Co to jest sieć wirtualna platformy Azure

{liczbaMinut} minut

Azure Virtual Network to usługa, która zapewnia podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Wystąpienie usługi (sieć wirtualna) umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Te zasoby platformy Azure obejmują maszyny wirtualne.

Sieć wirtualna jest podobna do tradycyjnej sieci, którą mógłbyś obsługiwać we własnym centrum danych. Jednak zapewnia dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.

Diagram przedstawiający przykład sieci wirtualnej platformy Azure.

Dlaczego warto używać sieci wirtualnej platformy Azure?

Najważniejsze scenariusze, które można wykonać za pomocą sieci wirtualnej, obejmują:

Komunikacja zasobów platformy Azure z Internetem.
Komunikacja między zasobami platformy Azure.
Komunikacja z zasobami lokalnymi.
Filtrowanie ruchu sieciowego.
Routing ruchu sieciowego.
Integracja z usługami platformy Azure.

Komunikacja z Internetem

Wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się na zewnątrz z internetem. Do zarządzania połączeniami wychodzącymi można również użyć publicznego adresu IP, bramy sieciowej NAT lub publicznego modułu równoważenia obciążenia. Można skomunikować się z zasobem, przypisując publiczny adres IP lub publiczny równoważnik obciążenia.

Jeśli używasz tylko wewnętrznego standardowego modułu równoważenia obciążenia, łączność wychodząca nie jest dostępna, dopóki nie zdefiniujesz sposobu pracy połączeń wychodzących z publicznym adresem IP na poziomie wystąpienia lub publicznym modułem równoważenia obciążenia.

Komunikacja między zasobami platformy Azure

Zasoby platformy Azure komunikują się bezpiecznie ze sobą na jeden z następujących sposobów:

Sieć wirtualna: maszyny wirtualne i inne typy zasobów platformy Azure można wdrożyć w sieci wirtualnej. Przykłady zasobów obejmują środowiska App Service Environment, usługę Azure Kubernetes Service (AKS) i zestawy skalowania maszyn wirtualnych platformy Azure. Aby wyświetlić pełną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.
Punkt końcowy usługi sieci wirtualnej: możesz rozszerzyć prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej na zasoby usługi platformy Azure za pośrednictwem bezpośredniego połączenia. Przykłady zasobów obejmują konta usługi Azure Storage i usługę Azure SQL Database. Punkty końcowe usługi umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko w sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Punkty końcowe usługi sieci wirtualnej.
Sparowanie sieci wirtualnych: Sieci wirtualne można łączyć ze sobą przy użyciu sparowania. Zasoby w obu sieciach wirtualnych mogą następnie komunikować się ze sobą. Połączone sieci wirtualne mogą znajdować się w tych samych lub różnych regionach świadczenia usługi Azure. Aby dowiedzieć się więcej, zobacz Peering sieci wirtualnej.

Komunikacja z zasobami lokalnymi

Możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu dowolnej z następujących opcji:

Wirtualna sieć prywatna typu punkt-lokacja (VPN): ustanowiona między siecią wirtualną a jednym komputerem w sieci. Każdy komputer, który chce nawiązać łączność z siecią wirtualną, musi skonfigurować swoje połączenie. Ten typ połączenia jest przydatny, jeśli dopiero zaczynasz korzystać z platformy Azure lub dla deweloperów, ponieważ wymaga to kilku lub żadnych zmian w istniejącej sieci. Komunikacja między komputerem a siecią wirtualną jest wysyłana za pośrednictwem szyfrowanego tunelu przez Internet. Aby dowiedzieć się więcej, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).
Sieć VPN typu lokacja-lokacja: ustanowiona między lokalnym urządzeniem sieci VPN a bramą sieci VPN platformy Azure, która jest wdrożona w sieci wirtualnej. Ten typ połączenia umożliwia korzystanie z dowolnego zasobu lokalnego autoryzowanego do uzyskiwania dostępu do sieci wirtualnej. Komunikacja między lokalnym urządzeniem sieci VPN a bramą sieci VPN platformy Azure jest wysyłana za pośrednictwem szyfrowanego tunelu przez Internet. Aby dowiedzieć się więcej, zobacz Sieć VPN typu lokacja-lokacja.
Azure ExpressRoute: ustanowiona między siecią a platformą Azure za pośrednictwem partnera usługi ExpressRoute. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure ExpressRoute?.

Filtrowanie ruchu sieciowego

Ruch sieciowy między podsieciami można filtrować przy użyciu jednej lub obu następujących opcji:

Sieciowe grupy zabezpieczeń: sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Te reguły umożliwiają filtrowanie ruchu do i z zasobów według źródłowego i docelowego adresu IP, portu i protokołu. Aby dowiedzieć się więcej, zobacz Sieciowe grupy zabezpieczeń i Grupy zabezpieczeń aplikacji.
Wirtualne urządzenia sieciowe: wirtualne urządzenie sieciowe to maszyna wirtualna, która wykonuje funkcję sieciową, taką jak zapora lub optymalizacja sieci WAN. Aby wyświetlić listę dostępnych wirtualnych urządzeń sieciowych, które można wdrożyć w sieci wirtualnej, przejdź do witryny Azure Marketplace.

Trasowanie ruchu sieciowego

Platforma Azure domyślnie kieruje ruch między podsieciami, połączonymi sieciami wirtualnymi, sieciami lokalnymi i Internetem. Aby zastąpić trasy domyślne tworzone przez platformę Azure, możesz zaimplementować jedną lub obie z następujących opcji:

Tabele tras: można tworzyć niestandardowe tabele tras , które kontrolują, gdzie ruch jest kierowany do każdej podsieci.
Trasy protokołu BGP (Border Gateway Protocol): jeśli łączysz sieć wirtualną z siecią lokalną przy użyciu bramy sieci VPN platformy Azure lub połączenia usługi ExpressRoute , możesz propagować lokalne trasy protokołu BGP do sieci wirtualnych.

Integracja z usługami platformy Azure

Integrowanie usług platformy Azure z siecią wirtualną platformy Azure umożliwia prywatny dostęp do usługi z maszyn wirtualnych lub zasobów obliczeniowych w sieci wirtualnej. Możesz użyć następujących opcji dla tej integracji:

Wdróż dedykowane instancje usługi w sieci wirtualnej. Następnie usługi mogą być dostępne prywatnie w sieci wirtualnej i z sieci lokalnych.
Użyj usługi Azure Private Link , aby prywatnie uzyskać dostęp do określonego wystąpienia usługi z sieci wirtualnej oraz z sieci lokalnych.
Uzyskaj dostęp do usługi za pomocą publicznych punktów końcowych, rozszerzając sieć wirtualną do usługi za pośrednictwem punktów końcowych usługi. Punkty końcowe usługi umożliwiają zabezpieczanie zasobów usługi w sieci wirtualnej.

Limity

Istnieją limity liczby zasobów platformy Azure, które można wdrożyć. Większość limitów sieci platformy Azure wynosi maksymalną wartość. Można jednak zwiększyć pewne limity sieci. Aby uzyskać więcej informacji, zobacz Limity sieci.

Sieci wirtualne i strefy dostępności

Sieci wirtualne i podsieci obejmują wszystkie strefy dostępności w regionie. Nie musisz dzielić ich według stref dostępności, aby pomieścić zasoby strefowe. Jeśli na przykład skonfigurujesz strefową maszynę wirtualną, nie musisz brać pod uwagę sieci wirtualnej podczas wybierania strefy dostępności dla maszyny wirtualnej. To samo dotyczy innych zasobów strefowych.

Ceny

Za korzystanie z usługi Azure Virtual Network nie są naliczane opłaty. Jest to bezpłatne. Opłaty standardowe dotyczą zasobów, takich jak maszyny wirtualne i inne produkty. Aby dowiedzieć się więcej, zobacz Cennik usługi Virtual Network i kalkulator cen platformy Azure.

Sprzężenie zwrotne

Czy ta strona była pomocna?