Azure Virtual Network – Gyakori kérdések (GYIK)
Alapvető beállítások
Mi az a virtuális hálózat?
A virtuális hálózat az Azure Virtual Network szolgáltatás által biztosított saját hálózat ábrázolása a felhőben. A virtuális hálózat az előfizetéséhez dedikált Azure-felhő logikai elkülönítése.
Virtuális hálózatokkal virtuális magánhálózatokat (VPN-eket) építhet ki és kezelhet az Azure-ban. Ha szeretné, összekapcsolhatja a virtuális hálózatokat más Azure-beli virtuális hálózatokkal vagy a helyszíni informatikai infrastruktúrával, hogy hibrid vagy helyszíni megoldásokat hozzon létre.
Minden létrehozott virtuális hálózatnak saját CIDR-blokkja van. A virtuális hálózatokat összekapcsolhatja más virtuális hálózatokkal és helyszíni hálózatokkal mindaddig, amíg a CIDR-blokkok nem fedik egymást. A virtuális hálózatok DNS-kiszolgálóbeállításait, valamint a virtuális hálózat alhálózatokra való szegmentálását is szabályozhatja.
Virtuális hálózatok használata:
Dedikált, privát, csak felhőalapú virtuális hálózat létrehozása. Néha nincs szükség helyszíni konfigurációra a megoldáshoz. Virtuális hálózat létrehozásakor a virtuális hálózaton belüli szolgáltatások és virtuális gépek közvetlenül és biztonságosan kommunikálhatnak egymással a felhőben. A megoldás részeként továbbra is konfigurálhatja az internetes kommunikációt igénylő virtuális gépek és szolgáltatások végpontkapcsolatait.
Biztonságosan bővítheti adatközpontját. A virtuális hálózatokkal hagyományos helyek közötti (S2S) VPN-eket hozhat létre az adatközpont kapacitásának biztonságos skálázásához. Az S2S VPN-ek az IPsec használatával biztosítanak biztonságos kapcsolatot a vállalati VPN-átjáró és az Azure között.
Hibrid felhőforgatókönyvek engedélyezése. A felhőalapú alkalmazásokat biztonságosan csatlakoztathatja bármilyen helyszíni rendszerhez, beleértve a nagyszámítógépeket és a Unix-rendszereket is.
Hogyan kezdhetek hozzá?
Első lépésként tekintse meg az Azure Virtual Network dokumentációját . Ez a tartalom áttekintési és üzembe helyezési információkat nyújt az összes virtuális hálózati funkcióhoz.
Használhatok virtuális hálózatokat helyszíni kapcsolat nélkül?
Igen. A virtuális hálózatot anélkül használhatja, hogy csatlakoztatta volna a helyszínhez. Futtathat például Microsoft Windows Server Active Directory-tartományvezérlőket és SharePoint-farmokat kizárólag egy Azure-beli virtuális hálózaton.
Végezhetek WAN-optimalizálást a virtuális hálózatok vagy a virtuális hálózat és a helyszíni adatközpont között?
Igen. Egy hálózati virtuális berendezést üzembe helyezhet wan-optimalizálás céljából több gyártótól az Azure Marketplace-en keresztül.
Konfiguráció
Milyen eszközökkel hozhatok létre virtuális hálózatot?
A következő eszközökkel hozhat létre vagy konfigurálhat virtuális hálózatot:
- Azure Portalra
- PowerShell
- Azure CLI
- Hálózati konfigurációs fájl (
netcfg
csak klasszikus virtuális hálózatok esetén)
Milyen címtartományokat használhatok a virtuális hálózataimban?
Javasoljuk, hogy az alábbi címtartományokat használja, amelyek az RFC 1918-ban vannak felsorolva. Az IETF ezeket a tartományokat félretete a privát, nem módosítható címterek számára.
- 10.0.0.0–10.255.255.255 (10/8 előtag)
- 172.16.0.0–172.31.255.255 (172.16/12 előtag)
- 192.168.0.0–192.168.255.255 (192.168/16 előtag)
Az RFC 6598-ban fenntartott megosztott címteret is üzembe helyezheti, amelyet privát IP-címtérként kezelnek az Azure-ban:
- 100.64.0.0–100.127.255.255 (100.64/10 előtag)
Más címterek, beleértve az összes többi IETF által felismert privát, nem módosítható címteret, működhetnek, de nemkívánatos mellékhatásokat okoznak.
Ezenkívül a következő címtartományok nem vehetők fel:
- 224.0.0.0/4 (csoportos küldés)
- 255.255.255.255/32 (közvetítés)
- 127.0.0.0/8 (visszacsatolás)
- 169.254.0.0/16 (helyi hivatkozás)
- 168.63.129.16/32 (belső DNS)
Rendelkezhetek nyilvános IP-címmel a virtuális hálózataimban?
Igen. A nyilvános IP-címtartományokról további információt a Virtuális hálózat létrehozása című témakörben talál. A nyilvános IP-címek nem érhetők el közvetlenül az internetről.
Korlátozva van a virtuális hálózatom alhálózatainak száma?
Igen. Részletekért tekintse meg a hálózatkezelési korlátokat . Az alhálózati címterek nem fedhetik egymást.
Vannak az IP-címek használatára vonatkozó korlátozások ezekben az alhálózatokban?
Igen. Az Azure az első négy címet és az utolsó címet foglalja le, összesen öt IP-címre az egyes alhálózatokon belül.
A 192.168.1.0/24 IP-címtartomány például a következő fenntartott címekkel rendelkezik:
- 192.168.1.0: Hálózati cím.
- 192.168.1.1: Az Azure fenntartja az alapértelmezett átjáróhoz.
- 192.168.1.2, 192.168.1.3: Az Azure fenntartotta az Azure DNS IP-címeinek a virtuális hálózati területre való leképezéséhez.
- 192.168.1.255: Hálózati közvetítés címe.
Milyen kicsik és mekkoraak lehetnek a virtuális hálózatok és alhálózatok?
A legkisebb támogatott IPv4-alhálózat a /29, a legnagyobb pedig a /2 (CIDR-alhálózat-definíciók használatával). Az IPv6-alhálózatoknak pontosan /64 méretűnek kell lenniük.
Virtuális hálózatokkal hozhatom be a VLAN-aimat az Azure-ba?
Szám A virtuális hálózatok 3. rétegbeli átfedések. Az Azure nem támogatja a 2. réteg szemantikáját.
Megadhatok egyéni útválasztási szabályzatokat a virtuális hálózataimon és alhálózataimon?
Igen. Létrehozhat egy útvonaltáblát, és társíthatja egy alhálózattal. Az Azure-beli útválasztással kapcsolatos további információkért lásd az egyéni útvonalakat.
Mi a viselkedés, ha egy NSG-t és egy UDR-t is alkalmazok az alhálózaton?
Bejövő forgalom esetén a hálózati biztonsági csoport (NSG) bejövő szabályai feldolgozásra kerülnek. A kimenő forgalom esetében az NSG kimenő szabályai feldolgozásra kerülnek, amelyet a felhasználó által megadott útvonalszabályok követnek.
Mi a viselkedés, ha NSG-t alkalmazok egy hálózati adapteren és egy virtuális gép alhálózatán?
Ha hálózati adapteren (hálózati adapteren) és egy virtuális gép alhálózatán is NSG-ket alkalmaz:
- A bejövő forgalomhoz egy alhálózati szintű NSG, majd egy hálózati adapterszintű NSG lesz feldolgozva.
- A hálózati adapterszintű NSG- és az alhálózati szintű NSG-k a kimenő forgalom számára lesznek feldolgozva.
A virtuális hálózatok támogatják a csoportos küldést vagy a közvetítést?
Szám A csoportos küldés és a közvetítés nem támogatott.
Milyen protokollokat használhatok virtuális hálózatokban?
A virtuális hálózatokban TCP, UDP, ESP, AH és ICMP TCP/IP protokollokat használhat.
Az Unicast támogatott a virtuális hálózatokban. A csoportos küldés, a szórás, az IP-címbe ágyazott csomagok és az általános útválasztási beágyazási (GRE) csomagok blokkolva vannak a virtuális hálózatokban. A Dynamic Host Configuration Protocol (DHCP) nem használható az Unicast útján (UDP/68 forrásport, UDP/67 célport). A 65330 UDP-forrásport a gazdagép számára van fenntartva.
Üzembe helyezhetek EGY DHCP-kiszolgálót egy virtuális hálózaton?
Az Azure-beli virtuális hálózatok DHCP-szolgáltatást és DNS-t biztosítanak az Azure-beli virtuális gépekhez. Azonban dhcp-kiszolgálót is üzembe helyezhet egy Azure-beli virtuális gépen a helyszíni ügyfelek DHCP Relay-ügynökön keresztüli kiszolgálásához.
Az Azure-beli DHCP-kiszolgáló korábban nem lett megjelölve, mivel az UDP/67 portra vonatkozó forgalom korlátozott volt az Azure-ban. A legutóbbi platformfrissítések azonban eltávolították a sebességkorlátozást, ami lehetővé teszi ezt a képességet.
Feljegyzés
A DHCP-kiszolgálóra (UDP/68 forrásport, UDP/67 célport) tartozó helyszíni ügyfél továbbra sem támogatott az Azure-ban, mivel ezt a forgalmat más módon kezelik és elfogják. Ez időtúllépési üzeneteket eredményez a DHCP RENEW t1 időpontban, amikor az ügyfél közvetlenül megkísérli elérni az Azure DHCP-kiszolgálóját. A DHCP-MEGÚJÍTÁS sikeres lesz, ha a DHCP-megújítási kísérlet a T2-n a DHCP Relay Agenten keresztül történik. A T1 és A2 DHCP RENEW időzítőkkel kapcsolatos további részletekért lásd az RFC 2131-et.
Pingelhetem az alapértelmezett átjárót egy virtuális hálózaton?
Szám Az Azure által biztosított alapértelmezett átjáró nem válaszol a pingelésre. A virtuális hálózatok pingelésével azonban ellenőrizheti a kapcsolatot és a virtuális gépek közötti hibaelhárítást.
Használhatom a tracertet a kapcsolatok diagnosztizálásához?
Igen.
Hozzáadhatok alhálózatokat a virtuális hálózat létrehozása után?
Igen. A virtuális hálózatokhoz bármikor hozzáadhat alhálózatokat, amennyiben mindkét feltétel fennáll:
- Az alhálózat címtartománya nem része egy másik alhálózatnak.
- A virtuális hálózat címtartományában van szabad hely.
Módosíthatom az alhálózat méretét a létrehozás után?
Igen. Ha nem helyez üzembe virtuális gépeket vagy szolgáltatásokat, hozzáadhat, távolíthat el, bonthat ki vagy zsugoríthat alhálózatokat.
Módosíthatok egy virtuális hálózatot a létrehozás után?
Igen. Hozzáadhatja, eltávolíthatja és módosíthatja a virtuális hálózat által használt CIDR-blokkokat.
Ha virtuális hálózaton futtatom a szolgáltatásokat, csatlakozhatok az internethez?
Igen. A virtuális hálózaton üzembe helyezett összes szolgáltatás képes kimenő kapcsolatot létesíteni az internethez. Az Azure-beli kimenő internetkapcsolatokról további információt a Kimenő kapcsolatok forráshálózati címfordítás (SNAT) használata című témakörben talál.
Ha egy Azure Resource Manageren keresztül üzembe helyezett erőforráshoz szeretne bejövő kapcsolatot létesíteni, az erőforráshoz nyilvános IP-címmel kell rendelkeznie. További információ: Nyilvános Azure IP-cím létrehozása, módosítása vagy törlése.
Az Azure-ban üzembe helyezett összes felhőszolgáltatáshoz nyilvánosan címezhető virtuális IP-cím (VIP) van hozzárendelve. A platform bemeneti végpontjait szolgáltatásként (PaaS)-szerepkörökként és végpontként definiálhatja a virtuális gépekhez, hogy ezek a szolgáltatások az internetről érkező kapcsolatokat fogadhassák el.
A virtuális hálózatok támogatják az IPv6-ot?
Igen. A virtuális hálózatok lehetnek csak IPv4 vagy kettős verem (IPv4 + IPv6). További részletekért tekintse meg az Azure Virtual Networkhez készült IPv6-ot.
A virtuális hálózatok lefedhetik a régiókat?
Szám A virtuális hálózatok egyetlen régióra korlátozódnak. A virtuális hálózatok azonban a rendelkezésre állási zónákra is kiterjednek. A rendelkezésre állási zónákkal kapcsolatos további információkért lásd: Mik az Azure-régiók és a rendelkezésre állási zónák?
Virtuális hálózatok közötti társviszony-létesítéssel különböző régiókban csatlakoztathatja a virtuális hálózatokat. További részletekért lásd a virtuális hálózatok közötti társviszony-létesítést.
Csatlakoztathatok egy virtuális hálózatot egy másik Azure-beli virtuális hálózathoz?
Igen. Az egyik virtuális hálózatot csatlakoztathatja egy másik virtuális hálózathoz az alábbiak egyikével:
- Virtuális hálózatok közötti társviszony-létesítés. További részletekért lásd a virtuális hálózatok közötti társviszony-létesítést.
- Egy Azure VPN-átjáró. További részletekért lásd : Hálózat és hálózat közötti VPN-átjárókapcsolat konfigurálása.
Névfeloldás (DNS)
Mik a DNS-beállításaim a virtuális hálózatokhoz?
Az Azure-beli virtuális hálózatok erőforrásainak névfeloldási döntési táblázatával végigvezetheti a rendelkezésre álló DNS-beállításokon.
Megadhatok DNS-kiszolgálókat egy virtuális hálózathoz?
Igen. A DNS-kiszolgálók IP-címeit a virtuális hálózati beállítások között adhatja meg. A beállítás a virtuális hálózat összes virtuális gépének alapértelmezett DNS-kiszolgálójaként vagy kiszolgálójaként lesz alkalmazva.
Hány DNS-kiszolgálót adhatok meg?
Lásd a hálózatkezelési korlátokat.
Módosíthatom a DNS-kiszolgálóimat a hálózat létrehozása után?
Igen. A virtuális hálózat DNS-kiszolgálólistáját bármikor módosíthatja.
Ha módosítja a DNS-kiszolgálólistát, DHCP-bérletmegújítást kell végrehajtania a virtuális hálózat összes érintett virtuális gépén. Az új DNS-beállítások a bérlet megújítása után lépnek érvénybe. Windows rendszerű virtuális gépek esetén a bérletet közvetlenül a virtuális gépre belépve ipconfig /renew
újíthatja meg. Más operációsrendszer-típusok esetén tekintse meg a DHCP-bérlet megújításának dokumentációját.
Mi az Azure által biztosított DNS, és működik-e virtuális hálózatokkal?
Az Azure által biztosított DNS a Microsoft több-bérlős DNS-szolgáltatása. Az Azure regisztrálja az összes virtuális gépet és felhőszolgáltatás-szerepkörpéldányt ebben a szolgáltatásban. Ez a szolgáltatás névfeloldást biztosít:
- Az ugyanabban a felhőszolgáltatásban lévő virtuális gépek és szerepkörpéldányok gazdagépneve alapján.
- Teljes tartománynévvel (FQDN) ugyanazon a virtuális hálózaton lévő virtuális gépekhez és szerepkörpéldányokhoz.
A DNS-ről további információt az Azure-beli virtuális hálózatokban található erőforrások névfeloldása című témakörben talál.
A virtuális hálózat első 100 felhőszolgáltatására korlátozva van a bérlők közötti névfeloldás az Azure által biztosított DNS-sel. Ha saját DNS-kiszolgálót használ, ez a korlátozás nem érvényes.
Felülbírálhatom az egyes virtuális gépek vagy felhőszolgáltatások DNS-beállításait?
Igen. Az alapértelmezett hálózati beállítások felülbírálásához beállíthatja az egyes virtuális gépekhez vagy felhőszolgáltatásokhoz tartozó DNS-kiszolgálókat. Javasoljuk azonban, hogy a lehető legnagyobb mértékben használja a hálózati szintű DNS-t.
Hozhatok saját DNS-utótagot?
Szám A virtuális hálózatokhoz nem adhat meg egyéni DNS-utótagot.
Virtuális gépek csatlakoztatása
Üzembe helyezhetek virtuális gépeket egy virtuális hálózaton?
Igen. A Resource Manager üzemi modellen keresztül üzembe helyezett virtuális géphez csatlakoztatott összes hálózati adapternek (NIC-nek) egy virtuális hálózathoz kell csatlakoznia. Opcionálisan csatlakoztathatja a klasszikus üzemi modellben üzembe helyezett virtuális gépeket egy virtuális hálózathoz.
Milyen típusú IP-címeket rendelhetek virtuális gépekhez?
Privát: Az egyes virtuális gépeken belül minden hálózati adapterhez hozzárendelve, statikus vagy dinamikus módszerrel. A privát IP-címek a virtuális hálózat alhálózati beállításaiban megadott tartományból vannak hozzárendelve.
A klasszikus üzemi modellben üzembe helyezett erőforrások privát IP-címeket kapnak, még akkor is, ha nem csatlakoznak virtuális hálózathoz. A foglalási módszer viselkedése attól függően eltérő, hogy az erőforrást a Resource Manager vagy a klasszikus üzemi modell használatával telepítette-e:
- Resource Manager: A dinamikus vagy statikus metóduson keresztül hozzárendelt privát IP-cím a virtuális géphez (Resource Managerhez) lesz rendelve, amíg az erőforrás nem törlődik. A különbség az, hogy a statikus metódus használatakor kiválasztja a hozzárendelni kívánt címet, az Azure pedig a dinamikus metódus használatakor választ.
- Klasszikus: A dinamikus módszerrel hozzárendelt privát IP-cím megváltozhat, ha egy virtuális gép (klasszikus) leállított (felszabadított) állapotban van. Ha meg kell győződnie arról, hogy a klasszikus üzemi modellben üzembe helyezett erőforrás privát IP-címe soha nem változik, rendeljen hozzá egy privát IP-címet a statikus módszerrel.
Nyilvános: Opcionálisan hozzárendelve a Resource Manager-alapú üzemi modellen keresztül üzembe helyezett virtuális gépekhez csatolt hálózati adapterekhez. A címet statikus vagy dinamikus kiosztási módszerrel rendelheti hozzá.
A klasszikus üzemi modellen keresztül üzembe helyezett összes virtuális gép és Azure Cloud Services-szerepkörpéldány egy felhőszolgáltatásban található. A felhőszolgáltatáshoz dinamikus, nyilvános VIP-cím van hozzárendelve. Opcionálisan hozzárendelhet egy nyilvános statikus IP-címet, más néven fenntartott IP-címet VIP-címként.
Nyilvános IP-címeket rendelhet hozzá a klasszikus üzemi modellben üzembe helyezett egyes virtuális gépekhez vagy Cloud Services-szerepkörpéldányokhoz. Ezeket a címeket példányszintű nyilvános IP-címeknek nevezzük, és dinamikusan rendelhetők hozzá.
Lefoglalhatok egy privát IP-címet egy olyan virtuális géphez, amelyet később fogok létrehozni?
Szám Privát IP-cím nem foglalható le. Ha elérhető magánhálózati IP-cím, a DHCP-kiszolgáló hozzárendeli azt egy virtuális géphez vagy szerepkörpéldányhoz. Előfordulhat, hogy a virtuális gép az, amelyhez hozzá szeretné rendelni a magánhálózati IP-címet. Egy meglévő virtuális gép magánhálózati IP-címét azonban bármilyen elérhető magánhálózati IP-címre módosíthatja.
Változnak a magánhálózati IP-címek a virtuális hálózaton lévő virtuális gépek esetében?
Ez a konkrét licenctől függ. Ha a virtuális gépet a Resource Manager használatával telepítette, az IP-címek nem módosíthatók, függetlenül attól, hogy a címeket statikus vagy dinamikus foglalási módszerrel rendelte-e hozzá. Ha a virtuális gépet a klasszikus üzemi modellel telepítette, a dinamikus IP-címek változhatnak, amikor leállított (felszabadított) állapotban lévő virtuális gépet indít el.
A cím a virtuális gép törlésekor bármelyik üzemi modellben üzembe helyezett virtuális gépről ki lesz adva.
Hozzárendelhetem manuálisan az IP-címeket a virtuálisgép-operációs rendszeren belüli hálózati adapterekhez?
Igen, de csak akkor javasoljuk, ha szükséges, például ha több IP-címet rendel egy virtuális géphez. További részletekért lásd : Több IP-cím hozzárendelése virtuális gépekhez.
Ha a virtuális géphez csatolt Azure NIC-hez rendelt IP-cím megváltozik, és a virtuális gép operációs rendszerén belüli IP-cím eltér, elveszíti a virtuális géphez való kapcsolatot.
Ha leállok egy felhőszolgáltatás üzembehelyezési pontjáról, vagy leállok egy virtuális gépet az operációs rendszeren belül, mi történik az IP-címeimmel?
Semmit. Az IP-címek (nyilvános VIP, nyilvános és privát) továbbra is a felhőszolgáltatás üzembehelyezési pontjához vagy a virtuális géphez vannak rendelve.
Áthelyezhetem a virtuális gépeket az egyik alhálózatról a virtuális hálózat egy másik alhálózatára ismételt üzembe helyezés nélkül?
Igen. További információt a virtuális gép vagy szerepkörpéldány áthelyezése másik alhálózatra című témakörben talál.
Konfigurálhatok statikus MAC-címet a virtuális gépemhez?
Szám Mac-cím statikusan nem konfigurálható.
A MAC-cím változatlan marad a virtuális gépemen a létrehozás után?
Igen. A MAC-cím ugyanaz marad a Resource Manager és a klasszikus üzemi modelleken keresztül üzembe helyezett virtuális gépek esetében, amíg el nem törli azt.
Korábban a MAC-cím ki lett adva, ha leállította (felszabadította) a virtuális gépet. Most azonban a virtuális gép megtartja a MAC-címet, ha felszabadított állapotban van. A MAC-cím a hálózati adapterhez lesz rendelve, amíg el nem hajtja az alábbi feladatok egyikét:
- Törölje a hálózati adaptert.
- Módosítsa az elsődleges hálózati adapter elsődleges IP-konfigurációja által hozzárendelt magánhálózati IP-címet.
Csatlakozhatok az internethez virtuális hálózaton lévő virtuális gépről?
Igen. A virtuális hálózaton üzembe helyezett összes virtuális gép és Cloud Services-szerepkörpéldány csatlakozhat az internethez.
Virtuális hálózatokhoz csatlakozó Azure-szolgáltatások
Használhatom a Web Appst virtuális hálózattal?
Igen. Az Azure-alkalmazás Service Web Apps szolgáltatását egy virtuális hálózaton belül helyezheti üzembe egy App Service-környezet használatával. Ezután:
- Csatlakoztassa az alkalmazások háttérrendszerét a virtuális hálózatokhoz virtuális hálózati integráció használatával.
- Szolgáltatásvégpontok használatával zárolhatja az alkalmazás bejövő forgalmát.
További információért tekintse át az alábbi cikkeket:
- Az App Service hálózatkezelési funkciói
- App Service-környezet használata
- Alkalmazás integrálása egy Azure-beli virtuális hálózattal
- Az Azure App Service hozzáférés-korlátozásainak beállítása
Üzembe helyezhetem a Cloud Servicest webes és feldolgozói szerepkörökkel (PaaS) egy virtuális hálózaton?
Igen. A Cloud Services szerepkörpéldányait (opcionálisan) virtuális hálózatokban is üzembe helyezheti. Ehhez meg kell adnia a virtuális hálózat nevét és a szerepkör-/alhálózat-leképezéseket a szolgáltatáskonfiguráció hálózati konfigurációs szakaszában. Egyik bináris fájlt sem kell frissítenie.
Csatlakoztathatok virtuálisgép-méretezési csoportot egy virtuális hálózathoz?
Igen. Virtuálisgép-méretezési csoportot kell csatlakoztatnia egy virtuális hálózathoz.
Létezik olyan Azure-szolgáltatások teljes listája, amelyekből erőforrásokat helyezhetek üzembe egy virtuális hálózaton?
Igen. További részletekért lásd : Dedikált Azure-szolgáltatások üzembe helyezése virtuális hálózatokon.
Hogyan korlátozhatjam az Azure PaaS-erőforrásokhoz való hozzáférést egy virtuális hálózatról?
Egyes Azure PaaS-szolgáltatásokon (például az Azure Storage-on és az Azure SQL Database-en) keresztül üzembe helyezett erőforrások virtuális hálózati szolgáltatásvégpontok vagy Azure Private Link használatával korlátozhatják a virtuális hálózatokhoz való hálózati hozzáférést. További részletekért lásd a virtuális hálózati szolgáltatás végpontjait és az Azure Private Linket.
Áthelyezhetem a szolgáltatásokat a virtuális hálózatokba és onnan ki?
Szám A szolgáltatások nem helyezhetők át a virtuális hálózatokba és kifelé. Ha egy erőforrást át szeretne helyezni egy másik virtuális hálózatra, törölnie kell és újra kell üzembe helyeznie az erőforrást.
Biztonság
Mi a virtuális hálózatok biztonsági modellje?
A virtuális hálózatok el vannak különítve egymástól és az Azure-infrastruktúrában üzemeltetett egyéb szolgáltatásoktól. A virtuális hálózat megbízhatósági határ.
Korlátozhatjam a bejövő vagy kimenő forgalom forgalmát a virtuális hálózathoz csatlakoztatott erőforrásokra?
Igen. Hálózati biztonsági csoportokat alkalmazhat a virtuális hálózaton belüli egyes alhálózatokra, virtuális hálózathoz csatlakoztatott hálózati adapterekre vagy mindkettőre.
Implementálhatok tűzfalat a virtuális hálózathoz csatlakoztatott erőforrások között?
Igen. Tűzfalhálózati virtuális berendezést több gyártótól is üzembe helyezhet az Azure Marketplace-en keresztül.
Rendelkezésre állnak a virtuális hálózatok biztonságossá tételével kapcsolatos információk?
Igen. Tekintse meg az Azure hálózati biztonsági áttekintését.
A virtuális hálózatok tárolják az ügyféladatokat?
Szám A virtuális hálózatok nem tárolnak ügyféladatokat.
Beállíthatom a FlowTimeoutInMinutes tulajdonságot egy teljes előfizetéshez?
Szám A FlowTimeoutInMinutes tulajdonságot a virtuális hálózaton kell beállítania. Az alábbi kód segítségével automatikusan beállíthatja ezt a tulajdonságot nagyobb előfizetésekhez:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API-k, sémák és eszközök
Felügyelhetem a virtuális hálózatokat kódból?
Igen. A REST API-kat virtuális hálózatokhoz használhatja az Azure Resource Managerben és a klasszikus üzemi modellekben.
Van eszköztámogatás a virtuális hálózatokhoz?
Igen. További információ a használatról:
- Az Azure Portalon virtuális hálózatokat helyezhet üzembe az Azure Resource Manageren és a klasszikus üzemi modelleken keresztül.
- PowerShell a Resource Manager-alapú üzemi modellen keresztül üzembe helyezett virtuális hálózatok kezeléséhez.
- Az Azure CLI vagy a klasszikus Azure CLI a Resource Manageren és a klasszikus üzemi modelleken keresztül üzembe helyezett virtuális hálózatok üzembe helyezéséhez és kezeléséhez.
Virtuális hálózati társviszony
Mi a virtuális hálózatok közötti társviszony-létesítés?
A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi a virtuális hálózatok összekapcsolását. A virtuális hálózatok közötti társviszony-létesítési kapcsolat lehetővé teszi, hogy a forgalmat privát módon, IPv4-címeken keresztül irányíthassa.
A társhálózatok virtuális gépei úgy kommunikálhatnak egymással, mintha ugyanazon a hálózaton belül lennének. Ezek a virtuális hálózatok lehetnek ugyanabban a régióban vagy különböző régiókban (más néven globális virtuális hálózatok közötti társviszony-létesítés).
Virtuális hálózati társviszony-létesítési kapcsolatokat is létrehozhat az Azure-előfizetésekben.
Létrehozhatok társviszony-létesítési kapcsolatot egy másik régióban lévő virtuális hálózathoz?
Igen. A globális virtuális hálózatok közötti társviszony-létesítés lehetővé teszi a különböző régiókban lévő virtuális hálózatok közötti társviszonyt. A globális virtuális hálózatok közötti társviszony-létesítés minden nyilvános Azure-régióban, Kínai felhőrégióban és kormányzati felhőrégióban elérhető. Az Azure nyilvános régióiból nem lehet globálisan társviszonyt létesíteni a nemzeti felhőrégiók között.
Mik a globális virtuális hálózatok társviszony-létesítéséhez és terheléselosztóihoz kapcsolódó korlátozások?
Ha a két régió két virtuális hálózata globális virtuális társhálózat létesítésén keresztül van társítva, akkor a Load Balancer előtérbeli IP-címén keresztül nem csatlakozhat olyan erőforrásokhoz, amelyek egy alapszintű Load Balancer mögött találhatók. Ez a korlátozás nem létezik standard terheléselosztó esetén.
A következő erőforrások alapszintű terheléselosztókat használhatnak, ami azt jelenti, hogy a terheléselosztó előtérbeli IP-címén keresztül nem érheti el őket a globális virtuális hálózatok közötti társviszony-létesítés során. A globális virtuális hálózatok közötti társviszony-létesítéssel azonban közvetlenül a saját virtuális hálózati IP-címükön keresztül érheti el az erőforrásokat, ha engedélyezve van.
- Alapszintű terheléselosztók mögötti virtuális gépek
- Virtuálisgép-méretezési csoportok alapszintű terheléselosztókkal
- Azure Cache for Redis
- Azure-alkalmazás átjáró 1-ben
- Azure Service Fabric
- Azure API Management stv1
- Microsoft Entra tartományi szolgáltatások
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service Environment v1 és v2
Ezekhez az erőforrásokhoz az Azure ExpressRoute-on vagy a hálózati kapcsolatokon keresztül csatlakozhat virtuális hálózati átjárókon keresztül.
Engedélyezhetim a virtuális hálózatok közötti társviszony-létesítést, ha a virtuális hálózataim különböző Microsoft Entra-bérlők előfizetéseihez tartoznak?
Igen. Létrehozhat virtuális hálózati társviszonyt (akár helyi, akár globális), ha az előfizetései különböző Microsoft Entra-bérlőkhöz tartoznak. Ezt az Azure Portalon, a PowerShellen vagy az Azure CLI-en keresztül teheti meg.
A virtuális hálózati társviszony-létesítési kapcsolat kezdeményezett állapotban van. Miért nem tudok csatlakozni?
Ha a társviszony-létesítési kapcsolat kezdeményezett állapotban van, csak egy hivatkozást hozott létre. A sikeres kapcsolat létrehozásához létre kell hoznia egy kétirányú hivatkozást.
A VNetA és a VNetB közötti társviszony-létesítéshez például létre kell hoznia egy hivatkozást a VNetA-ból a VNetB-be, illetve a VNetB-ből a VNetA-ba. Mindkét hivatkozás létrehozása a Csatlakoztatott állapotot módosítja.
A virtuális hálózati társviszony-létesítési kapcsolat megszakadt állapotban van. Miért nem tudok társviszony-létesítési kapcsolatot létrehozni?
Ha a virtuális hálózati társviszony-létesítési kapcsolat megszakadt állapotban van, a rendszer törölte a létrehozott hivatkozások egyikét. Társviszony-létesítési kapcsolat újbóli létrehozásához törölnie kell a fennmaradó hivatkozást, és újra létre kell hoznia mindkettőt.
Társíthatom a virtuális hálózatomat egy másik előfizetésben lévő virtuális hálózattal?
Igen. Virtuális hálózatokat társíthat előfizetések és régiók között.
Társíthatok két olyan virtuális hálózatot, amelyek egyező vagy átfedésben lévő címtartományokkal rendelkeznek?
Szám Ha a címterek átfedésben vannak, nem engedélyezheti a virtuális hálózatok közötti társviszony-létesítést.
Társíthatok virtuális hálózatot két virtuális hálózattal, ha mindkét társviszonyban engedélyezve van a Távoli átjáró használata beállítás?
Szám A Távoli átjáró használata beállítást csak egy társviszony-létesítés esetén engedélyezheti az egyik virtuális hálózattal.
Áthelyezhetek egy olyan virtuális hálózatot, amely társviszony-létesítési kapcsolatot létesít egy másik virtuális hálózattal?
Szám Nem helyezhető át társviszony-létesítési kapcsolattal rendelkező virtuális hálózat egy másik virtuális hálózathoz. A virtuális hálózat áthelyezése előtt törölnie kell a társviszony-létesítési kapcsolatot.
Mennyibe kerülnek a virtuális hálózati társviszony-létesítési kapcsolatok?
A virtuális hálózati társviszony-létesítési kapcsolat létrehozása díjmentes. A társviszony-kapcsolatok közötti adatátvitel díjköteles. További információkért tekintse meg az Azure Virtual Network díjszabási oldalát.
Titkosítva van a virtuális hálózati társviszony-létesítési forgalom?
Amikor az Azure-forgalom az adatközpontok között mozog (a Microsoft vagy a Microsoft nevében nem ellenőrzött fizikai határokon kívül), a mögöttes hálózati hardver MACsec adatkapcsolati réteg titkosítást használ. Ez a titkosítás a virtuális hálózatok társviszony-létesítési forgalmára alkalmazható.
Miért van megszakadt állapotban a társviszony-létesítési kapcsolat?
A virtuális hálózati társviszony-létesítési kapcsolatok megszakadt állapotba kerülnek, amikor egy virtuális hálózati társviszony-létesítési kapcsolatot törölnek. A sikeres társviszony-létesítési kapcsolat újbóli létrehozásához mindkét hivatkozást törölnie kell.
Ha a VNetA-t a VNetB-hez, a VNetB-t pedig a VNetC-hez társítom, akkor ez azt jelenti, hogy a VNetA és a VNetC társviszonyban van?
Szám A tranzitív társviszony-létesítés nem támogatott. Manuálisan kell társviszonyt létesítenie a VNetA és a VNetC között.
Vannak sávszélesség-korlátozások a társviszony-létesítési kapcsolatokra?
Szám A virtuális hálózatok közötti társviszony-létesítés – akár helyi, akár globális – nem ír elő sávszélesség-korlátozást. A sávszélességet csak a virtuális gép vagy a számítási erőforrás korlátozza.
Hogyan háríthatom el a virtuális hálózatok közötti társviszony-létesítéssel kapcsolatos problémákat?
Próbálja ki a hibaelhárítási útmutatót.
Virtuális hálózat TAP-jai
Mely Azure-régiók érhetők el a virtuális hálózati TAP-hoz?
A virtuális hálózati terminál hozzáférési pontjának (TAP) előzetes verziója minden Azure-régióban elérhető. A figyelt hálózati adaptereket, a virtuális hálózati TAP-erőforrást és a gyűjtői vagy elemzési megoldást ugyanabban a régióban kell üzembe helyeznie.
Támogatja a virtuális hálózati TAP a tükrözött csomagok szűrési képességeit?
A szűrési képességek nem támogatottak a virtuális hálózat TAP előzetes verziójában. Amikor TAP-konfigurációt ad hozzá egy hálózati adapterhez, a rendszer a hálózati adapter összes bejövő és kimenő forgalmának részletes másolatát a TAP célhelyre irányítja.
Hozzáadhatok több TAP-konfigurációt egy figyelt hálózati adapterhez?
A figyelt hálózati adapterek csak egy TAP-konfigurációval rendelkezhetnek. Ellenőrizze az egyes partnermegoldásokkal , hogy a TAP-forgalom több másolatát is streamelheti-e az Ön által választott elemzési eszközökre.
Ugyanazon virtuális hálózati TAP-erőforrás összesítheti a figyelt hálózati adapterek forgalmát egynél több virtuális hálózaton?
Igen. Ugyanezzel a virtuális hálózati TAP-erőforrással összesítheti az ugyanazon előfizetésben vagy egy másik előfizetésben lévő társhálózati virtuális hálózatok figyelt hálózati adaptereinek tükrözött forgalmát.
A virtuális hálózati TAP-erőforrásnak és a célként szolgáló terheléselosztónak vagy célhálózati adapternek ugyanabban az előfizetésben kell lennie. Minden előfizetésnek ugyanabban a Microsoft Entra-bérlőben kell lennie.
Vannak teljesítménybeli szempontok az éles forgalomban, ha engedélyezem a virtuális hálózati TAP-konfigurációt egy hálózati adapteren?
A virtuális hálózati TAP előzetes verzióban érhető el. Az előzetes verzióban nincs szolgáltatási szintű szerződés. Éles számítási feladatokhoz nem szabad használni a képességet.
Ha TAP-konfigurációval rendelkező virtuálisgép-hálózati adaptert engedélyez, a rendszer ugyanazokat az erőforrásokat használja a virtuális géphez rendelt Azure-gazdagépen az éles forgalom elküldéséhez, mint a tükrözési függvény végrehajtásához és a tükrözött csomagok elküldéséhez. Válassza ki a megfelelő Linux vagy Windows rendszerű virtuális gépméretet, hogy elegendő erőforrás álljon rendelkezésre a virtuális gép számára az éles forgalom és a tükrözött forgalom küldéséhez.
Támogatja a linuxos vagy windowsos gyorsított hálózatkezelést a virtuális hálózati TAP?
Tap-konfigurációt adhat hozzá egy olyan virtuális géphez csatlakoztatott hálózati adapteren, amely linuxos vagy windowsos gyorsított hálózatkezeléssel van engedélyezve. A TAP-konfiguráció hozzáadása azonban hatással lesz a virtuális gép teljesítményére és késésére, mivel az Azure gyorsított hálózatkezelése jelenleg nem támogatja a forgalom tükrözésének kiszervezését.
Virtuális hálózati szolgáltatásvégpontok
Mi a megfelelő műveletsor a szolgáltatásvégpontok Azure-szolgáltatáshoz való beállításához?
Az Azure-szolgáltatáserőforrás szolgáltatásvégpontokon keresztül történő biztonságossá tételének két lépése van:
- Kapcsolja be az Azure-szolgáltatás szolgáltatásvégpontjait.
- Állítson be virtuális hálózati hozzáférés-vezérlési listákat (ACL-eket) az Azure-szolgáltatásban.
Az első lépés egy hálózatoldali művelet, a második pedig egy szolgáltatáserőforrás-oldali művelet. Ugyanaz a rendszergazda vagy különböző rendszergazdák hajthatják végre a lépéseket a rendszergazdai szerepkörhöz megadott Azure-szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek alapján.
Javasoljuk, hogy kapcsolja be a virtuális hálózat szolgáltatásvégpontjait, mielőtt beállítja a virtuális hálózati ACL-eket az Azure szolgáltatásoldalán. A virtuális hálózati szolgáltatásvégpontok beállításához el kell végeznie az előző sorrendben szereplő lépéseket.
Feljegyzés
Az Azure-szolgáltatás engedélyezett virtuális hálózathoz és alhálózathoz való hozzáférésének korlátozása előtt mindkét fenti műveletet végre kell hajtania. Csak az Azure-szolgáltatás szolgáltatásvégpontjainak bekapcsolása a hálózati oldalon nem biztosít korlátozott hozzáférést. A virtuális hálózati ACL-eket az Azure szolgáltatásoldalán is be kell állítania.
Bizonyos szolgáltatások (például az Azure SQL és az Azure Cosmos DB) engedélyezik az előző sorozat kivételeit a IgnoreMissingVnetServiceEndpoint
jelölőn keresztül. Miután beállította a jelzőt True
, beállíthatja a virtuális hálózati ACL-eket az Azure szolgáltatásoldalán, mielőtt bekapcsolná a szolgáltatásvégpontokat a hálózati oldalon. Az Azure-szolgáltatások ezt a jelzőt biztosítják az ügyfeleknek olyan esetekben, amikor az adott IP-tűzfalak az Azure-szolgáltatásokban vannak konfigurálva.
A szolgáltatásvégpontok hálózati oldalon való bekapcsolása kapcsolatcsökkenéshez vezethet, mivel a forrás IP-címe nyilvános IPv4-címről privát címre változik. A virtuális hálózati ACL-ek beállítása az Azure szolgáltatásoldalán, mielőtt bekapcsolná a szolgáltatásvégpontokat a hálózati oldalon, segíthet elkerülni a kapcsolat megszakadását.
Feljegyzés
Ha engedélyezi a szolgáltatásvégpontot bizonyos szolgáltatásokon, például a "Microsoft.AzureActiveDirectory" szolgáltatáson, az IPV6-címkapcsolatok megjelennek a bejelentkezési naplókban. A Microsoft egy belső IPV6 privát tartományt használ az ilyen típusú kapcsolatokhoz.
Az összes Azure-szolgáltatás az ügyfél által biztosított Azure-beli virtuális hálózaton található? Hogyan működik egy virtuális hálózati szolgáltatásvégpont az Azure-szolgáltatásokkal?
Nem minden Azure-szolgáltatás található az ügyfél virtuális hálózatában. A legtöbb Azure-beli adatszolgáltatások (például az Azure Storage, az Azure SQL és az Azure Cosmos DB) több-bérlős szolgáltatások, amelyek nyilvános IP-címeken érhetők el. További információ: Dedikált Azure-szolgáltatások üzembe helyezése virtuális hálózatokon.
Ha bekapcsolja a virtuális hálózati szolgáltatásvégpontokat a hálózati oldalon, és beállítja a megfelelő virtuális hálózati ACL-eket az Azure szolgáltatás oldalán, az Azure-szolgáltatásokhoz való hozzáférés korlátozott egy engedélyezett virtuális hálózattól és alhálózattól.
Hogyan biztosítják a virtuális hálózati szolgáltatásvégpontok a biztonságot?
A virtuális hálózati szolgáltatásvégpontok korlátozzák az Azure-szolgáltatás hozzáférését az engedélyezett virtuális hálózathoz és alhálózathoz. Ily módon hálózati szintű biztonságot és az Azure-szolgáltatások forgalmának elkülönítését biztosítják.
A virtuális hálózati szolgáltatásvégpontokat használó összes forgalom a Microsoft gerinchálózatán halad át, hogy egy másik elkülönítési réteget biztosítson a nyilvános internettől. Az ügyfelek dönthetnek úgy is, hogy teljesen eltávolítják az Azure-szolgáltatás erőforrásaihoz való nyilvános internetkapcsolatot, és csak a virtuális hálózatukról engedélyezik a forgalmat az IP-tűzfal és a virtuális hálózati ACL-ek kombinációjával. Az internet-hozzáférés eltávolítása segít megvédeni az Azure-szolgáltatás erőforrásait a jogosulatlan hozzáféréstől.
Mit véd a virtuális hálózati szolgáltatásvégpont – virtuális hálózati erőforrások vagy Azure-szolgáltatáserőforrások?
A virtuális hálózati szolgáltatásvégpontok segítenek megvédeni az Azure-szolgáltatás erőforrásait. A virtuális hálózati erőforrásokat hálózati biztonsági csoportok védik.
Van bármi költsége a virtuális hálózati szolgáltatásvégpontok használatának?
Szám A virtuális hálózati szolgáltatásvégpontok használata nem jár további költségekkel.
Bekapcsolhatom a virtuális hálózati szolgáltatásvégpontokat, és beállíthatok virtuális hálózati ACL-eket, ha a virtuális hálózat és az Azure-szolgáltatás erőforrásai különböző előfizetésekhez tartoznak?
Igen, lehetséges. A virtuális hálózatok és az Azure-szolgáltatás erőforrásai ugyanabban az előfizetésben vagy különböző előfizetésekben lehetnek. Az egyetlen követelmény, hogy mind a virtuális hálózatnak, mind az Azure-szolgáltatás erőforrásainak ugyanabban a Microsoft Entra-bérlőben kell lenniük.
Bekapcsolhatom a virtuális hálózati szolgáltatásvégpontokat, és beállíthatok virtuális hálózati ACL-eket, ha a virtuális hálózat és az Azure-szolgáltatás erőforrásai különböző Microsoft Entra-bérlőkhöz tartoznak?
Igen, ez akkor lehetséges, ha szolgáltatásvégpontokat használ az Azure Storage-hoz és az Azure Key Vaulthoz. Más szolgáltatások esetében a virtuális hálózati szolgáltatásvégpontok és a virtuális hálózati ACL-ek nem támogatottak a Microsoft Entra-bérlőkben.
Hozzáférhet egy helyszíni eszköz IP-címe, amely egy Azure-beli virtuális hálózati átjárón (VPN) vagy ExpressRoute-átjárón keresztül csatlakozik az Azure PaaS-szolgáltatásokhoz a virtuális hálózati szolgáltatásvégpontokon keresztül?
Alapértelmezés szerint a virtuális hálózatokhoz biztosított Azure-szolgáltatási erőforrások nem érhetők el helyszíni hálózatokról. Ha engedélyezni szeretné a helyszíni forgalom engedélyezését, engedélyeznie kell a helyszíni vagy az ExpressRoute-ból származó nyilvános (általában NAT- vagy NAT-) IP-címeket is. Ezeket az IP-címeket az Azure-szolgáltatás erőforrásaihoz tartozó IP-tűzfal konfigurációja segítségével adhatja hozzá.
Használhatok virtuális hálózati szolgáltatásvégpontokat az Azure-szolgáltatások biztonságossá tételéhez egy virtuális hálózaton belül vagy több virtuális hálózaton belül több alhálózaton?
Ha egy virtuális hálózaton vagy több virtuális hálózaton belül több alhálózatra szeretné biztosítani az Azure-szolgáltatásokat, engedélyezze az egyes alhálózatok hálózati oldalán lévő szolgáltatásvégpontokat egymástól függetlenül. Ezután biztonságossá teheti az Azure-szolgáltatások erőforrásait az összes alhálózaton a megfelelő virtuális hálózati ACL-ek beállításával az Azure szolgáltatásoldalán.
Hogyan szűrhetem ki a virtuális hálózatból az Azure-szolgáltatásokba irányuló kimenő forgalmat, és hogyan használhatom továbbra is a szolgáltatásvégpontokat?
Ha meg szeretné vizsgálni vagy szűrni szeretné egy Azure-szolgáltatás felé irányuló forgalmat egy virtuális hálózatról, üzembe helyezhet egy hálózati virtuális berendezést a virtuális hálózaton belül. Ezután szolgáltatási végpontokat alkalmazhat arra az alhálózatra, ahol a hálózati virtuális berendezés üzembe van helyezve, és csak erre az alhálózatra biztosíthatja az Azure-szolgáltatáserőforrásokat virtuális hálózati ACL-eken keresztül.
Ez a forgatókönyv akkor is hasznos lehet, ha az Azure-szolgáltatások hozzáférését a virtuális hálózatról csak adott Azure-erőforrásokra szeretné korlátozni a hálózati virtuális berendezések szűrésével. További információ: Magas rendelkezésre állású NVA-k üzembe helyezése.
Mi történik, ha valaki olyan Azure-szolgáltatásfiókhoz fér hozzá, amelyhez engedélyezve van egy virtuális hálózati ACL a virtuális hálózaton kívülről?
A szolgáltatás HTTP 403- vagy HTTP 404-hibát ad vissza.
A virtuális hálózat alhálózatai különböző régiókban lettek létrehozva, hogy hozzáférjenek egy másik régióban található Azure-szolgáltatásfiókhoz?
Igen. A legtöbb Azure-szolgáltatás esetében a különböző régiókban létrehozott virtuális hálózatok a virtuális hálózati szolgáltatásvégpontokon keresztül férhetnek hozzá egy másik régió azure-szolgáltatásaihoz. Ha például egy Azure Cosmos DB-fiók az USA nyugati régiójában vagy az USA keleti régiójában található, és a virtuális hálózatok több régióban találhatók, a virtuális hálózatok hozzáférhetnek az Azure Cosmos DB-hez.
Az Azure Storage és az Azure SQL kivételek, és regionális jellegűek. A virtuális hálózatnak és az Azure-szolgáltatásnak is ugyanabban a régióban kell lennie.
Rendelkezhet egy Azure-szolgáltatás virtuális hálózati ACL-sel és IP-tűzfallal is?
Igen. A virtuális hálózati ACL és az IP-tűzfal együtt létezhet. A funkciók kiegészítik egymást az elkülönítés és a biztonság biztosítása érdekében.
Mi történik, ha olyan virtuális hálózatot vagy alhálózatot töröl, amelynek szolgáltatásvégpontjai be vannak kapcsolva az Azure-szolgáltatásokhoz?
A virtuális hálózatok törlése és az alhálózatok törlése független művelet. Ezek akkor is támogatottak, ha bekapcsolja az Azure-szolgáltatások szolgáltatásvégpontjait.
Ha virtuális hálózati ACL-eket állít be az Azure-szolgáltatásokhoz, az adott Azure-szolgáltatásokhoz társított ACL-információk le lesznek tiltva, amikor töröl egy olyan virtuális hálózatot vagy alhálózatot, amelyen a virtuális hálózati szolgáltatásvégpontok be vannak kapcsolva.
Mi történik, ha olyan Azure-szolgáltatásfiókot törölöm, amelyen be van kapcsolva egy virtuális hálózati szolgáltatásvégpont?
Az Azure-szolgáltatásfiók törlése független művelet. Akkor is támogatott, ha bekapcsolta a szolgáltatásvégpontot a hálózati oldalon, és beállítja a virtuális hálózati ACL-eket az Azure szolgáltatásoldalán.
Mi történik egy olyan erőforrás (például egy alhálózat virtuális gépe) forrás IP-címével, amelyen a virtuális hálózati szolgáltatásvégpontok be vannak kapcsolva?
A virtuális hálózati szolgáltatásvégpontok bekapcsolásakor a virtuális hálózat alhálózatában lévő erőforrások forrás IP-címei nyilvános IPv4-címekről az Azure-beli virtuális hálózat privát IP-címeinek használatára váltanak az Azure-szolgáltatások felé irányuló forgalomhoz. Ez a kapcsoló bizonyos IP-tűzfalakat okozhat, amelyek az Azure-szolgáltatások korábbi nyilvános IPv4-címére vannak beállítva.
Mindig elsőbbséget élvez a szolgáltatásvégpont útvonala?
A szolgáltatásvégpontok olyan rendszerútvonalat adnak hozzá, amely elsőbbséget élvez a Border Gateway Protocol (BGP) útvonalokkal szemben, és optimális útválasztást biztosít a szolgáltatásvégpont forgalmához. A szolgáltatásvégpontok mindig közvetlenül a virtuális hálózatról a Microsoft Azure gerinchálózatán lévő szolgáltatás felé viszik a szolgáltatás forgalmát.
További információ arról, hogy az Azure hogyan választ ki egy útvonalat, lásd a virtuális hálózati forgalom útválasztását.
Működnek a szolgáltatásvégpontok az ICMP-vel?
Szám A szolgáltatásvégpontok engedélyezésével rendelkező alhálózatból származó ICMP-forgalom nem veszi át a szolgáltatásalagút elérési útját a kívánt végpontra. A szolgáltatásvégpontok csak a TCP-forgalmat kezelik. Ha szolgáltatásvégpontokon keresztül szeretné tesztelni a késést vagy a végponthoz való kapcsolódást, az olyan eszközök, mint a pingelés és a nyomkövetés, nem jelenítik meg az alhálózaton belüli erőforrások valódi elérési útját.
Hogyan működnek az alhálózaton található NSG-k szolgáltatásvégpontokkal?
Az Azure-szolgáltatás eléréséhez az NSG-knek engedélyezniük kell a kimenő kapcsolatot. Ha az NSG-k minden internetes kimenő forgalom számára meg vannak nyitva, a szolgáltatásvégpont forgalmának működnie kell. A kimenő forgalmat a szolgáltatáscímkék használatával csak a szolgáltatás IP-címére korlátozhatja.
Milyen engedélyekre van szükségem a szolgáltatásvégpontok beállításához?
Ha írási hozzáféréssel rendelkezik az adott hálózathoz, egymástól függetlenül konfigurálhatja a szolgáltatásvégpontokat egy virtuális hálózaton.
Az Azure-szolgáltatás erőforrásainak virtuális hálózatokhoz való védelméhez Microsoft.Network/virtualNetworks/alhálózatok/joinViaServiceEndpoint/action engedéllyel kell rendelkeznie a hozzáadni kívánt alhálózatokhoz. Ez az engedély alapértelmezés szerint szerepel a beépített szolgáltatásadminisztrátori szerepkörben, és egyéni szerepkörök létrehozásával módosítható.
A beépített szerepkörökről és az egyéni szerepkörökhöz adott engedélyek hozzárendeléséről további információt az Azure-beli egyéni szerepkörökben talál.
Szűrhetem az Azure-szolgáltatások virtuális hálózati forgalmát szolgáltatásvégpontokon keresztül?
A virtuális hálózati szolgáltatásvégpont-szabályzatokkal szűrheti az Azure-szolgáltatásokba irányuló virtuális hálózati forgalmat, így csak adott Azure-szolgáltatás-erőforrásokat engedélyezhet a szolgáltatásvégpontokon keresztül. A végpontszabályzatok részletes hozzáférés-vezérlést biztosítanak a virtuális hálózati forgalomból az Azure-szolgáltatásokba.
További információ: Az Azure Storage virtuális hálózati szolgáltatásvégpont-szabályzatai.
Támogatja a Microsoft Entra ID a virtuális hálózati szolgáltatásvégpontokat?
A Microsoft Entra ID nem támogatja natív módon a szolgáltatásvégpontokat. A virtuális hálózati szolgáltatásvégpontokat támogató Azure-szolgáltatások teljes listáját a Virtuális hálózati szolgáltatásvégpontok című témakörben találja.
Ebben a listában a szolgáltatásvégpontokat támogató szolgáltatások alatt felsorolt Microsoft.AzureActiveDirectory címke az Azure Data Lake Storage Gen1 szolgáltatásvégpontjainak támogatásához használatos. A Data Lake Storage Gen1 virtuális hálózati integrációja a virtuális hálózat és a Microsoft Entra ID közötti virtuális hálózati szolgáltatásvégpont-biztonságot használja további biztonsági jogcímek létrehozásához a hozzáférési jogkivonatban. Ezután e jogcímek használatával hitelesíti a virtuális hálózatot az 1. generációs Data Lake Storage-fiókkal, és engedélyezi a hozzáférést.
Van-e korlátozás arra vonatkozóan, hogy hány szolgáltatásvégpontot állíthatok be a virtuális hálózatomról?
A virtuális hálózatokon korlátlan számú szolgáltatásvégpont üzemelhet. Azure-szolgáltatáserőforrás (például Azure Storage-fiók) esetén a szolgáltatások korlátozhatják az erőforrás védelméhez használt alhálózatok számát. Az alábbi táblázat néhány példakorlátot mutat be:
Azure-szolgáltatás | A virtuális hálózati szabályok korlátai |
---|---|
Azure Storage | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Azure-eseményközpontok | 128 |
Azure Service Bus | 128 |
Feljegyzés
A korlátok az Azure-szolgáltatások belátása szerint változhatnak. Részletekért tekintse meg a megfelelő szolgáltatásdokumentációt.
Klasszikus hálózati erőforrások áttelepítése a Resource Managerbe
Mit jelent az Azure Service Manager, és mit jelent a "klasszikus" kifejezés?
Az Azure Service Manager az Azure régi üzemi modellje, amely erőforrások létrehozásáért, kezeléséért és törléséért felelős. A klasszikus szó egy hálózati szolgáltatásban az Azure Service Manager-modell által felügyelt erőforrásokra vonatkozik. További információkért tekintse meg az üzembehelyezési modellek összehasonlítását.
Mi az Azure Resource Manager?
Az Azure Resource Manager az Azure legújabb üzembe helyezési és felügyeleti modellje, amely az Azure-előfizetés erőforrásainak létrehozásáért, kezeléséért és törléséért felelős. További információ: Mi az Az Azure Resource Manager?
Visszaállíthatom a migrálást az erőforrások Resource Managerhez való véglegesítése után?
A migrálást mindaddig megszakíthatja, amíg az erőforrások még előkészített állapotban vannak. Az erőforrások véglegesítési művelettel történő sikeres migrálása után az előző üzemi modellre való visszatérés nem támogatott.
Visszaállíthatom az áttelepítést, ha a véglegesítési művelet meghiúsult?
Ha a véglegesítési művelet sikertelen volt, nem vonható vissza az áttelepítés. Az összes áttelepítési művelet, beleértve a véglegesítési műveletet is, a kezdés után nem módosítható. Javasoljuk, hogy rövid idő elteltével próbálkozzon újra a művelettel. Ha a művelet továbbra is sikertelen, küldjön egy támogatási kérelmet.
Ellenőrizhetem valahol, hogy az előfizetésem vagy az erőforrásaim esetében lehetséges-e a migrálás?
Igen. A migrálás előkészítésének első lépése annak ellenőrzése, hogy az erőforrások migrálhatók-e. Ha az érvényesítés sikertelen, az áttelepítés nem hajtható végre minden okból üzenetben.
Az Application Gateway-erőforrások a virtuális hálózat klasszikusról Resource Managerre való migrálásának részeként vannak migrálva?
Azure-alkalmazás átjáróerőforrások nem lesznek automatikusan migrálva a virtuális hálózati migrálási folyamat részeként. Ha van ilyen a virtuális hálózaton, az áttelepítés nem lesz sikeres. Az Application Gateway-erőforrás Resource Managerbe való migrálásához el kell távolítania és újra létre kell hoznia az Application Gateway-példányt az áttelepítés befejezése után.
A VPN Gateway-erőforrások a virtuális hálózat klasszikusról Resource Managerre való migrálásának részeként vannak migrálva?
Az Azure VPN Gateway-erőforrások migrálása a virtuális hálózati migrálási folyamat részeként történik. A migrálás egyszerre egy virtuális hálózattal fejeződik be, más követelmények nélkül. Az áttelepítés lépései megegyeznek a VPN-átjáró nélküli virtuális hálózatok migrálásával.
A szolgáltatás megszakadása a klasszikus VPN-átjárók Resource Managerbe való migrálásával jár?
A Resource Managerbe való migráláskor nem fog szolgáltatáskimaradást tapasztalni a VPN-kapcsolattal kapcsolatban. A meglévő számítási feladatok továbbra is teljes helyszíni kapcsolattal fognak működni a migrálás során.
Újra kell konfigurálnom a helyszíni eszközömet a VPN-átjáró Resource Managerbe való migrálása után?
A VPN-átjáróhoz társított nyilvános IP-cím a migrálás után is ugyanaz marad. Nem kell újrakonfigurálnia a helyszíni útválasztót.
Melyek a VPN-átjárók klasszikusról Resource Managerre történő migrálásának támogatott forgatókönyvei?
A klasszikusról a Resource Managerre való migrálás a vpn-kapcsolati forgatókönyvek többségét ismerteti. A támogatott forgatókönyvek a következők:
Pont–hely kapcsolat.
Helyek közötti kapcsolat egy helyszíni helyhez csatlakoztatott VPN-átjáróval.
Hálózatok közötti kapcsolat két VPN-átjárót használó virtuális hálózat között.
Több virtuális hálózat csatlakozik ugyanahhoz a helyszíni helyhez.
Többhelyes kapcsolat.
Engedélyezett kényszerített bújtatású virtuális hálózatok.
Mely forgatókönyvek nem támogatottak a VPN-átjárók klasszikusról Resource Managerre való migrálásához?
A nem támogatott forgatókönyvek a következők:
ExpressRoute-átjáróval és VPN-átjáróval rendelkező virtuális hálózat.
Egy másik előfizetésben lévő kapcsolatcsoporthoz csatlakoztatott ExpressRoute-átjáróval rendelkező virtuális hálózat.
Olyan átviteli forgatókönyvek, amelyekben a virtuálisgép-bővítmények helyszíni kiszolgálókhoz vannak csatlakoztatva.
Hol találhatok további információt a klasszikusról a Resource Managerre való migrálásról?
Tekintse meg a klasszikus és az Azure Resource Manager közötti migrálással kapcsolatos gyakori kérdéseket.
Hogyan jelenthetek problémát?
A migrálási problémákkal kapcsolatos kérdéseket a Microsoft Q&A oldalán teheti közzé. Javasoljuk, hogy tegye fel az összes kérdést ezen a fórumon. Ha támogatási szerződéssel rendelkezik, támogatási kérelmet is nyújthat be.