计划虚拟网络
创建用于试验的虚拟网络非常简单,但却可能是,会在一段时间内部署多个虚拟网络以支持组织的生成需要。 通过进行一些规划,可以更有效地部署虚拟网络和连接所需的资源。 如果已熟悉虚拟网络并具有一定的使用经验,本文中的信息将非常有用。 如果不熟悉虚拟网络,建议阅读虚拟网络概述。
命名
所有 Azure 资源都有名称。 该名称在一个范围内必须是唯一的,但每种资源类型可能会有所不同。 例如,虚拟网络的名称在资源组内必须是唯一的,但可在订阅或 Azure 区域内使用重复名称。 当一段时间内管理多个网络资源时,定义命名资源时可一致使用的命名约定很有用。 有关建议,请参阅命名约定。
区域
在 Azure 区域和订阅中创建所有 Azure 资源。 只能在与资源位于相同区域和订阅的虚拟网络中创建资源。 但可连接存在于不同订阅和区域中的虚拟网络。 有关详细信息,请参阅连接性。 在决定要在哪个区域部署资源时,请考虑资源的使用者位于何处:
- 是否有数据驻留、主权、符合性或复原能力需求? 如果有,选择符合需求的区域至关重要。 有关详细信息,请参阅Azure 地域。
- 是否需要在部署资源的相同 Azure 区域内跨 Azure 可用性区域提供复原能力? 可将资源(如虚拟机 (VM))部署到相同虚拟网络中的不同可用性区域。 但并非所有 Azure 区域都支持可用性区域。
订阅
可根据需要在每个订阅中部署尽可能多的虚拟网络,直至达到上限。 例如,一些组织的不同部门有不同的订阅。
分段
可为每个订阅和每个区域创建多个虚拟网络。 可在每个虚拟网络中创建多个子网。 以下注意事项可帮助确定需要多少个虚拟网络和子网:
虚拟网络
虚拟网络是 Azure 公共网络的虚拟隔离部分。 每个虚拟网络专用于你的订阅。 决定在一个订阅中创建一个虚拟网络还是多个虚拟网络时,请考虑以下几点:
- 是否存在将流量隔离到单独的虚拟网络中的组织安全需求? 可选择连接或不连接虚拟网络。 如果连接虚拟网络,则可实施网络虚拟设备(如防火墙)来控制虚拟网络之间的流量流。 有关详细信息,请参阅安全性和连接性。
- 是否存在将虚拟网络隔离到单独的订阅或区域的组织需求?
- 是否有网络接口要求? 网络接口使 VM 能够与其他资源进行通信。 可为每个网络接口分配一个或多个专用 IP 地址。 虚拟网络中需要多少个网络接口和专用 IP 地址? 在虚拟网络中可以拥有的网络接口和专用 IP 地址数有上限。
- 是否要将虚拟网络连接到其他虚拟网络或本地网络? 可选择将某些虚拟网络互相连接或连接到本地网络,而不是其他网络。 有关详细信息,请参阅连接性。 连接到另一个虚拟网络或本地网络的每个虚拟网络必须具有唯一的地址空间。 每个虚拟网络都向其地址空间分配了一个或多个公共和专用地址范围。 地址范围以无类别的 Internet 域路由 (CIDR) 格式指定,例如 10.0.0.0/16。 详细了解虚拟网络的地址范围。
- 是否对不同虚拟网络中的资源有任何组织管理需求? 如果有,可将资源分隔到单独的虚拟网络中,以简化组织中个体的权限分配,或将不同的策略分配给不同的虚拟网络。
- 是否对可以创建自己的虚拟网络的资源有要求? 将某些 Azure 服务资源部署到虚拟网络时,他们将创建自己的虚拟网络。 若要确定 Azure 服务是否创建自己的虚拟网络,请参阅每个可部署到虚拟网络中的 Azure 服务的信息。
子网
可将虚拟网络分段为一个或多个子网,直至达到上限。 决定在一个订阅中创建一个子网还是多个虚拟网络时,请考虑以下几点:
- 在虚拟网络的地址空间内,每个子网必须具有唯一的地址范围,且以 CIDR 格式指定。 地址范围不能与虚拟网络中的其他子网重叠。
- 请注意,如果计划将某些 Azure 服务资源部署到虚拟网络中,则他们可能需要或创建自己的子网。 必须有足够的未分配空间才能进行此操作。 若要确定 Azure 服务是否创建自己的子网,请参阅每个可部署到虚拟网络中的 Azure 服务的信息。 例如,如果使用 Azure VPN 网关将虚拟网络连接到本地网络,虚拟网络必须具有该网关的专用子网。 详细了解网关子网。
- 可替代虚拟网络中所有子网之间网络流量的默认路由。 例如,你希望阻止 Azure 在子网之间进行路由,或你希望通过网络虚拟设备路由子网之间的流量。 如果要求相同虚拟网络中资源之间的流量流经网络虚拟设备 (NVA),请将资源部署到不同的子网。 有关详细信息,请参阅安全性。
- 可将对 Azure 资源(例如 Azure 存储帐户或 Azure SQL 数据库)的访问权限限制为具有虚拟网络服务终结点的特定子网。 还可拒绝通过 Internet 访问资源。 可创建多个子网,并为某些子网启用服务终结点,但不启用其他项。 详细了解服务终结点,以及可为其启用的 Azure 资源。
- 可将零个或一个网络安全组与虚拟网络中的每个子网相关联。 可将相同或不同的网络安全组关联到每个子网。 每个网络安全组都包含规则,允许或拒绝到达和来自源和目标的流量。 详细了解网络安全组。
安全性
可以使用网络安全组和网络虚拟设备来筛选虚拟网络中到达或来自资源的流量。 可控制 Azure 如何路由来自子网的流量。 还可限制组织中的人员使用虚拟网络中的资源。
流量筛选
可使用网络安全组和/或筛选流量的 NVA 来筛选虚拟网络中资源之间的流量。 要部署 NVA(如防火墙)来筛选流量,请参阅 Azure 市场。 使用 NVA 时,还可以创建自定义路由将流量从子网路由到 NVA。 详细了解流量路由。
网络安全组包含多个默认安全规则,允许或拒绝到达或来自资源的流量。 可将网络安全组关联到网络接口和/或网络接口所在的子网。 若要简化安全规则的管理,建议尽可能将网络安全组与单独的子网相关联,而不是与子网内单独的网络接口相关联。
如果子网中不同 VM 需要应用不同的安全规则,则可将 VM 中的网络接口与一个或多个应用程序安全组相关联。 安全规则可以在其源和/或目标中指定应用程序安全组。 该规则仅适用于属于应用程序安全组成员的网络接口。 详细了解网络安全组和应用程序安全组。
当网络安全组在子网级别关联时,它将应用于子网中所有网络接口控制,而不只是应用到来自子网外部的流量。 子网中包含的 VM 之间的流量也可能受到影响。
Azure 在每个网络安全组中创建了多个默认安全规则。 其中一个默认规则允许所有流量在虚拟网络中的所有资源之间流动。 若要替代此行为,可使用网络安全组和/或自定义路由将流量路由到 NVA。 建议熟悉 Azure 的所有默认安全规则,并了解网络安全组规则如何应用于资源。
流量路由
Azure 为子网中的出站流量创建多个默认路由。 可通过创建路由表并将其关联到子网来替代 Azure 的默认路由。 替代 Azure 的默认路由的常见原因是:
- 希望子网之间的流量流经 NVA。 了解如何配置路由表以强制流量通过 NVA 的详细信息。
- 你想要通过 Azure VPN 网关强制所有 Internet 绑定流量通过 NVA 或本地。 强制 Internet 流量本地进行检查和记录通常被称为强制隧道。 详细了解如何配置强制隧道。
如果需要实施自定义路由,建议熟悉 Azure 中的路由。
连接
可使用虚拟网络对等将虚拟网络连接到其他虚拟网络,或使用 Azure VPN 网关将其连接到本地网络。
对等互连
使用虚拟网络对等时,虚拟网络可位于相同的或不同的受支持 Azure 区域中。 虚拟网络可位于相同或不同的 Azure 订阅中(即使订阅属于不同的 Microsoft Entra 租户)。
建立对等之前,建议熟悉所有对等需求和约束。 同一区域的对等互连虚拟网络中的资源之间的带宽与资源在同一虚拟网络中的带宽相同。
VPN 网关
可通过站点到站点 VPN 或与 Azure ExpressRoute 的专用连接,使用 Azure VPN 网关将虚拟网络连接到本地网络。
名称解析
虚拟网络中的资源无法使用 Azure 的内置域名服务 (DNS),解析对等虚拟网络中的资源名称。 若要在对等的虚拟网络中解析名称,请部署自己的 DNS 服务器或使用 Azure DNS 专用域。 在虚拟网络和本地网络的资源之间解析名称也需要部署自己的 DNS 服务器。
权限
Azure 对资源使用 Azure 基于角色的访问控制 (Azure RBAC)。 权限将分配到以下层次结构中的范围:管理组、订阅、资源组和单个资源。 若要了解层次结构的详细信息,请参阅组织资源。 若要使用 Azure 虚拟网络及其所有相关功能(例如对等、网络安全组、服务终结点和路由表),可将组织的成员分配到内置所有者、参与者或网络参与者角色,然后将该角色分配到相应的范围。 如果要为虚拟网络功能的子集分配特定权限,请创建自定义角色并为该角色分配虚拟网络、子网和服务终结点、网络接口对等、网络和应用程序安全组或路由表所需的特定权限。
策略
通过 Azure Policy,可创建、分配和管理策略定义。 策略定义将在整个资源中强制实施不同的规则,使资源符合组织标准和服务级别协议。 Azure Policy 对资源执行评估。 它将扫描不符合你所拥有的策略定义的资源。
例如,可以定义并应用只允许在特定资源组或区域中创建虚拟网络的策略。 另一个策略可能要求每个子网都有一个与之关联的网络安全组。 然后,在创建和更新资源时评估此策略。
策略将应用于以下层次结构:管理组、订阅和资源组。 了解有关 Azure Policy 或部署某些虚拟网络 Azure Policy 定义的详细信息。
相关内容
了解以下对象的所有任务、设置和选项: