Nejčastější dotazy ke službě Azure Virtual Network

základy Virtual Network

Co je Azure Virtual Network (VNet)?

Azure Virtual Network (VNet) je reprezentace vaší vlastní sítě v cloudu. Je to logická izolace cloudu Azure vyhrazeného pro vaše předplatné. Virtuální sítě můžete použít ke zřizování a správě virtuálních privátních sítí (VPN) v Azure a volitelně k propojení virtuálních sítí s jinými virtuálními sítěmi v Azure nebo místní IT infrastruktuře k vytváření hybridních nebo místních řešení. Každá virtuální síť, kterou vytvoříte, má svůj vlastní blok CIDR a může být propojená s jinými virtuálními sítěmi a místními sítěmi, pokud se bloky CIDR nepřekrývají. Máte také kontrolu nad nastavením serveru DNS pro virtuální sítě a segmentací virtuální sítě do podsítí.

Použití virtuálních sítí k:

  • Vytvořte vyhrazenou privátní cloudovou virtuální síť. Někdy pro vaše řešení nevyžadujete konfiguraci mezi různými místy. Při vytváření virtuální sítě můžou vaše služby a virtuální počítače ve vaší virtuální síti komunikovat přímo a bezpečně mezi sebou v cloudu. Připojení koncových bodů pro virtuální počítače a služby, které vyžadují internetovou komunikaci, můžete nakonfigurovat jako součást vašeho řešení.

  • Bezpečně rozšiřte datové centrum. S virtuálními sítěmi můžete vytvářet tradiční sítě VPN typu site-to-site (S2S), které bezpečně škálují kapacitu datového centra. Sítě VPN S2S používají protokol IPSEC k zajištění zabezpečeného připojení mezi vaší podnikovou bránou VPN a Azure.

  • Povolte hybridní cloudové scénáře. Virtuální sítě poskytují flexibilitu pro podporu celé řady hybridních cloudových scénářů. Cloudové aplikace můžete bezpečně propojit s jakýmkoli typem místního systému, jako jsou sálové počítače a systémy Unix.

Jak mám začít?

Začněte tím, že navštívíte dokumentaci k virtuální síti . Tento obsah poskytuje přehled a informace o nasazení pro všechny funkce virtuální sítě.

Můžu používat virtuální sítě bez připojení mezi různými místy?

Ano. Virtuální síť můžete použít bez připojení k místnímu prostředí. Můžete například spustit řadiče domény Microsoft Windows Server Active Directory a SharePoint farmy výhradně ve virtuální síti Azure.

Můžu provést optimalizaci sítě WAN mezi virtuálními sítěmi nebo virtuální sítí a místním datovým centrem?

Ano. Síťové virtuální zařízení optimalizace sítě WAN můžete nasadit od několika dodavatelů prostřednictvím Azure Marketplace.

Konfigurace

Jaké nástroje používám k vytvoření virtuální sítě?

K vytvoření nebo konfiguraci virtuální sítě můžete použít následující nástroje:

Jaké rozsahy adres můžu použít ve virtuálních sítích?

Doporučujeme použít rozsahy adres uvedené v dokumentu RFC 1918, které byly vyhrazeny IETF pro privátní nesměrovatelné adresní prostory:

  • 10.0.0.0 – 10.255.255.255 (předpona 10/8)
  • 172.16.0.0 – 172.31.255.255 (předpona 172.16/12)
  • 192.168.0.0 – 192.168.255.255 (předpona 192.168/16)

Sdílený adresní prostor rezervovaný také můžete nasadit v DOKUMENTU RFC 6598, který se v Azure považuje za privátní adresní prostor IP adres:

  • 100.64.0.0 – 100.127.255.255 (předpona 100.64/10)

Jiné adresní prostory, včetně všech ostatních privátních adresních prostorů rozpoznaných IETF, nesměrovatelných adresních prostorů, mohou fungovat, ale mohou mít nežádoucí vedlejší účinky.

Kromě toho nemůžete přidat následující rozsahy adres:

  • 224.0.0.0/4 (Vícesměrové vysílání)
  • 255.255.255.255/32 (vysílání)
  • 127.0.0.0/8 (zpětné smyčky)
  • 169.254.0.0/16 (link-local)
  • 168.63.129.16/32 (Interní DNS)

Můžu mít ve virtuálních sítích veřejné IP adresy?

Ano. Další informace o rozsahech veřejných IP adres najdete v tématu Vytvoření virtuální sítě. Veřejné IP adresy nejsou přímo přístupné z internetu.

Existuje omezení počtu podsítí ve virtuální síti?

Ano. Podrobnosti najdete v omezeních Azure . Adresní prostory podsítě se vzájemně nepřekrývají.

Existují nějaká omezení používání IP adres v těchto podsítích?

Ano. Azure si v každé podsíti vyhrazuje 5 IP adres. Jedná se o x.x.x.x.0-x.x.x.3 a poslední adresu podsítě. x.x.x.x.1-x.x.x.3 je rezervovaný v každé podsíti pro služby Azure.

  • x.x.x.0: Síťová adresa
  • x.x.x.1: Vyhrazeno v Azure pro výchozí bránu
  • x.x.x.2, x.x.x.x.3: Vyhrazeno Azure pro mapování IP adres DNS Azure do prostoru virtuální sítě
  • x.x.x.x.255: Adresa síťového všesměrového vysílání pro podsítě velikosti /25 a větší. To bude jiná adresa v menších podsítích.

Například pro podsíť s adresou 172.16.1.128/26:

  • 172.16.1.128: Síťová adresa
  • 172.16.1.129: Vyhrazeno v Azure pro výchozí bránu
  • 172.16.1.130, 172.16.1.131: Vyhrazeno Azure pro mapování IP adres AZURE DNS do prostoru virtuální sítě
  • 172.16.1.191: Adresa vysílání sítě

Jak malé a jak velké můžou být virtuální sítě a podsítě?

Nejmenší podporovaná podsíť IPv4 je /29 a největší je /2 (pomocí definic podsítě CIDR). Podsítě IPv6 musí mít velikost přesně /64.

Můžu přenést své sítě VLAN do Azure pomocí virtuálních sítí?

No. Virtuální sítě jsou překryvné vrstvy 3. Azure nepodporuje sémantiku vrstvy 2.

Můžu ve virtuálních sítích a podsítích zadat vlastní zásady směrování?

Ano. Můžete vytvořit směrovací tabulku a přidružit ji k podsíti. Další informace o směrování v Azure najdete v tématu Přehled směrování.

Jaké je chování při použití skupiny zabezpečení sítě i trasy definované uživatelem v podsíti?

V případě příchozího provozu se zpracovávají příchozí pravidla NSG. V případě odchozích pravidel skupiny zabezpečení sítě se zpracovávají pravidla směrování definovaná uživatelem.

Jaké je chování při použití skupiny zabezpečení sítě na síťové kartě a podsíti pro virtuální počítač?

Pokud se skupiny zabezpečení sítě použijí v podsítích síťových & adaptérů pro virtuální počítač, skupina zabezpečení sítě na úrovni podsítě následovaná skupinou NSG na úrovni síťové karty se zpracuje pro příchozí a síťovou skupinu NSG následovanou skupinou zabezpečení sítě na úrovni podsítě pro odchozí provoz.

Podporují virtuální sítě vícesměrové vysílání nebo vysílání?

No. Vícesměrové vysílání a vysílání se nepodporuje.

Jaké protokoly můžu používat ve virtuálních sítích?

V rámci virtuálních sítí můžete využít protokoly TCP, UDP a ICMP TCP/IP. V rámci virtuálních sítí se podporuje jednosměrové vysílání s výjimkou protokolu DHCP (Dynamic Host Configuration Protocol) přes jednosměrové vysílání (zdrojový port UDP /68, cílový port UDP /67) a zdrojový port UDP 65330, který je vyhrazený pro hostitele. Vícesměrové vysílání, všesměrové vysílání, zapouzdřené pakety IP-in-IP a pakety GRE (Generic Routing Encapsulation) se v rámci virtuálních sítí blokují.

Můžu ve virtuální síti otestovat příkaz ping na výchozí směrovače?

No.

Můžu k diagnostice připojení použít tracert?

No.

Můžu po vytvoření virtuální sítě přidat podsítě?

Ano. Podsítě je možné přidat do virtuálních sítí kdykoli, pokud rozsah adres podsítě není součástí jiné podsítě a v rozsahu adres virtuální sítě zbývá volné místo.

Můžu po vytvoření upravit velikost podsítě?

Ano. Podsíť můžete přidat, odebrat, rozšířit nebo zmenšit, pokud v ní nejsou nasazené virtuální počítače ani služby.

Můžu po jejich vytvoření upravit virtuální síť?

Ano. Můžete přidat, odebrat a upravit bloky CIDR používané virtuální sítí.

Pokud používám své služby ve virtuální síti, můžu se připojit k internetu?

Ano. Všechny služby nasazené v rámci virtuální sítě se můžou připojit k internetu odchozí. Další informace o odchozích internetových připojeních v Azure najdete v tématu Odchozí připojení. Pokud chcete připojit příchozí připojení k prostředku nasazeného prostřednictvím Resource Manager, musí mít prostředek přiřazenou veřejnou IP adresu. Další informace o veřejných IP adresách najdete v tématu Veřejné IP adresy. Každá cloudová služba Azure nasazená v Azure má přiřazenou veřejně adresovatelnou VIRTUÁLNÍ IP adresu. Definujete vstupní koncové body pro role a koncové body PaaS pro virtuální počítače, abyste těmto službám umožnili přijímat připojení z internetu.

Podporují virtuální sítě protokol IPv6?

Ano, virtuální sítě můžou být jenom IPv4 nebo duální zásobník (IPv4+IPv6). Podrobnosti najdete v tématu Přehled protokolu IPv6 pro virtuální sítě Azure.

Může virtuální síť přesahovat oblasti?

No. Virtuální síť je omezená na jednu oblast. Virtuální síť ale zahrnuje zóny dostupnosti. Další informace o zónách dostupnosti najdete v tématu Přehled zón dostupnosti. Virtuální sítě můžete propojit v různých oblastech s partnerským vztahem virtuálních sítí. Podrobnosti najdete v přehledu partnerského vztahu virtuálních sítí.

Můžu připojit virtuální síť k jiné virtuální síti v Azure?

Ano. Jednu virtuální síť můžete připojit k jiné virtuální síti pomocí jedné:

Překlad názvů (DNS)

Jaké jsou moje možnosti DNS pro virtuální sítě?

Pomocí rozhodovací tabulky na stránce Překlad názvů pro virtuální počítače a instance rolí vás provede všemi dostupnými možnostmi DNS.

Můžu zadat servery DNS pro virtuální síť?

Ano. IP adresy serveru DNS můžete zadat v nastavení virtuální sítě. Toto nastavení se použije jako výchozí servery DNS pro všechny virtuální počítače ve virtuální síti.

Kolik serverů DNS můžu zadat?

Referenční limity Azure

Můžu po vytvoření sítě upravit servery DNS?

Ano. Seznam serverů DNS pro vaši virtuální síť můžete kdykoli změnit. Pokud změníte seznam serverů DNS, musíte pro všechny ovlivněné virtuální počítače ve virtuální síti provést prodloužení zapůjčení DHCP, aby se nové nastavení DNS projevilo. U virtuálních počítačů s operačním systémem Windows to můžete provést zadáním ipconfig /renew přímo na virtuální počítač. Další typy operačního systému najdete v dokumentaci k prodloužení zapůjčení DHCP pro konkrétní typ operačního systému.

Co je DNS poskytované v Azure a funguje s virtuálními sítěmi?

Dns poskytovaný Azure je služba DNS s více tenanty, kterou nabízí Microsoft. Azure zaregistruje všechny vaše virtuální počítače a instance rolí cloudové služby v této službě. Tato služba poskytuje překlad názvů podle názvu hostitele pro virtuální počítače a instance rolí obsažené ve stejné cloudové službě a plně kvalifikovaným názvem domény pro virtuální počítače a instance rolí ve stejné virtuální síti. Další informace o DNS najdete v tématu Překlad názvů virtuálních počítačů a Cloud Services instancí rolí.

Existuje omezení prvních 100 cloudových služeb ve virtuální síti pro překlad názvů napříč tenanty pomocí DNS poskytnutého Azure. Pokud používáte vlastní server DNS, toto omezení se nevztahuje.

Můžu přepsat nastavení DNS na základě jednotlivých virtuálních počítačů nebo cloudových služeb?

Ano. Servery DNS na virtuální počítač nebo cloudovou službu můžete nastavit tak, aby přepsaly výchozí nastavení sítě. Doporučuje se ale co nejvíce používat DNS pro celou síť.

Můžu použít vlastní příponu DNS?

No. Pro virtuální sítě nemůžete zadat vlastní příponu DNS.

Připojení virtuálních počítačů

Můžu nasadit virtuální počítače do virtuální sítě?

Ano. Všechna síťová rozhraní (NIC) připojená k virtuálnímu počítači nasazeného prostřednictvím modelu nasazení Resource Manager musí být připojená k virtuální síti. Virtuální počítače nasazené prostřednictvím modelu nasazení Classic je možné volitelně připojit k virtuální síti.

Jaké jsou různé typy IP adres, které můžu přiřadit virtuálním počítačům?

  • Soukromé: Přiřazené jednotlivým síťovým rozhraním v rámci každého virtuálního počítače. Adresa je přiřazena pomocí statické nebo dynamické metody. Privátní IP adresy se přiřazují z rozsahu, který jste zadali v nastavení podsítě vaší virtuální sítě. Prostředky nasazené prostřednictvím modelu nasazení Classic se přiřazují privátní IP adresy, i když nejsou připojené k virtuální síti. Chování metody přidělování se liší v závislosti na tom, jestli byl prostředek nasazen pomocí modelu nasazení Resource Manager nebo modelu nasazení Classic:

    • Resource Manager: Privátní IP adresa přiřazená dynamickou nebo statickou metodou zůstane přiřazená virtuálnímu počítači (Resource Manager), dokud se prostředek nesstraní. Rozdíl spočívá v tom, že vyberete adresu, kterou chcete přiřadit při použití statického, a Azure zvolí při použití dynamického prostředí.
    • Classic: Privátní IP adresa přiřazená dynamickou metodou se může změnit, když se virtuální počítač (klasický) restartuje po zastavení (uvolnění) stavu. Pokud potřebujete zajistit, aby se privátní IP adresa pro prostředek nasazený prostřednictvím modelu nasazení Classic nezměnila, přiřaďte privátní IP adresu statickou metodou.
  • Veřejné: Volitelně se přiřazuje síťovým kartám připojeným k virtuálním počítačům nasazeným prostřednictvím modelu nasazení Azure Resource Manager. Adresu je možné přiřadit statickou nebo dynamickou metodou přidělování. Všechny virtuální počítače a Cloud Services instance rolí nasazené prostřednictvím modelu nasazení Classic existují v rámci cloudové služby, která má přiřazenou dynamickou veřejnou virtuální IP adresu (VIP). Veřejnou statickou IP adresu, označovanou jako rezervovaná IP adresa, se dá volitelně přiřadit jako virtuální IP adresa. Veřejné IP adresy můžete přiřadit jednotlivým virtuálním počítačům nebo Cloud Services instance rolí nasazené prostřednictvím modelu nasazení Classic. Tyto adresy se nazývají veřejné IP adresy na úrovni instance (ILPIP) a dají se přiřadit dynamicky.

Můžu si rezervovat privátní IP adresu pro virtuální počítač, který vytvořím později?

No. Privátní IP adresu si nemůžete rezervovat. Pokud je k dispozici privátní IP adresa, přiřadí se k virtuálnímu počítači nebo instanci role serverem DHCP. Virtuální počítač může nebo nemusí být ten, kterému chcete přiřadit privátní IP adresu. Můžete ale změnit privátní IP adresu již vytvořeného virtuálního počítače na libovolnou dostupnou privátní IP adresu.

Mění se privátní IP adresy pro virtuální počítače ve virtuální síti?

To závisí na okolnostech. Pokud byl virtuální počítač nasazen prostřednictvím Resource Manager, ne bez ohledu na to, jestli byla IP adresa přiřazena statickou nebo dynamickou metodou přidělování. Pokud byl virtuální počítač nasazený prostřednictvím modelu nasazení Classic, můžou se dynamické IP adresy po spuštění virtuálního počítače po zastavení (uvolnění) změnit. Adresa se uvolní z virtuálního počítače nasazeného prostřednictvím libovolného modelu nasazení při odstranění virtuálního počítače.

Můžu ručně přiřadit IP adresy síťovým kartám v operačním systému virtuálního počítače?

Ano, ale nedoporučuje se, pokud to není nutné, například při přiřazování více IP adres virtuálnímu počítači. Podrobnosti najdete v tématu Přidání více IP adres do virtuálního počítače. Pokud se IP adresa přiřazená síťové kartě Azure připojené k virtuálnímu počítači změní a IP adresa v operačním systému virtuálního počítače se liší, ztratíte připojení k virtuálnímu počítači.

Pokud zastavím slot nasazení cloudové služby nebo vypnem virtuální počítač z operačního systému, co se stane s mými IP adresami?

Ničeho. IP adresy (veřejné VIRTUÁLNÍ IP adresy, veřejné a privátní) zůstanou přiřazené ke slotu nasazení cloudové služby nebo virtuálnímu počítači.

Můžu virtuální počítače přesunout z jedné podsítě do jiné podsítě ve virtuální síti bez opětovného nasazení?

Ano. Další informace najdete v článku o přesunu virtuálního počítače nebo instance role do jiné podsítě .

Můžu pro svůj virtuální počítač nakonfigurovat statickou adresu MAC?

No. Adresu MAC nelze staticky nakonfigurovat.

Zůstane adresa MAC pro můj virtuální počítač po vytvoření stejná?

Ano, adresa MAC zůstane stejná pro virtuální počítač nasazený prostřednictvím modelů Resource Manager i klasických nasazení, dokud se neustraní. Dříve byla adresa MAC vydána, pokud byl virtuální počítač zastaven (uvolněný), ale teď se adresa MAC zachová i v případě, že je virtuální počítač v uvolněném stavu. Adresa MAC zůstane přiřazená síťovému rozhraní, dokud nedojde k odstranění síťového rozhraní nebo k privátní IP adrese přiřazené k primární konfiguraci IP primárního síťového rozhraní.

Můžu se připojit k internetu z virtuálního počítače ve virtuální síti?

Ano. Všechny virtuální počítače a Cloud Services instance rolí nasazené v rámci virtuální sítě se můžou připojit k internetu.

Služby Azure, které se připojují k virtuálním sítím

Můžu použít Azure App Service Web Apps s virtuální sítí?

Ano. Můžete nasadit Web Apps uvnitř virtuální sítě pomocí služby ASE (App Service Environment), připojit back-end aplikací k virtuálním sítím pomocí integrace virtuální sítě a uzamknout příchozí provoz do vaší aplikace pomocí koncových bodů služby. Další informace najdete v následujících článcích:

Můžu nasadit Cloud Services s webovými a pracovními rolemi (PaaS) ve virtuální síti?

Ano. Můžete (volitelně) nasadit instance rolí Cloud Services v rámci virtuálních sítí. Uděláte to tak, že zadáte název virtuální sítě a mapování rolí nebo podsítí v části konfigurace sítě konfigurace služby. Nemusíte aktualizovat žádné binární soubory.

Můžu připojit škálovací sadu virtuálních počítačů k virtuální síti?

Ano. Škálovací sadu virtuálních počítačů musíte připojit k virtuální síti.

Existuje úplný seznam služeb Azure, ze které můžu nasadit prostředky do virtuální sítě?

Ano, Podrobnosti najdete v tématu Integrace virtuální sítě pro služby Azure.

Jak můžu omezit přístup k prostředkům Azure PaaS z virtuální sítě?

Prostředky nasazené prostřednictvím některých služeb Azure PaaS (například Azure Storage a Azure SQL Database) můžou omezit síťový přístup k virtuální síti prostřednictvím koncových bodů služby virtuální sítě nebo Azure Private Link. Podrobnosti najdete v přehledu koncových bodů služby virtuální sítě, přehled Azure Private Link

Můžu své služby přesunout do virtuálních sítí a z těchto virtuálních sítí?

No. Služby nemůžete přesunout do virtuálních sítí a z těchto virtuálních sítí. Pokud chcete přesunout prostředek do jiné virtuální sítě, musíte prostředek odstranit a znovu nasadit.

Zabezpečení

Jaký je model zabezpečení virtuálních sítí?

Virtuální sítě jsou vzájemně izolované a ostatní služby hostované v infrastruktuře Azure. Virtuální síť je hranice důvěryhodnosti.

Můžu omezit příchozí nebo odchozí tok provozu na prostředky připojené k virtuální síti?

Ano. Skupiny zabezpečení sítě můžete použít na jednotlivé podsítě v rámci virtuální sítě, síťových adaptérů připojených k virtuální síti nebo obojí.

Můžu implementovat bránu firewall mezi prostředky připojenými k virtuální síti?

Ano. Síťové virtuální zařízení brány firewall můžete nasadit od několika dodavatelů prostřednictvím Azure Marketplace.

Jsou k dispozici informace o zabezpečení virtuálních sítí?

Ano. Podrobnosti najdete v tématu Přehled zabezpečení sítě Azure.

Ukládají virtuální sítě zákaznická data?

No. Virtuální sítě neukládají žádná zákaznická data.

Můžu nastavit vlastnost FlowTimeoutInMinutes pro celé předplatné?

No. Toto nastavení musí být nastaveno ve virtuální síti. Následující můžou pomoct automatizovat nastavení této vlastnosti pro větší předplatná:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

Rozhraní API, schémata a nástroje

Můžu spravovat virtuální sítě z kódu?

Ano. Rozhraní REST API můžete použít pro virtuální sítě v modelech nasazení Azure Resource Manager a Classic.

Podporuje se nástroje pro virtuální sítě?

Ano. Další informace o používání:

Partnerské vztahy virtuálních sítí

Co je partnerský vztah virtuálních sítí?

Partnerský vztah virtuálních sítí (nebo partnerský vztah virtuálních sítí) umožňuje připojit virtuální sítě. Připojení partnerského vztahu virtuálních sítí mezi virtuálními sítěmi umožňuje směrovat provoz mezi nimi soukromě prostřednictvím adres IPv4. Virtuální počítače v partnerských virtuálních sítích můžou vzájemně komunikovat, jako kdyby byly ve stejné síti. Tyto virtuální sítě můžou být ve stejné oblasti nebo v různých oblastech (označované také jako globální partnerský vztah virtuálních sítí). Připojení partnerského vztahu virtuálních sítí je také možné vytvořit napříč předplatnými Azure.

Můžu vytvořit připojení peeringu k virtuální síti v jiné oblasti?

Ano. Globální partnerský vztah virtuálních sítí umožňuje peering virtuálních sítí v různých oblastech. Globální partnerský vztah virtuálních sítí je k dispozici ve všech veřejných oblastech Azure, v oblastech cloudu Čína a v cloudových oblastech státní správy. Nemůžete globálně peeringovat z veřejných oblastí Azure do národních cloudových oblastí.

Pokud jsou dvě virtuální sítě ve dvou různých oblastech partnerského vztahu mezi globálními virtuálními sítěmi, nemůžete se připojit k prostředkům, které jsou za základní Load Balancer prostřednictvím IP adresy front-endu Load Balancer. Toto omezení pro Standard Load Balancer neexistuje. Následující zdroje informací můžou používat nástroje pro vyrovnávání zatížení úrovně Basic, což znamená, že je nemůžete kontaktovat prostřednictvím ip adresy front-endu Load Balancer přes globální partnerský vztah virtuálních sítí. Globální partnerský vztah virtuálních sítí ale můžete použít k přímému dosažení prostředků prostřednictvím jejich privátních IP adres virtuálních sítí, pokud je to povolené.

  • Virtuální počítače za nástroji pro vyrovnávání zatížení úrovně Basic
  • Škálovací sady virtuálních počítačů s nástroji pro vyrovnávání zatížení úrovně Basic
  • Redis Cache
  • skladová položka Application Gateway (v1)
  • Service Fabric
  • API Management (stv1)
  • Doména služby Active Directory Service (ADDS)
  • Logic Apps
  • HDInsight
  • Azure Batch
  • App Service Environment

K těmto prostředkům se můžete připojit přes ExpressRoute nebo VNet-to-VNet prostřednictvím bran virtuálních sítí.

Můžu povolit partnerský vztah virtuálních sítí, pokud moje virtuální sítě patří k předplatným v různých Azure Active Directory tenantech?

Ano. Pokud vaše předplatná patří do různých Azure Active Directory tenantů, je možné vytvořit partnerský vztah virtuálních sítí (ať už místní nebo globální). Můžete to udělat prostřednictvím portálu, PowerShellu nebo rozhraní příkazového řádku.

Připojení partnerského vztahu virtuálních sítí je ve stavu inicializováno , proč se nemůžu připojit?

Pokud je připojení peeringu v iniciovaném stavu, znamená to, že jste vytvořili pouze jeden odkaz. Aby bylo možné navázat úspěšné připojení, je nutné vytvořit obousměrný odkaz. Pokud například chcete vytvořit partnerský vztah virtuální sítě A k virtuální síti B, musí se vytvořit odkaz z virtuální sítě VNetA do VNetB a Z VNetB do virtuální sítě. Vytvoření obou propojení změní stav na Připojeno.

Připojení partnerského vztahu virtuálních sítí je ve stavu Odpojeno , proč nemůžu vytvořit připojení peeringu?

Pokud je připojení partnerského vztahu virtuálních sítí ve stavu Odpojeno , znamená to, že se odstranilo jedno z vytvořených propojení. Pokud chcete znovu vytvořit připojení peeringu, budete muset propojení odstranit a vytvořit ho znovu.

Můžu vytvořit partnerský vztah virtuální sítě s virtuální sítí v jiném předplatném?

Ano. Virtuální sítě můžete peeringovat mezi předplatnými a napříč oblastmi.

Můžu na partnerském vztahu mezi dvěma virtuálními sítěmi s odpovídajícími nebo překrývajícími se rozsahy adres?

No. Adresní prostory se nesmí překrývat, aby bylo možné povolit partnerský vztah virtuálních sítí.

Můžu vytvořit partnerský vztah virtuální sítě se dvěma různými virtuálními sítěmi s povolenou možností Použít vzdálenou bránu u obou partnerských vztahů?

No. Možnost Použít vzdálenou bránu můžete povolit jenom u jednoho partnerského vztahu s jednou z virtuálních sítí.

Za vytvoření připojení partnerského vztahu virtuálních sítí se neúčtují žádné poplatky. Přenos dat mezi připojeními peeringu se účtuje. Podívejte se sem.

Je přenos partnerského vztahu virtuálních sítí šifrovaný?

Když se provoz Azure přesune mezi datovými centry (mimo fyzické hranice, které neřídí Microsoft nebo jménem Microsoftu), šifrování vrstvy datového propojení MACsec se využívá na základním síťovém hardwaru. To platí pro provoz partnerského vztahu virtuálních sítí.

Proč je připojení peeringu v odpojeném stavu?

Připojení partnerského vztahu virtuálních sítí se při odstranění jednoho propojení partnerského vztahu virtuálních sítí připojují do odpojeného stavu. Pokud chcete znovu vytvořit úspěšné připojení peeringu, musíte oba odkazy odstranit.

Pokud partnerský vztah VNetA k virtuální sítiB a virtuální síti VNetB s VNetC, znamená to, že jsou VNetA a VNetC v partnerském vztahu?

No. Přenositelný partnerský vztah se nepodporuje. Aby k tomu došlo, musíte vytvořit partnerský vztah VNetA a VNetC.

Existují nějaká omezení šířky pásma pro připojení peeringu?

No. Partnerský vztah virtuálních sítí bez ohledu na to, jestli místní nebo globální, neukládá žádná omezení šířky pásma. Šířka pásma je omezená pouze virtuálním počítačem nebo výpočetním prostředkem.

Jak můžu řešit problémy s partnerskými vztahy virtuálních sítí?

Tady je průvodce odstraňováním potíží , který můžete vyzkoušet.

Naslouchací zařízení virtuální sítě

Které oblasti Azure jsou dostupné pro klepnutí na virtuální síť?

Služba TAP virtuální sítě ve verzi Preview je dostupná ve všech oblastech Azure. Monitorovaná síťová rozhraní, prostředek TAP virtuální sítě a řešení kolektoru nebo analýzy musí být nasazené ve stejné oblasti.

Podporuje Virtual Network TAP u zrcadlených paketů nějaké možnosti filtrování?

Funkce filtrování nejsou ve verzi TAP preview virtuální sítě podporované. Při přidání konfigurace TAP do síťového rozhraní se do cíle TAP streamuje hloubková kopie veškerého příchozího a výstupního provozu v síťovém rozhraní.

Je možné do monitorovaného síťového rozhraní přidat více konfigurací TAP?

Monitorované síťové rozhraní může mít pouze jednu konfiguraci TAP. V individuálním partnerském řešení vyhledejte možnost streamovat více kopií provozu TAP do analytických nástrojů podle vašeho výběru.

Může stejný prostředek TAP virtuální sítě agregovat provoz z monitorovaných síťových rozhraní ve více virtuálních sítích?

Ano. Stejný prostředek TAP virtuální sítě lze použít k agregaci zrcadlených přenosů z monitorovaných síťových rozhraní ve virtuálních sítích v partnerském vztahu ve stejném předplatném nebo jiném předplatném. Prostředek TAP virtuální sítě a cílový nástroj pro vyrovnávání zatížení nebo cílové síťové rozhraní musí být ve stejném předplatném. Všechna předplatná musí být ve stejném tenantovi Azure Active Directory.

Existují nějaké aspekty výkonu v produkčním provozu, pokud povolím konfiguraci TAP virtuální sítě v síťovém rozhraní?

Tap virtuální sítě je ve verzi Preview. Ve verzi Preview neexistuje žádná smlouva o úrovni služeb. Funkce by neměla být použita pro produkční úlohy. Pokud je síťové rozhraní virtuálního počítače povolené pomocí konfigurace TAP, stejné prostředky na hostiteli Azure přidělené virtuálnímu počítači k odesílání produkčního provozu se používají k provedení funkce zrcadlení a odeslání zrcadlených paketů. Vyberte správnou velikost virtuálního počítače s Linuxem nebo Windows, abyste zajistili, že je pro virtuální počítač k dispozici dostatek prostředků pro odesílání produkčního provozu a zrcadlených přenosů.

Podporuje se akcelerované síťové služby pro Linux nebo Windows s využitím technologie TAP virtuální sítě?

V síťovém rozhraní připojeném k virtuálnímu počítači, který je povolený s akcelerovanými síťovými službami, budete moct přidat konfiguraci TAP. Na výkon a latenci na virtuálním počítači ale bude mít vliv přidání konfigurace TAP, protože snižování zátěže pro zrcadlení provozu v současné době nepodporuje akcelerované síťové služby Azure.

Koncové body služby pro virtuální síť

Jaká je správná posloupnost operací pro nastavení koncových bodů služby do služby Azure?

Prostředek služby Azure můžete zabezpečit dvěma kroky prostřednictvím koncových bodů služby:

  1. Zapněte koncové body služby pro službu Azure.
  2. Nastavte seznamy ACL virtuální sítě ve službě Azure.

Prvním krokem je operace na straně sítě a druhým krokem je operace na straně prostředku služby. Oba kroky můžou provádět buď stejný správce, nebo různí správci na základě oprávnění Azure RBAC udělených roli správce. Před nastavením seznamů ACL virtuální sítě na straně služby Azure doporučujeme nejprve zapnout koncové body služby pro vaši virtuální síť. Proto je potřeba provést kroky v pořadí uvedeném výše, aby se nastavily koncové body služby virtuální sítě.

Poznámka

Než budete moct omezit přístup služby Azure k povolené virtuální síti a podsíti, je nutné dokončit obě výše popsané operace. Pouze zapnutí koncových bodů služby pro službu Azure na straně sítě neposkytuje omezený přístup. Kromě toho musíte také nastavit seznamy ACL virtuální sítě na straně služby Azure.

Některé služby (například SQL a CosmosDB) umožňují výjimky výše uvedené sekvence prostřednictvím příznaku IgnoreMissingVnetServiceEndpoint. Po nastavení příznaku True je možné nastavit seznamy ACL virtuální sítě na straně služby Azure před nastavením koncových bodů služby na straně sítě. Služby Azure poskytují tento příznak, aby zákazníkům pomohly v případech, kdy jsou pro služby Azure nakonfigurované konkrétní brány firewall PROTOKOLU IP a zapnutí koncových bodů služby na straně sítě můžou vést k poklesu připojení, protože se zdrojová IP adresa změní z veřejné IPv4 adresy na privátní adresu. Nastavení seznamů ACL virtuální sítě na straně služby Azure před nastavením koncových bodů služby na straně sítě může pomoct vyhnout se poklesu připojení.

Nacházejí se všechny služby Azure ve virtuální síti Azure poskytované zákazníkem? Jak funguje koncový bod služby virtuální sítě se službami Azure?

Ne, ne všechny služby Azure se nacházejí ve virtuální síti zákazníka. Většina datových služeb Azure, jako jsou Azure Storage, Azure SQL a Azure Cosmos DB, jsou služby s více tenanty, ke kterým je možné přistupovat přes veřejné IP adresy. Další informace o integraci virtuální sítě pro služby Azure najdete tady.

Pokud použijete funkci koncových bodů služby virtuální sítě (zapnutí koncového bodu služby virtuální sítě na straně sítě a nastavení příslušných seznamů ACL virtuální sítě na straně služby Azure), přístup ke službě Azure je omezený z povolené virtuální sítě a podsítě.

Jak koncový bod služby virtuální sítě poskytuje zabezpečení?

Funkce koncového bodu služby virtuální sítě (zapnutí koncového bodu služby virtuální sítě na straně sítě a nastavení příslušných seznamů ACL virtuální sítě na straně služby Azure) omezuje přístup služby Azure k povolené virtuální síti a podsíti, a tím zajišťuje zabezpečení a izolaci provozu služby Azure. Veškerý provoz využívající koncové body služeb virtuální sítě prochází přes páteřní síť Microsoftu, takže poskytuje další vrstvu izolace od veřejného internetu. Kromě toho se zákazníci můžou rozhodnout plně odebrat veřejný přístup k internetu k prostředkům služby Azure a povolit provoz pouze z virtuální sítě prostřednictvím kombinace brány firewall protokolu IP a seznamů ACL virtuální sítě, a tím chránit prostředky služeb Azure před neoprávněným přístupem.

Co koncový bod služby virtuální sítě chrání – prostředky virtuální sítě nebo služba Azure?

Koncové body služeb virtuální sítě pomáhají chránit prostředky služeb Azure. Prostředky virtuální sítě jsou chráněné prostřednictvím skupin zabezpečení sítě (NSG).

Jsou za používání koncových bodů služeb virtuální sítě nějaké náklady?

Ne, za používání koncových bodů služeb virtuální sítě nejsou žádné další náklady.

Můžu zapnout koncové body služeb virtuální sítě a nastavit seznamy ACL virtuální sítě, pokud virtuální síť a prostředky služby Azure patří do různých předplatných?

Ano, je to možné. Virtuální sítě a prostředky služeb Azure můžou být ve stejném nebo jiném předplatném. Jediným požadavkem je, že virtuální síť i prostředky služby Azure musí být ve stejném tenantovi Active Directory (AD).

Můžu zapnout koncové body služby virtuální sítě a nastavit seznamy ACL virtuální sítě, pokud virtuální síť a prostředky služby Azure patří do různých tenantů AD?

Ano, je možné používat koncové body služby pro Azure Storage a Azure Key Vault. U ostatních služeb se koncové body služeb virtuální sítě a seznamy ACL virtuální sítě nepodporují napříč tenanty AD.

Může IP adresa místního zařízení, která je připojená přes bránu Azure Virtual Network (VPN) nebo bránu ExpressRoute, přistupovat ke službě Azure PaaS přes koncové body služby virtuální sítě?

Prostředky služeb Azure svázané s virtuálními sítěmi ve výchozím nastavení nejsou přístupné z místních sítí. Pokud chcete povolit provoz z místního prostředí, musíte také povolit veřejné (obvykle NAT) IP adresy z místního prostředí nebo ExpressRoute. Tyto IP adresy je možné přidat prostřednictvím konfigurace brány firewall protokolu IP pro prostředky služby Azure.

Můžu pomocí funkce koncového bodu služby virtuální sítě zabezpečit službu Azure k více podsítím ve virtuální síti nebo v několika virtuálních sítích?

Pokud chcete zabezpečit služby Azure k více podsítím ve virtuální síti nebo ve více virtuálních sítích, povolte koncové body služeb na straně sítě na každé z podsítí nezávisle a pak zabezpečte prostředky služby Azure pro všechny podsítě nastavením příslušných seznamů ACL virtuální sítě na straně služby Azure.

Jak můžu filtrovat odchozí provoz z virtuální sítě do služeb Azure a stále používat koncové body služby?

Pokud chcete zkontrolovat nebo filtrovat provoz určený ke službě Azure z virtuální sítě, můžete nasadit síťové virtuální zařízení v rámci virtuální sítě. Koncové body služby pak můžete použít v podsíti, ve které je síťové virtuální zařízení nasazené, a zabezpečit prostředky služeb Azure pouze do této podsítě prostřednictvím seznamů ACL virtuální sítě. Tento scénář může být užitečný také v případě, že chcete omezit přístup ke službě Azure z vaší virtuální sítě jenom na konkrétní prostředky Azure pomocí filtrování síťových virtuálních zařízení. Další informace najdete v popisu výchozího přenosu dat se síťovými virtuálními zařízeními.

Co se stane, když přistupujete k účtu služby Azure, který má povolený seznam řízení přístupu virtuální sítě (ACL) mimo virtuální síť?

Vrátí se chyba HTTP 403 nebo HTTP 404.

Jsou podsítě virtuální sítě vytvořené v různých oblastech povolené pro přístup k účtu služby Azure v jiné oblasti?

Ano, pro většinu služeb Azure můžou virtuální sítě vytvořené v různých oblastech přistupovat ke službám Azure v jiné oblasti prostřednictvím koncových bodů služby virtuální sítě. Pokud je například účet Azure Cosmos DB v oblasti USA – západ nebo USA – východ a virtuální sítě jsou ve více oblastech, může virtuální síť přistupovat k Azure Cosmos DB. Storage a SQL jsou výjimky a jsou v podstatě regionální a virtuální síť i služba Azure musí být ve stejné oblasti.

Může služba Azure mít seznam ACL virtuální sítě i bránu firewall PROTOKOLU IP?

Ano, seznam ACL virtuální sítě a brána firewall PROTOKOLU IP může existovat společně. Obě funkce se vzájemně doplňují, aby se zajistila izolace a zabezpečení.

Co se stane, když odstraníte virtuální síť nebo podsíť se zapnutým koncovým bodem služby pro službu Azure?

Odstranění virtuálních sítí a podsítí jsou nezávislé operace a podporují se i v případě, že jsou koncové body služby pro služby Azure zapnuté. V případech, kdy jsou pro tyto virtuální sítě a podsítě nastavené seznamy ACL virtuální sítě a podsítě, jsou informace seznamu ACL virtuální sítě přidružené k této službě Azure zakázané, když se odstraní virtuální síť nebo podsíť s zapnutým koncovým bodem služby virtuální sítě.

Co se stane, když se odstraní účet služby Azure s povoleným koncovým bodem služby virtuální sítě?

Odstranění účtu služby Azure je nezávislá operace a podporuje se i v případě, že je koncový bod služby povolený na straně sítě a seznamy ACL virtuální sítě jsou nastavené na straně služby Azure.

Co se stane se zdrojovou IP adresou prostředku (jako je virtuální počítač v podsíti), který má povolený koncový bod služby virtuální sítě?

Pokud jsou koncové body služby virtuální sítě povolené, zdrojové IP adresy prostředků v podsíti virtuální sítě se přepnou z použití veřejných IPV4 adres na privátní IP adresy virtuální sítě Azure pro provoz do služby Azure. Všimněte si, že to může způsobit selhání konkrétních bran firewall PROTOKOLU IP, které jsou nastavené na veřejnou adresu IPV4 dříve ve službách Azure.

Má trasa koncového bodu služby vždy přednost?

Koncové body služby přidávají systémovou trasu, která má přednost před trasami protokolu BGP a zajišťuje optimální směrování provozu koncového bodu služby. Koncové body služeb vždy přebírají provoz služby přímo z vaší virtuální sítě do služby v páteřní síti Microsoft Azure. Další informace o tom, jak Azure vybere trasu, najdete v tématu Směrování provozu virtuální sítě Azure.

Fungují koncové body služby s PROTOKOLEM ICMP?

Ne, provoz PROTOKOLU ICMP, který je zdrojem z podsítě s povolenými koncovými body služby, nepřebere cestu tunelu služby k požadovanému koncovému bodu. Koncové body služby budou zpracovávat pouze provoz TCP. To znamená, že pokud chcete otestovat latenci nebo připojení ke koncovému bodu služby prostřednictvím koncových bodů služby, nástroje, jako je ping a tracert, nezobrazí skutečnou cestu, kterou budou prostředky v rámci podsítě trvat.

Jak skupina zabezpečení sítě v podsíti funguje s koncovými body služby?

Aby bylo možné se připojit ke službě Azure, musí skupiny zabezpečení sítě povolit odchozí připojení. Pokud jsou skupiny zabezpečení sítě otevřené pro veškerý internetový odchozí provoz, měl by fungovat provoz koncového bodu služby. Můžete také omezit odchozí provoz na IP adresy služeb pouze pomocí značek služby.

Jaká oprávnění potřebuji k nastavení koncových bodů služby?

Koncové body služby je možné nakonfigurovat ve virtuální síti nezávisle na uživateli s přístupem k zápisu do virtuální sítě. Aby bylo možné zabezpečit prostředky služby Azure pro virtuální síť, musí mít uživatel oprávnění Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pro přidané podsítě. Toto oprávnění je ve výchozím nastavení součástí předdefinované role správce služby a dá se upravit vytvořením vlastních rolí. Další informace o předdefinovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím.

Můžu filtrovat provoz virtuální sítě do služeb Azure, což umožňuje pouze konkrétní prostředky služby Azure přes koncové body služby virtuální sítě?

Zásady koncového bodu služby virtuální sítě umožňují filtrovat provoz virtuální sítě do služeb Azure, což umožňuje pouze konkrétní prostředky služby Azure přes koncové body služby. Zásady koncových bodů poskytují podrobné řízení přístupu z provozu virtuální sítě do služeb Azure. Další informace o zásadách koncového bodu služby najdete tady.

Podporuje Azure Active Directory (Azure AD) koncové body služby virtuální sítě?

Azure Active Directory (Azure AD) nativně nepodporuje koncové body služeb. Úplný seznam služeb Azure podporujících koncové body služby virtuální sítě najdete tady. Všimněte si, že značka Microsoft.AzureActiveDirectory uvedená v části služby podporující koncové body služby se používá pro podporu koncových bodů služby do ADLS Gen1. Integrace virtuální sítě pro Azure Data Lake Storage Gen1 pro ADLS Gen1 využívá zabezpečení koncového bodu služby virtuální sítě mezi vaší virtuální sítí a Azure Active Directory (Azure AD) k vygenerování dalších deklarací zabezpečení v přístupovém tokenu. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu. Další informace o integraci virtuální sítě Azure Data Lake Store Gen1

Existují nějaká omezení počtu koncových bodů služby virtuální sítě, které můžu nastavit ze své virtuální sítě?

Celkový počet koncových bodů služby virtuální sítě ve virtuální síti není nijak omezený. Pro prostředek služby Azure (například účet Azure Storage) můžou služby vynucovat omezení počtu podsítí používaných k zabezpečení prostředku. Následující tabulka uvádí několik ukázkových limitů:

Služba Azure Omezení pravidel virtuální sítě
Azure Storage 200
Azure SQL 128
Azure Synapse Analytics 128
Azure KeyVault 200
Azure Cosmos DB 64
Azure Event Hub 128
Azure Service Bus 128
Azure Data Lake Store V1 100

Poznámka

Omezení podléhají změnám podle vlastního uvážení služby Azure. Podrobnosti o službách najdete v příslušné dokumentaci ke službám.

Migrace klasických síťových prostředků do Resource Manager

Co je Azure Service Manager a pojem classic?

Azure Service Manager je starý model nasazení Azure zodpovědný za vytváření, správu a odstraňování prostředků. Slovo Classic v síťové službě odkazuje na prostředky spravované modelem Azure Service Manager. Další informace najdete v tématu Porovnání modelů nasazení.

Co je Azure Resource Manager?

Azure Resource Manager je nejnovější model nasazení a správy v Azure, který zodpovídá za vytváření, správu a odstraňování prostředků ve vašem předplatném Azure. Další informace najdete v tématu Co je Azure Resource Manager?

Můžu migraci vrátit po potvrzení prostředků do Resource Manager?

Migraci můžete zrušit, pokud jsou prostředky stále v připraveném stavu. Vrácení zpět k předchozímu modelu nasazení se nepodporuje, jakmile se prostředky úspěšně migrují prostřednictvím operace potvrzení.

Můžu migraci vrátit zpět, pokud operace potvrzení selhala?

Pokud operace potvrzení selhala, nemůžete migraci vrátit zpět. Všechny operace migrace, včetně operace potvrzení, nelze po spuštění změnit. Doporučujeme operaci zopakovat po krátkém období. Pokud operace selže, odešlete žádost o podporu.

Je možné ověřit, jestli jsou prostředky nebo předplatné schopné migrace?

Ano. V rámci postupu migrace je prvním krokem při přípravě migrace ověřit, jestli jsou prostředky schopné migrovat. V případě selhání operace ověření obdržíte zprávy ze všech důvodů, proč se migrace nedá dokončit.

Migrují se Application Gateway prostředky jako součást klasické migrace do Resource Manager virtuální sítě?

Application Gateway prostředky nebudou automaticky migrovány jako součást procesu migrace virtuální sítě. Pokud se nachází ve virtuální síti, migrace nebude úspěšná. Pokud chcete migrovat prostředek Application Gateway do Resource Manager, budete muset Application Gateway po dokončení migrace odebrat a znovu vytvořit.

Migruje se VPN Gateway jako součást klasické migrace do Resource Manager virtuální sítě?

VPN Gateway prostředky se migrují jako součást procesu migrace virtuální sítě. Migrace se dokončí současně s jednou virtuální sítí bez dalších požadavků. Postup migrace je stejný jako migrace virtuální sítě bez brány VPN.

Souvisí přerušení služby související s migrací klasických bran VPN na Resource Manager?

Při migraci na Resource Manager nedojde k přerušení služeb u připojení VPN. Stávající úlohy proto budou během migrace dál fungovat bez ztráty místního připojení.

Musím po migraci VPN Gateway do Resource Manager překonfigurovat místní zařízení?

Veřejná IP adresa přidružená k bráně VPN zůstane stejná i po migraci. Místní směrovač nemusíte překonfigurovat.

Jaké jsou podporované scénáře pro klasickou migraci VPN Gateway na Resource Manager?

Většina běžných scénářů připojení VPN se vztahuje na klasickou migraci Resource Manager. Mezi podporované scénáře patří:

  • Připojení typu point-to-site

  • Připojení typu Site-to-Site s VPN Gateway připojeným k místnímu umístění

  • Připojení typu VNet-to-VNet mezi dvěma virtuálními sítěmi pomocí bran VPN

  • Více virtuálních sítí připojených ke stejnému místnímu umístění

  • Připojení k více lokalitám

  • Vynucené tunelování povolených virtuálních sítí

Které scénáře nejsou podporované pro klasickou migraci VPN Gateway do Resource Manager?

Mezi scénáře, které nejsou podporované, patří:

  • Virtuální síť s bránou ExpressRoute i VPN Gateway se v současné době nepodporuje.

  • Virtuální síť s bránou ExpressRoute připojenou k okruhu v jiném předplatném.

  • Scénáře přenosu, ve kterých jsou rozšíření virtuálních počítačů připojená k místním serverům.

Kde najdu další informace týkající se klasické migrace do Azure Resource Manager?

Další informace najdete v nejčastějších dotazech k migraci classic do Azure Resource Manager.

Jak můžu nahlásit problém?

Dotazy týkající se problémů s migrací můžete publikovat na stránce Microsoft QA&. Doporučujeme publikovat všechny své otázky na tomto fóru. Pokud máte smlouvu o podpoře, můžete také podat žádost o podporu.