探索 Azure 虛擬網路功能
您有想要保留的內部部署資料中心,但您想要透過 Azure 使用 Azure 中託管的虛擬機器 (VM) 來卸載尖峰流量。 您想要保留現有 IP 位址配置和網路設備,同時確保任何資料轉送的安全。
什麼是 Azure 虛擬網路?
Azure 虛擬網路可讓 Azure 資源 (例如虛擬機器、Web 應用程式和資料庫) 彼此通訊,或與網際網路上的其他使用者及內部部署用戶端電腦通訊。 您可以將 Azure 網路視為一組可連結其他 Azure 資源的資源。
Azure 虛擬網路提供重要的網路功能:
- 隔離和分割
- 網際網路通訊
- Azure 資源之間的通訊
- 與內部部署資源通訊
- 路由網路流量
- 篩選網路流量
- 連線虛擬網路
隔離和分割
Azure 讓您可以建立多個隔離的虛擬網路。 當您設定虛擬網路時,可以使用公用或私人 IP 位址範圍定義私人網際網路通訊協定 (IP) 位址空間。 然後,您可以將該 IP 位址空間分割成子網路,並將定義的位址空間部分配置到每個具名子網路。
對於名稱解析,您可以使用 Azure 內建的名稱解析服務,或將虛擬網路設定為使用內部或外部網域名稱系統 (DNS) 伺服器。
網際網路通訊
根據預設,Azure 中的 VM 可以向外連線到網際網路。 您可以定義公用 IP 位址或公用負載平衡器,以啟用來自網際網路的連入連線。 對於 VM 管理,您可以透過 Azure CLI、遠端桌面通訊協定 (RDP) 或安全殼層 (SSH) 來連線。
Azure 資源之間的通訊
建議您讓 Azure 資源安全地彼此通訊。 請使用下列兩種方式之一來執行此動作:
虛擬網路
虛擬網路不僅可以與 VM 連線,也可以與 App Service Environment、Azure Kubernetes Service 和 Azure 虛擬機器擴展集等其他 Azure 資源連線。
服務端點
您可以使用服務端點來連線至其他 Azure 資源類型,例如 Azure SQL 資料庫和儲存體帳戶。 此方法可讓您將多個 Azure 資源連結到虛擬網路,藉此改善安全性並提供資源之間的最佳路由。
與內部部署資源通訊
Azure 虛擬網路可讓您將內部部署環境和 Azure 訂用帳戶內的資源連結一起,實際上,就是建立可橫跨本機和雲端環境的網路。 有三種機制可讓您達到此連線能力:
點對站虛擬私人網路
此方法類似讓組織外部電腦回到公司網路中的虛擬私人網路 (VPN) 連線,只是此方法是以相反方向運作。 在此情況下,用戶端電腦會對 Azure 起始加密的 VPN 連線,然後將該電腦連線到 Azure 虛擬網路。
站對站虛擬私人網路:站對站 VPN 會將您的內部部署 VPN 裝置或閘道連結至虛擬網路中的 Azure VPN 閘道。 實際上,Azure 中的裝置可顯示為位在區域網路上。 連線會進行加密,並透過網際網路運作。
Azure ExpressRoute
對於需要更大頻寬和更高安全性層級的環境,Azure ExpressRoute 是最好的方法。 Azure ExpressRoute 提供專用的私人連線來連線到 Azure,因此不會透過網際網路傳輸。
路由網路流量
依預設,Azure 會在已連線虛擬網路、內部部署網路和網際網路上的子網路之間路由流量。 不過,您可以控制路由和覆寫這些設定,如下所示:
路由表
路由表讓您可以定義指示流量流向的規則。 您可以建立自訂路由表,以控制封包如何在子網路之間路由。
邊界閘道協定
邊界閘道通訊協定 (BGP) 會與 Azure VPN 閘道或 ExpressRoute 搭配使用,將內部部署 BGP 路由傳播至 Azure 虛擬網路。
篩選網路流量
Azure 虛擬網路可讓您使用下列方法來篩選子網路之間的流量:
網路安全性群組
網路安全群組 (NSG) 是 Azure 資源,可包含多個輸入和輸出安全性規則。 您可以根據來源和目的地 IP 位址、連接埠及通訊協定等因素來定義這些規則,藉此允許或封鎖流量。
網路虛擬設備
網路虛擬設備是特製化 VM,可比作強化的網路設備。 網路虛擬設備可執行特定的網路功能,例如執行防火牆或執行 WAN 最佳化。
連線虛擬網路
您可以使用虛擬網路對等互連將虛擬網路連結在一起。 對等互連可讓每個虛擬網路中的資源彼此通訊。 這些虛擬網路可位於不同區域,因此您可以透過 Azure 建立全域的互連網路。
Azure 虛擬網路設定
您可以從 Azure 入口網站、本機電腦上的 Azure PowerShell 或 Azure Cloud Shell 建立和設定 Azure 虛擬網路。
建立虛擬網路
建立 Azure 虛擬網路時,您會設定許多基本設定。 您也可以設定進階設定,例如多個子網路、分散式阻斷服務 (DDoS) 保護及服務端點。
您會設定基本虛擬網路的下列設定:
網路名稱
網路名稱在您訂用帳戶中必須是唯一的,但不需要是全域唯一。 請使用具有描述性的名稱,除了較容易記得,也能從其它虛擬網路加以識別。
位址空間
設定虛擬網路時,您可以使用無類別網域間路由選擇 (CIDR) 格式來定義內部位址空間。 此位址空間在您訂用帳戶及任何您連線到的其它網路中都必須是唯一的。
假設您針對第一個虛擬網路選擇的位址空間為 10.0.0.0/24。 在此位址空間中定義的位址範圍介於 10.0.0.1 與 10.0.0.254 之間。 您接著要建立第二個虛擬網路,並選擇 10.0.0.0/8 作為位址空間。 此位址空間中的位址範圍介於 10.0.0.1 與 10.255.255.254 之間。 因為有些位址重疊,所以您無法針對這兩個虛擬網路使用這兩個位址空間。
不過,您可以使用 10.0.0.0/16 (其中位址範圍介於 10.0.0.1 與 10.0.255.254 之間),以及 10.1.0.0/16 (其中位址範圍介於 10.1.0.1 與 10.1.255.254 之間)。 由於位址並未重疊,因此,您可以將這些位址空間指派給您的虛擬網路。
注意
您可以在建立虛擬網路後,新增其他位址空間。
訂用帳戶
僅在您有多個訂用帳戶可供選擇時使用。
資源群組
如同其他所有 Azure 資源,虛擬網路必須存在於資源群組中。 您可以選擇現有的資源群組,或建立新的群組。
地點
選取要在其中建立虛擬網路的位置。
子網路
在每個虛擬網路位址範圍內,您可以建立用來分割虛擬網路位址空間的一或多個子網路。 然後子網路之間的路由會遵循預設的流量路由,或是您也可以定義自訂路由。 或者,您可以定義一個包含所有虛擬網路位址範圍的子網路。
注意
子網路名稱必須以字母或數字為開頭、以字母、數字或底線為結尾,且只能包含字母、數字、底線、句點或連字號。
分散式阻斷服務 (DDoS) 保護
您可以選擇「基本」或「標準 DDoS」保護。 標準 DDoS 保護是進階服務。 Azure DDoS 保護提供 DDoS 保護的詳細資訊。
服務端點
在這裡,您可以啟用服務端點,然後從清單選取想要啟用的 Azure 服務端點。 選項包括 Azure Cosmos DB、Azure 服務匯流排、Azure Key Vault 等等。
進行這些設定後,選取 [建立]。
定義其他設定
建立虛擬網路之後,您可以接著定義進一步的設定。 這些設定包括:
網路安全性群組
網路安全性群組的安全性規則讓您篩選可在虛擬網路子網路及網路介面中流入和流出的網路流量類型。 您可以另外建立網路安全性群組,然後將其與虛擬網路產生關聯。
路由表
Azure 會在 Azure 虛擬網路內自動為每個子網路建立路由表,並將系統的預設路由新增至該表格。 不過,您可以新增自訂路由表來修改虛擬網路之間的流量。
您也可以修改服務端點。
設定虛擬網路
建立虛擬網路後,您可以從 Azure 入口網站中的 [虛擬網路] 窗格中變更任何進一步的設定。 或者,您可以使用 PowerShell 命令或 Cloud Shell 中的命令執行變更。
接著,您可以在進一步的子窗格中檢閱及變更設定。 這些設定包括:
位址空間:您可以將其他位址空間新增至初始定義。
連線的裝置:使用虛擬網路將機器連線。
子網路:新增其他子網路。
對等互連:安排對等互連來連結虛擬網路。
您也可以監視虛擬網路和對其進行移難排解,或建立自動化指令碼來產生目前的虛擬網路。
虛擬網路是用於來連線 Azure 中實體的機制,其功能強大且可高度設定。 您可以使 Azure 資源彼此連線,或連線至您擁有的內部部署資源。 您可以隔離、篩選和路由網路流量,而且 Azure 讓您可以根據需求來提升安全性。