Nejčastější dotazy k Azure Virtual Networku (FAQ)Azure Virtual Network frequently asked questions (FAQ)

Základy Virtual NetworkVirtual Network basics

Co je Azure Virtual Network (VNet)?What is an Azure Virtual Network (VNet)?

Azure Virtual Network (VNet) je reprezentace vaší vlastní sítě v cloudu.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Je to logická izolace cloudu Azure vyhrazeného pro vaše předplatné.It is a logical isolation of the Azure cloud dedicated to your subscription. Virtuální sítě můžete použít ke zřízení a správě virtuálních privátních sítí (VPN) v Azure a volitelně k propojení virtuální sítě s ostatními virtuální sítě v Azure nebo s místní infrastrukturou IT pro vytváření hybridních nebo mezimístěných řešení.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Každá virtuální síť, kterou vytvoříte, má vlastní blok CIDR a může být propojena s jinými virtuální sítě a místními sítěmi, pokud se bloky CIDR nepřekrývají.Each VNet you create has its own CIDR block, and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. Také máte kontrolu nad nastavením serveru DNS pro virtuální sítě a segmentace virtuální sítě do podsítí.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Použít virtuální sítě k:Use VNets to:

  • Vytvořte vyhrazenou virtuální síť jen pro privátní cloud.Create a dedicated private cloud-only VNet. Někdy nepotřebujete pro vaše řešení konfiguraci mezi různými místy.Sometimes you don't require a cross-premises configuration for your solution. Při vytváření sítě VNet můžou vaše služby a virtuální počítače v rámci virtuální sítě komunikovat přímo a bezpečně mezi sebou v cloudu.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. I nadále můžete nakonfigurovat připojení koncových bodů pro virtuální počítače a služby, které vyžadují internetovou komunikaci, jako součást řešení.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Zabezpečeně šíří vaše datové centrum.Securely extend your data center. Pomocí virtuální sítě můžete vytvářet tradiční sítě VPN S2S (site-to-site) k bezpečnému škálování kapacity datacentra.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. S2S VPN používají protokol IPSEC k zajištění zabezpečeného připojení mezi vaší firemní bránou VPN a Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Povolte hybridní cloudové scénáře.Enable hybrid cloud scenarios. Virtuální sítě vám nabízí flexibilitu při podpoře řady hybridních cloudových scénářů.VNets give you the flexibility to support a range of hybrid cloud scenarios. Cloudové aplikace můžete bezpečně propojit s jakýmkoli typem místního systému, jako jsou sálové počítače a systémy UNIX.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Jak mám začít?How do I get started?

Začněte tím, že přejdete do dokumentace ke službě Virtual Network .Visit the Virtual network documentation to get started. Tento obsah poskytuje informace o přehledu a nasazení všech funkcí virtuální sítě.This content provides overview and deployment information for all of the VNet features.

Můžu používat virtuální sítě bez připojení mezi místními místy?Can I use VNets without cross-premises connectivity?

Ano.Yes. Virtuální síť můžete použít bez připojení k vašemu pracovišti.You can use a VNet without connecting it to your premises. Můžete například spustit řadiče domény služby Active Directory systému Microsoft Windows Server a farmy služby SharePoint výhradně ve virtuální síti Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Můžu provést optimalizaci sítě WAN mezi virtuální sítě nebo virtuální sítí a místním datovým centrem?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Ano.Yes. Virtuální zařízení pro optimalizaci sítě WAN můžete nasadit od několika dodavatelů prostřednictvím Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

KonfiguraciConfiguration

Jaké nástroje slouží k vytvoření virtuální sítě?What tools do I use to create a VNet?

Virtuální síť můžete vytvořit nebo nakonfigurovat pomocí následujících nástrojů:You can use the following tools to create or configure a VNet:

Jaké rozsahy adres můžu ve svém virtuální sítě použít?What address ranges can I use in my VNets?

Libovolný rozsah IP adres definovaný v dokumentu RFC 1918.Any IP address range defined in RFC 1918. Například 10.0.0.0/16.For example, 10.0.0.0/16. Nemůžete přidat tyto rozsahy adres:You cannot add the following address ranges:

  • 224.0.0.0/4 (vícesměrové vysílání)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (všesměrové vysílání)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (zpětná smyčka)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (místní propojení)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (interní DNS)168.63.129.16/32 (Internal DNS)

Můžu mít v virtuální sítě veřejné IP adresy?Can I have public IP addresses in my VNets?

Ano.Yes. Další informace o rozsahech veřejných IP adres najdete v tématu vytvoření virtuální sítě.For more information about public IP address ranges, see Create a virtual network. Veřejné IP adresy nejsou přímo dostupné z Internetu.Public IP addresses are not directly accessible from the internet.

Existuje omezení počtu podsítí ve virtuální síti?Is there a limit to the number of subnets in my VNet?

Ano.Yes. Podrobnosti najdete v tématu omezení Azure .See Azure limits for details. Adresní prostory podsítě nemůžou překrývat sebe.Subnet address spaces cannot overlap one another.

Existují nějaká omezení používání IP adres v těchto podsítích?Are there any restrictions on using IP addresses within these subnets?

Ano.Yes. Azure si v každé podsíti vyhrazuje 5 IP adres.Azure reserves 5 IP addresses within each subnet. Jedná se o x. x. x. 0-x. x. x. 3 a poslední adresu podsítě.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x. x. 1-x. x. x. 3 je v každé podsíti pro služby Azure rezervované.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x. x. x. 0: Síťová adresax.x.x.0: Network address
  • x. x. x. 1: Vyhrazeno službou Azure pro výchozí bránux.x.x.1: Reserved by Azure for the default gateway
  • x. x. x. 2, x. x. x. 3: Vyhrazeno službou Azure pro mapování Azure DNSch IP adres na prostor virtuální sítěx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. x. 255: Adresa všesměrového vysílání sítěx.x.x.255: Network broadcast address

Jak malý a jak velké můžou virtuální sítě a podsítě?How small and how large can VNets and subnets be?

Nejnižší podporovaná podsíť je/29 a největší je/8 (pomocí definice podsítě CIDR).The smallest supported subnet is /29, and the largest is /8 (using CIDR subnet definitions).

Můžu své sítě VLAN přenést do Azure pomocí virtuální sítě?Can I bring my VLANs to Azure using VNets?

Ne.No. Virtuální sítě jsou překryvy vrstvy 3.VNets are Layer-3 overlays. Azure nepodporuje žádné sémantiky vrstvy 2.Azure does not support any Layer-2 semantics.

Můžu v virtuální sítě a podsítích zadat vlastní zásady směrování?Can I specify custom routing policies on my VNets and subnets?

Ano.Yes. Můžete vytvořit směrovací tabulku a přidružit ji k podsíti.You can create a route table and associate it to a subnet. Další informace o směrování v Azure najdete v tématu Přehled směrování.For more information about routing in Azure, see Routing overview.

Podporuje virtuální sítě vícesměrové vysílání nebo všesměrové vysílání?Do VNets support multicast or broadcast?

Ne.No. Vícesměrové vysílání a všesměrové vysílání nejsou podporovány.Multicast and broadcast are not supported.

Jaké protokoly můžu v virtuální sítě použít?What protocols can I use within VNets?

V virtuální sítě můžete používat protokoly TCP/IP protokolu TCP, UDP a ICMP.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. V rámci virtuální sítě se podporuje jednosměrové vysílání s výjimkou protokolu DHCP (Dynamic Host Configuration Protocol) prostřednictvím jednosměrového vysílání (zdrojový port UDP/68/cílový port UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). Vícesměrové vysílání, všesměrové vysílání, zapouzdřené pakety IP-in-IP a pakety GRE (Generic Routing Encapsulation) jsou v rámci virtuální sítě blokované.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Můžu v rámci virtuální sítě testovat svůj výchozí směrovač?Can I ping my default routers within a VNet?

Ne.No.

Můžu pomocí příkazu tracert diagnostikovat připojení?Can I use tracert to diagnose connectivity?

Ne.No.

Můžu po vytvoření virtuální sítě přidat podsítě?Can I add subnets after the VNet is created?

Ano.Yes. Podsítě lze kdykoli přidat do virtuální sítě, pokud rozsah adres podsítě není součástí jiné podsítě a v rozsahu adres virtuální sítě je dostupné místo.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Můžu po vytvoření této podsítě změnit její velikost?Can I modify the size of my subnet after I create it?

Ano.Yes. Pokud v něm nejsou nasazené žádné virtuální počítače nebo služby, můžete přidat, odebrat, rozbalit nebo zmenšit podsíť.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Můžu po vytvoření upravit podsítě?Can I modify subnets after I created them?

Ano.Yes. Můžete přidávat, odebírat a upravovat bloky CIDR používané virtuální sítí.You can add, remove, and modify the CIDR blocks used by a VNet.

Když mám služby ve virtuální síti, můžu se připojit k Internetu?If I am running my services in a VNet, can I connect to the internet?

Ano.Yes. Všechny služby nasazené ve virtuální síti můžou připojit odchozí připojení k Internetu.All services deployed within a VNet can connect outbound to the internet. Další informace o odchozích připojeních k Internetu v Azure najdete v tématu odchozí připojení.To learn more about outbound internet connections in Azure, see Outbound connections. Pokud chcete příchozí připojení k prostředku nasazenému prostřednictvím Správce prostředků, musí mít prostředek přiřazenou veřejnou IP adresu.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Další informace o veřejných IP adresách najdete v tématu veřejné IP adresy.To learn more about public IP addresses, see Public IP addresses. Každá cloudová služba Azure nasazená v Azure má přiřazenou veřejně adresovatelnou VIP adresu.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Definujete vstupní koncové body pro role PaaS a koncové body pro virtuální počítače, aby tyto služby mohly přijímat připojení z Internetu.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Podporuje virtuální sítě protokol IPv6?Do VNets support IPv6?

Ne.No. V tuto chvíli nemůžete použít protokol IPv6 s virtuální sítě.You cannot use IPv6 with VNets at this time. K vyrovnávání zatížení virtuálních počítačů ale můžete přiřadit IPv6 adresy k nástrojům pro vyrovnávání zatížení Azure.You can however, assign IPv6 addresses to Azure load balancers to load balance virtual machines. Podrobnosti najdete v tématu Přehled protokolu IPv6 pro Azure Load Balancer.For details, see Overview of IPv6 for Azure Load Balancer.

Můžou být virtuální sítě oblastí rozsahů?Can a VNet span regions?

Ne.No. Virtuální síť je omezená jenom na jednu oblast.A VNet is limited to a single region. Virtuální síť ale zahrnuje zóny dostupnosti.A virtual network does, however, span availability zones. Další informace o zónách dostupnosti najdete v tématu Přehled zón dostupnosti.To learn more about availability zones, see Availability zones overview. Virtuální sítě můžete propojit v různých oblastech s využitím partnerského vztahu virtuálních sítí.You can connect virtual networks in different regions with virtual network peering. Podrobnosti najdete v tématu Přehled partnerských vztahů virtuálních sítí .For details, see Virtual network peering overview

Můžu připojit virtuální síť k jiné virtuální síti v Azure?Can I connect a VNet to another VNet in Azure?

Ano.Yes. Jednu virtuální síť můžete připojit k jiné virtuální síti pomocí těchto akcí:You can connect one VNet to another VNet using either:

Překlad názvů (DNS)Name Resolution (DNS)

Jaké jsou možnosti služby DNS pro virtuální sítě?What are my DNS options for VNets?

Na stránce pro překlad IP adres pro virtuální počítače a instance rolí použijte tabulku rozhodnutí, která vás provede všemi dostupnými možnostmi DNS.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Můžu zadat servery DNS pro virtuální síť?Can I specify DNS servers for a VNet?

Ano.Yes. IP adresy serveru DNS můžete zadat v nastavení virtuální sítě.You can specify DNS server IP addresses in the VNet settings. Toto nastavení se použije jako výchozí server DNS pro všechny virtuální počítače ve virtuální síti.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Kolik serverů DNS lze zadat?How many DNS servers can I specify?

Odkazy na omezení Azure.Reference Azure limits.

Můžu po vytvoření sítě změnit svoje servery DNS?Can I modify my DNS servers after I have created the network?

Ano.Yes. V každém okamžiku můžete seznam serverů DNS pro virtuální síť kdykoli změnit.You can change the DNS server list for your VNet at any time. Pokud změníte seznam serverů DNS, bude nutné restartovat každý virtuální počítač ve virtuální síti, aby bylo možné vybrat nový server DNS.If you change your DNS server list, you will need to restart each of the VMs in your VNet in order for them to pick up the new DNS server.

Co je služba DNS poskytovaná Azure a funguje s virtuální sítě?What is Azure-provided DNS and does it work with VNets?

DNS poskytovaná Azure je víceklientské služba DNS nabízená Microsoftem.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure zaregistruje všechny vaše virtuální počítače a instance rolí cloudové služby v této službě.Azure registers all of your VMs and cloud service role instances in this service. Tato služba poskytuje překlad názvů podle názvu hostitele pro virtuální počítače a instance rolí obsažené v rámci stejné cloudové služby a podle plně kvalifikovaného názvu domény pro virtuální počítače a instance rolí ve stejné virtuální síti.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Další informace o DNS najdete v tématu překlad názvů pro virtuální počítače a Cloud Services instance rolí.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

K dispozici jsou omezení prvních 100 cloudových služeb ve virtuální síti pro překlad IP adres mezi klienty pomocí služby DNS poskytované službou Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Pokud používáte vlastní server DNS, toto omezení se nevztahuje.If you are using your own DNS server, this limitation does not apply.

Můžu přepsat nastavení DNS v závislosti na virtuálním počítači nebo cloudové službě?Can I override my DNS settings on a per-VM or cloud service basis?

Ano.Yes. Můžete nastavit servery DNS na virtuální počítač nebo cloudovou službu a přepsat tak výchozí nastavení sítě.You can set DNS servers per VM or cloud service to override the default network settings. Doporučuje se ale co nejvíc používat službu DNS v rámci sítě.However, it's recommended that you use network-wide DNS as much as possible.

Můžu si přenést vlastní příponu DNS?Can I bring my own DNS suffix?

Ne.No. Pro virtuální sítě nejde zadat vlastní příponu DNS.You cannot specify a custom DNS suffix for your VNets.

Připojení virtuálních počítačůConnecting virtual machines

Můžu nasazovat virtuální počítače do virtuální sítě?Can I deploy VMs to a VNet?

Ano.Yes. Všechna síťová rozhraní (NIC) připojená k virtuálnímu počítači nasazenému prostřednictvím modelu nasazení Správce prostředků musí být připojená k virtuální síti.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Virtuální počítače nasazené prostřednictvím modelu nasazení Classic se můžou volitelně připojit k virtuální síti.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Jaké jsou různé typy IP adres, které můžu přiřadit k virtuálním počítačům?What are the different types of IP addresses I can assign to VMs?

  • Hlášen Přiřazené ke každému síťovému rozhraní v rámci každého virtuálního počítače.Private: Assigned to each NIC within each VM. Adresa je přiřazena buď pomocí statické, nebo dynamické metody.The address is assigned using either the static or dynamic method. Privátní IP adresy se přiřazují z rozsahu, který jste zadali v nastavení podsítě vaší virtuální sítě.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Prostředky nasazené prostřednictvím modelu nasazení Classic jsou přiřazeny privátní IP adresy, i když nejsou připojené k virtuální síti.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Chování metody přidělování se liší v závislosti na tom, jestli byl prostředek nasazený pomocí modelu nasazení Správce prostředků nebo Classic:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Správce prostředků: Privátní IP adresa přiřazená dynamické nebo statické metodě zůstane přiřazená virtuálnímu počítači (Správce prostředků), dokud se prostředek neodstraní.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. Rozdílem je, že vyberete adresu, která se má přiřadit při použití Static, a Azure při použití dynamického výběru zvolí.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Klasické: Privátní IP adresa přiřazená dynamické metodě se může změnit, když se virtuální počítač (klasický) restartuje po uplynutí stavu Zastaveno (přidělení zrušeno).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Pokud potřebujete zajistit, aby se privátní IP adresa pro prostředek nasazená prostřednictvím modelu nasazení Classic nikdy nezměnila, přiřaďte privátní IP adresu statickou metodou.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Republik Volitelně se přiřazují síťové adaptéry připojené k virtuálním počítačům nasazeným prostřednictvím modelu nasazení Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. Adresa může být přiřazena se statickou nebo dynamickou metodou přidělování.The address can be assigned with the static or dynamic allocation method. Všechny virtuální počítače a Cloud Services instance rolí nasazené prostřednictvím modelu nasazení Classic existují v rámci cloudové služby, která je přiřazená k dynamickéveřejné virtuální IP adrese (VIP).All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Veřejnou statickou IP adresu, která se nazývá vyhrazená IP adresa adresa, se dá volitelně přiřadit jako virtuální IP adresa.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Veřejné IP adresy můžete přiřadit jednotlivým virtuálním počítačům nebo Cloud Services instancím rolí nasazeným prostřednictvím modelu nasazení Classic.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Tyto adresy se nazývají veřejné IP adresy na úrovni instance (adresy ILPIP a dají se dynamicky přiřazovat.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Můžu si vyhradit soukromou IP adresu pro virtuální počítač, který vytvořím později?Can I reserve a private IP address for a VM that I will create at a later time?

Ne.No. Nemůžete rezervovat privátní IP adresu.You cannot reserve a private IP address. Pokud je k dispozici privátní IP adresa, je server DHCP přiřazen k virtuálnímu počítači nebo instanci role.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. Virtuální počítač může nebo nemusí být ten, ke kterému chcete přiřadit privátní IP adresu.The VM may or may not be the one that you want the private IP address assigned to. Můžete však změnit soukromou IP adresu již vytvořeného virtuálního počítače na libovolnou dostupnou privátní IP adresu.You can, however, change the private IP address of an already created VM, to any available private IP address.

Mění se privátní IP adresy pro virtuální počítače ve virtuální síti?Do private IP addresses change for VMs in a VNet?

To záleží na okolnostech.It depends. Pokud byl virtuální počítač nasazen prostřednictvím Správce prostředků, ne bez ohledu na to, zda byla IP adresa přiřazena se statickou nebo dynamickou metodou přidělení.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Pokud byl virtuální počítač nasazen prostřednictvím modelu nasazení Classic, dynamické IP adresy se můžou změnit, když se virtuální počítač spustí po uplynutí stavu Zastaveno (přidělení zrušeno).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. Adresa se uvolní z virtuálního počítače nasazeného pomocí modelu nasazení v případě odstranění virtuálního počítače.The address is released from a VM deployed through either deployment model when the VM is deleted.

Můžu ručně přiřadit IP adresy k síťovým kartám v operačním systému virtuálního počítače?Can I manually assign IP addresses to NICs within the VM operating system?

Ano, ale nedoporučuje se, pokud je to nutné, například při přiřazování více IP adres k virtuálnímu počítači.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Podrobnosti najdete v tématu Přidání více IP adres k virtuálnímu počítači.For details, see Adding multiple IP addresses to a virtual machine. Pokud se změní IP adresa přiřazená k síťové kartě Azure připojené k virtuálnímu počítači a IP adresa v operačním systému virtuálního počítače je odlišná, ztratíte připojení k virtuálnímu počítači.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Když zastavím slot nasazení cloudové služby nebo vypnete virtuální počítač z operačního systému, co se stane s IP adresami?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Žádným.Nothing. IP adresy (veřejné virtuální IP adresy, veřejné a privátní) zůstanou přiřazené k slotu nasazení cloudové služby nebo k virtuálnímu počítači.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Můžu přesunout virtuální počítače z jedné podsítě do jiné podsítě ve virtuální síti bez nutnosti opětovného nasazení?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Ano.Yes. Další informace najdete v tématu Postup přesunutí instance virtuálního počítače nebo role do jiné podsítě .You can find more information in the How to move a VM or role instance to a different subnet article.

Můžu pro svůj virtuální počítač nakonfigurovat statickou adresu MAC?Can I configure a static MAC address for my VM?

Ne.No. Adresu MAC nelze staticky konfigurovat.A MAC address cannot be statically configured.

Zůstane adresa MAC pro svůj virtuální počítač stejná, až se vytvoří?Will the MAC address remain the same for my VM once it's created?

Ano, adresa MAC zůstane stejná pro virtuální počítač nasazený prostřednictvím modelu nasazení Správce prostředků i klasický, dokud ho neodstraníte.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Dříve byla adresa MAC uvolněna v případě, že byl virtuální počítač zastaven (přidělení zrušeno), ale nyní je adresa MAC uchována i v případě, že je virtuální počítač ve stavu zrušeno přidělení.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. Adresa MAC zůstane přiřazená síťovému rozhraní, dokud se neodstraní síťové rozhraní nebo se nezmění privátní IP adresa přiřazená k primární konfiguraci IP rozhraní primárního síťového rozhraní.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Můžu se připojit k Internetu z virtuálního počítače ve virtuální síti?Can I connect to the internet from a VM in a VNet?

Ano.Yes. Všechny virtuální počítače a Cloud Services instance rolí nasazené v rámci virtuální sítě se můžou připojit k Internetu.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Služby Azure, které se připojují k virtuální sítěAzure services that connect to VNets

Můžu použít Azure App Service Web Apps s virtuální sítí?Can I use Azure App Service Web Apps with a VNet?

Ano.Yes. Můžete nasadit Web Apps v rámci virtuální sítě pomocí pomocného mechanismu řízení (App Service Environment), připojit back-end vašich aplikací k virtuální sítě s integrací virtuální sítě a uzamknout příchozí provoz do vaší aplikace pomocí koncových bodů služby.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Další informace najdete v následujících článcích:For more information, see the following articles:

Můžu ve virtuální síti nasazovat Cloud Services s webovými a pracovními rolemi (PaaS)?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Ano.Yes. Můžete (volitelně) nasadit instance rolí Cloud Services v rámci virtuální sítě.You can (optionally) deploy Cloud Services role instances within VNets. Uděláte to tak, že v části Konfigurace sítě v konfiguraci služby zadáte název virtuální sítě a mapování rolí a podsítí.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Nemusíte aktualizovat žádné z vašich binárních souborů.You do not need to update any of your binaries.

Můžu připojit sadu škálování virtuálního počítače k virtuální síti?Can I connect a virtual machine scale set to a VNet?

Ano.Yes. Musíte připojit sadu škálování virtuálního počítače k virtuální síti.You must connect a virtual machine scale set to a VNet.

Existuje úplný seznam služeb Azure, které můžu nasadit prostředky z do virtuální sítě?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Ano, podrobnosti najdete v tématu Integrace virtuální sítě pro služby Azure.Yes, For details, see Virtual network integration for Azure services.

Které prostředky Azure PaaS můžu omezit přístup k z virtuální sítě?Which Azure PaaS resources can I restrict access to from a VNet?

Prostředky nasazené prostřednictvím některých služeb Azure PaaS (například Azure Storage a Azure SQL Database) můžou omezit síťový přístup jenom na prostředky ve virtuální síti prostřednictvím použití koncových bodů služby virtuální sítě.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to only resources in a VNet through the use of virtual network service endpoints. Podrobnosti najdete v tématu Přehled koncových bodů služby virtuální sítě.For details, see Virtual network service endpoints overview.

Můžu přesunout služby z virtuální sítě a z něj?Can I move my services in and out of VNets?

Ne.No. Nemůžete přesouvat služby z virtuální sítě a z ní.You cannot move services in and out of VNets. Pokud chcete přesunout prostředek do jiné virtuální sítě, musíte prostředek odstranit a znovu nasadit.To move a resource to another VNet, you have to delete and redeploy the resource.

ZabezpečeníSecurity

Jaký je model zabezpečení pro virtuální sítě?What is the security model for VNets?

Virtuální sítě jsou izolované od sebe a další služby, které jsou hostovány v infrastruktuře Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Virtuální síť je hranice vztahu důvěryhodnosti.A VNet is a trust boundary.

Můžu na prostředky připojené k virtuální síti omezit tok příchozích nebo odchozích přenosů?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Ano.Yes. Skupiny zabezpečení sítě můžete použít pro jednotlivé podsítě v rámci virtuální sítě, síťových adaptérů připojených k virtuální síti nebo obou.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Můžu mezi prostředky připojenými k virtuální síti implementovat bránu firewall?Can I implement a firewall between VNet-connected resources?

Ano.Yes. Můžete nasadit síťové virtuální zařízení brány firewall od několika dodavatelů prostřednictvím Azure Marketplace.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Jsou k dispozici informace o zabezpečení virtuální sítě?Is there information available about securing VNets?

Ano.Yes. Podrobnosti najdete v tématu Přehled zabezpečení sítě Azure.For details, see Azure Network Security Overview.

Rozhraní API, schémata a nástrojeAPIs, schemas, and tools

Můžu spravovat virtuální sítě z kódu?Can I manage VNets from code?

Ano.Yes. Rozhraní REST API pro virtuální sítě můžete použít v modelech nasazení Azure Resource Manager a Classic .You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Je k dispozici podpora nástrojů pro virtuální sítě?Is there tooling support for VNets?

Ano.Yes. Další informace o používání:Learn more about using:

Partnerské vztahy virtuálních sítíVNet peering

Co je partnerský vztah VNet?What is VNet peering?

Partnerský vztah virtuálních sítí (nebo partnerský vztah virtuálních sítí) umožňuje propojit virtuální sítě.VNet peering (or virtual network peering) enables you to connect virtual networks. Připojení peer-to-VNet mezi virtuálními sítěmi umožňuje směrovat provoz mezi nimi soukromě prostřednictvím adres IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Virtuální počítače v partnerských virtuální sítě můžou vzájemně komunikovat, jako kdyby byly ve stejné síti.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Tyto virtuální sítě mohou být ve stejné oblasti nebo v různých oblastech (označuje se také jako globální partnerské vztahy virtuálních sítí).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). Připojení partnerských vztahů virtuální sítě je také možné vytvořit v rámci předplatných Azure.VNet peering connections can also be created across Azure subscriptions.

Můžu vytvořit připojení partnerského vztahu k virtuální síti v jiné oblasti?Can I create a peering connection to a VNet in a different region?

Ano.Yes. Globální VNet peering umožňuje peer virtuální sítě v různých oblastech.Global VNet peering enables you to peer VNets in different regions. Globální síť VNet peering je dostupná ve všech veřejných oblastech Azure, Číně v oblasti cloudu a oblastech cloudu pro státní správu.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Z veřejných oblastí Azure se nemůžete globálně peere navázat na národní oblasti cloudu.You cannot globally peer from Azure public regions to national cloud regions.

Pokud jsou dvě virtuální sítě v jiné oblasti (globální partnerské vztahy virtuálních sítí), nemůžete se připojit k prostředkům, které používají základní Load Balancer.If the two virtual networks are in different region (Global VNet Peering), you cannot connect to resources that use Basic Load Balancer. Můžete se připojit k prostředkům, které používají Standard Load Balancer.You can connect to resources that use Standard Load Balancer. Následující zdroje využívají základní nástroje pro vyrovnávání zatížení, což znamená, že nemůžete komunikovat s nimi v globálním partnerském vztahu virtuálních sítí:The following resources use Basic Load Balancers which means you cannot communicate to them across Global VNet Peering:

  • Virtuální počítače za základními nástroji pro vyrovnávání zatíženíVMs behind Basic Load Balancers
  • Virtual Machine Scale Sets se základními nástroji pro vyrovnávání zatíženíVirtual machine scale sets with Basic Load Balancers
  • Redis CacheRedis Cache
  • SKU Application Gateway (V1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • SQL MISQL MI
  • API ManagementAPI Management
  • Služba Doména služby Active Directory (přidává)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • AKSAKS
  • App Service EnvironmentApp Service Environment

K tomuto prostředku se můžete připojit prostřednictvím ExpressRoute nebo VNet-to-VNet prostřednictvím bran virtuální sítě.You can connect to these resource via ExpressRoute or VNet-to-VNet through VNet Gateways.

Můžu povolit partnerský vztah virtuálních sítí, pokud moje virtuální sítě patří k předplatným v rámci různých klientů Azure Active Directory?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Ano.Yes. Je možné vytvořit partnerský vztah virtuální sítě (místní nebo globální), pokud vaše předplatná patří do různých klientů Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Můžete to provést prostřednictvím PowerShellu nebo rozhraní příkazového řádku.You can do this via PowerShell or CLI. Portál ještě není podporovaný.Portal is not yet supported.

Moje připojení partnerského vztahu virtuální sítě je v inicializovaném stavu, proč se nemůžu připojit?My VNet peering connection is in Initiated state, why can't I connect?

Pokud je připojení partnerského vztahu v inicializovaném stavu, znamená to, že jste vytvořili pouze jeden odkaz.If your peering connection is in an Initiated state, this means you have created only one link. Aby bylo možné vytvořit úspěšné připojení, je nutné vytvořit obousměrný odkaz.A bidirectional link must be created in order to establish a successful connection. Například pro partnerský virtuální síť A k virtuální síti B se musí vytvořit odkaz z partnerském na VNetB a od VNetB do partnerském.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. Vytvořením obou propojení dojde ke změně stavu na připojeno.Creating both links will change the state to Connected.

Moje připojení partnerského vztahu virtuálních sítí je v odpojeném stavu, proč nemůžu vytvořit připojení partnerského vztahu?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Pokud je připojení partnerského vztahu virtuálních sítí v odpojeném stavu, znamená to, že se odstranila jedna z vytvořených odkazů.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Aby bylo možné znovu vytvořit partnerské připojení, bude nutné odstranit odkaz a znovu vytvořit.In order to re-establish a peering connection, you will need to delete the link and recreate.

Můžu na virtuální síť navázat partnerský virtuální síť v jiném předplatném?Can I peer my VNet with a VNet in a different subscription?

Ano.Yes. Můžete peer virtuální sítě napříč předplatnými a různými oblastmi.You can peer VNets across subscriptions and across regions.

Můžu mít dva virtuální sítěy rovnocennosti se stejnými nebo překrývajícími se rozsahy adres?Can I peer two VNets with matching or overlapping address ranges?

Ne.No. Adresní prostory se nesmí překrývat, aby bylo možné povolit partnerský vztah virtuální sítě.Address spaces must not overlap to enable VNet Peering.

Za vytvoření připojení partnerského vztahu virtuálních sítí se neúčtují žádné poplatky.There is no charge for creating a VNet peering connection. Přenos dat mezi připojeními partnerských vztahů se účtuje.Data transfer across peering connections is charged. Podívejte se sem.See here.

Je provoz partnerských vztahů virtuálních sítí zašifrovaný?Is VNet peering traffic encrypted?

Ne.No. Provoz mezi prostředky v virtuální sítě s partnerským vztahem je privátní a izolovaný.Traffic between resources in peered VNets is private and isolated. Zůstane v páteřním rámci společnosti Microsoft celá.It remains completely on the Microsoft Backbone.

Proč je moje připojení partnerského vztahu v odpojeném stavu?Why is my peering connection in a disconnected state?

Připojení partnerských vztahů virtuálních sítí se při odstranění jednoho partnerského vztahu mezi virtuálními sítěmi přejdou do odpojeného stavu.VNet peering connections go into Disconnected state when one VNet peering link is deleted. Aby bylo možné znovu vytvořit úspěšné připojení partnerského vztahu, je nutné odstranit oba odkazy.You must delete both links in order to reestablish a successful peering connection.

Pokud se mi partnerském peer-to-VNetB and I peer VNetB to sítí vnetc, znamená to, že se jedná o partnerský vztah partnerském a sítí vnetc?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Ne.No. Přenosných partnerských vztahů se nepodporuje.Transitive peering is not supported. Aby bylo možné provést tuto službu, je nutné, aby byly partnerské partnerském a sítí vnetc.You must peer VNetA and VNetC for this to take place.

Existují nějaká omezení šířky pásma pro připojení partnerských vztahů?Are there any bandwidth limitations for peering connections?

Ne.No. Síť VNet peering, ať už místní nebo globální, neomezuje žádná omezení šířky pásma.VNet peering, whether local or global, does not impose any bandwidth restrictions. Šířka pásma je omezená jenom virtuálním počítačem nebo výpočetním prostředkem.Bandwidth is only limited by the VM or the compute resource.

Jak mohu řešit problémy s partnerským vztahem virtuální sítě?How can I troubleshoot VNet Peering issues?

Tady je Průvodce odstraňováním potíží , který můžete vyzkoušet.Here is a troubleshooter guide you can try.

Naslouchací zařízení virtuální sítěVirtual network TAP

Které oblasti Azure jsou dostupné pro virtuální síť klepněte na?Which Azure regions are available for virtual network TAP?

V oblasti služby Virtual Network klepněte na možnost Náhled je dostupná ve všech oblastech Azure.Virtual network TAP preview is available in all Azure regions. Monitorovaná síťová rozhraní, virtuální síť klepněte na prostředek a řešení sběrače nebo analýzy musí být nasazeno ve stejné oblasti.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

Virtual Network klepněte podporovat možnosti filtrování zrcadlených paketů?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Možnosti filtrování nejsou v této virtuální síti v rámci verze Preview podporované.Filtering capabilities are not supported with the virtual network TAP preview. Když se v síťovém rozhraní přidá konfigurace klepnutím do síťového rozhraní se vytvoří hluboká kopie všech přenosů dat příchozího a odchozího přenosu v síťovém rozhraní do datového proudu klepnutím na cíl.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Je možné do monitorovaného síťového rozhraní přidat několik konfigurací klepnutí?Can multiple TAP configurations be added to a monitored network interface?

Monitorované síťové rozhraní může mít jenom jednu konfiguraci klepnutím.A monitored network interface can have only one TAP configuration. Podívejte se na jednotlivá Partnerská řešení , abyste mohli zasílat streamování několika kopií v případě provozu do analytických nástrojů podle vašeho výběru.Check with the individual partner solutions for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

Může stejná virtuální síť KLEPNOUT na agregovaný provoz prostředků z monitorovaných síťových rozhraní ve více než jedné virtuální síti?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Ano.Yes. K agregaci zrcadleného provozu z monitorovaných síťových rozhraní v partnerských virtuálních sítích ve stejném předplatném nebo v jiném předplatném se dá použít stejná virtuální síť klepněte na prostředek.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. Virtuální síť klepněte na prostředek a cílový Nástroj pro vyrovnávání zatížení nebo cílové síťové rozhraní musí být ve stejném předplatném.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Všechna předplatná musí být ve stejném Azure Active Directory tenantovi.All subscriptions must be under the same Azure Active Directory tenant.

Existují nějaké požadavky na výkon v produkčním provozu, pokud povolíte virtuální síti v síťovém rozhraní KLEPNEte na konfigurace?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

Klepnutí na virtuální síť je ve verzi Preview.Virtual network TAP is in preview. Během období Preview není k dispozici žádná smlouva o úrovni služeb.During preview, there is no service level agreement. Možnost by se neměla používat pro produkční úlohy.The capability should not be used for production workloads. Když je v případě, že je síťové rozhraní virtuálního počítače povolené v případě konfigurace klepnutím, k provedení funkce zrcadlení a k odesílání zrcadlených paketů slouží stejné prostředky hostitele Azure, které jsou přiděleny k virtuálnímu počítači pro odeslání produkčního provozu.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Vyberte správnou velikost virtuálního počítače se systémem Linux nebo Windows , aby bylo zajištěno, že pro virtuální počítač jsou k dispozici dostatečné prostředky pro odeslání provozního provozu a zrcadleného provozu.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Podporuje síť pro Linux nebo Windows urychlené používání virtuální sítě?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Do síťového rozhraní připojeného k virtuálnímu počítači, který je povolený pomocí akcelerovaných sítí, budete moct přidat konfiguraci klepnutím.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Ale výkon a latence na virtuálním počítači se projeví tak, že se přidá konfigurace klepnutím, protože snižování zátěže pro přenos zrcadlení v současné době nepodporují urychlené síťové služby Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Koncové body služby pro virtuální síťVirtual network service endpoints

Jaké jsou správné posloupnosti operací nastavení koncových bodů služby na službu Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Existují dva kroky pro zabezpečení prostředku služby Azure prostřednictvím koncových bodů služby:There are two steps to securing an Azure service resource through service endpoints:

  1. Zapněte koncové body služby pro službu Azure.Turn on service endpoints for the Azure service.
  2. Nastavení seznamů ACL pro virtuální sítě ve službě AzureSet up VNet ACLs on the Azure service.

Prvním krokem je operace na straně sítě a druhý krok je operace na straně prostředku služby.The first step is a network side operation and the second step is a service resource side operation. Oba kroky může provést stejný správce nebo různí správci na základě oprávnění RBAC udělených roli správce.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Před nastavením seznamů ACL virtuální sítě na straně služby Azure doporučujeme, abyste nejdřív zapnuli koncové body služby pro virtuální síť.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Proto je nutné kroky provést v uvedeném pořadí výše a nastavit koncové body služby virtuální sítě.Hence, the steps must be performed in sequence listed above to set up VNet service endpoints.

Poznámka

Aby bylo možné omezit přístup služby Azure na povolenou virtuální síť a podsíť, musí být obě výše popsané operace dokončené.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Pouze zapnutí koncových bodů služby pro službu Azure na straně sítě vám neposkytuje omezený přístup.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Kromě toho musíte také na straně služby Azure nastavit seznamy ACL pro virtuální sítě.In addition, you must also set up VNet ACLs on the Azure service side.

Některé služby (například SQL a CosmosDB) umožňují výjimky z výše uvedené sekvence pomocí příznaku IgnoreMissingVnetServiceEndpoint .Certain services (such as SQL, and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag . Po nastavení příznaku na hodnotu truemůžete na straně služby Azure nastavit seznamy ACL pro virtuální sítě před nastavením koncových bodů služby na straně sítě.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on network side. Pomocí tohoto příznaku služby Azure můžou zákazníkům pomáhat v případech, kdy jsou konkrétní brány firewall IP v rámci služeb Azure nakonfigurované a zapnutí koncových bodů služby na straně sítě může způsobit odpojení od změny zdrojové IP adresy z veřejné IPv4 adresy na. soukromá adresa.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. Nastavení seznamů ACL pro virtuální síť na straně služby před nastavením koncových bodů služby na straně sítě může zabránit vyřazení připojení.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Budou se všechny služby Azure nacházet ve virtuální síti Azure poskytované zákazníkem?Do all Azure services reside in the Azure virtual network provided by the customer? Jak funguje koncový bod služby VNet se službami Azure?How does VNet service endpoint work with Azure services?

Ne, ne všechny služby Azure se nacházejí ve virtuální síti zákazníka.No, not all Azure services reside in the customer's virtual network. Většina datových služeb Azure, jako jsou Azure Storage, Azure SQL a Azure Cosmos DB, jsou víceklientské služby, ke kterým se dá přistup přes veřejné IP adresy.Majority of the Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Další informace o integraci služby Virtual Network pro Azure najdete tady.You can learn more about virtual network integration for Azure services here.

Když použijete funkci koncové body služby virtuální sítě (zapnete koncový bod služby virtuální sítě na straně sítě a nastavíte příslušné seznamy ACL pro virtuální síť na straně služby Azure), přístup ke službě Azure se omezí z povolené virtuální sítě a podsítě.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Jak koncový bod služby virtuální sítě poskytuje zabezpečení?How does VNet service endpoint provide security?

Funkce koncového bodu služby virtuální sítě (zapnutí koncového bodu služby virtuální sítě na straně sítě a nastavení odpovídajících seznamů ACL pro virtuální síť na straně služby Azure) omezuje přístup ke službě Azure na povolenou virtuální síť a podsíť, čímž zajišťuje zabezpečení a izolaci na úrovni sítě. provoz služeb Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Veškerý provoz využívající koncové body služby virtuální sítě natéká přes páteřní síť Microsoftu a zajišťuje další vrstvu izolace z veřejného Internetu.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Zákazníci si navíc můžou vybrat možnost plně odebrat veřejný internetový přístup k prostředkům služby Azure a pomocí kombinace seznamů ACL protokolu IP a virtuální sítě, které budou umožňovat provoz jenom z jejich virtuální sítě, a tím chránit prostředky služby Azure před neoprávněným přístupem. stoupit.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Co jsou prostředky ochrany koncových bodů služby virtuální sítě nebo služba Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Koncové body služby virtuální sítě vám pomůžou chránit prostředky služeb Azure.VNet service endpoints help protect Azure service resources. Prostředky virtuální sítě jsou chráněné pomocí skupin zabezpečení sítě (skupin zabezpečení sítě).VNet resources are protected through Network Security Groups (NSGs).

Platí se za používání koncových bodů služby virtuální sítě nějaké náklady?Is there any cost for using VNet service endpoints?

Ne, za použití koncových bodů služby virtuální sítě se neúčtují žádné další náklady.No, there is no additional cost for using VNet service endpoints.

Můžu zapnout koncové body služby virtuální sítě a nastavit seznamy řízení přístupu k virtuálním sítím, pokud virtuální síť a prostředky služeb Azure patří do různých předplatných?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Ano, je to možné.Yes, it is possible. Virtuální sítě a prostředky služeb Azure můžou být ve stejném nebo různých předplatných.Virtual networks and Azure service resources can be either in the same or different subscriptions. Jediným požadavkem je, že virtuální síť i prostředky služby Azure musí být ve stejném tenantovi Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

Můžu zapnout koncové body služby virtuální sítě a nastavit seznamy ACL pro virtuální sítě, pokud virtuální síť a prostředky služeb Azure patří do různých tenantů služby AD?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Ne, koncové body služby virtuální sítě a seznamy ACL virtuální sítě nejsou v klientech služby AD podporované.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Může IP adresa místního zařízení připojená prostřednictvím služby Azure Virtual Network Gateway (VPN) nebo brány Express Route přístup k Azure PaaS Service prostřednictvím koncových bodů služby virtuální sítě?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or Express route gateway access Azure PaaS Service over VNet service endpoints?

Prostředky služeb Azure svázané s virtuálními sítěmi ve výchozím nastavení nejsou přístupné z místních sítí.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Pokud chcete povolený provoz z místního prostředí, musíte taky z místního nebo ExpressRoute povolených IP adres veřejných (obvykle NAT).If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Tyto IP adresy je možné přidat prostřednictvím konfigurace brány firewall protokolu IP pro prostředky služeb Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Můžu použít funkci koncového bodu služby virtuální sítě k zabezpečení služby Azure na více podsítí ve virtuální síti nebo napříč více virtuálními sítěmi?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets with in a Virtual network or across multiple virtual networks?

Chcete-li zabezpečit služby Azure na více podsítí v rámci virtuální sítě nebo napříč více virtuálními sítěmi, povolte koncové body služby na straně sítě v každé z těchto podsítí nezávisle a potom Zabezpečte prostředky služeb Azure na všechny podsítě nastavením příslušné seznamy ACL pro virtuální sítě na straně služby Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on Azure service side.

Jak mohu filtrovat odchozí provoz z virtuální sítě do služeb Azure a pořád používat koncové body služby?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Pokud chcete prozkoumat nebo filtrovat provoz směřující do služby Azure z virtuální sítě, můžete v rámci virtuální sítě nasadit síťové virtuální zařízení.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Pak můžete použít koncové body služby pro podsíť, ve které je virtuální síťové zařízení nasazené, a zabezpečit prostředky služby Azure jenom pro tuto podsíť prostřednictvím seznamů ACL pro virtuální sítě.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Tento scénář může být užitečný i v případě, že chcete omezit přístup služby Azure z vaší virtuální sítě jenom na konkrétní prostředky Azure pomocí filtrování síťového virtuálního zařízení.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Další informace najdete v popisu výchozího přenosu dat se síťovými virtuálními zařízeními.For more information, see egress with network virtual appliances.

Co se stane, když přistupujete k účtu služby Azure, který má povolený seznam řízení přístupu k virtuální síti (ACL) mimo virtuální síť?What happens when you access an Azure service account that has virtual network access control list (ACL) enabled from outside the VNet?

Vrátí se chyba HTTP 403 nebo HTTP 404.The HTTP 403 or HTTP 404 error is returned.

Mají podsítě virtuální sítě vytvořené v různých oblastech povolený přístup k účtu služby Azure v jiné oblasti?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Ano, pro většinu služeb Azure mají virtuální sítě vytvořené v různých oblastech přístup ke službám Azure v jiné oblasti prostřednictvím koncových bodů služby virtuální sítě.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Pokud je například účet Azure Cosmos DB v Západní USA nebo Východní USA a virtuální sítě jsou ve více oblastech, může k Azure Cosmos DB přistupovat tato virtuální síť.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Úložiště a SQL jsou výjimky a jsou v podstatě regiony a virtuální síť i služba Azure musí být ve stejné oblasti.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Může služba Azure mít jak seznam ACL virtuální sítě, tak bránu firewall protokolu IP?Can an Azure service have both VNet ACL and an IP firewall?

Ano, seznam ACL virtuální sítě a brána firewall protokolu IP můžou existovat souběžně.Yes, VNet ACL and an IP firewall can co-exist. Obě funkce se vzájemně doplňují, aby se zajistila izolace a zabezpečení.Both features complement each other to ensure isolation and security.

Co se stane, když odstraníte virtuální síť nebo podsíť s povoleným koncovým bodem služby pro službu Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

Odstranění virtuální sítě a podsítí jsou nezávislé operace a podporují se i v případě, že jsou pro služby Azure zapnuté koncové body služby.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. V případech, kdy jsou u služeb Azure nastavené seznamy ACL virtuální sítě pro tyto virtuální sítě a podsítě, jsou informace seznamů ACL virtuální sítě přidružené k této službě Azure zakázané, když se odstraní virtuální síť nebo podsíť, která má zapnutý koncový bod služby virtuální sítě.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACLs information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Co se stane, když se odstraní účet služby Azure s povoleným koncovým bodem služby VNet?What happens if Azure service account that has VNet Service endpoint enabled is deleted?

Odstranění účtu služby Azure je nezávislá operace a podporuje se i v případě, že je koncový bod služby povolen na straně sítě a seznamy ACL pro virtuální síť jsou nastavené na straně služby Azure.The deletion of Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Co se stane se zdrojovou IP adresou prostředku (jako je třeba virtuální počítač v podsíti) s povoleným koncovým bodem služby VNet?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Když jsou povoleny koncové body služby virtuální sítě, zdrojové IP adresy prostředků v podsíti virtuální sítě přecházejí z použití veřejných IPV4 adres na privátní IP adresy virtuální sítě Azure pro provoz do služby Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Všimněte si, že to může způsobit selhání specifické brány firewall protokolu IP, která se dřív na službě Azure nastavila na veřejnou IPV4 adresu.Note that this can cause specific IP firewall that are set to public IPV4 address earlier on the Azure services to fail.

Má vždy přednost směrování koncového bodu služby?Does service endpoint route always take precedence?

Koncové body služby přidávají systémovou trasu, která má přednost před trasami protokolu BGP a zajišťuje optimální směrování provozu koncového bodu služby.Service endpoints add a system route which takes precedence over BGP routes and provide optimum routing for the service endpoint traffic. Koncové body služby vždy přebírají provoz služby přímo z vaší virtuální sítě do služby v páteřní síti Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Další informace o tom, jak Azure vybírá trasu, najdete v tématu směrování provozu virtuální sítě Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Jak funguje NSG v podsíti s koncovými body služby?How does NSG on a subnet work with service endpoints?

Aby se dosáhlo služby Azure, skupin zabezpečení sítě musí umožňovat odchozí připojení.To reach the Azure service, NSGs need to allow outbound connectivity. Pokud se vaše skupin zabezpečení sítě otevřou na veškerý internetový odchozí provoz, měl by provoz koncového bodu služby fungovat.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. Odchozí provoz na IP adresy služeb taky můžete omezit jenom pomocí značek služeb.You can also limit the outbound traffic to service IPs only using the Service tags.

Jaká oprávnění potřebuji k nastavení koncových bodů služby?What permissions do I need to set up service endpoints?

Koncové body služby je možné nakonfigurovat ve virtuální síti nezávisle na uživateli s oprávněním k zápisu do virtuální sítě.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Aby bylo možné zabezpečit prostředky služeb Azure pro virtuální síť, musí mít uživatel oprávnění Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action pro přidávané podsítě.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Toto oprávnění je ve výchozím nastavení součástí předdefinované role správce služeb a dá se upravit vytvořením vlastních rolí.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Přečtěte si další informace o předdefinovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím.Learn more about built-in roles and assigning specific permissions to custom roles.

Můžu filtrovat provoz virtuální sítě do služeb Azure a povolit jenom konkrétní prostředky služeb Azure, přes koncové body služby VNet?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Zásady koncového bodu služby Virtual Network (VNet) umožňují filtrovat provoz virtuální sítě do služeb Azure a povolit jenom určité prostředky služby Azure nad koncovými body služby.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Zásady koncového bodu poskytují podrobné řízení přístupu z provozu virtuální sítě do služeb Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Další informace o zásadách koncového bodu služby najdete tady.You can learn more about the service endpoint policies here.

Podporuje Azure Active Directory (Azure AD) koncové body služby virtuální sítě?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) nepodporují nativní koncové body služby.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Úplný seznam služeb Azure, které podporují koncové body služby virtuální sítě, najdete tady.Complete list of Azure Services supporting VNet service endpoints can be seen here. Všimněte si, že značka Microsoft. Azureactivedirectory selhala uvedená v části služby podporující koncové body služby se používá pro podporu koncových bodů služby na ADLSu Gen 1.Note that "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. V případě ADLS 1 pro obecné služby Virtual Network Integration Service pro Azure Data Lake Storage Gen1 využívá zabezpečení koncového bodu služby virtuální sítě mezi vaší virtuální sítí a Azure Active Directory (Azure AD) ke generování dalších deklarací zabezpečení v přístupovém tokenu.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Přečtěte si další informace o [Azure Data Lake Store integraci virtuální sítě pro obecné 1] (.. /Data-Lake-Store/Data-Lake-Store-Network-Security.MD? TOC =% 2fazure% 2fvirtual-Network% 2ftoc. JSONLearn more about [Azure Data Lake Store Gen 1 VNet Integration](../data-lake-store/data-lake-store-network-security.md?toc=%2fazure%2fvirtual-network%2ftoc.json

Existují nějaká omezení počtu koncových bodů služby virtuální sítě, které můžu nastavit z mé virtuální sítě?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Celkový počet koncových bodů služby virtuální sítě ve virtuální síti není nijak omezený.There is no limit on the total number of VNet service endpoints in a virtual network. Pro prostředky služeb Azure (například účet služby Azure Storage) můžou služby vynucovat omezení počtu podsítí použitých k zabezpečení příslušného prostředku.For an Azure service resource (such as, an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. Následující tabulka uvádí některé příklady omezení:The following table shows some example limits:

Služba AzureAzure service Omezení pravidel virtuální sítěLimits on VNet rules
Azure StorageAzure Storage 100100
Azure SQLAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Trezor klíčů AzureAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Centrum událostí AzureAzure Event Hub 128128
Azure Service BusAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Poznámka

Tato omezení se vztahují na změny na uvážení služby Azure.The limits are subjected to changes at the discretion of the Azure service. Podrobnosti o službách najdete v příslušné dokumentaci ke službě.Refer to the respective service documentation for services details.