Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Virtual Network为Azure中的专用网络提供基本构建基块。 此服务使 Azure 资源(如虚拟机(VM))能够与其他资源、互联网和本地网络安全地通信。 虚拟网络提供Azure基础结构的规模、可用性和隔离优势,同时维护传统数据中心中使用的熟悉的网络概念。
注释
Azure Virtual Network是构成Azure网络基础类别的服务之一。 此类别中的其他服务包括 Azure DNS 和 Azure Private Link。 每个服务都有自己的独特功能和用例。
为何使用Azure virtual network?
您可以使用虚拟网络完成的关键方案包括:
Azure 资源与 Internet 通信。
Azure资源之间的通信。
与本地资源的通信。
网络流量筛选。
网络流量路由。
与 Azure 服务集成。
与 Internet 通信
默认情况下,virtual network中的所有资源都可以与 Internet 进行出站通信。 还可以使用 public IP 地址、NAT 网关或 public load balancer 来管理 outbound 连接。 可以通过分配公共 IP 地址或公共负载均衡器来与资源通信。
如果仅使用内部标准负载均衡器,在定义实例级公共 IP 地址或公共负载均衡器的出站连接方式之前,出站连接是不可用的。
在Azure资源之间通信
Azure资源通过以下方式之一安全地相互通信:
- Virtual network:可以在virtual network中部署 VM 和其他类型的Azure资源。 资源示例包括App Service环境、Azure Kubernetes Service(AKS)和Azure Virtual Machine Scale Sets。 若要查看可在virtual network中部署的Azure资源的完整列表,请参阅 将专用Azure服务部署到虚拟网络中。
注释
若要将虚拟机从一个virtual network移到另一个虚拟机,必须在新的virtual network中删除并重新创建虚拟机。 可以保留虚拟机的磁盘,以便在新虚拟机中使用。
虚拟网络服务终结点:您可以通过直接连接将您的虚拟网络的专用地址空间和虚拟网络的标识扩展到Azure服务资源。 资源示例包括Azure Storage帐户和Azure SQL Database。 使用服务终结点可以保护并且保持关键Azure服务资源的安全,使这些资源仅限于虚拟网络。 若要了解详细信息,请参阅 Virtual network 服务终结点。
虚拟网络对等互连:可以使用对等互连将虚拟网络相互连接。 然后,任一virtual network中的资源可以相互通信。 连接的虚拟网络可以位于相同或不同的Azure区域中。 若要了解详细信息,请参阅 虚拟网络对等互连。
与本地资源通信
可以使用以下任一选项将本地计算机和网络连接到virtual network:
点到站点虚拟专用网络(VPN):在您的网络中,虚拟网络与单个计算机之间建立连接。 要与virtual network建立连接的每台计算机都必须配置其连接。 如果您刚开始使用 Azure,或者您是开发人员,则此连接类型非常有用,因为它只需对现有网络进行少量甚至不需要更改。 计算机与virtual network之间的通信通过 Internet 上的加密隧道发送。 若要了解更多信息,请参阅关于点对站点 VPN。
站点到站点 VPN:在本地 VPN 设备与部署在虚拟网络中的 Azure VPN 网关之间建立。 此连接类型允许你授权的任何本地资源访问虚拟网络。 本地 VPN 设备和Azure VPN gateway之间的通信通过 Internet 上的加密隧道发送。 若要了解更多信息,请参阅站点到站点 VPN。
Azure ExpressRoute:通过 ExpressRoute 合作伙伴在网络和Azure之间建立。 此连接是专用的。 流量不经过 Internet。 若要了解详细信息,请参阅 Azure ExpressRoute 是什么?
筛选网络流量
可使用以下两个选项中任意一个或同时使用这两个选项筛选子网之间的网络流量:
网络安全组:网络安全组和应用程序安全组可以包含多个入站和出站安全规则。 使用这些规则,你可以按源和目标 IP 地址、端口和协议筛选进出资源的流量。 要了解详细信息,请参阅网络安全组和应用程序安全组。
网络虚拟设备:网络虚拟设备是执行网络功能的虚拟机,例如防火墙或 WAN 优化。 若要查看可在virtual network中部署的可用网络虚拟设备的列表,请转到 Azure Marketplace。
路由网络流量
默认情况下,Azure在子网、连接的虚拟网络、本地网络和 Internet 之间路由流量。 可以实现以下任一或两个选项来替代Azure创建的默认路由:
路由表:可创建自定义路由表,它可对每个子网控制流量路由到的位置。
边界网关协议(BGP)路由 :如果您将虚拟网络使用Azure VPN 网关 或ExpressRoute 连接到本地网络,您可以将本地 BGP 路由传播到虚拟网络。
与 Azure 服务集成
将 Azure 服务与 Azure 虚拟网络集成后,可以从虚拟网络中的虚拟机或计算资源专用访问该服务。 可为此集成使用以下选项:
将服务的专用实例部署到virtual network。 然后,可以在virtual network和本地网络中私下访问这些服务。
使用 Azure Private Link 从您的虚拟网络和本地网络专用访问该服务的特定实例。
通过将虚拟网络扩展到服务,使用公共终结点访问服务。 服务终结点允许将服务资源安全连接到虚拟网络。
限制
可以部署的Azure资源数有限制。 大多数Azure网络限制都处于最大值。 但是,可以增加某些网络限制。 有关详细信息,请参阅 网络限制。
虚拟网络和可用性区域
虚拟网络和子网覆盖一个区域中的所有可用区。 您无需将它们按可用区进行划分来适应区域资源。 例如,如果配置区域 VM,则在为 VM 选择可用性区域时无需考虑虚拟网络。 对于其他区域性资源也是如此。
定价
使用Azure Virtual Network不收取任何费用。 是免费的。 标准费用适用于 VM 和其他产品等资源。 若要了解详细信息,请参阅 Virtual Network 定价和 Azure pricing calculator。
后续步骤
开始使用虚拟网络,请先创建一个虚拟网络,将一些虚拟机部署到该网络中,并实现虚拟机之间的通信。 若要了解如何做,请参阅使用 Azure portal 创建虚拟网络快速入门。