探索 Azure 虚拟网络

  • 10 分钟

你有一个计划保留的本地数据中心,但想要使用 Azure 来卸载 Azure 中托管的虚拟机(VM)的峰值流量。 你想要保留现有的 IP 寻址方案和网络设备,同时确保任何数据传输都安全。

什么是 Azure 虚拟网络?

Azure 虚拟网络 允许 Azure 资源(例如虚拟机、Web 应用和数据库)相互通信、Internet 上的用户和本地客户端计算机。 可以将 Azure 网络视为链接其他 Azure 资源的一组资源。

Azure 虚拟网络提供以下关键网络功能:

  • 隔离和分段
  • Internet 通信
  • 在 Azure 资源之间通信
  • 与本地资源通信
  • 路由网络流量
  • 筛选网络流量
  • 连接虚拟网络

隔离和分段

Azure 允许创建多个隔离的虚拟网络。 设置虚拟网络时,可以使用公共或专用 IP 地址范围定义专用 Internet 协议 (IP) 地址空间。 然后,可以将该 IP 地址空间分段为子网,并将定义的地址空间的一部分分配给每个命名子网。

对于名称解析,可以使用内置于 Azure 的名称解析服务,也可以将虚拟网络配置为使用内部或外部域名系统(DNS)服务器。

Internet 通信

默认情况下,Azure 中的 VM 可以连接到 Internet。 可以通过定义公共 IP 地址或公共负载均衡器来启用来自 Internet 的传入连接。 对于 VM 管理,可以通过 Azure CLI、远程桌面协议(RDP)或安全外壳(SSH)进行连接。

在 Azure 资源之间通信

需要使 Azure 资源能够安全地相互通信。 为此,可使用下列任一方式:

  • 虚拟网络:虚拟网络不仅可以连接 VM,还可以连接其他 Azure 资源,例如应用服务环境、Azure Kubernetes 服务和 Azure 虚拟机规模集。

  • 服务终结点:可以使用服务终结点连接到其他 Azure 资源类型,例如 Azure SQL 数据库和存储帐户。 此方法允许将多个 Azure 资源链接到虚拟网络,从而提高安全性,并在资源之间提供最佳路由。

与本地资源通信

Azure 虚拟网络允许在本地环境和 Azure 订阅中将资源链接在一起,实际上会创建跨越本地环境和云环境的网络。 可以通过三种机制实现此连接:

  • 点到站点虚拟专用网:此方法与虚拟专用网 (VPN) 连接一样(即将组织外部的计算机连接回企业网络),只是方向相反而已。 在这种情况下,客户端计算机会启动到 Azure 的加密 VPN 连接,并将该计算机连接到 Azure 虚拟网络。

  • 站点到站点虚拟专用网络:站点到站点 VPN 将本地 VPN 设备或网关链接到虚拟网络中的 Azure VPN 网关。 实际上,Azure 中的设备看起来可能就像在本地网络中一样。 连接经过加密,是通过 Internet 进行的。

  • Azure ExpressRoute:对于需要更大带宽甚至更高级别的安全性的环境,Azure ExpressRoute 是最佳方法。 Azure ExpressRoute 提供专用的私密连接,直接连接到 Azure,而不会通过互联网传输。

路由网络流量

默认情况下,Azure 将在任何连接的虚拟网络、本地网络和 Internet 上的子网之间路由流量。 但是,可以控制路由并替代这些设置,如下所示:

  • 路由表:路由表允许定义流量的定向方式的规则。 可以创建自定义路由表,用于控制数据包在子网之间的路由方式。

  • 边界网关协议:边界网关协议(BGP)适用于 Azure VPN 网关或 ExpressRoute,以将本地 BGP 路由传播到 Azure 虚拟网络。

筛选网络流量

Azure 虚拟网络允许使用以下方法筛选子网之间的流量:

  • 网络安全组:网络安全组(NSG)是可以包含多个入站和出站安全规则的 Azure 资源。 可以根据源和目标 IP 地址、端口和协议等因素来定义这些允许或阻止流量的规则。

  • 网络虚拟设备:一种专用的虚拟机,类似于强化的网络设备。 网络虚拟设备执行特定的网络功能,例如运行防火墙或执行 WAN 优化。

连接虚拟网络

可以通过虚拟网络对等互连将虚拟网络链接到一起。 每个虚拟网络中的资源可以通过对等互连相互通信。 这些虚拟网络可以位于不同的区域中,允许你通过 Azure 创建全球互连网络。

Azure 虚拟网络设置

可以从 Azure 门户、本地计算机上的 Azure PowerShell 或 Azure Cloud Shell 创建和配置 Azure 虚拟网络。

创建虚拟网络

创建 Azure 虚拟网络时,可以配置许多基本设置。 还可以配置高级设置,例如多个子网、分布式拒绝服务(DDoS)保护和服务终结点。

Azure 门户的屏幕截图,其中显示了“创建虚拟网络”窗格字段的示例。

你将为基本虚拟网络配置以下设置:

  • 网络名称:网络名称在订阅中必须唯一,但不需要全局唯一。 将名称设为描述性名称,便于记忆且易于与其他虚拟网络区分。

  • 地址空间:设置虚拟网络时,可以使用无类 Inter-Domain 路由(CIDR)格式定义内部地址空间。 此地址空间需要在订阅和连接到的任何其他网络中是唯一的。

    假设为第一个虚拟网络选择 10.0.0.0/24 的地址空间。 在此地址空间中定义的地址范围为 10.0.0.1 到 10.0.0.254。 然后创建第二个虚拟网络,并选择地址空间为 10.0.0.0/8。 此地址空间中的地址范围为 10.0.0.1 到 10.255.255.254。 某些地址重叠,不能用于两个虚拟网络。

    但是,可以使用 10.0.0.0/16, 地址范围从 10.0.0.1 到 10.0.255.254 和 10.1.0.0/16,地址范围从 10.1.0.1 到 10.1.255.254。 可以将这些地址空间分配给虚拟网络,因为没有地址重叠。

    注释

    创建虚拟网络后,可以添加地址空间。

  • 订阅:仅当有多个要从中选择的订阅时适用。

  • 资源组:与任何其他 Azure 资源一样,虚拟网络需要存在于资源组中。 可以选择现有资源组,也可以创建新的资源组。

  • 位置:选择要在其中存在虚拟网络的位置。

  • 子网:在每个虚拟网络地址范围内,可以创建一个或多个对虚拟网络地址空间进行分区的子网。 然后,子网之间的路由将取决于默认流量路由,也可以定义自定义路由。 或者,可以定义一个子网,其中包含所有虚拟网络的地址范围。

    注释

    子网名称必须以字母或数字开头,以字母、数字或下划线结尾,并且只能包含字母、数字、下划线、句点或连字符。

  • 分布式拒绝服务(DDoS)保护:可以选择“基本”或“标准 DDoS 保护”。 标准 DDoS 防护是一项高级服务。 Azure DDoS 防护提供了有关 DDoS 防护的详细信息。

  • 服务终结点:在此处启用服务终结点,并从要启用的 Azure 服务终结点列表中选择。 选项包括 Azure Cosmos DB、Azure 服务总线、Azure Key Vault 等。

配置这些设置后,选择“ 创建”。

定义其他设置

创建虚拟网络后,可以定义进一步的设置。 这些设置包括:

  • 网络安全组:网络安全组具有安全规则,允许筛选可以传入和流出虚拟网络子网和网络接口的网络流量类型。 单独创建网络安全组,然后将其与虚拟网络相关联。

  • 路由表:Azure 会自动为 Azure 虚拟网络中的每个子网创建路由表,并将系统默认路由添加到表中。 但是,可以添加自定义路由表以修改虚拟网络之间的流量。

还可以修改服务终结点。

Azure 门户的屏幕截图,其中显示了用于编辑虚拟网络设置的示例窗格。

配置虚拟网络

创建虚拟网络后,可以从 Azure 门户中的 “虚拟网络 ”窗格中更改任何其他设置。 或者,可以使用 PowerShell 命令或 Cloud Shell 中的命令进行更改。

Azure 门户的屏幕截图,其中显示了用于配置虚拟网络的示例窗格。

然后,可以在其他子区域中查看和更改设置。 这些设置包括:

  • 地址空间:可以向初始定义添加更多地址空间。

  • 已连接设备:使用虚拟网络连接计算机。

  • 子网:添加更多子网。

  • 对等互连:以对等互连的方式链接虚拟网络。

还可以监视和排查虚拟网络问题,或者创建一个自动化脚本来生成当前虚拟网络。

虚拟网络是用于连接 Azure 中的实体的强大且高度可配置的机制。 可将 Azure 资源彼此连接或连接到本地资源。 可以隔离、筛选和路由网络流量,使用 Azure 可以增强所需的安全性。