描述 Azure 虛擬網路

已完成

Azure 虛擬網路和虛擬子網路可讓 Azure 資源 (例如,VM、Web 應用程式及資料庫) 彼此通訊,或與網際網路上的使用者及您內部部署用戶端電腦通訊。 您可以將 Azure 網路想成內部部署網路的延伸,其中包含連結其他 Azure 資源的資源。

Azure 虛擬網路提供下列重要的網路功能:

  • 隔離和分割
  • 網際網路通訊
  • Azure 資源之間的通訊
  • 與內部部署資源通訊
  • 路由網路流量
  • 篩選網路流量
  • 連線虛擬網路

Azure 虛擬網路同時支援公用和私人端點,以啟用外部或內部資源與其他內部資源之間的通訊。

  • 公用端點具有公用 IP 位址,而且您可以從世界的任何地方存取這些端點。
  • 私人端點存在於虛擬網路內,而且具有私人 IP 位址,其來自該虛擬網路的位址空間內部。

隔離和分割

Azure 虛擬網路可讓您建立多個隔離的虛擬網路。 當您設定虛擬網路時,可以使用公用或私人 IP 位址範圍來定義私人 IP 位址空間。 IP 範圍只存在於虛擬網路內,而且無法透過網際網路路由傳送。 您可以將該 IP 位址空間分割成子網路,並將所定義位址空間的一部分配置到每個具名子網路。

針對名稱解析,您可以使用 Azure 內建的名稱解析服務。 您也可以將虛擬網路設定為使用內部或外部 DNS 伺服器。

網際網路通訊

您可以從網際網路啟用連入連線,方法是將公用 IP 位址指派給 Azure 資源,或將資源放在公用負載平衡器的後面。

Azure 資源之間的通訊

您想要讓 Azure 資源安全地彼此通訊。 請使用下列兩種方式之一來執行此動作:

  • 虛擬網路不僅可以與 VM 連線,也可以與適用於 Power Apps 的 App Service 環境、Azure Kubernetes Service 及 Azure 虛擬機器擴展集等其他 Azure 資源連線。
  • 服務端點可以連線至其他 Azure 資源類型,例如 Azure SQL 資料庫和儲存體帳戶。 此方法可讓您將多個 Azure 資源連結到虛擬網路,以改善安全性並提供資源之間的最佳路由。

與內部部署資源通訊

Azure 虛擬網路可讓您將內部部署環境中和 Azure 訂用帳戶內的資源連結在一起。 實際上,您可以建立橫跨本機和雲端環境的網路。 有三種機制可讓您達到此連線能力:

  • 點對站虛擬私人網路連線是從組織外部的電腦回到您的公司網路。 在此案例中,用戶端電腦起始加密的 VPN 連線,以連線到 Azure 虛擬網路。
  • 站對站虛擬私人網路連結會將您的內部部署 VPN 裝置或閘道連結至虛擬網路中的 Azure VPN 閘道。 實際上,Azure 中的裝置可顯示為位在區域網路上。 連線會進行加密,並透過網際網路運作。
  • Azure ExpressRoute 提供專用的私人連線來連線到 Azure,因此不會透過網際網路傳輸。 對於需要更大頻寬和更高安全性層級的環境,ExpressRoute 很有用。

路由網路流量

根據預設,Azure 會在任何連線的虛擬網路、內部部署網路及網際網路上的子網路之間路由傳送流量。 您也可以控制路由和覆寫那些設定,如下所示:

  • 路由表可讓您定義指示流量流向的相關規則。 您可以建立自訂路由表,以控制封包如何在子網路之間路由。
  • 邊界閘道通訊協定 (BGP) 會使用 Azure VPN 閘道、Azure 路由伺服器或 Azure ExpressRoute,將內部部署 BGP 路由傳播至 Azure 虛擬網路。

篩選網路流量

Azure 虛擬網路可讓您使用下列方法來篩選子網路之間的流量:

  • 網路安全群組是 Azure 資源,可包含多個輸入和輸出安全性規則。 您可以根據來源和目的地 IP 位址、連接埠及通訊協定等因素來定義這些規則,藉此允許或封鎖流量。
  • 網路虛擬設備是特製化 VM,可比作強化的網路設備。 網路虛擬設備可以執行特定的網路功能,例如,執行防火牆或執行廣域網路 (WAN) 最佳化。

連線虛擬網路

您可以使用虛擬網路「對等互連」,將虛擬網路連結在一起。 對等互連可讓兩個虛擬網路直接彼此連線。 對等互連網路之間的網路流量是私人的,而且在 Microsoft 骨幹網路上移動,永遠不會進入公用網際網路。 對等互連可讓每個虛擬網路中的資源彼此通訊。 這些虛擬網路可以位於不同的區域中。 這項功能可讓您透過 Azure 建立全域互連網路。

使用者定義的路由 (UDR) 可讓您控制虛擬網路內子網路之間或虛擬網路之間的路由表。 這可讓您更好地控制網路流量流程。