什麼是 Azure 虛擬網路？

Azure 虛擬網路是可在 Azure 中為私人網路提供基本建置組塊的服務。 此服務的執行個體 (虛擬網路) 可讓多種類型的 Azure 資源與其他 Azure 資源、網際網路和內部部署網路安全地進行通訊。 這些 Azure 資源包括虛擬機器 (VM)。

虛擬網路類似於您在自己的資料中心操作的傳統網路。 但其帶來了 Azure 基礎結構的其他優點，例如規模、可用性和隔離。

為什麼使用 Azure 虛擬網路？

您可以使用虛擬網路完成的主要案例包括：

• Azure 資源與網際網路的通訊。

• Azure 資源之間的通訊。

• 與內部部署資源通訊。

• 網路流量的篩選。

• 網路流量的路由。

• 與 Azure 服務整合。

與網際網路通訊

在預設情況下，虛擬網路中的所有資源都能夠向外與網際網路進行通訊。 您也可以使用公用 IP 位址、NAT 閘道或公用負載平衡器來管理輸出連線。 您可以透過指派公用 IP 位址或公用負載平衡器來向內與某個資源進行通訊。

當您只使用內部 標準負載平衡器時無法建立輸出連線，除非您定義輸出連線要如何與執行個體層級的公用 IP 位址或公用負載平衡器搭配運作。

Azure 資源之間的通訊

Azure 資源會透過下列兩種方式之一，安全地彼此通訊：

• 虛擬網路：您可以在虛擬網路中部署 VM 和其他類型的 Azure 資源。 可部署的資源範例包括 App Service 環境、Azure Kubernetes Service (AKS) 和 Azure 虛擬機器擴展集。 若要檢視您可以在虛擬網路中部署的完整 Azure 資源清單，請參閱將專用 Azure 服務部署到虛擬網路。

注意

若要將虛擬機器從某個虛擬網路移至另一個虛擬網路，您必須在新的虛擬網路中刪除並重建虛擬機器。 虛擬機器的磁碟可加以保留，以便在新的虛擬機器中使用。

• 虛擬網路服務端點：您可以透過直接連線將虛擬網路的私人位址空間和虛擬網路的身分識別延伸至 Azure 服務資源。 資源的範例包括 Azure 儲存體帳戶和 Azure SQL Database。 服務端點讓您能夠保護只屬於虛擬網路的重要 Azure 服務資源。 若要深入了解，請參閱虛擬網路服務端點。

• 虛擬網路對等互連：您可以使用虛擬對等互連將虛擬網路彼此連線。 然後，兩個虛擬網路中的資源便可以彼此通訊。 您所連線的虛擬網路可位於相同或不同的 Azure 區域。 若要深入了解，請參閱虛擬網路對等互連。

與內部部署資源通訊

您可以使用下列任何選項，將內部部署電腦和網路連線到虛擬網路：

• 點對站虛擬私人網路 (VPN)：建立於虛擬網路與您網路中的單一電腦之間。 每部想要與虛擬網路建立連線的電腦，都必須設定連線。 如果您剛開始使用 Azure，或者您是開發人員，這種連線類型會很實用，因為這幾乎不需要變更現有網路。 您的電腦和虛擬網路間的通訊，會透過網際網路上的加密通道來傳送。 若要深入瞭解，請參閱關於點對站 VPN。

• 站對站 VPN：建立於您的內部部署 VPN 裝置與虛擬網路中部署的 Azure VPN 閘道之間。 這種連線類型可讓您授權的任何內部部署資源存取虛擬網路。 您的內部部署 VPN 裝置與 Azure VPN 閘道之間的通訊，會透過網際網路上的加密通道來傳送。 若要深入了解，請參閱站對站 VPN。

• Azure ExpressRoute：透過 ExpressRoute 合作夥伴，建立於您的網路與 Azure 之間。 此連線是私人的。 流量不會經過網際網路。 若要深入瞭解，請參閱什麼是 Azure ExpressRoute？。

篩選網路流量

您可以使用下列任一選項 (或兩個選項都使用) 來篩選子網路之間的網路流量：

• 網路安全組：網路安全組和應用程式安全組可以包含多個輸入和輸出安全性規則。 這些規則可讓您根據來源和目的地 IP 位址、連接埠和通訊協定篩選往來資源的流量。 若要深入瞭解，請參閱網路安全性群組和應用程式安全性群組。

• 網路虛擬設備：網路虛擬設備是執行網路功能的 VM，例如防火牆或 WAN 最佳化。 若要檢視可在虛擬網路中部署的網路虛擬設備，請移至 Azure Marketplace。

路由網路流量

依預設，Azure 會在子網路、已連線的虛擬網路、內部部署網路與網際網路之間路由傳送流量。 您可以實作下列任一選項 (或兩個選項都實作) 來覆寫 Azure 所建立的預設路由：

• 路由表：您可以建立自訂路由表，控制流量路由傳送至每個子網路的位置。

• 邊界閘道協定 (BGP) 路由︰如果您使用 Azure VPN 閘道或 ExpressRoute 連線將虛擬網路連線至內部部署網路，您可以將內部部署 BGP 路由傳送至虛擬網路。

與 Azure 服務整合

將 Azure 服務與 Azure 虛擬網路進行整合，便能透過虛擬機器或虛擬網路中的計算資源對服務進行私人存取。 您可以針對這項整合使用下列選項：

• 將服務的專用執行個體部署到虛擬網路。 這樣一來，就能在虛擬網路和內部部署網路中私下存取這些服務。

• 使用 Azure Private Link，從虛擬網路和內部部署網路私下存取服務的特定執行個體。

• 使用公用端點存取服務，方法是透過服務端點，將虛擬網路擴充至服務。 服務端點可確保服務資源受到虛擬網路保護。

限制

您可以部署的 Azure 資源數量有限制。 大部分的 Azure 網路限制都是最大值。 不過，您可以增加某些網路限制。 如需詳細資訊，請參閱網路限制。

虛擬網路和可用性區域

虛擬網路和子網路橫跨區域中的所有可用性區域。 您不需要依可用性區域分割網路來容納區域性資源。 例如，如果您設定了區域性虛擬機器，在為該虛擬機器選取可用性區域時，就不需要考量虛擬網路。 區域性資源也是如此。

定價

使用 Azure 虛擬網路不收取任何費用。 這是免費。 適用於資源的標準費用，例如 VM 和其他產品。 若要深入瞭解，請參閱虛擬網路價格和 Azure 定價計算機。

下一步

• 了解 Azure 虛擬網路概念和最佳做法。

• 建立虛擬網路、部署一些 VM，以及在 VM 之間進行通訊，以開始使用虛擬網路。 若要瞭解如何操作，請參閱 使用 Azure 入口網站建立虛擬網路快速入門。

• 遵循有關設計和實作核心 Azure 網路基礎結構的訓練課程模組，包括虛擬網路：Azure 虛擬網路簡介。