添加、更改或删除虚拟网络子网
虚拟网络中的所有 Azure 资源都部署到虚拟网络内的子网中。 此文章说明如何使用 Azure 门户、Azure CLI 或 Azure PowerShell 添加、更改或删除虚拟网络子网。
先决条件
- 具有活动订阅的 Azure 帐户。 创建试用帐户。
- 现有 Azure 虚拟网络。 要创建虚拟网络,请参阅快速入门:使用 Azure 门户创建虚拟网络。
- 要运行过程,请使用 Azure 帐户登录到 Azure 门户。
权限
若要在子网上执行任务,必须将帐户分配给网络参与者角色,或分配给在以下列表中分配了适当操作的自定义角色:
| 操作 | 名称 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 读取虚拟网络子网。 |
| Microsoft.Network/virtualNetworks/subnets/write | 创建或更新虚拟网络子网。 |
| Microsoft.Network/virtualNetworks/subnets/delete | 删除虚拟网络子网。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 加入虚拟网络。 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | 为子网启用服务终结点。 |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 获取子网中的虚拟机。 |
添加子网
- 在 Azure 门户中,搜索并选择“虚拟网络”。
- 在“虚拟网络”页上,选择要向其添加子网的虚拟网络。
- 在“虚拟网络”页上,从左侧导航中选择“子网”。
- 在“子网”页中,选择“+ 子网”。
- 在“添加子网”屏幕上,输入或选择子网设置的值。
- 选择“保存”。
可以为子网配置以下设置:
| 设置 | 说明 |
|---|---|
| 名称 | 名称在虚拟网络中必须唯一。 为了最大限度地与其他 Azure 服务兼容,请使用字母作为名称的第一个字符。 例如,Azure 应用程序网关无法部署到名称以数字开头的子网中。 |
| 子网地址范围 | 范围在地址空间内必须是唯一的,并且不能与虚拟网络中的其他子网地址范围重叠。 必须使用无类别域际路由选择 (CIDR) 表示法指定地址空间。 例如,在地址空间为 10.0.0.0/16 的虚拟网络中,可将子网地址空间定义为 10.0.0.0/22 10.0.0.0/1610.0.0.0/22。 可以指定的最小范围为 /29,为子网提供八个 IP 地址。 Azure 为协议一致性保留每个子网中的第一个和最后一个地址,并为 Azure 服务使用量保留另外三个地址。 因此,定义具有 /29 地址范围的子网会在子网中提供三个可用的 IP 地址。如果打算将虚拟网络连接到虚拟专用网 (VPN) 网关,必须创建网关子网。 有关详细信息,请参阅网关子网。 |
| 添加 IPv6 地址空间 | 可以通过添加现有的 IPv6 地址空间来创建双协议栈虚拟网络(支持 IPv4 和 IPv6)。 目前,并非 Azure 中的所有服务都完全支持 IPv6。 有关更多信息,请参阅适用于 Azure 虚拟网络的 IPv6 概述 |
| 专用子网 | 将子网设置为专用可防止对子网中创建的任何虚拟机使用默认出站访问。 此功能以预览版提供。 |
| NAT 网关 | 若要为子网上的资源提供网络地址转换 (NAT),可以将现有 NAT 网关与子网相关联。 NAT 网关必须存在于与虚拟网络相同的订阅和位置。 有关更多信息,请参阅虚拟网络 NAT 和快速入门:使用 Azure 门户创建 NAT 网关。 |
| 网络安全组 | 要筛选子网的入站和出站网络流量,可以将现有网络安全组 (NSG) 关联到子网。 NSG 必须存在于与虚拟网络相同的订阅和位置。 有关详细信息,请参阅网络安全组和教程:使用 Azure 门户通过网络安全组筛选网络流量。 |
| 路由表 | 要控制到其他网络的流量路由,可以选择将现有路由表与子网相关联。 路由表必须与虚拟网络位于同一订阅和位置中。 有关更多信息,请参阅虚拟网络流量路由和教程:使用 Azure 门户通过路由表路由流量。 |
| 服务终结点 | 可以选择为子网启用一个或多个服务终结点。 要在门户子网设置期间为服务启用服务端点,请从“服务”下的弹出列表中选择要使用服务终结点的一个或多个服务。 Azure 会自动配置终结点的位置。 要移除服务终结点,请取消选择要移除其服务终结点的服务。 有关详细信息,请参阅虚拟网络服务终结点。 默认情况下,Azure 会为虚拟网络所在的区域配置服务终结点。 为了支持区域故障转移方案,Azure 会将终结点自动配置到 Azure 存储的 Azure 配对区域。 启用服务终结点后,还必须为服务创建的资源启用子网访问。 例如,如果启用的服务终结点Microsoft.Storage,还必须启用到你想要授予对网络访问权限的所有 Azure 存储帐户的网络访问权限。 要启用对已启用服务终结点的子网的网络访问,请参阅各个服务的文档。 要验证是否为某个子网启用了服务终结点,请查看有效路由,获取该子网中的任何网络接口。 配置端点时,会看到带有服务地址前缀的默认路由,以及下一跃点类型为 VirtualNetworkServiceEndpoint。 有关详细信息,请参阅虚拟网络流量路由。 |
| 子网委派 | 可以选择为一个子网启用一个或多个委派。 子网委派为服务提供了显式权限,以便在服务部署期间使用唯一标识符在子网中创建服务专属资源。 若要在门户子网设置期间委托服务,请从弹出列表中选择要委托的服务。 |
更改子网设置
- 在 Azure 门户中,搜索并选择“虚拟网络”。
- 在“虚拟网络”页面上,选择要更改其子网设置的虚拟网络。
- 在虚拟网络的页面上,从左侧导航中选择“子网”。
- 在“子网”页面上,选择要更改设置的子网。
- 在子网屏幕上,更改子网设置,然后选择“保存”。
创建子网后,可以更改以下子网设置:
| 设置 | 描述 |
|---|---|
| 子网地址范围 | 如果没有资源部署在子网内,可以更改地址范围。 如果子网中存在的任何资源,必须首先将资源移到另一个子网,或从子网中删除它们。 删除资源所采取的步骤因资源而异。 若要了解如何移动或删除子网中的资源,请阅读其中每个资源类型的文档。 |
| 添加 IPv6 地址空间、NAT 网关、网络安全组和路由表 | 可以在创建子网后添加 IPv6、NAT 网关、NSG 或路由表支持。 |
| 服务终结点 | 要为现有子网启用服务终结点,请确保子网中的任何资源上都没有运行关键任务。 服务终结点在子网中的每个网络接口上切换路由。 服务终结点从使用具有 0.0.0.0/0 地址前缀和下一个跃点类型为 Internet 的默认路由更改为使用具有服务地址前缀和下一个跃点类型为 VirtualNetworkServiceEndpoint 的新路由。切换过程中,可能会终止任何打开的 TCP 连接。 直到流向所有网络接口的服务流量都用新路由更新后,才会启用服务终结点。 有关详细信息,请参阅虚拟网络流量路由。 |
| 子网委派 | 可以修改子网委派以启用零委派或多委派。 如果服务的资源已部署在子网中,则在移除服务的所有资源之前,无法添加或移除子网委派。 要委派门户中的其他服务,请从弹出列表中选择要委派的服务。 |
删除子网
仅当子网中无任何资源时,才可删除该子网。 如果子网中存在资源,则必须先删除这些资源,才能删除该子网。 删除资源所采取的步骤因资源而异。 要了解如何删除资源,请参阅每种资源类型的文档。
- 在 Azure 门户中,搜索并选择“虚拟网络”。
- 在“虚拟网络”页面上,选择要从中删除子网的虚拟网络。
- 在虚拟网络的页面上,从左侧导航中选择“子网”。
- 在“子网”页面上,选择要删除的子网。
- 选择“删除”,然后在确认对话框中选择“是”。