你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将专用 Azure 服务部署到虚拟网络
在虚拟网络中部署专用 Azure 服务时,可通过专用 IP 地址与服务资源进行私密通信。
在虚拟网络中部署服务可提供以下功能:
- 虚拟网络内的资源可以通过专用 IP 地址彼此进行私密通信。 例如,在虚拟网络中,在虚拟机上运行的 HDInsight 与 SQL Server 之间可直接传输数据。
- 本地资源可通过站点到站点 VPN(VPN 网关)或 ExpressRoute 使用专用 IP 地址访问虚拟网络中的资源。
- 虚拟网络可使用专用 IP 地址进行对等互连,实现虚拟网络中资源之间的彼此通信。
- 虚拟网络中的服务实例通常由 Azure 服务完全托管。 这包括监视资源的运行状况并根据负载进行缩放。
- 服务实例部署在虚拟网络的子网中。 根据服务提供的指南,必须通过网络安全组对子网开放入站和出站网络访问。
- 某些服务还对它们所部署到的子网施加限制,从而限制应用策略、路由或组合同一子网中的 VM 和服务资源。 检查每个服务的特定限制,因为它们可能会随时间而改变。 此类服务的示例包括:Azure NetApp 文件、专用 HSM、Azure 容器实例、应用服务。
- (可选)服务可能需要一个委派子网作为显式标识符,用于表示子网可承载特定服务。 服务可以通过委托获得显式权限,可以在委托的子网中创建服务专属资源。
- 如需 REST API 响应的示例,请参阅包含委托子网的虚拟网络。 可以通过可用委托 API 获得一个内容广泛的列表,其中包含的服务使用委托子网模型。
可部署到虚拟网络中的服务
| Category | 服务 | 专用1 子网 |
|---|---|---|
| 计算 | 虚拟机:Linux 或 Windows 虚拟机规模集 云服务:仅限虚拟网络(经典) Azure Batch |
否 否 否 否2 |
| 网络 | 应用程序网关 - WAF Azure Bastion Azure 防火墙 Azure 路由服务器 ExpressRoute 网关 网络虚拟设备 VPN 网关 |
是 是 是 是 是 否 是 |
| 数据 | RedisCache Azure SQL 托管实例Azure Database for MySQL - 灵活服务器Azure Database for PostgreSQL - 灵活服务器 |
是 是 是 是 |
| 分析 | Azure HDInsight Azure Databricks |
否2 否2 |
| 标识 | Azure Active Directory 域服务 | 否 |
| 容器 | Azure Kubernetes 服务 (AKS) Azure 容器实例 (ACI) 带有 Azure 虚拟网络 CNI 插件的 Azure 容器服务引擎 Azure Functions |
否2 是 否 是 |
| Web | API 管理 Web 应用 应用服务环境 Azure 逻辑应用 Azure 容器应用环境 |
是 是 是 是 是 |
| 已托管 | Azure 专用 HSM Azure NetApp 文件 |
是 是 |
| Azure Spring Apps | 在 Azure 虚拟网络中部署(VNet 注入) |
是 |
| 虚拟桌面基础结构 | Azure 实验室服务 |
是 |
1“专用”表示只能在此子网中部署服务专属资源,不能与客户 VM/VMSS 结合使用
2 建议的最佳做法是将这些服务置于专用子网中,但这并非服务的强制要求。