将专用 Azure 服务部署到虚拟网络
在虚拟网络中部署专用 Azure 服务时,可通过专用 IP 地址与服务资源进行私密通信。
在虚拟网络中部署服务可提供以下功能:
虚拟网络内的资源可以通过专用 IP 地址彼此进行私密通信。 例如,在虚拟网络中,在虚拟机上运行的 HDInsight 与 SQL Server 之间可直接传输数据。
本地资源可通过站点到站点 VPN(VPN 网关)或 ExpressRoute 使用专用 IP 地址访问虚拟网络中的资源。
虚拟网络可使用专用 IP 地址进行对等互连,实现虚拟网络中资源之间的彼此通信。
服务实例部署在虚拟网络的子网中。 根据服务提供的指南,必须通过网络安全组对子网开放入站和出站网络访问。
某些服务会对它们部署在其中的子网施加限制。 此限制会限制策略、路由或同一子网内组合 VM 和服务资源的应用。 检查每个服务的特定限制,因为它们可能会随时间而改变。 服务的示例包括 Azure 容器实例和应用服务。
(可选)服务可能需要一个委派子网作为显式标识符,用于表示子网可承载特定服务。 通过委派,服务会收到在受委派子网中创建服务特定资源的显式权限。
如需 REST API 响应的示例,请参阅包含委托子网的虚拟网络。 可以通过可用委托 API 获得一个内容广泛的列表,其中包含的服务使用委托子网模型。
可部署到虚拟网络中的服务
| 类别 | 服务 | 专用1 子网 |
|---|---|---|
| 计算 | 虚拟机:Linux 或 Windows 虚拟机规模集 云服务:仅限虚拟网络(经典) Azure Batch |
无 无 无 否2 |
| 网络 | 应用程序网关 - WAF Azure Bastion Azure 防火墙 ExpressRoute 网关 网络虚拟设备 VPN 网关 |
是 是 是 是 无 是 |
| 数据 | RedisCache Azure SQL 托管实例 Azure Database for MySQL - 灵活服务器 Azure Database for PostgreSQL - 灵活服务器 |
是 是 是 是 |
| 分析 | Azure HDInsight Azure Databricks |
否2 否2 |
| 标识 | Microsoft Entra 域服务 | 无 |
| 容器 | Azure Kubernetes 服务 (AKS) Azure 容器实例 (ACI) 带有 Azure 虚拟网络 CNI 插件的 Azure 容器服务引擎 Azure Functions |
否2 是 无 是 |
| Web | API 管理 Web 应用 应用服务环境 |
是 是 是 |
| Azure Spring Apps | 在 Azure 虚拟网络中部署(VNet 注入) |
是 |
1“专用”表示只能在此子网中部署服务专用资源,并且不能将其与客户 VM/VMSS 组合使用
2 建议的最佳做法是将这些服务置于专用子网中,但这并非服务的强制要求。