Azure 虚拟网络概念和最佳做法

本文介绍 Azure 虚拟网络的主要概念和最佳做法。

虚拟网络概念

  • 地址空间:在创建虚拟网络时,必须使用公共和专用 (RFC 1918) 地址指定自定义专用 IP 地址空间。 Azure 从分配的地址空间中向虚拟网络中的资源分配一个专用 IP 地址。 例如,如果在地址空间为 10.0.0.0/16 的 VNet 中部署 VM,将为该 VM 分配类似于 10.0.0.4 的专用 IP。

  • 子网:使用子网可将虚拟网络划分为一个或多个子网络,并向每个子网分配一部分虚拟网络地址空间。 然后,可以在特定的子网中部署 Azure 资源。 就像在传统网络中一样,使用子网可将虚拟网络地址空间划分为适合组织内部网络的网段。 分段可提高地址分配效率。 可以使用网络安全组保护子网中的资源。 有关详细信息,请参阅网络安全组

  • 区域:一个虚拟网络的范围限定为单个区域/位置;但可以使用虚拟网络对等互连将不同区域的多个虚拟网络连接起来。

  • 订阅:虚拟网络的范围限定为订阅。 可在每个 Azure 订阅和 Azure 区域中实现多个虚拟网络。

最佳实践

在 Azure 中构建网络时,必须记住以下通用设计原则:

  • 确保地址空间不会重叠。 确保虚拟网络地址空间(CIDR 块)不会与组织的其他网络范围重叠。

  • 子网不应涵盖虚拟网络的整个地址空间。 提前规划,为将来留出一些地址空间。

  • 建议使用少量大型虚拟网络,而不是使用多个小型虚拟网络,以防止管理开销。

  • 通过将网络安全组 (NSG) 分配给虚拟网络下的子网来保护虚拟网络。 有关网络安全概念的详细信息,请参阅 Azure 网络安全概述

后续步骤

若要使用虚拟网络来入门,请先创建一个虚拟网络,向其部署一些 VM,然后在 VM 之间通信。 有关详细信息,请参阅创建虚拟网络快速入门。