可靠性和 Azure 虛擬網路
Azure 虛擬網路是私人網路的基本建置組塊,可讓 Azure 資源安全地彼此通訊、網際網路和內部部署網路。
Azure 虛擬網路的主要功能包括:
如需詳細資訊,請參閱什麼是 Azure 虛擬網路?
若要瞭解 Azure 虛擬網路如何支援可靠的工作負載,請參閱下列主題:
設計考量
虛擬網路 (VNet) 包含下列可靠 Azure 工作負載的設計考慮:
- 內部部署位置與 Azure 區域之間若有重疊的 IP 位址空間,會造成重大競爭挑戰。
- 雖然建立之後可以新增虛擬網路位址空間,但如果虛擬網路已經透過對等互連連線到另一個虛擬網路,此程式會要求中斷。 因為刪除並重新建立虛擬網路對等互連,所以需要中斷。
- 對等互連虛擬網路的大小調整為 公開預覽 版, (2021 年 8 月 20 日) 。
- 某些 Azure 服務確實需要 專用子網,例如:
- Azure 防火牆
- Azure Bastion
- 虛擬網路閘道
- 子網可以委派給特定服務,以在子網內建立該服務的實例。
- Azure 會在每個子網內保留五個 IP 位址,在調整虛擬網路大小和包含的子網時應納入考慮。
檢查清單
您是否已將 Azure 虛擬網路設定為可靠性?
- 使用 Azure DDoS 標準保護計劃來保護客戶虛擬網路內裝載的所有公用端點。
- 企業客戶必須在 Azure 中規劃 IP 位址,以確保在考慮的內部部署位置和 Azure 區域之間沒有重迭的 IP 位址空間。
- 使用私人網際網路位址配置中的 IP 位址, (要求批註 (RFC) 1918) 。
- 對於有限私人 IP 位址的環境, (RFC 1918) 可用性,請考慮使用 IPv6。
- 例如,請勿 (建立不必要的大型虛擬網路:
/16
) 以確保不會浪費不必要的 IP 位址空間。 - 請勿事先規劃所需的位址空間,即可建立虛擬網路。
- 請勿對虛擬網路使用公用 IP 位址,特別是公用 IP 位址不屬於客戶時。
- 使用 VNet 服務端點來保護從客戶 VNet 記憶體取 Azure 平臺即服務 (PaaS) 服務。
- 若要解決服務端點的資料外泄問題,請使用網路虛擬裝置 (NVA) 篩選和 Azure 儲存體的 VNet 服務端點原則。
- 請勿實作強制通道,以啟用從 Azure 到 Azure 資源的通訊。
- 透過 ExpressRoute 私人對等互連從內部部署存取 Azure PaaS 服務。
- 若要在無法使用 VNet 插入或Private Link時從內部部署網路存取 Azure PaaS 服務,請在沒有資料外流考慮時,搭配使用 ExpressRoute 與 Microsoft 對等互連。
- 請勿將內部部署周邊網路 (也稱為 DMZ、非目的地區域,以及已篩選的子網) 概念和架構複寫至 Azure。
- 請確定已插入虛擬網路的 Azure PaaS 服務之間的通訊已鎖定在虛擬網路內,使用使用者定義的路由 (UDR) 和網路安全性群組 (NSG) 。
- 除非使用 NVA 篩選,否則當有資料外流考慮時,請勿使用 VNet 服務端點。
- 請勿在所有子網上預設啟用 VNet 服務端點。
組態建議
設定 Azure 虛擬網路時,請考慮下列建議,以將可靠性優化:
建議 | Description |
---|---|
請勿事先規劃所需的位址空間,即可建立虛擬網路。 | 新增位址空間會在虛擬網路透過虛擬網路對等互連連線後造成中斷。 |
使用 VNet 服務端點來保護從客戶 VNet 記憶體取 Azure 平臺即服務 (PaaS) 服務。 | 只有當Private Link無法使用,且沒有資料外流考慮時。 |
透過 ExpressRoute 私人對等互連從內部部署存取 Azure PaaS 服務。 | 針對專用 Azure 服務使用 VNet 插入,或針對可用的共用 Azure 服務使用Azure Private Link。 |
若要在無法使用 VNet 插入或Private Link時從內部部署網路存取 Azure PaaS 服務,請在沒有資料外流考慮時,搭配使用 ExpressRoute 與 Microsoft 對等互連。 | 避免透過公用網際網路傳輸。 |
請勿將內部部署周邊網路 (也稱為 DMZ、非目的地區域,以及已篩選的子網) 概念和架構複寫至 Azure。 | 客戶可以在 Azure 中取得與內部部署類似的安全性功能,但實作和架構必須適應雲端。 |
請確定已插入虛擬網路的 Azure PaaS 服務之間的通訊已鎖定在虛擬網路內,使用使用者定義的路由 (UDR) 和網路安全性群組 (NSG) 。 | 已插入虛擬網路的 Azure PaaS 服務仍會使用公用 IP 位址執行管理平面作業。 |