Azure 中的公用與私人 IP 位址

  • 8 分鐘

您任職於一家製造業公司,且您正在將資源移至 Azure。 資料庫伺服器必須可供內部部署網路的用戶端存取。 公用資源 (例如網頁伺服器) 必須可供網際網路存取。 您希望確保所規劃的 IP 位址同時支援這兩個需求。

在此單元中,您將探索 Azure 中對公用與私人 IP 位址的條件約束與限制。 此外,您也會查看 Azure 中可用來在您的網路中重新指派 IP 位址的功能。

IP 位址類型

在 Azure 中,您可以使用兩種類型的 IP 位址:

  • 公用 IP 位址
  • 私人 IP 位址

您可以透過以下這兩種方式之一來配置這兩種類型的 IP 位址:

  • 動態
  • 靜態

讓我們進一步了解 IP 位址類型如何運作。

公用 IP 位址

將公用 IP 位址用於公眾對應的服務。 公用位址可以是靜態或動態。 公用 IP 位址可以指派給虛擬機器 (VM)、網際網路對應的負載平衡器、VPN 閘道或應用程式閘道。

  • 動態公用 IP 位址是指派的位址,可在 Azure 資源的存留期內變更。 動態 IP 位址會在您建立或啟動 VM 時配置。 此 IP 位址會在您停止或刪除 VM 時釋出。 在每個 Azure 區域中,系統會從唯一的位址集區指派公用 IP 位址。 預設的配置方法是動態配置。

  • 靜態公用 IP 位址為指派的位址,在 Azure 資源的存留期內不會變更。 若要確保資源的 IP 位址維持不變,可將配置方法設為靜態。 在此情況下,系統會立即指派 IP 位址,而且只有在您刪除資源或將 IP 配置方法變更為動態時才會釋出。

公用 IP 位址的 SKU

針對公用 IP 位址,有兩種 SKU 可供選擇: 基本標準。 在 SKU 推出之前所建立的公用 IP 位址全都是基本 SKU 的公用 IP 位址。 隨著 SKU 的引進,您可以在針對網際網路流量進行負載平衡時選擇調整、功能和定價。

基本和標準 SKU 兩者預設都有:

  • 四分鐘的輸入來源流程閒置逾時,最多可調整至 30 分鐘。
  • 四分鐘的固定輸出來源流程閒置逾時。

基本 SKU

您可以使用靜態或動態配置方法來指派 [基本公用 IP]。 您可以將基本公用 IP 指派給可獲指派公用 IP 位址的任何 Azure 資源。 包括網路介面、VPN 閘道、應用程式閘道和面向網際網路的負載平衡器。

依預設,基本 SKU IP 位址:

  • 已開啟。 建議 (但不強制) 使用網路安全性群組來限制連入或連出流量。
  • 適用於僅輸入的流量。
  • 適用於使用執行個體中繼資料服務 (IMDS) 時。
  • 不支援可用性區域。
  • 不支援路由喜好設定。

標準 SKU

依預設,標準 SKU IP 位址:

  • 一律使用靜態配置。
  • 為保護狀態,因此禁止輸入流量。 您必須使用網路安全性群組,以允許輸入流量。
  • 為區域備援: 也可選擇作為區域型 (可建立為區域型,並保證用於特定的可用性區域)。
  • 可指派給網路介面、標準公用負載平衡器、應用程式閘道或 VPN 閘道。
  • 可透過路由喜好設定使用,更細微地控制 Azure 與網際網路間的路由傳送流量。
  • 可作為跨區域負載平衡器的任一傳播前端 IP。

如需詳細資訊,請參閱 SKU 比較、負載平衡器概觀元件

公用 IP 位址首碼 \(部分機器翻譯\)

在 Azure 中,「公用 IP 位址首碼」為已保留的公用 IP 位址靜態範圍。 Azure 會從每個 Azure 雲端各個區域唯一的可用位址集區來指派 IP 位址。 定義公用 IP 位址首碼時,系統會從 Azure 區域的集區指派相關的公用 IP 位址。

在具有可用性區域的區域中,可將公用 IP 位址首碼建立為區域備援,或與特定可用性區域建立關聯。

公用 IP 位址首碼的好處是,您可以針對已知的 IP 位址範圍指定防火牆規則。 如果公司要求各區域皆須有資料中心,則各區域皆需不同的公用 IP 位址範圍。 您可從公用 IP 位址首碼指派位址給支援公用 IP 位址的 Azure 資源。

您可以指定名稱和首碼大小,以建立公用 IP 位址首碼。 首碼大小為可使用的已保留位址數目。

  • 公用 IP 位址首碼由 IPv4 或 IPv6 位址所組成。
  • 您可使用 Azure 流量管理員等技術,以平衡區域特定執行個體間的負載。
  • 您只能使用 自訂 IP 位址首碼 將自己的公用 IP 位址從內部部署網路帶入 Azure。
  • 您無法在建立首碼時指定位址,位址將由 Azure 指派。 建立首碼後,IP 位址便固定為連續範圍內。
  • 公用 IP 位址無法在區域之間移動,所有 IP 位址都是區域特定的。

私人 IP 位址

私人 IP 位址用於 Azure 虛擬網路 (含虛擬網路與內部部署網路) 內的通訊。 您可以將私人 IP 位址設為動態 (DHCP 租用) 或靜態 (DHCP 保留)。

動態私人 IP 位址是透過 DHCP 租用指派的位址,可在 Azure 資源的存留期內變更。

靜態私人 IP 位址是透過 DHCP 保留指派的位址,在 Azure 資源的存留期內不會變更。 如果資源已停止或解除配置,靜態私人 IP 位址將會保留。

Azure 虛擬網路的 IP 位址

虛擬網路為 Azure 中的基礎元件,可作為組織的網路。 系統管理員可完全控制 IP 位址指派、安全性設定與安全性規則。 當您建立虛擬網路時,您會定義 IP 位址的範圍。 私人 IP 位址的運作方式與內部部署中相同。 您可以根據自己的網路需求,選擇由 Internet Assigned Numbers Authority (IANA) 保留的私人 IP 位址:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

子網路是虛擬網路中的一個 IP 位址範圍。 您可將虛擬網路分割成多個子網路。 每個子網路皆須具有唯一的位址範圍,其會以無類別網域間路由選擇 (CIDR) 格式來指定。 CIDR 是一種代表網路 IP 位址區塊的方式。 指定為 IP 位址一部分的 IPv4 CIDR 會顯示網路首碼的長度。

例如,考慮 CIDR 192.168.10.0/24。 "192.168.10.0" 為網路位址,且 "24" 代表前 24 位元為網路位址的一部分,保留最後 8 個位元以供特定主機位址使用。 子網路的位址範圍不能與虛擬網路或內部部署網路中的其他子網路重疊。

依預設,Azure 中的所有子網路都會保留前三個 IP 位址。 針對通訊協定合規性,也會保留子網路的第一個與最後一個 IP 位址。 在 Azure 中,內部 DHCP 服務會指派及維護 IP 位址的租用。 Azure 客戶看不到或無法設定 .1.2.3 與最後一個 IP 位址。 這些位址會由內部 Azure 服務保留及使用。

在 Azure 虛擬網路中,可將 IP 位址配置給下列類型的資源:

  • 虛擬機器網路介面
  • 負載平衡器
  • 應用程式閘道

檢定您的知識

1.

您可以將公用 IP 位址指派給下列哪一個資源?

2.

虛擬機器必須有什麼,才能與相同虛擬網路中的其他資源通訊?