描述 Azure 虚拟网络

已完成

Azure 虚拟网络和虚拟子网允许 Azure 资源(例如 VM、Web 应用和数据库)相互通信、与 Internet 上的用户通信,以及与本地客户端计算机通信。 可以将 Azure 网络视为本地网络的扩展,其中包含链接其他 Azure 资源的资源。

Azure 虚拟网络提供以下重要的网络功能:

  • 隔离和分段
  • Internet 通信
  • Azure 资源之间的通信
  • 与本地资源通信
  • 路由网络流量
  • 筛选网络流量
  • 连接虚拟网络

Azure 虚拟网络支持公共和专用终结点,从而实现外部或内部资源与其他内部资源之间的通信。

  • 公共终结点使用公共 IP 地址,可从全球任意位置访问。
  • 专用终结点位于某个虚拟网络中,并使用该虚拟网络的地址空间内部的专用 IP 地址。

隔离和细分

通过 Azure 虚拟网络,可以创建多个隔离的虚拟网络。 设置虚拟网络时,请使用公共或专用 IP 地址范围定义一个专用 Internet 协议 (IP) 地址空间。 IP 范围仅存在于虚拟网络中,不可通过 Internet 路由。 可将该 IP 地址空间划分为子网,并将部分已定义的地址空间分配给每个命名的子网。

可以使用 Azure 中内置的名称解析服务进行名称解析。 也可以将虚拟网络配置为使用内部或外部 DNS 服务器。

Internet 通信

可以通过为 Azure 资源分配公共 IP 地址或将资源置于公共负载均衡器后面来启用从 Internet 传入的连接。

Azure 资源之间的通信

需要让 Azure 资源能够安全地进行相互通信。 为此,可使用下列任一方式:

  • 虚拟网络不仅可以连接 VM,也可以连接其他 Azure 资源,例如用于 Power Apps 的应用服务环境、Azure Kubernetes 服务和 Azure 虚拟机规模集。
  • 服务终结点可以连接到其他 Azure 资源类型,例如 Azure SQL 数据库和存储帐户。 此方法可以将多个 Azure 资源连接到虚拟网络,从而提高安全性并在资源之间提供最佳路由。

与本地资源通信

可以通过 Azure 虚拟网络将本地环境中的和 Azure 订阅中的资源链接到一起。 实际上就是可以创建一个横跨本地环境和云环境的网络。 可以通过三种机制实现此连接:

  • 点到站点虚拟专用网络连接是将组织外部的计算机连接回企业网络。 在这种情况下,客户端计算机会启动加密 VPN 连接,以连接到 Azure 虚拟网络。
  • 站点到站点虚拟专用网络将本地 VPN 设备或网关链接到虚拟网络中的 Azure VPN 网关。 实际上,Azure 中的设备看起来可能就像在本地网络中一样。 连接经过加密,是通过 Internet 进行的。
  • Azure ExpressRoute 提供到 Azure 的专用连接,该连接不经过 Internet。 ExpressRoute 适用于需要更大带宽甚至更高安全级别的环境。

路由网络流量

默认情况下,Azure 会在任何连接的虚拟网络的子网、本地网络以及 Internet 之间路由流量。 也可以控制路由并覆盖这些设置,如下所示:

  • 可以通过路由表来定义流量定向规则。 可以创建自定义路由表,用于控制数据包在子网之间的路由方式。
  • 边界网关协议 (BGP) 适用于 Azure VPN 网关、Azure 路由服务器或 Azure ExpressRoute,以将本地 BGP 路由传播到 Azure 虚拟网络。

筛选网络流量

Azure 虚拟网络允许使用以下方法筛选子网之间的流量:

  • 网络安全组是一种 Azure 资源,可以包含多个入站和出站安全规则。 可以根据源和目标 IP 地址、端口和协议等因素来定义这些允许或阻止流量的规则。
  • 网络虚拟设备是一种可以与强化网络设备媲美的专用 VM。 网络虚拟设备执行特定的网络功能,例如运行防火墙或执行广域网 (WAN) 优化。

连接虚拟网络

可以通过虚拟网络对等互连将虚拟网络链接到一起。 对等互连让两个虚拟网络可以直接相互连接。 对等网络之间的网络流量是专用的,并且在 Microsoft 主干网络上传输,从不进入公共 Internet。 每个虚拟网络中的资源可以通过对等互连相互通信。 这些虚拟网络可能位于不同的区域。 使用此功能可以通过 Azure 创建全球互连网络。

可以通过用户定义的路由 (UDR) 控制虚拟网络中的子网之间或虚拟网络之间的路由表。 这样就可以更好地控制网络流量流。