什麼是 Azure 虛擬網路？

Azure 虛擬網路是一項服務，可為 Azure 中的私人網路提供基本建置組塊。服務實例 (虛擬網路) 可讓許多類型的 Azure 資源安全地彼此通訊、網際網路和內部部署網路。這些 Azure 資源包括虛擬機器 (VM) 。

虛擬網路類似於您在自己的資料中心操作的傳統網路。但它帶來 Azure 基礎結構的額外優點，例如規模、可用性和隔離。

為何要使用 Azure 虛擬網路？

您可以使用虛擬網路完成的主要案例包括：

根據預設，虛擬網路中的所有資源都可以與網際網路通訊。您也可以使用公用 IP 位址、 NAT 閘道或公用負載平衡器來管理輸出連線。您可以藉由指派公用 IP 位址或公用負載平衡器，與資源通訊。

當您只使用內部標準負載平衡器時，除非定義輸出連線使用實例層級公用 IP 位址或公用負載平衡器的方式，否則無法使用輸出連線。

Azure 資源可透過下列其中一種方式安全地相互通訊：

虛擬網路：您可以在虛擬網路中部署 VM 和其他類型的 Azure 資源。資源的範例包括App Service環境、Azure Kubernetes Service (AKS) 和 Azure 虛擬機器擴展集。若要檢視您可以在虛擬網路中部署的完整 Azure 資源清單，請參閱將專用 Azure 服務部署至虛擬網路。
虛擬網路服務端點：您可以透過直接連線將虛擬網路的私人位址空間和虛擬網路的身分識別延伸至 Azure 服務資源。資源的範例包括 Azure 儲存體帳戶和Azure SQL資料庫。服務端點可讓您將重要的 Azure 服務資源限用於虛擬網路，而加以保護。若要深入了解，請參閱虛擬網路服務端點。
虛擬網路對等互連：您可以使用虛擬對等互連將虛擬網路彼此連線。然後，任一虛擬網路中的資源可以彼此通訊。您連線的虛擬網路可以位於相同或不同的 Azure 區域中。若要深入了解，請參閱虛擬網路對等互連。

您可以使用下列任一選項，將內部部署電腦和網路連線到虛擬網路：

點對站虛擬私人網路 (VPN)：建立於虛擬網路與您網路中的單一電腦之間。每部想要與虛擬網路建立連線的電腦，都必須設定其連線。如果您剛開始使用 Azure 或開發人員，則此連線類型很有用，因為它需要少數或不需要變更現有的網路。您的電腦與虛擬網路之間的通訊，會在網際網路間透過加密通道傳送。若要深入瞭解，請參閱關於點對站 VPN。
站對站 VPN：在內部部署 VPN 裝置與部署在虛擬網路中的 Azure VPN 閘道之間建立。此連線類型可讓您授權的任何內部部署資源存取虛擬網路。您的內部部署 VPN 裝置與 Azure VPN 閘道之間的通訊，會在網際網路間透過加密通道傳送。若要深入了解，請參閱站對站 VPN。
Azure ExpressRoute：透過 ExpressRoute 合作夥伴，建立於您的網路與 Azure 之間。此連線是私人的。流量不會經過網際網路。若要深入瞭解，請參閱什麼是 Azure ExpressRoute？。

您可以使用下列其中一個選項或兩個選項來篩選子網之間的網路流量：

網路安全性群組：網路安全性群組和應用程式安全性群組可以包含多個輸入和輸出安全性規則。這些規則可讓您依來源和目的地 IP 位址、埠和通訊協定篩選來自資源的流量。若要深入瞭解，請參閱網路安全性群組和應用程式安全性群組。
網路虛擬裝置：網路虛擬裝置是執行網路功能的 VM，例如防火牆或 WAN 優化。若要檢視可在虛擬網路中部署的可用網路虛擬裝置清單，請移至Azure Marketplace。

根據預設，Azure 會路由傳送子網、連線虛擬網路、內部部署網路和網際網路之間的流量。您可以實作下列任一選項或兩個選項，以覆寫 Azure 建立的預設路由：

路由表：您可以建立自訂路由表，以控制每個子網的流量路由傳送至何處。
邊界閘道通訊協定 (BGP) 路由：如果您使用 Azure VPN 閘道或 ExpressRoute 連線將虛擬網路連線到內部部署網路，您可以將內部部署 BGP 路由傳播至虛擬網路。

將 Azure 服務與 Azure 虛擬網路整合，可讓您從虛擬網路中的虛擬機器或計算資源對服務進行私人存取。您可以使用下列選項來進行這項整合：

您可以部署的 Azure 資源數目有限制。大部分的 Azure 網路限制均在最大值。不過，您可以增加特定的網路限制。如需詳細資訊，請參閱網路限制。

虛擬網路和子網跨越區域中的所有可用性區域。您不需要依可用性區域進行分割以容納區域性資源。例如，如果您設定了區域 VM，當您選取 VM 的可用性區域時，就不需要考慮虛擬網路。其他區域性資源也是如此。

使用 Azure 虛擬網路不需要付費。免費。標準費用適用于資源，例如 VM 和其他產品。若要深入瞭解，請參閱虛擬網路定價和 Azure定價計算機。