分享方式:


規劃虛擬網路

建立虛擬網路並加以實驗是一件很簡單的事,但您很可能必須隨時間部署多個虛擬網路,以支援組織的生產需求。 藉由一些規劃,您將能夠更有效地部署虛擬網路並連線所需的資源。 本文章在您已經很熟悉虛擬網路,並具備相關使用經驗的前提之下,將能提供最多的幫助。 如果您不熟悉虛擬網路,建議先閱讀虛擬網路概觀

命名

所有 Azure 資源都有名稱。 名稱在範圍內必須是唯一的,而範圍可能會依每個資源類型而有所不同。 例如,虛擬網路的名稱在資源群組內必須是唯一的,但在訂用帳戶或 Azure 區域內則可以重複。 如果您需要在一段時間內管理數個網路資源,定義可在命名資源時一致地使用的命名慣例會很有幫助。 如需建議,請參閱命名慣例

地區

所有 Azure 資源都是在 Azure 區域和訂閱中建立的。 您只能在與資源位於相同區域和訂用帳戶的虛擬網路中建立該資源。 不過,您可以連線到位於不同訂閱和區域中的虛擬網路。 如需詳細資訊,請參閱連線能力。 決定要將資源部署在哪些區域時,請考慮資源的取用者實際位於何處:

  • 資源的取用者通常會希望將其資源的網路延遲降至最低。 若要判斷指定的位置與 Azure 區域之間的相對延遲,請參閱檢視相對延遲
  • 您是否有資料落地、主權、合規性或復原需求? 如果是,選擇能符合這些需求的區域很重要。 如需詳細資訊,請參閱 Azure 的地理區
  • 您是否需要在部署資源之相同 Azure 區域 (Region) 內的不同 Azure 可用性區域 (Zone) 之間進行復原? 您可以將虛擬機器 (VM) 等資源部署到相同虛擬網路內的不同可用性區域。 不過,並非所有 Azure 區域 (Region) 都支援可用性區域 (Zone)。 若要深入了解可用性區域和支援此功能的區域,請參閱可用性區域

訂用帳戶

您可以在每個訂用帳戶內,部署限制之內的多個虛擬網路。 例如,有些組織針對不同部門會有不同的訂閱。 如需訂用帳戶的詳細資訊和相關考量,請參閱訂用帳戶治理

分割

您可以為每個訂閱和每個區域建立多個虛擬網路。 您可以在每個虛擬網路內建立多個子網路。 下列考量可協助您判斷需要多少個虛擬網路和子網路:

虛擬網路

虛擬網路為 Azure 公用網路的虛擬、隔離部分。 每個虛擬網路都專屬於您的訂閱。 以下是決定要在訂用帳戶中建立一或多個虛擬網路時需考量的事項:

  • 是否存在任何組織安全性需求,要將流量隔離到不同的虛擬網路? 您可以選擇是否要連線虛擬網路。 如果您連線到虛擬網路,則可以實作網路虛擬設備 (例如防火牆) 來控制虛擬網路之間的流量。 如需詳細資訊,請參閱安全性連線能力
  • 是否存在任何組織需求,要將虛擬網路隔離到不同的訂用帳戶區域
  • 網路介面可讓 VM 與其他資源進行通訊。 每個網路介面都會獲指派一或多個私人 IP 位址。 您在虛擬網路中需要多少個網路介面和私人 IP 位址? 您在虛擬網路內可以擁有的網路介面和私人 IP 位址數目有限制
  • 是否要將虛擬網路連線到另一個虛擬網路或內部部署網路? 您可以選擇讓某些虛擬網路彼此互連或連線到內部部署網路,但其他虛擬網路則否。 如需詳細資訊,請參閱連線能力。 連線到另一個虛擬網路或內部部署網路的每個虛擬網路,都必須有唯一的位址空間。 每個虛擬網路都會有一或多個公用或私人位址範圍指派給其位址空間。 位址範圍是以無類別網域間路由選擇 (CIDR) 格式指定,例如 10.0.0.0/16。 深入了解虛擬網路的位址範圍
  • 針對不同虛擬網路中的資源,是否有任何組織管理需求? 如果是,您可以將資源分散至不同的虛擬網路,以簡化對組織中個人的權限指派,或對不同的虛擬網路指派不同的原則。
  • 當您將某些 Azure 服務資源部署到虛擬網路時,它們會建立自己的虛擬網路。 若要判斷 Azure 服務是否會建立自己的虛擬網路,請參閱針對每個可部署到虛擬網路的 Azure 服務的資訊。

子網路

虛擬網路可根據限制分割成一或多個子網路。 以下是決定要在訂閱中建立一個子網路或多個虛擬網路時所需考量的事項:

  • 每個子網路在虛擬網路的位址空間內都必須有唯一的位址範圍 (以 CIDR 格式指定)。 此位址不能與虛擬網路中的其他子網路重疊。
  • 如果您打算將一些 Azure 服務資源部署到虛擬網路中,它們可能需要 (或會建立) 自己的子網路,因此必須要有足夠的未配置空間以供它們進行。 若要判斷 Azure 服務是否會建立自己的子網路,請參閱針對每個可部署到虛擬網路的 Azure 服務的資訊。 例如,如果您使用 Azure VPN 閘道將虛擬網路連線到內部部署網路,該虛擬網路針對閘道必須有專用的子網路。 深入了解閘道子網路
  • 根據預設,Azure 會在虛擬網路中的所有子網路之間路由傳送網路流量。 您可以覆寫 Azure 的預設路由,以避免 Azure 在子網路之間進行路由傳送,或透過網路虛擬設備路由傳送子網路之間的流量。 如果您需要讓相同虛擬網路中資源之間的流量經過網路虛擬設備 (NVA),請將資源部署到不同的子網路。 深入了解安全性
  • 您可以將針對 Azure 資源 (例如 Azure 儲存體帳戶或 Azure SQL Database) 的存取,限制為具備虛擬網路服務端點的特定子網路。 此外,您可以拒絕來自網際網路的資源存取。 您可以建立多個子網路,並只針對某些子網路啟用某個服務端點。 深入了解服務端點,以及您可以針對它們啟用的 Azure 資源。
  • 您可以將零個或一個網路安全性群組與虛擬網路中的每個子網路建立關聯。 您可以將相同或不同的網路安全性群組與每個子網路建立關聯。 每個網路安全性群組都包含規則,能允許或拒絕進出來源與目的地的流量。 深入了解網路安全性群組

安全性

您可以使用網路安全性群組和網路虛擬設備,來篩選虛擬網路中進出資源的網路流量。 您可以控制 Azure 如何路由傳送來自子網路的流量。 您也可以限制組織中能使用虛擬網路中資源的人員。

流量篩選

  • 您可以使用網路安全性群組、能篩選網路流量的 NVA,或是上述兩者來篩選虛擬網路中資源之間的網路流量。 若要部署 NVA (例如防火牆) 來篩選網路流量,請參閱 Azure Marketplace。 使用 NVA 時,您也可以建立自訂路由,將來自子網路的流量路由傳送至 NVA。 深入了解流量路由
  • 網路安全性群組包含數個預設安全性規則,能允許或拒絕進出資源的流量。 網路安全性群組可以與網路介面、網路介面所在的子網路,或是上述兩者建立關聯。 為了簡化安全性規則的管理,建議您盡量將網路安全性群組關聯至個別的子網路,而不是子網路內的個別網路介面。
  • 如果需要對子網路內的不同 VM 套用不同的安全性規則,您可以將 VM 中的網路介面與一或多個應用程式安全性群組建立關聯。 安全性規則可以在其來源、目的地,或是上述兩者中指定應用程式安全性群組。 該規則接著只會套用至屬於應用程式安全性群組成員的網路介面。 深入了解網路安全性群組應用程式安全性群組
  • 當網路安全性群組在子網路層級建立關聯時,會套用至該子網路中的所有 NIC,而不只是來自子網路外的流量。 這表示位於子網路中的 VM 之間,流量會受到影響。
  • Azure 會在每個網路安全性群組內建立數個預設安全性規則。 其中一個預設規則允許所有流量流經虛擬網路中的所有資源。 若要覆寫此行為,請使用網路安全性群組、透過自訂路由將流量路由傳送至 NVA,或是上述兩者。 建議您熟悉 Azure 的所有預設安全性規則,並了解網路安全性群組規則套用到資源的方法。

您可以檢視範例設計,在 Azure 和網際網路之間使用 NVA 實作周邊網路 (也稱為 DMZ)。

流量路由

Azure 會針對來自子網路的輸出流量建立數個預設路由。 您可以透過建立路由表並將其關聯至子網路,來覆寫 Azure 的預設路由。 覆寫 Azure 預設路由的常見原因包括:

  • 您想讓子網路之間的流量流經 NVA。 深入了解如何設定路由表以強制流量流經 NVA
  • 您想要強制所有網際網路繫結的流量流經 NVA,或透過 Azure VPN 閘道流經內部部署。 強制網際網路流量流經內部部署以進行檢查及記錄,通常稱為「強制通道」。 深入了解如何設定強制通道

如果您需要實作自訂路由,建議先熟悉 Azure 中的路由

連線性

您可以使用虛擬網路對等互連將虛擬網路連線到其他虛擬網路,或是使用 Azure VPN 閘道將虛擬網路連線到您的內部部署網路。

對等互連

使用虛擬網路對等互連時,虛擬網路可位於相同或不同的 Azure 支援區域。 虛擬網路可以位於相同或不同的 Azure 訂用帳戶 (即使訂用帳戶屬於不同的 Microsoft Entra 租用戶)。 在建立對等互連之前,建議您先熟悉對等互連的所有需求和限制條件。 相同區域中對等互連的虛擬網路中資源間的頻寬會相同,就像這些資源都位於相同的虛擬網路一樣。

VPN 閘道

您可以使用 Azure VPN 閘道,利用站對站 VPN或搭配 Azure ExpressRoute 的專用連線,將虛擬網路連線到您的內部部署網路。

您可以結合對等互連和 VPN 閘道來建立中樞和輪輻網路,其中輪輻虛擬網路會連線到中樞虛擬網路,而中樞則會連線到內部部署網路。

名稱解析

單一虛擬網路中的資源無法使用 Azure 的內建 DNS 來解析對等互連虛擬網路中的資源名稱。 若要解析對等互連虛擬網路中的名稱,請部署您自己的 DNS 伺服器,或使用 Azure DNS 私人網域。 若要解析虛擬網路和內部部署網路中資源間的名稱,也需要您部署自己的 DNS 伺服器。

權限

Azure 利用 Azure 角色型存取控制 (Azure RBAC) 控制資源。 系統會將權限指派到下列階層的範圍:管理群組、訂用帳戶、資源群組,以及個別資源。 若要深入了解階層,請參閱組織您的資源。 若要使用 Azure 虛擬網路和其所有相關功能,例如對等互連、網路安全性群組、服務端點和路由表,您可以將組織的成員指派為內建的擁有者參與者網路參與者角色,再將該角色指派到適當的範圍。 如果您想要針對一組虛擬網路功能指派特定權限,請建立自訂角色,並針對該角色指派虛擬網路子網路和服務端點網路介面對等互連網路和應用程式安全性群組路由表所需的特定權限。

原則

Azure 原則可讓您建立、指派和管理原則定義。 原則定義會對您的資源強制執行不同的規則,讓資源能持續符合組織標準和服務等級協定的規範。 Azure 原則會針對資源執行評估,掃描出不符合您所擁有原則定義規範的資源。 例如,您可以定義並套用一個原則,以允許只在特定資源群組或區域中建立虛擬網路。 另一個原則可能會要求每個子網路都要有相關聯的網路安全性群組。 接著,在建立和更新資源時,系統就會評估這些原則。

原則會套用到下列階層:管理群組、訂用帳戶和資源群組。 深入了解 Azure 原則,或是部署某些虛擬網路的 Azure 原則定義

下一步

深入了解虛擬網路子網路與服務端點網路介面對等互連網路和應用程式安全性群組路由表的所有工作、設定和選項。