Azure Virtual Network często zadawane pytania

Podstawy

Co to jest sieć wirtualna?

Sieć wirtualna to reprezentacja własnej sieci w chmurze, która jest dostarczana przez usługę Azure Virtual Network. Sieć wirtualna to logiczna izolacja chmury Azure przeznaczona dla Twojej subskrypcji.

Za pomocą sieci wirtualnych można aprowizować wirtualne sieci prywatne (VPN) i zarządzać nimi w Azure. Opcjonalnie możesz połączyć sieci wirtualne z innymi sieciami wirtualnymi w Azure lub z lokalną infrastrukturą IT w celu utworzenia rozwiązań hybrydowych lub obejmujących wiele lokalizacji.

Każda utworzona sieć wirtualna ma własny blok CIDR. Sieć wirtualną można połączyć z innymi sieciami wirtualnymi i sieciami lokalnymi, o ile bloki CIDR nie nakładają się na siebie. Masz również kontrolę nad ustawieniami serwera DNS dla sieci wirtualnych wraz z segmentacją sieci wirtualnej w podsieci.

Użyj sieci wirtualnych do:

• Utwórz dedykowaną, prywatną sieć wirtualną tylko w chmurze. Czasami nie wymagasz konfiguracji obejmującej wiele lokalizacji dla rozwiązania. Podczas tworzenia sieci wirtualnej usługi i maszyny wirtualne w ramach sieci wirtualnej mogą komunikować się bezpośrednio i bezpiecznie ze sobą w chmurze. Nadal można skonfigurować połączenia punktów końcowych dla maszyn wirtualnych i usług, które wymagają komunikacji internetowej w ramach rozwiązania.

• Bezpieczne rozszerzanie centrum danych. Za pomocą sieci wirtualnych można tworzyć tradycyjne sieci VPN typu lokacja-lokacja (S2S), aby bezpiecznie skalować pojemność centrum danych. Sieci VPN S2S używają protokołu IPsec do zapewnienia bezpiecznego połączenia między firmową bramą sieci VPN i Azure.

• Włącz scenariusze chmury hybrydowej. Aplikacje oparte na chmurze można bezpiecznie połączyć z dowolnym typem systemu lokalnego, w tym komputerami mainframe i systemami Unix.

Jak mogę zacząć?

Odwiedź dokumentację Azure Virtual Network, aby rozpocząć pracę. Ta zawartość zawiera omówienie i informacje o wdrożeniu dla wszystkich funkcji sieci wirtualnej.

Czy mogę używać sieci wirtualnych bez łączności między lokalizacjami?

Tak. Sieć wirtualną można używać bez łączenia jej ze środowiskiem lokalnym. Można na przykład uruchomić kontrolery domeny Microsoft Windows Server Active Directory i farmy SharePoint wyłącznie w sieci wirtualnej Azure.

Czy mogę przeprowadzić optymalizację sieci WAN między sieciami wirtualnymi lub między siecią wirtualną a lokalnym centrum danych?

Tak. Na potrzeby optymalizacji sieci WAN można wdrożyć urządzenie wirtualne network od kilku dostawców za pośrednictwem Azure Marketplace.

Konfigurowanie

Jakich narzędzi używam do tworzenia sieci wirtualnej?

Do utworzenia lub skonfigurowania sieci wirtualnej można użyć następujących narzędzi:

• Azure Portal
• PowerShell
• Azure CLI
• Plik konfiguracji sieci (netcfgtylko dla klasycznych sieci wirtualnych)

Jakich zakresów adresów mogę używać w sieciach wirtualnych?

Zalecamy użycie następujących zakresów adresów, które są wyliczane w RFC 1918. IETF odłożył te zakresy dla prywatnych, nie routable przestrzeni adresowych.

• Od 10.0.0.0 do 10.255.255.255 (prefiks 10/8)
• Od 172.16.0.0 do 172.31.255.255 (prefiks 172.16/12)
• Od 192.168.0.0 do 192.168.255.255 (prefiks 192.168/16)

Możesz również wdrożyć udostępnioną przestrzeń adresową zarezerwowaną w RFC 6598 która jest traktowana jako prywatna przestrzeń adresowa IP w Azure:

• Od 100.64.0.0 do 100.127.255.255 (prefiks 100.64/10)

Inne przestrzenie adresowe, w tym wszystkie inne prywatne przestrzenie adresowe rozpoznawane przez IETF, niezwiązane z routingiem, mogą działać, ale mają niepożądane skutki uboczne.

Ponadto nie można dodać następujących zakresów adresów:

• 224.0.0.0/4 (multiemisji)
• 255.255.255.255/32 (emisja)
• 127.0.0.0/8 (interfejs pętli zwrotnej)
• 169.254.0.0/16 (link lokalny)
• 168.63.129.16/32 (wewnętrzny system DNS)

Czy mogę mieć publiczne adresy IP w sieciach wirtualnych?

Tak. Aby uzyskać więcej informacji na temat zakresów publicznych adresów IP, zobacz Tworzenie sieci wirtualnej. Publiczne adresy IP nie są bezpośrednio dostępne z Internetu.

Czy istnieje limit liczby podsieci w mojej sieci wirtualnej?

Tak. Aby uzyskać szczegółowe informacje, zobacz Limity sieci . Przestrzenie adresowe podsieci nie mogą się ze sobą nakładać.

Czy istnieją ograniczenia dotyczące używania adresów IP w tych podsieciach?

Tak. Azure rezerwuje pierwsze cztery adresy i ostatni adres dla łącznie pięciu adresów IP w każdej podsieci.

Na przykład zakres adresów IP 192.168.1.0/24 ma następujące zastrzeżone adresy:

• 192.168.1.0: Adres sieciowy.
• 192.168.1.1: Zarezerwowane przez Azure dla bramy domyślnej.
• 192.168.1.2, 192.168.1.3: Zarezerwowane przez Azure do mapowania adresów IP Azure DNS na przestrzeń sieci wirtualnej.
• 192.168.1.255: Adres emisji sieciowej.

Jak małe i jak duże mogą być sieci wirtualne i podsieci?

Najmniejsza obsługiwana podsieć IPv4 to /29, a największa to /2 (przy użyciu definicji podsieci CIDR). Podsieci IPv6 muszą mieć dokładnie /64 rozmiar.

Czy mogę przenieść sieci VLAN do Azure przy użyciu sieci wirtualnych?

Nr Sieci wirtualne to nakładki warstwy 3. Azure nie obsługuje żadnej semantyki warstwy 2.

Czy mogę określić niestandardowe zasady routingu w sieciach wirtualnych i podsieciach?

Tak. Możesz utworzyć tabelę tras i skojarzyć ją z podsiecią. Aby uzyskać więcej informacji na temat routingu w usłudze Azure, zobacz Własne trasy.

Jakie jest zachowanie podczas jednoczesnego stosowania zarówno sieciowej grupy zabezpieczeń (NSG), jak i trasy zdefiniowanej przez użytkownika (UDR) w podsieci?

W przypadku ruchu przychodzącego są przetwarzane reguły ruchu przychodzącego sieciowej grupy zabezpieczeń. W przypadku ruchu wychodzącego reguły ruchu wychodzącego sieciowej grupy zabezpieczeń są przetwarzane, a następnie reguły trasy zdefiniowanej przez użytkownika.

Jakie jest zachowanie podczas stosowania sieciowej grupy zabezpieczeń w karcie sieciowej i podsieci dla maszyny wirtualnej?

Gdy stosujesz sieciowe grupy zabezpieczeń zarówno na karcie sieciowej (NIC), jak i na podsieci maszyny wirtualnej:

• Sieciowa grupa zabezpieczeń na poziomie podsieci, a następnie sieciowa grupa zabezpieczeń na poziomie karty sieciowej, jest przetwarzana dla ruchu przychodzącego.
• Sieciowa grupa zabezpieczeń na poziomie karty sieciowej, po której następuje sieciowa grupa zabezpieczeń na poziomie podsieci, jest przetwarzana dla ruchu wychodzącego.

Czy sieci wirtualne obsługują multiemisję lub emisję?

Nr Multicast ani broadcast nie są obsługiwane.

Jakich protokołów można używać w sieciach wirtualnych?

W sieciach wirtualnych można używać protokołów TCP, UDP, ESP, AH i ICMP TCP/IP.

Unicast jest obsługiwany w sieciach wirtualnych. Pakiety multicastowe, broadcastowe, IP-w-IP hermetyzowane oraz ogólnej enkapsulacji routingu (GRE) są blokowane w sieciach wirtualnych. Nie można użyć protokołu DHCP (Dynamic Host Configuration Protocol) za pośrednictwem emisji pojedynczej (port źródłowy UDP/68, port docelowy UDP/67). Porty UDP 4791 i 65330 są zarezerwowane dla hosta.

Czy mogę wdrożyć serwer DHCP w sieci wirtualnej?

Azure sieci wirtualne zapewniają usługę DHCP i system DNS do Azure Virtual Machines. Można jednak również wdrożyć serwer DHCP na maszynie wirtualnej Azure, aby obsługiwać klientów lokalnych za pośrednictwem agenta usługi DHCP Relay.

Serwery DHCP w Azure były wcześniej uważane za niewykonalne, ponieważ ruch do portu UDP/67 był w Azure ograniczany pod względem przepustowości. Jednak najnowsze aktualizacje platformy usunęły ograniczenie szybkości, włączając tę funkcję.

Uwaga

Klient lokalny do serwera DHCP (port źródłowy UDP/68, port docelowy UDP/67) nadal nie jest obsługiwany w Azure, ponieważ ten ruch jest przechwytywany i obsługiwany inaczej. Spowoduje to przekroczenie limitu czasu komunikatów w momencie ODNOWIENIA PROTOKOŁU DHCP w T1, gdy klient próbuje bezpośrednio uzyskać dostęp do serwera DHCP w Azure. Odnawianie DHCP powiedzie się po podjęciu próby odnowienia DHCP w T2 za pośrednictwem agenta usługi DHCP Relay. Aby uzyskać więcej informacji na temat czasomierzy T1 i T2 DHCP RENEW, zobacz RFC 2131.

Czy mogę wysłać polecenie ping do bramy domyślnej w sieci wirtualnej?

Nr Brama domyślna dostarczona przez usługę Azure nie odpowiada na polecenie ping. Możesz jednak użyć poleceń ping w sieciach wirtualnych, aby sprawdzić łączność i rozwiązać problemy między maszynami wirtualnymi.

Czy mogę użyć tracert do diagnozowania łączności?

Tak.

Czy mogę dodać podsieci po utworzeniu sieci wirtualnej?

Tak. Podsieci można dodawać do sieci wirtualnych w dowolnym momencie, o ile oba te warunki istnieją:

• Zakres adresów podsieci nie jest częścią innej podsieci.
• W zakresie adresów sieci wirtualnej jest dostępna przestrzeń.

Czy mogę zmodyfikować rozmiar podsieci po jej utworzeniu?

Tak. Możesz dodawać, usuwać, rozszerzać lub zmniejszać podsieć, jeśli nie wdrożono w niej żadnych maszyn wirtualnych ani usług.

Czy mogę zmodyfikować sieć wirtualną po jej utworzeniu?

Tak. Można dodawać, usuwać i modyfikować bloki CIDR używane przez sieć wirtualną.

Jeśli korzystam z moich usług w sieci wirtualnej, czy mogę nawiązać połączenie z Internetem?

Tak. Wszystkie usługi wdrożone w sieci wirtualnej mogą łączyć się wychodząco z Internetem. Aby dowiedzieć się więcej o wychodzących połączeniach internetowych w Azure, zobacz Użyj źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Jeśli chcesz nawiązać połączenie przychodzące z zasobem wdrożonym za pośrednictwem Azure Resource Manager, zasób musi mieć przypisany publiczny adres IP. Aby uzyskać więcej informacji, zobacz Tworzenie, zmienianie lub usuwanie publicznego adresu IP Azure.

Każda usługa w chmurze wdrożona w Azure ma przypisany publicznie adresowany wirtualny adres IP (VIP). Definiujesz punkty końcowe wejścia dla ról platformy jako usługi (PaaS) oraz punkty końcowe dla maszyn wirtualnych, aby umożliwić tym usługom akceptowanie połączeń z internetu.

Czy sieci wirtualne obsługują protokół IPv6?

Tak. Sieci wirtualne mogą być wyłącznie w technologii IPv4 lub korzystać z podwójnego stosu protokołów (IPv4 + IPv6). Aby uzyskać szczegółowe informacje, zobacz What is IPv6 for Azure Virtual Network?

Czy sieć wirtualna może obejmować regiony?

Nr Sieć wirtualna jest ograniczona do jednego regionu. Jednak sieć wirtualna obejmuje strefy dostępności. Aby dowiedzieć się więcej o strefach dostępności, zobacz Czym są regiony Azure i strefy dostępności?

Sieci wirtualne można łączyć w różnych regionach przy użyciu komunikacji równorzędnej sieci wirtualnych. Aby uzyskać szczegółowe informacje, zobacz Peering sieci wirtualnych.

Czy mogę połączyć sieć wirtualną z inną siecią wirtualną w Azure?

Tak. Możesz połączyć jedną sieć wirtualną z inną siecią wirtualną przy użyciu jednej z następujących opcji:

• Peering sieci wirtualnych. Aby uzyskać szczegółowe informacje, zobacz Peering sieci wirtualnych.
• Brama sieci VPN Azure. Aby uzyskać szczegółowe informacje, zobacz Konfiguracja połączenia bramy VPN typu sieć-sieć.

Rozpoznawanie nazw (DNS)

Jakie są moje opcje DNS dla sieci wirtualnych?

Użyj tabeli decyzyjnej w Rozpoznawanie nazw zasobów w sieciach wirtualnych Azure, aby kierować się dostępnymi opcjami DNS.

Czy mogę określić serwery DNS dla sieci wirtualnej?

Tak. Adresy IP dla serwerów DNS można określić w ustawieniach sieci wirtualnej. To ustawienie jest stosowane jako domyślny serwer DNS lub serwery dla wszystkich maszyn wirtualnych w sieci wirtualnej.

Ile serwerów DNS można określić?

Zobacz Limity sieci.

Czy mogę zmodyfikować serwery DNS po utworzeniu sieci?

Tak. W dowolnym momencie możesz zmienić listę serwerów DNS dla sieci wirtualnej.

Jeśli zmienisz listę serwerów DNS, musisz przeprowadzić odnawianie dzierżawy DHCP na wszystkich maszynach wirtualnych, których dotyczy problem, w sieci wirtualnej. Nowe ustawienia DNS zostaną zastosowane po odnowieniu dzierżawy. W przypadku maszyn wirtualnych z systemem Windows można odnowić dzierżawę, wprowadzając ipconfig /renew bezpośrednio na maszynie wirtualnej. W przypadku innych typów systemu operacyjnego zapoznaj się z dokumentacją dotyczącą odnawiania dzierżawy DHCP.

Co to jest usługa DNS dostarczana przez Azure i czy działa z sieciami wirtualnymi?

Usługa DNS zapewniana przez Azure jest wielodostępną usługą DNS od Microsoft. Azure rejestruje wszystkie twoje maszyny wirtualne oraz instancje roli w chmurze w ramach tej usługi. Ta usługa zapewnia rozpoznawanie nazw:

• Według nazwy hosta dla maszyn wirtualnych i wystąpień ról w ramach tej samej usługi w chmurze.
• Przy użyciu w pełni kwalifikowanej nazwy domeny (FQDN) dla maszyn wirtualnych i instancji ról w tej samej sieci wirtualnej.

Aby dowiedzieć się więcej o systemie DNS, zobacz Name resolution for resources in Azure virtual networks (Rozpoznawanie nazw zasobów w sieciach wirtualnych Azure.

Istnieje ograniczenie do pierwszych 100 usług chmurowych w sieci wirtualnej na potrzeby rozwiązywania nazw między dzierżawcami za pomocą dostarczanego przez Azure systemu DNS. Jeśli używasz własnego serwera DNS, to ograniczenie nie ma zastosowania.

Czy mogę zastąpić ustawienia DNS dla każdej maszyny wirtualnej lub usługi w chmurze?

Tak. Można ustawić serwery DNS dla każdej maszyny wirtualnej lub usługi w chmurze, aby zastąpić domyślne ustawienia sieciowe. Zalecamy jednak, aby jak najwięcej używać systemu DNS w całej sieci.

Czy mogę wprowadzić własny sufiks DNS?

Nr Nie można określić niestandardowego sufiksu DNS dla sieci wirtualnych.

Łączenie maszyn wirtualnych

Czy mogę wdrożyć maszyny wirtualne w sieci wirtualnej?

Tak. Wszystkie karty sieciowe dołączone do maszyny wirtualnej wdrożonej za pośrednictwem modelu wdrażania Resource Manager muszą być połączone z siecią wirtualną. Opcjonalnie można połączyć maszyny wirtualne wdrożone za pośrednictwem klasycznego modelu wdrażania z siecią wirtualną.

Jakie są typy adresów IP, które można przypisać do maszyn wirtualnych?

• Prywatne: przypisane do każdej karty sieciowej w ramach każdej maszyny wirtualnej za pośrednictwem metody statycznej lub dynamicznej. Prywatne adresy IP są przypisywane z zakresu określonego w ustawieniach podsieci sieci wirtualnej.

  Zasoby wdrożone za pośrednictwem klasycznego modelu wdrażania mają przypisane prywatne adresy IP, nawet jeśli nie są połączone z siecią wirtualną. Zachowanie metody alokacji różni się w zależności od tego, czy zasób został wdrożony przy użyciu Resource Manager, czy klasycznego modelu wdrażania:

  • Resource Manager: prywatny adres IP przypisany za pośrednictwem metody dynamicznej lub statycznej pozostaje przypisany do maszyny wirtualnej (Resource Manager), dopóki zasób nie zostanie usunięty. Różnica polega na tym, że wybierasz adres do przypisania, gdy używasz metody statycznej, a Azure wybiera, gdy korzystasz z metody dynamicznej.
  • Klasyczny: prywatny adres IP przypisany za pośrednictwem metody dynamicznej może ulec zmianie po ponownym uruchomieniu maszyny wirtualnej (klasycznej) po zatrzymaniu (cofnięciu przydziału). Jeśli musisz upewnić się, że prywatny adres IP zasobu wdrożonego za pośrednictwem klasycznego modelu wdrażania nigdy się nie zmienia, przypisz prywatny adres IP przy użyciu metody statycznej.

• Public: opcjonalnie przypisane do interfejsów sieciowych dołączonych do maszyn wirtualnych wdrożonych za pośrednictwem modelu wdrożenia Resource Manager. Adres można przypisać przy użyciu metody alokacji statycznej lub dynamicznej.

  Wszystkie wystąpienia maszyn wirtualnych i ról usługi Azure Cloud Services, wdrożone za pośrednictwem klasycznego modelu wdrażania, istnieją w usłudze chmurowej. Usługa w chmurze ma przypisany dynamiczny, publiczny adres VIP. Opcjonalnie możesz przypisać publiczny statyczny adres IP, nazywany zastrzeżonym adresem IP, jako adres VIP.

  Publiczne adresy IP można przypisać do poszczególnych maszyn wirtualnych lub wystąpień ról usług w chmurze wdrożonych za pomocą klasycznego modelu wdrażania. Te adresy są nazywane publicznymi adresami IP na poziomie wystąpienia i mogą być przypisywane dynamicznie.

Czy mogę zarezerwować prywatny adres IP dla maszyny wirtualnej, która zostanie utworzona w późniejszym czasie?

Nr Nie można zarezerwować prywatnego adresu IP. Jeśli jest dostępny prywatny adres IP, serwer DHCP przypisuje go do maszyny wirtualnej lub instancji roli. Maszyna wirtualna może być lub nie jest tym, do którego chcesz przypisać prywatny adres IP. Można jednak zmienić prywatny adres IP istniejącej maszyny wirtualnej na dowolny dostępny prywatny adres IP.

Czy prywatne adresy IP zmieniają się dla maszyn wirtualnych w sieci wirtualnej?

To zależy. Jeśli maszyna wirtualna została wdrożona przy użyciu Resource Manager, adresy IP nie mogą ulec zmianie, niezależnie od tego, czy adresy zostały przypisane przy użyciu metody alokacji statycznej, czy dynamicznej. Jeśli maszyna wirtualna została wdrożona przy użyciu klasycznego modelu wdrażania, dynamiczne adresy IP mogą ulec zmianie po uruchomieniu maszyny wirtualnej, która znajdowała się w stanie zatrzymanym (cofnięto przydział).

Adres jest zwalniany z maszyny wirtualnej wdrożonej za pośrednictwem dowolnego modelu wdrażania po usunięciu maszyny wirtualnej.

Czy mogę ręcznie przypisać adresy IP do kart sieciowych w systemie operacyjnym maszyny wirtualnej?

Tak, ale nie zalecamy tego, chyba że jest to konieczne, na przykład podczas przypisywania wielu adresów IP do maszyny wirtualnej. Aby uzyskać szczegółowe informacje, zobacz Przypisywanie wielu adresów IP do maszyn wirtualnych.

Jeśli adres IP przypisany do karty sieciowej Azure dołączonej do maszyny wirtualnej ulegnie zmianie, a adres IP w systemie operacyjnym maszyny wirtualnej będzie inny, utracisz łączność z maszyną wirtualną.

Jeśli zatrzymam miejsce wdrożenia usługi w chmurze lub zamknę maszynę wirtualną z poziomu systemu operacyjnego, co się stanie z moimi adresami IP?

Nic. Adresy IP (publiczny adres VIP, publiczny i prywatny) pozostają przypisane do miejsca wdrożenia usługi w chmurze lub maszyny wirtualnej.

Czy mogę przenieść maszyny wirtualne z jednej podsieci do innej podsieci w sieci wirtualnej bez ponownego wdrażania?

Tak. Więcej informacji można znaleźć w artykule Przenoszenie maszyny wirtualnej lub wystąpienia roli do innej podsieci.

Czy mogę skonfigurować statyczny adres MAC dla mojej maszyny wirtualnej?

Nr Nie można statycznie skonfigurować adresu MAC.

Czy adres MAC pozostaje taki sam dla mojej maszyny wirtualnej po jej utworzeniu?

Tak. Adres MAC pozostaje taki sam dla maszyny wirtualnej wdrożonej zarówno za pośrednictwem Resource Manager, jak i klasycznych modeli wdrażania do momentu jego usunięcia.

Wcześniej adres MAC był zwalniany, jeśli zatrzymywało się maszynę wirtualną (dealokowano jej zasoby). Jednak teraz maszyna wirtualna zachowuje adres MAC, gdy jest w stanie dezaktywacji. Adres MAC pozostaje przypisany do karty sieciowej do momentu wykonania jednego z następujących zadań:

• Usuń kartę sieciową.
• Zmień prywatny adres IP przypisany do głównej konfiguracji IP głównej karty sieciowej.

Usługi Azure łączące się z sieciami wirtualnymi

Czy mogę użyć Web Apps z siecią wirtualną?

Tak. Funkcję Web Apps w Azure App Service można wdrożyć w wirtualnej sieci, korzystając z "App Service Environment". Następnie można wykonywać czynności takie jak:

• Połącz zaplecze aplikacji z sieciami wirtualnymi przy użyciu integracji sieci wirtualnej.
• Zablokuj ruch przychodzący do aplikacji przy użyciu punktów końcowych usługi.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Funkcje sieciowe usługi App Service
• Użyj Środowiska Usług Aplikacji
• Integrowanie aplikacji z siecią wirtualną Azure
• Skonfiguruj ograniczenia dostępu dla Azure App Service

Czy można wdrożyć usługi Cloud Services z rolami sieci Web i procesu roboczego (PaaS) w sieci wirtualnej?

Tak. Możesz (opcjonalnie) wdrożyć wystąpienia ról Cloud Services w sieciach wirtualnych. W tym celu należy określić nazwę sieci wirtualnej oraz mapowania roli/podsieci w sekcji konfiguracji sieci usług. Nie musisz aktualizować żadnych plików binarnych.

Czy mogę połączyć zestaw skalowania maszyn wirtualnych z siecią wirtualną?

Tak. Musisz połączyć zestaw skalowania maszyn wirtualnych z siecią wirtualną.

Czy istnieje pełna lista usług Azure, z których można wdrażać zasoby z sieci wirtualnej?

Tak. Aby uzyskać szczegółowe informacje, zobacz Wdrażanie dedykowanych usług Azure w sieciach wirtualnych.

Jak ograniczyć dostęp do zasobów PaaS Azure z sieci wirtualnej?

Zasoby wdrożone za pośrednictwem niektórych Azure usług PaaS (takich jak Azure Storage i Azure SQL Database) mogą ograniczyć dostęp sieciowy do sieci wirtualnych za pomocą punktów końcowych usługi sieci wirtualnej lub Azure Private Link. Aby uzyskać szczegółowe informacje, zobacz Wirtualne punkty końcowe usługi sieciowej i Co to jest Azure Private Link?

Czy mogę przenieść swoje usługi do sieci wirtualnych i poza nie?

Nr Nie można przenosić usług do i z sieci wirtualnych. Aby przenieść zasób do innej sieci wirtualnej, musisz usunąć i ponownie wdrożyć zasób.

Zabezpieczenia

Jaki jest model zabezpieczeń sieci wirtualnych?

Sieci wirtualne są odizolowane od siebie i od innych usług hostowanych w infrastrukturze Azure. Sieć wirtualna jest granicą zaufania.

Czy mogę ograniczyć przepływ ruchu przychodzącego lub wychodzącego do zasobów połączonych z siecią wirtualną?

Tak. Sieciowe grupy zabezpieczeń można stosować do poszczególnych podsieci w sieci wirtualnej, interfejsów sieciowych dołączonych do sieci wirtualnej lub obu tych opcji.

Czy mogę zaimplementować zaporę między zasobami połączonymi z siecią wirtualną?

Tak. Możesz wdrożyć wirtualne urządzenie sieciowe firewall od kilku dostawców za pośrednictwem Azure Marketplace.

Czy informacje o zabezpieczaniu sieci wirtualnych są dostępne?

Tak. Zobacz omówienie zabezpieczeń sieci Azure.

Czy sieci wirtualne przechowują dane klientów?

Nr Sieci wirtualne nie przechowują żadnych danych klientów.

Czy mogę ustawić właściwość FlowTimeoutInMinutes dla całej subskrypcji?

Nr Należy ustawić właściwość FlowTimeoutInMinutes w sieci wirtualnej. Poniższy kod może pomóc automatycznie ustawić tę właściwość dla większych subskrypcji:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

Interfejsy API, schematy i narzędzia

Czy mogę zarządzać sieciami wirtualnymi z poziomu kodu?

Tak. Interfejsy API REST można używać dla sieci wirtualnych w modelach wdrażania Azure Resource Manager i classic.

Czy istnieje obsługa narzędzi dla sieci wirtualnych?

Tak. Dowiedz się więcej na temat korzystania z:

• Portal Azure do wdrażania sieci wirtualnych za pośrednictwem modeli wdrażania Azure Resource Manager i classic.
• Program PowerShell do zarządzania sieciami wirtualnymi wdrożonym za pośrednictwem modelu wdrażania Resource Manager.
• Interfejs wiersza polecenia Azure CLI lub klasyczny interfejs Azure do wdrażania i zarządzania sieciami wirtualnymi wdrożonymi za pośrednictwem modeli wdrażania Resource Manager i classic.

Peerowanie sieci wirtualnej

Co to jest peering sieci wirtualnych?

Peering sieci wirtualnych umożliwia łączenie sieci wirtualnych. Peering między sieciami wirtualnymi umożliwia prywatne kierowanie ruchem między nimi przy użyciu adresów IPv4.

Maszyny wirtualne w równorzędnych sieciach wirtualnych mogą komunikować się ze sobą tak, jakby były w tej samej sieci. Te sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (nazywanych również globalnym peeringiem sieci wirtualnych).

Można również tworzyć połączenia równorzędne sieci wirtualnych pomiędzy subskrypcjami Azure.

Czy mogę utworzyć połączenie równorzędne z siecią wirtualną w innym regionie?

Tak. Globalna komunikacja równorzędna umożliwia połączenie sieci wirtualnych w różnych regionach. Globalny peering sieci wirtualnych jest dostępny we wszystkich regionach publicznych Azure, regionach chmury w Chinach i regionach chmury rządowej. Nie można globalnie połączyć sieciowo z publicznych regionów Azure z regionami rozwiązań chmury krajowej.

Jakie są ograniczenia związane z globalnym połączeniem równorzędnym sieci wirtualnych i równoważeniem obciążenia?

Jeśli dwie sieci wirtualne w dwóch regionach są połączone przez globalne połączenie równorzędne sieci wirtualnych, nie można nawiązać połączenia z zasobami znajdującymi się za podstawowym load balancerem za pośrednictwem adresu IP front-end tego load balancera. To ograniczenie nie istnieje dla standardowego modułu równoważenia obciążenia.

Następujące zasoby mogą używać podstawowych modułów równoważenia obciążenia, co oznacza, że nie można nawiązać z nimi połączenia za pośrednictwem adresu IP frontonu modułu równoważenia obciążenia za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych. Można jednak użyć globalnego łączenia sieci wirtualnych, aby uzyskać dostęp do zasobów bezpośrednio za pośrednictwem prywatnych adresów IP ich sieci wirtualnych, o ile to jest dozwolone.

• Maszyny wirtualne z podstawowymi modułami równoważenia obciążenia
• Zestawy skalowania maszyn wirtualnych z podstawowymi modułami równoważenia obciążenia
• Zarządzany Redis w Azure
• Azure Application Gateway w wersji 1
• Azure Service Fabric
• Azure API Management stv1
• Usługi domenowe Microsoft Entra
• Aplikacje logiki Azure
• Azure HDInsight
• Azure Batch
• App Service Environment w wersji 1 i 2

Możesz połączyć się z tymi zasobami za pośrednictwem połączeń Azure ExpressRoute lub połączeń między sieciami za pośrednictwem bram sieci wirtualnej.

Czy mogę włączyć peering sieci wirtualnych, jeśli moje sieci wirtualne należą do subskrypcji w różnych dzierżawach Microsoft Entra?

Tak. Możliwe jest ustanowienie peeringu sieci wirtualnych (lokalnego lub globalnego), jeśli subskrypcje należą do różnych dzierżawców Microsoft Entra. Można to zrobić za pośrednictwem portalu AzurePowerShell lub Azure CLI.

Moje połączenie peeringowe sieci wirtualnej jest w stanie zainicjowanym. Dlaczego nie mogę nawiązać połączenia?

Jeśli twoje połączenie równorzędne jest w stanie Zainicjowano, utworzono tylko jedno łącze. Aby nawiązać pomyślne połączenie, należy utworzyć łącze dwukierunkowe.

Aby na przykład połączyć VNetA z VNetB, musisz utworzyć łącze z VNetA do VNetB i z VNetB do VNetA. Tworzenie obu łączy zmienia stan na Połączono.

Moje połączenie równorzędne w sieci wirtualnej jest w stanie rozłączonym. Dlaczego nie mogę utworzyć połączenia peeringowego?

Jeśli połączenie równorzędne sieci wirtualnej jest w stanie Rozłączone, jeden z utworzonych łączy został usunięty. Aby ponownie ustanowić połączenie równorzędne, należy usunąć istniejące łącze i ponownie utworzyć oba połączenia.

Czy mogę sparować moją sieć wirtualną z siecią wirtualną, która znajduje się w innej subskrypcji?

Tak. Sieci wirtualne można łączyć za pomocą komunikacji równorzędnej między subskrypcjami i regionami.

Czy można sparować dwie sieci wirtualne, które mają pasujące lub nakładające się zakresy adresów?

Nr Nie można włączyć komunikacji równorzędnej sieci wirtualnych, jeśli przestrzenie adresowe nakładają się na siebie.

Czy mogę połączyć sieć wirtualną z dwiema sieciami wirtualnymi z włączoną opcją Użyj zdalnej bramy w obu połączeniach równorzędnych?

Nr Możesz włączyć opcję Użyj bramy zdalnej tylko w jednym peeringu z jedną z sieci wirtualnych.

Czy mogę przenieść wirtualną sieć, która ma połączenie z inną siecią wirtualną?

Nr Nie można przenieść sieci wirtualnej, która ma połączenie równorzędne z inną siecią wirtualną. Zanim przeniesiesz sieć wirtualną, musisz usunąć połączenie peeringowe.

Ile kosztuje łącza komunikacji równorzędnej sieci wirtualnych?

Za utworzenie połączenia równorzędnego sieci wirtualnej nie są naliczane opłaty. Opłata za transfer danych między połączeniami równorzędnymi jest naliczana. Aby uzyskać więcej informacji, zobacz stronę cennika Azure Virtual Network.

Czy ruch komunikacji równorzędnej sieci wirtualnej jest szyfrowany?

W przypadku ruchu Azure między centrami danych (poza granicami fizycznymi, które nie są kontrolowane przez Microsoft lub w imieniu Microsoft) podstawowy sprzęt sieciowy używa szyfrowania warstwy łącza danych MACsec. Szyfrowanie to ma zastosowanie do ruchu w komunikacji równorzędnej sieci wirtualnych.

Dlaczego moje połączenie komunikacji równorzędnej jest w stanie Rozłączone?

Połączenia peeringowe sieci wirtualnych przechodzą w stan Rozłączone po usunięciu jednego połączenia peeringowego. Należy usunąć oba łącza, aby ponownie nawiązać pomyślne połączenie komunikacji równorzędnej.

Jeśli zestawię peering między VNetA a VNetB oraz między VNetB a VNetC, czy oznacza to, że VNetA i VNetC są w peeringu?

Nr Przechodnie peering nie jest obsługiwane. Musisz ręcznie połączyć VNetA z VNetC.

Czy istnieją ograniczenia przepustowości dla połączeń równorzędnych?

Nr Peering sieci wirtualnych, zarówno lokalne, jak i globalne, nie nakłada żadnych ograniczeń przepustowości. Przepustowość jest ograniczona tylko przez maszynę wirtualną lub zasób obliczeniowy.

Jak rozwiązywać problemy z peeringiem sieci wirtualnych?

Wypróbuj przewodnik rozwiązywania problemów.

Wirtualna Sieć TAP

Które regiony Azure są dostępne dla sieci wirtualnej TAP?

Podgląd punktu dostępu do terminalu sieci wirtualnej (TAP) jest dostępny we wszystkich regionach Azure. Należy wdrożyć monitorowane karty sieciowe, zasób TAP sieci wirtualnej oraz rozwiązanie zbierające lub analityczne w tym samym regionie.

Czy sieć wirtualna TAP obsługuje jakiekolwiek funkcje filtrowania w dublowanych pakietach?

Funkcje filtrowania nie są obsługiwane w wersji zapoznawczej interfejsu TAP sieci wirtualnej. Po dodaniu konfiguracji TAP do karty sieciowej, pełna kopia całego ruchu przychodzącego i wychodzącego na karcie sieciowej jest przesyłana strumieniowo do miejsca docelowego TAP.

Czy mogę wprowadzić wiele konfiguracji TAP do monitorowanej karty sieciowej?

Monitorowana karta sieciowa może mieć tylko jedną konfigurację TAP. Skonsultuj się z indywidualnym partnerem w sprawie rozwiązania umożliwiającego transmisję wielu kopii ruchu TAP do wybranych przez Ciebie narzędzi analitycznych.

Czy ten sam zasób TAP w sieci wirtualnej może agregować ruch monitorowany z kart sieciowych w więcej niż jednej sieci wirtualnej?

Tak. Tego samego zasobu TAP sieci wirtualnej można użyć do agregowania dublowanego ruchu z monitorowanych kart sieciowych w równorzędnych sieciach wirtualnych, które znajdują się w tej samej subskrypcji lub w innej subskrypcji.

Zasób TAP sieci wirtualnej i docelowy moduł równoważenia obciążenia lub docelowa karta sieciowa muszą znajdować się w tej samej subskrypcji. Wszystkie subskrypcje muszą znajdować się w tym samym tenancie Microsoft Entra.

Czy istnieją jakiekolwiek zagadnienia dotyczące wydajności ruchu produkcyjnego, jeśli włączę konfigurację sieci wirtualnej TAP na karcie sieciowej?

Interfejs TAP sieci wirtualnej jest w wersji zapoznawczej. W wersji zapoznawczej nie ma umowy dotyczącej poziomu usług. Nie należy używać tej możliwości w przypadku obciążeń produkcyjnych.

Po włączeniu karty sieciowej maszyny wirtualnej z konfiguracją tap te same zasoby na hoście Azure przydzielone do maszyny wirtualnej do wysyłania ruchu produkcyjnego są używane do wykonywania funkcji dublowania i wysyłania pakietów dublowanych. Wybierz prawidłowy rozmiar maszyny wirtualnej Linux lub Windows, aby zapewnić dostępność wystarczających zasobów dla maszyny wirtualnej, umożliwiających wysyłanie ruchu produkcyjnego oraz ruchu mirroringu.

Czy przyspieszone sieciowanie dla systemu Linux lub Windows jest obsługiwane w połączeniu z TAP sieci wirtualnej?

Konfigurację TAP można dodać na karcie sieciowej przypiętej do maszyny wirtualnej z włączonym przyspieszeniem sieci dla Linux lub Windows. Jednak dodanie konfiguracji TAP wpłynie na wydajność i opóźnienie na maszynie wirtualnej, ponieważ przyspieszona sieć Azure obecnie nie obsługuje odciążania ruchu związanego z dublowaniem.

Punkty końcowe usługi dla sieci wirtualnej

Jaka jest właściwa sekwencja operacji konfigurowania punktów końcowych usługi w usłudze Azure?

Istnieją dwa kroki zabezpieczania zasobu usługi Azure za pośrednictwem punktów końcowych usługi:

1. Włącz końcowe punkty usługowe dla usługi Azure.
2. Skonfiguruj listy kontroli dostępu do sieci wirtualnej (ACL) w usłudze Azure.

Pierwszym krokiem jest operacja po stronie sieci, a drugim krokiem jest operacja po stronie zasobu usługi. Ten sam administrator lub inni administratorzy mogą wykonać kroki na podstawie Azure uprawnień kontroli dostępu opartej na rolach (RBAC) przyznanych roli administratora.

Zalecamy włączenie punktów końcowych usługi dla sieci wirtualnej przed skonfigurowaniem list ACL sieci wirtualnej po stronie usługi Azure. Aby skonfigurować punkty końcowe usługi sieci wirtualnej, należy wykonać kroki opisane w poprzedniej sekwencji.

Uwaga

Przed ograniczeniem dostępu usługi Azure do dozwolonej sieci wirtualnej i podsieci należy wykonać obie powyższe operacje. Samo włączenie punktów końcowych usługi dla usługi Azure po stronie sieci nie zapewnia ograniczonego dostępu. Należy również skonfigurować listy kontroli dostępu sieci wirtualnej po stronie usługi Azure.

Niektóre usługi (takie jak Azure SQL i Azure Cosmos DB) zezwalają na wyjątki do poprzedniej sekwencji za pomocą flagi IgnoreMissingVnetServiceEndpoint. Po ustawieniu flagi na True można skonfigurować listy kontroli dostępu (ACL) dla sieci wirtualnej w usłudze Azure przed włączeniem punktów końcowych usługi po stronie sieci. Usługi Azure zapewniają ten wskaźnik, aby pomóc klientom w sytuacjach, gdy skonfigurowane są konkretne zapory sieciowe IP w usługach Azure.

Włączenie punktów końcowych usługi po stronie sieci może prowadzić do spadku łączności, ponieważ źródłowy adres IP zmienia się z publicznego adresu IPv4 na prywatny. Skonfigurowanie sieciowych ACL wirtualnych po stronie usługi Azure przed włączeniem punktów końcowych usługi po stronie sieci może pomóc uniknąć spadku łączności.

Uwaga

Jeśli włączysz punkt końcowy usługi w niektórych usługach, takich jak "Microsoft.AzureActiveDirectory", możesz zobaczyć połączenia adresów IPv6 w dziennikach logowań. Microsoft używa wewnętrznego prywatnego zakresu adresów IPv6 dla tego typu połączenia.

Czy wszystkie usługi Azure znajdują się w sieci wirtualnej Azure, którą zapewnia klient? Jak działa punkt końcowy usługi sieci wirtualnej z usługami Azure?

Nie wszystkie usługi Azure znajdują się w sieci wirtualnej klienta. Większość usług danych Azure (takich jak Azure Storage, Azure SQL i Azure Cosmos DB) to wielodostępne usługi, do których można uzyskać dostęp za pośrednictwem publicznych adresów IP. Aby uzyskać więcej informacji, zapoznaj się z Wdrażanie dedykowanych usług Azure do sieci wirtualnych.

Przy włączeniu punktów końcowych sieci wirtualnej po stronie sieci oraz skonfigurowaniu odpowiednich list kontroli dostępu (ACL) sieci wirtualnej po stronie usługi Azure, dostęp do usługi Azure jest ograniczony do dozwolonej sieci wirtualnej i jej podsieci.

Jak punkty końcowe usługi sieci wirtualnej zapewniają bezpieczeństwo?

Punkty końcowe usługi sieci wirtualnej ograniczają dostęp usługi Azure do dozwolonej sieci wirtualnej i podsieci. W ten sposób zapewniają zabezpieczenia na poziomie sieci i izolację ruchu usługi Azure.

Cały ruch korzystający z punktów końcowych usługi sieci wirtualnej przepływa przez sieć szkieletową Microsoft w celu zapewnienia innej warstwy izolacji od publicznego Internetu. Klienci mogą również całkowicie usunąć publiczny dostęp do Internetu do zasobów usługi Azure i zezwolić na ruch wyłącznie z własnej sieci wirtualnej poprzez połączenie zapory sieciowej IP i list kontrolnych dostępu (ACL) dla sieci wirtualnej. Usunięcie dostępu do Internetu pomaga chronić zasoby usługi Azure przed nieautoryzowanym dostępem.

Co chroni punkt końcowy usługi sieci wirtualnej — zasoby sieci wirtualnej lub zasoby usługi Azure?

Punkty końcowe usługi dla sieci wirtualnej pomagają chronić zasoby usługi Azure. Zasoby sieci wirtualnej są chronione za pośrednictwem sieciowych grup zabezpieczeń.

Czy istnieją jakieś koszty korzystania z punktów końcowych usługi sieci wirtualnej?

Nr Korzystanie z punktów końcowych usługi sieci wirtualnej nie kosztuje dodatkowych kosztów.

Czy mogę włączyć punkty końcowe usługi sieci wirtualnej i skonfigurować listy ACL sieci wirtualnej, jeśli sieć wirtualna i zasoby usługi Azure należą do różnych subskrypcji?

Tak, jest to możliwe. Sieci wirtualne i zasoby usługi Azure mogą znajdować się w tej samej subskrypcji lub w różnych subskrypcjach. Jedynym wymaganiem jest to, że zarówno sieć wirtualna, jak i zasoby usługi Azure muszą znajdować się w tej samej dzierżawie Microsoft Entra.

Czy mogę aktywizować punkty końcowe usługi sieci wirtualnej i skonfigurować listy kontroli dostępu (ACL) sieci wirtualnej, jeśli sieć wirtualna i zasoby usług Azure należą do różnych dzierżaw Microsoft Entra?

Tak, to możliwe, gdy używasz punktów końcowych usługi dla Azure Storage i Azure Key Vault. W przypadku innych usług punkty końcowe usług sieci wirtualnej i listy kontroli dostępu (ACL) sieci wirtualnej nie są obsługiwane między dzierżawcami Microsoft Entra.

Czy adres IP urządzenia lokalnego połączony za pośrednictwem bramy sieci wirtualnej Azure (VPN) lub bramy usługi ExpressRoute może uzyskiwać dostęp Azure usług PaaS za pośrednictwem punktów końcowych usługi sieci wirtualnej?

Domyślnie zasoby usługi Azure zabezpieczone w sieciach wirtualnych nie są dostępne z sieci lokalnych. Jeśli chcesz zezwolić na ruch ze środowiska lokalnego, musisz również zezwolić na publiczne (zazwyczaj nat) adresy IP ze środowiska lokalnego lub usługi ExpressRoute. Te adresy IP można dodać za pomocą konfiguracji zapory ip dla zasobów usługi Azure.

Alternatywnie można zaimplementować prywatne punkty końcowe dla obsługiwanych usług.

Czy można używać punktów końcowych usługi sieci wirtualnej do zabezpieczania usług Azure w wielu podsieciach w sieci wirtualnej lub w wielu sieciach wirtualnych?

Aby zabezpieczyć usługi Azure w wielu podsieciach w sieci wirtualnej lub w wielu sieciach wirtualnych, włącz punkty końcowe usługi po stronie sieci niezależnie od każdej z podsieci. Następnie zabezpiecz zasoby usługi Azure dla wszystkich podsieci, konfigurując odpowiednie listy kontroli dostępu dla sieci wirtualnej w usłudze Azure.

Jak filtrować ruch wychodzący z sieci wirtualnej do usług Azure i nadal korzystać z punktów końcowych usługi?

Jeśli chcesz sprawdzić lub przefiltrować ruch kierowany do usługi Azure z sieci wirtualnej, możesz wdrożyć wirtualne urządzenie sieciowe w sieci wirtualnej. Następnie można zastosować punkty końcowe usługi w podsieci, w której jest wdrażane wirtualne urządzenie sieciowe i zabezpieczać zasoby usługi Azure wyłącznie dla tej podsieci za pośrednictwem list ACL sieci wirtualnej.

Ten scenariusz może być również przydatny, jeśli chcesz ograniczyć dostęp do usługi Azure z sieci wirtualnej tylko do określonych zasobów Azure przy użyciu filtrowania wirtualnego urządzenia sieciowego. Aby uzyskać więcej informacji, zobacz Wdrażanie urządzeń WUS o wysokiej dostępności.

Co się stanie, gdy ktoś uzyska dostęp do konta usługi w Azure, które ma włączoną listę kontroli dostępu (ACL) dla sieci wirtualnej, z zewnątrz tej sieci wirtualnej?

Usługa zwraca błąd HTTP 403 lub HTTP 404.

Czy podsieci sieci wirtualnej utworzonej w różnych regionach mogą uzyskiwać dostęp do konta usługi Azure w innym regionie?

Tak. W przypadku większości usług Azure sieci wirtualne utworzone w różnych regionach mogą uzyskiwać dostęp do usług Azure w innym regionie za pośrednictwem punktów końcowych usługi sieci wirtualnej. Jeśli na przykład konto Azure Cosmos DB znajduje się w regionie Zachodnie stany USA lub Wschodnie stany USA, a sieci wirtualne znajdują się w wielu regionach, sieci wirtualne mogą uzyskiwać dostęp do Azure Cosmos DB.

Azure SQL jest wyjątkiem i ma charakter regionalny. Zarówno sieć wirtualna, jak i usługa Azure muszą znajdować się w tym samym regionie.

Czy usługa Azure może mieć zarówno listę kontroli dostępu (ACL) sieci wirtualnej, jak i zaporę IP?

Tak. Lista ACL sieci wirtualnej i zapora ip mogą współistnieć. Funkcje uzupełniają się, aby zapewnić izolację i bezpieczeństwo.

Co się stanie, jeśli usuniesz sieć wirtualną lub podsieć z włączonymi punktami końcowymi usługi Azure?

Usuwanie sieci wirtualnych i usuwanie podsieci to niezależne operacje. Obsługiwane są one nawet po włączeniu punktów końcowych dla usług Azure.

Jeśli skonfigurowano listy kontroli dostępu (ACL) sieci wirtualnej dla usług w Azure, informacje listy ACL skojarzone z tymi usługami w Azure są wyłączane po usunięciu sieci wirtualnej lub podsieci z włączonymi punktami końcowymi usługi sieci wirtualnej.

Co się stanie w przypadku usunięcia konta usługi Azure z włączonym punktem końcowym usługi sieci wirtualnej?

Usunięcie konta usługi Azure to niezależna operacja. Obsługa jest zapewniona, nawet jeśli włączyłeś punkt końcowy usługi po stronie sieci i skonfigurowałeś listy ACL sieci wirtualnej po stronie usługi Azure.

Co się stanie ze źródłowym adresem IP zasobu (takim jak maszyna wirtualna w podsieci), który ma włączone punkty końcowe usługi sieci wirtualnej?

Po włączeniu punktów końcowych usługi sieci wirtualnej źródłowe adresy IP zasobów w podsieci sieci wirtualnej przełączają się z używania publicznych adresów IPv4 do używania prywatnych adresów IP sieci wirtualnej Azure dla ruchu do usług Azure. Ten przełącznik może spowodować niepowodzenie określonych zapór ip ustawionych na publiczny adres IPv4 wcześniej w usługach Azure.

Czy trasa punktu końcowego usługi zawsze ma pierwszeństwo?

Punkty końcowe usługi dodają trasę systemową, która ma pierwszeństwo przed trasami protokołu BGP (Border Gateway Protocol) i zapewnia optymalny routing dla ruchu punktu końcowego usługi. Punkty końcowe usługi zawsze przyjmują ruch usługi bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej Microsoft Azure.

Aby uzyskać więcej informacji na temat wybierania trasy Azure, zobacz Routing ruchu sieciowego .

Czy punkty końcowe usługi działają z ICMP?

Nr Ruch ICMP pochodzący z podsieci z włączonymi punktami końcowymi dla usług nie będzie kierowany przez tunel usługi do żądanego punktu końcowego. Punkty końcowe usługi obsługują tylko ruch TCP. Jeśli chcesz przetestować opóźnienie lub łączność z punktem końcowym za pośrednictwem punktów końcowych usługi, narzędzia, takie jak ping i tracert, nie będą pokazywać prawdziwej ścieżki, którą będą przyjmować zasoby w podsieci.

Jak NSG współpracują z punktami końcowymi usługi na podsieci?

Aby uzyskać dostęp do usługi Azure, NSG muszą zezwalać na łączność wychodzącą. Jeśli sieciowe grupy zabezpieczeń są otwarte dla całego ruchu wychodzącego z Internetu, ruch końcowy usługi powinien działać. Możesz również ograniczyć ruch wychodzący tylko do adresów IP usługi przy użyciu tagów usługi.

Jakie uprawnienia są potrzebne do skonfigurowania punktów końcowych usługi?

Punkty końcowe usługi można skonfigurować niezależnie w sieci wirtualnej, jeśli masz dostęp do zapisu w tej sieci.

Aby zabezpieczyć zasoby usługi Azure w sieci wirtualnej, musisz mieć Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/action uprawnienie dla dodanych podsieci. To uprawnienie jest domyślnie zawarte w wbudowanej roli administratora usługi i można je modyfikować za pomocą tworzenia ról niestandardowych.

Aby uzyskać więcej informacji na temat wbudowanych ról i przypisywania określonych uprawnień do ról niestandardowych, zobacz Role niestandardowe w Azure.

Czy mogę filtrować ruch sieci wirtualnej do usług Azure za pośrednictwem punktów końcowych usługi?

Za pomocą zasad punktów końcowych usługi sieci wirtualnej można filtrować ruch wirtualny do usług Azure, umożliwiając dostęp tylko do określonych zasobów usług Azure przez punkty końcowe. Zasady punktu końcowego zapewniają szczegółową kontrolę dostępu z ruchu sieci wirtualnej do usług Azure.

Aby dowiedzieć się więcej, zobacz Zasady punktu końcowego usługi sieci wirtualnej dla Azure Storage.

Czy Microsoft Entra ID obsługuje punkty końcowe usługi sieci wirtualnej?

Microsoft Entra ID nie obsługuje natywnie punktów końcowych usługi. Aby uzyskać pełną listę usług Azure obsługujących punkty końcowe usługi sieci wirtualnej, zobacz Wirtualne punkty końcowe usługi sieciowej.

Na tej liście znacznik Microsoft.AzureActiveDirectory, wymieniony wśród usług obsługujących punkty końcowe, jest używany do obsługi punktów końcowych dla Azure Data Lake Storage Gen1. Integracja sieci wirtualnej dla Data Lake Storage Gen1 korzysta z zabezpieczeń punktu końcowego usługi sieci wirtualnej między siecią wirtualną a Microsoft Entra ID w celu wygenerowania dodatkowych oświadczeń zabezpieczeń w tokenie dostępu. Te oświadczenia są następnie używane do uwierzytelniania sieci wirtualnej na koncie Data Lake Storage Gen1 i zezwalania na dostęp.

Czy istnieją ograniczenia dotyczące liczby punktów końcowych usługi, które mogę skonfigurować z sieci wirtualnej?

Nie ma limitu całkowitej liczby punktów końcowych usługi w sieci wirtualnej. W przypadku zasobu usługi Azure (takiego jak konto Azure Storage) usługi mogą wymuszać limity liczby podsieci używanych do zabezpieczania zasobu. W poniższej tabeli przedstawiono przykładowe limity:

usługa Azure	Limity reguł sieci wirtualnej
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128

Uwaga

Limity podlegają zmianie według uznania usług Azure. Aby uzyskać szczegółowe informacje, zapoznaj się z odpowiednią dokumentacją usługi.

Migracja klasycznych zasobów sieciowych do Resource Manager

Co to jest Azure Menedżer Usług i co oznacza termin "klasyczny"?

Azure Menedżer Usług to stary model wdrażania Azure, który był odpowiedzialny za tworzenie i usuwanie zasobów oraz zarządzanie nimi. Słowo classic w usłudze sieciowej odnosi się do zasobów zarządzanych przez model Azure Menedżer Usług. Aby uzyskać więcej informacji, zobacz porównanie modeli wdrażania.

Co to jest Azure Resource Manager?

Azure Resource Manager to najnowszy model wdrażania i zarządzania w Azure, który jest odpowiedzialny za tworzenie i usuwanie zasobów oraz zarządzanie nimi w ramach subskrypcji Azure. Aby uzyskać więcej informacji, zobacz What is Azure Resource Manager?

Czy mogę cofnąć migrację po zatwierdzeniu zasobów do Resource Manager?

Migrację można anulować, o ile zasoby są nadal w stanie przygotowanym. Wycofywanie z poprzedniego modelu wdrażania nie jest obsługiwane po pomyślnym przeprowadzeniu migracji zasobów za pośrednictwem operacji zatwierdzania.

Czy mogę przywrócić migrację, jeśli operacja zatwierdzania nie powiodła się?

Nie można cofnąć migracji, jeśli operacja zatwierdzania nie powiodła się. Nie można zmienić wszystkich operacji migracji, w tym operacji zatwierdzania po ich uruchomieniu. Zalecamy ponowienie próby wykonania operacji po krótkim czasie. Jeśli operacja nadal kończy się niepowodzeniem, prześlij wniosek o pomoc techniczną.

Czy mogę zwalidować moją subskrypcję lub moje zasoby, aby sprawdzić, czy można je zmigrować?

Tak. Pierwszym krokiem przygotowania do migracji jest sprawdzenie, czy zasoby można migrować. Jeśli walidacja zakończy się niepowodzeniem, otrzymasz komunikaty ze wszystkich powodów, dla których nie można ukończyć migracji.

Czy zasoby usługi Application Gateway są migrowane w ramach migracji sieci wirtualnej z wersji klasycznej do Resource Manager?

Azure Application Gateway zasoby nie są migrowane automatycznie w ramach procesu migracji sieci wirtualnej. Jeśli jakiś element jest obecny w sieci wirtualnej, migracja nie powiedzie się. Aby przeprowadzić migrację zasobu usługi Application Gateway do Resource Manager, należy usunąć i ponownie utworzyć wystąpienie usługi Application Gateway po zakończeniu migracji.

Czy zasoby VPN Gateway są migrowane w ramach migracji sieci wirtualnej z wersji klasycznej do Resource Manager?

Zasoby Azure VPN Gateway są migrowane w ramach procesu migracji sieci wirtualnej. Migracja jest zakończona jedną siecią wirtualną w danym momencie bez innych wymagań. Kroki migracji są takie same jak w przypadku migrowania sieci wirtualnej bez bramy sieci VPN.

Czy przerwa w działaniu usługi jest skojarzona z migracją klasycznych bram sieci VPN do Resource Manager?

Podczas migracji do Resource Manager połączenie VPN nie spowoduje żadnych przerw w działaniu usługi. Istniejące obciążenia będą nadal działać z pełną łącznością lokalną podczas migracji.

Czy muszę ponownie skonfigurować urządzenie lokalne po przeprowadzeniu migracji bramy sieci VPN do Resource Manager?

Publiczny adres IP skojarzony z bramą sieci VPN pozostaje taki sam po migracji. Nie trzeba ponownie konfigurować routera lokalnego.

Jakie są obsługiwane scenariusze migracji bramy sieci VPN z wersji klasycznej do Resource Manager?

Migracja z wersji klasycznej do Resource Manager obejmuje większość typowych scenariuszy łączności sieci VPN. Obsługiwane scenariusze obejmują:

• Łączność punkt-lokacja.

• Łączność typu lokacja-lokacja z bramą sieci VPN połączoną z lokalizacją lokalną.

• Łączność między dwiema sieciami wirtualnymi za pośrednictwem bram sieciowych VPN (Virtual Private Network).

• Wiele sieci wirtualnych połączonych z tą samą lokalizacją lokalną.

• Łączność z wieloma lokacjami.

• Sieci wirtualne z włączonym wymuszonym tunelowaniem.

Które scenariusze nie są obsługiwane w przypadku migracji bramy sieci VPN z wersji klasycznej do Resource Manager?

Scenariusze, które nie są obsługiwane, obejmują:

• Sieć wirtualna z bramą usługi ExpressRoute i bramą sieci VPN.

• Sieć wirtualna z bramą usługi ExpressRoute połączoną z obwodem w innej subskrypcji.

• Scenariusze tranzytowe, w których rozszerzenia maszyn wirtualnych są połączone z serwerami lokalnymi.

Gdzie można znaleźć więcej informacji na temat migracji z wersji klasycznej do Resource Manager?

Zobacz Często zadawane pytania dotyczące migracji klasycznej do Azure Resource Manager.

Czy mogę odzyskać usunięty publiczny adres IP?

Nr Po usunięciu Azure publicznego adresu IP nie można go odzyskać. Aby uzyskać więcej informacji, zobacz Wyświetlanie, modyfikowanie ustawień lub usuwanie publicznego adresu IP.

Jak zgłosić problem?

Możesz opublikować pytania dotyczące problemów z migracją na stronę Microsoft Q&A. Zalecamy opublikowanie wszystkich pytań na tym forum. Jeśli masz umowę pomocy technicznej, możesz również złożyć wniosek o pomoc techniczną.