你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
卓越运营和 Azure 虚拟网络
Azure 虚拟网络是专用网络的基本构建基块,它使 Azure 资源能够安全地相互通信、Internet 和本地网络。
Azure 虚拟网络的主要功能包括:
有关详细信息,请参阅什么是 Azure 虚拟网络?
若要了解 Azure 虚拟网络如何支持卓越运营,请参阅以下主题:
设计注意事项
虚拟网络(VNet)包括以下卓越运营设计注意事项:
- 本地和 Azure 区域中重叠的 IP 地址空间会导致重大的争用挑战。
- 虽然创建后可以添加虚拟网络地址空间,但如果虚拟网络已通过对等互连连接到另一个虚拟网络,则此过程需要中断。 由于删除并重新创建虚拟网络对等互连,因此需要中断。
- 某些 Azure 服务确实需要 专用子网,例如:
- Azure 防火墙
- Azure Bastion
- 虚拟网络网关
- 可将子网委托给某些服务,以在子网中创建该服务的实例。
- Azure 在每个子网中保留五个 IP 地址,在调整大小调整虚拟网络和包含的子网时,应考虑到这些地址。
清单
是否考虑到了卓越运营配置 Azure 虚拟网络?
- 使用 Azure DDoS 标准保护计划来保护客户虚拟网络中托管的所有公共终结点。
- 企业客户必须计划 Azure 中的 IP 寻址,以确保在考虑的本地位置和 Azure 区域之间没有重叠的 IP 地址空间。
- 使用专用 Internet 地址分配中的 IP 地址(征求意见请求 (RFC) 1918)。
- 对于具有有限专用 IP 地址(RFC 1918)可用性的环境,请考虑使用 IPv6。
- 不要创建不必要的大型虚拟网络(例如:
/16),以确保不会浪费不必要的 IP 地址空间。 - 不要在事先规划所需的地址空间的情况下创建虚拟网络。
- 不要对虚拟网络使用公共 IP 地址,尤其是在公共 IP 地址不属于客户的情况下。
- 使用 VNet 服务终结点保护从客户 VNet 内部访问 Azure 平台即服务(PaaS)服务。
- 若要解决服务终结点的数据外泄问题,请使用网络虚拟设备(NVA)筛选和 VNet 服务终结点策略进行Azure 存储。
- 不要实施强制隧道来启用从 Azure 到 Azure 资源的通信。
- 通过 ExpressRoute 专用对等互连从本地访问 Azure PaaS 服务。
- 若要在 VNet 注入或专用链接不可用时从本地网络访问 Azure PaaS 服务,请在没有数据外泄问题时将 ExpressRoute 与Microsoft对等互连配合使用。
- 不要将本地外围网络(也称为外围网络、非军事区域和屏蔽子网)概念和体系结构复制到 Azure 中。
- 确保使用用户定义的路由(UDR)和网络安全组(NSG)在虚拟网络内锁定已注入虚拟网络的 Azure PaaS 服务之间的通信。
- 如果存在数据外泄问题,除非使用 NVA 筛选,否则不要使用 VNet 服务终结点。
- 默认情况下,不要在所有子网上启用 VNet 服务终结点。
配置建议
配置 Azure 虚拟网络时,请考虑以下卓越运营建议:
| 建议 | 说明 |
|---|---|
| 不要在事先规划所需的地址空间的情况下创建虚拟网络。 | 通过虚拟网络对等互连连接虚拟网络后,添加地址空间将导致中断。 |
| 使用 VNet 服务终结点保护从客户 VNet 内部访问 Azure 平台即服务(PaaS)服务。 | 仅当专用链接不可用且没有数据外泄问题时。 |
| 通过 ExpressRoute 专用对等互连从本地访问 Azure PaaS 服务。 | 将 VNet 注入用于专用 Azure 服务,或将 Azure 专用链接用于可用的共享 Azure 服务。 |
| 若要在 VNet 注入或专用链接不可用时从本地网络访问 Azure PaaS 服务,请在没有数据外泄问题时将 ExpressRoute 与Microsoft对等互连配合使用。 | 避免通过公共 Internet 传输。 |
| 不要将本地外围网络(也称为外围网络、非军事区域和屏蔽子网)概念和体系结构复制到 Azure 中。 | 客户可以在 Azure 中获取与本地类似的安全功能,但实现和体系结构需要适应云。 |
| 确保使用用户定义的路由(UDR)和网络安全组(NSG)在虚拟网络内锁定已注入虚拟网络的 Azure PaaS 服务之间的通信。 | 已注入虚拟网络的 Azure PaaS 服务仍使用公共 IP 地址执行管理平面操作。 |