Azure 虛擬網路常見問題 (FAQ)

基本概念

什麼是虛擬網路？

虛擬網路是您自己的網路在雲端環境裡的身分，由 Azure 虛擬網路服務提供。 虛擬網路是專屬於您訂用帳戶的 Azure 雲端邏輯隔離。

您可以透過虛擬網路，在 Azure 中佈建和管理虛擬私人網路 (VPN)。 您可以選擇連結虛擬網路與 Azure 中的其他虛擬網路或內部部署 IT 基礎架構，以建立混合式或跨單位解決方案。

您建立的每個虛擬網路都有自己的 CIDR 區塊。 只要 CIDR 區塊沒有重疊，您就可以將虛擬網路連接到其他虛擬網路和內部部署網路。 您還可以控制虛擬網路的 DNS 伺服器設定值，以及將虛擬網路分割成子網路。

使用虛擬網路可以：

• 建立專用的純私人雲端虛擬網路。 有時候您的解決方案不需要跨單位部署組態。 在建立虛擬網路時，您的虛擬網路裡的服務及虛擬機器 (VM) 可在雲端中直接且安全地彼此通訊。 作為解決方案的一部分，您仍然可為以及需要網際網路通訊的 VM 和服務設定端點連線。

• 安全擴充資料中心。 有了虛擬網路，您可以建置傳統的站對站（S2S）VPN，安全地調整資料中心容量。 S2S VPN 使用 IPsec 在貴公司 VPN 閘道與 Azure 之間提供安全連接。

• 啟用混合式雲端案例。 您可以將雲端型應用程式安全地連接到任何類型的內部部署系統，例如大型主機和 Unix 系統。

如何開始使用？

請造訪Azure 虛擬網路文件以開始使用。 本內容提供所有虛擬網路功能的概觀和部署資訊。

沒有跨單位連線能力也可以使用虛擬網路嗎？

是。 您可以使用虛擬網路，而不用將它連線到您的單位。 例如，您可以在 Azure 虛擬網路中單獨執行 Microsoft Windows Server Active Directory 網域控制站和 SharePoint 伺服器陣列。

我可以在虛擬網路之間，或是在虛擬網路與內部部署資料中心之間執行 WAN 最佳化嗎？

是。 您可以透過 Azure Marketplace，部署來自多個廠商的 WAN 最佳化網路的網路虛擬應用裝置。

組態

應使用哪些工具來建立虛擬網路？

您可以使用下列工具來建立或設定虛擬網路：

• Azure 入口網站
• PowerShell
• Azure CLI
• 網路組態檔 (netcfg，僅用於傳統虛擬網路)

在我的虛擬網路中可以使用哪些位址範圍？

建議您使用下列位址範圍，這些範圍列舉於 RFC 1918 中。 IETF 已為私人、無法路由傳送的位址空間保留這些範圍。

• 10.0.0.0 至 10.255.255.255 （10/8 前置詞）
• 172.16.0.0 至 172.31.255.255 （172.16/12 前置詞）
• 192.168.0.0 至 192.168.255.255 （192.168/16 前置詞）

您亦可部署保留在 RFC 6598 的共用位址空間，此在 Azure 中視為私人 IP 位址空間：

• 100.64.0.0 至 100.127.255.255 （100.64/10 前置詞）

包含所有其他 IETF 辨識的私人、無法路由的位址空間等其他位址空間可能會運作，但可能會出現不想要的副作用。

此外，您無法新增下列位址範圍：

• 224.0.0.0/4 (多點傳送)
• 255.255.255.255/32 (廣播)
• 127.0.0.0/8 (回送)
• 169.254.0.0/16 (連結本機)
• 168.63.129.16/32 (內部 DNS)

我的虛擬網路中可以使用公開的 IP 位址嗎？

是。 如需有關公用 IP 位址範圍的詳細資訊，請參閱建立虛擬網路。 您無法直接從網際網路存取公用 IP 位址。

我的虛擬網路中的子網路數目是否有限制？

是。 如需詳細資訊，請參閱 網路限制。 子網路位址空間不能互相重疊。

在這些子網路內使用 IP 位址是否有任何限制？

是。 Azure 會為每個子網路保留前四個和最後一個 IP 位址，總共 5 個 IP 位址。

例如，192.168.1.0/24 的 IP 位址範圍具有下列保留位址：

• 192.168.1.0：網路位址。
• 192.168.1.1：Azure 保留給預設閘道。
• 192.168.1.2、192.168.1.3：由 Azure 保留，以將 Azure DNS IP 位址對應至虛擬網路空間。
• 192.168.1.255 ：網路廣播位址。

虛擬網路和子網路可以多大和多小？

支援的最小 IPv4 子網路是 /29，最大則是 /2 (使用 CIDR 子網路定義)。 IPv6 子網路的大小必須正好是 /64。

我可以使用虛擬網路將 VLAN 帶到 Azure 嗎？

否。 虛擬網路是 Layer 3 重疊。 Azure 不支援任何 Layer 2 語意。

我可以在虛擬網路和子網路中指定自訂路由原則嗎？

是。 您可以建立路由表，並且將它與子網路產生關聯。 如需 Azure 中路由的詳細資訊，請參閱自訂路由。

在子網路上套用 NSG 和 UDR 時，會發生什麼行為？

針對輸入流量，會處理網路安全性群組 (NSG) 輸入規則。 針對輸出，會處理 NSG 輸出規則，後面接著使用者定義的路由 (UDR) 規則。

在 VM 的 NIC 和子網路套用 NSG 時，會發生什麼行為？

在網路介面卡 （NIC） 和 VM 的子網路上套用 NSG 時：

• 子網路層級 NSG，後面接著 NIC 層級 NSG，會針對輸入流量進行處理。
• NIC 層級 NSG，後面接著子網路層級 NSG，會針對輸出流量進行處理。

虛擬網路支援多點傳送或廣播嗎？

否。 不支援多點傳送與廣播。

我可以在虛擬網路中使用哪些通訊協定？

您可以在虛擬網路中使用 TCP、UDP、ESP、AH 和 ICMP TCP/IP 通訊協定。

虛擬網路支援單點傳播。 在虛擬網路內會封鎖多點傳送、廣播、IP-in-IP 封裝式封包和 Generic Routing Encapsulation (GRE) 封包。 無法使用透過單點傳播 (來源連接埠 UDP/68 / 目的地連接埠 UDP/67) 的動態主機設定通訊協定 (DHCP)。 UDP 來源連接埠 65330 已保留給主機。

我可以在虛擬網路中部署 DHCP 伺服器嗎？

Azure 虛擬網路會將 DHCP 服務和 DNS 提供給 VM。 虛擬網路不支援用戶端/伺服器 DHCP 流量（來源連接埠 UDP/68、目的地連接埠 UDP/67）。

您無法部署自己的 DHCP 服務來接收和提供虛擬網路內端點的單播或廣播用戶端/伺服器 DHCP 流量。 部署意圖接收單播 DHCP 轉送的 DHCP 伺服器 VM（來源連接埠 UDP/67、目的地連接埠 UDP/67）流量也是 不支援的 情況。

我可以在虛擬網路中使用 ping 來測試預設閘道嗎？

否。 Azure 提供的預設閘道不會回應 Ping。 但您可以在虛擬網路中使用 Ping 來檢查 VM 之間的連線能力並進行疑難排解。

我可以使用 tracert 來診斷連線嗎？

是。

我在建立網路之後可以新增子網路嗎？

是。 只要這兩個條件都存在，您就可以隨時在虛擬網路新增子網路：

• 子網路位址範圍不是另一個子網路的一部分。
• 虛擬網路的位址範圍中有可用空間。

我可以在建立子網路之後修改其大小嗎？

是。 如果其中沒有部署任何 VM 或服務，您可以新增、移除、展開或壓縮子網路。

我可以在建立虛擬網路後修改它嗎？

是。 您可以新增、移除和修改虛擬網路所使用的 CIDR 區塊。

如果我在虛擬網路中執行我的服務，我可以連接網際網路嗎？

是。 虛擬網路中部署的所有服務都可以輸出連線到網際網路。 如需 Azure 中輸出網際網路連線的詳細資訊，請參閱使用來源網路位址轉譯 (SNAT) 處理輸出連線。

如果您想要輸入連線到透過 Azure Resource Manager 所部署的資源，該資源必須已獲派公用 IP 位址。 如需詳細資訊，請參閱建立、變更或刪除 Azure 公用 IP 位址。

Azure 中部署的每個雲端服務皆已指派公開可定址的虛擬 IP (VIP)。 您必須定義平台即服務 (PaaS) 角色的輸入端點和虛擬機器的端點，啟用這些服務以接受來自網際網路的連接。

虛擬網路是否支援 IPv6？

是。 虛擬網路可以是僅限 IPv4 或雙堆疊 (IPv4 + IPv6)。 如需詳細資訊，請參閱什麼是 Azure 虛擬網路的 IPv6？。

虛擬網路可以跨地區嗎？

否。 虛擬網路只限於單一地區。 不過，虛擬網路可以跨越可用性區域。 若要深入了解可用性區域，請參閱什麼是 Azure 區域和可用性區域？。

您可以使用虛擬網路對等互連，與不同區域中的虛擬網路連線。 如需詳細資訊，請參閱虛擬網路對等互連。

可以將某個虛擬網路連線至 Azure 裡的另一個虛擬網路嗎？

是。 您可以使用下列其中一個方式，將一個虛擬網路連線到另一個虛擬網路：

• 虛擬網路對等互連。 如需詳細資訊，請參閱虛擬網路對等互連。
• Azure VPN 閘道。 如需詳細資訊，請參閱設定網路對網路 VPN 閘道連線。

名稱解析 (DNS)

我的虛擬網路 DNS 選項為何？

針對 Azure 虛擬網路中的資源使用名稱解析中的決策表，引導您完成可用的 DNS 選項。

我可以為虛擬網路指定 DNS 伺服器嗎？

是。 您可以在虛擬網路設定值裡指定 DNS 伺服器的 IP 位址。 此設定會套用為虛擬網路中所有 VM 的預設 DNS 伺服器。

我可以指定多少部 DNS 伺服器？

請參閱網路限制。

我可以在建立網路後修改 DNS 伺服器嗎？

是。 您隨時都可以變更虛擬網路的 DNS 伺服器清單。

如果您變更 DNS 伺服器清單，則必須在虛擬網路中所有受影響的 VM 上執行 DHCP 租用續約。 新的 DNS 設定值會在租用續約之後生效。 針對執行 Windows 的 VM，您可以直接在 VM 上輸入 ipconfig /renew 來進行租用續約。 對於其他作業系統類型，請參閱 DHCP 租用續約文件。

什麼是 Azure 提供的 DNS，以及它是否可以搭配虛擬網路運作？

Azure 提供的 DNS 是由 Microsoft 所提供的多租用戶 DNS 服務。 Azure 會註冊您在此服務中的所有 VM 和雲端服務角色執行個體。 此服務提供名稱解析：

• 按照同一個雲端服務中 VM 和角色執行個體的主機名稱。
• 按照同一個虛擬網路中 VM 和角色執行個體的完整網域名稱（FQDN）。

如需 DNS 的詳細資訊，請參閱Azure 虛擬網路中的資源名稱解析。

虛擬網路中的前 100 個雲端服務具有透過 Azure 所提供 DNS 進行跨租用戶名稱解析的限制。 如果您使用自己的 DNS 伺服器，則不適用這項限制。

我是否可以為每個 VM 或雲端服務來覆寫 DNS 設定值？

是。 您可以爲每個 VM 或雲端服務設定 DNS 伺服器，以便覆寫預設網路設定值。 不過，我們建議您盡可能使用全網路 DNS。

我可以加上自己的 DNS 尾碼嗎？

否。 您無法針對虛擬網路指定自訂的 DNS 尾碼。

連接虛擬機器

我可以將 VM 部署至虛擬網路嗎？

是。 所有連接至透過 Resource Manager 部署模型部署的 VM 網路介面卡 (NIC) 必須連接到虛擬網路。 透過傳統部署模型部署的 VM 可以選擇連接至虛擬網路。

我可以將哪些類型的 IP 位址指派至 VM？

• 私人：透過靜態或動態方法指派給每個 VM 內的每個 NIC。 會根據您在虛擬網路子網路設定值中所指定的範圍來指派私人 IP 位址。

  即使沒有連線至虛擬網路，透過傳統部署模型所部署的資源也會獲派私人 IP 位址。 配置方法的行為會隨著資源是以 Resource Manager 或傳統部署模型所部署的而有所不同：

  • Resource Manager：以動態或靜態方法指派的私人 IP 位址會持續指派給虛擬機器 (Resource Manager)，直到資源刪除為止。 差異在於，使用靜態方法時是由您選取要指派的位址，使用動態方法時則是由 Azure 選擇。
  • 傳統：如果虛擬機器 (傳統)在處於已停止 (已解除配置) 狀態之後又重新啟動，以動態方法所指派的私人 IP 位址可能會變更。 如果您需要確保透過傳統部署模型所部署之資源的私人 IP 位址永遠不會變更，請使用靜態方法來指派私人 IP 位址。

• 公用︰選擇性地指派至與透過 Resource Manager 部署模型部署的 VM 所連接的 NIC。 您可使用靜態或動態配置方法來指派位址。

  所有透過傳統部署模型部署的 VM 與 Azure 雲端服務角色執行個體，皆存在於雲端服務內。 雲端服務會獲得指派的動態公用 VIP 位址。 您可以選擇性地指派公用靜態 IP 位 (稱為保留的 IP 位址) 為 VIP。

  您可以將公用 IP 位址指派至透過傳統部署模型部署的個別 VM 或雲端服務角色執行個體。 這些位址稱為執行個體層級公用 IP 位址，且可接受動態指派。

我可以為稍後建立的 VM 保留私人 IP 位址嗎？

否。 您不能保留私人 IP 位址。 如果有可用的私人 IP 位址，則會由 DHCP 伺服器指派至 VM 或角色執行個體。 該 VM 可能不是您想要指派私人 IP 位址的目的地。 不過，您可以將現有 VM 的私人 IP 位址變更為任何可用的私人 IP 位址。

虛擬網路中的私人 IP 位址會根據 VM 進行變更嗎？

要看情況而定。 如果您使用 Resource Manager 部署 VM，則不論您使用靜態或動態配置方法指派位址，都無法變更 IP 位址。 如果是透過傳統部署模型部署 VM，當 VM 在處於已停止 (已解除配置) 狀態之後又啟動，動態 IP 位址會變更。

當 VM 遭到刪除時，位址會從透過任一種部署模型所部署的 VM 中釋放出來。

我可以在 VM 作業系統中將 IP 位址手動指派至 NIC 嗎？

是，但是除非必要 (例如，在指派多個 IP 位址給虛擬機器時)，否則不建議這麼做。 如需詳細資訊，請參閱對虛擬機器指派多個 IP 位址。

如果指派給 Azure NIC (連結至 VM) 的 IP 位址變更，且 VM 作業系統中的 IP 位址不同，您就會失去與 VM 的連線。

若我在作業系統內停止雲端服務部署位置或關閉 VM，我的 IP 位址會受到影響嗎？

不執行任何動作。 IP 位址 (公用 VIP、公用與私人) 仍會指派至雲端服務部署位置或 VM。

我是否不需要重新部署，就能在虛擬網路的子網路之間移動 VM？

是。 您可以在將 VM 或角色執行個體移至不同的子網路內找到更多資訊。

我可以針對 VM 設定靜態 MAC 位址嗎？

否。 無法以靜態方式設定 MAC 位址。

建立 VM 之後 MAC 位址會保持相同的狀態嗎？

是。 若是建立透過 Resource Manager 和傳統部署模型部署的 VM，MAC 位址會維持不變，直至刪除為止。

先前，如果您停止 (解除配置) VM，就會釋放 MAC 位址。 但現在，當 VM 處於已解除配置狀態時，仍會保留 MAC 位址。 MAC 位址會維持指派給網路介面卡，直到您執行下列其中一項工作：

• 刪除網路介面卡。
• 變更指派給主要網路介面卡主要 IP 組態的私人 IP 位址。

我可以從虛擬網路中的 VM 連線到網際網路嗎？

是。 部署在虛擬網路中的所有 VM 與雲端服務角色執行個體皆可連線到網際網路。

連線至虛擬網路的 Azure 服務

我可以使用 Web Apps 搭配虛擬網路嗎？

是。 您可以使用 App Service 環境，在虛擬網路內部署 Azure App Service 的 Web Apps 功能。 接著，您可以：

• 使用虛擬網路整合功能，讓應用程式的後端連線至虛擬網路。
• 使用服務端點鎖定應用程式的輸入流量。

如需詳細資訊，請參閱下列文章：

• App Service 網路功能
• 使用 App Service 環境
• 將您的應用程式與 Azure 虛擬網路整合
• 設定 Azure App Service 存取限制

我可以在虛擬網路中部署包含 Web 和背景工作角色 (PaaS) 的雲端服務嗎？

是。 您可以 (選擇性地) 在虛擬網路內部署雲端服務角色執行個體。 若要這樣做，請在服務組態的網路組態區段中，指定虛擬網路名稱和角色/子網路對應。 您不需要更新任何二進位檔。

我可以將虛擬機器擴展集連接至虛擬網路嗎？

是。 您必須將虛擬機器擴展集連接至虛擬網路。

是否有可以從中將資源部署至虛擬網路的完整 Azure 服務清單？

是。 如需詳細資訊，請參閱將專用 Azure 服務部署至虛擬網路。

我該如何從虛擬網路限制對 Azure PaaS 資源的存取？

透過部分 Azure PaaS 服務 (例如 Azure 儲存體和 Azure SQL Database) 部署資源，可以將網路存取權限制為只能透過使用虛擬網路服務端點或 Azure Private Link 存取虛擬網路。 如需詳細資訊，請參閱虛擬網路服務端點及什麼是 Azure Private Link？。

我可以將我的服務移入和移出虛擬網路嗎？

否。 您不可以將服務移入和移出虛擬網路。 若要將資源移至另一個虛擬網路，您必須刪除並重新部署資源。

安全性

什麼是虛擬網路的安全性模型？

虛擬網路之間及 Azure 基礎結構中託管的其他服務彼此都是隔離的。 虛擬網路是一個信任界限。

我可以將輸入或輸出流量限制為與虛擬網路連接的資源嗎？

是。 您可以將網路安全性群組套用至虛擬網路、連接至虛擬網路的 NIC 或同時在兩者以內的獨立子網路。

我可以在連線至虛擬網路的資源之間執行防火牆嗎？

是。 您可以透過 Azure Marketplace 部署來自多個廠商的防火牆網路虛擬應用裝置。

我可以怎樣取得關於保護虛擬網路的資訊？

是。 請參閱 Azure 網路安全性概觀。

虛擬網路是否會儲存客戶資料？

否。 虛擬網路不會儲存任何客戶資料。

我可以為整個訂用帳戶設定 FlowTimeoutInMinutes 屬性嗎？

否。 您必須在虛擬網路上設定 FlowTimeoutInMinutes 屬性。 下列程式碼可協助您自動為較大的訂用帳戶設定這個屬性：

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API、結構描述和工具

我可以用程式碼來管理虛擬網路嗎？

是。 您可以在 Azure Resource Manager 和傳統部署模型中使用適用於虛擬網路的 REST API。

是否有工具支援虛擬網路？

是。 深入了解如何使用：

• Azure 入口網站來透過 Azure Resource Manager 與 傳統部署模型部署虛擬網路。
• PowerShell 來透過 Resource Manager部署模型管理虛擬網路。
• Azure CLI 或 Azure 傳統 CLI 來部署及管理透過 Resource Manager 及 傳統部署模型所部署的虛擬網路。

虛擬網路對等互連

什麼是虛擬網路對等互連？

虛擬網路對等互連允許您連限制虛擬網路。 虛擬網路之間的對等互連連線可讓您私下透過 IPv4 位址在虛擬網路之間路由傳送流量。

對等互連虛擬網路中的虛擬機器可以彼此通訊，彷彿它們位於同一個網路內。 這些虛擬網路可位於相同或不同的區域 (也稱為全域虛擬網路對等互連)。

您也可以跨 Azure 訂用帳戶建立虛擬網路對等互連連線。

我是否可對不同區域中的虛擬網路建立對等互連連線？

是。 您可以使用全域虛擬網路對等互連，與不同區域中的虛擬網路建立對等互連。 全域虛擬網路對等互連適用於所有 Azure 公用區域、中國雲端區域，以及政府雲端區域。 您無法建立從 Azure 公用區域到國家雲端區域的全域對等互連。

全域虛擬網路對等互連與負載平衡器有哪些相關的條件約束？

如果兩個區域中的兩個虛擬網路透過全域虛擬網路對等互連進行對等互連，則您無法透過負載平衡器的前端IP連線到基本負載平衡器後方的資源。 標準負載平衡器沒有這種限制。

下列資源可以使用基本負載平衡器，這表示您無法透過全域虛擬網路對等互連使用負載平衡器前端 IP 來存取它們。 不過，您可以使用全域虛擬網路對等互連，直接透過其私人虛擬網路 IP 存取資源 (如果允許)。

• 基本負載平衡器後方的 VM
• 使用基本負載平衡器的虛擬機器擴展集
• Azure Cache for Redis
• Azure 應用程式閘道 v1
• Azure Service Fabric
• Azure API 管理 stv1
• Microsoft Entra 網域服務
• Azure Logic 應用程式
• Azure HDInsight
• Azure Batch
• App Service 環境 v1 和 v2

您可以透過 Azure ExpressRoute 或透過虛擬網路閘道的網路對網路連線來連線到這些資源。

如果我的虛擬網路屬於不同 Microsoft Entra 租用戶中的訂用帳戶，我是否可以啟用虛擬網路對等互連？

是。 如果您的訂用帳戶屬於不同的 Microsoft Entra 租用戶，則無法建立虛擬網路對等互連 (不論是本機還是全域)。 若要這樣做，您可以透過 Azure 入口網站、PowerShell 或 Azure CLI。

我的虛擬網路對等互連連線已處於已起始狀態。 為何無法連線？

如果您的對等互連連線處於已起始狀態，則表示您僅建立一個連結。 必須建立雙向連結，才能建立成功的連線。

例如，若要建立 VNetA 對 VNetB 的對等互連，則必須建立從 VNetA 到 VNetB 和從 VNetB 到 VNetA 的連結。 兩個連結都建立後，狀態將會變更為已連線。

我的虛擬網路對等互連連線已處於中斷連線狀態。 為什麼我無法建立對等互連連線？

如果虛擬網路對等互連連線處於已中斷連線的狀態，則表示其中一個所建立的連結已刪除。 若要重新建立對等互連連線，您必須刪除剩下的連結，再重新建立。

是否可以將我的虛擬網路與位於不同訂用租戶的虛擬網路進行對等互連？

是。 您可以跨訂用帳戶及跨區域對等互連虛擬網路。

我是否可將兩個具有相同或重疊位址範圍的虛擬網路對等互連？

否。 如果位址空間重疊，您就無法啟用虛擬網路對等互連。

我可以在某虛擬網路與兩個不同的虛擬網路之間建立對等互連，同時在這兩個對等互連上啟用 [使用遠端閘道] 選項嗎？

否。 您只能在其中一個虛擬網路的對等互連上啟用[使用遠端閘道]選項。

虛擬網路對等互連連結的成本是多少？

建立虛擬網路對等互連連線無需收費。 透過對等互連連線的資料傳輸才會收費。 如需詳細資訊，請參閱Azure 虛擬網路定價資訊。

虛擬網路對等互連流量是否已加密？

當 Azure 流量在資料中心之間移動 (非由 Microsoft 或代表 Microsoft 所控制的實體界限之外) 時，會在基礎網路硬體上使用 MACsec 資料連結層加密。 此加密適用於虛擬網路對等互連流量。

為何我的對等互連連線處於「中斷連線」狀態？

一個虛擬網路對等互連連結遭到刪除時，虛擬網路對等互連連線即會進入「中斷連線」狀態。 您必須將兩個連結都刪除，以重新建立成功的對等互連連線。

如果我建立 VNetA 到 VNetB 的對等互連，然後又建立 VNetB 到 VNetC 的對等互連，這是否表示 VNetA 與 VNetC 之間會有對等互連？

否。 目前不支援轉移的對等互連。 您必須手動將 VNetA 對等互連至 VNetC。

對等互連連線是否有任何頻寬限制？

否。 虛擬網路對等互連 (不論本機或全域) 並未施加任何頻寬限制。 頻寬只受限於 VM 或計算資源。

如何針對虛擬網路對等互連的問題進行疑難解答？

請嘗試使用疑難排解指南。

虛擬網路 TAP

哪些 Azure 區域可用於虛擬網路 TAP？

目前在所有 Azure 區域中可使用虛擬網路終端存取點 (TAP) 預覽版。 受監視的網路介面卡、虛擬網路 TAP 資源以及收集器或分析解決方案，都必須部署在相同的區域。

虛擬網路 TAP 是否支援鏡像封包的任何篩選功能？

虛擬網路 TAP 預覽版不支援篩選功能。 將 TAP 設定新增到網路介面卡時，網路介面卡上所有輸入和輸出流量的深層複本將會串流處理到 TAP 目的地。

是否可以將多個 TAP 設定新增到受監視的網路介面卡？

受監視的網路介面卡只能有一個 TAP 設定。 請查看個別的合作夥伴解決方案，以了解如何將 TAP 流量的多個複本串流處理到您所選擇的分析工具。

相同的虛擬網路 TAP 資源，是否可以彙總來自多個虛擬網路中受監視的網路介面卡的流量？

是。 相同的虛擬網路 TAP 資源可用來在相同訂用帳戶或不同訂用帳戶中，彙總對等互連虛擬網路中之受監視的網路介面卡的鏡像流量。

虛擬網路 TAP 資源和目的地負載平衡器或目的地網路介面卡，必須位於相同的訂用帳戶中。 所有訂用帳戶都必須位於相同的 Microsoft Entra 租用戶下。

如果我啟用網路介面卡上的虛擬網路 TAP 設定，是否有任何關於生產流量的效能考量？

虛擬網路 TAP 目前處於預覽狀態。 在預覽期間，沒有任何服務等級合約。 該功能不應該用於生產工作負載。

使用 TAP 設定來啟用虛擬機器網路介面卡時，會使用 Azure 主機配置給虛擬機器以傳送實際執行流量的相同資源來執行鏡像功能並傳送鏡像封包。 選取正確的 Linux 或 Windows 虛擬機器大小，以確保有足夠的資源可供虛擬機器傳送生產流量和鏡像流量。

虛擬網路 TAP 是否支援 Linux 或 Windows 的加速網路？

您將能夠在連結到已啟用 Linux 或 Windows 加速網路之虛擬機器上的網路介面卡上，新增 TAP 設定。 但是，新增 TAP 設定會影響虛擬機器的效能與延遲，因為 Azure 加速網路目前不支援鏡像流量的卸載。

虛擬網路服務端點

對 Azure 服務設定服務端點的正確作業順序為何？

透過服務端點來保護 Azure 服務資源的步驟有兩個：

1. 針對 Azure 服務開啟服務端點。
2. 在 Azure 服務上設定虛擬網路存取控制清單 （ACL）。

第一個步驟是網路端作業，第二個步驟是服務資源端作業。 可以由相同或不同的系統管理員執行這兩個步驟，視授與系統管理員角色的 Azure 角色型存取控制 (RBAC) 權限而定。

我們建議您先針對您的虛擬網路開啟服務端點，再於 Azure 服務端設定虛擬網路 ACL。 若要設定虛擬網路服務端點，您必須執行上述順序中的步驟。

注意

您必須先完成上述兩項作業，才能將 Azure 服務存取限制為允許的虛擬網路和子網路。 只在網路端針對 Azure 服務開啟服務端點不能給您受限制的存取。 您也必須在 Azure 服務端設定虛擬網路 ACL。

某些服務（例如 Azure SQL 和 Azure Cosmos DB）允許透過 IgnoreMissingVnetServiceEndpoint 旗標對上述序列有例外狀況。 將旗標設定為 True 之後，您可以在 Azure 服務端設定虛擬網路 ACL，再開啟網路端的服務端點。 Azure 服務會提供這個旗標，以協助客戶在 Azure 服務上設定特定 IP 防火牆的情況。

開啟網路端的服務端點可能會導致連線中斷，因為來源 IP 會從公用 IPv4 位址變更為私人位址。 先在 Azure 服務端設定虛擬網路 ACL，再在網路端開啟服務端點有助於避免連線中斷。

注意

如果您在某些服務上啟用服務端點，例如「Microsoft.AzureActiveDirectory」，您可以在登入紀錄中看到 IPV6 位址連線。 Microsoft 會針對這類連線使用內部 IPV6 私人範圍。

是否所有的 Azure 服務都位在客戶提供的 Azure 虛擬網路中？ 虛擬網路服務端點如何與 Azure 服務搭配運作？

並非所有的 Azure 服務都位在客戶的虛擬網路中。 大部分的 Azure 資料服務 (例如 Azure 儲存體、Azure SQL 和 Azure Cosmos DB) 都是可透過公用 IP 位址來存取的多租用戶服務。 如需詳細資訊，請參閱將專用 Azure 服務部署至虛擬網路。

當您在網路端開啟虛擬網路服務端點並在 Azure 服務端設定適當的虛擬網路 ACL 時，從允許的虛擬網路和子網路存取 Azure 服務會受限。

虛擬網路服務端點如何提供安全性？

虛擬網路服務端點會限制 Azure 服務存取允許的虛擬網路和子網路。 如此一來，它們就會提供網路層級的安全性隔離 Azure 服務流量。

使用虛擬網路服務端點的所有流量都流經 Microsoft 骨幹，提供與公用網際網路的另一層隔離。 客戶可選擇完全移除公用網際網路對 Azure 服務資源的存取權，僅允許來自其虛擬網路的流量 (透過 IP 防火牆和虛擬網路 ACL 的組合)。 拿掉網際網路存取權有助於保護 Azure 服務資源免於未經授權的存取。

虛擬網路服務端點在保護著什麼 - 虛擬網路資源還是 Azure 服務資源？

虛擬網路服務端點是協助保護 Azure 服務資源。 虛擬網路資源是由網路安全性群組加以保護。

使用虛擬網路服務端點是否有任何成本？

否。 使用虛擬網路服務端點無任何額外成本。

如果虛擬網路和 Azure 服務資源屬於不同子訂用帳戶，我是否可以開啟虛擬網路服務端點並設定虛擬網路 ACL？

是，可以的。 虛擬網路和 Azure 服務資源可以位在相同或不同的訂用帳戶中。 唯一的需求是虛擬網路和 Azure 服務資源必須在相同的 Microsoft Entra 租用戶下。

如果虛擬網路和 Azure 服務資源屬於不同的 Microsoft Entra 租用戶，我是否可以開啟虛擬網路服務端點並設定虛擬網路 ACL？

是，使用適用於 Azure 儲存體和 Azure Key Vault 的服務端點時，這是可行方式。 對於其他服務，Microsoft Entra 租使用者不支援虛擬網路服務端點和虛擬網路 ACL。

透過 Azure 虛擬網路閘道 (VPN) 或 ExpressRoute 閘道連線之內部部署裝置的 IP 位址，是否可透過虛擬網路服務端點存取 Azure PaaS 服務？

根據預設，從內部部署網路無法觸達放到虛擬網路保護的 Azure 服務資源。 如果需要允許來自內部部署的流量，您也必須允許內部部署或 ExpressRoute 中的公用 (通常是 NAT) IP 位址。 您可以透過 Azure 服務資源的 IP 防火牆設定，來新增這些 IP 位址。

是否可以使用虛擬網路服務端點功能，保護單一虛擬網路或多個虛擬網路中多個子網路的 Azure 服務安全？

若要將 Azure 服務放到一個虛擬網路或多個虛擬網路內的多個子網路保護，您可以獨立啟用每個子網路上的網路端服務端點。 然後，在 Azure 服務端設定適當的虛擬網路 ACL，保護所有子網路的 Azure 服務資源。

如何篩選從虛擬網路流向 Azure 服務的輸出流量，但仍然使用服務端點？

如果您想檢查或篩選從虛擬網路送到 Azure 服務的流量，可以在虛擬網路內部署網路虛擬設備。 接著，您可以將服務端點套用到網路虛擬設備部署所在的子網路，並透過虛擬網路 ACL 將 Azure 服務資源只保護到該子網路。

如果您想要使用網路虛擬設備篩選，讓來自虛擬網路的 Azure 服務只能存取特定 Azure 資源，則此案例可能也有幫助。 如需詳細資訊，請參閱部署高可用性的 NVA。

當有人存取的 Azure 服務帳戶是從虛擬網路外部啟用虛擬網路 ACL 時，會發生什麼事？

服務會傳回 HTTP 403 或 HTTP 404 錯誤。

在不同區域中建立的虛擬網路是否可存取另一個區域中的 Azure 服務帳戶?

是。 對於大部分的 Azure 服務，在不同區域中建立的虛擬網路可透過虛擬網路服務端點存取位在另一個區域中的 Azure 服務。 例如，如果 Azure Cosmos DB 帳戶位於美國西部或美國東部地區，而虛擬網路位於多個區域，則虛擬網路可存取 Azure Cosmos DB。

Azure 儲存體和 Azure SQL 是例外狀況，而且本質上是區域性。 虛擬網路和 Azure 服務都必須位於相同的區域中。

Azure 服務是否可以同時使用虛網路 ACL 和 IP 防火牆？

是。 虛擬網路 ACL 和 IP 防火牆可以共存。 這兩個功能彼此互補以確保隔離和安全性。

如果刪除的虛擬網路或子網路有針對 Azure 服務開啟的服務端點，會發生什麼事？

刪除虛擬網路和刪除子網路是獨立的作業。 即使您有開啟 Azure 服務的服務端點，也支持它們。

如果您為 Azure 服務設定虛擬網路 ACL，當您刪除已開啟虛擬網路服務端點的虛擬網路或子網路時，會停用與這些 Azure 服務相關聯的 ACL 資訊。

如果我刪除已開啟虛擬網路服務端點的 Azure 服務帳戶，會發生什麼事？

刪除 Azure 服務帳戶是獨立的作業。 即使您在網路端開啟服務端點，並在 Azure 服務端設定虛擬網路 ACL，仍有支援它。

啟用虛擬網路服務端點的資源 (如子網路中的 VM) 的 IP 位址會發生什麼事？

當虛擬網路服務端點啟用時，您虛擬網路中的資源用來傳送流量至 Azure 服務的來源 IP 位址，會從使用公用 IPv4 位址切換為使用 Azure 虛擬網路的私人位址。 這個切換的動作會造成之前在 Azure 服務上設定使用公用 IPv4 位址的特定 IP 防火牆失敗。

服務端點路由是否一律享有優先權？

服務端點會新增優先於邊界閘道協定 (BGP) 路由的系統路由，並為服務端點流量提供最佳路由傳送。 服務端點一律會直接採用從虛擬網路到 Microsoft Azure 骨幹網路上服務的服務流量。

如需 Azure 如何選取路由的詳細資訊，請參閱 虛擬網路流量路由傳送。

服務端點是否可與 ICMP 搭配使用？

否。 若 ICMP 流量的來源為已啟用服務端點的子網路，就不會採用所需端點的服務通道路徑。 服務端點只會處理 TCP 流量。 如果您想要透過服務端點來測試端點的延遲或連線，ping 和 tracert 之類的工具將不會顯示該子網路資源採用的真正路徑。

子網路上的 NSG 如何搭配服務端點運作？

為了與 Azure 服務建立連線，NSG 需要允許輸出連線。 如果您的 NSG 對所有網際網路輸出流量都是開放的，服務端點流量應該就能運作。 您也可以使用「服務」標籤，限制輸出流量只有流向服務 IP 地址的流量。

設定服務端點需要哪些權限？

如果您有該網路的寫入許可權，您可以在虛擬網路上獨立設定服務端點。

若要保護虛擬網路的 Azure 服務資源安全，您必須具備 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 的權限，以便新增子網路。 此權限預設會隨附在內建的服務管理員角色中，可藉由建立自訂角色加以修改。

如需內建角色及將特定權限指派給自訂角色的詳細資訊，請參閱 Azure 自訂角色。

我是否可以透過服務端點篩選虛擬網路流量至 Azure 服務？

您可以使用虛擬網路服務端點原則來篩選至 Azure 服務的虛擬網路流量，僅允許特定 Azure 服務資源經過服務端點。 服務端點原則可針對流向 Azure 服務的虛擬網路流量提供細部的存取控制。

如要深入瞭解，請參閱 Azure 儲存體的虛擬網路服務端點原則。

Microsoft Entra ID 是否支援虛擬網路服務端點？

Microsoft Entra ID 無法原生支援服務端點。 如需支援虛擬網路服務端點的 Azure 服務完整清單，請參閱虛擬網路服務端點。

在該清單中，於支援服務端點的服務下方所列的 Microsoft.AzureActiveDirectory 標籤可用來支援使用 Azure Data Lake Storage Gen1 的服務端點。 Data Lake Storage Gen1 的虛擬網路整合會在虛擬網路與 Microsoft Entra ID 之間使用虛擬網路服務端點安全性，以在存取權杖中產生額外的安全性宣告。 這些宣告接著會用於向 Data Lake Storage Gen1 帳戶驗證虛擬網路，並允許存取。

從我的虛擬網路能設定的服務端點數量是否有限制？

虛擬網路中的服務端點總數沒有限制。 對於 Azure 服務資源 (例如，Azure 儲存體帳戶)，服務可能會強制執行用來保護資源的子網路數目限制。 下表顯示一些範例限制：

Azure 服務	虛擬網路規則限制
Azure 儲存體	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure 事件中樞	128
Azure 服務匯流排	128
Azure Data Lake Storage Gen1	100

注意

限制會隨 Azure 服務而變更。 請參閱個別的服務文件以取得詳細資料。

移轉傳統網路資源至 Resource Manager

Azure Service Manager 為何，而「傳統」一詞指什麼？

Azure Service Manager 是 Azure 的舊部署模型，負責建立、管理和刪除資源。 網路服務中的傳統是指 Azure Service Manager 模型所管理的資源。 如需詳細資訊，請參閱部署模型比較。

什麼是 Azure Resource Manager？

Azure Resource Manager 是 Azure 中負責在 Azure 訂用帳戶中建立、管理及刪除資源的最新部署和管理模型。 如需詳細資訊，請參閱什麼是 Azure Resource Manager？。

在資源認可至 Resource Manager 後，是否可以還原移轉？

只要資源仍處於準備狀態，您可以取消移轉。 資源透過認可作業成功移轉後，不支援復原至先前部署模型。

若認可作業失敗，是否可以還原移轉？

若認可作業失敗，則無法還原移轉。 包含認可作業的所有移轉作業開始後即無法變更。 建議您稍後再重試作業。 若作業持續失敗，請提交支援要求。

我是否可以驗證訂用帳戶或資源，以查看是否能夠移轉它們？

是。 準備移轉的第一個步驟是驗證是否可以移轉資源。 若驗證作業失敗，您會收到無法完成移轉的所有原因。

應用程式閘道資源是否在從傳統移轉至 Resource Manager 的虛擬網路時移轉？

Azure 應用程式閘道資源不會在虛擬網路移轉過程中自動移轉。 若虛擬網路中有一個，則移轉不會成功。 若要移轉應用程式閘道資源至 Resource Manager，您必須移除應用程式閘道執行個體，移轉完成後再重新建立。

VPN 閘道資源是否在從傳統移轉至 Resource Manager 的虛擬網路時移轉？

VPN 閘道資源會移轉是虛擬網路移轉流程的一部分。 移轉一次完成一個虛擬網路，不需要其他需求。 移轉步驟與沒有 VPN 閘道的虛擬網路移轉相同。

移轉傳統 VPN 閘道至 Resource Manager 是否會發生服務中斷？

移轉至 Resource Manager 時，VPN 連線不會發生服務中斷。 移轉過程中，現有工作負載會以完整內部連線能力繼續運作。

VPN 閘道移轉至 Resource Manager 後，是否需要重新設定內部部署裝置？

移轉完成後，與 VPN 閘道相關聯的公用 IP 位址仍維持不便。 您不需要重新設定內部部署路由器。

VPN 閘道從傳統移轉至 Resource Manager 支援的案例為何？

傳統至 Resource Manager 的移轉涵蓋最常見的 VPN 連線案例。 支援的案例包括：

• 點對站台連線能力。

• 站台對站台與連線到內部部署位置之 VPN 閘道的連線能力。

• 使用 VPN 閘道的兩個虛擬網路間的網路對網路連線能力。

• 多個虛擬網路連接到相同內部部署位置。

• 多站台連線能力。

• 強制通道已啟用虛擬網路。

VPN 閘道從傳統移轉至 Resource Manager 不支援的案例為何？

不支援的案例包括：

• 具有 ExpressRoute 閘道和 VPN 閘道的虛擬網路。

• 具有 ExpressRoute 閘道的虛擬網路連線至不同訂用帳戶中的電路。

• 傳輸 VM 擴充功能連線到內部部署伺服器的案例。

哪裡可以找到關於傳統移轉至 Resource Manager 的詳細資訊？

請參閱從傳統到 Azure Resource Manager 的移轉常見的相關問題。

如何回報問題？

您可以將有關移轉問題的問題張貼至 Microsoft Q&A 頁面。 建議在此論壇上張貼所有問題。 若有支援合約，您亦可提出支援要求。