Nejčastější dotazy ke službě Azure Virtual Network

Základy Virtual Network

Co je Azure Virtual Network (VNet)?

Azure Virtual Network (VNet) je reprezentace vaší vlastní sítě v cloudu. Je to logická izolace cloudu Azure vyhrazeného pro vaše předplatné. Virtuální sítě můžete použít ke zřízení a správě virtuálních privátních sítí (VPN) v Azure a volitelně k propojení virtuální sítě s ostatními virtuální sítě v Azure nebo s místní infrastrukturou IT pro vytváření hybridních nebo mezimístěných řešení. Každá virtuální síť, kterou vytvoříte, má svůj vlastní blok CIDR a může být propojena s jinými virtuální sítě a místními sítěmi, pokud se bloky CIDR nepřekrývají. Také máte kontrolu nad nastavením serveru DNS pro virtuální sítě a segmentace virtuální sítě do podsítí.

Použít virtuální sítě k:

• Vytvořte vyhrazenou virtuální síť jen pro privátní cloud. Někdy nepotřebujete pro vaše řešení konfiguraci mezi různými místy. Při vytváření sítě VNet můžou vaše služby a virtuální počítače v rámci virtuální sítě komunikovat přímo a bezpečně mezi sebou v cloudu. I nadále můžete nakonfigurovat připojení koncových bodů pro virtuální počítače a služby, které vyžadují internetovou komunikaci, jako součást řešení.

• Zabezpečeně šíří vaše datové centrum. Pomocí virtuální sítě můžete vytvářet tradiční sítě VPN S2S (site-to-site) k bezpečnému škálování kapacity datacentra. S2S VPN používají protokol IPSEC k zajištění zabezpečeného připojení mezi vaší firemní bránou VPN a Azure.

• Povolte hybridní cloudové scénáře. Virtuální sítě vám nabízí flexibilitu při podpoře řady hybridních cloudových scénářů. Cloudové aplikace můžete bezpečně propojit s jakýmkoli typem místního systému, jako jsou sálové počítače a systémy UNIX.

Jak mám začít?

Začněte tím, že přejdete do dokumentace ke službě Virtual Network . Tento obsah poskytuje informace o přehledu a nasazení všech funkcí virtuální sítě.

Můžu používat virtuální sítě bez připojení mezi místními místy?

Ano. Virtuální síť můžete použít bez připojení k vašemu pracovišti. můžete například spustit Microsoft Windows Server Active Directory řadiče domény a SharePoint farmy výhradně ve virtuální síti Azure.

Můžu provést optimalizaci sítě WAN mezi virtuální sítě nebo virtuální sítí a místním datovým centrem?

Ano. Virtuální zařízení pro optimalizaci sítě WAN můžete nasadit od několika dodavatelů prostřednictvím Azure Marketplace.

Konfigurace

Jaké nástroje slouží k vytvoření virtuální sítě?

Virtuální síť můžete vytvořit nebo nakonfigurovat pomocí následujících nástrojů:

• portál Azure
• PowerShell
• Azure CLI
• Konfigurační soubor sítě (jenom netcfg – jenom pro klasický virtuální sítě). Informace najdete v článku Konfigurace sítě VNet pomocí konfiguračního souboru sítě .

Jaké rozsahy adres můžu použít ve virtuálních sítích?

Doporučujeme, abyste používali rozsahy adres uvedené v dokumentu RFC 1918, které byly vyjmenovány sdružením IETF pro soukromé Nesměrovatelné adresní prostory:

• 10.0.0.0 – 10.255.255.255 (předpona 10/8)
• 172.16.0.0-172.31.255.255 (předpona 172.16/12)
• 192.168.0.0-192.168.255.255 (předpona 192.168/16)

Další adresní prostory mohou fungovat, ale mohou mít nežádoucí vedlejší účinky.

Kromě toho nemůžete přidat následující rozsahy adres:

• 224.0.0.0/4 (vícesměrové vysílání)
• 255.255.255.255/32 (všesměrové vysílání)
• 127.0.0.0/8 (zpětná smyčka)
• 169.254.0.0/16 (místní propojení)
• 168.63.129.16/32 (interní DNS)

Můžu mít v virtuální sítě veřejné IP adresy?

Ano. Další informace o rozsahech veřejných IP adres najdete v tématu vytvoření virtuální sítě. Veřejné IP adresy nejsou přímo přístupné z Internetu.

Existuje omezení počtu podsítí ve virtuální síti?

Ano. Podrobnosti najdete v tématu omezení Azure . Adresní prostory podsítě nemůžou překrývat sebe.

Existují nějaká omezení používání IP adres v těchto podsítích?

Ano. Azure si v každé podsíti vyhrazuje 5 IP adres. Jedná se o x. x. x. 0-x. x. x. 3 a poslední adresu podsítě. x. x. x. 1-x. x. x. 3 je v každé podsíti pro služby Azure rezervované.

• x. x. x. 0: Síťová adresa
• x. x. x. 1: vyhrazené pro Azure pro výchozí bránu
• x. x. x. 2, x. x. x. 3: vyhrazené pro Azure pro mapování Azure DNSch IP adres na prostor virtuální sítě
• x. x. x. 255: adresa všesměrového vysílání sítě pro podsítě o velikosti/25 a větší. To bude jiná adresa v menších podsítích.

Jak malý a jak velké můžou virtuální sítě a podsítě?

Nejnižší podporovaná podsíť IPv4 je/29 a největší je/2 (pomocí definice podsítě CIDR). Podsítě IPv6 musí mít velikost přesně/64.

Můžu své sítě VLAN přenést do Azure pomocí virtuální sítě?

No. Virtuální sítě jsou překryvy vrstvy 3. Azure nepodporuje žádné sémantiky vrstvy 2.

Můžu v virtuální sítě a podsítích zadat vlastní zásady směrování?

Ano. Můžete vytvořit směrovací tabulku a přidružit ji k podsíti. Další informace o směrování v Azure najdete v tématu Přehled směrování.

Podporuje virtuální sítě vícesměrové vysílání nebo všesměrové vysílání?

No. Vícesměrové vysílání a všesměrové vysílání nejsou podporovány.

Jaké protokoly můžu v virtuální sítě použít?

V rámci virtuálních sítí můžete využít protokoly TCP, UDP a ICMP TCP/IP. V rámci virtuálních sítí se podporuje jednosměrové vysílání s výjimkou protokolu DHCP (Dynamic Host Configuration Protocol) přes jednosměrové vysílání (zdrojový port UDP /68, cílový port UDP /67) a zdrojový port UDP 65330, který je vyhrazený pro hostitele. Vícesměrové vysílání, všesměrové vysílání, zapouzdřené pakety IP-in-IP a pakety GRE (Generic Routing Encapsulation) se v rámci virtuálních sítí blokují.

Můžu v rámci virtuální sítě testovat svůj výchozí směrovač?

No.

Můžu pomocí příkazu tracert diagnostikovat připojení?

No.

Můžu po vytvoření virtuální sítě přidat podsítě?

Ano. Podsítě lze kdykoli přidat do virtuální sítě, pokud rozsah adres podsítě není součástí jiné podsítě a v rozsahu adres virtuální sítě je dostupné místo.

Můžu po vytvoření této podsítě změnit její velikost?

Ano. Podsíť můžete přidat, odebrat, rozšířit nebo zmenšit, pokud v ní nejsou nasazené virtuální počítače ani služby.

Můžu po vytvoření virtuální sítě upravit?

Ano. Můžete přidávat, odebírat a upravovat bloky CIDR používané virtuální sítí.

Když mám služby ve virtuální síti, můžu se připojit k Internetu?

Ano. Všechny služby nasazené ve virtuální síti můžou připojit odchozí připojení k Internetu. Další informace o odchozích připojeních k Internetu v Azure najdete v tématu odchozí připojení. Pokud chcete příchozí připojení k prostředku nasazenému prostřednictvím Správce prostředků, musí mít prostředek přiřazenou veřejnou IP adresu. Další informace o veřejných IP adresách najdete v tématu veřejné IP adresy. Každá cloudová služba Azure nasazená v Azure má přiřazenou veřejně adresovatelnou VIP adresu. Definujete vstupní koncové body pro role PaaS a koncové body pro virtuální počítače, aby tyto služby mohly přijímat připojení z Internetu.

Podporuje virtuální sítě protokol IPv6?

Ano, virtuální sítě může být jenom IPv4 nebo duální zásobník (IPv4 + IPv6). Podrobnosti najdete v tématu Přehled protokolu IPv6 pro virtuální sítě Azure.

Můžou být virtuální sítě oblastí rozsahů?

No. Virtuální síť je omezená jenom na jednu oblast. Virtuální síť ale zahrnuje zóny dostupnosti. Další informace o zónách dostupnosti najdete v tématu Přehled zón dostupnosti. Virtuální sítě můžete propojit v různých oblastech s využitím partnerského vztahu virtuálních sítí. Podrobnosti najdete v tématu Přehled partnerských vztahů virtuálních sítí .

Můžu připojit virtuální síť k jiné virtuální síti v Azure?

Ano. Jednu virtuální síť můžete připojit k jiné virtuální síti pomocí těchto akcí:

• Partnerský vztah virtuální sítě: Podrobnosti najdete v tématu Přehled partnerských vztahů virtuálních sítí.
• Azure VPN Gateway: Podrobnosti najdete v tématu Konfigurace připojení typu VNet-to-VNet.

Překlad názvů (DNS)

Jaké jsou možnosti služby DNS pro virtuální sítě?

Na stránce pro překlad IP adres pro virtuální počítače a instance rolí použijte tabulku rozhodnutí, která vás provede všemi dostupnými možnostmi DNS.

Můžu zadat servery DNS pro virtuální síť?

Ano. IP adresy serveru DNS můžete zadat v nastavení virtuální sítě. Toto nastavení se použije jako výchozí server DNS pro všechny virtuální počítače ve virtuální síti.

Kolik serverů DNS lze zadat?

Odkazy na omezení Azure.

Můžu po vytvoření sítě změnit svoje servery DNS?

Ano. V každém okamžiku můžete seznam serverů DNS pro virtuální síť kdykoli změnit. Pokud změníte seznam serverů DNS, musíte provést obnovení zapůjčení DHCP u všech ovlivněných virtuálních počítačů ve virtuální síti, aby se nové nastavení DNS projevilo. pro virtuální počítače, na kterých běží Windows operační systém, to můžete provést ipconfig /renew přímým zadáním na virtuálním počítači. Další typy operačních systémů najdete v dokumentaci k obnovení zapůjčení DHCP pro konkrétní typ operačního systému.

Co je služba DNS poskytovaná Azure a funguje s virtuální sítě?

DNS poskytovaná Azure je víceklientské služba DNS nabízená Microsoftem. Azure zaregistruje všechny vaše virtuální počítače a instance rolí cloudové služby v této službě. Tato služba poskytuje překlad názvů podle názvu hostitele pro virtuální počítače a instance rolí obsažené v rámci stejné cloudové služby a podle plně kvalifikovaného názvu domény pro virtuální počítače a instance rolí ve stejné virtuální síti. Další informace o DNS najdete v tématu překlad názvů pro virtuální počítače a Cloud Services instance rolí.

K dispozici jsou omezení prvních 100 cloudových služeb ve virtuální síti pro překlad IP adres mezi klienty pomocí služby DNS poskytované službou Azure. Pokud používáte vlastní server DNS, toto omezení se nevztahuje.

Můžu přepsat nastavení DNS v závislosti na virtuálním počítači nebo cloudové službě?

Ano. Můžete nastavit servery DNS na virtuální počítač nebo cloudovou službu a přepsat tak výchozí nastavení sítě. Doporučuje se ale co nejvíc používat službu DNS v rámci sítě.

Můžu si přenést vlastní příponu DNS?

No. Pro virtuální sítě nejde zadat vlastní příponu DNS.

Připojení virtuálních počítačů

Můžu nasazovat virtuální počítače do virtuální sítě?

Ano. Všechna síťová rozhraní (NIC) připojená k virtuálnímu počítači nasazenému prostřednictvím modelu nasazení Správce prostředků musí být připojená k virtuální síti. Virtuální počítače nasazené prostřednictvím modelu nasazení Classic se můžou volitelně připojit k virtuální síti.

Jaké jsou různé typy IP adres, které můžu přiřadit k virtuálním počítačům?

• Privátní: Přiřazené ke každému síťovému rozhraní v rámci každého virtuálního počítače. Adresa je přiřazena buď pomocí statické, nebo dynamické metody. Privátní IP adresy se přiřazují z rozsahu, který jste zadali v nastavení podsítě vaší virtuální sítě. Prostředky nasazené prostřednictvím modelu nasazení Classic jsou přiřazeny privátní IP adresy, i když nejsou připojené k virtuální síti. Chování metody přidělování se liší v závislosti na tom, jestli byl prostředek nasazený pomocí modelu nasazení Správce prostředků nebo Classic:

  • Správce prostředků: privátní IP adresa přiřazená s dynamickou nebo statickou metodou zůstane přiřazená k virtuálnímu počítači (Správce prostředků) až do odstranění prostředku. Rozdílem je, že vyberete adresu, která se má přiřadit při použití Static, a Azure při použití dynamického výběru zvolí.
  • Classic: privátní IP adresa přiřazená k dynamické metodě se může změnit, když se virtuální počítač (klasický) restartuje po restartování virtuálního počítače v zastaveném (uvolněném) stavu. Pokud potřebujete zajistit, aby se privátní IP adresa pro prostředek nasazená prostřednictvím modelu nasazení Classic nikdy nezměnila, přiřaďte privátní IP adresu statickou metodou.

• Veřejné: Volitelně se přiřazují síťové adaptéry připojené k virtuálním počítačům nasazeným prostřednictvím modelu nasazení Azure Resource Manager. Adresa může být přiřazena se statickou nebo dynamickou metodou přidělování. Všechny virtuální počítače a Cloud Services instance rolí nasazené prostřednictvím modelu nasazení Classic existují v rámci cloudové služby, která je přiřazená k dynamické veřejné virtuální IP adrese (VIP). Veřejnou statickou IP adresu, která se nazývá vyhrazená IP adresa adresa, se dá volitelně přiřadit jako virtuální IP adresa. Veřejné IP adresy můžete přiřadit jednotlivým virtuálním počítačům nebo Cloud Services instancím rolí nasazeným prostřednictvím modelu nasazení Classic. Tyto adresy se nazývají adresy veřejných IP adres (ILPIP) na úrovni instance a dají se dynamicky přiřazovat.

Můžu si vyhradit soukromou IP adresu pro virtuální počítač, který vytvořím později?

No. Nemůžete rezervovat privátní IP adresu. Pokud je k dispozici privátní IP adresa, je server DHCP přiřazen k virtuálnímu počítači nebo instanci role. Virtuální počítač může nebo nemusí být ten, ke kterému chcete přiřadit privátní IP adresu. Můžete však změnit soukromou IP adresu již vytvořeného virtuálního počítače na libovolnou dostupnou privátní IP adresu.

Mění se privátní IP adresy pro virtuální počítače ve virtuální síti?

To závisí na okolnostech. Pokud byl virtuální počítač nasazen prostřednictvím Správce prostředků, ne bez ohledu na to, zda byla IP adresa přiřazena se statickou nebo dynamickou metodou přidělení. Pokud byl virtuální počítač nasazen prostřednictvím modelu nasazení Classic, dynamické IP adresy se můžou změnit, když se virtuální počítač spustí po uplynutí stavu Zastaveno (přidělení zrušeno). Adresa se uvolní z virtuálního počítače nasazeného pomocí modelu nasazení v případě odstranění virtuálního počítače.

Můžu ručně přiřadit IP adresy k síťovým kartám v operačním systému virtuálního počítače?

Ano, ale nedoporučuje se, pokud je to nutné, například při přiřazování více IP adres k virtuálnímu počítači. Podrobnosti najdete v tématu Přidání více IP adres k virtuálnímu počítači. Pokud se změní IP adresa přiřazená k síťové kartě Azure připojené k virtuálnímu počítači a IP adresa v operačním systému virtuálního počítače je odlišná, ztratíte připojení k virtuálnímu počítači.

Když zastavím slot nasazení cloudové služby nebo vypnete virtuální počítač z operačního systému, co se stane s IP adresami?

Ničeho. IP adresy (veřejné virtuální IP adresy, veřejné a privátní) zůstanou přiřazené k slotu nasazení cloudové služby nebo k virtuálnímu počítači.

Můžu přesunout virtuální počítače z jedné podsítě do jiné podsítě ve virtuální síti bez nutnosti opětovného nasazení?

Ano. Další informace najdete v tématu Postup přesunutí instance virtuálního počítače nebo role do jiné podsítě .

Můžu pro svůj virtuální počítač nakonfigurovat statickou adresu MAC?

No. Adresu MAC nelze staticky konfigurovat.

Zůstane adresa MAC pro svůj virtuální počítač stejná, až se vytvoří?

Ano, adresa MAC zůstane stejná pro virtuální počítač nasazený prostřednictvím modelu nasazení Správce prostředků i klasický, dokud ho neodstraníte. Dříve byla adresa MAC uvolněna v případě, že byl virtuální počítač zastaven (přidělení zrušeno), ale nyní je adresa MAC uchována i v případě, že je virtuální počítač ve stavu zrušeno přidělení. Adresa MAC zůstane přiřazená síťovému rozhraní, dokud se neodstraní síťové rozhraní nebo se nezmění privátní IP adresa přiřazená k primární konfiguraci IP rozhraní primárního síťového rozhraní.

Můžu se připojit k Internetu z virtuálního počítače ve virtuální síti?

Ano. Všechny virtuální počítače a Cloud Services instance rolí nasazené v rámci virtuální sítě se můžou připojit k Internetu.

Služby Azure, které se připojují k virtuální sítě

Můžu použít Azure App Service Web Apps s virtuální sítí?

Ano. Můžete nasadit Web Apps v rámci virtuální sítě pomocí pomocného mechanismu řízení (App Service Environment), připojit back-end vašich aplikací k virtuální sítě s integrací virtuální sítě a uzamknout příchozí provoz do vaší aplikace pomocí koncových bodů služby. Další informace najdete v následujících článcích:

• Funkce App Service sítě
• Vytváření Web Apps v App Service Environment
• Integrace aplikace s virtuální sítí Azure
• Omezení přístupu App Service

Můžu ve virtuální síti nasazovat Cloud Services s webovými a pracovními rolemi (PaaS)?

Ano. Můžete (volitelně) nasadit instance rolí Cloud Services v rámci virtuální sítě. Uděláte to tak, že v části Konfigurace sítě v konfiguraci služby zadáte název virtuální sítě a mapování rolí a podsítí. Nemusíte aktualizovat žádné z vašich binárních souborů.

Můžu připojit sadu škálování virtuálního počítače k virtuální síti?

Ano. Musíte připojit sadu škálování virtuálního počítače k virtuální síti.

Existuje úplný seznam služeb Azure, které můžu nasadit prostředky z do virtuální sítě?

Ano, podrobnosti najdete v tématu Integrace virtuální sítě pro služby Azure.

Jak můžu omezit přístup k prostředkům Azure PaaS z virtuální sítě?

prostředky nasazené prostřednictvím některých služeb Azure PaaS (například Azure Storage a Azure SQL Database) můžou omezit síťový přístup k virtuální síti prostřednictvím použití koncových bodů služby virtuální sítě nebo privátního propojení Azure. Podrobnosti najdete v tématu Přehled koncových bodů služby virtuální sítě, Přehled privátních odkazů Azure .

Můžu přesunout služby z virtuální sítě a z něj?

No. Nemůžete přesouvat služby z virtuální sítě a z ní. Pokud chcete přesunout prostředek do jiné virtuální sítě, musíte prostředek odstranit a znovu nasadit.

Zabezpečení

Jaký je model zabezpečení pro virtuální sítě?

Virtuální sítě jsou izolované od sebe a další služby, které jsou hostovány v infrastruktuře Azure. Virtuální síť je hranice vztahu důvěryhodnosti.

Můžu na prostředky připojené k virtuální síti omezit tok příchozích nebo odchozích přenosů?

Ano. Skupiny zabezpečení sítě můžete použít pro jednotlivé podsítě v rámci virtuální sítě, síťových adaptérů připojených k virtuální síti nebo obou.

Můžu mezi prostředky připojenými k virtuální síti implementovat bránu firewall?

Ano. Můžete nasadit síťové virtuální zařízení brány firewall od několika dodavatelů prostřednictvím Azure Marketplace.

Jsou k dispozici informace o zabezpečení virtuální sítě?

Ano. Podrobnosti najdete v tématu Přehled zabezpečení sítě Azure.

Ukládají se do virtuálních sítí zákaznická data?

No. Virtuální sítě neukládají žádná zákaznická data.

Můžu nastavit vlastnost FlowTimeoutInMinutes pro celé předplatné?

No. Toto nastavení musí být nastavené ve virtuální síti. Následující funkce může pomoct automatizovat nastavení této vlastnosti pro větší předplatné:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

Rozhraní API, schémata a nástroje

Můžu spravovat virtuální sítě z kódu?

Ano. Rozhraní REST API pro virtuální sítě můžete použít v modelech nasazení Azure Resource Manager a Classic .

Je k dispozici podpora nástrojů pro virtuální sítě?

Ano. Další informace o používání:

• Azure Portal k nasazení virtuální sítě prostřednictvím modelu nasazení Azure Resource Manager a Classic .
• PowerShell pro správu virtuální sítě nasazených prostřednictvím modelů nasazení Správce prostředků a Classic .
• Rozhraní příkazového řádku Azure (CLI) pro nasazení a správu virtuální sítě nasazených prostřednictvím modelů nasazení Správce prostředků a Classic .

Partnerské vztahy virtuálních sítí

Co je partnerský vztah VNet?

Partnerský vztah virtuálních sítí (nebo partnerský vztah virtuálních sítí) umožňuje propojit virtuální sítě. Připojení peer-to-VNet mezi virtuálními sítěmi umožňuje směrovat provoz mezi nimi soukromě prostřednictvím adres IPv4. Virtuální počítače v partnerských virtuální sítě můžou vzájemně komunikovat, jako kdyby byly ve stejné síti. Tyto virtuální sítě mohou být ve stejné oblasti nebo v různých oblastech (označuje se také jako globální partnerské vztahy virtuálních sítí). Připojení partnerských vztahů virtuální sítě je také možné vytvořit v rámci předplatných Azure.

Můžu vytvořit připojení partnerského vztahu k virtuální síti v jiné oblasti?

Ano. Globální VNet peering umožňuje peer virtuální sítě v různých oblastech. Globální síť VNet peering je dostupná ve všech veřejných oblastech Azure, Číně v oblasti cloudu a oblastech cloudu pro státní správu. Z veřejných oblastí Azure se nemůžete globálně peere navázat na národní oblasti cloudu.

Jaká jsou omezení týkající se globálních partnerských vztahů virtuální sítě a nástrojů pro vyrovnávání zatížení?

Pokud jsou dvě virtuální sítě ve dvou různých oblastech partnerského vztahu přes globální partnerský vztah VNet, nemůžete se připojit k prostředkům, které jsou za základní Load Balancer prostřednictvím IP adresy front-endu Load Balancer. Toto omezení pro Standard Load Balancer neexistuje. Následující prostředky můžou používat základní nástroje pro vyrovnávání zatížení, což znamená, že se k nim nemůžete dostat prostřednictvím IP adresy front-endu Load Balancer přes globální partnerský vztah virtuálních sítí. Můžete ale použít globální partnerský vztah virtuálních sítí k dosažení prostředků přímo prostřednictvím svých privátních IP adres, pokud je to povoleno.

• Virtuální počítače za základními nástroji pro vyrovnávání zatížení
• Virtual Machine Scale Sets se základními nástroji pro vyrovnávání zatížení
• Redis Cache
• SKU Application Gateway (V1)
• Service Fabric
• API Management (stv1)
• Služba Doména služby Active Directory (přidává)
• Logic Apps
• HDInsight
• Azure Batch
• App Service Environment

K těmto prostředkům se můžete připojit prostřednictvím ExpressRoute nebo VNet-to-VNet prostřednictvím bran virtuální sítě.

můžu povolit partnerský vztah virtuálních sítí, pokud moje virtuální sítě patří k předplatným v rámci různých klientů Azure Active Directory?

Ano. je možné vytvořit partnerský vztah virtuální sítě (místní nebo globální), pokud vaše předplatná patří do různých klientů Azure Active Directory. Můžete to provést prostřednictvím portálu, PowerShellu nebo rozhraní příkazového řádku.

Moje připojení partnerského vztahu virtuální sítě je v inicializovaném stavu, proč se nemůžu připojit?

Pokud je připojení partnerského vztahu v inicializovaném stavu, znamená to, že jste vytvořili pouze jeden odkaz. Aby bylo možné vytvořit úspěšné připojení, je nutné vytvořit obousměrný odkaz. Například pro partnerský virtuální síť A k virtuální síti B se musí vytvořit odkaz z partnerském na VNetB a od VNetB do partnerském. Vytvořením obou propojení dojde ke změně stavu na připojeno.

Moje připojení partnerského vztahu virtuálních sítí je v odpojeném stavu, proč nemůžu vytvořit připojení partnerského vztahu?

Pokud je připojení partnerského vztahu virtuálních sítí v odpojeném stavu, znamená to, že se odstranila jedna z vytvořených odkazů. Pokud chcete znovu vytvořit připojení peeringu, musíte propojení odstranit a znovu ho vytvořit.

Můžu vytvořit partnerský vztah virtuální sítě s virtuální sítí v jiném předplatném?

Ano. Mezi předplatným a oblastmi můžete vytvořit partnerský vztah mezi virtuálními sítěmi.

Je možné vytvořit partnerský vztah mezi dvěma virtuálními sítěmi a odpovídajícími nebo překrývajícími se rozsahy adres?

No. Adresní prostory se nesmí překrývat, aby bylo možné povolit VNet Peering.

Je možné vytvořit partnerský vztah virtuální sítě se dvěma různými virtuálními sítěmi s povolenou možností Použít vzdálenou bránu v obou partnerských vztahech?

No. Možnost Použít vzdálenou bránu můžete povolit pouze v jednom partnerském vztahu s jednou z virtuálních sítí.

Kolik stojí propojení VNet Peeringu?

Za vytvoření připojení VNet Peeringu se neúčtují žádné poplatky. Přenos dat napříč připojeními peeringu se účtuje. Další informace najdete tady.

Je provoz VNet Peeringu šifrovaný?

Když se provoz Azure pohybuje mezi datovými ccentry (mimo fyzické hranice, které neřídí Microsoft ani jménem Microsoftu), využívá se šifrování vrstvy datového propojení MACsec na základním síťovém hardwaru. To platí pro provoz VNet Peeringu.

Proč je připojení peeringu v odpojeném stavu?

Připojení VNet Peeringu při odstranění jednoho partnerského propojení virtuálních sítí přechádují do stavu Odpojeno. Aby bylo možné znovu navázat úspěšné připojení peeringu, musíte odstranit obě propojení.

Pokud VNetA nasoudíte jako partnerský vztah s virtuální sítí B a VNetB v partnerském vztahu se sítí VNetC, znamená to, že jsou v partnerském vztahu virtuální sítě A a VNetC?

No. Tranzitivní peering se nepodporuje. Aby k tomu došlo, musíte vytvořit partnerský vztah mezi virtuálními sítěmi VNetA a VNetC.

Existují nějaká omezení šířky pásma pro připojení peeringu?

No. Partnerský vztah virtuálních sítí, ať už místní nebo globální, neukládá žádná omezení šířky pásma. Šířku pásma omezuje pouze virtuální počítač nebo výpočetní prostředek.

Jak můžu řešit potíže s partnerskými vztahy virtuálních sítí?

Tady je průvodce odstraňováním potíží, který můžete vyzkoušet.

Naslouchací zařízení virtuální sítě

Které oblasti Azure jsou k dispozici pro tap virtuální sítě?

Tap ve virtuální síti ve verzi Preview je k dispozici ve všech oblastech Azure. Monitorovaná síťová rozhraní, prostředek TAP virtuální sítě a řešení kolektoru nebo analýzy musí být nasazené ve stejné oblasti.

Podporuje Virtual Network TAP u zrcadlených paketů nějaké možnosti filtrování?

Možnosti filtrování nejsou podporovány ve verzi Preview tap virtuální sítě. Při přidání konfigurace TAP do síťového rozhraní se do cíle TAP streamuje hluboká kopie veškerého příchozího a výchozího provozu v síťovém rozhraní.

Je možné do monitorovaného síťového rozhraní přidat více konfigurací TAP?

Monitorované síťové rozhraní může mít pouze jednu konfiguraci TAP. V individuálním partnerském řešení zkontrolujte možnost streamovat více kopií provozu TAP do analytických nástrojů podle vašeho výběru.

Může stejný prostředek TAP virtuální sítě agregovat provoz z monitorovaných síťových rozhraní ve více než jedné virtuální síti?

Ano. Stejný prostředek TAP virtuální sítě je možné použít k agregaci zrcadleného provozu z monitorovaných síťových rozhraní v partnerských virtuálních sítích ve stejném předplatném nebo jiném předplatném. Prostředek TAP virtuální sítě a cílový nástroj pro vyrovnávání zatížení nebo cílové síťové rozhraní musí být ve stejném předplatném. Všechna předplatná musí být ve stejném Azure Active Directory tenantovi.

Je při povolení konfigurace TAP virtuální sítě na síťovém rozhraní důležité zvážit výkon produkčního provozu?

Tap virtuální sítě je ve verzi Preview. Ve verzi Preview neexistuje žádná smlouva o úrovni služeb. Tato možnost by se neměla používat pro produkční úlohy. Pokud je síťové rozhraní virtuálního počítače povolené s konfigurací TAP, k provedení funkce zrcadlení a odesílání zrcadlených paketů se používají stejné prostředky na hostiteli Azure přidělené virtuálnímu počítači k odeslání produkčního provozu. Vyberte správnou velikost virtuálního počítače s Linuxem nebo Windows, abyste zajistili, že virtuální počítač bude mít k dispozici dostatek prostředků pro odesílání provozního provozu a zrcadleného provozu.

Podporují se akcelerované síťové služby pro Linux nebo Windows ve virtuální síti TAP?

Konfiguraci TAP budete moct přidat do síťového rozhraní připojeného k virtuálnímu počítači, který má povolené akcelerované síťové služby. Přidání konfigurace TAP ale bude mít vliv na výkon a latenci virtuálního počítače, protože akcelerované síťové služby Azure v současné době nepodporují snižování zátěže provozu zrcadlení.

Koncové body služby pro virtuální síť

Jaká je správnou posloupnost operací pro nastavení koncových bodů služby pro službu Azure?

Existují dva kroky pro zabezpečení prostředku služby Azure prostřednictvím koncových bodů služby:

1. Zapněte koncové body služby pro službu Azure.
2. Nastavte seznamy ACL virtuální sítě ve službě Azure.

Prvním krokem je operace na straně sítě a druhý krok je operace na straně prostředku služby. Oba kroky může provést buď stejný správce, nebo jiný správce na základě oprávnění Azure RBAC udělených roli správce. Před nastavením seznamu ACL virtuální sítě na straně služeb Azure doporučujeme nejprve zapnout koncové body služby pro virtuální síť. Proto je nutné kroky provést v pořadí uvedeném výše, aby bylo možné nastavit koncové body služeb virtuální sítě.

Některé služby (například SQL a CosmosDB) povolují výjimky z výše uvedeného pořadí prostřednictvím příznaku IgnoreMissingVnetServiceEndpoint. Jakmile je příznak nastavený na Hodnotu True, můžete seznamy ACL virtuální sítě nastavit na straně služby Azure před nastavením koncových bodů služby na straně sítě. Služby Azure poskytují tento příznak, který zákazníkům pomůže v případech, kdy jsou ve službách Azure nakonfigurované konkrétní brány firewall protokolu IP a zapnutí koncových bodů služby na straně sítě může vést k poklesu připojení, protože zdrojová IP adresa se změní z veřejné IPv4 adresy na privátní adresu. Nastavení seznamu ACL virtuální sítě na straně služby Azure před nastavením koncových bodů služby na straně sítě může pomoct zabránit poklesu připojení.

Nacházejí se všechny služby Azure ve virtuální síti Azure poskytované zákazníkem? Jak koncový bod služby virtuální sítě funguje se službami Azure?

Ne, ne všechny služby Azure se nacházejí ve virtuální síti zákazníka. Většina datových služeb Azure, jako jsou Azure Storage, Azure SQL a Azure Cosmos DB, jsou služby s více tenanty, ke kterým lze přistupovat prostřednictvím veřejných IP adres. Další informace o integraci virtuální sítě pro služby Azure najdete tady.

Když použijete funkci koncových bodů služeb virtuální sítě (zapnutí koncového bodu služby virtuální sítě na straně sítě a nastavení vhodných seznamy ACL virtuální sítě na straně služby Azure), je přístup ke službě Azure omezený na povolenou virtuální síť a podsíť.

Jak koncový bod služby virtuální sítě poskytuje zabezpečení?

Funkce koncového bodu služby virtuální sítě (zapnutí koncového bodu služby virtuální sítě na straně sítě a nastavení příslušných seznamy ACL virtuální sítě na straně služby Azure) omezuje přístup služeb Azure k povolené virtuální síti a podsíti, takže poskytuje zabezpečení na úrovni sítě a izolaci provozu služeb Azure. Veškerý provoz využívající koncové body služeb virtuální sítě prochází páteřní sítí Microsoftu a poskytuje tak další vrstvu izolace od veřejného internetu. Zákazníci se navíc mohou rozhodnout plně odebrat veřejný internetový přístup k prostředkům služby Azure a povolit provoz pouze ze své virtuální sítě prostřednictvím kombinace brány firewall protokolu IP a seznamu ACL virtuální sítě, a tím ochránit prostředky služeb Azure před neoprávněným přístupem.

Co chrání koncový bod služby virtuální sítě – prostředky virtuální sítě nebo služba Azure?

Koncové body služeb virtuální sítě pomáhají chránit prostředky služeb Azure. Prostředky virtuální sítě jsou chráněné prostřednictvím skupin zabezpečení sítě (NSG).

Jsou za používání koncových bodů služeb virtuální sítě nějaké náklady?

Ne, za používání koncových bodů služeb virtuální sítě se nenáklady nenáklady.

Můžu zapnout koncové body služeb virtuální sítě a nastavit seznamy ACL virtuální sítě, pokud virtuální síť a prostředky služeb Azure patří do různých předplatných?

Ano, je to možné. Virtuální sítě a prostředky služeb Azure mohou být buď ve stejném předplatném, nebo v různých předplatných. Jediným požadavkem je, aby virtuální síť i prostředky služeb Azure byly ve stejném tenantovi Active Directory (AD).

Můžu zapnout koncové body služeb virtuální sítě a nastavit seznamy ACL virtuální sítě, pokud virtuální síť a prostředky služeb Azure patří do různých tenantů AD?

Ano, při použití koncových bodů služby pro Azure Storage a Azure Key Vault. U ostatních služeb nejsou koncové body služeb virtuální sítě a seznamy ACL virtuální sítě podporované napříč tenanty AD.

Může IP adresa místního zařízení připojená přes azure Virtual Network gateway (VPN) nebo bránu ExpressRoute přistupovat ke službě Azure PaaS přes koncové body služeb virtuální sítě?

Prostředky služeb Azure svázané s virtuálními sítěmi ve výchozím nastavení nejsou přístupné z místních sítí. Pokud chcete povolit provoz z místního prostředí, musíte také povolit veřejné IP adresy (obvykle NAT) z místního prostředí nebo ExpressRoute. Tyto IP adresy je možné přidat prostřednictvím konfigurace brány firewall protokolu IP pro prostředky služeb Azure.

Můžu pomocí funkce Koncový bod služby virtuální sítě zabezpečit službu Azure s několika podsítěmi v rámci virtuální sítě nebo mezi několika virtuálními sítěmi?

Pokud chcete služby Azure zabezpečit s několika podsítěmi v rámci virtuální sítě nebo mezi několika virtuálními sítěmi, povolte koncové body služby na straně sítě v každé podsíti nezávisle na sobě a pak zabezpečte prostředky služeb Azure pro všechny podsítě nastavením odpovídajících seznamy ACL virtuální sítě na straně služby Azure.

Jak můžu odfiltrovat odchozí provoz z virtuální sítě do služeb Azure a stále používat koncové body služby?

Pokud chcete kontrolovat nebo filtrovat provoz směřující do služby Azure z virtuální sítě, můžete nasadit síťové virtuální zařízení v rámci virtuální sítě. Pak můžete použít koncové body služby pro podsíť, ve které je virtuální síťové zařízení nasazené, a zabezpečit prostředky služby Azure jenom pro tuto podsíť prostřednictvím seznamů ACL pro virtuální sítě. Tento scénář může být užitečný i v případě, že chcete omezit přístup služby Azure z vaší virtuální sítě jenom na konkrétní prostředky Azure pomocí filtrování síťového virtuálního zařízení. Další informace najdete v popisu výchozího přenosu dat se síťovými virtuálními zařízeními.

Co se stane, když přistupujete k účtu služby Azure, který má povolený seznam řízení přístupu (ACL) k virtuální síti, mimo virtuální síť?

Vrátí se chyba HTTP 403 nebo HTTP 404.

Mají podsítě virtuální sítě vytvořené v různých oblastech povolený přístup k účtu služby Azure v jiné oblasti?

Ano, pro většinu služeb Azure mají virtuální sítě vytvořené v různých oblastech přístup ke službám Azure v jiné oblasti prostřednictvím koncových bodů služby virtuální sítě. pokud je například účet Azure Cosmos DB v Západní USA nebo Východní USA a virtuální sítě jsou ve více oblastech, může k Azure Cosmos DB přistupovat tato virtuální síť. Storage a SQL jsou výjimky a jsou v podstatě regiony a virtuální síť i služba Azure musí být ve stejné oblasti.

Může služba Azure mít jak seznam ACL virtuální sítě, tak bránu firewall protokolu IP?

Ano, seznam ACL virtuální sítě a brána firewall protokolu IP můžou existovat souběžně. Obě funkce se vzájemně doplňují, aby se zajistila izolace a zabezpečení.

Co se stane, když odstraníte virtuální síť nebo podsíť s povoleným koncovým bodem služby pro službu Azure?

Odstranění virtuální sítě a podsítí jsou nezávislé operace a podporují se i v případě, že jsou pro služby Azure zapnuté koncové body služby. V případech, kdy jsou u služeb Azure nastavené seznamy ACL virtuální sítě pro tyto virtuální sítě a podsítě, jsou informace seznamu ACL virtuální sítě přidružené k této službě Azure zakázané, když se odstraní virtuální síť nebo podsíť, která má zapnutý koncový bod služby virtuální sítě.

Co se stane, když se odstraní účet služby Azure s povoleným koncovým bodem služby virtuální sítě?

Odstranění účtu služby Azure je nezávislá operace a podporuje se i v případě, že je koncový bod služby povolen na straně sítě a seznamy ACL pro virtuální síť jsou nastavené na straně služby Azure.

Co se stane se zdrojovou IP adresou prostředku (jako je třeba virtuální počítač v podsíti) s povoleným koncovým bodem služby VNet?

Když jsou povoleny koncové body služby virtuální sítě, zdrojové IP adresy prostředků v podsíti virtuální sítě přecházejí z použití veřejných IPV4 adres na privátní IP adresy virtuální sítě Azure pro provoz do služby Azure. Všimněte si, že to může způsobit, že specifické brány firewall protokolu IP, které se v předchozích verzích služby Azure nastavily na veřejnou IPV4 adresu, nejsou úspěšné.

Má vždy přednost směrování koncového bodu služby?

Koncové body služby přidávají systémovou trasu, která má přednost před trasami protokolu BGP a poskytuje optimální směrování provozu koncového bodu služby. koncové body služby vždy přebírají provoz služby přímo z vaší virtuální sítě do služby v páteřní síti Microsoft Azure. Další informace o tom, jak Azure vybírá trasu, najdete v tématu směrování provozu virtuální sítě Azure.

Fungují koncové body služby s protokolem ICMP?

Ne. přenosy protokolu ICMP, které se nacházely z podsítě s povolenými koncovými body služby, převezmou cestu k tunelu služby na požadovaný koncový bod. Koncové body služby budou zpracovávat jenom přenosy TCP. To znamená, že pokud chcete otestovat latenci nebo připojení ke koncovému bodu prostřednictvím koncových bodů služby, nástroje, jako je třeba příkazy příkazového testu a příkazu tracert, nebudou zobrazovat skutečnou cestu, kterou budou prostředky v podsíti provádět.

Jak funguje NSG v podsíti s koncovými body služby?

Aby se dosáhlo služby Azure, skupin zabezpečení sítě musí umožňovat odchozí připojení. Pokud se vaše skupin zabezpečení sítě otevřou na veškerý internetový odchozí provoz, měl by provoz koncového bodu služby fungovat. Odchozí provoz na IP adresy služeb taky můžete omezit jenom pomocí značek služeb.

Jaká oprávnění potřebuji k nastavení koncových bodů služby?

Koncové body služby je možné nakonfigurovat ve virtuální síti nezávisle na uživateli s oprávněním k zápisu do virtuální sítě. Aby bylo možné zabezpečit prostředky služeb Azure pro virtuální síť, musí mít uživatel oprávnění Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action pro přidávané podsítě. Toto oprávnění je ve výchozím nastavení součástí předdefinované role správce služeb a dá se upravit vytvořením vlastních rolí. Další informace o předdefinovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím.

Můžu filtrovat provoz virtuální sítě do služeb Azure a povolit jenom konkrétní prostředky služeb Azure, přes koncové body služby VNet?

Zásady koncového bodu služby Virtual Network (VNet) umožňují filtrovat provoz virtuální sítě do služeb Azure a povolit jenom určité prostředky služby Azure nad koncovými body služby. Zásady koncového bodu poskytují podrobné řízení přístupu z provozu virtuální sítě do služeb Azure. Další informace o zásadách koncového bodu služby najdete tady.

podporuje Azure Active Directory (Azure AD) koncové body služby virtuální sítě?

Azure Active Directory (Azure AD) nepodporují nativní koncové body služby. Úplný seznam služeb Azure, které podporují koncové body služby virtuální sítě, najdete tady. Všimněte si, že značka "Microsoft. Azureactivedirectory selhala" uvedená v části služby podporující koncové body služby se používá pro podporu koncových bodů služby ADLS pro obecné 1. v případě ADLS 1 pro obecné služby virtual network integration service pro Azure Data Lake Storage Gen1 využívá zabezpečení koncového bodu služby virtuální sítě mezi vaší virtuální sítí a Azure Active Directory (Azure AD) ke generování dalších deklarací zabezpečení v přístupovém tokenu. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu. Další informace o integraci virtuální sítě Azure Data Lake Store Gen 1

Existují nějaká omezení počtu koncových bodů služby virtuální sítě, které můžu nastavit z mé virtuální sítě?

Celkový počet koncových bodů služby virtuální sítě ve virtuální síti není nijak omezený. pro prostředek služby Azure (například účet Azure Storage) můžou služby vymáhat omezení počtu podsítí používaných k zabezpečení prostředku. Následující tabulka uvádí některé příklady omezení: