建立子網路
子網路可讓您在虛擬網路內實作邏輯分割。 您的網路可以分割成子網路,以協助改善安全性、提升效能,並讓您更輕鬆管理。
關於子網路的須知事項
當您使用子網路套用分割時,虛擬網路中的 IP 位址須有特定條件。
每個子網路都包含落在虛擬網路位址空間內的 IP 位址範圍。
此子網路的位址範圍必須是虛擬網路位址空間內的唯一範圍。
一個子網路的範圍不能與相同虛擬網路中的其他子網路 IP 位址範圍重疊。
子網路的 IP 位址空間必須使用 CIDR 標記法來指定。
您可以將虛擬網路分割成 Azure 入口網站中的一或多個子網路。 已列出子網路 IP 位址的相關特性。
保留的位址
Azure 會為每個子網路保留五個 IP 位址。 前四個位址和最後一個位址會保留。
我們來檢查IP 位址範圍 192.168.1.0/24 內的保留位址。
| 保留的位址 | 原因 |
|---|---|
192.168.1.0 |
此值會識別虛擬網路位址。 |
192.168.1.1 |
Azure 會將此位址設定為預設閘道。 |
192.168.1.2 和 192.168.1.3 |
Azure 會將這些 Azure DNS IP 位址對應至虛擬網路空間。 |
192.168.1.255 |
這個值會提供虛擬網路廣播位址。 |
使用子網路時應考量的事項
當您規劃在虛擬網路內新增子網路區段時,需要考慮幾個因素。 檢閱下列案例。
請考慮服務需求。 每個直接部署至虛擬網路的服務對於路由,以及必須允許進出關聯的子網路的流量有特定要求。 服務可能需要或建立自己的子網路。 必須有足夠的未配置空間,才能符合服務需求。 假設您使用 Azure VPN 閘道將虛擬網路連線到內部部署網路。 虛擬網路必須有閘道的專用子網。
考慮網路虛擬設備。 根據預設,Azure 會在虛擬網路中的所有子網路之間路由傳送網路流量。 您可以覆寫 Azure 的預設路由,以防止子網路之間的 Azure 路由。 您也可以覆寫預設值,透過網路虛擬設備路由傳送子網路之間的流量。 如果您需要讓相同虛擬網路中資源之間的流量通過網路虛擬設備,請將資源部署到不同的子網路。
考慮服務端點。 您可以將對 Azure 資源 (例如 Azure 儲存體帳戶或 Azure SQL 資料庫) 的存取限制為具備虛擬網路服務端點的特定子網路。 此外,您可以拒絕來自網際網路的資源存取。 您可以建立多個子網路,並只針對某些子網路 (而非其他) 啟用某個服務端點。
考慮網路安全性群組。 您可以將零個或一個網路安全性群組與虛擬網路中的每個子網路建立關聯。 您可以將相同或不同的網路安全性群組與每個子網路建立關聯。 每個網路安全性群組都包含規則,可以允許或拒絕進出來源與目的地的流量。
考慮私人連結。 Azure Private Link 提供從虛擬網路到 Azure 平台即服務 (PaaS)、客戶所擁有的服務,或是 Microsoft 合作夥伴服務的私人連線。 私人連結可簡化網路架構,並確保 Azure 中端點之間的連線。 此服務可消除對網際網路的資料公開。