创建子网
子网提供了一种在虚拟网络中实现逻辑划分的方法。 可将网络划分为子网,以帮助提高安全性、提高性能并使其更易于管理。
有关子网的注意事项
对子网应用分段时,虚拟网络中的 IP 地址存在一定的条件。
每个子网都包含虚拟网络地址空间中的一系列 IP 地址。
子网的地址范围在虚拟网络的地址空间中必须唯一。
一个子网的范围不能与同一虚拟网络中的其他子网 IP 地址范围重叠。
子网的 IP 地址空间必须使用 CIDR 表示法指定。
可以在 Azure 门户中将虚拟网络划分为一个或多个子网。 子网的 IP 地址特征已列出。
保留地址
Azure 为每个子网保留 5 个 IP 地址。 前四个地址和最后一个地址保留。
让我们来了解 IP 地址范围 192.168.1.0/24
中的保留地址。
保留地址 | 原因 |
---|---|
192.168.1.0 |
此值标识虚拟网络地址。 |
192.168.1.1 |
Azure 将此地址配置为默认网关。 |
192.168.1.2 和 192.168.1.3 |
Azure 将这些 Azure DNS IP 地址映射到虚拟网络空间。 |
192.168.1.255 |
此值提供虚拟网络广播地址。 |
使用子网时的注意事项
计划在虚拟网络中添加子网段时,需要考虑几个因素。 查看以下场景。
考虑服务要求。 对于必须允许进出相关子网的路由和流量类型,直接部署到虚拟网络中的每项服务都有特定要求。 服务可能需要或创建自己的子网。 必须有足够的未分配空间来满足服务要求。 假设使用 Azure VPN 网关将虚拟网络连接到本地网络。 虚拟网络必须具有专用的网关子网。
考虑网络虚拟设备。 默认情况下,Azure 在虚拟网络中的所有子网之间路由流量。 可以替代 Azure 的默认路由,以防止子网之间的 Azure 路由。 还可以替代默认值,以便通过网络虚拟设备在子网之间路由流量。 如果你需要同一虚拟网络流中的资源之间的流量流经网络虚拟设备,请将资源部署到不同的子网中。
考虑服务终结点。 可将对 Azure 资源(例如 Azure 存储帐户或 Azure SQL 数据库)的访问权限限制为具有虚拟网络服务终结点的特定子网。 还可拒绝通过 Internet 访问资源。 可以创建多个子网,并为某些子网启用服务终结点,其他子网则不启用服务终结点。
考虑网络安全组。 可将零个或一个网络安全组与虚拟网络中的每个子网相关联。 可将相同或不同的网络安全组关联到每个子网。 每个网络安全组都包含规则,允许或拒绝到达和来自源和目标的流量。
考虑专用链接。 Azure 专用链接提供从虚拟网络到 Azure 平台即服务 (PaaS)、客户拥有的服务或 Microsoft 合作伙伴服务的专用连接。 专用链接可简化网络体系结构,并保护 Azure 中终结点之间的连接。 该服务消除了向公共 Internet 的数据曝光。