Azure 虛擬網路 常見問題 （FAQ）

基本概念

什麼是虛擬網路？

虛擬網路是你在雲端中所呈現的一種網路，由 Azure 虛擬網路 服務所提供的。 虛擬網路是 Azure 雲服務中一種邏輯隔離，專門用於您的訂閱。

你可以在 Azure 中使用虛擬網路來配置和管理虛擬私人網路（VPN）。 你可以選擇性地將虛擬網路與 Azure 中的其他虛擬網路，或與本地的 IT 基礎設施連結，以建立混合或跨端解決方案。

您建立的每個虛擬網路都有自己的 CIDR 區塊。 只要 CIDR 區塊沒有重疊，您就可以將虛擬網路連接到其他虛擬網路和內部部署網路。 您還可以控制虛擬網路的 DNS 伺服器設定值，以及將虛擬網路分割成子網路。

使用虛擬網路可以：

• 建立專用的純私人雲端虛擬網路。 針對您的解決方案，有時候您不需要跨單位組態。 在建立虛擬網路時，您的虛擬網路裡的服務及虛擬機器 (VM) 可在雲端中直接且安全地彼此通訊。 您仍然可以設定 VM 的端點連線，以及需要網際網路通訊作為解決方案一部分的服務。

• 安全擴充資料中心。 有了虛擬網路，您可以建置傳統的站對站（S2S）VPN，安全地調整資料中心容量。 S2S VPN 使用 IPsec 來提供企業 VPN 閘道與 Azure 之間的安全連線。

• 啟用混合式雲端案例。 您可以將雲端型應用程式安全地連接到任何類型的內部部署系統，例如大型主機和 Unix 系統。

如何開始使用？

請造訪 Azure 虛擬網路 文件 以開始使用。 本內容提供所有虛擬網路功能的概觀和部署資訊。

沒有跨單位連線能力也可以使用虛擬網路嗎？

是。 您可以使用虛擬網路，而不用將它連線到您的單位。 舉例來說，你可以只在Azure虛擬網路中運行Microsoft Windows Server Active Directory網域控制器和SharePoint農場。

我可以在虛擬網路之間，或是在虛擬網路與內部部署資料中心之間執行 WAN 最佳化嗎？

是。 你可以從多家廠商透過 Azure Marketplace 部署 network 虛擬設備進行 WAN 優化。

組態

應使用哪些工具來建立虛擬網路？

您可以使用下列工具來建立或設定虛擬網路：

• Azure 入口網站
• PowerShell
• Azure CLI
• 網路組態檔 (netcfg，僅用於傳統虛擬網路)

在我的虛擬網路中可以使用哪些位址範圍？

建議您使用下列位址範圍，這些範圍列舉於 RFC 1918 中。 IETF 已為私人、無法路由傳送的位址空間保留這些範圍。

• 10.0.0.0 至 10.255.255.255 （10/8 前置詞）
• 172.16.0.0 至 172.31.255.255 （172.16/12 前置詞）
• 192.168.0.0 至 192.168.255.255 （192.168/16 前置詞）

您也可以部署RFC 6598中保留的共享位址空間，該空間在Azure中被視為私有IP位址空間：

• 100.64.0.0 至 100.127.255.255 （100.64/10 前置詞）

包含所有其他 IETF 辨識的私人、無法路由的位址空間等其他位址空間可能會運作，但可能會出現不想要的副作用。

此外，您無法新增下列位址範圍：

• 224.0.0.0/4 (多點傳送)
• 255.255.255.255/32 (廣播)
• 127.0.0.0/8 (回送)
• 169.254.0.0/16 (連結本機)
• 168.63.129.16/32 (內部 DNS)

我的虛擬網路中可以使用公開的 IP 位址嗎？

是。 如需有關公用 IP 位址範圍的詳細資訊，請參閱建立虛擬網路。 您無法直接從網際網路存取公用 IP 位址。

我的虛擬網路中的子網路數目是否有限制？

是。 如需詳細資訊，請參閱 網路限制。 子網路位址空間不能互相重疊。

在這些子網路內使用 IP 位址是否有任何限制？

是。 Azure 保留前四個位址和最後一個位址，每個子網內共有五個 IP 位址。

例如，192.168.1.0/24 的 IP 位址範圍具有下列保留位址：

• 192.168.1.0：網路位址。
• 192.168.1.1：Azure 為預設閘道位址保留。
• 192.168.1.2，192.168.1.3：由 Azure 保留用於將 Azure DNS IP 位址對應到虛擬網路空間。
• 192.168.1.255 ：網路廣播位址。

虛擬網路和子網路可以多大和多小？

支援的最小 IPv4 子網路是 /29，最大則是 /2 (使用 CIDR 子網路定義)。 IPv6 子網路的大小必須確切為 /64。

我可以用虛擬網路把我的 VLAN 帶到 Azure 嗎？

否。 虛擬網路是 Layer 3 重疊。 Azure 不支援任何第二層語意。

我可以在虛擬網路和子網路中指定自訂路由原則嗎？

是。 您可以建立路由表，並且將它與子網路產生關聯。 欲了解更多關於Azure路由的資訊，請參閱 Custom routes。

在子網路上套用 NSG 和 UDR 時，會發生什麼行為？

針對輸入流量，會處理網路安全性群組 (NSG) 輸入規則。 針對輸出，會處理 NSG 輸出規則，後面接著使用者定義的路由 (UDR) 規則。

在 VM 的 NIC 和子網路套用 NSG 時，會發生什麼行為？

在網路介面卡 （NIC） 和 VM 的子網路上套用 NSG 時：

• 子網路層級 NSG，後面接著 NIC 層級 NSG，會針對輸入流量進行處理。
• NIC 層級 NSG，後面接著子網路層級 NSG，會針對輸出流量進行處理。

虛擬網路支援多點傳送或廣播嗎？

否。 不支援多點傳送與廣播。

我可以在虛擬網路中使用哪些通訊協定？

您可以在虛擬網路中使用 TCP、UDP、ESP、AH 和 ICMP TCP/IP 通訊協定。

虛擬網路支援單點傳播。 在虛擬網路內會封鎖多點傳送、廣播、IP-in-IP 封裝式封包和 Generic Routing Encapsulation (GRE) 封包。 無法使用透過單點傳播 (來源連接埠 UDP/68 / 目的地連接埠 UDP/67) 的動態主機設定通訊協定 (DHCP)。 UDP 連接埠 4791 和 65330 會保留給主機。

我可以在虛擬網路中部署 DHCP 伺服器嗎？

Azure 虛擬網路為 Azure 虛擬機器 提供 DHCP 服務和 DNS。 不過，你也可以在 Azure VM 中部署 DHCP 伺服器，透過 DHCP 中繼代理服務本地用戶端。

之前 Azure 的 DHCP 伺服器被認為不可行，因為 Azure 對 UDP/67 埠的流量有速率限制。 不過，最近的平台更新已移除速率限制，啟用此功能。

附註

DHCP 伺服器的本地用戶端（來源埠 UDP/68，目的埠 UDP/67）在 Azure 中仍未被支援，因為這類流量被攔截和處理方式不同。 這會導致在 T1 DHCP 續約時，當用戶端直接嘗試連接 Azure 的 DHCP 伺服器時，會收到逾時訊息。 當 DHCP RENEW 嘗試透過 DHCP 轉送代理程式在 T2 進行 DHCP RENEW 時，DHCP RENEW 將會成功。 如需 T1 和 T2 DHCP RENEW 計時器的詳細資訊，請參閱 RFC 2131。

我可以在虛擬網路中使用 ping 來測試預設閘道嗎？

否。 Azure 提供的預設閘道器不會回應 ping 訊號。 但您可以在虛擬網路中使用 Ping 來檢查 VM 之間的連線能力並進行疑難排解。

我可以使用 tracert 來診斷連線嗎？

是。

我在建立網路之後可以新增子網路嗎？

是。 只要這兩個條件都存在，您就可以隨時在虛擬網路新增子網路：

• 子網路位址範圍不是另一個子網路的一部分。
• 虛擬網路的位址範圍中有可用空間。

我可以在建立子網路之後修改其大小嗎？

是。 如果其中沒有部署任何 VM 或服務，您可以新增、移除、展開或壓縮子網路。

我可以在建立虛擬網路後修改它嗎？

是。 您可以新增、移除和修改虛擬網路所使用的 CIDR 區塊。

如果我在虛擬網路中執行我的服務，我可以連接網際網路嗎？

是。 虛擬網路中部署的所有服務都可以輸出連線到網際網路。 欲了解更多關於Azure的外撥網際網路連線，請參閱使用來源網路位址轉換（SNAT）。

如果你想透過 Azure Resource Manager 連接到部署的資源，該資源必須有公有 IP 位址。 欲了解更多資訊，請參閱 Create， change， or delete a Azure public IP address。

Azure 中部署的每個雲端服務都被分配了一個可公開位址的虛擬 IP（VIP）。 您必須定義平台即服務 (PaaS) 角色的輸入端點和虛擬機器的端點，啟用這些服務以接受來自網際網路的連接。

虛擬網路是否支援 IPv6？

是。 虛擬網路可以是僅限 IPv4 或雙堆疊 (IPv4 + IPv6)。 詳情請參見 關於 Azure 虛擬網路 的 IPv6 介紹

虛擬網路可以跨地區嗎？

否。 虛擬網路只限於單一地區。 不過，虛擬網路可以跨越可用性區域。 欲了解更多可用性區域，請參閱 什麼是Azure區域與可用性區域？

您可以使用虛擬網路對等互連，與不同區域中的虛擬網路連線。 如需詳細資訊，請參閱虛擬網路對等互連。

我可以在 Azure 中將虛擬網路連接到另一個虛擬網路嗎？

是。 您可以使用下列其中一個方式，將一個虛擬網路連線到另一個虛擬網路：

• 虛擬網路對等互連。 如需詳細資訊，請參閱虛擬網路對等互連。
• 一個 Azure VPN 閘道。 如需詳細資訊，請參閱設定網路對網路 VPN 閘道連線。

名稱解析 (DNS)

我的虛擬網路 DNS 選項為何？

請使用Azure 虛擬網路中資源的名稱解析的決策表來引導你了解可用的 DNS 選項。

我可以為虛擬網路指定 DNS 伺服器嗎？

是。 您可以在虛擬網路設定值裡指定 DNS 伺服器的 IP 位址。 此設定會套用為虛擬網路中所有 VM 的預設 DNS 伺服器。

我可以指定多少部 DNS 伺服器？

請參閱網路限制。

我可以在建立網路後修改 DNS 伺服器嗎？

是。 您隨時都可以變更虛擬網路的 DNS 伺服器清單。

如果您變更 DNS 伺服器清單，則必須在虛擬網路中所有受影響的 VM 上執行 DHCP 租用續約。 新的 DNS 設定值會在租用續約之後生效。 對於正在運行Windows的虛擬機，你可以直接在虛擬機上輸入 ipconfig /renew 來續約。 對於其他作業系統類型，請參閱 DHCP 租用續約文件。

什麼是 Azure 提供的 DNS？它能支援虛擬網路嗎？

Azure 提供的 DNS 是 Microsoft 提供的多租戶 DNS 服務。 Azure 會將你所有的虛擬機和雲端服務角色實例註冊在這個服務中。 此服務提供名稱解析：

• 按照同一個雲端服務中 VM 和角色執行個體的主機名稱。
• 按照同一個虛擬網路中 VM 和角色執行個體的完整網域名稱 (FQDN)。

若要進一步了解 DNS，請參閱 Azure 虛擬網路中資源的Name 解析。

虛擬網路中的前 100 個雲端服務在使用 Azure 提供的 DNS 進行跨租戶名稱解析時受到限制。 如果您使用自己的 DNS 伺服器，則不適用這項限制。

我是否可以為每個 VM 或雲端服務來覆寫 DNS 設定值？

是。 您可以爲每個 VM 或雲端服務設定 DNS 伺服器，以便覆寫預設網路設定值。 不過，我們建議您盡可能使用全網路 DNS。

我可以加上自己的 DNS 尾碼嗎？

否。 您無法針對虛擬網路指定自訂的 DNS 尾碼。

連接虛擬機器

我可以將 VM 部署至虛擬網路嗎？

是。 所有透過 Resource Manager 部署模型部署的虛擬機所連接的網路介面卡（NIC）必須連接到虛擬網路。 透過傳統部署模型部署的 VM 可以選擇連接至虛擬網路。

我可以將哪些類型的 IP 位址指派至 VM？

• 私人：透過靜態或動態方法指派給每個 VM 內的每個 NIC。 會根據您在虛擬網路子網路設定值中所指定的範圍來指派私人 IP 位址。

  即使沒有連線至虛擬網路，透過傳統部署模型所部署的資源也會獲派私人 IP 位址。 分配方法的行為會因你是使用 Resource Manager 或經典部署模型部署資源而有所不同：

  • Resource Manager：透過動態或靜態方法分配的私有 IP 位址，會一直分配給虛擬機器（Resource Manager），直到該資源被刪除。 差別在於你用靜態方法時會選擇要指派的地址，而 Azure 則是用動態方法時選擇。
  • 傳統：如果虛擬機器 (傳統)在處於已停止 (已解除配置) 狀態之後又重新啟動，以動態方法所指派的私人 IP 位址可能會變更。 如果您需要確保透過傳統部署模型所部署之資源的私人 IP 位址永遠不會變更，請使用靜態方法來指派私人 IP 位址。

• 公用：可選擇性指派給透過 Resource Manager 部署模型部署之 VM 所附加的 NIC。 您可使用靜態或動態配置方法來指派位址。

  所有透過經典部署模型部署的虛擬機與 Azure 雲端服務 角色實例，皆存在於雲端服務中。 雲端服務會獲得指派的動態公用 VIP 位址。 您可以選擇性地指派公用靜態 IP 位 (稱為保留的 IP 位址) 為 VIP。

  您可以將公用 IP 位址指派至透過傳統部署模型部署的個別 VM 或雲端服務角色執行個體。 這些位址稱為執行個體層級公用 IP 位址，且可接受動態指派。

我可以為稍後建立的 VM 保留私人 IP 位址嗎？

否。 您不能保留私人 IP 位址。 如果有可用的私人 IP 位址，則會由 DHCP 伺服器指派至 VM 或角色執行個體。 該 VM 可能不是您想要指派私人 IP 位址的目的地。 不過，您可以將現有 VM 的私人 IP 位址變更為任何可用的私人 IP 位址。

虛擬網路中的私人 IP 位址會根據 VM 進行變更嗎？

視情況而定。 如果你是用 Resource Manager 部署虛擬機，不管你是用靜態還是動態分配方式分配，IP 位址都不會改變。 如果是透過傳統部署模型部署 VM，當 VM 在處於已停止 (已解除配置) 狀態之後又啟動，動態 IP 位址會變更。

當 VM 遭到刪除時，位址會從透過任一種部署模型所部署的 VM 中釋放出來。

我可以在 VM 作業系統中將 IP 位址手動指派至 NIC 嗎？

是，但是除非必要 (例如，在指派多個 IP 位址給虛擬機器時)，否則不建議這麼做。 如需詳細資訊，請參閱對虛擬機器指派多個 IP 位址。

如果綁定在虛擬機上的 Azure 網卡的 IP 位址改變，且虛擬機作業系統內的 IP 位址不同，你就會失去與虛擬機的連線。

若我在作業系統內停止雲端服務部署位置或關閉 VM，我的 IP 位址會受到影響嗎？

不執行任何動作。 IP 位址 (公用 VIP、公用與私人) 仍會指派至雲端服務部署位置或 VM。

我是否不需要重新部署，就能在虛擬網路的子網路之間移動 VM？

是。 您可以在將 VM 或角色執行個體移至不同的子網路內找到更多資訊。

我可以針對 VM 設定靜態 MAC 位址嗎？

否。 無法以靜態方式設定 MAC 位址。

建立 VM 之後 MAC 位址會保持相同的狀態嗎？

是。 你透過 Resource Manager 和經典部署模型部署的虛擬機，MAC 位址會保持不變，直到你刪除它為止。

先前，如果您停止 (解除配置) VM，就會釋放 MAC 位址。 但現在，當 VM 處於已解除配置狀態時，仍會保留 MAC 位址。 MAC 位址會維持指派給網路介面卡，直到您執行下列其中一項工作：

• 刪除網路介面卡。
• 變更指派給主要網路介面卡主要 IP 組態的私人 IP 位址。

連接虛擬網路的 Azure 服務

我可以在虛擬網路中使用 Web Apps 嗎？

是。 你可以透過使用 App Service 環境 在虛擬網路中部署 Azure App 服務 的 Web Apps 功能。 您可以：

• 使用虛擬網路整合功能，讓應用程式的後端連線至虛擬網路。
• 使用服務端點鎖定應用程式的輸入流量。

如需詳細資訊，請參閱下列文章：

• App Service 網路功能
• 使用 App Service 環境
• 將你的應用程式與Azure虛擬網路整合
• 設置Azure App 服務存取限制

我可以在虛擬網路中部署包含 Web 和背景工作角色 (PaaS) 的雲端服務嗎？

是。 您可以 (選擇性地) 在虛擬網路內部署雲端服務角色執行個體。 若要這樣做，請在服務組態的網路組態區段中，指定虛擬網路名稱和角色/子網路對應。 您不需要更新任何二進位檔。

我可以將虛擬機器擴展集連接至虛擬網路嗎？

是。 您必須將虛擬機器擴展集連接至虛擬網路。

有沒有一份完整的 Azure 服務清單，可以將資源部署到虛擬網路中？

是。 詳情請參見 部署專用Azure服務於虛擬網路。

我該如何限制從虛擬網路存取 Azure PaaS 資源？

透過某些 Azure PaaS 服務（如 Azure 儲存體 和 Azure SQL Database）部署的資源，可以透過虛擬網路服務端點或 Azure Private Link 限制網路對虛擬網路的存取。 詳情請參見 虛擬網路服務端點 及 什麼是 Azure Private Link？

我可以將我的服務移入和移出虛擬網路嗎？

否。 您不可以將服務移入和移出虛擬網路。 若要將資源移至另一個虛擬網路，您必須刪除並重新部署資源。

安全性

什麼是虛擬網路的安全性模型？

虛擬網路彼此隔離，也與 Azure 基礎設施中其他服務隔離。 虛擬網路是一個信任界限。

我可以將輸入或輸出流量限制為與虛擬網路連接的資源嗎？

是。 您可以將網路安全性群組套用至虛擬網路、連接至虛擬網路的 NIC 或同時在兩者以內的獨立子網路。

我可以在連線至虛擬網路的資源之間執行防火牆嗎？

是。 你可以透過Azure Marketplace部署多家廠商的 firewall 網路虛擬設備。

我可以怎樣取得關於保護虛擬網路的資訊？

是。 請參見 Azure網路安全概述。

虛擬網路是否會儲存客戶資料？

否。 虛擬網路不會儲存任何客戶資料。

我可以為整個訂用帳戶設定 FlowTimeoutInMinutes 屬性嗎？

否。 您必須在虛擬網路上設定 FlowTimeoutInMinutes 屬性。 下列程式碼可協助您自動為較大的訂用帳戶設定這個屬性：

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API、結構描述和工具

我可以用程式碼來管理虛擬網路嗎？

是。 你可以在 Azure Resource Manager 和 classic 部署模型中使用虛擬網路的 REST API。

是否有工具支援虛擬網路？

是。 深入了解如何使用：

• Azure門戶，透過 Azure Resource Manager 及 classic 部署模型部署虛擬網路。
• PowerShell 用於管理透過 Resource Manager 部署模型部署的虛擬網路。
• Azure CLI 或 Azure 傳統 CLI 用於部署和管理透過 Resource Manager 和 傳統 部署模型建立的虛擬網路。

虛擬網路對等互連

什麼是虛擬網路對等互連？

虛擬網路對等互連允許您連限制虛擬網路。 虛擬網路之間的對等互連連線可讓您私下透過 IPv4 位址在虛擬網路之間路由傳送流量。

對等互連虛擬網路中的虛擬機器可以彼此通訊，彷彿它們位於同一個網路內。 這些虛擬網路可位於相同或不同的區域 (也稱為全域虛擬網路對等互連)。

你也可以在 Azure 訂閱之間建立虛擬網路對等連接。

我是否可對不同區域中的虛擬網路建立對等互連連線？

是。 您可以使用全域虛擬網路對等互連，與不同區域中的虛擬網路建立對等互連。 全球虛擬網路對等服務在所有 Azure 公共區域、中國雲端區域及政府雲端區域皆可使用。 您無法從 Azure 公用區域全域對等互連到國家/地區雲端區域。

全域虛擬網路對等互連與負載平衡器有哪些相關的條件約束？

如果位於兩個區域中的兩個虛擬網路透過全域虛擬網路對等互連建立對等互連連線，您就無法透過負載平衡器的前端 IP 連線到基本負載平衡器後方的資源。 標準負載平衡器沒有這種限制。

下列資源可以使用基本負載平衡器，這表示您無法透過全域虛擬網路對等互連使用負載平衡器前端 IP 來存取它們。 不過，您可以使用全域虛擬網路對等互連，直接透過其私人虛擬網路 IP 存取資源 (如果允許)。

• 基本負載平衡器後方的 VM
• 使用基本負載平衡器的虛擬機器擴展集
• Azure Managed Redis
• Azure 應用程式閘道 v1
• Azure Service Fabric
• Azure API 管理 stv1
• Microsoft Entra 網域服務
• Azure Logic Apps
• Azure HDInsight
• Azure Batch
• App Service 環境 v1 與 v2

您可以透過 Azure ExpressRoute 或透過虛擬網路閘道的網路對網路連線來連線到這些資源。

如果我的虛擬網路屬於不同 Microsoft Entra 租戶的訂閱，我可以啟用虛擬網路對等連線嗎？

是。 如果您的訂用帳戶分屬不同的 Microsoft Entra 租用戶，仍可建立虛擬網路對等互連 (無論是本機或全域)。 你可以透過 Azure portal、PowerShell，或是 Azure CLI 來操作。

我的虛擬網路對等互連連線已處於已起始狀態。 為何無法連線？

如果您的對等互連連線處於已起始狀態，則表示您僅建立一個連結。 必須建立雙向連結，才能建立成功的連線。

例如，若要建立 VNetA 對 VNetB 的對等互連，則必須建立從 VNetA 到 VNetB 和從 VNetB 到 VNetA 的連結。 兩個連結都建立後，狀態將會變更為已連線。

我的虛擬網路對等互連連線已處於中斷連線狀態。 為什麼我無法建立對等互連連線？

如果虛擬網路對等互連連線處於已中斷連線的狀態，則表示其中一個所建立的連結已刪除。 若要重新建立對等互連連線，您必須刪除剩下的連結，再重新建立。

是否可以將我的虛擬網路與位於不同訂用租戶的虛擬網路進行對等互連？

是。 您可以跨訂用帳戶及跨區域對等互連虛擬網路。

我是否可將兩個具有相同或重疊位址範圍的虛擬網路對等互連？

否。 如果位址空間重疊，您就無法啟用虛擬網路對等互連。

我可以在某虛擬網路與兩個不同的虛擬網路之間建立對等互連，同時在這兩個對等互連上啟用 [使用遠端閘道] 選項嗎？

否。 您只能在其中一個虛擬網路的對等互連上啟用 [使用遠端閘道] 選項。

是否可以將具有對等互連連線的虛擬網路移至另一個虛擬網路？

否。 您無法將具有對等互連連線的虛擬網路移至另一個虛擬網路。 您必須先刪除對等互連連線，才能移動虛擬網路。

虛擬網路對等互連連結的成本是多少？

建立虛擬網路對等互連連線無需收費。 透過對等互連連線的資料傳輸才會收費。 欲了解更多資訊，請參閱Azure 虛擬網路價格頁面。

虛擬網路對等互連流量是否已加密？

當 Azure 流量在資料中心之間移動時 (位於 Microsoft 未控制，或非代表 Microsoft 控制的實體邊界之外)，底層網路硬體會使用 MACsec 資料連結層加密。 此加密適用於虛擬網路對等互連流量。

為何我的對等互連連線處於「中斷連線」狀態？

一個虛擬網路對等互連連結遭到刪除時，虛擬網路對等互連連線即會進入「中斷連線」狀態。 您必須將兩個連結都刪除，以重新建立成功的對等互連連線。

如果我建立 VNetA 到 VNetB 的對等互連，然後又建立 VNetB 到 VNetC 的對等互連，這是否表示 VNetA 與 VNetC 之間會有對等互連？

否。 目前不支援轉移的對等互連。 您必須手動將 VNetA 對等互連至 VNetC。

對等互連連線是否有任何頻寬限制？

否。 虛擬網路對等互連 (不論本機或全域) 並未施加任何頻寬限制。 頻寬只受限於 VM 或計算資源。

如何針對虛擬網路對等互連的問題進行疑難解答？

請嘗試使用疑難排解指南。

虛擬網路 TAP

哪些 Azure 區域可以使用虛擬網路 TAP？

虛擬網路終端接取點（TAP）的預覽版已在所有 Azure 區域提供。 受監視的網路介面卡、虛擬網路 TAP 資源以及收集器或分析解決方案，都必須部署在相同的區域。

虛擬網路 TAP 是否支援鏡像封包的任何篩選功能？

虛擬網路 TAP 預覽版不支援篩選功能。 將 TAP 設定新增到網路介面卡時，網路介面卡上所有輸入和輸出流量的深層複本將會串流處理到 TAP 目的地。

是否可以將多個 TAP 設定新增到受監視的網路介面卡？

受監視的網路介面卡只能有一個 TAP 設定。 請查看個別的合作夥伴解決方案，以了解如何將 TAP 流量的多個複本串流處理到您所選擇的分析工具。

相同的虛擬網路 TAP 資源，是否可以彙總來自多個虛擬網路中受監視的網路介面卡的流量？

是。 相同的虛擬網路 TAP 資源可用來在相同訂用帳戶或不同訂用帳戶中，彙總對等互連虛擬網路中之受監視的網路介面卡的鏡像流量。

虛擬網路 TAP 資源和目的地負載平衡器或目的地網路介面卡，必須位於相同的訂用帳戶中。 所有訂閱必須在同一個 Microsoft Entra 租戶下。

如果我啟用網路介面卡上的虛擬網路 TAP 設定，是否有任何關於生產流量的效能考量？

虛擬網路 TAP 目前處於預覽狀態。 在預覽期間，沒有任何服務等級合約。 該功能不應該用於生產工作負載。

當您為虛擬機器網路介面卡啟用含 TAP 組態的功能時，Azure 主機上分配給該虛擬機器以傳送正式環境流量的相同資源，也會用來執行鏡像功能並傳送鏡像封包。 選擇正確的 Linux 或 Windows 虛擬機大小，以確保虛擬機有足夠資源傳送生產流量與鏡像流量。

Linux 或 Windows 的加速網路支援虛擬網路 TAP 嗎？

你可以在連接虛擬機的網路卡上新增 TAP 配置，該網路卡啟用了加速網路支援 Linux 或 Windows。 但新增 TAP 設定會影響虛擬機的效能和延遲，因為 Azure 加速網路目前不支援流量鏡像的卸載功能。

虛擬網路服務端點

設定服務端點到Azure服務的正確操作順序是什麼？

透過服務端點保護 Azure 服務資源有兩個步驟：

1. 開啟 Azure 服務的服務端點。
2. 在 Azure 服務上設定虛擬網路存取控制清單（ACL）。

第一個步驟是網路端作業，第二個步驟是服務資源端作業。 同一管理員或不同管理員可以執行這些步驟，這取決於管理員角色所獲得的 Azure 角色基礎存取控制（RBAC）權限。

我們建議你在 Azure 服務端設定虛擬網路 ACL 前，先開啟虛擬網路的服務端點。 若要設定虛擬網路服務端點，您必須執行上述順序中的步驟。

附註

您必須完成上述兩個操作，才能限制 Azure 服務的存取權限至允許的虛擬網路與子網路。 僅在網路端為 Azure 服務開啟服務端點，並不會讓您取得受限制的存取權。 你也必須在 Azure 服務端設定虛擬網路 ACL。

某些服務（如 Azure SQL 和 Azure Cosmos DB）允許透過 IgnoreMissingVnetServiceEndpoint 標誌對前一個序列進行例外。 當你將旗標設為 True 後，可以在Azure服務端設定虛擬網路 ACL，然後再開啟網路端的服務端點。 Azure 服務提供此旗標，是為了在特定 IP 防火牆設定於 Azure 服務時協助客戶。

開啟網路端的服務端點可能會導致連線中斷，因為來源 IP 會從公用 IPv4 位址變更為私人位址。 在網路端啟用服務端點之前，先在 Azure 服務端設置虛擬網路 ACL，可以減少連線中斷的風險。

附註

如果你在某些服務上啟用服務端點，例如「Microsoft.AzureActiveDirectory」，你可以在 Sign-In 日誌中看到 IPv6 位址連線。 Microsoft 會用內部 IPv6 私有範圍來處理這種連線。

所有 Azure 服務都存在於客戶提供的 Azure 虛擬網路中嗎？ 虛擬網路服務端點如何與 Azure 服務合作？

並非所有 Azure 服務都存在於客戶的虛擬網路中。 大多數 Azure 資料服務（例如 Azure 儲存體、Azure SQL 和 Azure Cosmos DB）都是多租戶服務，可以透過公共 IP 位址存取。 欲了解更多資訊，請參閱 Deploy dedicated Azure services into virtual networks。

當你在網路端開啟虛擬網路服務端點，並在 Azure 服務端設定適當的虛擬網路 ACL 時，存取 Azure 服務的權限會限制在允許的虛擬網路和子網路內。

虛擬網路服務端點如何提供安全性？

虛擬網路服務端點限制 Azure 服務對允許的虛擬網路與子網的存取。 透過這種方式，他們提供網路層級的安全與 Azure 服務流量的隔離。

所有使用虛擬網路服務端點的流量都會經過 Microsoft 骨幹網，提供另一層與公共網際網路的隔離。 客戶也可以選擇完全移除對 Azure 服務資源的公共網際網路存取，並僅允許透過 IP 防火牆與虛擬網路 ACL 的組合，允許來自其虛擬網路的流量。 移除網際網路存取有助於保護 Azure 服務資源免於未經授權存取。

虛擬網路服務端點保護什麼——虛擬網路資源還是 Azure 服務資源？

虛擬網路服務端點有助於保護 Azure 服務資源。 虛擬網路資源是由網路安全性群組加以保護。

使用虛擬網路服務端點是否有任何成本？

否。 使用虛擬網路服務端點無任何額外成本。

如果虛擬網路和 Azure 服務資源屬於不同的訂閱，我可以開啟虛擬網路服務端點並設定虛擬網路存取清單（ACL）嗎？

是，可以的。 虛擬網路和 Azure 服務資源可以在同一個訂閱中，也可以是不同的訂閱。 唯一的要求是虛擬網路和 Azure 服務資源必須都屬於同一個 Microsoft Entra 租戶。

如果虛擬網路和 Azure 服務資源屬於不同的 Microsoft Entra 租戶，我可以開啟虛擬網路服務端點並設定虛擬網路 ACL 嗎？

是的，當你使用服務端點來管理 Azure 儲存體 和 Azure Key Vault 時，這是可行的。 對於其他服務，不支援跨 Microsoft Entra 租用戶使用虛擬網路服務端點和虛擬網路 ACL。

透過 Azure 虛擬網路閘道（VPN）或 ExpressRoute 閘道連接的本地裝置 IP 位址，能否透過虛擬網路服務端點存取 Azure PaaS 服務？

預設情況下，保護於虛擬網路的 Azure 服務資源無法從本地網路存取。 如果需要允許來自內部部署的流量，您也必須允許內部部署或 ExpressRoute 中的公用 (通常是 NAT) IP 位址。 你可以透過 Azure 服務資源的 IP 防火牆設定來新增這些 IP 位址。

或者，您可以為支援的服務實作私人端點。

我可以使用虛擬網路服務端點來為 Azure 服務加固安全，以保護虛擬網路內的多個子網，或共享於多個虛擬網路之間？

為了保護 Azure 服務到虛擬網路內的多個子網，或跨多個虛擬網路，請在每個子網路端獨立啟用服務端點。 接著，透過在 Azure 服務端設置適當的虛擬網路 ACL，將 Azure 服務資源安全保護到所有子網路。

我該如何過濾虛擬網路到Azure服務的外發流量，同時仍能使用服務端點？

如果你想檢查或過濾來自虛擬網路的 Azure 服務流量，可以在虛擬網路中部署網路虛擬設備。 接著你可以將服務端點套用到部署網路虛擬設備的子網，並透過虛擬網路 ACL 將 Azure 服務資源只保護到該子網路。

如果你想透過網路虛擬設備過濾，限制 Azure 服務只存取特定 Azure 資源，這個情境也很有幫助。 如需詳細資訊，請參閱部署高可用性的 NVA。

當有人從外部存取一個啟用了虛擬網路 ACL 的 Azure 服務帳號時，會發生什麼事？

服務會傳回 HTTP 403 或 HTTP 404 錯誤。

虛擬網路在不同區域建立的子網路是否允許存取其他區域的 Azure 服務帳號？

是。 對於大多數 Azure 服務，不同區域建立的虛擬網路可以透過虛擬網路服務端點存取其他區域的 Azure 服務。 例如，如果 Azure Cosmos DB 帳號位於美國西部或美國東部區域，且虛擬網路分布於多個區域，這些虛擬網路就能存取 Azure Cosmos DB。

Azure SQL 是例外，且具有區域性。 虛擬網路和 Azure 服務必須在同一區域。

Azure 服務可以同時擁有虛擬網路 ACL 和 IP 防火牆嗎？

是。 虛擬網路 ACL 和 IP 防火牆可以共存。 這兩個功能彼此互補以確保隔離和安全性。

如果你刪除一個啟用了 Azure 服務端點的虛擬網路或子網路，會發生什麼事？

刪除虛擬網路和刪除子網路是獨立的作業。 即使你開啟 Azure 服務的服務端點，這些終端仍然被支援。

如果你為 Azure 服務設定虛擬網路 ACL，當你刪除啟用虛擬網路服務端點的虛擬網路或子網路時，與這些 Azure 服務相關的 ACL 資訊會被停用。

如果我刪除一個啟用虛擬網路服務端點的 Azure 服務帳號會發生什麼事？

刪除 Azure 服務帳號是獨立操作。 即使你在網路端開啟服務端點，並在 Azure 服務端設定虛擬網路 ACL，它仍然被支援。

啟用虛擬網路服務端點的資源 (如子網路中的 VM) 的 IP 位址會發生什麼事？

當你開啟虛擬網路服務端點時，虛擬網路子網資源的來源 IP 位址會從使用公共 IPv4 位址，切換到 Azure 虛擬網路的私人 IP 位址來處理 Azure 服務的流量。 這種切換可能導致先前在 Azure 服務中設定為公開 IPv4 位址的特定 IP 防火牆失效。

服務端點路由是否一律享有優先權？

服務端點會新增優先於邊界閘道協定 (BGP) 路由的系統路由，並為服務端點流量提供最佳路由傳送。 服務端點總是直接將服務流量從你的虛擬網路傳送到 Microsoft Azure 骨幹網路上的服務。

欲了解更多關於Azure如何選擇路由的資訊，請參閱 Virtual network Traffic Routing。

服務端點是否可與 ICMP 搭配使用？

否。 若 ICMP 流量的來源為已啟用服務端點的子網路，就不會採用所需端點的服務通道路徑。 服務端點只會處理 TCP 流量。 如果您想要透過服務端點來測試端點的延遲或連線，ping 和 tracert 之類的工具將不會顯示該子網路資源採用的真正路徑。

子網路上的 NSG 如何搭配服務端點運作？

要連接 Azure 服務，NSG 必須允許外掛連線。 如果您的 NSG 對所有網際網路輸出流量都是開放的，服務端點流量應該就能運作。 您也可以使用「服務」標籤，限制輸出流量只有流向服務 IP 地址的流量。

設定服務端點需要哪些權限？

如果您有該網路的寫入許可權，您可以在虛擬網路上獨立設定服務端點。

要將 Azure 服務資源保護至虛擬網路，您必須具備 Microsoft/Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 權限，對於您新增的子網路。 此權限預設會隨附在內建的服務管理員角色中，可藉由建立自訂角色加以修改。

欲了解更多關於內建角色及自訂角色特定權限的資訊，請參閱 Azure自訂角色。

我可以透過服務端點過濾虛擬網路流量到 Azure 服務嗎？

你可以使用虛擬網路服務端點政策來過濾虛擬網路流量到 Azure 服務，只允許特定的 Azure 服務資源在服務端點上使用。 端點政策提供從虛擬網路流量到 Azure 服務的細緻存取控制。

欲了解更多，請參閱 Azure 儲存體 的 Virtual Network Service Endpoint 政策。

Microsoft Entra ID 支援虛擬網路服務端點嗎？

Microsoft Entra ID 原生不支援服務端點。 欲了解支援虛擬網路服務端點的完整 Azure 服務清單，請參見 Virtual network service endpoints。

在那份清單中，Microsoft.AzureActiveDirectory 標籤在支援服務端點的服務中列出，用於支援服務端點連接至 Azure Data Lake Storage Gen1。 Data Lake Storage Gen1 的虛擬網路整合會使用您虛擬網路與 Microsoft Entra ID 之間的虛擬網路服務端點安全性，在存取權杖中產生額外的安全性宣告。 這些宣告隨後會用來對 Data Lake Storage Gen1 帳戶驗證虛擬網路並允許存取。

從我的虛擬網路能設定的服務端點數量是否有限制？

虛擬網路中的服務端點總數沒有限制。 對於 Azure 服務資源（例如 Azure 儲存體 帳號），服務可能會限制你用來保護該資源的子網數量。 下表顯示一些範例限制：

Azure 服務	虛擬網路規則限制
Azure 儲存體	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure 事件中樞	128
Azure 服務匯流排	128

附註

限制可能會由 Azure 服務自行決定調整。 請參閱個別的服務文件以取得詳細資料。

經典網路資源遷移至 Resource Manager

什麼是Azure 服務管理員？「經典」這個詞又是什麼意思？

Azure 服務管理員 是舊有的部署Azure模式，負責建立、管理和刪除資源。 網路服務中的詞彙 classic 指的是由 Azure 服務管理員 模型管理的資源。 如需詳細資訊，請參閱部署模型比較。

什麼是 Azure Resource Manager？

Azure Resource Manager 是 Azure 最新的部署與管理模型，負責建立、管理及刪除 Azure 訂閱中的資源。 更多資訊請參見 什麼是Azure Resource Manager？

將資源認可至 Resource Manager 之後，我可以復原移轉嗎？

只要資源仍處於準備狀態，您可以取消移轉。 資源透過認可作業成功移轉後，不支援復原至先前部署模型。

若認可作業失敗，是否可以還原移轉？

若認可作業失敗，則無法還原移轉。 包含認可作業的所有移轉作業開始後即無法變更。 建議您稍後再重試作業。 若作業持續失敗，請提交支援要求。

我是否可以驗證訂用帳戶或資源，以查看是否能夠移轉它們？

是。 準備移轉的第一個步驟是驗證是否可以移轉資源。 若驗證作業失敗，您會收到無法完成移轉的所有原因。

Application Gateway 資源是否在從經典虛擬網路遷移到 Resource Manager 時被遷移？

Azure 應用程式閘道 資源並非在虛擬網路遷移過程中自動遷移。 若虛擬網路中有一個，則移轉不會成功。 若要將 Application Gateway 資源遷移到 Resource Manager，遷移完成後必須移除並重新建立 Application Gateway 實例。

VPN 閘道 資源是否隨著虛擬網路從經典遷移到 Resource Manager 而遷移？

Azure VPN 閘道 資源會作為虛擬網路遷移過程的一部分被遷移。 移轉一次完成一個虛擬網路，不需要其他需求。 移轉步驟與沒有 VPN 閘道的虛擬網路移轉相同。

將傳統 VPN 閘道器遷移到 Resource Manager 會不會有服務中斷的問題？

遷移到 Resource Manager 時，VPN 連線不會遇到服務中斷。 移轉過程中，現有工作負載會以完整內部連線能力繼續運作。

VPN 閘道器遷移到 Resource Manager 後，我需要重新設定本地裝置嗎？

移轉完成後，與 VPN 閘道相關聯的公用 IP 位址仍維持不便。 您不需要重新設定內部部署路由器。

從傳統部署模型移轉到 Resource Manager 的 VPN 閘道，支援哪些案例？

從經典版遷移到 Resource Manager 涵蓋了大多數常見的 VPN 連線情境。 支援的案例包括：

• 點對站台連線能力。

• 站台對站台與連線到內部部署位置之 VPN 閘道的連線能力。

• 使用 VPN 閘道的兩個虛擬網路間的網路對網路連線能力。

• 多個虛擬網路連接到相同內部部署位置。

• 多站台連線能力。

• 強制通道已啟用虛擬網路。

不支援將 VPN 閘道從經典版遷移到 Resource Manager 的情境有哪些？

不支援的案例包括：

• 具有 ExpressRoute 閘道和 VPN 閘道的虛擬網路。

• 具有 ExpressRoute 閘道的虛擬網路連線至不同訂用帳戶中的電路。

• 傳輸 VM 擴充功能連線到內部部署伺服器的案例。

我可以在哪裡找到更多關於從經典版遷移到 Resource Manager 的資訊？

請參見 關於經典到Azure Resource Manager遷移的常見問題。

我可以復原已刪除的公用IP位址嗎？

否。 一旦 Azure 公共 IP 位址被刪除，就無法恢復。 如需詳細資訊，請參閱檢視、修改公用 IP 位址的設定或刪除公用 IP 位址。

如何回報問題？

你可以把遷移問題的問題發到 Microsoft 問答區A頁。 建議在此論壇上張貼所有問題。 若有支援合約，您亦可提出支援要求。