Vad är Azure Virtual Network?

  • Artikel
  • 5 minuter för att läsa

Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Azure 虛擬機器 (VM), kommunicera säkert med varandra, Internet och lokala nätverk. VNet liknar ett traditionellt nätverk som du skulle använda i ditt eget datacenter, men ger ytterligare fördelar med Azures infrastruktur, till exempel skalning, tillgänglighet och isolering.

Varför ska jag använda ett virtuellt Azure-nätverk?

Med det virtuella Azure-nätverket kan Azure-resurser kommunicera säkert med varandra, Internet och lokala nätverk. Viktiga scenarier som du kan utföra med ett virtuellt nätverk är : kommunikation av Azure-resurser med Internet, kommunikation mellan Azure-resurser, kommunikation med lokala resurser, filtrering av nätverkstrafik, routning av nätverkstrafik och integrering med Azure-tjänster.

Kommunicera med Internet

Alla resurser i ett virtuellt nätverk kan som standard kommunicera utgående till Internet. Du kan kommunicera inkommande trafik till en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare. Du kan också använda en offentlig IP-adress eller en offentlig lastbalanserare för att hantera utgående anslutningar. Mer information om utgående anslutningar i Azure finns i avsnitten om utgående anslutningar, offentliga IP-adresser och lastbalanseraren.

Anteckning

Om du bara använder en intern standardlastbalanserare, är utgående anslutningar inte tillgängliga förrän du definierar hur du vill att utgående anslutningar ska fungera med en offentlig IP-adress på instansnivå eller en offentlig lastbalanserare.

Kommunikation mellan Azure-resurser

Azure-resurser kommunicerar säkert med varandra på något av följande sätt:

  • Via ett virtuellt nätverk: Du kan distribuera virtuella datorer och flera andra typer av Azure-resurser till ett virtuellt nätverk, som Azure App Service-miljöer, AKS (Azure Kubernetes Service) och Azure Virtual Machine Scale Sets. En fullständig lista över Azure-resurser som du kan distribuera till ett virtuellt nätverk finns i Tjänstintegration för virtuella nätverk.
  • Via en tjänstslutpunkt för virtuellt nätverk: Utöka det privata adressutrymmet för det virtuella nätverket och identiteten för ditt virtuella nätverk till Azure-tjänstresurser, till exempel Azure Storage-konton och SQL do Azure Database, via en direktanslutning. Med tjänstslutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast ett virtuellt nätverk. Läs mer i Översikt över tjänstslutpunkter för virtuella nätverk.
  • Via VNet-peering: Du kan ansluta virtuella nätverk till varandra, så att resurser i något av de virtuella nätverken kan kommunicera med varandra med hjälp av peering för virtuella nätverk. De virtuella nätverken du ansluter kan finnas i samma, eller olika, Azure-regioner. Läs mer i Peerkoppling av virtuella nätverk.

Kommunikation med lokala resurser

Du kan ansluta dina lokala datorer och nätverk till ett virtuellt nätverk med något av följande alternativ:

  • Punkt-till-plats-VPN (virtuellt privat nätverk): Upprättas mellan ett virtuellt nätverk och en dator i ditt nätverk. Anslutningen måste konfigureras för varje dator som du vill ansluta till ett virtuellt nätverk. Den här anslutningstypen är bra om du precis har börjat med Azure, eller för utvecklare, eftersom det krävs få eller inga ändringar i ditt befintliga nätverk. Kommunikationen mellan datorn och ett virtuellt nätverk skickas genom en krypterad tunnel via Internet. Läs mer i Punkt-till-plats-VPN.
  • Plats-till-plats-VPN: Upprättas mellan den lokala VPN-enheten och Azure VPN Gateway som distribueras i ett virtuellt nätverk. Med den här anslutningstypen kan alla lokala resurser som du ger behörighet få åtkomst till ett virtuellt nätverk. Kommunikationen mellan den lokala VPN-enheten och en Azure VPN-gateway skickas genom en krypterad tunnel via Internet. Läs mer i Plats-till-plats-VPN.
  • Azure ExpressRoute: Upprättas mellan ditt nätverk och Azure, via en ExpressRoute-partner. Den här anslutningen är privat. Trafiken går inte via Internet. Läs mer i ExpressRoute.

Filtrera nätverkstrafik

Du kan filtrera nätverkstrafik mellan undernät med ett eller båda av följande alternativ:

  • Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper och programsäkerhetsgrupper kan innehålla flera inkommande och utgående säkerhetsregler som gör att du kan filtrera trafik till och från resurser efter källans och målets IP-adress, port och protokoll. Mer information finns i Nätverkssäkerhetsgrupper eller Programsäkerhetsgrupper.
  • Virtuella nätverksinstallationer: En virtuell nätverksinstallation är en virtuell dator som utför en nätverksfunktion, till exempel en brandvägg, WAN-optimering eller annan nätverksfunktion. En lista över tillgängliga virtuella nätverksinstallationer som du kan distribuera i ett virtuellt nätverk finns i Azure Marketplace.

Dirigera nätverkstrafik

Azure dirigerar trafik mellan undernät, anslutna virtuella nätverk, lokala nätverk och Internet, som standard. Du kan implementera ett eller båda av följande alternativ för att åsidosätta de standardvägar som Azure skapar:

  • Routningstabeller: Du kan skapa anpassade routningstabeller med vägar som styr vart trafik dirigeras för varje undernät. Läs mer om routningstabeller.
  • BGP-vägar (Border Gateway Protocol): Om du ansluter ditt virtuella nätverk till ditt lokala nätverk med hjälp av en Azure VPN Gateway- eller ExpressRoute-anslutning kan du sprida de lokala BGP-vägarna till de virtuella nätverken. Lär dig mer om hur du använder BGP med Azure VPN Gateway och ExpressRoute.

Integrering av virtuella nätverk för Azure-tjänster

Integreringen av Azure-tjänster i ett virtuellt Azure-nätverk ger privat åtkomst till tjänsten från virtuella datorer eller beräkningsresurser i det virtuella nätverket. Du kan integrera Azure-tjänster i ditt virtuella nätverk med följande alternativ:

  • Distribuera dedikerade instanser av tjänsten till ett virtuellt nätverk. Tjänsterna kan sedan nås privat i det virtuella nätverket och från lokala nätverk.
  • Använda Private Link för att komma åt en specifik instans av tjänsten privat från ditt virtuella nätverk och från lokala nätverk.
  • Du kan också komma åt tjänsten med hjälp av offentliga slutpunkter genom att utöka ett virtuellt nätverk till tjänsten, via tjänstslutpunkter. Tjänstslutpunkter tillåter att tjänstresurser skyddas i det virtuella nätverket.

Gränser för virtuella Azure-nätverk

Det finns vissa gränser för hur många Azure-resurser du kan distribuera. De flesta azure-nätverksgränser har de högsta värdena. Du kan dock öka vissa nätverksgränser enligt specifikationen på sidan VNet-gränser.

Virtuella nätverk och tillgänglighetszoner

Virtuella nätverk och undernät omfattar alla tillgänglighetszoner i en region. Du behöver inte dela upp dem efter tillgänglighetszoner för att hantera zonindeliga resurser. Om du till exempel konfigurerar en zonindelad virtuell dator behöver du inte ta hänsyn till det virtuella nätverket när du väljer tillgänglighetszonen för den virtuella datorn. Detsamma gäller för andra zonindeliga resurser.

Prissättning

Det kostar ingenting att använda virtuella Azure-nätverk. Det är kostnadsfritt. Standardavgifter gäller för resurser, till exempel 虛擬機器 (VM) och andra produkter. Mer information finns i priser för virtuella nätverk och priskalkylatorn för Azure.

Nästa steg