可以将 IP 地址分配给 Azure 资源,以便与其他 Azure 资源、本地网络和 Internet 通信。 可以在 Azure 中使用两种类型的 IP 地址:公共和专用地址。
公共 IP 地址用于与 Internet 通信,包括面向公众的 Azure 服务。
使用 VPN 网关或 ExpressRoute 线路将网络扩展到 Azure 时,专用 IP 地址用于 Azure 虚拟网络(VNet)、云服务和本地网络之间的通信。
重要
Azure 具有用于创建和处理资源的两个不同的部署模型:资源管理器部署模型和经典部署模型。 本文介绍使用经典部署模型的情况。 Microsoft建议大多数新部署使用 Resource Manager。 阅读 IP 地址文章,了解 Resource Manager 中的 IP 地址 。
公共 IP 地址
公共 IP 地址允许 Azure 资源与 Internet 和 Azure 面向公众的服务通信,例如 Azure Redis 缓存、 Azure 事件中心、 SQL 数据库和 Azure 存储。
公共 IP 地址与以下资源类型相关联:
- 云服务
- IaaS 虚拟机(VM)
- PaaS 角色实例
- VPN 网关
- 应用程序网关数
分配方法
需要将公共 IP 地址分配给 Azure 资源时,会从资源创建位置内的可用公共 IP 地址池 动态 分配该地址。 此 IP 地址在资源停止时释放。 使用云服务时,将停止所有角色实例,这可以通过使用 静态 (保留)IP 地址(请参阅 云服务)来避免这种情况。
注释
公共 IP 地址分配到 Azure 资源的 IP 范围列表在 Azure 数据中心 IP 范围内发布。
DNS 主机名解析
创建云服务或 IaaS VM 时,需要提供在 Azure 中的所有资源中唯一的云服务 DNS 名称。 这会在 dnsname.cloudapp.net 的 Azure 托管 DNS 服务器中创建一个映射到资源的公共 IP 地址的映射。 例如,使用 contoso 的云服务 DNS 名称创建云服务时,contoso.cloudapp.net 完全限定的域名(FQDN )将 解析为云服务的公共 IP 地址(VIP)。 可以使用此 FQDN 创建自定义域 CNAME 记录,该记录指向 Azure 中的公共 IP 地址。
云服务
云服务始终具有称为虚拟 IP 地址(VIP)的公共 IP 地址。 可以在云服务中创建终结点,将 VIP 中的不同端口关联到云服务中 VM 和角色实例上的内部端口。
云服务可以包含多个 IaaS VM 或 PaaS 角色实例,这些实例都通过同一云服务 VIP 公开。 还可以 将多个 VIP 分配到云服务,从而启用多 VIP 方案,例如使用基于 SSL 的网站的多租户环境。
可以使用 静态 公共 IP 地址(称为 保留 IP)来确保云服务的公共 IP 地址保持不变,即使所有角色实例都停止。 可以在特定位置创建静态(保留)IP 资源,并将其分配给该位置中的任何云服务。 无法为保留 IP 指定实际 IP 地址,该地址是从创建该 IP 地址的位置中的可用 IP 地址池分配的。 在显式删除 IP 地址之前,不会释放此 IP 地址。
静态(保留)公共 IP 地址通常用于云服务的情况:
- 要求最终用户设置防火墙规则。
- 取决于外部 DNS 名称解析,动态 IP 需要更新 A 记录。
- 使用使用基于 IP 的安全模型的外部 Web 服务。
- 使用链接到 IP 地址的 SSL 证书。
注释
创建经典 VM 时,Azure 会创建一个容器 云服务 ,其中包含虚拟 IP 地址(VIP)。 通过门户完成创建后,门户将配置默认 RDP 或 SSH 终结点 ,以便可以通过云服务 VIP 连接到 VM。 可以保留此云服务 VIP,从而有效地提供用于连接到 VM 的保留 IP 地址。 可以通过配置更多终结点来打开其他端口。
IaaS VM 和 PaaS 角色实例
可以直接将公共 IP 地址分配给云服务中的 IaaS VM 或 PaaS 角色实例。 这称为实例级公共 IP 地址(ILPIP)。 此公共 IP 地址只能是动态的。
注释
这不同于云服务的 VIP,这是 IaaS VM 或 PaaS 角色实例的容器,因为云服务可以包含多个 IaaS VM 或 PaaS 角色实例,这些实例都通过同一云服务 VIP 公开。
VPN 网关
VPN 网关可用于将 Azure VNet 连接到其他 Azure VNet 或本地网络。 VPN 网关会 动态分配一个公共 IP 地址,该地址可实现与远程网络的通信。
应用程序网关数
Azure 应用程序网关 可用于第 7 层负载均衡,以基于 HTTP 路由网络流量。 应用程序网关被 动态 分配一个公共 IP 地址,该地址作为负载均衡的 VIP。
速览
下表显示了具有可能分配方法(动态/静态)的每个资源类型,以及分配多个公共 IP 地址的能力。
| 资源 | 动态 | 静态的 | 多个 IP 地址 |
|---|---|---|---|
| 云服务 | 是的 | 是的 | 是的 |
| IaaS VM 或 PaaS 角色实例 | 是的 | 否 | 否 |
| VPN 网关 | 是的 | 否 | 否 |
| 应用程序网关 | 是的 | 否 | 否 |
专用 IP 地址
专用 IP 地址允许 Azure 资源与云服务或 虚拟网络(VNet)或本地网络(通过 VPN 网关或 ExpressRoute 线路)中的其他资源通信,而无需使用可访问 Internet 的 IP 地址。
在 Azure 经典部署模型中,可将专用 IP 地址分配给以下 Azure 资源:
- IaaS VM 和 PaaS 角色实例
- 内部负载均衡器
- 应用程序网关
IaaS VM 和 PaaS 角色实例
使用经典部署模型创建的虚拟机(VM)始终放置在云服务中,类似于 PaaS 角色实例。 因此,专用 IP 地址的行为与这些资源类似。
请务必注意,可以通过两种方式部署云服务:
- 作为 独立的 云服务,它不在虚拟网络中。
- 作为虚拟网络的一部分。
分配方法
对于 独立的 云服务,资源将从 Azure 数据中心专用 IP 地址范围 动态 分配专用 IP 地址。 它只能用于与同一云服务中的其他 VM 通信。 当资源停止并启动时,此 IP 地址可能会更改。
在虚拟网络中部署的云服务中,资源将从关联子网的地址范围内(如其网络配置中所指定)分配专用 IP 地址。 此专用 IP 地址(es)可用于 VNet 内所有 VM 之间的通信。
此外,对于 VNet 中的云服务,默认情况下会 动态 分配专用 IP 地址(使用 DHCP)。 它有可能在资源停止后再启动时发生改变。 若要确保 IP 地址保持不变,需要将分配方法设置为 静态,并在相应的地址范围内提供有效的 IP 地址。
静态专用 IP 地址通常用于:
- 充当域控制器或 DNS 服务器的 VM。
- 需要防火墙规则并使用 IP 地址的 VM。
- 运行服务的 VM 被其他应用通过 IP 地址访问。
内部 DNS 主机名解析
默认情况下,所有 Azure VM 和 PaaS 角色实例都配置了 Azure 托管的 DNS 服务器 ,除非显式配置自定义 DNS 服务器。 这些 DNS 服务器为驻留在同一 VNet 或云服务中的 VM 和角色实例提供内部名称解析。
创建 VM 时,主机名到其专用 IP 地址的映射将添加到 Azure 托管的 DNS 服务器。 使用多 NIC VM 时,主机名将映射到主 NIC 的专用 IP 地址。 但是,此映射信息仅限于同一云服务或 VNet 中的资源。
对于 独立的 云服务,只能解析同一云服务中所有 VM/角色实例的主机名。 对于 VNet 中的云服务,你将能够解析 VNet 中所有 VM/角色实例的主机名。
内部负载均衡器 (ILB) 和应用程序网关
可以将专用 IP 地址分配给 Azure 内部负载均衡器(ILB)或 Azure 应用程序网关的前端配置。 此专用 IP 地址充当内部终结点,只能访问其虚拟网络(VNet)中的资源以及连接到 VNet 的远程网络。 可以将动态或静态专用 IP 地址分配给前端配置。 还可以分配多个专用 IP 地址来启用多 VIP 场景。
速览
下表显示了具有可能分配方法(动态/静态)的每个资源类型,以及分配多个专用 IP 地址的能力。
| 资源 | 动态 | 静态的 | 多个 IP 地址 |
|---|---|---|---|
| 虚拟机(在 独立的 云服务或 VNet 中) | 是的 | 是的 | 是的 |
| PaaS 角色实例(在 独立 云服务或 VNet 中) | 是的 | 否 | 否 |
| 内部负载均衡器前端 | 是的 | 是的 | 是的 |
| 应用程序网关前端 | 是的 | 是的 | 是的 |
限制
下表显示了每个订阅对 Azure 中 IP 寻址施加的限制。 可以 联系支持人员 ,根据业务需求将默认限制增加到最大限制。
| 默认限制 | 最大限制 | |
|---|---|---|
| 公共 IP 地址 (动态) | 5 | 联系支持人员 |
| 保留的公共 IP 地址 | 20 | 联系支持人员 |
| 每次部署的公共 VIP(云服务) | 5 | 联系支持人员 |
| 每个部署(云服务)的专用 VIP (ILB) | 1 | 1 |
请务必阅读 Azure 中 网络的完整限制条件。
定价
在大多数情况下,公共 IP 地址是免费的。 使用其他和/或静态公共 IP 地址会收取名义费用。 请确保了解 公共 IP 的定价结构。
资源管理器部署与经典部署之间的差异
下面是 Resource Manager 和经典部署模型中 IP 寻址功能的比较。
| 资源 | 经典 | 资源管理器 | |
|---|---|---|---|
| 公共 IP 地址 | VM | 称为 ILPIP (仅限动态) | 称为公共 IP(动态或静态) |
| 分配给 IaaS VM 或 PaaS 角色实例 | 与虚拟机的网络接口卡关联 | ||
| 面向 Internet 的负载均衡器 | 称为 VIP(动态)或保留 IP(静态) | 称为公共 IP(动态或静态) | |
| 分配给云服务 | 关联到负载均衡器的前端配置 | ||
| 专用 IP 地址 | VM | 称为“DIP” | 称为专用 IP 地址 |
| 分配给 IaaS虚拟机或PaaS角色实例 | 分配给 VM 的 NIC | ||
| 内部负载均衡器 (ILB) | 分配给 ILB (动态或静态) | 分配给 ILB 的前端配置(动态或静态) |
后续步骤
- 使用 Azure 门户部署具有静态专用 IP 地址的 VM。