什么是 Azure 虛擬網(wǎng)絡(luò)？

Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中專用網(wǎng)絡(luò)的基本構(gòu)建塊。VNet允許許多類型的Azure資源（例如Azure虛擬機(VM)）以安全方式彼此通信、與Internet通信，以及與本地網(wǎng)絡(luò)通信。VNet類似于在你在自己的數(shù)據(jù)中心運營的傳統(tǒng)網(wǎng)絡(luò)，但附帶了Azure基礎(chǔ)設(shè)施的其他優(yōu)勢，例如可伸縮性、可用性和隔離性。

VNet概念

·地址空間：創(chuàng)建VNet時，必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間。Azure從分配的地址空間中向虛擬網(wǎng)絡(luò)中的資源分配一個專用IP地址。例如，如果在地址空間為10.0.0.0/16的VNet中部署某個VM，將為該VM分配類似于10.0.0.4的專用IP。

·子網(wǎng)：使用子網(wǎng)可將虛擬網(wǎng)絡(luò)劃分為一個或多個子網(wǎng)絡(luò)，并向每個子網(wǎng)分配一部分虛擬網(wǎng)絡(luò)地址空間。然后，可以在特定的子網(wǎng)中部署Azure資源。就像在傳統(tǒng)網(wǎng)絡(luò)中一樣，使用子網(wǎng)可將VNet地址空間劃分為適合組織內(nèi)部網(wǎng)絡(luò)的網(wǎng)段。這還會提高地址分配效率。可以使用網(wǎng)絡(luò)安全組保護子網(wǎng)中的資源。有關(guān)詳細信息，請參閱網(wǎng)絡(luò)安全組。

·區(qū)域：VNet局限于一個區(qū)域/位置；但是，可以使用虛擬網(wǎng)絡(luò)對等互連將不同區(qū)域的多個虛擬網(wǎng)絡(luò)連接起來。

·訂閱：VNet的范圍限定為訂閱?？稍诿總€Azure訂閱和Azure區(qū)域中實現(xiàn)多個虛擬網(wǎng)絡(luò)。

最佳做法

在Azure中構(gòu)建網(wǎng)絡(luò)時，必須記住以下通用設(shè)計原則：

·確保地址空間不重疊。確保VNet地址空間（CIDR塊）不與組織的其他網(wǎng)絡(luò)范圍重疊。

·子網(wǎng)不應(yīng)涵蓋VNet的整個地址空間。提前規(guī)劃，為將來留出一些地址空間。

·建議使用少量的大型VNet，而不要使用多個小型VNet。這可以防止出現(xiàn)管理開銷。

·通過將網(wǎng)絡(luò)安全組(NSG)分配給VNet下的子網(wǎng)來保護VNet。

與Internet通信

默認情況下，VNet中的所有資源都可以與Internet進行出站通信?？梢酝ㄟ^分配公共IP地址或公共負載均衡器來與資源進行入站通信。還可以使用公共IP或公共負載均衡器來管理出站連接。若要詳細了解Azure中的出站連接，請參閱出站連接、公共IP地址和負載均衡器。

備注

僅使用內(nèi)部標(biāo)準(zhǔn)負載均衡器時，在定義出站連接如何與實例級公共IP或公共負載均衡器配合使用之前，出站連接不可用。

Azure資源之間的通信

Azure資源采用下述某種方式安全地相互通信：

·通過虛擬網(wǎng)絡(luò)：可以將VM和多個其他類型的Azure資源部署到虛擬網(wǎng)絡(luò)，如Azure應(yīng)用服務(wù)環(huán)境、Azure Kubernetes服務(wù)(AKS)和Azure虛擬機規(guī)模集。若要查看可部署到虛擬網(wǎng)絡(luò)的Azure資源的完整列表，請參閱虛擬網(wǎng)絡(luò)服務(wù)集成。

·通過虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點：通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識擴展到Azure服務(wù)資源，例如Azure存儲帳戶和Azure SQL數(shù)據(jù)庫。使用服務(wù)終結(jié)點可以保護關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問。有關(guān)詳細信息，請參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點概述。

·通過VNet對等互連：可以互相連接虛擬網(wǎng)絡(luò)，使虛擬網(wǎng)絡(luò)中的資源能夠通過虛擬網(wǎng)絡(luò)對等互連相互進行通信。連接的虛擬網(wǎng)絡(luò)可以在相同或不同的Azure區(qū)域中。有關(guān)詳細信息，請參閱虛擬網(wǎng)絡(luò)對等互連。

與本地資源通信

可組合使用以下任何選項將本地計算機和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò)：

·點到站點虛擬專用網(wǎng)絡(luò)(VPN)：在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺計算機之間建立連接。要與虛擬網(wǎng)絡(luò)建立連接的每臺計算機必須配置其連接。這種連接類型適用于剛開始使用Azure的人員或開發(fā)人員，因為該連接類型僅需對現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡(luò)之間的通信經(jīng)Internet通過加密的通道來發(fā)送。若要了解更多信息，請參閱點到站點VPN。

·站點到站點VPN：在本地VPN設(shè)備和虛擬網(wǎng)絡(luò)中部署的Azure VPN網(wǎng)關(guān)之間建立連接。此連接類型可使授權(quán)的任何本地資源訪問虛擬網(wǎng)絡(luò)。本地VPN設(shè)備和Azure VPN網(wǎng)關(guān)之間的通信經(jīng)Internet通過加密的通道來發(fā)送。若要了解更多信息，請參閱站點到站點VPN。

·Azure ExpressRoute：通過ExpressRoute合作伙伴在網(wǎng)絡(luò)和Azure之間建立連接。此連接是專用連接。流量不經(jīng)過Internet。若要了解詳細信息，請參閱ExpressRoute。

篩選網(wǎng)絡(luò)流量

可使用以下兩個選項中任意一個或同時使用這兩個方案篩選子網(wǎng)之間的網(wǎng)絡(luò)流量：

·網(wǎng)絡(luò)安全組：網(wǎng)絡(luò)安全組和應(yīng)用程序安全組可包含多個入站和出站安全規(guī)則，通過這些規(guī)則可按源和目標(biāo)IP地址、端口和協(xié)議篩選出入資源的流量。要了解詳細信息，請參閱網(wǎng)絡(luò)安全組或應(yīng)用程序安全組。

·網(wǎng)絡(luò)虛擬設(shè)備：虛擬網(wǎng)絡(luò)設(shè)備是可執(zhí)行網(wǎng)絡(luò)功能（例如防火墻、WAN優(yōu)化等）的VM。若要查看可在虛擬網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)虛擬設(shè)備，請參閱Azure市場。

路由網(wǎng)絡(luò)流量

默認情況下，Azure在子網(wǎng)、連接的虛擬網(wǎng)絡(luò)、本地網(wǎng)絡(luò)以及Internet之間路由流量?？墒褂靡韵聝蓚€選項中任意一個或同時使用二者替代Azure創(chuàng)建的默認路由：

路由表：可創(chuàng)建自定義路由表，其中包含可對每個子網(wǎng)控制流量路由到位置的路由。詳細了解路由表。

邊界網(wǎng)關(guān)協(xié)議(BGP)路由：如果使用Azure VPN網(wǎng)關(guān)或ExpressRoute連接將虛擬網(wǎng)絡(luò)連接到本地網(wǎng)絡(luò)，則可將本地BGP路由傳播到虛擬網(wǎng)絡(luò)。詳細了解如何將BGP與Azure VPN網(wǎng)關(guān)和ExpressRoute配合使用。

Azure服務(wù)的虛擬網(wǎng)絡(luò)集成

通過將Azure服務(wù)集成到Azure虛擬網(wǎng)絡(luò)，可從虛擬機或虛擬網(wǎng)絡(luò)中的計算資源私密訪問服務(wù)?？赏ㄟ^以下選項在虛擬網(wǎng)絡(luò)中集成Azure服務(wù)：

·將服務(wù)的專用實例部署到虛擬網(wǎng)絡(luò)中。隨后即可在虛擬網(wǎng)絡(luò)內(nèi)以及從本地網(wǎng)絡(luò)私密訪問這些服務(wù)。

·使用專用鏈接以專用方式從你的虛擬網(wǎng)絡(luò)和本地網(wǎng)絡(luò)訪問服務(wù)的特定實例。

·也可使用公共終結(jié)點來訪問服務(wù)，只需通過服務(wù)終結(jié)點將虛擬網(wǎng)絡(luò)擴展到服務(wù)即可。服務(wù)終結(jié)點可使服務(wù)資源在虛擬網(wǎng)絡(luò)中得到保護。

Azure VNet的限制

可部署的Azure資源數(shù)存在一定的限制。大多數(shù)Azure網(wǎng)絡(luò)限制設(shè)置在最大值。但是，你可以根據(jù)VNet限制頁中的指定，提高某些網(wǎng)絡(luò)限制。

定價

使用Azure VNet不會產(chǎn)生費用，它是免費的。標(biāo)準(zhǔn)費率適用于虛擬機(VM)等資源和其他產(chǎn)品。有關(guān)詳細信息，請參閱VNet定價和Azure定價計算器。