Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中專用網(wǎng)絡(luò)的基本構(gòu)建塊。VNet允許許多類(lèi)型的Azure資源(例如Azure虛擬機(jī)(VM))以安全方式彼此通信、與Internet通信,以及與本地網(wǎng)絡(luò)通信。VNet類(lèi)似于在你在自己的數(shù)據(jù)中心運(yùn)營(yíng)的傳統(tǒng)網(wǎng)絡(luò),但附帶了Azure基礎(chǔ)設(shè)施的其他優(yōu)勢(shì),例如可伸縮性、可用性和隔離性。
VNet概念
·地址空間:創(chuàng)建VNet時(shí),必須使用公共和專用(RFC 1918)地址指定自定義的專用IP地址空間。Azure從分配的地址空間中向虛擬網(wǎng)絡(luò)中的資源分配一個(gè)專用IP地址。例如,如果在地址空間為10.0.0.0/16的VNet中部署某個(gè)VM,將為該VM分配類(lèi)似于10.0.0.4的專用IP。
·子網(wǎng):使用子網(wǎng)可將虛擬網(wǎng)絡(luò)劃分為一個(gè)或多個(gè)子網(wǎng)絡(luò),并向每個(gè)子網(wǎng)分配一部分虛擬網(wǎng)絡(luò)地址空間。然后,可以在特定的子網(wǎng)中部署Azure資源。就像在傳統(tǒng)網(wǎng)絡(luò)中一樣,使用子網(wǎng)可將VNet地址空間劃分為適合組織內(nèi)部網(wǎng)絡(luò)的網(wǎng)段。這還會(huì)提高地址分配效率??梢允褂镁W(wǎng)絡(luò)安全組保護(hù)子網(wǎng)中的資源。有關(guān)詳細(xì)信息,請(qǐng)參閱網(wǎng)絡(luò)安全組。
·區(qū)域:VNet局限于一個(gè)區(qū)域/位置;但是,可以使用虛擬網(wǎng)絡(luò)對(duì)等互連將不同區(qū)域的多個(gè)虛擬網(wǎng)絡(luò)連接起來(lái)。
·訂閱:VNet的范圍限定為訂閱??稍诿總€(gè)Azure訂閱和Azure區(qū)域中實(shí)現(xiàn)多個(gè)虛擬網(wǎng)絡(luò)。
最佳做法
在Azure中構(gòu)建網(wǎng)絡(luò)時(shí),必須記住以下通用設(shè)計(jì)原則:
·確保地址空間不重疊。確保VNet地址空間(CIDR塊)不與組織的其他網(wǎng)絡(luò)范圍重疊。
·子網(wǎng)不應(yīng)涵蓋VNet的整個(gè)地址空間。提前規(guī)劃,為將來(lái)留出一些地址空間。
·建議使用少量的大型VNet,而不要使用多個(gè)小型VNet。這可以防止出現(xiàn)管理開(kāi)銷(xiāo)。
·通過(guò)將網(wǎng)絡(luò)安全組(NSG)分配給VNet下的子網(wǎng)來(lái)保護(hù)VNet。
與Internet通信
默認(rèn)情況下,VNet中的所有資源都可以與Internet進(jìn)行出站通信。可以通過(guò)分配公共IP地址或公共負(fù)載均衡器來(lái)與資源進(jìn)行入站通信。還可以使用公共IP或公共負(fù)載均衡器來(lái)管理出站連接。若要詳細(xì)了解Azure中的出站連接,請(qǐng)參閱出站連接、公共IP地址和負(fù)載均衡器。
備注
僅使用內(nèi)部標(biāo)準(zhǔn)負(fù)載均衡器時(shí),在定義出站連接如何與實(shí)例級(jí)公共IP或公共負(fù)載均衡器配合使用之前,出站連接不可用。
Azure資源之間的通信
Azure資源采用下述某種方式安全地相互通信:
·通過(guò)虛擬網(wǎng)絡(luò):可以將VM和多個(gè)其他類(lèi)型的Azure資源部署到虛擬網(wǎng)絡(luò),如Azure應(yīng)用服務(wù)環(huán)境、Azure Kubernetes服務(wù)(AKS)和Azure虛擬機(jī)規(guī)模集。若要查看可部署到虛擬網(wǎng)絡(luò)的Azure資源的完整列表,請(qǐng)參閱虛擬網(wǎng)絡(luò)服務(wù)集成。
·通過(guò)虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn):通過(guò)直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識(shí)擴(kuò)展到Azure服務(wù)資源,例如Azure存儲(chǔ)帳戶和Azure SQL數(shù)據(jù)庫(kù)。使用服務(wù)終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的Azure服務(wù)資源,只允許在客戶自己的虛擬網(wǎng)絡(luò)中對(duì)其進(jìn)行訪問(wèn)。有關(guān)詳細(xì)信息,請(qǐng)參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)概述。
·通過(guò)VNet對(duì)等互連:可以互相連接虛擬網(wǎng)絡(luò),使虛擬網(wǎng)絡(luò)中的資源能夠通過(guò)虛擬網(wǎng)絡(luò)對(duì)等互連相互進(jìn)行通信。連接的虛擬網(wǎng)絡(luò)可以在相同或不同的Azure區(qū)域中。有關(guān)詳細(xì)信息,請(qǐng)參閱虛擬網(wǎng)絡(luò)對(duì)等互連。
與本地資源通信
可組合使用以下任何選項(xiàng)將本地計(jì)算機(jī)和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò):
·點(diǎn)到站點(diǎn)虛擬專用網(wǎng)絡(luò)(VPN):在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺(tái)計(jì)算機(jī)之間建立連接。要與虛擬網(wǎng)絡(luò)建立連接的每臺(tái)計(jì)算機(jī)必須配置其連接。這種連接類(lèi)型適用于剛開(kāi)始使用Azure的人員或開(kāi)發(fā)人員,因?yàn)樵撨B接類(lèi)型僅需對(duì)現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計(jì)算機(jī)與虛擬網(wǎng)絡(luò)之間的通信經(jīng)Internet通過(guò)加密的通道來(lái)發(fā)送。若要了解更多信息,請(qǐng)參閱點(diǎn)到站點(diǎn)VPN。
·站點(diǎn)到站點(diǎn)VPN:在本地VPN設(shè)備和虛擬網(wǎng)絡(luò)中部署的Azure VPN網(wǎng)關(guān)之間建立連接。此連接類(lèi)型可使授權(quán)的任何本地資源訪問(wèn)虛擬網(wǎng)絡(luò)。本地VPN設(shè)備和Azure VPN網(wǎng)關(guān)之間的通信經(jīng)Internet通過(guò)加密的通道來(lái)發(fā)送。若要了解更多信息,請(qǐng)參閱站點(diǎn)到站點(diǎn)VPN。
·Azure ExpressRoute:通過(guò)ExpressRoute合作伙伴在網(wǎng)絡(luò)和Azure之間建立連接。此連接是專用連接。流量不經(jīng)過(guò)Internet。若要了解詳細(xì)信息,請(qǐng)參閱ExpressRoute。
篩選網(wǎng)絡(luò)流量
可使用以下兩個(gè)選項(xiàng)中任意一個(gè)或同時(shí)使用這兩個(gè)方案篩選子網(wǎng)之間的網(wǎng)絡(luò)流量:
·網(wǎng)絡(luò)安全組:網(wǎng)絡(luò)安全組和應(yīng)用程序安全組可包含多個(gè)入站和出站安全規(guī)則,通過(guò)這些規(guī)則可按源和目標(biāo)IP地址、端口和協(xié)議篩選出入資源的流量。要了解詳細(xì)信息,請(qǐng)參閱網(wǎng)絡(luò)安全組或應(yīng)用程序安全組。
·網(wǎng)絡(luò)虛擬設(shè)備:虛擬網(wǎng)絡(luò)設(shè)備是可執(zhí)行網(wǎng)絡(luò)功能(例如防火墻、WAN優(yōu)化等)的VM。若要查看可在虛擬網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)虛擬設(shè)備,請(qǐng)參閱Azure市場(chǎng)。
路由網(wǎng)絡(luò)流量
默認(rèn)情況下,Azure在子網(wǎng)、連接的虛擬網(wǎng)絡(luò)、本地網(wǎng)絡(luò)以及Internet之間路由流量??墒褂靡韵聝蓚€(gè)選項(xiàng)中任意一個(gè)或同時(shí)使用二者替代Azure創(chuàng)建的默認(rèn)路由:
路由表:可創(chuàng)建自定義路由表,其中包含可對(duì)每個(gè)子網(wǎng)控制流量路由到位置的路由。詳細(xì)了解路由表。
邊界網(wǎng)關(guān)協(xié)議(BGP)路由:如果使用Azure VPN網(wǎng)關(guān)或ExpressRoute連接將虛擬網(wǎng)絡(luò)連接到本地網(wǎng)絡(luò),則可將本地BGP路由傳播到虛擬網(wǎng)絡(luò)。詳細(xì)了解如何將BGP與Azure VPN網(wǎng)關(guān)和ExpressRoute配合使用。
Azure服務(wù)的虛擬網(wǎng)絡(luò)集成
通過(guò)將Azure服務(wù)集成到Azure虛擬網(wǎng)絡(luò),可從虛擬機(jī)或虛擬網(wǎng)絡(luò)中的計(jì)算資源私密訪問(wèn)服務(wù)??赏ㄟ^(guò)以下選項(xiàng)在虛擬網(wǎng)絡(luò)中集成Azure服務(wù):
·將服務(wù)的專用實(shí)例部署到虛擬網(wǎng)絡(luò)中。隨后即可在虛擬網(wǎng)絡(luò)內(nèi)以及從本地網(wǎng)絡(luò)私密訪問(wèn)這些服務(wù)。
·使用專用鏈接以專用方式從你的虛擬網(wǎng)絡(luò)和本地網(wǎng)絡(luò)訪問(wèn)服務(wù)的特定實(shí)例。
·也可使用公共終結(jié)點(diǎn)來(lái)訪問(wèn)服務(wù),只需通過(guò)服務(wù)終結(jié)點(diǎn)將虛擬網(wǎng)絡(luò)擴(kuò)展到服務(wù)即可。服務(wù)終結(jié)點(diǎn)可使服務(wù)資源在虛擬網(wǎng)絡(luò)中得到保護(hù)。
Azure VNet的限制
可部署的Azure資源數(shù)存在一定的限制。大多數(shù)Azure網(wǎng)絡(luò)限制設(shè)置在最大值。但是,你可以根據(jù)VNet限制頁(yè)中的指定,提高某些網(wǎng)絡(luò)限制。
定價(jià)
使用Azure VNet不會(huì)產(chǎn)生費(fèi)用,它是免費(fèi)的。標(biāo)準(zhǔn)費(fèi)率適用于虛擬機(jī)(VM)等資源和其他產(chǎn)品。有關(guān)詳細(xì)信息,請(qǐng)參閱VNet定價(jià)和Azure定價(jià)計(jì)算器。