通过

什么是 Azure 虚拟网络?

  • 项目

Azure 虚拟网络是为 Azure 中的专用网络提供基础构建基块的服务。 借助服务实例(即虚拟网络),多种类型的 Azure 资源可以在彼此之间,以及与 Internet 和本地网络之间安全通信。 这些 Azure 资源包括虚拟机 (VM)。

虚拟网络类似于你在自己的数据中心内运行的传统网络。 但它带来了 Azure 基础结构的其他好处,如缩放、可用性和隔离性。

为什么要使用 Azure 虚拟网络?

使用虚拟网络可以完成的主要情况包括:

  • Azure 资源与 Internet 的通信。

  • Azure 资源之间的通信。

  • 与本地资源的通信。

  • 网络流量筛选。

  • 网络流量路由。

  • 与 Azure 服务的集成。

与 Internet 通信

默认情况下,虚拟网络中的所有资源都可以与 Internet 进行出站通信。 还可以使用公共 IP 地址NAT 网关公共负载均衡器来管理出站连接。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。

仅使用内部标准负载均衡器时,在定义出站连接如何与实例级公共 IP 地址或公共负载均衡器配合使用之前,出站连接不可用。

在 Azure 资源之间通信

Azure 资源通过以下方式之一安全地相互通信:

  • 虚拟网络:可以将 VM 和其他类型的 Azure 资源部署到虚拟网络中。 资源示例包括应用服务环境、Azure Kubernetes 服务 (AKS) 和 Azure 虚拟机规模集。 若要查看可在虚拟网络中部署的 Azure 资源的完整列表,请参阅将专用 Azure 服务部署到虚拟网络

注释

若要将虚拟机从一个虚拟网络移到另一个虚拟网络,必须在新的虚拟网络中删除并重新创建虚拟机。 可以保留虚拟机的磁盘,以便在新虚拟机中使用。

  • 虚拟网络服务终结点:可以通过直接连接将虚拟网络专用地址空间和虚拟网络标识扩展到 Azure 服务资源。 资源示例包括 Azure 存储帐户和 Azure SQL 数据库。 使用服务终结点可以将关键的 Azure 服务资源限制为只可访问特定虚拟网络,从而进行保护。 若要了解详细信息,请参阅虚拟网络服务终结点

  • 虚拟网络对等互联:可以使用虚拟对等互连将虚拟网络互相连接。 任一虚拟网络中的资源随后都可以相互通信。 连接的虚拟网络可以在相同或不同的 Azure 区域中。 有关详细信息,请参阅虚拟网络对等互连

与本地资源通信

可使用以下任何选项将本地计算机和网络连接到虚拟网络:

  • 点到站点虚拟专用网络(VPN):在虚拟网络和网络中的单台计算机之间建立。 要与虚拟网络建立连接的每台计算机都必须配置其连接。 这种连接类型适用于刚开始使用 Azure 的人员或开发人员,因为该连接类型仅需对现有网络作出极少更改或不做任何更改。 计算机与虚拟网络之间的通信通过 Internet 的加密隧道发送。 若要了解更多信息,请参阅关于点对站点 VPN

  • 站点到站点 VPN:在本地 VPN 设备和虚拟网络中部署的 Azure VPN 网关之间建立连接。 此连接类型可使授权的任何本地资源访问虚拟网络。 本地 VPN 设备和 Azure VPN 网关之间的通信通过 Internet 上的加密隧道发送。 若要了解更多信息,请参阅站点到站点 VPN

  • Azure ExpressRoute: 通过 ExpressRoute 合作伙伴在网络和 Azure 之间建立连接。 此连接是专用的。 流量不经过 Internet。 若要了解详细信息,请参阅 Azure ExpressRoute 是什么?

筛选网络流量

可使用以下两个选项中任意一个或同时使用这两个选项筛选子网之间的网络流量:

  • 网络安全组:网络安全组和应用程序安全组可以包含多个入站和出站安全规则。 使用这些规则,你可以按源和目标 IP 地址、端口和协议筛选进出资源的流量。 要了解详细信息,请参阅网络安全组应用程序安全组

  • 虚拟网络设备:虚拟网络设备是可执行网络功能(例如防火墙、WAN 优化)的 VM。 若要查看可在虚拟网络中部署的网络虚拟设备,请转到 Azure 市场

路由网络流量

默认情况下,Azure 在子网、连接的虚拟网络、本地网络以及 Internet 之间路由流量。 可使用以下两个选项中任意一个或同时使用二者替代 Azure 创建的默认路由:

  • 路由表:可创建自定义路由表,它可对每个子网控制流量路由到的位置。

  • 边界网关协议 (BGP) 路由:如果使用 Azure VPN 网关ExpressRoute 连接将虚拟网络连接到本地网络,则可将本地 BGP 路由传播到虚拟网络。

与 Azure 服务集成

通过将 Azure 服务与 Azure 虚拟网络集成,可从虚拟机或虚拟网络中的计算资源私密访问服务。 可为此集成使用以下选项:

  • 服务的专用实例部署到虚拟网络中。 然后,可以在虚拟网络和本地网络中私下访问这些服务。

  • 使用 Azure 专用链接以专用方式从你的虚拟网络和本地网络访问服务的特定实例。

  • 通过服务终结点将虚拟网络扩展到服务,通过公共终结点访问服务。 服务终结点可使服务资源在虚拟网络中得到保护。

限制

可部署的 Azure 资源数存在限制。 大多数 Azure 网络限制设置在最大值。 但是,可以提高某些网络限制。 有关详细信息,请参阅网络限制

虚拟网络和可用性区域

虚拟网络和子网跨越一个区域中的所有可用性区域。 无需按可用性区域来划分它们以容纳区域性资源。 例如,如果你配置了一个区域 VM,则在为该 VM 选择可用性区域时,无需考虑虚拟网络。 对于其他区域性资源也是如此。

定价

使用 Azure 虚拟网络无需付费。 是免费的。 标准费用适用于 VM 和其他产品等资源。 有关详细信息,请参阅虚拟网络定价和 Azure 定价计算器

后续步骤