Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Virtual Network to usługa, która zapewnia podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Wystąpienie usługi (sieć wirtualna) umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Te zasoby platformy Azure obejmują maszyny wirtualne.
Sieć wirtualna jest podobna do tradycyjnej sieci, którą można obsługiwać we własnym centrum danych. Jednak zapewnia dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.
Dlaczego warto używać sieci wirtualnej platformy Azure?
Najważniejsze scenariusze, które można wykonać za pomocą sieci wirtualnej, obejmują:
Komunikacja zasobów platformy Azure z Internetem.
Komunikacja między zasobami platformy Azure.
Komunikacja z zasobami lokalnymi.
Filtrowanie ruchu sieciowego.
Routing ruchu sieciowego.
Integracja z usługami platformy Azure.
Komunikacja z Internetem
Wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się z internetem wychodząco. Do zarządzania połączeniami wychodzącymi można również użyć publicznego adresu IP, bramy sieciowej NAT lub publicznego modułu równoważenia obciążenia. Możesz nawiązać komunikację z zasobem, przypisując publiczny adres IP lub publiczny load balancer.
Jeśli używasz tylko wewnętrznego standardowego modułu równoważenia obciążenia, łączność wychodząca nie jest dostępna, dopóki nie zdefiniujesz sposobu pracy połączeń wychodzących z publicznym adresem IP na poziomie wystąpienia lub publicznym modułem równoważenia obciążenia.
Komunikacja między zasobami platformy Azure
Zasoby platformy Azure komunikują się bezpiecznie ze sobą nawzajem, korzystając z jednego z następujących sposobów:
- Sieć wirtualna: maszyny wirtualne i inne typy zasobów platformy Azure można wdrożyć w sieci wirtualnej. Przykłady zasobów obejmują środowiska App Service Environment, usługę Azure Kubernetes Service (AKS) i zestawy skalowania maszyn wirtualnych platformy Azure. Aby wyświetlić pełną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.
Uwaga
Aby przenieść maszynę wirtualną z jednej sieci wirtualnej do innej, musisz usunąć i ponownie utworzyć maszynę wirtualną w nowej sieci wirtualnej. Dyski maszyny wirtualnej można przechowywać do użycia na nowej maszynie wirtualnej.
Punkt końcowy usługi sieci wirtualnej: możesz rozszerzyć prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej na zasoby usługi platformy Azure za pośrednictwem bezpośredniego połączenia. Przykłady zasobów obejmują konta usługi Azure Storage i usługę Azure SQL Database. Punkty końcowe usługi umożliwiają zabezpieczenie krytycznych zasobów Azure wyłącznie do sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Punkty końcowe usługi sieci wirtualnej.
Peering sieci wirtualnych: sieci wirtualne można łączyć ze sobą za pomocą peeringu wirtualnego. Zasoby w obu sieciach wirtualnych mogą następnie komunikować się ze sobą. Połączone sieci wirtualne mogą znajdować się w tych samych lub różnych regionach świadczenia usługi Azure. Aby dowiedzieć się więcej, zobacz Peering sieci wirtualnej.
Komunikacja z zasobami lokalnymi
Możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu dowolnej z następujących opcji:
Wirtualna sieć prywatna typu punkt-sieć (VPN): Ustanowiona pomiędzy siecią wirtualną a pojedynczym komputerem w Twojej sieci. Każdy komputer, który chce nawiązać łączność z siecią wirtualną, musi skonfigurować swoje połączenie. Ten typ połączenia jest przydatny, jeśli dopiero zaczynasz korzystać z platformy Azure lub dla deweloperów, ponieważ wymaga to kilku lub żadnych zmian w istniejącej sieci. Komunikacja pomiędzy komputerem i siecią wirtualną jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).
Site-to-site VPN: ustanowiona między lokalnym urządzeniem VPN i bramą VPN platformy Azure wdrożoną w wirtualnej sieci. Ten typ połączenia umożliwia dowolnym zasobom lokalnym, które uzyskają autoryzację, uzyskiwanie dostępu do sieci wirtualnej. Komunikacja między lokalnym urządzeniem VPN i bramą Azure VPN Gateway jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz Sieć VPN typu lokacja-lokacja.
Azure ExpressRoute: połączenie nawiązywane pomiędzy siecią i platformą Azure za pośrednictwem partnera usługi ExpressRoute. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure ExpressRoute?.
Filtrowanie ruchu sieciowego
Ruch sieciowy między podsieciami można filtrować przy użyciu jednej lub obu następujących opcji:
Sieciowe grupy zabezpieczeń: sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Te reguły umożliwiają filtrowanie ruchu do i z zasobów według źródłowego i docelowego adresu IP, portu i protokołu. Aby dowiedzieć się więcej, zobacz Sieciowe grupy zabezpieczeń i Grupy zabezpieczeń aplikacji.
Wirtualne urządzenia sieciowe: wirtualne urządzenie sieciowe to maszyna wirtualna, która wykonuje funkcję sieciową, taką jak zapora lub optymalizacja sieci WAN. Aby wyświetlić listę dostępnych wirtualnych urządzeń sieciowych, które można wdrożyć w sieci wirtualnej, przejdź do witryny Azure Marketplace.
Kierowanie ruchem sieciowym
Platforma Azure domyślnie kieruje ruch między podsieciami, połączonymi sieciami wirtualnymi, sieciami lokalnymi i Internetem. Aby zastąpić trasy domyślne tworzone przez platformę Azure, możesz zaimplementować jedną lub obie z następujących opcji:
Tabele tras: można tworzyć niestandardowe tabele tras, które kontrolują, gdzie ruch jest kierowany do każdej podsieci.
Trasy protokołu BGP (Border Gateway Protocol): jeśli łączysz sieć wirtualną z siecią lokalną przy użyciu bramy sieci VPN platformy Azure lub połączenia usługi ExpressRoute , możesz propagować lokalne trasy protokołu BGP do sieci wirtualnych.
Integracja z usługami platformy Azure
Integrowanie usług platformy Azure z siecią wirtualną platformy Azure umożliwia prywatny dostęp do usługi z maszyn wirtualnych lub zasobów obliczeniowych w sieci wirtualnej. W przypadku tej integracji można użyć następujących opcji:
Wdróż dedykowane instancje usługi w sieci wirtualnej. Następnie usługi mogą być dostępne prywatnie w sieci wirtualnej i z sieci lokalnych.
Użyj usługi Azure Private Link , aby prywatnie uzyskać dostęp do określonego wystąpienia usługi z sieci wirtualnej oraz z sieci lokalnych.
Uzyskaj dostęp do usługi za pomocą publicznych punktów końcowych, rozszerzając sieć wirtualną do usługi za pośrednictwem punktów końcowych usługi. Punkty końcowe usługi umożliwiają zabezpieczanie zasobów usługi w sieci wirtualnej.
Limity
Istnieją limity liczby zasobów platformy Azure, które można wdrożyć. Większość limitów sieci platformy Azure wynosi maksymalną wartość. Można jednak zwiększyć pewne limity sieci. Aby uzyskać więcej informacji, zobacz Limity sieci.
Sieci wirtualne i strefy dostępności
Sieci wirtualne i podsieci obejmują wszystkie strefy dostępności w regionie. Nie musisz dzielić ich według stref dostępności, aby pomieścić zasoby strefowe. Jeśli na przykład skonfigurujesz strefową maszynę wirtualną, nie musisz brać pod uwagę sieci wirtualnej podczas wybierania strefy dostępności dla maszyny wirtualnej. To samo dotyczy innych zasobów strefowych.
Cennik
Za korzystanie z usługi Azure Virtual Network nie są naliczane opłaty. Jest to bezpłatne. Opłaty standardowe dotyczą zasobów, takich jak maszyny wirtualne i inne produkty. Aby dowiedzieć się więcej, zobacz Cennik usługi Virtual Network i kalkulator cen platformy Azure.
Następne kroki
Dowiedz się więcej o pojęciach i najlepszych rozwiązaniach dotyczących usługi Azure Virtual Network
Rozpocznij pracę z siecią wirtualną, tworząc ją, wdrażając kilka maszyn wirtualnych i komunikując się między maszynami wirtualnymi. Aby dowiedzieć się, jak to zrobić, zobacz przewodnik "Szybki start, Tworzenie sieci wirtualnej przy użyciu portalu Azure".
Postępuj zgodnie z modułem szkoleniowym dotyczącym projektowania i implementowania podstawowej infrastruktury sieci platformy Azure, w tym sieci wirtualnych: wprowadzenie do sieci wirtualnych platformy Azure.