配特定权限的详细信息，请参阅 Azure 自定义角色。

是否可以通过服务终结点筛选virtual network的流量到Azure服务？

可以使用虚拟网络服务终结点策略来筛选虚拟网络到Azure服务的流量，仅允许特定的Azure服务资源通过服务终结点访问。 终结点策略提供对从虚拟网络流量到Azure服务的精细访问控制。

若要了解详细信息，请参阅 Azure 存储的虚拟网络服务终结点策略。

Microsoft Entra ID是否支持虚拟网络服务终结点吗？

Microsoft Entra ID不原生支持服务端点。 要查看支持虚拟网络服务终结点的 Azure 服务的完整列表，请参阅 虚拟网络服务终结点。

我可以在虚拟网络中设置的服务终结点数量是否有限制？

virtual network中的服务终结点总数没有限制。 对于Azure服务资源（例如Azure Storage帐户），服务可能会对用于保护资源的子网数量实施限制。 下表显示了一些示例限制：

将经典网络资源迁移到Resource Manager

什么是Azure Service Manager，术语“经典”是什么意思？

Azure Service Manager是负责创建、管理和删除资源的Azure的旧部署模型。 网络服务中的单词 classic 是指由Azure Service Manager模型管理的资源。 有关详细信息，请参阅部署模型的比较。

什么是Azure Resource Manager？

Azure Resource Manager是Azure中负责在Azure订阅中创建、管理和删除资源的最新部署和管理模型。 有关详细信息，请参阅 什么是 Azure Resource Manager？

资源提交到 Resource Manager 后，是否可以撤销迁移？

只要资源处于准备状态，就可以取消迁移。 通过提交操作成功迁移资源后，不支持回滚到以前的部署模型。

如果提交操作失败，能否还原迁移？

如果提交操作失败，无法撤消迁移。 启动后，无法更改所有迁移操作，包括提交操作。 建议稍后再重试该操作。 如果操作继续失败，请提交支持请求。

我是否可以验证订阅或资源，以查看其是否能够迁移？

是的。 准备迁移的第一步是验证是否可以迁移资源。 如果验证失败，你会收到包含无法完成迁移的所有原因的消息。

Application Gateway资源是否会作为从经典虚拟网络迁移到资源管理器的一部分进行迁移？

Azure Application Gateway资源不会作为虚拟网络迁移过程的一部分自动迁移。 如果虚拟网络中存在一个，那么迁移将不会成功。 若要将Application Gateway资源迁移到Resource Manager，必须在迁移完成后删除并重新创建Application Gateway实例。

VPN Gateway资源是否也会在从经典虚拟网络迁移到资源管理器的过程中迁移？

Azure VPN Gateway资源作为虚拟网络迁移过程的一部分进行迁移。 迁移每次完成一个虚拟网络，无需其他要求。 迁移步骤与在没有 VPN 网关 的情况下迁移虚拟网络相同。

服务中断是否与将经典 VPN 网关迁移到Resource Manager相关联？

迁移到Resource Manager时，VPN 连接不会发生任何服务中断。 在迁移期间，现有工作负载将继续在完全的本地连接下运行。

迁移到Resource Manager VPN gateway后，是否需要重新配置本地设备？

迁移后，与VPN gateway关联的公共 IP 地址保持不变。 无需重新配置本地路由器。

支持从经典模型迁移到资源管理器的VPN网关方案有哪些？

从经典到Resource Manager的迁移涵盖了大多数常见的 VPN 连接方案。 支持的场景包括：

• 点对站点连接

• 站点到站点连接，通过 VPN 网关连接到本地环境。

• 使用 VPN 网关的两个虚拟网络之间的网络到网络连接。

• 多个虚拟网络连接到同一本地位置。

• 多站点连接。

• 已启用强制隧道的虚拟网络。

从经典部署模型迁移到资源管理器的VPN网关不支持哪些场景？

不支持的方案包括：

• 具有 ExpressRoute 网关和 VPN 网关的虚拟网络。

• 具有ExpressRoute 网关连接到不同订阅中的线路的虚拟网络。

• VM 扩展连接到内部服务器的过渡场景。

在哪里可以找到有关从经典迁移到Resource Manager的详细信息？

请参阅 有关从经典到 Azure 资源管理器的迁移的常见问题解答。

是否可以恢复已删除的公共 IP 地址？

不是。 删除Azure公共 IP 地址后，无法恢复该地址。 有关详细信息，请参阅查看、删除公共 IP 地址或修改其设置。

如何报告问题？

可以将有关迁移问题的问题发布到 Microsoft 问题A 页。 建议在此论坛上发布所有问题。 如果有支持合同，还可以提交支持请求。