Vad är ett virtuellt Azure-nätverk

Slutförd

Azure Virtual Network är en tjänst som tillhandahåller den grundläggande byggstenen för ditt privata nätverk i Azure. En instans av tjänsten (ett virtuellt nätverk) gör det möjligt för många typer av Azure-resurser att kommunicera säkert med varandra, internet och lokala nätverk. Dessa Azure-resurser omfattar virtuella datorer (VM).

Ett virtuellt nätverk liknar ett traditionellt nätverk som du använder i ditt egna datacenter. Men det ger extra fördelar med Azure-infrastrukturen, till exempel skalning, tillgänglighet och isolering.

Diagram som visar ett exempel på ett virtuellt Azure-nätverk.

Varför ska jag använda ett virtuellt Azure-nätverk?

Viktiga scenarier som du kan utföra med ett virtuellt nätverk är:

  • Kommunikation av Azure-resurser med Internet.
  • Kommunikation mellan Azure-resurser.
  • Kommunikation med lokala resurser.
  • Filtrering av nätverkstrafik.
  • Routning av nätverkstrafik.
  • Integrering med Azure-tjänster.

Kommunicera med Internet

Alla resurser i ett virtuellt nätverk kan som standard kommunicera utgående med Internet. Du kan också använda en offentlig IP-adress, NAT-gateway eller offentlig lastbalanserare för att hantera dina utgående anslutningar. Du kan kommunicera inkommande med en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare.

När du bara använder en intern standardlastbalanserare är utgående anslutning inte tillgänglig förrän du definierar hur du vill att utgående anslutningar ska fungera med en offentlig IP-adress på instansnivå eller en offentlig lastbalanserare.

Kommunicera mellan Azure-resurser

Azure-resurser kommunicerar säkert med varandra på något av följande sätt:

  • Virtuellt nätverk: Du kan distribuera virtuella datorer och andra typer av Azure-resurser i ett virtuellt nätverk. Exempel på resurser är App Service-miljön, Azure Kubernetes Service (AKS) och Azure Virtual Machine Scale Sets. En fullständig lista över Azure-resurser som du kan distribuera i ett virtuellt nätverk finns i Distribuera dedikerade Azure-tjänster till virtuella nätverk.
  • Tjänstslutpunkt för virtuellt nätverk: Du kan utöka det virtuella nätverkets privata adressutrymme och identiteten för ditt virtuella nätverk till Azure-tjänstresurser via en direkt anslutning. Exempel på resurser är Azure Storage-konton och Azure SQL Database. Med tjänstslutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast ett virtuellt nätverk. Mer information finns i Tjänstslutpunkter för virtuellt nätverk.
  • Peering för virtuella nätverk: Du kan ansluta virtuella nätverk till varandra med hjälp av virtuell peering. Resurserna i något av de virtuella nätverken kan sedan kommunicera med varandra. De virtuella nätverk som du ansluter kan finnas i samma eller olika Azure-regioner. Läs mer i Peerkoppling av virtuella nätverk.

Kommunicera med lokala resurser

Du kan ansluta dina lokala datorer och nätverk till ett virtuellt nätverk med något av följande alternativ:

  • Punkt-till-plats-VPN (virtuellt privat nätverk): Upprättas mellan ett virtuellt nätverk och en dator i ditt nätverk. Anslutningen måste konfigureras för varje dator som du vill ansluta till ett virtuellt nätverk. Den här anslutningstypen är användbar om du precis har börjat med Azure, eller för utvecklare, eftersom det kräver få eller inga ändringar i ett befintligt nätverk. Kommunikationen mellan datorn och ett virtuellt nätverk skickas genom en krypterad tunnel via Internet. Mer information finns i Om punkt-till-plats-VPN.
  • Plats-till-plats-VPN: Upprättas mellan din lokala VPN-enhet och en Azure VPN-gateway som distribueras i ett virtuellt nätverk. Med den här anslutningstypen kan alla lokala resurser som du ger behörighet få åtkomst till ett virtuellt nätverk. Kommunikationen mellan den lokala VPN-enheten och en Azure VPN-gateway skickas genom en krypterad tunnel via Internet. Läs mer i Plats-till-plats-VPN.
  • Azure ExpressRoute: Upprättas mellan ditt nätverk och Azure, via en ExpressRoute-partner. Den här anslutningen är privat. Trafiken går inte via Internet. Mer information finns i Vad är Azure ExpressRoute?.

Filtrera nätverkstrafik

Du kan filtrera nätverkstrafik mellan undernät med hjälp av något av följande alternativ:

  • Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper och programsäkerhetsgrupper kan innehålla flera regler för inkommande och utgående säkerhet. Med de här reglerna kan du filtrera trafik till och från resurser efter källans och målets IP-adress, port och protokoll. Mer information finns i Nätverkssäkerhetsgrupper och Programsäkerhetsgrupper.
  • Virtuella nätverksinstallationer: En virtuell nätverksinstallation är en virtuell dator som utför en nätverksfunktion, till exempel en brandvägg eller WAN-optimering. Om du vill visa en lista över tillgängliga virtuella nätverksinstallationer som du kan distribuera i ett virtuellt nätverk går du till Azure Marketplace.

Dirigering av nätverkstrafik

Azure dirigerar trafik mellan undernät, anslutna virtuella nätverk, lokala nätverk och Internet som standard. Du kan implementera något av eller båda av följande alternativ för att åsidosätta de standardvägar som Azure skapar:

  • Routningstabeller: Du kan skapa anpassade routningstabeller som styr var trafiken dirigeras till för varje undernät.
  • BGP-vägar (Border Gateway Protocol): Om du ansluter ditt virtuella nätverk till ditt lokala nätverk med hjälp av en Azure VPN-gateway eller en ExpressRoute-anslutning kan du sprida dina lokala BGP-vägar till dina virtuella nätverk.

Integrera med Azure-tjänster

Integreringen av Azure-tjänster med ett virtuellt Azure-nätverk ger privat åtkomst till tjänsten från virtuella datorer eller beräkningsresurser i det virtuella nätverket. Du kan använda följande alternativ för den här integreringen:

  • Distribuera dedikerade instanser av tjänsten till ett virtuellt nätverk. Tjänsterna kan sedan nås privat i det virtuella nätverket och från lokala nätverk.
  • Använd Azure Private Link för att privat komma åt en specifik instans av tjänsten från ditt virtuella nätverk och från lokala nätverk.
  • Få åtkomst till tjänsten via offentliga slutpunkter genom att utöka ett virtuellt nätverk till tjänsten, via tjänstslutpunkter. Tjänstslutpunkter tillåter att tjänstresurser skyddas i det virtuella nätverket.

Gränser

Det finns gränser för hur många Azure-resurser du kan distribuera. De flesta Azure-nätverksgränser har de högsta värdena. Du kan dock öka vissa nätverksgränser. Mer information finns i Nätverksgränser.

Virtuella nätverk och tillgänglighetszoner

Virtuella nätverk och undernät omfattar alla tillgänglighetszoner i en region. Du behöver inte dela upp dem efter tillgänglighetszoner för att hantera zonindeliga resurser. Om du till exempel konfigurerar en zonindelad virtuell dator behöver du inte ta hänsyn till det virtuella nätverket när du väljer tillgänglighetszonen för den virtuella datorn. Detsamma gäller för andra zonindeliga resurser.

Prissättning

Det kostar inget att använda Azure Virtual Network. Det är kostnadsfritt. Standardavgifter gäller för resurser, till exempel virtuella datorer och andra produkter. Mer information finns i Priser för virtuellt nätverk och priskalkylatorn för Azure.