你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将专用 Azure 服务部署到虚拟网络
在虚拟网络中部署专用 Azure 服务时,可通过专用 IP 地址与服务资源进行私密通信。
在虚拟网络中部署服务可提供以下功能:
虚拟网络内的资源可以通过专用 IP 地址彼此进行私密通信。 例如,在虚拟网络中,在虚拟机上运行的 HDInsight 与 SQL Server 之间可直接传输数据。
本地资源可通过站点到站点 VPN(VPN 网关)或 ExpressRoute 使用专用 IP 地址访问虚拟网络中的资源。
虚拟网络可使用专用 IP 地址进行对等互连,实现虚拟网络中资源之间的彼此通信。
服务实例部署在虚拟网络的子网中。 根据服务提供的指南,必须通过网络安全组对子网开放入站和出站网络访问。
某些服务会对它们部署在其中的子网施加限制。 此限制会限制策略、路由或同一子网内组合 VM 和服务资源的应用。 检查每个服务的特定限制,因为它们可能会随时间而改变。 服务示例包括:Azure NetApp 文件、专用 HSM、Azure 容器实例、应用服务。
(可选)服务可能需要一个委派子网作为显式标识符,用于表示子网可承载特定服务。 通过委派,服务会收到在受委派子网中创建服务特定资源的显式权限。
如需 REST API 响应的示例,请参阅包含委托子网的虚拟网络。 可以通过可用委托 API 获得一个内容广泛的列表,其中包含的服务使用委托子网模型。
可部署到虚拟网络中的服务
| 类别 | 服务 | 专用1 子网 |
|---|---|---|
| 计算 | 虚拟机:Linux 或 Windows 虚拟机规模集 云服务:仅限虚拟网络(经典) Azure Batch Azure Baremetal 基础结构 |
无 无 无 否2 否 |
| 网络 | 应用程序网关 - WAF Azure Bastion Azure 防火墙 Azure 路由服务器 ExpressRoute 网关 网络虚拟设备 VPN 网关 Azure DNS 专用解析程序 |
是 是 是 是 是 无 是 否 |
| 数据 | RedisCache Azure SQL 托管实例Azure Database for MySQL - 灵活服务器Azure Database for PostgreSQL - 灵活服务器 |
是 是 是 是 |
| 分析 | Azure HDInsight Azure Databricks |
否2 否2 |
| 标识 | Microsoft Entra 域服务 | 无 |
| 容器 | Azure Kubernetes 服务 (AKS) Azure 容器实例 (ACI) 带有 Azure 虚拟网络 CNI 插件的 Azure 容器服务引擎 Azure Functions |
否2 是 无 是 |
| Web | API 管理 Web 应用 应用服务环境 Azure 逻辑应用 Azure 容器应用环境 |
是 是 是 是 是 |
| 已托管 | Azure 专用 HSM Azure NetApp 文件 |
是 是 |
| Azure Spring Apps | 在 Azure 虚拟网络中部署(VNet 注入) |
是 |
| 虚拟桌面基础结构 | Azure 实验室服务 |
是 |
| DevOps | Azure 负载测试 |
是 |
1“专用”表示只能在此子网中部署服务专用资源,并且不能将其与客户 VM/VMSS 组合使用
2 建议的最佳做法是将这些服务置于专用子网中,但这并非服务的强制要求。