Udostępnij za pośrednictwem


Często zadawane pytania dotyczące sieci wirtualnych platformy Azure

Podstawy

Co to jest sieć wirtualna?

Sieć wirtualna to reprezentacja własnej sieci w chmurze, która jest dostarczana przez usługę Azure Virtual Network. Sieć wirtualna to logiczna izolacja chmury platformy Azure przeznaczona dla Twojej subskrypcji.

Za pomocą sieci wirtualnych można aprowizować wirtualne sieci prywatne (VPN) i zarządzać nimi na platformie Azure. Opcjonalnie możesz połączyć sieci wirtualne z innymi sieciami wirtualnymi na platformie Azure lub z lokalną infrastrukturą IT w celu utworzenia rozwiązań hybrydowych lub obejmujących wiele lokalizacji.

Każda utworzona sieć wirtualna ma własny blok CIDR. Sieć wirtualną można połączyć z innymi sieciami wirtualnymi i sieciami lokalnymi, o ile bloki CIDR nie nakładają się na siebie. Masz również kontrolę nad ustawieniami serwera DNS dla sieci wirtualnych wraz z segmentacją sieci wirtualnej w podsieci.

Użyj sieci wirtualnych do:

  • Utwórz dedykowaną, prywatną sieć wirtualną tylko w chmurze. Czasami nie wymagasz konfiguracji obejmującej wiele lokalizacji dla rozwiązania. Podczas tworzenia sieci wirtualnej usługi i maszyny wirtualne w ramach sieci wirtualnej mogą komunikować się bezpośrednio i bezpiecznie ze sobą w chmurze. Nadal można skonfigurować połączenia punktów końcowych dla maszyn wirtualnych i usług, które wymagają komunikacji internetowej w ramach rozwiązania.

  • Bezpieczne rozszerzanie centrum danych. Za pomocą sieci wirtualnych można tworzyć tradycyjne sieci VPN typu lokacja-lokacja (S2S), aby bezpiecznie skalować pojemność centrum danych. Sieci VPN S2S używają protokołu IPsec do zapewnienia bezpiecznego połączenia między firmową bramą sieci VPN i platformą Azure.

  • Włącz scenariusze chmury hybrydowej. Aplikacje oparte na chmurze można bezpiecznie połączyć z dowolnym typem systemu lokalnego, w tym komputerami mainframe i systemami Unix.

Jak mogę zacząć?

Odwiedź dokumentację usługi Azure Virtual Network, aby rozpocząć pracę. Ta zawartość zawiera omówienie i informacje o wdrożeniu dla wszystkich funkcji sieci wirtualnej.

Czy mogę używać sieci wirtualnych bez łączności między lokalizacjami?

Tak. Sieć wirtualną można używać bez łączenia jej ze środowiskiem lokalnym. Można na przykład uruchomić kontrolery domeny usługi Active Directory systemu Microsoft Windows Server i farmy programu SharePoint wyłącznie w sieci wirtualnej platformy Azure.

Czy mogę przeprowadzić optymalizację sieci WAN między sieciami wirtualnymi lub między siecią wirtualną a lokalnym centrum danych?

Tak. Możesz wdrożyć wirtualne urządzenie sieciowe na potrzeby optymalizacji sieci WAN od kilku dostawców za pośrednictwem witryny Azure Marketplace.

Konfigurowanie

Jakich narzędzi używam do tworzenia sieci wirtualnej?

Do utworzenia lub skonfigurowania sieci wirtualnej można użyć następujących narzędzi:

  • Witryna Azure Portal
  • PowerShell
  • Interfejs wiersza polecenia platformy Azure
  • Plik konfiguracji sieci (netcfgtylko dla klasycznych sieci wirtualnych)

Jakich zakresów adresów mogę używać w sieciach wirtualnych?

Zalecamy użycie następujących zakresów adresów, które są wyliczane w RFC 1918. IETF odłożył te zakresy dla prywatnych, nie routable przestrzeni adresowych.

  • Od 10.0.0.0 do 10.255.255.255 (prefiks 10/8)
  • Od 172.16.0.0 do 172.31.255.255 (prefiks 172.16/12)
  • Od 192.168.0.0 do 192.168.255.255 (prefiks 192.168/16)

Możesz również wdrożyć udostępnioną przestrzeń adresową zarezerwowaną w specyfikacji RFC 6598, która jest traktowana jako prywatna przestrzeń adresowa IP na platformie Azure:

  • Od 100.64.0.0 do 100.127.255.255 (prefiks 100.64/10)

Inne przestrzenie adresowe, w tym wszystkie inne prywatne przestrzenie adresowe rozpoznawane przez IETF, niezwiązane z routingiem, mogą działać, ale mają niepożądane skutki uboczne.

Ponadto nie można dodać następujących zakresów adresów:

  • 224.0.0.0/4 (multiemisji)
  • 255.255.255.255/32 (emisja)
  • 127.0.0.0/8 (sprzężenia zwrotnego)
  • 169.254.0.0/16 (link lokalny)
  • 168.63.129.16/32 (wewnętrzny system DNS)

Czy mogę mieć publiczne adresy IP w sieciach wirtualnych?

Tak. Aby uzyskać więcej informacji na temat zakresów publicznych adresów IP, zobacz Tworzenie sieci wirtualnej. Publiczne adresy IP nie są bezpośrednio dostępne z Internetu.

Czy istnieje limit liczby podsieci w mojej sieci wirtualnej?

Tak. Aby uzyskać szczegółowe informacje, zobacz Limity sieci. Przestrzenie adresowe podsieci nie mogą się ze sobą nakładać.

Czy istnieją ograniczenia dotyczące używania adresów IP w tych podsieciach?

Tak. Platforma Azure rezerwuje pierwsze cztery adresy i ostatni adres dla łącznie pięciu adresów IP w każdej podsieci.

Na przykład zakres adresów IP 192.168.1.0/24 ma następujące zastrzeżone adresy:

  • 192.168.1.0: Adres sieciowy.
  • 192.168.1.1: Zarezerwowane przez platformę Azure dla bramy domyślnej.
  • 192.168.1.2, 192.168.1.3: Zarezerwowane przez platformę Azure do mapowania adresów IP usługi Azure DNS na przestrzeń sieci wirtualnej.
  • 192.168.1.255: Adres emisji sieciowej.

Jak małe i jak duże mogą być sieci wirtualne i podsieci?

Najmniejsza obsługiwana podsieć IPv4 to /29, a największa to /2 (przy użyciu definicji podsieci CIDR). Podsieci IPv6 muszą mieć dokładnie /64 rozmiar.

Czy mogę przenieść sieci VLAN na platformę Azure przy użyciu sieci wirtualnych?

L.p. Sieci wirtualne to nakładki warstwy 3. Platforma Azure nie obsługuje żadnej semantyki warstwy 2.

Czy mogę określić niestandardowe zasady routingu w sieciach wirtualnych i podsieciach?

Tak. Możesz utworzyć tabelę tras i skojarzyć ją z podsiecią. Aby uzyskać więcej informacji na temat routingu na platformie Azure, zobacz Niestandardowe trasy.

Jakie jest zachowanie podczas stosowania sieciowej grupy zabezpieczeń i trasy zdefiniowanej przez użytkownika w podsieci?

W przypadku ruchu przychodzącego są przetwarzane reguły ruchu przychodzącego sieciowej grupy zabezpieczeń. W przypadku ruchu wychodzącego reguły ruchu wychodzącego sieciowej grupy zabezpieczeń są przetwarzane, a następnie reguły trasy zdefiniowanej przez użytkownika.

Jakie jest zachowanie podczas stosowania sieciowej grupy zabezpieczeń w karcie sieciowej i podsieci dla maszyny wirtualnej?

W przypadku stosowania sieciowych grup zabezpieczeń zarówno w przypadku karty sieciowej, jak i podsieci maszyny wirtualnej:

  • Sieciowa grupa zabezpieczeń na poziomie podsieci, a następnie sieciowa grupa zabezpieczeń na poziomie karty sieciowej, jest przetwarzana dla ruchu przychodzącego.
  • Sieciowa grupa zabezpieczeń na poziomie karty sieciowej, po której następuje sieciowa grupa zabezpieczeń na poziomie podsieci, jest przetwarzana dla ruchu wychodzącego.

Czy sieci wirtualne obsługują multiemisję lub emisję?

L.p. Multiemisji i emisji nie są obsługiwane.

Jakich protokołów można używać w sieciach wirtualnych?

W sieciach wirtualnych można używać protokołów TCP, UDP, ESP, AH i ICMP TCP/IP.

Emisja pojedyncza jest obsługiwana w sieciach wirtualnych. Pakiety multiemisji, emisji, ip-in-IP hermetyzowane i ogólnego hermetyzacji routingu (GRE) są blokowane w sieciach wirtualnych. Nie można użyć protokołu DHCP (Dynamic Host Configuration Protocol) za pośrednictwem emisji pojedynczej (port źródłowy UDP/68, port docelowy UDP/67). Źródłowy port UDP 65330 jest zarezerwowany dla hosta.

Czy mogę wdrożyć serwer DHCP w sieci wirtualnej?

Sieci wirtualne platformy Azure zapewniają usługę DHCP i usługę DNS maszynom wirtualnym platformy Azure. Można jednak również wdrożyć serwer DHCP na maszynie wirtualnej platformy Azure, aby obsługiwać klientów lokalnych za pośrednictwem agenta usługi DHCP Relay.

Serwery DHCP na platformie Azure były wcześniej uważane za niewykonalne, ponieważ ruch do portu UDP/67 był ograniczony na platformie Azure. Jednak najnowsze aktualizacje platformy usunęły ograniczenie szybkości, włączając tę funkcję.

Uwaga

Klient lokalny do serwera DHCP (port źródłowy UDP/68, port docelowy UDP/67) nie jest nadal obsługiwany na platformie Azure, ponieważ ten ruch jest przechwytywany i obsługiwany inaczej. Spowoduje to przekroczenie limitu czasu komunikatów w czasie odnawiania PROTOKOŁU DHCP w T1, gdy klient próbuje bezpośrednio nawiązać połączenie z serwerem DHCP na platformie Azure. Odnawianie DHCP powiedzie się po podjęciu próby odnowienia DHCP w T2 za pośrednictwem agenta usługi DHCP Relay. Aby uzyskać więcej informacji na temat czasomierzy T1 i T2 DHCP RENEW, zobacz RFC 2131.

Czy mogę wysłać polecenie ping do bramy domyślnej w sieci wirtualnej?

L.p. Brama domyślna zapewniana przez platformę Azure nie odpowiada na polecenie ping. Możesz jednak użyć poleceń ping w sieciach wirtualnych, aby sprawdzić łączność i rozwiązać problemy między maszynami wirtualnymi.

Czy mogę użyć tracert do diagnozowania łączności?

Tak.

Czy mogę dodać podsieci po utworzeniu sieci wirtualnej?

Tak. Podsieci można dodawać do sieci wirtualnych w dowolnym momencie, o ile oba te warunki istnieją:

  • Zakres adresów podsieci nie jest częścią innej podsieci.
  • W zakresie adresów sieci wirtualnej jest dostępna przestrzeń.

Czy mogę zmodyfikować rozmiar podsieci po jej utworzeniu?

Tak. Możesz dodawać, usuwać, rozszerzać lub zmniejszać podsieć, jeśli nie wdrożono w niej żadnych maszyn wirtualnych ani usług.

Czy mogę zmodyfikować sieć wirtualną po jej utworzeniu?

Tak. Można dodawać, usuwać i modyfikować bloki CIDR używane przez sieć wirtualną.

Jeśli korzystam z moich usług w sieci wirtualnej, czy mogę nawiązać połączenie z Internetem?

Tak. Wszystkie usługi wdrożone w sieci wirtualnej mogą łączyć się wychodząco z Internetem. Aby dowiedzieć się więcej na temat wychodzących połączeń internetowych na platformie Azure, zobacz Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Jeśli chcesz nawiązać połączenie przychodzące z zasobem wdrożonym za pośrednictwem usługi Azure Resource Manager, zasób musi mieć przypisany publiczny adres IP. Aby uzyskać więcej informacji, zobacz Tworzenie, zmienianie lub usuwanie publicznego adresu IP platformy Azure.

Każda usługa w chmurze wdrożona na platformie Azure ma przypisany publiczny wirtualny adres IP (VIP). Definiujesz wejściowe punkty końcowe dla ról i punktów końcowych paaS dla maszyn wirtualnych, aby umożliwić tym usługom akceptowanie połączeń z Internetu.

Czy sieci wirtualne obsługują protokół IPv6?

Tak. Sieci wirtualne mogą być tylko protokołem IPv4 lub podwójnym stosem (IPv4 + IPv6). Aby uzyskać szczegółowe informacje, zobacz Co to jest protokół IPv6 dla usługi Azure Virtual Network?.

Czy sieć wirtualna może obejmować regiony?

L.p. Sieć wirtualna jest ograniczona do jednego regionu. Jednak sieć wirtualna obejmuje strefy dostępności. Aby dowiedzieć się więcej na temat stref dostępności, zobacz Co to są regiony platformy Azure i strefy dostępności?.

Sieci wirtualne można łączyć w różnych regionach przy użyciu komunikacji równorzędnej sieci wirtualnych. Aby uzyskać szczegółowe informacje, zobacz Komunikacja równorzędna sieci wirtualnych.

Czy mogę połączyć sieć wirtualną z inną siecią wirtualną na platformie Azure?

Tak. Możesz połączyć jedną sieć wirtualną z inną siecią wirtualną przy użyciu jednej z następujących opcji:

  • Komunikacja równorzędna sieci wirtualnych. Aby uzyskać szczegółowe informacje, zobacz Komunikacja równorzędna sieci wirtualnych.
  • Brama sieci VPN platformy Azure. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie połączenia bramy sieci VPN typu sieć-sieć.

Rozpoznawanie nazw (DNS)

Jakie są moje opcje DNS dla sieci wirtualnych?

Tabela decyzyjna w temacie Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure przeprowadzi Cię przez dostępne opcje DNS.

Czy mogę określić serwery DNS dla sieci wirtualnej?

Tak. Adresy IP dla serwerów DNS można określić w ustawieniach sieci wirtualnej. To ustawienie jest stosowane jako domyślny serwer DNS lub serwery dla wszystkich maszyn wirtualnych w sieci wirtualnej.

Ile serwerów DNS można określić?

Zobacz Limity sieci.

Czy mogę zmodyfikować serwery DNS po utworzeniu sieci?

Tak. W dowolnym momencie możesz zmienić listę serwerów DNS dla sieci wirtualnej.

Jeśli zmienisz listę serwerów DNS, musisz przeprowadzić odnawianie dzierżawy DHCP na wszystkich maszynach wirtualnych, których dotyczy problem, w sieci wirtualnej. Nowe ustawienia DNS zostaną zastosowane po odnowieniu dzierżawy. W przypadku maszyn wirtualnych z systemem Windows możesz odnowić dzierżawę, wprowadzając ipconfig /renew bezpośrednio na maszynie wirtualnej. W przypadku innych typów systemu operacyjnego zapoznaj się z dokumentacją dotyczącą odnawiania dzierżawy DHCP.

Co to jest usługa DNS dostarczana przez platformę Azure i czy działa z sieciami wirtualnymi?

Usługa DNS zapewniana przez platformę Azure to wielodostępna usługa DNS firmy Microsoft. Platforma Azure rejestruje wszystkie twoje maszyny wirtualne i wystąpienia roli usługi w chmurze w tej usłudze. Ta usługa zapewnia rozpoznawanie nazw:

  • Według nazwy hosta dla maszyn wirtualnych i wystąpień ról w tej samej usłudze w chmurze.
  • Dzięki w pełni kwalifikowanej głównej domeny (FQDN) dla maszyn wirtualnych i wystąpień ról w tej samej sieci wirtualnej.

Aby dowiedzieć się więcej o systemie DNS, zobacz Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure.

Istnieje ograniczenie do pierwszych 100 usług w chmurze w sieci wirtualnej na potrzeby rozpoznawania nazw między dzierżawami za pośrednictwem usługi DNS udostępnianej przez platformę Azure. Jeśli używasz własnego serwera DNS, to ograniczenie nie ma zastosowania.

Czy mogę zastąpić ustawienia DNS dla każdej maszyny wirtualnej lub usługi w chmurze?

Tak. Można ustawić serwery DNS dla każdej maszyny wirtualnej lub usługi w chmurze, aby zastąpić domyślne ustawienia sieciowe. Zalecamy jednak, aby jak najwięcej używać systemu DNS w całej sieci.

Czy mogę wprowadzić własny sufiks DNS?

L.p. Nie można określić niestandardowego sufiksu DNS dla sieci wirtualnych.

Łączenie maszyn wirtualnych

Czy mogę wdrożyć maszyny wirtualne w sieci wirtualnej?

Tak. Wszystkie karty sieciowe dołączone do maszyny wirtualnej wdrożonej za pośrednictwem modelu wdrażania usługi Resource Manager muszą być połączone z siecią wirtualną. Opcjonalnie można połączyć maszyny wirtualne wdrożone za pośrednictwem klasycznego modelu wdrażania z siecią wirtualną.

Jakie są typy adresów IP, które można przypisać do maszyn wirtualnych?

  • Prywatne: przypisane do każdej karty sieciowej w ramach każdej maszyny wirtualnej za pośrednictwem metody statycznej lub dynamicznej. Prywatne adresy IP są przypisywane z zakresu określonego w ustawieniach podsieci sieci wirtualnej.

    Zasoby wdrożone za pośrednictwem klasycznego modelu wdrażania mają przypisane prywatne adresy IP, nawet jeśli nie są połączone z siecią wirtualną. Zachowanie metody alokacji różni się w zależności od tego, czy wdrożono zasób przy użyciu usługi Resource Manager, czy klasycznego modelu wdrażania:

    • Resource Manager: prywatny adres IP przypisany za pośrednictwem metody dynamicznej lub statycznej pozostaje przypisany do maszyny wirtualnej (Resource Manager), dopóki zasób nie zostanie usunięty. Różnica polega na wybraniu adresu do przypisania podczas korzystania z metody statycznej, a platforma Azure wybiera metodę dynamiczną.
    • Klasyczny: prywatny adres IP przypisany za pośrednictwem metody dynamicznej może ulec zmianie po ponownym uruchomieniu maszyny wirtualnej (klasycznej) po zatrzymaniu (cofnięciu przydziału). Jeśli musisz upewnić się, że prywatny adres IP zasobu wdrożonego za pośrednictwem klasycznego modelu wdrażania nigdy się nie zmienia, przypisz prywatny adres IP przy użyciu metody statycznej.
  • Publicznie: opcjonalnie przypisane do kart sieciowych dołączonych do maszyn wirtualnych wdrożonych za pośrednictwem modelu wdrażania usługi Resource Manager. Adres można przypisać przy użyciu metody alokacji statycznej lub dynamicznej.

    Wszystkie maszyny wirtualne i wystąpienia ról usług Azure Cloud Services wdrożone za pośrednictwem klasycznego modelu wdrażania istnieją w usłudze w chmurze. Usługa w chmurze ma przypisany dynamiczny, publiczny adres VIP. Opcjonalnie możesz przypisać publiczny statyczny adres IP nazywany zastrzeżonym adresem IP jako adres VIP.

    Publiczne adresy IP można przypisać do poszczególnych maszyn wirtualnych lub wystąpień ról usług w chmurze wdrożonych za pomocą klasycznego modelu wdrażania. Te adresy są nazywane publicznymi adresami IP na poziomie wystąpienia i mogą być przypisywane dynamicznie.

Czy mogę zarezerwować prywatny adres IP dla maszyny wirtualnej, która zostanie utworzona w późniejszym czasie?

L.p. Nie można zarezerwować prywatnego adresu IP. Jeśli jest dostępny prywatny adres IP, serwer DHCP przypisuje go do maszyny wirtualnej lub wystąpienia roli. Maszyna wirtualna może być lub nie jest tym, do którego chcesz przypisać prywatny adres IP. Można jednak zmienić prywatny adres IP istniejącej maszyny wirtualnej na dowolny dostępny prywatny adres IP.

Czy prywatne adresy IP zmieniają się dla maszyn wirtualnych w sieci wirtualnej?

To zależy. Jeśli maszyna wirtualna została wdrożona przy użyciu usługi Resource Manager, adresy IP nie mogą ulec zmianie, niezależnie od tego, czy adresy zostały przypisane przy użyciu metody alokacji statycznej, czy dynamicznej. Jeśli maszyna wirtualna została wdrożona przy użyciu klasycznego modelu wdrażania, dynamiczne adresy IP mogą ulec zmianie po uruchomieniu maszyny wirtualnej, która znajdowała się w stanie zatrzymanym (cofnięto przydział).

Adres jest zwalniany z maszyny wirtualnej wdrożonej za pośrednictwem dowolnego modelu wdrażania po usunięciu maszyny wirtualnej.

Czy mogę ręcznie przypisać adresy IP do kart sieciowych w systemie operacyjnym maszyny wirtualnej?

Tak, ale nie zalecamy tego, chyba że jest to konieczne, na przykład podczas przypisywania wielu adresów IP do maszyny wirtualnej. Aby uzyskać szczegółowe informacje, zobacz Przypisywanie wielu adresów IP do maszyn wirtualnych.

Jeśli adres IP przypisany do karty sieciowej platformy Azure dołączony do maszyny wirtualnej ulegnie zmianie, a adres IP w systemie operacyjnym maszyny wirtualnej będzie inny, utracisz łączność z maszyną wirtualną.

Jeśli zatrzymam miejsce wdrożenia usługi w chmurze lub zamknę maszynę wirtualną z poziomu systemu operacyjnego, co się stanie z moimi adresami IP?

Nic nie robić Adresy IP (publiczny adres VIP, publiczny i prywatny) pozostają przypisane do miejsca wdrożenia usługi w chmurze lub maszyny wirtualnej.

Czy mogę przenieść maszyny wirtualne z jednej podsieci do innej podsieci w sieci wirtualnej bez ponownego wdrażania?

Tak. Więcej informacji można znaleźć w artykule Przenoszenie maszyny wirtualnej lub wystąpienia roli do innej podsieci.

Czy mogę skonfigurować statyczny adres MAC dla mojej maszyny wirtualnej?

L.p. Nie można statycznie skonfigurować adresu MAC.

Czy adres MAC pozostaje taki sam dla mojej maszyny wirtualnej po jej utworzeniu?

Tak. Adres MAC pozostaje taki sam dla maszyny wirtualnej wdrożonej zarówno za pośrednictwem usługi Resource Manager, jak i klasycznych modeli wdrażania, dopóki nie zostanie usunięty.

Wcześniej adres MAC został zwolniony, jeśli maszyna wirtualna została zatrzymana (cofnięto jej przydział). Jednak teraz maszyna wirtualna zachowuje adres MAC, gdy jest w stanie cofnięcia przydziału. Adres MAC pozostaje przypisany do karty sieciowej do momentu wykonania jednego z następujących zadań:

  • Usuń kartę sieciową.
  • Zmień prywatny adres IP przypisany do podstawowej konfiguracji adresu IP podstawowej karty sieciowej.

Usługi platformy Azure łączące się z sieciami wirtualnymi

Czy mogę używać usługi Web Apps z siecią wirtualną?

Tak. Funkcję Web Apps usługi aplikacja systemu Azure Service można wdrożyć w sieci wirtualnej przy użyciu środowiska App Service Environment. Następnie można wykonywać czynności takie jak:

  • Połącz zaplecze aplikacji z sieciami wirtualnymi przy użyciu integracji sieci wirtualnej.
  • Zablokuj ruch przychodzący do aplikacji przy użyciu punktów końcowych usługi.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Czy można wdrożyć usługi Cloud Services z rolami sieci Web i procesu roboczego (PaaS) w sieci wirtualnej?

Tak. Możesz (opcjonalnie) wdrożyć wystąpienia ról usług Cloud Services w sieciach wirtualnych. W tym celu należy określić nazwę sieci wirtualnej oraz mapowania roli/podsieci w sekcji konfiguracja sieci konfiguracji usługi. Nie musisz aktualizować żadnych plików binarnych.

Czy mogę połączyć zestaw skalowania maszyn wirtualnych z siecią wirtualną?

Tak. Musisz połączyć zestaw skalowania maszyn wirtualnych z siecią wirtualną.

Czy istnieje pełna lista usług platformy Azure, z których można wdrażać zasoby z sieci wirtualnej?

Tak. Aby uzyskać szczegółowe informacje, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.

Jak ograniczyć dostęp do zasobów PaaS platformy Azure z sieci wirtualnej?

Zasoby wdrożone za pośrednictwem niektórych usług PaaS platformy Azure (takich jak Azure Storage i Azure SQL Database) mogą ograniczyć dostęp sieciowy do sieci wirtualnych za pomocą punktów końcowych usługi sieci wirtualnej lub usługi Azure Private Link. Aby uzyskać szczegółowe informacje, zobacz Punkty końcowe usługi dla sieci wirtualnej i Co to jest usługa Azure Private Link?.

Czy mogę przenieść usługi w sieciach wirtualnych i poza nimi?

L.p. Nie można przenosić usług do i z sieci wirtualnych. Aby przenieść zasób do innej sieci wirtualnej, musisz usunąć i ponownie wdrożyć zasób.

Zabezpieczenia

Jaki jest model zabezpieczeń sieci wirtualnych?

Sieci wirtualne są odizolowane od siebie i od innych usług hostowanych w infrastrukturze platformy Azure. Sieć wirtualna jest granicą zaufania.

Czy mogę ograniczyć przepływ ruchu przychodzącego lub wychodzącego do zasobów połączonych z siecią wirtualną?

Tak. Sieciowe grupy zabezpieczeń można stosować do poszczególnych podsieci w sieci wirtualnej, kart sieciowych dołączonych do sieci wirtualnej lub obu tych grup.

Czy mogę zaimplementować zaporę między zasobami połączonymi z siecią wirtualną?

Tak. Wirtualne urządzenie sieciowe zapory można wdrożyć od kilku dostawców za pośrednictwem witryny Azure Marketplace.

Czy informacje o zabezpieczaniu sieci wirtualnych są dostępne?

Tak. Zobacz Omówienie zabezpieczeń sieci platformy Azure.

Czy sieci wirtualne przechowują dane klientów?

L.p. Sieci wirtualne nie przechowują żadnych danych klientów.

Czy mogę ustawić właściwość FlowTimeoutInMinutes dla całej subskrypcji?

L.p. Należy ustawić właściwość FlowTimeoutInMinutes w sieci wirtualnej. Poniższy kod może pomóc automatycznie ustawić tę właściwość dla większych subskrypcji:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

Interfejsy API, schematy i narzędzia

Czy mogę zarządzać sieciami wirtualnymi z poziomu kodu?

Tak. Interfejsy API REST można używać dla sieci wirtualnych w usłudze Azure Resource Manager i klasycznych modelach wdrażania.

Czy istnieje obsługa narzędzi dla sieci wirtualnych?

Tak. Dowiedz się więcej na temat korzystania z:

Komunikacja równorzędna sieci wirtualnej

Co to jest komunikacja równorzędna sieci wirtualnych?

Komunikacja równorzędna sieci wirtualnych umożliwia łączenie sieci wirtualnych. Połączenie komunikacji równorzędnej między sieciami wirtualnymi umożliwia kierowanie ruchu między nimi prywatnie za pośrednictwem adresów IPv4.

Maszyny wirtualne w równorzędnych sieciach wirtualnych mogą komunikować się ze sobą tak, jakby były w tej samej sieci. Te sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (nazywanych również globalną komunikacją równorzędną sieci wirtualnych).

Możesz również utworzyć połączenia komunikacji równorzędnej sieci wirtualnych w ramach subskrypcji platformy Azure.

Czy mogę utworzyć połączenie komunikacji równorzędnej z siecią wirtualną w innym regionie?

Tak. Globalna komunikacja równorzędna sieci wirtualnych umożliwia komunikację równorzędną sieci wirtualnych w różnych regionach. Globalna komunikacja równorzędna sieci wirtualnych jest dostępna we wszystkich regionach publicznych platformy Azure, regionach chmury w Chinach i regionach chmury dla instytucji rządowych. Nie można globalnie łączyć komunikacji równorzędnej z regionów publicznych platformy Azure do regionów chmury krajowej.

Jeśli dwie sieci wirtualne w dwóch regionach są połączone równorzędnie za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych, nie można nawiązać połączenia z zasobami, które znajdują się za podstawowym modułem równoważenia obciążenia za pośrednictwem adresu IP frontonu tego modułu. To ograniczenie nie istnieje dla standardowego modułu równoważenia obciążenia.

Następujące zasoby mogą używać podstawowych modułów równoważenia obciążenia, co oznacza, że nie można nawiązać z nimi połączenia za pośrednictwem adresu IP frontonu modułu równoważenia obciążenia za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych. Można jednak użyć globalnej komunikacji równorzędnej sieci wirtualnych, aby uzyskać dostęp do zasobów bezpośrednio za pośrednictwem prywatnych adresów IP sieci wirtualnej, jeśli jest to dozwolone.

  • Maszyny wirtualne za podstawowymi modułami równoważenia obciążenia
  • Zestawy skalowania maszyn wirtualnych z podstawowymi modułami równoważenia obciążenia
  • Azure Cache for Redis
  • Azure Application Gateway v1
  • Azure Service Fabric
  • Azure API Management stv1
  • Usługi domenowe Microsoft Entra
  • Azure Logic Apps
  • Azure HDInsight
  • Usługa Azure Batch
  • Funkcja App Service Environment w wersji 1 i 2

Możesz nawiązać połączenie z tymi zasobami za pośrednictwem usługi Azure ExpressRoute lub połączeń między sieciami z wykorzystaniem bram sieci wirtualnej.

Czy mogę włączyć komunikację równorzędną sieci wirtualnych, jeśli moje sieci wirtualne należą do subskrypcji w różnych dzierżawach firmy Microsoft?

Tak. Można ustanowić komunikację równorzędną sieci wirtualnych (lokalną lub globalną), jeśli subskrypcje należą do różnych dzierżaw firmy Microsoft Entra. Można to zrobić za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Moje połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie Zainicjowane. Dlaczego nie mogę nawiązać połączenia?

Jeśli połączenie komunikacji równorzędnej jest w stanie Zainicjowano , utworzono tylko jedno łącze. Aby nawiązać pomyślne połączenie, należy utworzyć łącze dwukierunkowe.

Aby na przykład połączyć równorzędną sieć wirtualną z siecią wirtualną B, należy utworzyć łącze z sieci wirtualnej do sieci VNetB i z sieci VNetB do sieci VNetA. Tworzenie obu łączy zmienia stan na Połączono.

Moje połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie Rozłączone. Dlaczego nie mogę utworzyć połączenia komunikacji równorzędnej?

Jeśli połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie Rozłączone , jeden z utworzonych łączy został usunięty. Aby ponownie ustanowić połączenie komunikacji równorzędnej, należy usunąć pozostałe łącze i ponownie utworzyć oba te połączenia.

Czy mogę połączyć moją sieć wirtualną za pomocą sieci wirtualnej, która znajduje się w innej subskrypcji?

Tak. Sieci wirtualne można łączyć za pomocą komunikacji równorzędnej między subskrypcjami i regionami.

Czy można połączyć równorzędnie dwie sieci wirtualne, które mają pasujące lub nakładające się zakresy adresów?

L.p. Nie można włączyć komunikacji równorzędnej sieci wirtualnych, jeśli przestrzenie adresowe nakładają się na siebie.

Czy mogę połączyć sieć wirtualną z dwiema sieciami wirtualnymi z włączoną opcją Użyj bramy zdalnej w obu komunikacji równorzędnej?

L.p. Możesz włączyć opcję Użyj bramy zdalnej tylko w jednej komunikacji równorzędnej z jedną z sieci wirtualnych.

Czy mogę przenieść sieć wirtualną, która ma połączenie komunikacji równorzędnej z inną siecią wirtualną?

L.p. Nie można przenieść sieci wirtualnej, która ma połączenie komunikacji równorzędnej z inną siecią wirtualną. Przed przeniesieniem sieci wirtualnej należy usunąć połączenie komunikacji równorzędnej.

Za utworzenie połączenia komunikacji równorzędnej sieci wirtualnej nie są naliczane opłaty. Opłata za transfer danych między połączeniami komunikacji równorzędnej jest naliczana. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Azure Virtual Network.

Czy ruch komunikacji równorzędnej sieci wirtualnej jest szyfrowany?

Gdy ruch platformy Azure przechodzi między centrami danych (poza granicami fizycznymi, które nie są kontrolowane przez firmę Microsoft lub w imieniu firmy Microsoft), podstawowy sprzęt sieciowy używa szyfrowania warstwy łącza danych MACsec. To szyfrowanie ma zastosowanie do ruchu komunikacji równorzędnej sieci wirtualnych.

Dlaczego moje połączenie komunikacji równorzędnej jest w stanie Rozłączone?

Połączenia komunikacji równorzędnej sieci wirtualnych przechodzą do stanu Rozłączone po usunięciu jednego łącza komunikacji równorzędnej sieci wirtualnej. Należy usunąć oba łącza, aby ponownie nawiązać pomyślne połączenie komunikacji równorzędnej.

Czy w przypadku komunikacji równorzędnej sieci VNetA z sieciami wirtualnymi I i wirtualnymi sieciami wirtualnymi między sieciami wirtualnymi oznacza to, że sieć wirtualna i sieć wirtualna są równorzędne?

L.p. Przechodnia komunikacja równorzędna nie jest obsługiwana. Musisz ręcznie połączyć wirtualną sieć wirtualną z siecią wirtualną.

Czy istnieją ograniczenia przepustowości dla połączeń komunikacji równorzędnej?

L.p. Komunikacja równorzędna sieci wirtualnych, zarówno lokalna, jak i globalna, nie nakłada żadnych ograniczeń przepustowości. Przepustowość jest ograniczona tylko przez maszynę wirtualną lub zasób obliczeniowy.

Jak rozwiązywać problemy z komunikacją równorzędną sieci wirtualnych?

Wypróbuj przewodnik rozwiązywania problemów.

Virtual Network TAP

Które regiony platformy Azure są dostępne dla sieci wirtualnej TAP?

Wersja zapoznawcza punktu dostępu do terminalu sieci wirtualnej (TAP) jest dostępna we wszystkich regionach świadczenia usługi Azure. Należy wdrożyć monitorowane karty sieciowe, zasób tap sieci wirtualnej oraz rozwiązanie modułu zbierającego lub analitycznego w tym samym regionie.

Czy sieć wirtualna TAP obsługuje jakiekolwiek funkcje filtrowania w dublowanych pakietach?

Funkcje filtrowania nie są obsługiwane w wersji zapoznawczej interfejsu TAP sieci wirtualnej. Po dodaniu konfiguracji tap do karty sieciowej jest przesyłana strumieniowo do miejsca docelowego tap głęboka kopia całego ruchu przychodzącego i wychodzącego na karcie sieciowej.

Czy mogę dodać wiele konfiguracji tap do monitorowanej karty sieciowej?

Monitorowana karta sieciowa może mieć tylko jedną konfigurację tap. Zapoznaj się z indywidualnym rozwiązaniem partnerskim, aby uzyskać możliwość przesyłania strumieniowego wielu kopii ruchu TAP do wybranego narzędzia analitycznego.

Czy ten sam zasób TAP sieci wirtualnej może agregować ruch z monitorowanych kart sieciowych w więcej niż jednej sieci wirtualnej?

Tak. Tego samego zasobu tap sieci wirtualnej można użyć do agregowania dublowanego ruchu z monitorowanych kart sieciowych w równorzędnych sieciach wirtualnych w tej samej subskrypcji lub innej subskrypcji.

Zasób TAP sieci wirtualnej i docelowy moduł równoważenia obciążenia lub docelowa karta sieciowa muszą znajdować się w tej samej subskrypcji. Wszystkie subskrypcje muszą znajdować się w tej samej dzierżawie firmy Microsoft Entra.

Czy istnieją jakiekolwiek zagadnienia dotyczące wydajności ruchu produkcyjnego, jeśli włączę konfigurację sieci wirtualnej TAP na karcie sieciowej?

Interfejs TAP sieci wirtualnej jest w wersji zapoznawczej. W wersji zapoznawczej nie ma umowy dotyczącej poziomu usług. Nie należy używać funkcji dla obciążeń produkcyjnych.

Po włączeniu karty sieciowej maszyny wirtualnej z konfiguracją tap te same zasoby na hoście platformy Azure przydzielone do maszyny wirtualnej do wysyłania ruchu produkcyjnego są używane do wykonywania funkcji dublowania i wysyłania dublowanych pakietów. Wybierz prawidłowy rozmiar maszyny wirtualnej z systemem Linux lub Windows , aby upewnić się, że dla maszyny wirtualnej jest dostępnych wystarczająca ilość zasobów do wysyłania ruchu produkcyjnego i ruchu dublowanego.

Czy przyspieszona sieć dla systemu Linux lub Windows jest obsługiwana za pomocą interfejsu TAP sieci wirtualnej?

Konfigurację tap można dodać na karcie sieciowej dołączonej do maszyny wirtualnej z włączoną przyspieszoną siecią dla systemu Linux lub Windows. Jednak dodanie konfiguracji tap wpłynie na wydajność i opóźnienie na maszynie wirtualnej, ponieważ przyspieszona sieć platformy Azure obecnie nie obsługuje odciążania ruchu dublowania.

Punkty końcowe usługi dla sieci wirtualnej

Jaka jest właściwa sekwencja operacji konfigurowania punktów końcowych usługi w usłudze platformy Azure?

Istnieją dwa kroki zabezpieczania zasobu usługi platformy Azure za pośrednictwem punktów końcowych usługi:

  1. Włącz punkty końcowe usługi dla usługi platformy Azure.
  2. Skonfiguruj listy kontroli dostępu do sieci wirtualnej (ACL) w usłudze platformy Azure.

Pierwszym krokiem jest operacja po stronie sieci, a drugim krokiem jest operacja po stronie zasobu usługi. Ten sam administrator lub inni administratorzy mogą wykonać kroki na podstawie uprawnień kontroli dostępu na podstawie ról (RBAC) platformy Azure przyznanych roli administratora.

Zalecamy włączenie punktów końcowych usługi dla sieci wirtualnej przed skonfigurowaniem list ACL sieci wirtualnej po stronie usługi platformy Azure. Aby skonfigurować punkty końcowe usługi sieci wirtualnej, należy wykonać kroki opisane w poprzedniej sekwencji.

Uwaga

Przed ograniczeniem dostępu usługi platformy Azure do dozwolonej sieci wirtualnej i podsieci należy wykonać obie poprzednie operacje. Włączenie tylko punktów końcowych usługi dla usługi platformy Azure po stronie sieci nie daje ograniczonego dostępu. Należy również skonfigurować listy ACL sieci wirtualnej po stronie usługi platformy Azure.

Niektóre usługi (takie jak Azure SQL i Azure Cosmos DB) zezwalają na wyjątki do poprzedniej sekwencji za pomocą flagi IgnoreMissingVnetServiceEndpoint . Po ustawieniu flagi Truena wartość można skonfigurować listy ACL sieci wirtualnej po stronie usługi platformy Azure przed włączeniem punktów końcowych usługi po stronie sieci. Usługi platformy Azure udostępniają tę flagę, aby pomóc klientom w przypadkach, w których określone zapory IP są skonfigurowane w usługach platformy Azure.

Włączenie punktów końcowych usługi po stronie sieci może prowadzić do spadku łączności, ponieważ źródłowy adres IP zmienia się z publicznego adresu IPv4 na prywatny. Skonfigurowanie list ACL sieci wirtualnej po stronie usługi platformy Azure przed włączeniem punktów końcowych usługi po stronie sieci może pomóc uniknąć spadku łączności.

Uwaga

Jeśli włączysz punkt końcowy usługi w niektórych usługach, takich jak "Microsoft.AzureActiveDirectory", możesz zobaczyć połączenia adresów IPV6 w dziennikach logowania. Firma Microsoft używa wewnętrznego zakresu prywatnego protokołu IPV6 dla tego typu połączenia.

Czy wszystkie usługi platformy Azure znajdują się w sieci wirtualnej platformy Azure, którą zapewnia klient? Jak działa punkt końcowy usługi sieci wirtualnej z usługami platformy Azure?

Nie wszystkie usługi platformy Azure znajdują się w sieci wirtualnej klienta. Większość usług danych platformy Azure (takich jak Azure Storage, Azure SQL i Azure Cosmos DB) to wielodostępne usługi, do których można uzyskać dostęp za pośrednictwem publicznych adresów IP. Aby uzyskać więcej informacji, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.

Po włączeniu punktów końcowych usługi sieci wirtualnej po stronie sieci i skonfigurowaniu odpowiednich list ACL sieci wirtualnej po stronie usługi platformy Azure dostęp do usługi platformy Azure jest ograniczony do dozwolonej sieci wirtualnej i podsieci.

Jak punkty końcowe usługi sieci wirtualnej zapewniają bezpieczeństwo?

Punkty końcowe usługi sieci wirtualnej ograniczają dostęp usługi platformy Azure do dozwolonej sieci wirtualnej i podsieci. W ten sposób zapewniają zabezpieczenia i izolację ruchu usługi platformy Azure na poziomie sieci.

Cały ruch korzystający z punktów końcowych usługi sieci wirtualnej przepływa przez sieć szkieletową firmy Microsoft w celu zapewnienia innej warstwy izolacji od publicznego Internetu. Klienci mogą również w pełni usunąć publiczny dostęp do Internetu do zasobów usługi platformy Azure i zezwolić na ruch tylko z sieci wirtualnej za pośrednictwem kombinacji zapory IP i list ACL sieci wirtualnej. Usunięcie dostępu do Internetu pomaga chronić zasoby usługi platformy Azure przed nieautoryzowanym dostępem.

Co chroni punkt końcowy usługi sieci wirtualnej — zasoby sieci wirtualnej lub zasoby usługi platformy Azure?

Punkty końcowe usługi dla sieci wirtualnej pomagają chronić zasoby usługi platformy Azure. Zasoby sieci wirtualnej są chronione za pośrednictwem sieciowych grup zabezpieczeń.

Czy istnieją jakieś koszty korzystania z punktów końcowych usługi sieci wirtualnej?

L.p. Korzystanie z punktów końcowych usługi sieci wirtualnej nie kosztuje dodatkowych kosztów.

Czy mogę włączyć punkty końcowe usługi sieci wirtualnej i skonfigurować listy ACL sieci wirtualnej, jeśli sieć wirtualna i zasoby usługi platformy Azure należą do różnych subskrypcji?

Tak, jest to możliwe. Sieci wirtualne i zasoby usługi platformy Azure mogą znajdować się w tej samej subskrypcji lub w różnych subskrypcjach. Jedynym wymaganiem jest to, że zarówno sieć wirtualna, jak i zasoby usługi platformy Azure muszą znajdować się w tej samej dzierżawie firmy Microsoft Entra.

Czy mogę włączyć punkty końcowe usługi sieci wirtualnej i skonfigurować listy ACL sieci wirtualnej, jeśli sieć wirtualna i zasoby usługi platformy Azure należą do różnych dzierżaw firmy Microsoft Entra?

Tak, jest możliwe, gdy używasz punktów końcowych usługi dla usług Azure Storage i Azure Key Vault. W przypadku innych usług punkty końcowe usługi sieci wirtualnej i listy ACL sieci wirtualnej nie są obsługiwane w dzierżawach firmy Microsoft Entra.

Czy adres IP urządzenia lokalnego połączony za pośrednictwem bramy sieci wirtualnej platformy Azure (VPN) lub bramy usługi ExpressRoute może uzyskiwać dostęp do usług PaaS platformy Azure za pośrednictwem punktów końcowych usługi sieci wirtualnej?

Domyślnie nie można uzyskać dostępu do zasobów usługi platformy Azure zabezpieczonych w sieciach wirtualnych z sieci lokalnych. Jeśli chcesz zezwolić na ruch ze środowiska lokalnego, musisz również zezwolić na publiczne (zazwyczaj nat) adresy IP ze środowiska lokalnego lub usługi ExpressRoute. Te adresy IP można dodać za pomocą konfiguracji zapory ip dla zasobów usługi platformy Azure.

Alternatywnie można zaimplementować prywatne punkty końcowe dla obsługiwanych usług.

Czy można używać punktów końcowych usługi sieci wirtualnej do zabezpieczania usług platformy Azure w wielu podsieciach w sieci wirtualnej lub w wielu sieciach wirtualnych?

Aby zabezpieczyć usługi platformy Azure w wielu podsieciach w sieci wirtualnej lub w wielu sieciach wirtualnych, włącz punkty końcowe usługi po stronie sieci niezależnie po każdej podsieci. Następnie zabezpiecz zasoby usługi platformy Azure do wszystkich podsieci, konfigurując odpowiednie listy ACL sieci wirtualnej po stronie usługi platformy Azure.

Jak filtrować ruch wychodzący z sieci wirtualnej do usług platformy Azure i nadal korzystać z punktów końcowych usługi?

jeśli chcesz sprawdzić lub filtrować ruch kierowany do usługi platformy Azure z sieci wirtualnej, możesz wdrożyć urządzenie sieci wirtualnej w ramach tej sieci wirtualnej. Następnie można zastosować punkty końcowe usługi do podsieci, w której jest wdrażane wirtualne urządzenie sieciowe i zabezpieczać zasoby usługi platformy Azure tylko w tej podsieci za pośrednictwem list ACL sieci wirtualnej.

Ten scenariusz może być również przydatny, jeśli chcesz ograniczyć dostęp do usługi platformy Azure z sieci wirtualnej tylko do określonych zasobów platformy Azure przy użyciu filtrowania wirtualnego urządzenia sieciowego. Aby uzyskać więcej informacji, zobacz Wdrażanie urządzeń WUS o wysokiej dostępności.

Co się stanie, gdy ktoś uzyskuje dostęp do konta usługi platformy Azure z włączoną listą ACL sieci wirtualnej spoza sieci wirtualnej?

Usługa zwraca błąd HTTP 403 lub HTTP 404.

Czy podsieci sieci wirtualnej utworzonej w różnych regionach mogą uzyskiwać dostęp do konta usługi platformy Azure w innym regionie?

Tak. W przypadku większości usług platformy Azure sieci wirtualne utworzone w różnych regionach mogą uzyskiwać dostęp do usług platformy Azure w innym regionie za pośrednictwem punktów końcowych usługi sieci wirtualnej. Jeśli na przykład konto usługi Azure Cosmos DB znajduje się w regionie Zachodnie stany USA lub Wschodnie stany USA, a sieci wirtualne znajdują się w wielu regionach, sieci wirtualne mogą uzyskiwać dostęp do usługi Azure Cosmos DB.

Usługa Azure SQL jest wyjątkiem i jest regionalna. Zarówno sieć wirtualna, jak i usługa platformy Azure muszą znajdować się w tym samym regionie.

Czy usługa platformy Azure może mieć zarówno listę ACL sieci wirtualnej, jak i zaporę ip?

Tak. Lista ACL sieci wirtualnej i zapora ip mogą współistnieć. Funkcje uzupełniają się, aby zapewnić izolację i bezpieczeństwo.

Co się stanie, jeśli usuniesz sieć wirtualną lub podsieć z włączonymi punktami końcowymi usługi dla usług platformy Azure?

Usuwanie sieci wirtualnych i usuwanie podsieci to niezależne operacje. Są one obsługiwane nawet po włączeniu punktów końcowych usługi dla usług platformy Azure.

Jeśli skonfigurujesz listy ACL sieci wirtualnej dla usług platformy Azure, informacje listy ACL skojarzone z tymi usługami platformy Azure zostaną wyłączone po usunięciu sieci wirtualnej lub podsieci z włączonymi punktami końcowymi usługi sieci wirtualnej.

Co się stanie w przypadku usunięcia konta usługi platformy Azure z włączonym punktem końcowym usługi sieci wirtualnej?

Usunięcie konta usługi platformy Azure jest niezależną operacją. Jest ona obsługiwana, nawet jeśli punkt końcowy usługi jest włączony po stronie sieci i skonfigurować listy ACL sieci wirtualnej po stronie usługi platformy Azure.

Co się stanie ze źródłowym adresem IP zasobu (takim jak maszyna wirtualna w podsieci), który ma włączone punkty końcowe usługi sieci wirtualnej?

Po włączeniu punktów końcowych usługi sieci wirtualnej źródłowe adresy IP zasobów w podsieci sieci wirtualnej przełączają się z używania publicznych adresów IPv4 do używania prywatnych adresów IP sieci wirtualnej platformy Azure dla ruchu do usług platformy Azure. Ten przełącznik może spowodować niepowodzenie określonych zapór ip ustawionych na publiczny adres IPv4 wcześniej w usługach platformy Azure.

Czy trasa punktu końcowego usługi zawsze ma pierwszeństwo?

Punkty końcowe usługi dodają trasę systemową, która ma pierwszeństwo przed trasami protokołu BGP (Border Gateway Protocol) i zapewnia optymalny routing dla ruchu punktu końcowego usługi. Punkty końcowe usługi zawsze przyjmują ruch usługi bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej platformy Microsoft Azure.

Aby uzyskać więcej informacji na temat sposobu wybierania trasy przez platformę Azure, zobacz Routing ruchu w sieci wirtualnej.

Czy punkty końcowe usługi działają z ICMP?

L.p. Ruch ICMP pochodzący z podsieci z włączonymi punktami końcowymi usługi nie spowoduje przejścia ścieżki tunelu usługi do żądanego punktu końcowego. Punkty końcowe usługi obsługują tylko ruch TCP. Jeśli chcesz przetestować opóźnienie lub łączność z punktem końcowym za pośrednictwem punktów końcowych usługi, narzędzia, takie jak ping i tracert, nie będą pokazywać prawdziwej ścieżki, którą będą przyjmować zasoby w podsieci.

Jak sieciowe grupy zabezpieczeń w podsieci działają z punktami końcowymi usługi?

Aby uzyskać dostęp do usługi platformy Azure, sieciowe grupy zabezpieczeń muszą zezwalać na łączność wychodzącą. Jeśli sieciowe grupy zabezpieczeń są otwarte dla całego ruchu wychodzącego z Internetu, ruch punktu końcowego usługi powinien działać. Możesz również ograniczyć ruch wychodzący tylko do adresów IP usługi przy użyciu tagów usługi.

Jakie uprawnienia muszę skonfigurować punkty końcowe usługi?

Punkty końcowe usługi można skonfigurować niezależnie w sieci wirtualnej, jeśli masz dostęp do zapisu w tej sieci.

Aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, musisz mieć uprawnienie Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action dla dodanych podsieci. To uprawnienie jest domyślnie zawarte w wbudowanej roli administratora usługi i można je modyfikować za pomocą tworzenia ról niestandardowych.

Aby uzyskać więcej informacji na temat wbudowanych ról i przypisywania określonych uprawnień do ról niestandardowych, zobacz Role niestandardowe platformy Azure.

Czy mogę filtrować ruch sieci wirtualnej do usług platformy Azure za pośrednictwem punktów końcowych usługi?

Za pomocą zasad punktu końcowego usługi sieci wirtualnej można filtrować ruch sieci wirtualnej do usług platformy Azure, zezwalając tylko na określone zasoby usługi platformy Azure za pośrednictwem punktów końcowych usługi. Zasady punktu końcowego zapewniają szczegółową kontrolę dostępu z ruchu sieci wirtualnej do usług platformy Azure.

Aby dowiedzieć się więcej, zobacz Zasady punktu końcowego usługi dla sieci wirtualnej dla usługi Azure Storage.

Czy identyfikator Entra firmy Microsoft obsługuje punkty końcowe usługi sieci wirtualnej?

Identyfikator Entra firmy Microsoft nie obsługuje natywnie punktów końcowych usługi. Aby uzyskać pełną listę usług platformy Azure, które obsługują punkty końcowe usługi sieci wirtualnej, zobacz Punkty końcowe usługi dla sieci wirtualnej.

Na tej liście tag Microsoft.AzureActiveDirectory wymieniony w obszarze usług obsługujących punkty końcowe usługi jest używany do obsługi punktów końcowych usługi w usłudze Azure Data Lake Storage Gen1. Integracja sieci wirtualnej dla usługi Data Lake Storage Gen1 korzysta z zabezpieczeń punktu końcowego usługi sieci wirtualnej między siecią wirtualną a identyfikatorem Entra firmy Microsoft w celu wygenerowania dodatkowych oświadczeń zabezpieczeń w tokenie dostępu. Te oświadczenia są następnie używane do uwierzytelniania sieci wirtualnej na koncie usługi Data Lake Storage Gen1 i uzyskania dostępu.

Czy istnieją ograniczenia dotyczące liczby punktów końcowych usługi, które mogę skonfigurować z sieci wirtualnej?

Nie ma limitu całkowitej liczby punktów końcowych usługi w sieci wirtualnej. W przypadku zasobu usługi platformy Azure (takiego jak konto usługi Azure Storage) usługi mogą wymuszać limity liczby podsieci używanych do zabezpieczania zasobu. W poniższej tabeli przedstawiono przykładowe limity:

Usługa platformy Azure Limity reguł sieci wirtualnej
Azure Storage 200
Azure SQL 128
Azure Synapse Analytics 128
Azure Key Vault 200
Azure Cosmos DB 64
Azure Event Hubs 128
Azure Service Bus 128

Uwaga

Limity mogą ulec zmianie według uznania usług platformy Azure. Aby uzyskać szczegółowe informacje, zapoznaj się z odpowiednią dokumentacją usługi.

Migracja klasycznych zasobów sieciowych do usługi Resource Manager

Co to jest usługa Azure Service Manager i co oznacza termin "klasyczny"?

Azure Service Manager to stary model wdrażania platformy Azure, który był odpowiedzialny za tworzenie i usuwanie zasobów oraz zarządzanie nimi. Słowo klasyczne w usłudze sieciowej odnosi się do zasobów zarządzanych przez model usługi Azure Service Manager. Aby uzyskać więcej informacji, zobacz porównanie modeli wdrażania.

Co to jest usługa Azure Resource Manager?

Usługa Azure Resource Manager to najnowszy model wdrażania i zarządzania na platformie Azure, który jest odpowiedzialny za tworzenie, zarządzanie i usuwanie zasobów w ramach subskrypcji platformy Azure. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Resource Manager?.

Czy mogę przywrócić migrację po zatwierdzeniu zasobów do usługi Resource Manager?

Migrację można anulować, o ile zasoby są nadal w stanie przygotowanym. Wycofywanie z poprzedniego modelu wdrażania nie jest obsługiwane po pomyślnym przeprowadzeniu migracji zasobów za pośrednictwem operacji zatwierdzania.

Czy mogę przywrócić migrację, jeśli operacja zatwierdzania nie powiodła się?

Nie można cofnąć migracji, jeśli operacja zatwierdzania nie powiodła się. Nie można zmienić wszystkich operacji migracji, w tym operacji zatwierdzania po ich uruchomieniu. Zalecamy ponowienie próby wykonania operacji po krótkim czasie. Jeśli operacja nadal kończy się niepowodzeniem, prześlij wniosek o pomoc techniczną.

Czy mogę zwalidować moją subskrypcję lub moje zasoby, aby sprawdzić, czy można je zmigrować?

Tak. Pierwszym krokiem przygotowania do migracji jest sprawdzenie, czy zasoby można migrować. Jeśli walidacja zakończy się niepowodzeniem, otrzymasz komunikaty ze wszystkich powodów, dla których nie można ukończyć migracji.

Czy zasoby usługi Application Gateway są migrowane w ramach migracji sieci wirtualnej z wersji klasycznej do usługi Resource Manager?

aplikacja systemu Azure zasoby bramy nie są migrowane automatycznie w ramach procesu migracji sieci wirtualnej. Jeśli istnieje w sieci wirtualnej, migracja nie powiedzie się. Aby przeprowadzić migrację zasobu usługi Application Gateway do usługi Resource Manager, należy usunąć i ponownie utworzyć wystąpienie usługi Application Gateway po zakończeniu migracji.

Czy zasoby usługi VPN Gateway są migrowane w ramach migracji sieci wirtualnej z wersji klasycznej do usługi Resource Manager?

Zasoby usługi Azure VPN Gateway są migrowane w ramach procesu migracji sieci wirtualnej. Migracja jest zakończona jedną siecią wirtualną w danym momencie bez innych wymagań. Kroki migracji są takie same jak w przypadku migrowania sieci wirtualnej bez bramy sieci VPN.

Czy przerwa w działaniu usługi jest skojarzona z migracją klasycznych bram sieci VPN do usługi Resource Manager?

Podczas migracji do usługi Resource Manager nie wystąpią żadne przerwy w działaniu usługi w połączeniu sieci VPN. Istniejące obciążenia będą nadal działać z pełną łącznością lokalną podczas migracji.

Czy muszę ponownie skonfigurować urządzenie lokalne po przeprowadzeniu migracji bramy sieci VPN do usługi Resource Manager?

Publiczny adres IP skojarzony z bramą sieci VPN pozostaje taki sam po migracji. Nie trzeba ponownie konfigurować routera lokalnego.

Jakie są obsługiwane scenariusze migracji bramy sieci VPN z wersji klasycznej do usługi Resource Manager?

Migracja z wersji klasycznej do usługi Resource Manager obejmuje większość typowych scenariuszy łączności sieci VPN. Obsługiwane scenariusze obejmują:

  • Łączność punkt-lokacja.

  • Łączność typu lokacja-lokacja z bramą sieci VPN połączoną z lokalizacją lokalną.

  • Łączność między dwiema sieciami wirtualnymi korzystającymi z bram sieci VPN.

  • Wiele sieci wirtualnych połączonych z tą samą lokalizacją lokalną.

  • Łączność z wieloma lokacjami.

  • Sieci wirtualne z włączonym wymuszonym tunelowaniem.

Które scenariusze nie są obsługiwane w przypadku migracji bramy sieci VPN z wersji klasycznej do usługi Resource Manager?

Scenariusze, które nie są obsługiwane, obejmują:

  • Sieć wirtualna z bramą usługi ExpressRoute i bramą sieci VPN.

  • Sieć wirtualna z bramą usługi ExpressRoute połączoną z obwodem w innej subskrypcji.

  • Scenariusze tranzytowe, w których rozszerzenia maszyn wirtualnych są połączone z serwerami lokalnymi.

Gdzie można znaleźć więcej informacji na temat migracji z wersji klasycznej do usługi Resource Manager?

Zobacz Często zadawane pytania dotyczące migracji klasycznej do usługi Azure Resource Manager.

Jak zgłosić problem?

Pytania dotyczące problemów z migracją można opublikować na stronie Pytań i odpowiedzi firmy Microsoft. Zalecamy opublikowanie wszystkich pytań na tym forum. Jeśli masz umowę pomocy technicznej, możesz również złożyć wniosek o pomoc techniczną.