Nasazení vyhrazených služeb Azure do virtuálních sítí

  • Článek

Když nasadíte vyhrazené služby Azure ve virtuální síti, můžete s prostředky služby komunikovat soukromě prostřednictvím privátních IP adres.

Diagram služeb nasazených ve virtuální síti

Nasazení služeb ve virtuální síti poskytuje následující možnosti:

  • Prostředky v rámci virtuální sítě můžou mezi sebou komunikovat soukromě prostřednictvím privátních IP adres. Například přímý přenos dat mezi HDInsight a SQL Serverem běžícím na virtuálním počítači ve virtuální síti.

  • Místní prostředky mají přístup k prostředkům ve virtuální síti pomocí privátních IP adres přes VPN typu Site-to-Site (VPN Gateway) nebo ExpressRoute.

  • Virtuální sítě můžou být v partnerském vztahu, aby prostředky ve virtuálních sítích mohly vzájemně komunikovat pomocí privátních IP adres.

  • Instance služby se nasazují do podsítě ve virtuální síti. Příchozí a odchozí síťový přístup pro podsíť musí být otevřen prostřednictvím skupin zabezpečení sítě podle pokynů poskytovaných službou.

  • Některé služby ukládají omezení podsítě, do které jsou nasazené. Toto omezení omezuje použití zásad, tras nebo kombinování virtuálních počítačů a prostředků služeb v rámci stejné podsítě. U každé služby zkontrolujte konkrétní omezení, protože se můžou v průběhu času měnit. Mezi příklady služeb patří Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.

  • Volitelně můžou služby vyžadovat delegovanou podsíť jako explicitní identifikátor, který může podsíť hostovat konkrétní službu. Při delegování obdrží služby explicitní oprávnění k vytváření prostředků specifických pro službu v delegované podsíti.

  • Podívejte se na příklad odpovědi rozhraní REST API ve virtuální síti s delegovanou podsítí. Úplný seznam služeb, které používají delegovaný model podsítě, je možné získat prostřednictvím dostupného rozhraní API delegování .

Služby, které je možné nasadit do virtuální sítě

Kategorie Služba Vyhrazenápodsíť 1
Compute Virtuální počítače: Linux nebo Windows
Škálovací sady virtuálních počítačů
Cloudová služba: Pouze virtuální síť (classic)
Azure Batch
Azure Baremetal Infrastructure		 Ne
Ne
Ne
Č.2
Ne
Síť Application Gateway – WAF
Azure Bastion
Azure Firewall
Azure Route Server
Brána ExpressRoute
Síťová virtuální zařízení
VPN Gateway
Privátní překladač
Azure DNS – Brána dat virtuální sítě pro prostředky infrastruktury a Power BI		 Ano
Ano
Ano
Ano
Ano
Ne
Ano
Ne
Ano
Data RedisCache
Azure SQL Managed Instance
Azure Database for MySQL – Flexibilní server
Azure Database for PostgreSQL – Flexibilní server		 Ano
Ano
Ano Ano
Analýzy Azure HDInsight
Azure Databricks		 č.2
č.2
Identita Microsoft Entra Domain Services Ne
Kontejnery Azure Kubernetes Service (AKS)
Azure Container Instance (ACI)
Modul azure Container Service s modulem plug-in CNI služby Azure Virtual Network
Azure Functions		 č.2
Ano
Ne
Ano
Web API Management
Web Apps
App Service Environment
Azure Logic Apps
Prostředí Azure Container Apps
 Ano
Ano
Ano
Ano
Ano
Hostováno Azure Dedicated HSM
Azure NetApp Files
 Ano
Ano
Azure Spring Apps Nasazení ve virtuální síti Azure (injektáž virtuální sítě)
 Ano
Infrastruktura virtuálních klientských počítačů Azure Lab Services
 Ano
DevOps Zátěžové testování Azure
 Ano

1 Dedicated znamená, že v této podsíti je možné nasadit pouze konkrétní prostředky služby a nejde je kombinovat s virtuálními počítači nebo virtuálními počítači zákazníka.
2 Doporučuje se jako osvědčený postup mít tyto služby ve vyhrazené podsíti, ale není to povinný požadavek, který služba ukládá.