Azure 网络服务概述

  • 项目

Azure 中的网络服务提供了可以搭配使用或单独使用的各种网络功能。 请选择以下任一重要功能来了解更多相关信息:

  • 连接服务:使用 Azure 中的以下任一网络服务或这些服务的组合来连接 Azure 资源和本地资源:虚拟网络 (VNet)、虚拟 WAN、ExpressRoute、VPN 网关、NAT 网关、Azure DNS、对等互连服务、Azure Virtual Network Manager、路由服务器和 Azure Bastion。
  • 应用程序保护服务:在 Azure 中使用以下网络服务中的任意一项服务或其组合来保护应用程序:负载均衡器、专用链接、DDoS 防护、防火墙、网络安全组、Web 应用程序防火墙和虚拟网络终结点。
  • 应用程序分发服务:使用 Azure 中的以下任一网络服务或其组合在 Azure 网络中分发应用程序 - 内容分发网络 (CDN)、Azure Front Door 服务、流量管理器、应用程序网关、Internet 分析器和负载均衡器。
  • 网络监视:使用 Azure 中的以下任一网络服务或其组合来监视网络资源 - 网络观察程序、ExpressRoute 监视器、Azure Monitor 或 VNet 终端接入点 (TAP)。

连接服务

本部分介绍用于在 Azure 资源之间提供连接、提供从本地网络到 Azure 资源的连接,以及在 Azure 中提供分支到分支连接的服务 - 虚拟网络 (VNet)、ExpressRoute、VPN 网关、虚拟 WAN、虚拟网络 NAT 网关、Azure DNS、对等互连服务、路由服务器和 Azure Bastion。

虚拟网络

Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基础构建基块。 使用 VNet 可以:

  • Azure 资源之间的通信:可以将虚拟机和多个其他类型的 Azure 资源(例如 Azure 应用服务环境、Azure Kubernetes 服务 (AKS) 和 Azure 虚拟机规模集)部署到虚拟网络。 若要查看可部署到虚拟网络的 Azure 资源的完整列表,请参阅虚拟网络服务集成
  • 相互通信:可以互相连接虚拟网络,使虚拟网络中的资源能够通过虚拟网络对等互连或 Azure Virtual Network Manager 相互进行通信。 连接的虚拟网络可以在相同或不同的 Azure 区域中。 有关详细信息,请参阅虚拟网络对等互连
  • 与 Internet 通信:默认情况下,VNet 中的所有资源都可以与 Internet 进行出站通信。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。 还可以使用公共 IP 地址或公共负载均衡器来管理出站连接。
  • 与本地网络通信:可以使用 VPN 网关ExpressRoute 将本地计算机和网络连接到虚拟网络。

ExpressRoute

使用 ExpressRoute 可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Azure 云。 此连接是专用连接。 流量不经过 Internet。 使用 ExpressRoute 可与 Azure、Microsoft 365 和 Dynamics 365 等 Microsoft 云服务建立连接。

Azure ExpressRoute

VPN 网关

VPN 网关可帮助你创建从本地位置到虚拟网络的加密跨界连接,或者在 VNet 之间创建加密连接。 VPN 网关连接可以使用不同的配置。 一些主要功能包括:

  • 站点到站点 VPN 连接
  • 点到站点 VPN 连接
  • VNet 到 VNet VPN 连接

下图演示了与同一虚拟网络建立的多个站点到站点 VPN 连接。 若要查看更多连接图,请参阅 VPN 网关 - 设计

显示多个站点到站点 Azure VPN 网关连接的示意图。

虚拟 WAN

Azure 虚拟 WAN 是一项网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 通过使用虚拟网络连接建立与 Azure VNet 的连接。 一些主要功能包括:

  • 分支连接性(使用来自 SD-WAN 或 VPN CPE 等虚拟 WAN 合作伙伴设备的连接性自动化)
  • 站点到站点 VPN 连接
  • 远程用户 VPN 连接性(点到站点)
  • 专用连接性 (ExpressRoute)
  • 云间连接(虚拟网络的可传递连接)
  • VPN ExpressRoute 互连
  • 专用连接性的路由、Azure 防火墙和加密

Virtual WAN 示意图。

Azure DNS

Azure DNS 使用 Azure 基础结构提供 DNS 托管和解析。 Azure DNS 由三个服务组成:

  • Azure 公共 DNS 是 DNS 域的托管服务。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、API、工具和计费来管理 DNS 记录。
  • Azure 专用 DNS 是面向虚拟网络的 DNS 服务。 Azure 专用 DNS 可管理并解析虚拟网络中的域名,使你无需配置自定义 DNS 解决方案。

使用 Azure DNS,可以托管和解析公共域,管理虚拟网络中的 DNS 解析,并在 Azure 与本地资源之间启用名称解析。

Azure Bastion

Azure Bastion 是一项可部署的服务,可让你通过浏览器和 Azure 门户或通过已安装在本地计算机上的原生 SSH 或 RDP 客户端连接到虚拟机。 Azure Bastion 服务是的一种完全平台管理的 PaaS 服务,可在虚拟网络中进行部署。 可通过 TLS 直接从 Azure 门户实现与虚拟机之间的安全无缝的 RDP/SSH 连接。 通过 Azure Bastion 连接时,虚拟机不需要公共 IP 地址、代理或特殊的客户端软件。

显示 Azure Bastion 体系结构的示意图。

NAT 网关

虚拟网络 NAT(网络地址转换)简化了虚拟网络的仅限出站 Internet 连接。 在子网中配置后,所有出站连接将使用指定的静态公共 IP 地址。 无需使用负载均衡器或将公共 IP 地址直接附加到虚拟机,即可建立出站连接。 有关详细信息,请参阅什么是虚拟网络 NAT 网关?

虚拟网络 NAT 网关

路由服务器

Azure 路由服务器简化了网络虚拟设备 (NVA) 与虚拟网络之间的动态路由。 利用此方式,可以在 Azure 虚拟网络 (VNet) 中任何支持 BGP 路由协议的 NVA 与 Azure 软件定义的网络 (SDN) 之间,直接通过“边界网关协议 (BGP)”路由协议交换路由信息,而无需手动配置或维护路由表。 有关详细信息,请参阅什么是 Azure 路由服务器?

应用程序保护服务

本部分介绍 Azure 中的网络服务,这些服务可帮助保护网络资源 - 在 Azure 中使用以下网络服务中的任意一项服务或其组合来保护应用程序:DDoS 防护、专用链接、防火墙、Web 应用程序防火墙、网络安全组和虚拟网络服务终结点。

使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。 虚拟网络与服务之间的流量将通过 Azure 主干网络。 不再需要向公共 Internet 公开服务。 可以在虚拟网络中创建自己的专用链接服务,并将其交付给客户。

专用终结点概述

Azure 防火墙

Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 使用 Azure 防火墙可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。

防火墙概述

Web 应用程序防火墙

Azure Web 应用程序防火墙 (WAF) 为 Web 应用程序提供保护,使其免受 SQL 注入、跨站点脚本等常见 Web 攻击和漏洞的影响。 Azure WAF 通过托管的规则针对 OWASP 识别出的 10 大漏洞提供现成保护。 此外,客户还可以配置自定义规则(客户管理的规则),用于根据源 IP 范围,以及标头、Cookie、表单数据字段或查询字符串参数等请求属性提供额外的保护。

客户可以选择部署具有应用程序网关的 Azure WAF,以便为公共和专用地址空间中的实体提供区域性保护。 客户还可以选择部署配备 Front Door 的 Azure WAF,提供网络边缘到公共终结点的保护。

Web 应用程序防火墙

网络安全组

可以使用网络安全组来筛选 Azure 虚拟网络中出入 Azure 资源的网络流量。 有关详细信息,请参阅网络安全组

服务终结点

虚拟网络 (VNet) 服务终结点可通过直接连接,将 VNet 的虚拟网络专用地址空间和标识扩展到 Azure 服务。 使用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 从 VNet 发往 Azure 服务的流量始终保留在 Azure 主干网络中。

虚拟网络服务终结点

应用程序分发服务

本部分介绍 Azure 中有助于交付应用程序的网络服务 - 内容分发网络、Azure Front Door 服务、流量管理器、负载均衡器和应用程序网关。

Azure Front Door

在 Azure Front Door 中可以进行优化以实现最佳性能以及进行即时全球故障转移以实现高可用性,并以此定义、管理和监视 Web 流量的全局路由。 使用 Front Door,可将全球(多区域)消费型和企业应用程序转化成可靠、高性能、个性化的现代应用程序、API 和内容,供 Azure 全球受众访问。

包含 Web 应用程序防火墙的 Azure Front Door 服务关系图。

流量管理器

Azure 流量管理器。 它是基于 DNS 的流量负载均衡器,使你能够以最佳方式将流量分发给全球 Azure 区域的服务,同时提供高可用性和响应能力。 流量管理器提供一系列流量路由方法来分发流量,例如优先级、加权、性能、地理位置、多值或子网路由方法。

下图演示了流量管理器的基于终结点优先级的路由方法:

Azure 流量管理器的“优先级”流量路由方法

有关流量管理器的详细信息,请参阅什么是 Azure 流量管理器?

负载均衡器

Azure 负载均衡器为所有 UDP 和 TCP 协议提供高性能、低延迟的第 4 层负载均衡。 它管理入站和出站连接。 可以配置公共和内部负载均衡终结点。 可以定义规则,以便将入站连接映射到后端池目标,并在其中包含 TCP 和 HTTP 运行状况探测选项来管理服务的可用性。

Azure 负载均衡器提供标准、区域和网关 SKU。

下图显示了利用外部和内部负载均衡器的面向 Internet 的多层应用程序:

Azure 负载均衡器示例

应用程序网关

Azure 应用程序网关是一种 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 它是服务形式的应用程序传送控制器 (ADC),为应用程序提供各种第 7 层负载均衡功能。

下图演示了应用程序网关的基于 URL 路径的路由方法。

应用程序网关示例

内容分发网络

Azure 内容分发网络 (CDN)。 为开发人员提供了一种全球解决方案,通过将内容缓存在全球战略性部署的物理节点上,从而快速向用户交付高带宽内容。

Azure CDN

网络监视服务

本部分介绍 Azure 中有助于监视网络资源的网络服务 - Azure 网络观察程序、Azure Monitor 网络见解、Azure Monitor 和 ExpressRoute 监视器。

Azure 网络观察程序

Azure 网络观察程序提供所需的工具,用于监视、诊断 Azure 虚拟网络中的资源、查看其指标,以及为其启用或禁用日志。 有关详细信息,请参阅“什么是网络观察程序?”

Azure Monitor

Azure Monitor 提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案,可将应用程序的可用性和性能最大化。 它可以帮助你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。 有关详细信息,请参阅“Azure Monitor 概述”

ExpressRoute 监视器

若要了解如何查看 ExpressRoute 线路指标、资源日志和警报,请参阅 ExpressRoute 监视、指标和警报

网络见解

Azure 网络监视器(网络见解)。 为已部署的所有网络资源提供运行状况和指标的全面视图,并且无需任何配置。

后续步骤