你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

可靠性和 Azure 虚拟网络

Azure 虚拟网络是专用网络的基本构建基块，它使 Azure 资源能够安全地相互通信、Internet 和本地网络。

Azure 虚拟网络的主要功能包括：

• 与 Azure 资源通信
• 与 Internet 通信
• 与本地资源的通信
• 网络流量筛选

有关详细信息，请参阅什么是 Azure 虚拟网络？

若要了解 Azure 虚拟网络如何支持可靠的工作负载，请参阅以下主题：

• 教程：跨区域移动 Azure VM
• 快速入门：使用 Azure 门户创建虚拟网络
• 虚拟网络 - 业务连续性

设计注意事项

虚拟网络 (VNet) 包括可靠 Azure 工作负载的以下设计注意事项：

• 本地和 Azure 区域中重叠的 IP 地址空间会导致重大的争用挑战。
• 虽然可以在创建后添加虚拟网络地址空间，但如果虚拟网络已通过对等互连连接到另一个虚拟网络，则此过程需要中断。 由于删除并重新创建虚拟网络对等互连，因此必须中断。
• 对等互连虚拟网络的大小调整为 公共预览版 (2021 年 8 月 20 日) 。
• 某些 Azure 服务确实需要 专用子网，例如：
  • Azure 防火墙
  • Azure Bastion
  • 虚拟网络网关
• 可以将子网委托给某些服务，以在子网中创建该服务的实例。
• Azure 在每个子网中保留五个 IP 地址，在调整虚拟网络和包含子网的大小时，应考虑到这些地址。

清单

是否在配置 Azure 虚拟网络时考虑到可靠性？

• 使用 Azure DDoS 标准保护计划来保护客户虚拟网络中托管的所有公共终结点。
• 企业客户必须在 Azure 中规划 IP 寻址，以确保在考虑的本地位置和 Azure 区域之间没有重叠的 IP 地址空间。
• 使用专用 Internet 地址分配中的 IP 地址 (征求意见 (RFC) 1918) 。
• 对于专用 IP 地址 (RFC 1918) 可用性有限的环境，请考虑使用 IPv6。
• 例如，不要创建不必要的大型虚拟网络 (： /16) ，以确保不会浪费不必要的 IP 地址空间。
• 不要在未提前规划所需地址空间的情况下创建虚拟网络。
• 不要对虚拟网络使用公共 IP 地址，尤其是在公共 IP 地址不属于客户的情况下。
• 使用 VNet 服务终结点从客户 VNet 内部保护对 Azure 平台即服务 (PaaS) 服务的访问。
• 若要解决服务终结点的数据外泄问题，请使用网络虚拟设备 (NVA) 筛选和 Azure 存储的 VNet 服务终结点策略。
• 不要实施强制隧道来启用从 Azure 到 Azure 资源的通信。
• 通过 ExpressRoute 专用对等互连从本地访问 Azure PaaS 服务。
• 若要在 VNet 注入或专用链接不可用时从本地网络访问 Azure PaaS 服务，请在没有数据外泄问题时将 ExpressRoute 与 Microsoft 对等互连配合使用。
• 不要将本地外围网络 (也称为 DMZ、外围化区域以及筛选子网) 概念和体系结构复制到 Azure 中。
• 确保已注入虚拟网络的 Azure PaaS 服务之间的通信在虚拟网络内使用用户定义的路由 (UDR) 和网络安全组 (NSG) 锁定。
• 除非使用 NVA 筛选，否则存在数据外泄问题时，请勿使用 VNet 服务终结点。
• 默认情况下，不要在所有子网上启用 VNet 服务终结点。

配置建议

在配置 Azure 虚拟网络时，请考虑以下建议来优化可靠性：

建议	说明
不要在未提前规划所需地址空间的情况下创建虚拟网络。	通过虚拟网络对等互连连接虚拟网络后，添加地址空间将导致中断。
使用 VNet 服务终结点从客户 VNet 内部保护对 Azure 平台即服务 (PaaS) 服务的访问。	仅当专用链接不可用且不存在数据外泄问题时。
通过 ExpressRoute 专用对等互连从本地访问 Azure PaaS 服务。	对专用 Azure 服务使用 VNet 注入，或者对可用的共享 Azure 服务使用Azure 专用链接。
若要在 VNet 注入或专用链接不可用时从本地网络访问 Azure PaaS 服务，请在没有数据外泄问题时将 ExpressRoute 与 Microsoft 对等互连配合使用。	避免通过公共 Internet 传输。
不要将本地外围网络 (也称为 DMZ、外围化区域以及筛选子网) 概念和体系结构复制到 Azure 中。	客户可以在 Azure 中获得与本地类似的安全功能，但实施和体系结构需要适应云。
确保已注入虚拟网络的 Azure PaaS 服务之间的通信在虚拟网络内使用用户定义的路由 (UDR) 和网络安全组 (NSG) 锁定。	已注入虚拟网络的 Azure PaaS 服务仍使用公共 IP 地址执行管理平面操作。

后续步骤

卓越运营和 Azure 虚拟网络