「Azure云」什么是Azure虛擬網(wǎng)絡(luò),azure云簡介

「Azure云」什么是Azure虛擬網(wǎng)絡(luò)

Azure虛擬網(wǎng)絡(luò)(VNet)是Azure中私有網(wǎng)絡(luò)的基本構(gòu)件。VNet支持許多類型的Azure資源，比如Azure虛擬機(VM)，來安全地與internet和內(nèi)部網(wǎng)絡(luò)進行通信。VNet類似于您在自己的數(shù)據(jù)中心中操作的傳統(tǒng)網(wǎng)絡(luò)，但它也帶來了Azure基礎(chǔ)設(shè)施的額外好處，如可伸縮性、可用性和隔離性。

VNet 的概念

Address space:在創(chuàng)建VNet時，必須使用公共和私有(RFC 1918)地址指定自定義私有IP地址空間。Azure從您分配的地址空間中為虛擬網(wǎng)絡(luò)中的資源分配一個私有IP地址。例如，如果您在地址空間為10.0.0.0/16的VNet中部署VM，那么將為VM分配一個類似于10.0.0.4的私有IP。

子網(wǎng):子網(wǎng)使您能夠?qū)⑻摂M網(wǎng)絡(luò)分割成一個或多個子網(wǎng)，并為每個子網(wǎng)分配部分虛擬網(wǎng)絡(luò)的地址空間。然后可以在特定的子網(wǎng)中部署Azure資源。與傳統(tǒng)網(wǎng)絡(luò)一樣，子網(wǎng)允許您將VNet地址空間分割成適合組織內(nèi)部網(wǎng)絡(luò)的段。這也提高了地址分配效率。您可以使用網(wǎng)絡(luò)安全組保護子網(wǎng)中的資源。有關(guān)更多信息，請參見安全組。

區(qū)域:VNet的作用域為單個區(qū)域/位置;然而，使用虛擬網(wǎng)絡(luò)對等技術(shù)可以將來自不同區(qū)域的多個虛擬網(wǎng)絡(luò)連接在一起。

訂閱:VNet的作用域是訂閱。您可以在每個Azure訂閱和Azure區(qū)域內(nèi)實現(xiàn)多個虛擬網(wǎng)絡(luò)。

最佳實踐

當你在Azure中構(gòu)建你的網(wǎng)絡(luò)時，記住以下通用的設(shè)計原則是很重要的:

確保地址空間不重疊。確保您的VNet地址空間(CIDR塊)不與您組織的其他網(wǎng)絡(luò)范圍重疊。

您的子網(wǎng)不應該覆蓋VNet的整個地址空間。提前計劃，為將來預留一些地址空間。

建議您使用更少的大型vnet，而不是多個小型vnet。這將防止管理開銷。

使用網(wǎng)絡(luò)安全組(NSGs)保護您的VNet。

與互聯(lián)網(wǎng)溝通

默認情況下，VNet中的所有資源都可以與internet進行出站通信。您可以通過分配公共IP地址或公共負載均衡器與資源進行入站通信。您還可以使用公共IP或公共負載均衡器來管理出站連接。要了解關(guān)于Azure中的出站連接的更多信息，請參見出站連接、公共IP地址和負載均衡器。

請注意

僅使用內(nèi)部標準負載平衡器時，在定義希望出站連接如何使用實例級公共IP或公共負載平衡器之前，出站連接是不可用的。

Azure資源之間的通信

Azure資源之間的安全通信方式有以下幾種:

通過虛擬網(wǎng)絡(luò)(virtual network):您可以將vm和其他幾種類型的Azure資源部署到虛擬網(wǎng)絡(luò)中，比如Azure應用程序服務環(huán)境、Azure Kubernetes服務(AKS)和Azure虛擬機規(guī)模集。要查看可以部署到虛擬網(wǎng)絡(luò)中的Azure資源的完整列表，請參閱虛擬網(wǎng)絡(luò)服務集成。

通過虛擬網(wǎng)絡(luò)服務端點(virtual network service endpoint:):通過直接連接將虛擬網(wǎng)絡(luò)私有地址空間和虛擬網(wǎng)絡(luò)的身份擴展到Azure服務資源，如Azure存儲帳戶和Azure SQL數(shù)據(jù)庫。服務端點允許您將關(guān)鍵的Azure服務資源僅保護到一個虛擬網(wǎng)絡(luò)。要了解更多信息，請參見虛擬網(wǎng)絡(luò)服務端點概述。

通過VNet對等連接(VNet Peering):通過使用虛擬網(wǎng)絡(luò)對等連接，您可以將虛擬網(wǎng)絡(luò)連接到其他網(wǎng)絡(luò)，從而使兩個虛擬網(wǎng)絡(luò)中的資源能夠相互通信。您連接的虛擬網(wǎng)絡(luò)可以位于相同的Azure區(qū)域，也可以位于不同的Azure區(qū)域。有關(guān)更多信息，請參見虛擬網(wǎng)絡(luò)對等。

與onpremises資源溝通

你可以使用下列選項的任何組合，將你的本地電腦和網(wǎng)絡(luò)連接至虛擬網(wǎng)絡(luò):

點到點虛擬專用網(wǎng)(***)(Pointtosite virtual private network (***)):在虛擬網(wǎng)絡(luò)和網(wǎng)絡(luò)中的一臺計算機之間建立。希望與虛擬網(wǎng)絡(luò)建立連接的每臺計算機都必須配置其連接。如果您剛剛開始使用Azure，或者對于開發(fā)人員來說，這種連接類型非常好，因為它只需要對您現(xiàn)有的網(wǎng)絡(luò)進行很少或根本不需要進行更改。您的計算機和虛擬網(wǎng)絡(luò)之間的通信是通過internet上的加密隧道發(fā)快遞的。要了解更多信息，請參見點到點***。

站點到站點***(Sitetosite ***):在您的本地***設(shè)備和部署在虛擬網(wǎng)絡(luò)中的Azure ***網(wǎng)關(guān)之間建立。此連接類型允許您授權(quán)訪問虛擬網(wǎng)絡(luò)的任何本地資源。您的本地***設(shè)備和Azure ***網(wǎng)關(guān)之間的通信是通過internet上的加密隧道發(fā)快遞的。要了解更多信息，請參見站點到站點***。

Azure Expre***oute:通過一個Expre***oute合作伙伴，在您的網(wǎng)絡(luò)和Azure之間建立。這個連接是私有的。網(wǎng)絡(luò)上沒有流量。要了解更多，請參見高速公路。

過濾網(wǎng)絡(luò)流量

您可以過濾網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量使用以下任一或兩個選項:

安全組（Security groups）:網(wǎng)絡(luò)安全組和應用程序安全組可以包含多個入站和出站安全規(guī)則，使您能夠根據(jù)源和目標IP地址、端口和協(xié)議對進出資源的流量進行過濾。要了解更多信息，請參見網(wǎng)絡(luò)安全組或應用程序安全組。

網(wǎng)絡(luò)虛擬設(shè)備（Network virtual appliances）:網(wǎng)絡(luò)虛擬設(shè)備是執(zhí)行網(wǎng)絡(luò)功能(如防火墻、WAN優(yōu)化或其他網(wǎng)絡(luò)功能)的VM。要查看可在虛擬網(wǎng)絡(luò)中部署的可用網(wǎng)絡(luò)虛擬設(shè)備列表，請參閱Azure Marketplace。

過濾網(wǎng)絡(luò)流量

默認情況下，Azure路由子網(wǎng)、連接的虛擬網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和Internet之間的通信。你可以實現(xiàn)以下選項中的一個或兩個來覆蓋Azure創(chuàng)建的默認路由:

路由表（Route tables）:您可以創(chuàng)建自定義路由表，其中路由控制每個子網(wǎng)的流量被路由到何處。了解更多關(guān)于路由表。

邊界網(wǎng)關(guān)協(xié)議(BGP)路由（Border gateway protocol (BGP) routes）:如果您使用Azure ***網(wǎng)關(guān)或Expre***oute連接您的虛擬網(wǎng)絡(luò)到您的本地網(wǎng)絡(luò)，您可以將您的本地BGP路由傳播到您的虛擬網(wǎng)絡(luò)。了解更多關(guān)于使用Azure ***網(wǎng)關(guān)和express路由的BGP。

Azure VNet限制

您可以部署的Azure資源的數(shù)量有一定的限制。大多數(shù)Azure網(wǎng)絡(luò)限制都在最大值處。但是，您可以增加VNet限制（https://docs.microsoft.com/enus/azure/azuresupportability/networkingquotarequests）頁面中指定的某些網(wǎng)絡(luò)限制（https://docs.microsoft.com/enus/azure/azuresubscriptionservicelimits#networkinglimits）。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。