什么是 Azure 虛擬網(wǎng)絡(luò)？

Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中專用網(wǎng)絡(luò)的基本構(gòu)建塊。VNet允許許多類(lèi)型的Azure資源（例如Azure虛擬機(jī)(VM)）以安全方式彼此通信、與Internet通信，以及與本地網(wǎng)絡(luò)通信。VNet類(lèi)似于在你在自己的數(shù)據(jù)中心運(yùn)營(yíng)的傳統(tǒng)網(wǎng)絡(luò)，但附帶了Azure基礎(chǔ)設(shè)施的其他優(yōu)勢(shì)，例如可伸縮性、可用性和隔離性。

VNet概念

·地址空間：創(chuàng)建VNet時(shí)，必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間。Azure從分配的地址空間中向虛擬網(wǎng)絡(luò)中的資源分配一個(gè)專用IP地址。例如，如果在地址空間為10.0.0.0/16的VNet中部署某個(gè)VM，將為該VM分配類(lèi)似于10.0.0.4的專用IP。

·子網(wǎng)：使用子網(wǎng)可將虛擬網(wǎng)絡(luò)劃分為一個(gè)或多個(gè)子網(wǎng)絡(luò)，并向每個(gè)子網(wǎng)分配一部分虛擬網(wǎng)絡(luò)地址空間。然后，可以在特定的子網(wǎng)中部署Azure資源。就像在傳統(tǒng)網(wǎng)絡(luò)中一樣，使用子網(wǎng)可將VNet地址空間劃分為適合組織內(nèi)部網(wǎng)絡(luò)的網(wǎng)段。這還會(huì)提高地址分配效率?？梢允褂镁W(wǎng)絡(luò)安全組保護(hù)子網(wǎng)中的資源。有關(guān)詳細(xì)信息，請(qǐng)參閱網(wǎng)絡(luò)安全組。

·區(qū)域：VNet局限于一個(gè)區(qū)域/位置；但是，可以使用虛擬網(wǎng)絡(luò)對(duì)等互連將不同區(qū)域的多個(gè)虛擬網(wǎng)絡(luò)連接起來(lái)。

·訂閱：VNet的范圍限定為訂閱?？稍诿總€(gè)Azure訂閱和Azure區(qū)域中實(shí)現(xiàn)多個(gè)虛擬網(wǎng)絡(luò)。

最佳做法

在Azure中構(gòu)建網(wǎng)絡(luò)時(shí)，必須記住以下通用設(shè)計(jì)原則：

·確保地址空間不重疊。確保VNet地址空間（CIDR塊）不與組織的其他網(wǎng)絡(luò)范圍重疊。

·子網(wǎng)不應(yīng)涵蓋VNet的整個(gè)地址空間。提前規(guī)劃，為將來(lái)留出一些地址空間。

·建議使用少量的大型VNet，而不要使用多個(gè)小型VNet。這可以防止出現(xiàn)管理開(kāi)銷(xiāo)。

·通過(guò)將網(wǎng)絡(luò)安全組(NSG)分配給VNet下的子網(wǎng)來(lái)保護(hù)VNet。

與Internet通信

默認(rèn)情況下，VNet中的所有資源都可以與Internet進(jìn)行出站通信。可以通過(guò)分配公共IP地址或公共負(fù)載均衡器來(lái)與資源進(jìn)行入站通信。還可以使用公共IP或公共負(fù)載均衡器來(lái)管理出站連接。若要詳細(xì)了解Azure中的出站連接，請(qǐng)參閱出站連接、公共IP地址和負(fù)載均衡器。

備注

僅使用內(nèi)部標(biāo)準(zhǔn)負(fù)載均衡器時(shí)，在定義出站連接如何與實(shí)例級(jí)公共IP或公共負(fù)載均衡器配合使用之前，出站連接不可用。

Azure資源之間的通信

Azure資源采用下述某種方式安全地相互通信：

·通過(guò)虛擬網(wǎng)絡(luò)：可以將VM和多個(gè)其他類(lèi)型的Azure資源部署到虛擬網(wǎng)絡(luò)，如Azure應(yīng)用服務(wù)環(huán)境、Azure Kubernetes服務(wù)(AKS)和Azure虛擬機(jī)規(guī)模集。若要查看可部署到虛擬網(wǎng)絡(luò)的Azure資源的完整列表，請(qǐng)參閱虛擬網(wǎng)絡(luò)服務(wù)集成。

·通過(guò)虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)：通過(guò)直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識(shí)擴(kuò)展到Azure服務(wù)資源，例如Azure存儲(chǔ)帳戶和Azure SQL數(shù)據(jù)庫(kù)。使用服務(wù)終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對(duì)其進(jìn)行訪問(wèn)。有關(guān)詳細(xì)信息，請(qǐng)參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)概述。

·通過(guò)VNet對(duì)等互連：可以互相連接虛擬網(wǎng)絡(luò)，使虛擬網(wǎng)絡(luò)中的資源能夠通過(guò)虛擬網(wǎng)絡(luò)對(duì)等互連相互進(jìn)行通信。連接的虛擬網(wǎng)絡(luò)可以在相同或不同的Azure區(qū)域中。有關(guān)詳細(xì)信息，請(qǐng)參閱虛擬網(wǎng)絡(luò)對(duì)等互連。

與本地資源通信

可組合使用以下任何選項(xiàng)將本地計(jì)算機(jī)和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò)：

·點(diǎn)到站點(diǎn)虛擬專用網(wǎng)絡(luò)(VPN)：在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺(tái)計(jì)算機(jī)之間建立連接。要與虛擬網(wǎng)絡(luò)建立連接的每臺(tái)計(jì)算機(jī)必須配置其連接。這種連接類(lèi)型適用于剛開(kāi)始使用Azure的人員或開(kāi)發(fā)人員，因?yàn)樵撨B接類(lèi)型僅需對(duì)現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計(jì)算機(jī)與虛擬網(wǎng)絡(luò)之間的通信經(jīng)Internet通過(guò)加密的通道來(lái)發(fā)送。若要了解更多信息，請(qǐng)參閱點(diǎn)到站點(diǎn)VPN。

·站點(diǎn)到站點(diǎn)VPN：在本地VPN設(shè)備和虛擬網(wǎng)絡(luò)中部署的Azure VPN網(wǎng)關(guān)之間建立連接。此連接類(lèi)型可使授權(quán)的任何本地資源訪問(wèn)虛擬網(wǎng)絡(luò)。本地VPN設(shè)備和Azure VPN網(wǎng)關(guān)之間的通信經(jīng)Internet通過(guò)加密的通道來(lái)發(fā)送。若要了解更多信息，請(qǐng)參閱站點(diǎn)到站點(diǎn)VPN。

·Azure ExpressRoute：通過(guò)ExpressRoute合作伙伴在網(wǎng)絡(luò)和Azure之間建立連接。此連接是專用連接。流量不經(jīng)過(guò)Internet。若要了解詳細(xì)信息，請(qǐng)參閱ExpressRoute。

篩選網(wǎng)絡(luò)流量

可使用以下兩個(gè)選項(xiàng)中任意一個(gè)或同時(shí)使用這兩個(gè)方案篩選子網(wǎng)之間的網(wǎng)絡(luò)流量：

·網(wǎng)絡(luò)安全組：網(wǎng)絡(luò)安全組和應(yīng)用程序安全組可包含多個(gè)入站和出站安全規(guī)則，通過(guò)這些規(guī)則可按源和目標(biāo)IP地址、端口和協(xié)議篩選出入資源的流量。要了解詳細(xì)信息，請(qǐng)參閱網(wǎng)絡(luò)安全組或應(yīng)用程序安全組。

·網(wǎng)絡(luò)虛擬設(shè)備：虛擬網(wǎng)絡(luò)設(shè)備是可執(zhí)行網(wǎng)絡(luò)功能（例如防火墻、WAN優(yōu)化等）的VM。若要查看可在虛擬網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)虛擬設(shè)備，請(qǐng)參閱Azure市場(chǎng)。

路由網(wǎng)絡(luò)流量

默認(rèn)情況下，Azure在子網(wǎng)、連接的虛擬網(wǎng)絡(luò)、本地網(wǎng)絡(luò)以及Internet之間路由流量?？墒褂靡韵聝蓚€(gè)選項(xiàng)中任意一個(gè)或同時(shí)使用二者替代Azure創(chuàng)建的默認(rèn)路由：

路由表：可創(chuàng)建自定義路由表，其中包含可對(duì)每個(gè)子網(wǎng)控制流量路由到位置的路由。詳細(xì)了解路由表。

邊界網(wǎng)關(guān)協(xié)議(BGP)路由：如果使用Azure VPN網(wǎng)關(guān)或ExpressRoute連接將虛擬網(wǎng)絡(luò)連接到本地網(wǎng)絡(luò)，則可將本地BGP路由傳播到虛擬網(wǎng)絡(luò)。詳細(xì)了解如何將BGP與Azure VPN網(wǎng)關(guān)和ExpressRoute配合使用。

Azure服務(wù)的虛擬網(wǎng)絡(luò)集成

通過(guò)將Azure服務(wù)集成到Azure虛擬網(wǎng)絡(luò)，可從虛擬機(jī)或虛擬網(wǎng)絡(luò)中的計(jì)算資源私密訪問(wèn)服務(wù)?？赏ㄟ^(guò)以下選項(xiàng)在虛擬網(wǎng)絡(luò)中集成Azure服務(wù)：

·將服務(wù)的專用實(shí)例部署到虛擬網(wǎng)絡(luò)中。隨后即可在虛擬網(wǎng)絡(luò)內(nèi)以及從本地網(wǎng)絡(luò)私密訪問(wèn)這些服務(wù)。

·使用專用鏈接以專用方式從你的虛擬網(wǎng)絡(luò)和本地網(wǎng)絡(luò)訪問(wèn)服務(wù)的特定實(shí)例。

·也可使用公共終結(jié)點(diǎn)來(lái)訪問(wèn)服務(wù)，只需通過(guò)服務(wù)終結(jié)點(diǎn)將虛擬網(wǎng)絡(luò)擴(kuò)展到服務(wù)即可。服務(wù)終結(jié)點(diǎn)可使服務(wù)資源在虛擬網(wǎng)絡(luò)中得到保護(hù)。

Azure VNet的限制

可部署的Azure資源數(shù)存在一定的限制。大多數(shù)Azure網(wǎng)絡(luò)限制設(shè)置在最大值。但是，你可以根據(jù)VNet限制頁(yè)中的指定，提高某些網(wǎng)絡(luò)限制。

定價(jià)

使用Azure VNet不會(huì)產(chǎn)生費(fèi)用，它是免費(fèi)的。標(biāo)準(zhǔn)費(fèi)率適用于虛擬機(jī)(VM)等資源和其他產(chǎn)品。有關(guān)詳細(xì)信息，請(qǐng)參閱VNet定價(jià)和Azure定價(jià)計(jì)算器。