Vanliga frågor och svar (FAQ) om Azure Virtual Network

Virtual Network grunderna

Vad är en Azure Virtual Network (VNet)?

En Azure-Virtual Network (VNet) är en representation av ditt eget nätverk i molnet. Det är en logisk isolering av Azure-molnet dedikerad till din prenumeration. Du kan använda virtuella nätverk för att etablera och hantera virtuella privata nätverk (VPN) i Azure och eventuellt länka de virtuella nätverken till andra virtuella nätverk i Azure eller med din lokala IT-infrastruktur för att skapa hybridlösningar eller lösningar mellan platser. Varje virtuellt nätverk som du skapar har ett eget CIDR-block och kan länkas till andra virtuella nätverk och lokala nätverk så länge CIDR-blocken inte överlappar varandra. Du har också kontroll över DNS-serverinställningar för virtuella nätverk och segmentering av det virtuella nätverket i undernät.

Använd virtuella nätverk för att:

  • Skapa ett dedikerat virtuellt molnbaserat virtuellt nätverk. Ibland behöver du inte någon lokal konfiguration för din lösning. När du skapar ett virtuellt nätverk kan dina tjänster och virtuella datorer i ditt virtuella nätverk kommunicera direkt och säkert med varandra i molnet. Du kan fortfarande konfigurera slutpunktsanslutningar för de virtuella datorer och tjänster som kräver Internetkommunikation som en del av din lösning.

  • Utöka datacentret på ett säkert sätt. Med virtuella nätverk kan du skapa traditionella plats-till-plats-VPN (S2S) för att på ett säkert sätt skala din datacenterkapacitet. S2S VPN använder IPSEC för att tillhandahålla en säker anslutning mellan företagets VPN-gateway och Azure.

  • Aktivera hybridmolnscenarier. Virtuella nätverk ger dig flexibiliteten att stödja en rad olika hybridmolnscenarier. Du kan på ett säkert sätt ansluta molnbaserade program till alla typer av lokala system, till exempel stordatorer och Unix-system.

Hur kommer jag igång?

Gå till dokumentationen för virtuella nätverk för att komma igång. Det här innehållet innehåller översikts- och distributionsinformation för alla VNet-funktioner.

Kan jag använda virtuella nätverk utan anslutning mellan platser?

Ja. Du kan använda ett virtuellt nätverk utan att ansluta det till din lokala plats. Du kan till exempel köra Microsoft Windows Server Active Directory domänkontrollanter och SharePoint-servergrupper enbart i ett virtuellt Azure-nätverk.

Kan jag utföra WAN-optimering mellan virtuella nätverk eller ett virtuellt nätverk och mitt lokala datacenter?

Ja. Du kan distribuera en virtuell WAN-optimeringsnätverksinstallation från flera leverantörer via Azure Marketplace.

Konfiguration

Vilka verktyg använder jag för att skapa ett virtuellt nätverk?

Du kan använda följande verktyg för att skapa eller konfigurera ett virtuellt nätverk:

Vilka adressintervall kan jag använda i mina virtuella nätverk?

Vi rekommenderar att du använder adressintervallen som räknas upp i RFC 1918, som har reserverats av IETF för privata, icke-dirigerbara adressutrymmen:

  • 10.0.0.0 – 10.255.255.255 (10/8 prefix)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
  • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Du kan också distribuera det delade adressutrymmet som är reserverat i RFC 6598, som behandlas som privat IP-adressutrymme i Azure:

  • 100.64.0.0 – 100.127.255.255 (100.64/10 prefix)

Andra adressutrymmen, inklusive alla andra IETF-identifierade privata, icke-dirigerbara adressutrymmen, kan fungera men kan ha oönskade biverkningar.

Dessutom kan du inte lägga till följande adressintervall:

  • 224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (sändning)
  • 127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (Länklokal)
  • 168.63.129.16/32 (intern DNS)

Kan jag ha offentliga IP-adresser i mina virtuella nätverk?

Ja. Mer information om offentliga IP-adressintervall finns i Skapa ett virtuellt nätverk. Offentliga IP-adresser är inte direkt åtkomliga från Internet.

Finns det en gräns för antalet undernät i mitt virtuella nätverk?

Ja. Mer information finns i Azure-gränser . Adressutrymmen i undernätet kan inte överlappa varandra.

Finns det några begränsningar för att använda IP-adresser i sådana undernät?

Ja. Azure reserverar de fyra första och sista IP-adresserna för totalt 5 IP-adresser i varje undernät.

IP-adressintervallet 192.168.1.0/24 har till exempel följande reserverade adresser:

  • 192.168.1.0 : Nätverksadress
  • 192.168.1.1 : Reserverad av Azure för standardgatewayen
  • 192.168.1.2, 192.168.1.3: Reserverad av Azure för att mappa Azure DNS-IP-adresser till det virtuella nätverkets utrymme
  • 192.168.1.255 : Nätverkssändningsadress.

Hur små och hur stora kan virtuella nätverk och undernät vara?

Det minsta IPv4-undernätet som stöds är /29 och det största är /2 (med hjälp av CIDR-undernätsdefinitioner). IPv6-undernät måste vara exakt /64 i storlek.

Kan jag ta mina VLAN till Azure med hjälp av virtuella nätverk?

Nej. Virtuella nätverk är Layer-3-överlägg. Azure stöder inte någon Layer-2-semantik.

Kan jag ange anpassade routningsprinciper för mina virtuella nätverk och undernät?

Ja. Du kan skapa en routningstabell och associera den med ett undernät. Mer information om routning i Azure finns i Routningsöversikt.

Vad skulle vara beteendet när jag tillämpar både NSG och UDR på undernätet?

För inkommande trafik bearbetas NSG-regler för inkommande trafik. För utgående bearbetas regler för utgående trafik i NSG följt av UDR-regler.

Vad skulle vara beteendet när jag tillämpar NSG på nätverkskort och undernät för en virtuell dator?

När NSG:er tillämpas både på nätverkskortundernät & för en virtuell dator bearbetas NSG på undernätsnivå följt av NSG på nätverkskortsnivå för inkommande nätverkssäkerhetsgrupper och nätverkssäkerhetsgrupper på nätverkskortsnivå följt av NSG på undernätsnivå för utgående trafik.

Stöder virtuella nätverk multicast eller sändning?

Nej. Multicast och broadcast stöds inte.

Vilka protokoll kan jag använda i virtuella nätverk?

Du kan använda TCP-, UDP- och ICMP TCP/IP-protokoll i virtuella nätverk. Unicast stöds i virtuella nätverk, med undantag för Dynamic Host Configuration Protocol (DHCP) via Unicast (UDO-källport 68 och UDP-målport 67) och UDP-källport 65330 som är reserverad för värden. Multicast-, broadcast-, IP-in-IP-kapslade paket och GRE-paket (Generic Routing Encapsulation) blockeras i virtuella nätverk.

Kan jag pinga standardgatewayen i ett virtuellt nätverk?

Nej. Den azure-tillhandahållna standardgatewayen svarar inte på ping. Men du kan använda ping i dina virtuella nätverk för att kontrollera anslutningen och felsökningen mellan virtuella datorer.

Kan jag använda tracert för att diagnostisera anslutningen?

Ja.

Kan jag lägga till undernät när det virtuella nätverket har skapats?

Ja. Undernät kan läggas till i virtuella nätverk när som helst så länge undernätets adressintervall inte ingår i ett annat undernät och det finns tillgängligt utrymme kvar i det virtuella nätverkets adressintervall.

Kan jag ändra storleken på mitt undernät när jag har skapat det?

Ja. Du kan lägga till, ta bort, expandera eller krympa ett undernät om inga virtuella datorer eller tjänster är distribuerade i det.

Kan jag ändra det virtuella nätverket när jag har skapat dem?

Ja. Du kan lägga till, ta bort och ändra de CIDR-block som används av ett virtuellt nätverk.

Kan jag ansluta till Internet om jag kör mina tjänster i ett virtuellt nätverk?

Ja. Alla tjänster som distribueras i ett virtuellt nätverk kan ansluta utgående till Internet. Mer information om utgående Internetanslutningar i Azure finns i Utgående anslutningar. Om du vill ansluta inkommande trafik till en resurs som distribueras via Resource Manager måste resursen ha en offentlig IP-adress tilldelad till sig. Mer information om offentliga IP-adresser finns i Offentliga IP-adresser. Varje Azure Cloud Service som distribueras i Azure har en offentligt adresserbar VIP tilldelad till sig. Du definierar indataslutpunkter för PaaS-roller och slutpunkter för virtuella datorer så att dessa tjänster kan acceptera anslutningar från Internet.

Stöder virtuella nätverk IPv6?

Ja, virtuella nätverk kan vara endast IPv4 eller dubbla staplar (IPv4+IPv6). Mer information finns i Översikt över IPv6 för virtuella Azure-nätverk.

Kan ett virtuellt nätverk sträcka sig över regioner?

Nej. Ett virtuellt nätverk är begränsat till en enda region. Ett virtuellt nätverk omfattar dock tillgänglighetszoner. Mer information om tillgänglighetszoner finns i Översikt över tillgänglighetszoner. Du kan ansluta virtuella nätverk i olika regioner med peering för virtuella nätverk. Mer information finns i Översikt över peering för virtuella nätverk

Kan jag ansluta ett virtuellt nätverk till ett annat virtuellt nätverk i Azure?

Ja. Du kan ansluta ett virtuellt nätverk till ett annat virtuellt nätverk med antingen:

Namnmatchning (DNS)

Vilka är mina DNS-alternativ för virtuella nätverk?

Använd beslutstabellen på sidan Namnmatchning för virtuella datorer och rollinstanser för att vägleda dig genom alla tillgängliga DNS-alternativ.

Kan jag ange DNS-servrar för ett virtuellt nätverk?

Ja. Du kan ange IP-adresser för DNS-servern i VNet-inställningarna. Inställningen används som standard-DNS-server(er) för alla virtuella datorer i det virtuella nätverket.

Hur många DNS-servrar kan jag ange?

Referera till Azure-gränser.

Kan jag ändra mina DNS-servrar när jag har skapat nätverket?

Ja. Du kan ändra DNS-serverlistan för ditt VNet när som helst. Om du ändrar dns-serverlistan måste du utföra en förnyelse av DHCP-lån på alla berörda virtuella datorer i det virtuella nätverket för att de nya DNS-inställningarna ska börja gälla. För virtuella datorer som kör Windows OS kan du göra detta genom att ipconfig /renew skriva direkt på den virtuella datorn. Andra typer av operativsystem finns i dokumentationen om förnyelse av DHCP-lån för den specifika operativsystemtypen.

Vad är DNS som tillhandahålls av Azure och fungerar det med virtuella nätverk?

Azure-tillhandahållen DNS är en DNS-tjänst för flera klientorganisationer som erbjuds av Microsoft. Azure registrerar alla dina virtuella datorer och molntjänstrollinstanser i den här tjänsten. Den här tjänsten tillhandahåller namnmatchning efter värdnamn för virtuella datorer och rollinstanser som finns i samma molntjänst och av FQDN för virtuella datorer och rollinstanser i samma virtuella nätverk. Mer information om DNS finns i Namnmatchning för virtuella datorer och Cloud Services rollinstanser.

Det finns en begränsning för de första 100 molntjänsterna i ett VNet för namnmatchning mellan klientorganisationer med hjälp av Azure-tillhandahållen DNS. Om du använder en egen DNS-server gäller inte den här begränsningen.

Kan jag åsidosätta mina DNS-inställningar per virtuell dator eller molntjänst?

Ja. Du kan ange DNS-servrar per virtuell dator eller molntjänst för att åsidosätta standardinställningarna för nätverket. Vi rekommenderar dock att du använder nätverksomfattande DNS så mycket som möjligt.

Kan jag ta med mitt eget DNS-suffix?

Nej. Du kan inte ange ett anpassat DNS-suffix för dina virtuella nätverk.

Ansluta virtuella datorer

Kan jag distribuera virtuella datorer till ett virtuellt nätverk?

Ja. Alla nätverksgränssnitt (NIC) som är anslutna till en virtuell dator som distribueras via Resource Manager-distributionsmodellen måste vara anslutna till ett virtuellt nätverk. Virtuella datorer som distribueras via den klassiska distributionsmodellen kan eventuellt anslutas till ett virtuellt nätverk.

Vilka olika typer av IP-adresser kan jag tilldela till virtuella datorer?

  • Privat: Tilldelas varje nätverkskort i varje virtuell dator. Adressen tilldelas antingen med den statiska eller dynamiska metoden. Privata IP-adresser tilldelas från det intervall som du angav i undernätsinställningarna för ditt virtuella nätverk. Resurser som distribueras via den klassiska distributionsmodellen tilldelas privata IP-adresser, även om de inte är anslutna till ett virtuellt nätverk. Allokeringsmetodens beteende är olika beroende på om en resurs har distribuerats med den Resource Manager eller den klassiska distributionsmodellen:

    • Resource Manager: En privat IP-adress som tilldelats den dynamiska eller statiska metoden förblir tilldelad till en virtuell dator (Resource Manager) tills resursen tas bort. Skillnaden är att du väljer den adress som ska tilldelas när du använder statisk, och Azure väljer när du använder dynamisk.
    • Klassisk: En privat IP-adress som tilldelats med den dynamiska metoden kan ändras när en virtuell dator (klassisk) startas om efter att ha varit i tillståndet stoppad (frigjord). Om du behöver se till att den privata IP-adressen för en resurs som distribueras via den klassiska distributionsmodellen aldrig ändras tilldelar du en privat IP-adress med den statiska metoden.
  • Offentliga: Du kan också tilldelas till nätverkskort som är kopplade till virtuella datorer som distribuerats via Azure Resource Manager-distributionsmodellen. Adressen kan tilldelas med den statiska eller dynamiska allokeringsmetoden. Alla virtuella datorer och Cloud Services rollinstanser som distribueras via den klassiska distributionsmodellen finns i en molntjänst som tilldelas en dynamisk, offentlig virtuell IP-adress (VIP). En offentlig statisk IP-adress, som kallas reserverad IP-adress, kan också tilldelas som en VIP. Du kan tilldela offentliga IP-adresser till enskilda virtuella datorer eller Cloud Services rollinstanser som distribueras via den klassiska distributionsmodellen. Dessa adresser kallas offentliga IP-adresser på instansnivå (ILPIP) och kan tilldelas dynamiskt.

Kan jag reservera en privat IP-adress för en virtuell dator som jag skapar vid ett senare tillfälle?

Nej. Du kan inte reservera en privat IP-adress. Om en privat IP-adress är tillgänglig tilldelas den till en virtuell dator eller rollinstans av DHCP-servern. Den virtuella datorn kanske inte är den som du vill att den privata IP-adressen ska tilldelas. Du kan dock ändra den privata IP-adressen för en redan skapad virtuell dator till alla tillgängliga privata IP-adresser.

Ändras privata IP-adresser för virtuella datorer i ett virtuellt nätverk?

Det beror på. Om den virtuella datorn har distribuerats via Resource Manager, nej, oavsett om IP-adressen har tilldelats med den statiska eller dynamiska allokeringsmetoden. Om den virtuella datorn har distribuerats via den klassiska distributionsmodellen kan dynamiska IP-adresser ändras när en virtuell dator startas efter att ha varit i tillståndet stoppad (frigjord). Adressen släpps från en virtuell dator som distribueras via någon av distributionsmodellerna när den virtuella datorn tas bort.

Kan jag tilldela IP-adresser till nätverkskort manuellt i operativsystemet för den virtuella datorn?

Ja, men det rekommenderas inte om det inte behövs, till exempel när du tilldelar flera IP-adresser till en virtuell dator. Mer information finns i Lägga till flera IP-adresser till en virtuell dator. Om IP-adressen som tilldelats ett Azure-nätverkskort som är kopplat till en virtuell dator ändras och IP-adressen i operativsystemet för den virtuella datorn är annorlunda förlorar du anslutningen till den virtuella datorn.

Vad händer med mina IP-adresser om jag stoppar ett distributionsfack för molntjänsten eller stänger av en virtuell dator inifrån operativsystemet?

Ingenstans. IP-adresserna (offentlig VIP, offentlig och privat) förblir tilldelade till molntjänstens distributionsfack eller virtuella dator.

Kan jag flytta virtuella datorer från ett undernät till ett annat undernät i ett virtuellt nätverk utan att distribuera om?

Ja. Mer information finns i artikeln Så här flyttar du en virtuell dator eller rollinstans till ett annat undernät .

Kan jag konfigurera en statisk MAC-adress för min virtuella dator?

Nej. Det går inte att konfigurera en MAC-adress statiskt.

Kommer MAC-adressen att förbli densamma för min virtuella dator när den har skapats?

Ja, MAC-adressen förblir densamma för en virtuell dator som distribueras via både Resource Manager och klassiska distributionsmodeller tills den tas bort. Tidigare släpptes MAC-adressen om den virtuella datorn stoppades (frigjord), men nu behålls MAC-adressen även när den virtuella datorn är i frigjort tillstånd. MAC-adressen förblir tilldelad till nätverksgränssnittet tills nätverksgränssnittet har tagits bort eller den privata IP-adressen som tilldelats den primära IP-konfigurationen för det primära nätverksgränssnittet ändras.

Kan jag ansluta till Internet från en virtuell dator i ett virtuellt nätverk?

Ja. Alla virtuella datorer och Cloud Services rollinstanser som distribueras i ett virtuellt nätverk kan ansluta till Internet.

Azure-tjänster som ansluter till virtuella nätverk

Kan jag använda Azure App Service Web Apps med ett virtuellt nätverk?

Ja. Du kan distribuera Web Apps i ett virtuellt nätverk med hjälp av en ASE (App Service-miljön), ansluta serverdelen för dina appar till dina virtuella nätverk med VNet-integrering och låsa inkommande trafik till din app med tjänstslutpunkter. Mer information finns i följande artiklar:

Kan jag distribuera Cloud Services med webb- och arbetsroller (PaaS) i ett virtuellt nätverk?

Ja. Du kan (om du vill) distribuera Cloud Services rollinstanser i virtuella nätverk. Om du vill göra det anger du VNet-namnet och roll-/undernätsmappningar i avsnittet nätverkskonfiguration i tjänstkonfigurationen. Du behöver inte uppdatera någon av dina binärfiler.

Kan jag ansluta en VM-skalningsuppsättning till ett virtuellt nätverk?

Ja. Du måste ansluta en VM-skalningsuppsättning till ett virtuellt nätverk.

Finns det en fullständig lista över Azure-tjänster som jag kan distribuera resurser från till ett virtuellt nätverk?

Ja, Mer information finns i Integrering av virtuella nätverk för Azure-tjänster.

Hur kan jag begränsa åtkomsten till Azure PaaS-resurser från ett virtuellt nätverk?

Resurser som distribueras via vissa Azure PaaS-tjänster (till exempel Azure Storage och Azure SQL Database) kan begränsa nätverksåtkomsten till VNet med hjälp av tjänstslutpunkter för virtuella nätverk eller Azure Private Link. Mer information finns i Översikt över tjänstslutpunkter för virtuellt nätverkAzure Private Link översikt

Kan jag flytta mina tjänster in och ut från virtuella nätverk?

Nej. Du kan inte flytta tjänster till och från virtuella nätverk. Om du vill flytta en resurs till ett annat virtuellt nätverk måste du ta bort och distribuera om resursen.

Säkerhet

Vad är säkerhetsmodellen för virtuella nätverk?

Virtuella nätverk är isolerade från varandra och andra tjänster som finns i Azure-infrastrukturen. Ett virtuellt nätverk är en förtroendegräns.

Kan jag begränsa inkommande eller utgående trafikflöde till VNet-anslutna resurser?

Ja. Du kan använda nätverkssäkerhetsgrupper för enskilda undernät i ett virtuellt nätverk, nätverkskort som är kopplade till ett virtuellt nätverk eller båda.

Kan jag implementera en brandvägg mellan VNet-anslutna resurser?

Ja. Du kan distribuera en virtuell brandväggsnätverksinstallation från flera leverantörer via Azure Marketplace.

Finns det information om hur du skyddar virtuella nätverk?

Ja. Mer information finns i Översikt över Nätverkssäkerhet i Azure.

Lagrar virtuella nätverk kunddata?

Nej. Virtuella nätverk lagrar inga kunddata.

Kan jag ange egenskapen FlowTimeoutInMinutes för en hel prenumeration?

Nej. Detta måste anges i det virtuella nätverket. Följande kan hjälpa dig att automatisera inställningen av den här egenskapen för större prenumerationer:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API:er, scheman och verktyg

Kan jag hantera virtuella nätverk från kod?

Ja. Du kan använda REST-API:er för virtuella nätverk i Azure Resource Manager och klassiska distributionsmodeller.

Finns det stöd för verktyg för virtuella nätverk?

Ja. Läs mer om att använda:

VNet-peering

Vad är VNet-peering?

Med VNet-peering (eller peering för virtuella nätverk) kan du ansluta virtuella nätverk. Med en VNet-peeringanslutning mellan virtuella nätverk kan du dirigera trafik mellan dem privat via IPv4-adresser. Virtuella datorer i de peerkopplade virtuella nätverken kan kommunicera med varandra som om de finns i samma nätverk. Dessa virtuella nätverk kan finnas i samma region eller i olika regioner (kallas även global VNet-peering). VNet-peeringanslutningar kan också skapas i Azure-prenumerationer.

Kan jag skapa en peeringanslutning till ett virtuellt nätverk i en annan region?

Ja. Med global VNet-peering kan du peer-koppla virtuella nätverk i olika regioner. Global VNet-peering är tillgängligt i alla offentliga Azure-regioner, kinamolnregioner och myndighetsmolnregioner. Du kan inte globalt peerkoppla från offentliga Azure-regioner till nationella molnregioner.

Om de två virtuella nätverken i två olika regioner peerkopplas via global VNet-peering kan du inte ansluta till resurser som ligger bakom en Basic-Load Balancer via klientdelens IP-adress för Load Balancer. Den här begränsningen finns inte för en Standard Load Balancer. Följande resurser kan använda Grundläggande lastbalanserare, vilket innebär att du inte kan nå dem via Load Balancer frontend-IP-adress via global VNet-peering. Du kan dock använda global VNet-peering för att nå resurserna direkt via deras privata virtuella nätverks-IP-adresser, om det är tillåtet.

  • Virtuella datorer bakom Grundläggande lastbalanserare
  • Vm-skalningsuppsättningar med grundläggande lastbalanserare
  • Redis Cache
  • Application Gateway (v1) SKU
  • Service Fabric
  • API Management (stv1)
  • Active Directory-domän Service (ADDS)
  • Logic Apps
  • HDInsight
  • Azure Batch
  • App Service Environment

Du kan ansluta till dessa resurser via ExpressRoute eller VNet-till-VNet via VNet-gatewayer.

Kan jag aktivera VNet-peering om mina virtuella nätverk tillhör prenumerationer i olika Azure Active Directory-klientorganisationer?

Ja. Det går att upprätta VNet-peering (lokalt eller globalt) om dina prenumerationer tillhör olika Azure Active Directory-klienter. Du kan göra detta via portalen, PowerShell eller CLI.

Min VNet-peeringanslutning är i initierat tillstånd, varför kan jag inte ansluta?

Om peering-anslutningen är i ett initierat tillstånd innebär det att du bara har skapat en länk. En dubbelriktad länk måste skapas för att upprätta en lyckad anslutning. Om du till exempel vill peer-koppla VNet A till VNet B måste en länk skapas från VNetA till VNetB och från VNetB till VNetA. Om du skapar båda länkarna ändras statusen till Ansluten.

Min VNet-peeringanslutning är i frånkopplat tillstånd, varför kan jag inte skapa en peeringanslutning?

Om din VNet-peeringanslutning är i frånkopplat tillstånd innebär det att en av länkarna som skapades har tagits bort. För att kunna återupprätta en peeringanslutning måste du ta bort länken och återskapa den.

Kan jag peerkoppla mitt virtuella nätverk med ett virtuellt nätverk i en annan prenumeration?

Ja. Du kan peer-koppla virtuella nätverk mellan prenumerationer och mellan regioner.

Kan jag peerkoppla två virtuella nätverk med matchande eller överlappande adressintervall?

Nej. Adressutrymmen får inte överlappa varandra för att aktivera VNet-peering.

Kan jag peerkoppla ett VNet till två olika virtuella nätverk med alternativet "Använd fjärrgateway" aktiverat på båda peerkopplingarna?

Nej. Du kan bara aktivera alternativet "Använd fjärrgateway" på en peering till ett av de virtuella nätverken.

Det kostar ingenting att skapa en VNet-peeringanslutning. Dataöverföring mellan peering-anslutningar debiteras. Se här.

Krypteras VNet-peeringtrafik?

När Azure-trafik flyttas mellan datacenter (utanför fysiska gränser som inte styrs av Microsoft eller för Microsofts räkning) används MACsec-datalänklagerkryptering på den underliggande nätverksmaskinvaran. Detta gäller för VNet-peeringtrafik.

Varför är min peering-anslutning i frånkopplat tillstånd?

VNet-peeringanslutningar försätts i frånkopplat tillstånd när en VNet-peeringlänk tas bort. Du måste ta bort båda länkarna för att kunna återupprätta en lyckad peering-anslutning.

Innebär det att VNetA och VNetC är peerkopplade om jag peerkopplar VNetA till VNetB och jag peer-ansluter VNetB till VNetC?

Nej. Transitiv peering stöds inte. Du måste peer-koppla VNetA och VNetC för att detta ska ske.

Finns det några bandbreddsbegränsningar för peering-anslutningar?

Nej. VNet-peering, oavsett om det är lokalt eller globalt, tillämpar inga bandbreddsbegränsningar. Bandbredden begränsas endast av den virtuella datorn eller beräkningsresursen.

Hur felsöker jag problem med VNet-peering?

Här är en felsökningsguide som du kan prova.

Virtual Network TAP

Vilka Azure-regioner är tillgängliga för TAP för virtuellt nätverk?

Förhandsversionen av TAP för virtuellt nätverk är tillgänglig i alla Azure-regioner. De övervakade nätverksgränssnitten, TAP-resursen för det virtuella nätverket och insamlaren eller analyslösningen måste distribueras i samma region.

Stöder Virtual Network TAP några filtreringsfunktioner på de speglade paketen?

Filtreringsfunktioner stöds inte med tap-förhandsversionen av det virtuella nätverket. När en TAP-konfiguration läggs till i ett nätverksgränssnitt strömmas en djup kopia av all inkommande och utgående trafik i nätverksgränssnittet till TAP-målet.

Kan flera TAP-konfigurationer läggas till i ett övervakat nätverksgränssnitt?

Ett övervakat nätverksgränssnitt kan bara ha en TAP-konfiguration. Kontrollera med den enskilda partnerlösningen om du vill ha möjlighet att strömma flera kopior av TAP-trafiken till de analysverktyg som du väljer.

Kan samma TAP-resurs för virtuella nätverk samla trafik från övervakade nätverksgränssnitt i mer än ett virtuellt nätverk?

Ja. Samma TAP-resurs för virtuella nätverk kan användas för att aggregera speglad trafik från övervakade nätverksgränssnitt i peerkopplade virtuella nätverk i samma prenumeration eller en annan prenumeration. Det virtuella nätverkets TAP-resurs och målets lastbalanserare eller målnätverksgränssnitt måste finnas i samma prenumeration. Alla prenumerationer måste finnas under samma Azure Active Directory-klientorganisation.

Finns det några prestandaöverväganden för produktionstrafik om jag aktiverar en TAP-konfiguration för virtuellt nätverk i ett nätverksgränssnitt?

TAP för virtuellt nätverk är i förhandsversion. Under förhandsversionen finns det inget serviceavtal. Funktionen bör inte användas för produktionsarbetsbelastningar. När ett virtuellt datornätverksgränssnitt är aktiverat med en TAP-konfiguration används samma resurser på Azure-värden som allokerats till den virtuella datorn för att skicka produktionstrafiken för att utföra speglingsfunktionen och skicka de speglade paketen. Välj rätt storlek på den virtuella Linux - eller Windows-datorn för att säkerställa att det finns tillräckligt med resurser för att den virtuella datorn ska kunna skicka produktionstrafik och speglad trafik.

Stöds accelererat nätverk för Linux eller Windows med TAP för virtuellt nätverk?

Du kommer att kunna lägga till en TAP-konfiguration i ett nätverksgränssnitt som är kopplat till en virtuell dator som är aktiverad med accelererat nätverk. Men prestanda och svarstid på den virtuella datorn påverkas av att du lägger till TAP-konfiguration eftersom avlastningen för speglingstrafik för närvarande inte stöds av Azure-accelererat nätverk.

Tjänstslutpunkter för virtuella nätverk

Vilken är rätt åtgärdssekvens för att konfigurera tjänstslutpunkter till en Azure-tjänst?

Det finns två steg för att skydda en Azure-tjänstresurs via tjänstslutpunkter:

  1. Aktivera tjänstslutpunkter för Azure-tjänsten.
  2. Konfigurera VNet-ACL:er i Azure-tjänsten.

Det första steget är en åtgärd på nätverkssidan och det andra steget är en åtgärd på tjänstresurssidan. Båda stegen kan utföras av antingen samma administratör eller olika administratörer baserat på de Azure RBAC-behörigheter som beviljats administratörsrollen. Vi rekommenderar att du först aktiverar tjänstslutpunkter för ditt virtuella nätverk innan du konfigurerar VNet-ACL:er på Azure-tjänstsidan. Därför måste stegen utföras i sekvensen ovan för att konfigurera VNet-tjänstslutpunkter.

Anteckning

Båda åtgärderna som beskrivs ovan måste slutföras innan du kan begränsa Azure-tjänstens åtkomst till det tillåtna virtuella nätverket och undernätet. Att bara aktivera tjänstslutpunkter för Azure-tjänsten på nätverkssidan ger inte dig begränsad åtkomst. Dessutom måste du också konfigurera VNet-ACL:er på Azure-tjänstsidan.

Vissa tjänster (till exempel Azure SQL och Azure Cosmos DB) tillåter undantag till ovanstående sekvens via IgnoreMissingVnetServiceEndpoint flaggan. När flaggan har angetts till Truekan VNet-ACL:er ställas in på Azure-tjänstsidan innan du konfigurerar tjänstslutpunkterna på nätverkssidan. Azure-tjänster tillhandahåller den här flaggan för att hjälpa kunder i fall där de specifika IP-brandväggarna har konfigurerats på Azure-tjänster och om du aktiverar tjänstslutpunkterna på nätverkssidan kan det leda till att käll-IP-adressen ändras från en offentlig IPv4-adress till en privat adress. Genom att konfigurera VNet-ACL:er på Azure-tjänstsidan innan du ställer in tjänstslutpunkter på nätverkssidan kan du undvika att anslutningen sjunker.

Finns alla Azure-tjänster i det virtuella Azure-nätverk som tillhandahålls av kunden? Hur fungerar VNet-tjänstslutpunkten med Azure-tjänster?

Nej, alla Azure-tjänster finns inte i kundens virtuella nätverk. De flesta Azure-datatjänster som Azure Storage, Azure SQL och Azure Cosmos DB är tjänster för flera klientorganisationer som kan nås via offentliga IP-adresser. Du kan läsa mer om integrering av virtuella nätverk för Azure-tjänster här.

När du använder funktionen VNet-tjänstslutpunkter (aktivera VNet-tjänstslutpunkten på nätverkssidan och konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan) begränsas åtkomsten till en Azure-tjänst från ett tillåtet virtuellt nätverk och undernät.

Hur ger VNet-tjänstslutpunkten säkerhet?

Funktionen för VNet-tjänstslutpunkt (aktivera VNet-tjänstslutpunkt på nätverkssidan och konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan) begränsar Azure-tjänståtkomsten till det tillåtna virtuella nätverket och undernätet, vilket ger en säkerhet på nätverksnivå och isolering av Azure-tjänsttrafiken. All trafik som använder VNet-tjänstslutpunkter flödar över Microsofts stamnät, vilket ger ytterligare ett lager av isolering från det offentliga Internet. Dessutom kan kunder välja att helt ta bort offentlig Internetåtkomst till Azure-tjänstresurserna och endast tillåta trafik från sitt virtuella nätverk via en kombination av IP-brandvägg och VNet-ACL:er, vilket skyddar Azure-tjänstresurserna från obehörig åtkomst.

Vad skyddar VNet-tjänstslutpunkten – VNet-resurser eller Azure-tjänsten?

VNet-tjänstslutpunkter hjälper till att skydda Azure-tjänstresurser. VNet-resurser skyddas via nätverkssäkerhetsgrupper (NSG:er).

Kostar det något att använda VNet-tjänstslutpunkter?

Nej, det tillkommer ingen extra kostnad för att använda VNet-tjänstslutpunkter.

Kan jag aktivera VNet-tjänstslutpunkter och konfigurera VNet-ACL:er om det virtuella nätverket och Azure-tjänstresurserna tillhör olika prenumerationer?

Ja, det kan du. Virtuella nätverk och Azure-tjänstresurser kan finnas i samma eller olika prenumerationer. Det enda kravet är att både det virtuella nätverket och Azure-tjänstresurserna måste finnas under samma Active Directory-klientorganisation (AD).

Kan jag aktivera VNet-tjänstslutpunkter och konfigurera VNet-ACL:er om det virtuella nätverket och Azure-tjänstresurserna tillhör olika AD-klienter?

Ja, det är möjligt när du använder tjänstslutpunkter för Azure Storage och Azure Key Vault. För övriga tjänster stöds inte VNet-tjänstslutpunkter och VNet-ACL:er för ad-klienter.

Kan en lokal enhets IP-adress som är ansluten via Azure Virtual Network gateway (VPN) eller ExpressRoute-gateway komma åt Azure PaaS-tjänsten via VNet-tjänstslutpunkter?

Som standard kan Azure-tjänstresurser som skyddas på virtuella nätverk inte nås från lokala nätverk. Om du vill tillåta trafik från en lokal plats måste du även tillåta offentliga IP-adresser (vanligtvis NAT) från din lokala plats eller ExpressRoute. Dessa IP-adresser kan läggas till via IP-brandväggskonfigurationen för Azure-tjänstresurserna.

Kan jag använda funktionen VNet-tjänstslutpunkt för att skydda Azure-tjänsten till flera undernät i ett virtuellt nätverk eller över flera virtuella nätverk?

Om du vill skydda Azure-tjänster till flera undernät i ett virtuellt nätverk eller över flera virtuella nätverk aktiverar du tjänstslutpunkter på nätverkssidan på vart och ett av undernäten oberoende av varandra och skyddar sedan Azure-tjänstresurser till alla undernät genom att konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan.

Hur kan jag filtrera utgående trafik från ett virtuellt nätverk till Azure-tjänster och fortfarande använda tjänstslutpunkter?

Om du vill granska eller filtrera trafiken mot en Azure-tjänst från ett virtuellt nätverk kan du distribuera en virtuell nätverksinstallation inom det virtuella nätverket. Du kan sedan tillämpa tjänstslutpunkter på det undernät där den virtuella nätverksinstallationen distribueras och skydda Azure-tjänstresurser endast för det här undernätet via VNet-ACL:er. Det här scenariot kan också vara användbart om du endast vill begränsa Azure-tjänståtkomsten från ditt virtuella nätverk till specifika Azure-resurser med hjälp av filtrering av virtuella nätverksinstallationer. Mer information finns i Utgående trafik med virtuella nätverksinstallationer.

Vad händer när du får åtkomst till ett Azure-tjänstkonto som har en aktiverad åtkomstkontrollista för virtuella nätverk (ACL) utanför det virtuella nätverket?

HTTP 403- eller HTTP 404-felet returneras.

Får undernät i ett virtuellt nätverk som skapats i olika regioner åtkomst till ett Azure-tjänstkonto i en annan region?

Ja, för de flesta Azure-tjänster kan virtuella nätverk som skapats i olika regioner komma åt Azure-tjänster i en annan region via VNet-tjänstslutpunkterna. Om ett Azure Cosmos DB-konto till exempel finns i USA, västra eller USA, östra och virtuella nätverk finns i flera regioner kan det virtuella nätverket komma åt Azure Cosmos DB. Lagring och SQL är undantag och är regionala till sin natur och både det virtuella nätverket och Azure-tjänsten måste finnas i samma region.

Kan en Azure-tjänst ha både en VNet-ACL och en IP-brandvägg?

Ja, en VNet-ACL och en IP-brandvägg kan samexistera. Båda funktionerna kompletterar varandra för att säkerställa isolering och säkerhet.

Vad händer om du tar bort ett virtuellt nätverk eller undernät som har tjänstslutpunkten aktiverad för Azure-tjänsten?

Borttagning av virtuella nätverk och undernät är oberoende åtgärder och stöds även när tjänstslutpunkter är aktiverade för Azure-tjänster. I de fall där Azure-tjänsterna har konfigurerat VNet-ACL:er för dessa virtuella nätverk och undernät, inaktiveras den VNet-ACL-information som är associerad med den Azure-tjänsten när ett virtuellt nätverk eller undernät som har VNet-tjänstslutpunkten aktiverad tas bort.

Vad händer om ett Azure-tjänstkonto som har en aktiverad VNet-tjänstslutpunkt tas bort?

Borttagningen av ett Azure-tjänstkonto är en oberoende åtgärd och stöds även när tjänstslutpunkten är aktiverad på nätverkssidan och VNet-ACL:er har konfigurerats på Azure-tjänstsidan.

Vad händer med käll-IP-adressen för en resurs (till exempel en virtuell dator i ett undernät) som har VNet-tjänstslutpunkten aktiverad?

När tjänstslutpunkter för virtuellt nätverk är aktiverade växlar käll-IP-adresserna för resurserna i det virtuella nätverkets undernät från att använda offentliga IPV4-adresser till det virtuella Azure-nätverkets privata IP-adresser för trafik till Azure-tjänsten. Observera att detta kan leda till att specifika IP-brandväggar som tidigare har angetts till en offentlig IPV4-adress i Azure-tjänsterna misslyckas.

Har tjänstslutpunktsvägen alltid företräde?

Tjänstslutpunkter lägger till en systemväg som har företräde framför BGP-vägar och ger optimal routning för tjänstslutpunktstrafiken. Tjänstslutpunkter tar alltid tjänsttrafik direkt från ditt virtuella nätverk till tjänsten i Microsoft Azure-stamnätverket. Mer information om hur Azure väljer en väg finns i Trafikdirigering för virtuella Azure-nätverk.

Fungerar tjänstslutpunkter med ICMP?

Nej, ICMP-trafik som hämtas från ett undernät med tjänstslutpunkter aktiverade tar inte tjänsttunnelsökvägen till önskad slutpunkt. Tjänstslutpunkter hanterar bara TCP-trafik. Det innebär att om du vill testa svarstiden eller anslutningen till en slutpunkt via tjänstslutpunkter visar verktyg som ping och tracert inte den sanna sökvägen som resurserna i undernätet tar.

Hur fungerar NSG i ett undernät med tjänstslutpunkter?

För att nå Azure-tjänsten måste NSG:er tillåta utgående anslutningar. Om dina NSG:er öppnas för all utgående Internettrafik bör tjänstens slutpunktstrafik fungera. Du kan också begränsa den utgående trafiken till tjänst-IP-adresser endast med hjälp av tjänsttaggar.

Vilka behörigheter behöver jag för att konfigurera tjänstslutpunkter?

Tjänstslutpunkter kan konfigureras i ett virtuellt nätverk oberoende av en användare med skrivåtkomst till det virtuella nätverket. För att skydda Azure-tjänstresurser i ett virtuellt nätverk måste användaren ha behörigheten Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action för de undernät som läggs till. Den här behörigheten ingår som standard i den inbyggda tjänstadministratörsrollen och kan ändras genom att skapa anpassade roller. Lär dig mer om inbyggda roller och att tilldela specifika behörigheter till anpassade roller.

Kan jag filtrera trafik för virtuella nätverk till Azure-tjänster, som endast tillåter specifika Azure-tjänstresurser, via VNet-tjänstslutpunkter?

Med principer för tjänstslutpunkter för virtuellt nätverk (VNet) kan du filtrera trafik för virtuella nätverk till Azure-tjänster, vilket endast tillåter specifika Azure-tjänstresurser över tjänstslutpunkterna. Slutpunktsprinciper ger detaljerad åtkomstkontroll från den virtuella nätverkstrafiken till Azure-tjänsterna. Du kan läsa mer om principer för tjänstslutpunkter här.

Stöder Azure Active Directory (Azure AD) VNet-tjänstslutpunkter?

Azure Active Directory (Azure AD) stöder inte tjänstslutpunkter internt. En fullständig lista över Azure-tjänster som stöder VNet-tjänstslutpunkter visas här. Observera att taggen "Microsoft.AzureActiveDirectory" som anges under tjänster som stöder tjänstslutpunkter används för att stödja tjänstslutpunkter till ADLS Gen 1. För ADLS Gen 1 använder integrering av virtuella nätverk för Azure Data Lake Storage Gen1 tjänstens slutpunktssäkerhet för virtuella nätverk mellan ditt virtuella nätverk och Azure Active Directory (Azure AD) för att generera ytterligare säkerhetsanspråk i åtkomsttoken. Dessa anspråk används sedan för att autentisera ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto och tillåta åtkomst. Läs mer om VNet-integrering i Azure Data Lake Store Gen 1

Finns det några begränsningar för hur många VNet-tjänstslutpunkter jag kan konfigurera från mitt virtuella nätverk?

Det finns ingen gräns för det totala antalet VNet-tjänstslutpunkter i ett virtuellt nätverk. För en Azure-tjänstresurs (till exempel ett Azure Storage-konto) kan tjänster tillämpa gränser för antalet undernät som används för att skydda resursen. I följande tabell visas några exempelbegränsningar:

Azure-tjänst Begränsningar för VNet-regler
Azure Storage 200
Azure SQL 128
Azure Synapse Analytics 128
Azure KeyVault 200
Azure Cosmos DB 64
Azure Event Hub 128
Azure Service Bus 128
Azure Data Lake Store V1 100

Anteckning

Gränserna är föremål för ändringar efter azure-tjänstens gottfinnande. Information om tjänster finns i respektive tjänstdokumentation.

Migrera klassiska nätverksresurser till Resource Manager

Vad är Azure Service Manager och termen klassisk medelvärde?

Azure Service Manager är den gamla distributionsmodellen i Azure som ansvarar för att skapa, hantera och ta bort resurser. Ordet klassisk i en nätverkstjänst refererar till resurser som hanteras av Azure Service Manager-modellen. Mer information finns i Jämförelse mellan distributionsmodeller.

Vad är Azure Resource Manager?

Azure Resource Manager är den senaste distributions- och hanteringsmodellen i Azure som ansvarar för att skapa, hantera och ta bort resurser i din Azure-prenumeration. Mer information finns i Vad är Azure Resource Manager?

Kan jag återställa migreringen när resurser har checkats in på Resource Manager?

Du kan avbryta migreringen så länge resurserna fortfarande är i förberett tillstånd. Återställning till den tidigare distributionsmodellen stöds inte när resurser har migrerats genom incheckningsåtgärden.

Kan jag återställa migreringen om incheckningsåtgärden misslyckades?

Du kan inte ångra en migrering om incheckningsåtgärden misslyckades. Alla migreringsåtgärder, inklusive incheckningsåtgärden, kan inte ändras när de har startats. Vi rekommenderar att du försöker utföra åtgärden igen efter en kort period. Om åtgärden fortsätter att misslyckas skickar du en supportbegäran.

Kan jag verifiera prenumeration eller resurser för att se om de kan migreras?

Ja. Som en del av migreringsproceduren är det första steget i att förbereda migreringen att verifiera om resurser kan migreras. Om verifieringsåtgärden misslyckas får du meddelanden av alla orsaker till att migreringen inte kan slutföras.

Migreras Application Gateway resurser som en del av den klassiska migreringen för att Resource Manager VNet?

Application Gateway resurser migreras inte automatiskt som en del av VNet-migreringsprocessen. Om det finns en i det virtuella nätverket lyckas inte migreringen. För att kunna migrera en Application Gateway resurs för att Resource Manager måste du ta bort och återskapa Application Gateway när migreringen är klar.

Migreras VPN Gateway som en del av migreringen av det klassiska till Resource Manager virtuella nätverket?

VPN Gateway resurser migreras som en del av VNet-migreringsprocessen. Migreringen slutförs ett virtuellt nätverk i taget utan några andra krav. Migreringsstegen är desamma som att migrera ett virtuellt nätverk utan en VPN-gateway.

Finns det ett tjänstavbrott kopplat till migrering av klassiska VPN-gatewayer till Resource Manager?

Du kommer inte att uppleva några avbrott i tjänsten med VPN-anslutningen när du migrerar till Resource Manager. Därför fortsätter befintliga arbetsbelastningar att fungera utan förlust av lokal anslutning under migreringen.

Behöver jag konfigurera om min lokala enhet när VPN Gateway har migrerats till Resource Manager?

Den offentliga IP-adressen som är associerad med VPN-gatewayen förblir densamma även efter migreringen. Du behöver inte konfigurera om den lokala routern.

Vilka scenarier stöds för klassisk VPN Gateway migrering till Resource Manager?

De flesta vanliga VPN-anslutningsscenarier omfattas av den klassiska till Resource Manager migreringen. Scenarierna som stöds är:

  • Punkt-till-plats-anslutning

  • Plats-till-plats-anslutning med en VPN Gateway ansluten till en lokal plats

  • VNet-till-VNet-anslutning mellan två virtuella nätverk med VPN-gatewayer

  • Flera virtuella nätverk anslutna till samma lokala plats

  • Anslutning för flera platser

  • Tvingad tunneltrafik aktiverade virtuella nätverk

Vilka scenarier stöds inte för klassisk VPN Gateway migrering till Resource Manager?

Scenarier som inte stöds är:

  • Virtuellt nätverk med både en ExpressRoute-gateway och en VPN Gateway stöds för närvarande inte.

  • Virtuellt nätverk med en ExpressRoute Gateway ansluten till en krets i en annan prenumeration.

  • Transitscenarier där VM-tillägg är anslutna till lokala servrar.

Var hittar jag mer information om migrering från klassiska till Azure Resource Manager?

Mer information finns i Vanliga frågor och svar om migrering från klassiska till Azure Resource Manager.

Hur rapporterar jag ett problem?

Du kan publicera dina frågor om dina migreringsproblem på sidan Microsoft Q&A . Vi rekommenderar att du lägger upp alla dina frågor i det här forumet. Om du har ett supportkontrakt kan du även skicka en supportbegäran.