Udostępnij za pośrednictwem


Co to jest usługa Azure Virtual Network?

Azure Virtual Network to usługa, która zapewnia podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Wystąpienie usługi (sieć wirtualna) umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Te zasoby platformy Azure obejmują maszyny wirtualne.

Sieć wirtualna jest podobna do tradycyjnej sieci, którą można obsługiwać we własnym centrum danych. Jednak zapewnia dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.

Dlaczego warto używać sieci wirtualnej platformy Azure?

Najważniejsze scenariusze, które można wykonać za pomocą sieci wirtualnej, obejmują:

  • Komunikacja zasobów platformy Azure z Internetem.

  • Komunikacja między zasobami platformy Azure.

  • Komunikacja z zasobami lokalnymi.

  • Filtrowanie ruchu sieciowego.

  • Routing ruchu sieciowego.

  • Integracja z usługami platformy Azure.

Komunikacja z Internetem

Wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się wychodzące z Internetem. Do zarządzania połączeniami wychodzącym można również użyć publicznego adresu IP, bramy translatora adresów sieciowych lub publicznego modułu równoważenia obciążenia. Ruch przychodzący można komunikować z zasobem, przypisując publiczny adres IP lub publiczny moduł równoważenia obciążenia.

Jeśli używasz tylko wewnętrznego standardowego modułu równoważenia obciążenia, łączność wychodząca nie jest dostępna, dopóki nie zdefiniujesz sposobu pracy połączeń wychodzących z publicznym adresem IP na poziomie wystąpienia lub publicznym modułem równoważenia obciążenia.

Komunikacja między zasobami platformy Azure

Zasoby platformy Azure komunikują się bezpiecznie ze sobą nawzajem, korzystając z jednego z następujących sposobów:

  • Sieć wirtualna: maszyny wirtualne i inne typy zasobów platformy Azure można wdrożyć w sieci wirtualnej. Przykłady zasobów obejmują środowiska App Service Environment, usługę Azure Kubernetes Service (AKS) i zestawy skalowania maszyn wirtualnych platformy Azure. Aby wyświetlić pełną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.

Uwaga

Aby przenieść maszynę wirtualną z jednej sieci wirtualnej do innej, musisz usunąć i ponownie utworzyć maszynę wirtualną w nowej sieci wirtualnej. Dyski maszyny wirtualnej można przechowywać do użycia na nowej maszynie wirtualnej.

  • Punkt końcowy usługi sieci wirtualnej: możesz rozszerzyć prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej na zasoby usługi platformy Azure za pośrednictwem bezpośredniego połączenia. Przykłady zasobów obejmują konta usługi Azure Storage i usługę Azure SQL Database. Punkty końcowe usługi umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Punkty końcowe usługi dla sieci wirtualnej.

  • Komunikacja równorzędna sieci wirtualnych: sieci wirtualne można łączyć ze sobą przy użyciu wirtualnej komunikacji równorzędnej. Zasoby w obu sieciach wirtualnych mogą następnie komunikować się ze sobą. Połączone sieci wirtualne mogą znajdować się w tych samych lub różnych regionach świadczenia usługi Azure. Aby dowiedzieć się więcej, zobacz Komunikacja równorzędna sieci wirtualnych.

Komunikacja z zasobami lokalnymi

Możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu dowolnej z następujących opcji:

  • Wirtualna sieć prywatna typu punkt-lokacja: sieć określana pomiędzy siecią wirtualną i jednym komputerem w Twojej sieci. Każdy komputer, który chce nawiązać łączność z siecią wirtualną, musi skonfigurować swoje połączenie. Ten typ połączenia jest przydatny, jeśli dopiero zaczynasz korzystać z platformy Azure lub dla deweloperów, ponieważ wymaga to kilku lub żadnych zmian w istniejącej sieci. Komunikacja pomiędzy komputerem i siecią wirtualną jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

  • Sieć VPN typu lokacja-lokacja: ustanowiona między lokalnym urządzeniem sieci VPN i bramą sieci VPN platformy Azure wdrożona w sieci wirtualnej. Ten typ połączenia umożliwia dowolnym zasobom lokalnym, które uzyskają autoryzację, uzyskiwanie dostępu do sieci wirtualnej. Komunikacja między lokalnym urządzeniem VPN i bramą Azure VPN Gateway jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz Sieć VPN typu lokacja-lokacja.

  • Azure ExpressRoute: połączenie nawiązywane pomiędzy siecią i platformą Azure za pośrednictwem partnera usługi ExpressRoute. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure ExpressRoute?.

Filtrowanie ruchu sieciowego

Ruch sieciowy między podsieciami można filtrować przy użyciu jednej lub obu następujących opcji:

  • Sieciowe grupy zabezpieczeń: sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Te reguły umożliwiają filtrowanie ruchu do i z zasobów według źródłowego i docelowego adresu IP, portu i protokołu. Aby dowiedzieć się więcej, zobacz Sieciowe grupy zabezpieczeń i Grupy zabezpieczeń aplikacji.

  • Wirtualne urządzenia sieciowe: wirtualne urządzenie sieciowe to maszyna wirtualna, która wykonuje funkcję sieciową, taką jak zapora lub optymalizacja sieci WAN. Aby wyświetlić listę dostępnych wirtualnych urządzeń sieciowych, które można wdrożyć w sieci wirtualnej, przejdź do witryny Azure Marketplace.

Routing ruchu sieciowego

Platforma Azure domyślnie kieruje ruch między podsieciami, połączonymi sieciami wirtualnymi, sieciami lokalnymi i Internetem. Aby zastąpić trasy domyślne tworzone przez platformę Azure, możesz zaimplementować jedną lub obie z następujących opcji:

  • Tabele tras: można tworzyć niestandardowe tabele tras, które kontrolują, gdzie ruch jest kierowany do każdej podsieci.

  • Trasy protokołu BGP (Border Gateway Protocol): jeśli łączysz sieć wirtualną z siecią lokalną przy użyciu bramy sieci VPN platformy Azure lub połączenia usługi ExpressRoute , możesz propagować lokalne trasy protokołu BGP do sieci wirtualnych.

Integracja z usługami platformy Azure

Integrowanie usług platformy Azure z siecią wirtualną platformy Azure umożliwia prywatny dostęp do usługi z maszyn wirtualnych lub zasobów obliczeniowych w sieci wirtualnej. Tej integracji można użyć następujących opcji:

  • Wdrażanie dedykowanych wystąpień usługi w sieci wirtualnej. Następnie usługi mogą być dostępne prywatnie w sieci wirtualnej i z sieci lokalnych.

  • Użyj usługi Azure Private Link , aby prywatnie uzyskać dostęp do określonego wystąpienia usługi z sieci wirtualnej i sieci lokalnych.

  • Uzyskaj dostęp do usługi za pośrednictwem publicznych punktów końcowych, rozszerzając sieć wirtualną na usługę za pośrednictwem punktów końcowych usługi. Punkty końcowe usługi umożliwiają zabezpieczanie zasobów usługi w sieci wirtualnej.

Limity

Istnieją limity liczby zasobów platformy Azure, które można wdrożyć. Większość limitów sieci platformy Azure wynosi maksymalną wartość. Można jednak zwiększyć pewne limity sieci. Aby uzyskać więcej informacji, zobacz Limity sieci.

Sieci wirtualne i strefy dostępności

Sieci wirtualne i podsieci obejmują wszystkie strefy dostępności w regionie. Nie musisz dzielić ich według stref dostępności, aby pomieścić zasoby strefowe. Jeśli na przykład skonfigurujesz strefową maszynę wirtualną, nie musisz brać pod uwagę sieci wirtualnej podczas wybierania strefy dostępności dla maszyny wirtualnej. To samo dotyczy innych zasobów strefowych.

Cennik

Za korzystanie z usługi Azure Virtual Network nie są naliczane opłaty. Jest to bezpłatne. Opłaty standardowe dotyczą zasobów, takich jak maszyny wirtualne i inne produkty. Aby dowiedzieć się więcej, zobacz Cennik usługi Virtual Network i kalkulator cen platformy Azure.

Następne kroki

  • Dowiedz się więcej o pojęciach i najlepszych rozwiązaniach dotyczących usługi Azure Virtual Network.

  • Rozpocznij pracę z siecią wirtualną, tworząc ją, wdrażając kilka maszyn wirtualnych i komunikując się między maszynami wirtualnymi. Aby dowiedzieć się, jak to zrobić, zobacz Przewodnik Szybki start Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal.

  • Postępuj zgodnie z modułem szkoleniowym dotyczącym projektowania i implementowania podstawowej infrastruktury sieci platformy Azure, w tym sieci wirtualnych: wprowadzenie do sieci wirtualnych platformy Azure.