Azure 網路服務概欟

  • 發行項

Azure 中的網路服務提供各種網路功能,可一起或分開使用。 選取下列任一項重要功能,以深入了解相關資訊︰

  • 連線 ivity 服務:連線 Azure 資源和內部部署資源,並使用 Azure 中這些網路服務的任何或組合 - 虛擬網絡 (VNet)、虛擬 WAN、ExpressRoute、VPN 閘道、NAT 閘道、Azure DNS、對等互連服務、Azure 虛擬網絡 管理員、路由伺服器和 Azure Bastion。
  • 應用程式保護服務:在 Azure 中使用下列任何網路服務或這些網路服務的組合來保護您的應用程式 - Load Balancer、Private Link、DDoS 保護、防火牆、網路安全性群組、Web 應用程式防火牆和虛擬網路端點。
  • 應用程式傳遞服務:在 Azure 中使用下列任何網路服務或這些網路服務的組合來傳遞應用程式 - 內容傳遞網路 (CDN)、Azure Front Door Service、流量管理員、應用程式閘道、Internet Analyzer 和 Load Balancer。
  • 網路監視:在 Azure 中使用以下網路服務的任何一個或組合,以監視網路資源:網路監看員、ExpressRoute 監視器、Azure 監視器或 VNet 終端存取點 (TAP)。

連線服務

本節說明的服務提供 Azure 資源之間的連線能力、從內部部署網路至 Azure 資源的連線能力,以及 Azure 中分支至分支的連線能力:虛擬網路 (VNet)、ExpressRoute、VPN 閘道、虛擬 WAN、虛擬網路 NAT 閘道、Azure DNS、對等互連服務、路由伺服器和 Azure Bastion。

虛擬網路

Azure 虛擬網路 (VNet) 是私人網路在 Azure 中的基本建置組塊。 VNet 的用途:

  • 在 Azure 資源之間通訊:您可以將虛擬機器和其他幾種 Azure 資源部署至虛擬網路,例如 Azure App Service 環境、Azure Kubernetes Service (AKS) 和 Azure 虛擬機器擴展集。 若要檢視可部署到虛擬網路中的 Azure 資源的完整清單,請參閱虛擬網路服務整合
  • 彼此通訊:您可以使用虛擬網路對等互連或 Azure Virtual Network Manager 將虛擬網路彼此連線,讓任一虛擬網路中的資源彼此通訊。 您連線的虛擬網路可位於相同或不同的 Azure 區域中。 如需詳細資訊,請參閱虛擬網路對等互連Azure Virtual Network Manager
  • 對網際網路進行通訊:根據預設,VNet 中的所有資源都能夠對網際網路進行輸出通訊。 您可以透過指派公用 IP 位址或公用負載平衡器來進行對資源的輸入通訊。 您也可以使用公用 IP 位址或公用負載平衡器來管理輸出連線。
  • 與內部部署網路的通訊:您可以使用 VPN 閘道ExpressRoute 將內部部署電腦和網路連線到虛擬網路。
  • 加密資源之間的流量:您可以使用 虛擬網路加密 來加密虛擬網路中資源之間的流量。

Azure Virtual Network Manager

Azure Virtual Network Manager 是管理服務,可讓您跨訂用帳戶全域分組、設定、部署及管理虛擬網路。 使用 Virtual Network Manager,您可以定義網路群組,以識別並邏輯分割虛擬網路。 然後,您可以決定想要的連線能力安全性設定,並同時套用至網路群組中所有選取的虛擬網路。

使用 Azure 虛擬網路管理員針對網格虛擬網路拓撲部署的資源圖表。

ExpressRoute

ExpressRoute 可讓您透過連線提供者所提供的私人連線,將內部部署網路延伸至 Microsoft 雲端。 此連線是私人的。 流量不會經過網際網路。 使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 Dynamics 365。

Azure ExpressRoute

VPN 閘道

VPN 閘道協助您建立從內部部署位置至虛擬機器的加密跨單位連線,或在 VNet 之間建立加密連線。 VPN 閘道連線有不同的組態可用。 其中一些主要功能包括:

  • 站對站 VPN 連線能力
  • 點對站 VPN 連線能力
  • VNet 對 VNet VPN 連線能力

下圖說明相同連至虛擬網路的多個站對站 VPN 連線。 若要檢視更多連線圖表,請參閱 VPN 閘道 - 設計

顯示多個站對站 Azure VPN 閘道 連線的圖表。

虛擬 WAN

Azure 虛擬 WAN 是一種網路服務,可將許多網路功能、安全性和路由功能結合在一起,以提供單一操作介面。 您可以使用虛擬網路連線來建立與 Azure VNet 的連線。 其中一些主要功能包括:

  • 分支連線能力 (透過 SD-WAN 或 VPN CPE 等虛擬 WAN 合作夥伴裝置的連線能力自動化)
  • 站對站 VPN 連線能力
  • 遠端使用者 VPN 連線能力 (點對站)
  • 私人連線能力 (ExpressRoute)
  • 雲端內連線能力 (虛擬網路的可轉移連線能力)
  • VPN ExpressRoute 互連能力
  • 路由、Azure 防火牆和私人連線的加密

虛擬 WAN 圖表。

Azure DNS

Azure DNS 採用 Microsoft Azure 基礎結構來提供 DNS 裝載和解析。 Azure DNS 包含三項服務:

  • Azure 公用 DNS 是適用於 DNS 網域的主機服務。 只要將您的網域裝載於 Azure,就可以像管理其他 Azure 服務一樣,使用相同的認證、API、工具和計費方式來管理 DNS 記錄。
  • Azure 私人 DNS 是適用於虛擬網路的 DNS 服務。 Azure 私人 DNS 可管理及解析虛擬網路的網域名稱,而無需設定自訂的 DNS 解決方案。
  • Azure DNS 私人解析器是一項服務,可讓您從內部部署環境查詢 Azure DNS 私人區域 (反之亦然),而且不需要部署以 VM 為基礎的 DNS 伺服器。

您可以使用 Azure DNS 來裝載和解析公用網域、管理虛擬網路中的 DNS 解析,以及啟用 Azure 與內部部署資源之間的名稱解析。

Azure Bastion

Azure Bastion 是一種在部署後可讓您使用瀏覽器和 Azure 入口網站,或透過本機電腦上已安裝的原生 SSH 或 RDP 用戶端連線到虛擬機器的服務。 Azure Bastion 服務是您可在虛擬網路內部署的完全平台受控 PaaS 服務。 其可讓您直接從 Azure 入口網站中,經由 TLS 安全順暢地透過 RDP/SSH 連線到虛擬機器。 透過 Azure Bastion 連線時,您的虛擬機器不需要公用 IP 位址、代理程式或特殊用戶端軟體。 Azure Bastion 有各種不同的 SKU/層可供使用。 您選取的階層會影響可用的功能。 如需詳細資訊,請參閱 關於 Bastion 組態設定

顯示 Azure Bastion 架構的圖表。

NAT 閘道

虛擬網路 NAT (網路位址轉譯) 可簡化虛擬網路的僅限輸出網際網路連線。 在子網路上設定時,所有輸出連線都會使用您指定的靜態公用 IP 位址。 在沒有負載平衡器或直接連結至虛擬機器的公用 IP 位址的情況下,輸出連線是可行的。 如需詳細資訊,請參閱 什麼是 Azure NAT 閘道

虛擬網路 NAT 閘道

路由伺服器

Azure 路由伺服器可以簡化網路虛擬設備 (NVA) 和虛擬網路之間的動態路由。 其可讓您直接透過邊界閘道協定 (BGP) 路由通訊協定,在任何支援 BGP 路由通訊協定的 NVA 與 Azure 虛擬網路 (VNet) 中的 Azure 軟體定義網路 (SDN) 之間交換路由資訊,而不需要手動設定或維護路由表。

對等互連服務

Azure 對等互連服務讓客戶更有能力連線至 Microsoft 雲端服務,例如 Microsoft 365、Dynamics 365、軟體即服務 (SaaS) 服務、Azure,或可透過公用網際網路存取的任何 Microsoft 服務。

應用程式保護服務

本節描述可協助保護您網路資源之 Azure 中的網路服務 - 使用 Azure 中這些網路服務的任何一項或組合來保護應用程式 - DDoS 保護、Private Link、防火牆、Web 應用程式防火牆、網路安全性群組,以及虛擬網路服務端點。

DDoS 保護

Azure DDoS 保護會針對最複雜的 DDoS 威脅提供對策。 此服務為應用程式與部署在虛擬網路中的資源提供增強型 DDoS 風險降低功能。 此外,使用 Azure DDoS 保護的客戶可以存取 DDoS Rapid Response 支援,以在主動攻擊期間與 DDoS 專家連絡。

Azure DDoS 保護包含兩層:

  • DDoS 網路保護 (與應用程式設計最佳做法結合) 可提供增強的 DDoS 風險降低功能,以防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。
  • DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。

受 DDoS 保護的 PaaS Web 應用程式的參考架構圖表。

Azure Private Link 可讓您存取各項 Azure PaaS 服務 (例如 Azure 儲存體與 SQL Database),以及透過虛擬網路中私人端點裝載的 Azure 客戶擁有/合作夥伴服務。 虛擬網路與服務之間的流量會通過 Microsoft 骨幹網路。 您的服務不再需要向公用網際網路公開。 您可以在虛擬網路中建立自己的私人連結服務並交付給您的客戶。

私人端點概觀

Azure 防火牆

Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 您可以橫跨訂閱與虛擬網路集中建立、實施及記錄應用程式與網路連線原則。 Azure 防火牆會針對虛擬網路資源使用靜態公用 IP 位址,允許外部防火牆識別來自您虛擬網路的流量。

防火牆概觀

Web 應用程式防火牆

Azure Web 應用程式防火牆 (WAF) 可保護您的 Web 應用程式,避免常見的 Web 惡意探索與弱點,例如 SQL 插入與跨網站指令碼。 Azure WAF 透過受控規則提供來自 OWASP 前 10 個弱點的現成保護。 此外,客戶也可以設定自訂規則,這些是客戶自控規則,可根據來源 IP 範圍和要求屬性 (例如標頭、Cookie、表單資料欄位或查詢字串參數),提供額外的保護。

客戶可以選擇部署 Azure WAF with Application Gateway,對公用和私人位址空間中的實體提供區域保護。 客戶也可以選擇部署 Azure WAF with Front Door,在網路邊緣對公用端點提供保護。

Web 應用程式防火牆

網路安全性群組

透過網路安全性群組,便可篩選在 Azure 虛擬網路中進出 Azure 資源的網路流量。 如需詳細資訊,請參閱網路安全性群組

服務端點

虛擬網路 (VNet) 服務端點可透過直接連線,將您的虛擬網路私人位址空間和 VNet 的身分識別延伸至 Azure 服務。 端點讓您能夠保護只屬於您虛擬網路中重要的 Azure 服務資源。 從您的 VNet 到 Azure 服務的流量一定會保留在 Microsoft Azure 骨幹網路上。

虛擬網路服務端點

應用程式傳遞服務

本節說明 Azure 中有助於傳遞應用程式的網路服務 - 內容傳遞網路、Azure Front Door Service、流量管理員、Load Balancer 和應用程式閘道。

Azure Front Door

Azure Front Door 可讓您針對最佳效能和立即全域容錯移轉以獲得高可用性最佳化,定義、管理及監視網路流量的全域路由。 使用 Front Door,您可以將您的全域 (多區) 取用者與企業應用程式,轉換成強固高效能的個人化現代化應用程式、API,以及透過 Azure 傳遞給全球受眾的內容。

Azure Front Door 服務與 Web 應用程式防火牆 的圖表。

流量管理員

Azure 流量管理員。 是 DNS 型流量負載平衡器,可讓您跨全球的 Azure 區域將流量最佳分散至服務,同時提供高可用性和回應性。 流量管理員提供一系列流量路由方法來散發流量,例如優先順序、加權、效能、地理位置、多重值或子網。

下圖顯示使用流量管理員的端點優先順序型路由:

Azure 流量管理員「優先順序」流量路由方法

如需流量管理員的詳細資訊,請參閱什麼是 Azure 流量管理員?

Load Balancer

Azure Load Balancer 針對所有 UDP 和 TCP 通訊協定提供高效能、低延遲的第 4 層負載平衡。 此工具可管理輸入和輸出連線。 您可設定公用和內部負載平衡端點。 您可設定使用 TCP 和 HTTP 健全狀況探查選項定義規則,將輸入連線對應至後端集區目的地,以管理服務可用性。

Azure Load Balancer 有標準、地區和閘道 SKU 這三種。

下圖顯示對應網際網路的多層應用程式,同時使用了外部和內部的負載平衡器:

Azure Load Balancer 範例

應用程式閘道

Azure 應用程式閘道是網路流量負載平衡器,可讓您管理 Web 應用程式的流量。 這是服務形式的應用程式傳遞控制器 (ADC),為應用程式提供各種第 7 層負載平衡功能。

下圖顯示以 URL 路徑為基礎的路由搭配應用程式閘道。

應用程式閘道 範例

內容傳遞網路

Azure 內容傳遞網路 (CDN)。 為開發人員提供一套全域解決方案,讓他們可藉由在策略性分布於全球的實體節點上快取內容,將高頻寬內容迅速傳遞給使用者。

Azure CDN

網路監視服務

本節說明 Azure 中有助於監視網路資源的網路服務:Azure 網路監看員、Azure 監視器網路深入解析、Azure 監視器和 ExpressRoute 監視器。

Azure 網路監看員

Azure 網路監看員提供了相關工具,可對 Azure 虛擬網路中的資源進行監視、診斷、檢視計量,以及啟用或停用記錄。 如需詳細資訊,請參閱什麼是網路監看員?

Azure 監視器

「Azure 監視器」可藉由提供全方位的解決方案,來收集、分析及因應來自雲端和內部部署環境的遙測資料,將應用程式的可用性和效能最大化。 它可協助您了解您的應用程式表現如何,並主動識別影響它們的問題以及它們所依賴的資源。 如需詳細資訊,請參閱 Azure 監視器概觀

ExpressRoute 監視器

若要了解如何檢視 ExpressRoute 線路計量、資源記錄和警示,請參閱 ExpressRoute 監視、計量和警示

網路深入解析

Azure 網路監視器 (網路見解)。 針對所有已部署的網路資源,提供健康情況和計量的全面性檢視,無須任何設定。

下一步