什么是 Azure 虛擬網(wǎng)絡？

Azure虛擬網(wǎng)絡(VNet)是Azure中專用網(wǎng)絡的基本構建塊。VNet允許許多類型的Azure資源（例如Azure虛擬機(VM)）以安全方式彼此通信、與Internet通信，以及與本地網(wǎng)絡通信。VNet類似于在你在自己的數(shù)據(jù)中心運營的傳統(tǒng)網(wǎng)絡，但附帶了Azure基礎設施的其他優(yōu)勢，例如可伸縮性、可用性和隔離性。

VNet概念

·地址空間：創(chuàng)建VNet時，必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間。Azure從分配的地址空間中向虛擬網(wǎng)絡中的資源分配一個專用IP地址。例如，如果在地址空間為10.0.0.0/16的VNet中部署某個VM，將為該VM分配類似于10.0.0.4的專用IP。

·子網(wǎng)：使用子網(wǎng)可將虛擬網(wǎng)絡劃分為一個或多個子網(wǎng)絡，并向每個子網(wǎng)分配一部分虛擬網(wǎng)絡地址空間。然后，可以在特定的子網(wǎng)中部署Azure資源。就像在傳統(tǒng)網(wǎng)絡中一樣，使用子網(wǎng)可將VNet地址空間劃分為適合組織內(nèi)部網(wǎng)絡的網(wǎng)段。這還會提高地址分配效率?？梢允褂镁W(wǎng)絡安全組保護子網(wǎng)中的資源。有關詳細信息，請參閱網(wǎng)絡安全組。

·區(qū)域：VNet局限于一個區(qū)域/位置；但是，可以使用虛擬網(wǎng)絡對等互連將不同區(qū)域的多個虛擬網(wǎng)絡連接起來。

·訂閱：VNet的范圍限定為訂閱?？稍诿總€Azure訂閱和Azure區(qū)域中實現(xiàn)多個虛擬網(wǎng)絡。

最佳做法

在Azure中構建網(wǎng)絡時，必須記住以下通用設計原則：

·確保地址空間不重疊。確保VNet地址空間（CIDR塊）不與組織的其他網(wǎng)絡范圍重疊。

·子網(wǎng)不應涵蓋VNet的整個地址空間。提前規(guī)劃，為將來留出一些地址空間。

·建議使用少量的大型VNet，而不要使用多個小型VNet。這可以防止出現(xiàn)管理開銷。

·通過將網(wǎng)絡安全組(NSG)分配給VNet下的子網(wǎng)來保護VNet。

與Internet通信

默認情況下，VNet中的所有資源都可以與Internet進行出站通信?？梢酝ㄟ^分配公共IP地址或公共負載均衡器來與資源進行入站通信。還可以使用公共IP或公共負載均衡器來管理出站連接。若要詳細了解Azure中的出站連接，請參閱出站連接、公共IP地址和負載均衡器。

備注

僅使用內(nèi)部標準負載均衡器時，在定義出站連接如何與實例級公共IP或公共負載均衡器配合使用之前，出站連接不可用。

Azure資源之間的通信

Azure資源采用下述某種方式安全地相互通信：

·通過虛擬網(wǎng)絡：可以將VM和多個其他類型的Azure資源部署到虛擬網(wǎng)絡，如Azure應用服務環(huán)境、Azure Kubernetes服務(AKS)和Azure虛擬機規(guī)模集。若要查看可部署到虛擬網(wǎng)絡的Azure資源的完整列表，請參閱虛擬網(wǎng)絡服務集成。

·通過虛擬網(wǎng)絡服務終結點：通過直接連接將虛擬網(wǎng)絡專用地址空間和虛擬網(wǎng)絡的標識擴展到Azure服務資源，例如Azure存儲帳戶和Azure SQL數(shù)據(jù)庫。使用服務終結點可以保護關鍵的Azure服務資源，只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問。有關詳細信息，請參閱虛擬網(wǎng)絡服務終結點概述。

·通過VNet對等互連：可以互相連接虛擬網(wǎng)絡，使虛擬網(wǎng)絡中的資源能夠通過虛擬網(wǎng)絡對等互連相互進行通信。連接的虛擬網(wǎng)絡可以在相同或不同的Azure區(qū)域中。有關詳細信息，請參閱虛擬網(wǎng)絡對等互連。

與本地資源通信

可組合使用以下任何選項將本地計算機和網(wǎng)絡連接到虛擬網(wǎng)絡：

·點到站點虛擬專用網(wǎng)絡(VPN)：在網(wǎng)絡中的虛擬網(wǎng)絡和單臺計算機之間建立連接。要與虛擬網(wǎng)絡建立連接的每臺計算機必須配置其連接。這種連接類型適用于剛開始使用Azure的人員或開發(fā)人員，因為該連接類型僅需對現(xiàn)有網(wǎng)絡作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡之間的通信經(jīng)Internet通過加密的通道來發(fā)送。若要了解更多信息，請參閱點到站點VPN。

·站點到站點VPN：在本地VPN設備和虛擬網(wǎng)絡中部署的Azure VPN網(wǎng)關之間建立連接。此連接類型可使授權的任何本地資源訪問虛擬網(wǎng)絡。本地VPN設備和Azure VPN網(wǎng)關之間的通信經(jīng)Internet通過加密的通道來發(fā)送。若要了解更多信息，請參閱站點到站點VPN。

·Azure ExpressRoute：通過ExpressRoute合作伙伴在網(wǎng)絡和Azure之間建立連接。此連接是專用連接。流量不經(jīng)過Internet。若要了解詳細信息，請參閱ExpressRoute。

篩選網(wǎng)絡流量

可使用以下兩個選項中任意一個或同時使用這兩個方案篩選子網(wǎng)之間的網(wǎng)絡流量：

·網(wǎng)絡安全組：網(wǎng)絡安全組和應用程序安全組可包含多個入站和出站安全規(guī)則，通過這些規(guī)則可按源和目標IP地址、端口和協(xié)議篩選出入資源的流量。要了解詳細信息，請參閱網(wǎng)絡安全組或應用程序安全組。

·網(wǎng)絡虛擬設備：虛擬網(wǎng)絡設備是可執(zhí)行網(wǎng)絡功能（例如防火墻、WAN優(yōu)化等）的VM。若要查看可在虛擬網(wǎng)絡中部署的網(wǎng)絡虛擬設備，請參閱Azure市場。

路由網(wǎng)絡流量

默認情況下，Azure在子網(wǎng)、連接的虛擬網(wǎng)絡、本地網(wǎng)絡以及Internet之間路由流量?？墒褂靡韵聝蓚€選項中任意一個或同時使用二者替代Azure創(chuàng)建的默認路由：

路由表：可創(chuàng)建自定義路由表，其中包含可對每個子網(wǎng)控制流量路由到位置的路由。詳細了解路由表。

邊界網(wǎng)關協(xié)議(BGP)路由：如果使用Azure VPN網(wǎng)關或ExpressRoute連接將虛擬網(wǎng)絡連接到本地網(wǎng)絡，則可將本地BGP路由傳播到虛擬網(wǎng)絡。詳細了解如何將BGP與Azure VPN網(wǎng)關和ExpressRoute配合使用。

Azure服務的虛擬網(wǎng)絡集成

通過將Azure服務集成到Azure虛擬網(wǎng)絡，可從虛擬機或虛擬網(wǎng)絡中的計算資源私密訪問服務?？赏ㄟ^以下選項在虛擬網(wǎng)絡中集成Azure服務：

·將服務的專用實例部署到虛擬網(wǎng)絡中。隨后即可在虛擬網(wǎng)絡內(nèi)以及從本地網(wǎng)絡私密訪問這些服務。

·使用專用鏈接以專用方式從你的虛擬網(wǎng)絡和本地網(wǎng)絡訪問服務的特定實例。

·也可使用公共終結點來訪問服務，只需通過服務終結點將虛擬網(wǎng)絡擴展到服務即可。服務終結點可使服務資源在虛擬網(wǎng)絡中得到保護。

Azure VNet的限制

可部署的Azure資源數(shù)存在一定的限制。大多數(shù)Azure網(wǎng)絡限制設置在最大值。但是，你可以根據(jù)VNet限制頁中的指定，提高某些網(wǎng)絡限制。

定價

使用Azure VNet不會產(chǎn)生費用，它是免費的。標準費率適用于虛擬機(VM)等資源和其他產(chǎn)品。有關詳細信息，請參閱VNet定價和Azure定價計算器。