共用方式為

規劃虛擬網路

  • 發行項

建立要實驗的虛擬網路已經足夠簡單,但您可能會隨著時間部署多個虛擬網路,以支援組織的生產需求。 透過一些規劃,您可以部署虛擬網路,並更有效率地連線所需的資源。 本文章在您已經很熟悉虛擬網路,並具備相關使用經驗的前提之下,將能提供最多的幫助。 如果您不熟悉虛擬網路,建議您閱讀 虛擬網路概觀

命名

所有 Azure 資源都有名稱。 名稱在範圍內必須是唯一的,每個資源類型可能會有所不同。 例如,虛擬網路的名稱在資源群組內必須是唯一的,但您可以在訂用帳戶或 Azure 區域內使用重複的名稱。 定義命名慣例,當您在一段時間內管理數個網路資源時,可以一致地使用。 如需建議,請參閱命名慣例

地區

所有 Azure 資源都是在 Azure 區域和訂閱中建立的。 您只能在與資源位於相同區域和訂用帳戶的虛擬網路中建立資源。 但是,您可以連接存在於不同訂用帳戶和區域中的虛擬網路。 如需詳細資訊,請參閱連線性。 當您決定要部署資源的區域時,請考慮資源的取用者位於何處:

  • 您是否有低網路等待時間? 資源的取用者通常會希望將其資源的網路延遲降至最低。 若要判斷指定的位置與 Azure 區域之間的相對延遲,請參閱檢視相對延遲
  • 您是否有資料落地、主權、合規性或復原需求? 如果是,選擇能符合這些需求的區域很重要。 如需詳細資訊,請參閱 Azure 的地理區
  • 您是否需要針對您所部署的資源,在相同 Azure 區域內跨 Azure 可用性區域進行復原? 您可以將虛擬機器(VM)等資源部署到相同虛擬網路內的不同可用性區域。 並非所有 Azure 區域都支援可用性區域。 若要深入了解可用性區域和支援此功能的區域,請參閱可用性區域

訂用帳戶

您可以在每個訂用帳戶內,部署限制之內的多個虛擬網路。 例如,有些組織針對不同部門會有不同的訂閱。 如需訂用帳戶的詳細資訊和相關考量,請參閱訂用帳戶治理

分割

您可以為每個訂閱和每個區域建立多個虛擬網路。 您可以在每個虛擬網路內建立多個子網路。 下列考慮可協助您判斷所需的虛擬網路和子網數目。

虛擬網路

虛擬網路為 Azure 公用網路的虛擬、隔離部分。 每個虛擬網路都專屬於您的訂閱。 當您決定要在訂用帳戶中建立一個虛擬網路或多個虛擬網路時,請考慮下列幾點:

  • 是否存在任何組織安全性需求,要將流量隔離到不同的虛擬網路? 您可以選擇是否要連線虛擬網路。 如果您連線到虛擬網路,則可以實作網路虛擬設備 (例如防火牆) 來控制虛擬網路之間的流量。 如需詳細資訊,請參閱安全性和連線能力
  • 是否存在任何組織需求,要將虛擬網路隔離到不同的訂用帳戶區域
  • 您是否有 網路介面 需求? 網路介面可讓 VM 與其他資源進行通訊。 每個網路介面都會獲指派一或多個私人 IP 位址。 您在虛擬網路中需要多少個網路介面和私人 IP 位址? 您在虛擬網路內可以擁有的網路介面和私人 IP 位址數目有限制
  • 是否要將虛擬網路連線到另一個虛擬網路或內部部署網路? 您可能會決定將某些虛擬網路彼此或內部部署網路連線,但不會連線到其他虛擬網路。 如需詳細資訊,請參閱連線性。 您連線到另一個虛擬網路或內部部署網路的每個虛擬網路都必須有唯一的位址空間。 每個虛擬網路都會有一或多個公用或私人位址範圍指派給其位址空間。 位址範圍是以無類別網域間路由選擇 (CIDR) 格式指定,例如 10.0.0.0/16。 深入了解虛擬網路的位址範圍
  • 針對不同虛擬網路中的資源,是否有任何組織管理需求? 若是如此,您可以將資源分成不同的虛擬網路,以簡化 對組織中的個人的許可權指派 ,或將不同的原則指派給不同的虛擬網路。
  • 您是否有可建立自己虛擬網路的資源需求? 當您將某些 Azure 服務資源部署到虛擬網路時,它們會建立自己的虛擬網路。 若要判斷 Azure 服務是否建立自己的虛擬網路,請參閱您可以部署到虛擬網路的每個 Azure 服務資訊。

子網路

您可以將虛擬網路分割成一或多個子網,以 達到限制。 當您決定要在訂用帳戶中建立一個子網或多個虛擬網路時,請考慮下列幾點:

  • 在虛擬網路的位址空間內,每個子網都有唯一的位址範圍,以CIDR格式指定。 此位址範圍不能與虛擬網路中的其他子網路重疊。
  • 請注意,如果您打算將某些 Azure 服務資源部署到虛擬網路,則可能需要或建立自己的子網。 必須有足夠的未配置空間,才能這麼做。 若要判斷 Azure 服務是否建立自己的子網,請參閱您可以部署到虛擬網路的每個 Azure 服務資訊。 例如,如果您使用 Azure VPN 閘道將虛擬網路連線到內部部署網路,虛擬網路必須有閘道的專用子網。 深入了解閘道子網路
  • 覆寫虛擬網路中所有子網之間的網路流量預設路由。 例如,您想要防止子網之間的 Azure 路由,或透過網路虛擬設備路由子網之間的流量。 如果您需要相同虛擬網路中的資源之間的流量流經網路虛擬設備 (NVA),請將資源部署到不同的子網。 深入了解 安全性
  • 將 Azure 資源的存取限制為具有虛擬網路服務端點的特定子網,例如 Azure 儲存體 帳戶或 Azure SQL 資料庫。 此外,您可以拒絕來自網際網路的資源存取。 您可以建立多個子網,並啟用某些子網的服務端點,但不能啟用其他子網。 深入瞭解 服務端點 和您可以為其啟用的 Azure 資源。
  • 將零或一個網路安全組關聯至虛擬網路中的每個子網。 您可以將相同或不同的網路安全性群組與每個子網路建立關聯。 每個網路安全性群組都包含規則,能允許或拒絕進出來源與目的地的流量。 深入了解網路安全性群組

安全性

您可以藉由使用網路安全性群組和網路虛擬設備,來篩選虛擬網路中進出資源的網路流量。 您可以控制 Azure 如何路由傳送來自子網路的流量。 您也可以限制組織中能使用虛擬網路中資源的人員。

流量篩選

  • 若要篩選虛擬網路中資源之間的網路流量,請使用網路安全組、篩選網路流量的 NVA,或兩者。 若要部署 NVA,例如防火牆,以篩選網路流量,請參閱 Azure Marketplace。 當您使用 NVA 時,也會建立自定義路由,將流量從子網路由傳送至 NVA。 深入了解流量路由
  • 網路安全性群組包含數個預設安全性規則,能允許或拒絕進出資源的流量。 您可以將網路安全組與網路介面、網路介面位於的子網或兩者建立關聯。 為了簡化安全性規則的管理,建議您盡可能將網路安全組與個別子網建立關聯,而不是子網內的個別網路介面。
  • 如果需要對子網路內的不同 VM 套用不同的安全性規則,您可以將 VM 中的網路介面與一或多個應用程式安全性群組建立關聯。 安全性規則可以在其來源、目的地,或是上述兩者中指定應用程式安全性群組。 該規則接著只會套用至屬於應用程式安全組成員的網路介面。 深入了解網路安全性群組應用程式安全性群組
  • 當網路安全組在子網層級相關聯時,它會套用至子網中的所有網路介面控制器,而不只是套用到來自子網外部的流量。 子網中包含的 VM 之間的流量也可能受到影響。
  • Azure 會在每個網路安全性群組內建立數個預設安全性規則。 其中一個預設規則允許所有流量流經虛擬網路中的所有資源。 若要覆寫此行為,請使用網路安全性群組、透過自訂路由將流量路由傳送至 NVA,或是上述兩者。 建議您熟悉所有 Azure 預設安全性規則 ,並了解網路安全組規則如何套用至資源。

您可以使用 NVA 來檢視在 Azure 與因特網之間實作周邊網路(也稱為 DMZ)的範例設計。

流量路由

Azure 會針對來自子網路的輸出流量建立數個預設路由。 您可以建立路由表並將它與子網建立關聯,以覆寫 Azure 預設路由。 覆寫 Azure 預設路由的常見原因是:

  • 您想要讓子網路之間的流量流經 NVA。 深入瞭解如何設定路由表以 強制流量通過 NVA
  • 您想要透過 Azure VPN 閘道強制透過 NVA 或內部部署的所有因特網系結流量。 強制網際網路流量流經內部部署以進行檢查及記錄,通常稱為「強制通道」。 深入了解如何設定強制通道

如果您需要實作自定義路由,建議您熟悉 Azure 中的路由。

連線性

您可以使用虛擬網路對等互連,或使用 Azure VPN 閘道,將虛擬網路連線至其他虛擬網路。

對等互連

當您使用 虛擬網路對等互連時,可以在相同或不同支援的 Azure 區域中有虛擬網路。 您可以在相同或不同的 Azure 訂用帳戶中擁有虛擬網路(即使是屬於不同Microsoft Entra 租使用者的訂用帳戶)。

建立對等互連之前,建議您先熟悉所有對等互連 需求和條件約束。 相同區域中對等互連的虛擬網路中資源間的頻寬會相同,就像這些資源都位於相同的虛擬網路一樣。

VPN 閘道

您可以使用 Azure VPN 閘道 ,使用 站對站 VPN 或與 Azure ExpressRoute 的專用連線,將虛擬網路連線到內部部署網路。

您可以結合對等互連和 VPN 閘道來建立 中樞和輪輻網路,其中輪輻虛擬網路會連線到中樞虛擬網路,而中樞會連線到內部部署網路,例如。

名稱解析

一個虛擬網路中的資源無法使用 Azure 內建域名系統(DNS)解析對等互連虛擬網路中的資源名稱。 若要解析對等互連虛擬網路中的名稱, 請部署您自己的 DNS 伺服器 ,或使用 Azure DNS 私人網域。 若要解析虛擬網路和內部部署網路中資源間的名稱,也需要您部署自己的 DNS 伺服器。

權限

Azure 使用 Azure 角色型訪問控制。 許可權會指派給 管理群組、訂用帳戶、資源群組和個別資源階層中的範圍 。 若要深入了解階層,請參閱組織您的資源

若要使用 Azure 虛擬網路及其所有相關功能,例如對等互連、網路安全組、服務端點和路由表,請將組織的成員指派給內 建擁有者參與者網路參與者 角色。 然後將角色指派給適當的範圍。 如果您想要指派虛擬網路功能子集的特定許可權,請建立 自定義角色 ,並指派所需的特定許可權:

原則

透過 Azure 原則,您可以建立、指派和管理原則定義。 原則定義會對您的資源強制執行不同的規則,讓資源能持續符合組織標準和服務等級協定的規範。 Azure 原則 會執行資源的評估。 它會掃描不符合您擁有之原則定義的資源。

例如,您可以定義並套用一個原則,以允許只在特定資源群組或區域中建立虛擬網路。 另一個原則可能會要求每個子網路都要有相關聯的網路安全性群組。 然後,當您建立和更新資源時,會評估原則。

原則會套用到下列階層:管理群組、訂用帳戶和資源群組。 深入了解 Azure 原則,或是部署某些虛擬網路的 Azure 原則定義

相關內容

瞭解 下列各項工作、設定和選項: