Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych

  • Artykuł

Podczas wdrażania dedykowanych usług platformy Azure w sieci wirtualnej można prywatnie komunikować się z zasobami usługi za pośrednictwem prywatnych adresów IP.

Diagram usług wdrożonych w sieci wirtualnej.

Wdrażanie usług w sieci wirtualnej zapewnia następujące możliwości:

  • Zasoby w sieci wirtualnej mogą komunikować się ze sobą prywatnie za pośrednictwem prywatnych adresów IP. Na przykład bezpośrednie przesyłanie danych między usługą HDInsight i programem SQL Server uruchomionym na maszynie wirtualnej w sieci wirtualnej.

  • Zasoby lokalne mogą uzyskiwać dostęp do zasobów w sieci wirtualnej przy użyciu prywatnych adresów IP za pośrednictwem sieci VPN typu lokacja-lokacja (VPN Gateway) lub usługi ExpressRoute.

  • Sieci wirtualne mogą być równorzędne , aby umożliwić zasobom w sieciach wirtualnych komunikowanie się ze sobą przy użyciu prywatnych adresów IP.

  • Wystąpienia usługi są wdrażane w podsieci w sieci wirtualnej. Dostęp sieciowy dla podsieci dla ruchu przychodzącego i wychodzącego musi być otwarty za pośrednictwem sieciowych grup zabezpieczeń zgodnie ze wskazówkami dostarczonymi przez usługę.

  • Niektóre usługi nakładają ograniczenia na podsieć, w której są wdrażane. To ograniczenie ogranicza stosowanie zasad, tras lub łączenia maszyn wirtualnych i zasobów usługi w tej samej podsieci. Zapoznaj się z każdą usługą dotyczącą określonych ograniczeń, które mogą ulec zmianie w miarę upływu czasu. Przykłady usług to Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.

  • Opcjonalnie usługi mogą wymagać delegowanej podsieci jako jawnego identyfikatora, który podsieć może hostować określoną usługę. W przypadku delegowania usługi otrzymują jawne uprawnienia do tworzenia zasobów specyficznych dla usługi w delegowanej podsieci.

  • Zobacz przykład odpowiedzi interfejsu API REST w sieci wirtualnej z delegowana podsiecią. Pełną listę usług korzystających z delegowanego modelu podsieci można uzyskać za pośrednictwem interfejsu API Dostępne delegowanie .

Usługi, które mogą być wdrażane w sieci wirtualnej

Kategoria Usługa Dedykowanapodsieć 1
Compute Maszyny wirtualne: Linux lub Windows
Zestawy skalowania maszyn wirtualnych
Usługa w chmurze: tylko sieć wirtualna (klasyczna)
Azure Batch
Infrastruktura Baremetal platformy Azure		 Nr
Nr
Nr
Nr2
Sieć Application Gateway — zapora aplikacji internetowej
Azure Bastion
Azure Firewall
Azure Route Server
Brama usługi ExpressRoute
Wirtualne urządzenia sieciowe
VPN Gateway
Prywatna brama danych sieci wirtualnej rozpoznawania
nazw usługi Azure DNS dla sieci szkieletowej i usługi Power BI		 Tak
Tak
Tak
Tak
Tak
Nr
Tak Nie
tak
Data RedisCache
Azure SQL Managed Instance
Azure Database for MySQL — serwer elastyczny
Azure Database for PostgreSQL — serwer elastyczny		 Tak
Tak
Tak
Analiza Azure HDInsight
Azure Databricks		 Nr2
Nr2
Tożsamość Usługi domenowe Microsoft Entra Nr
Kontenery Azure Kubernetes Service (AKS)
Wystąpienie kontenera platformy Azure (ACI)
Aparat usługi Azure Container Service Engine z wtyczką CNI usługi Azure Virtual Network
Azure Functions		 Nr2
Tak
Nr
Tak
Internet API Management
Web Apps
Środowisko usługi App Service
Azure Logic Apps
Środowiska usługi Azure Container Apps
 Tak
Tak
Tak
Tak
Tak
Hostowane Dedykowany moduł HSM platformy Azure
Azure NetApp Files
 Tak
Tak
Azure Spring Apps Wdrażanie w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej)
 Tak
Infrastruktura pulpitów wirtualnych Azure Lab Services
 Tak
DevOps Testowanie obciążenia platformy Azure
 Tak

1 "Dedykowana" oznacza, że w tej podsieci można wdrożyć tylko określone zasoby usługi i nie można ich łączyć z maszynami wirtualnymi/zestawami skalowania maszyn wirtualnych klienta
2 Najlepszym rozwiązaniem jest posiadanie tych usług w dedykowanej podsieci, ale nie obowiązkowe wymaganie nałożone przez usługę.