Skip to main content

什么是Azure虚拟网络?

分类:  Azure入门 标签:  #Azure #基础 #Azure入门 #入门 发布于: 2023-06-15 14:19:50

Azure虚拟网络(Azure Vnet)是在Azure中用于专用网络构建的基本资源模块,使用Azure Vnet可以组织用户在Azure上构建的资源彼此之间互相通信,也可以使得Azure上的资源和互联网通信,还可以通过Vnet技术使得Azure上的资源和用户本地的网络之间互联。可以将它看作在Azure中的专门为用户开辟的专用网络,用户根据规则来限制或者开放给特定的用户访问,是在Azure上的系统基础组件,同时它拥有Azure带来的优势,例如:

  • 可伸缩性
  • 高可用性
  • 隔离性

Azure Vnet的主要应用场景是用户希望通过它来控制Azure资源之间,Azure资源和公网,以及Azure资源和用户本地之间通信,可以实现:

  • 网络流量过滤
  • 路由特定的网络流量
  • Azure服务进行集成

使用Azure Vnet进行网络隔离和细分

通过虚拟网络,可以创建多个隔离的虚拟网络。设置虚拟网络时,使用公共或者专用的IP地址范围定义一个专用网络的地址空间,将该地址空间划分为子网,然后将部分已定义的地址空间分配给每个命名的子网。

用户可以选择使用Azure中内置的DNS服务器进行名称解析,可以将虚拟网络配置为使用自建的或者是外部的DNS服务器进行名称解析。

和公网进行通信

我们之前讨论过的Azure虚拟机默认可以连接到公网。对于其他资源,我们可以通过定义公共的IP地址或者公共的负载均衡器来启用从互联网传入的连接。

Azure资源之间的通信

可以使用如下的方式之一来实现Azure资源之间的安全通信:

  • Azure Vnet虚拟网络:虚拟网络不仅可以连接虚拟机,也可以连接其他的资源,例如用于Power Apps的应用服务,AKS, 虚拟机规模集等等。
  • 服务终结点: 可以使用服务终结点连接到其他的资源,例如在Azure SQL DBAzure Storage Account. 使用终结点可以将多个Azure资源连接到虚拟网络,从而提高安全性,并提供最佳的路由。

和用户本地资源通讯

可以使用Azure Vnet将本地环境中的资源和在Azure中的资源连接到一起,创建一个连通本地和云环境之间的网络:

  • 设置点到点(p-to-p, P2P)虚拟专用网络:使用虚拟专用网络(VPN)连接用户本地网络和Azure资源,客户端计算机启动加密VPN连接到Azure Vnet
  • 站点到站点(Site-to-Site)虚拟专用网络:站点到站点的虚拟专用网络将本地VPN设备或者网络连接到Azure Vnet中的Azure VPN Gateway上。
  • 通过Azure ExpressRoute: 对于需要高带宽和更高级别安全性的用户, Azure ExpressRoute使用Azure专用连接进行组织和Azure资源的连接(需要注意:专用连接不经过Internet)

路由网络流量

默认情况下,Azure 会在任何连接的虚拟网络的子网、本地网络以及 Internet 之间路由流量。 也可以控制路由并覆盖这些设置,如下所示:

  • 路由表:通过路由表,可以定义如何定向流量的规则。 可以创建自定义路由表,用于控制数据包在子网之间的路由方式。
  • Border Gateway ProtocolBGP适用于Azure VPN网关或ExpressRoute,以将本地BGP路由传播到Azure虚拟网络。

过滤网络流量

Azure虚拟网络允许使用以下方法过滤子网之间的流量:

  • 网络安全组:网络安全组是一种Azure资源,可以包含多个入站和出站安全规则。 可以根据源和目标IP地址、端口和协议等因素来定义这些允许或阻止流量的规则。
  • 网络虚拟设备:网络虚拟设备是一种可以与强化网络设备相比较的专用虚拟机。 网络虚拟设备执行特定的网络功能,例如运行防火墙或执行广域网 (WAN) 优化。

连接虚拟网络

可以通过虚拟网络对等互连将虚拟网络链接到一起。 每个虚拟网络中的资源可以通过对等互连相互通信。 这些虚拟网络可以位于不同的区域,因此可以通过 Azure 创建全球互连的网络。

UDR 是用户定义的路由。 UDR 是 Azure 虚拟网络的重大更新,网络管理员通过它能够控制 VNet 中的子网间路由表以及 VNet 之间的路由表,以便更好地控制网络流量。