Planowanie sieci wirtualnychPlan virtual networks

Tworzenie sieci wirtualnej na potrzeby eksperymentowania z programem jest wystarczająco proste, ale nie jest to możliwe, jednak wdrożenie wielu sieci wirtualnych odbywa się w miarę upływu czasu w celu wspierania potrzeb organizacji.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. W przypadku niektórych planów można wdrożyć sieci wirtualne i połączyć zasoby, które są bardziej efektywne.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. Informacje przedstawione w tym artykule są najbardziej przydatne, jeśli znasz już sieci wirtualne i masz pewne doświadczenie w pracy z nimi.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Jeśli nie znasz sieci wirtualnych, zalecamy zapoznanie się z tematem Omówienie usługi Virtual Network.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

NazewnictwoNaming

Wszystkie zasoby platformy Azure mają nazwę.All Azure resources have a name. Nazwa musi być unikatowa w zakresie, który może się różnić w zależności od typu zasobu.The name must be unique within a scope, that may vary for each resource type. Na przykład nazwa sieci wirtualnej musi być unikatowa w ramach grupy zasobów, ale może być zduplikowana w ramach subskrypcji lub regionuświadczenia usługi Azure.For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Definiowanie konwencji nazewnictwa, która może być stosowana spójnie podczas określania nazw zasobów, jest przydatna podczas zarządzania kilkoma zasobami sieciowymi w czasie.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Aby uzyskać sugestie, zobacz konwencje nazewnictwa.For suggestions, see Naming conventions.

RegionyRegions

Wszystkie zasoby platformy Azure są tworzone w regionie i w ramach subskrypcji platformy Azure.All Azure resources are created in an Azure region and subscription. Zasób można utworzyć tylko w sieci wirtualnej, która istnieje w tym samym regionie i w ramach subskrypcji, co zasób.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. Można jednak łączyć sieci wirtualne istniejące w różnych subskrypcjach i regionach.You can however, connect virtual networks that exist in different subscriptions and regions. Aby uzyskać więcej informacji, zobacz łączność.For more information, see connectivity. Podczas decydowania o regionach, w których mają zostać wdrożone zasoby, należy wziąć pod uwagę, gdzie fizycznie znajdują się odbiorcy zasobów:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • Konsumenci zasobów zwykle chcą najniższe opóźnienie sieci do swoich zasobów.Consumers of resources typically want the lowest network latency to their resources. Aby określić względne opóźnienia między określoną lokalizacją a regionem świadczenia usługi Azure, zobacz przeglądanie względnych opóźnień.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Czy masz dane dotyczące miejsca zamieszkania, suwerenności, zgodności lub odporności?Do you have data residency, sovereignty, compliance, or resiliency requirements? W takim przypadku wybranie regionu, który jest wyrównany do wymagań ma krytyczne znaczenie.If so, choosing the region that aligns to the requirements is critical. Aby uzyskać więcej informacji, zobacz Azure lokalizacje geograficzne.For more information, see Azure geographies.
  • Czy potrzebujesz odporności między Strefy dostępności platformy Azureami w ramach tego samego regionu świadczenia usługi Azure w ramach wdrażanych zasobów?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? Zasoby, takie jak maszyny wirtualne (VM), można wdrażać w różnych strefach dostępności w ramach tej samej sieci wirtualnej.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. Nie wszystkie regiony platformy Azure obsługują jednak strefy dostępności.Not all Azure regions support availability zones however. Aby dowiedzieć się więcej o strefach dostępności i regionach, które je obsługują, zobacz strefy dostępności.To learn more about availability zones and the regions that support them, see Availability zones.

SubskrypcjeSubscriptions

W ramach każdej subskrypcji można wdrożyć dowolną liczbę sieci wirtualnych, która jest wymagana do limitu.You can deploy as many virtual networks as required within each subscription, up to the limit. Niektóre organizacje mają różne subskrypcje dla różnych działów, na przykład.Some organizations have different subscriptions for different departments, for example. Aby uzyskać więcej informacji i zagadnień dotyczących subskrypcji, zobacz temat Zarządzanie subskrypcjami.For more information and considerations around subscriptions, see Subscription governance.

SegmentacjaSegmentation

Można utworzyć wiele sieci wirtualnych na subskrypcję i na region.You can create multiple virtual networks per subscription and per region. W każdej sieci wirtualnej można utworzyć wiele podsieci.You can create multiple subnets within each virtual network. Poniższe zagadnienia ułatwiają określenie, ile sieci wirtualnych i podsieci są wymagane:The considerations that follow help you determine how many virtual networks and subnets you require:

Sieci wirtualneVirtual networks

Sieć wirtualna to wirtualna, izolowana część sieci publicznej platformy Azure.A virtual network is a virtual, isolated portion of the Azure public network. Każda sieć wirtualna jest dedykowana dla Twojej subskrypcji.Each virtual network is dedicated to your subscription. Kwestie, które należy wziąć pod uwagę podczas decydowania, czy należy utworzyć jedną sieć wirtualną lub wiele sieci wirtualnych w ramach subskrypcji:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Czy istnieją jakieś wymagania dotyczące zabezpieczeń organizacyjnych na potrzeby izolowania ruchu w oddzielnych sieciach wirtualnych?Do any organizational security requirements exist for isolating traffic into separate virtual networks? Można nawiązać połączenie z sieciami wirtualnymi.You can choose to connect virtual networks or not. W przypadku łączenia sieci wirtualnych można zaimplementować sieciowe urządzenie wirtualne, takie jak zapora, aby sterować przepływem ruchu między sieciami wirtualnymi.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Aby uzyskać więcej informacji, zobacz zabezpieczenia i łączność.For more information, see security and connectivity.
  • Czy istnieją jakieś wymagania organizacyjne na potrzeby izolowania sieci wirtualnych w osobnych subskrypcjach lub regionach?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Interfejs sieciowy umożliwia maszynie wirtualnej komunikowanie się z innymi zasobami.A network interface enables a VM to communicate with other resources. Każdy interfejs sieciowy ma przypisane co najmniej jeden prywatny adres IP.Each network interface has one or more private IP addresses assigned to it. Ile interfejsów sieciowych i prywatnych adresów IP jest wymaganych w sieci wirtualnej?How many network interfaces and private IP addresses do you require in a virtual network? Istnieją limity liczby interfejsów sieciowych i prywatnych adresów IP, które mogą znajdować się w sieci wirtualnej.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • Czy chcesz połączyć sieć wirtualną z inną siecią wirtualną lub siecią lokalną?Do you want to connect the virtual network to another virtual network or on-premises network? Niektóre sieci wirtualne można połączyć z każdą inną lub siecią lokalną, ale nie z innych.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Aby uzyskać więcej informacji, zobacz łączność.For more information, see connectivity. Każda sieć wirtualna, która jest podłączona do innej sieci wirtualnej lub sieci lokalnej, musi mieć unikatową przestrzeń adresową.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Każda sieć wirtualna ma jeden lub więcej zakresów adresów publicznych lub prywatnych przypisanych do przestrzeni adresowej.Each virtual network has one or more public or private address ranges assigned to its address space. Zakres adresów jest określony w formacie Classless Internet Domain Routing (CIDR), takim jak 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Dowiedz się więcej o zakresach adresów dla sieci wirtualnych.Learn more about address ranges for virtual networks.
  • Czy istnieją jakieś wymagania administracyjne organizacji dotyczące zasobów w różnych sieciach wirtualnych?Do you have any organizational administration requirements for resources in different virtual networks? Jeśli tak, możesz oddzielić zasoby do oddzielnej sieci wirtualnej, aby uprościć przypisanie uprawnień do osób w organizacji lub przypisać różne zasady do różnych sieci wirtualnych.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • W przypadku wdrażania niektórych zasobów usługi platformy Azure w sieci wirtualnej tworzy własną sieć wirtualną.When you deploy some Azure service resources into a virtual network, they create their own virtual network. Aby ustalić, czy usługa platformy Azure tworzy własną sieć wirtualną, zobacz informacje dla każdej usługi platformy Azure, którą można wdrożyć w sieci wirtualnej.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

PodsieciSubnets

Sieć wirtualna może zostać ujęta w jedną lub więcej podsieci do limitów.A virtual network can be segmented into one or more subnets up to the limits. Kwestie, które należy wziąć pod uwagę podczas decydowania, czy należy utworzyć jedną podsieć lub wiele sieci wirtualnych w ramach subskrypcji:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Każda podsieć musi mieć unikatowy zakres adresów określony w formacie CIDR w przestrzeni adresowej sieci wirtualnej.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. Zakres adresów nie może pokrywać się z innymi podsieciami w sieci wirtualnej.The address range cannot overlap with other subnets in the virtual network.
  • Jeśli planujesz wdrożenie niektórych zasobów usługi platformy Azure w sieci wirtualnej, mogą oni potrzebować lub utworzyć własną podsieć, więc musi być wystarczająca ilość wolnego miejsca do wykonania.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. Aby ustalić, czy usługa platformy Azure tworzy własną podsieć, zobacz informacje dotyczące poszczególnych usług platformy Azure, które można wdrożyć w sieci wirtualnej.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Jeśli na przykład Sieć wirtualna jest podłączona do sieci lokalnej przy użyciu VPN Gateway platformy Azure, Sieć wirtualna musi mieć dedykowaną podsieć dla bramy.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Dowiedz się więcej o podsieciach bramy.Learn more about gateway subnets.
  • Platforma Azure domyślnie kieruje ruchem sieciowym między wszystkimi podsieciami w sieci wirtualnej.Azure routes network traffic between all subnets in a virtual network, by default. Można zastąpić domyślny Routing platformy Azure, aby zapobiec routingowi platformy Azure między podsieciami lub kierować ruchem między podsieciami za pomocą wirtualnego urządzenia sieciowego.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Jeśli potrzebujesz tego ruchu między zasobami w tym samym przepływie sieci wirtualnej za pomocą wirtualnego urządzenia sieciowego (urządzenie WUS), wdróż zasoby w różnych podsieciach.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Dowiedz się więcej o zabezpieczeniach.Learn more in security.
  • Możesz ograniczyć dostęp do zasobów platformy Azure, takich jak konto usługi Azure Storage lub Azure SQL Database, do określonych podsieci za pomocą punktu końcowego usługi sieci wirtualnej.You can limit access to Azure resources such as an Azure storage account or Azure SQL Database, to specific subnets with a virtual network service endpoint. Ponadto możesz odmówić dostępu do zasobów z Internetu.Further, you can deny access to the resources from the internet. Można utworzyć wiele podsieci i włączyć punkt końcowy usługi dla niektórych podsieci, ale nie do innych.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Dowiedz się więcej o punktach końcowych usługii zasobach platformy Azure, na których można je włączyć.Learn more about service endpoints, and the Azure resources you can enable them for.
  • Można skojarzyć zero lub jedną sieciową grupę zabezpieczeń z każdą podsiecią w sieci wirtualnej.You can associate zero or one network security group to each subnet in a virtual network. Do każdej podsieci można skojarzyć tę samą lub inną sieciową grupę zabezpieczeń.You can associate the same, or a different, network security group to each subnet. Każda sieciowa Grupa zabezpieczeń zawiera reguły, które zezwalają na ruch do i ze źródeł i miejsc docelowych lub odmawiają go.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Dowiedz się więcej na temat sieciowych grup zabezpieczeń.Learn more about network security groups.

ZabezpieczeniaSecurity

Ruch sieciowy do i z zasobów w sieci wirtualnej można filtrować przy użyciu sieciowych grup zabezpieczeń i sieciowych urządzeń wirtualnych.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. Można kontrolować sposób, w jaki platforma Azure kieruje ruchem z podsieci.You can control how Azure routes traffic from subnets. Można także ograniczyć, kto w organizacji może współpracować z zasobami w sieciach wirtualnych.You can also limit who in your organization can work with resources in virtual networks.

Filtrowanie ruchuTraffic filtering

  • Ruch sieciowy między zasobami w sieci wirtualnej można filtrować przy użyciu sieciowej grupy zabezpieczeń, urządzenie WUS, która filtruje ruch sieciowy lub oba te elementy.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Aby wdrożyć urządzenie WUS, na przykład zaporę, aby filtrować ruch sieciowy, zobacz witrynę Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. W przypadku korzystania z urządzenie WUS, tworzysz również trasy niestandardowe do kierowania ruchu z podsieci do urządzenie WUS.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Dowiedz się więcej o routingu ruchu.Learn more about traffic routing.
  • Sieciowa Grupa zabezpieczeń zawiera kilka domyślnych reguł zabezpieczeń, które zezwalają na ruch do lub z zasobów lub odmawiają go.A network security group contains several default security rules that allow or deny traffic to or from resources. Sieciowa Grupa zabezpieczeń może być skojarzona z interfejsem sieciowym, podsiecią, w której znajduje się interfejs sieciowy, lub obie.A network security group can be associated to a network interface, the subnet the network interface is in, or both. Aby uprościć zarządzanie regułami zabezpieczeń, zaleca się skojarzenie sieciowej grupy zabezpieczeń z poszczególnymi podsieciami, a nie pojedynczymi interfejsami sieciowymi w podsieci, jeśli jest to możliwe.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Jeśli na różnych maszynach wirtualnych w podsieci są wymagane inne reguły zabezpieczeń, można skojarzyć interfejs sieciowy w maszynie wirtualnej z co najmniej jedną grupą zabezpieczeń aplikacji.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. Reguła zabezpieczeń może określić grupę zabezpieczeń aplikacji w jej lokalizacji źródłowej, docelowej lub obu.A security rule can specify an application security group in its source, destination, or both. Ta reguła ma zastosowanie tylko do interfejsów sieciowych, które są członkami grupy zabezpieczeń aplikacji.That rule then only applies to the network interfaces that are members of the application security group. Dowiedz się więcej na temat grup zabezpieczeń sieci i grup zabezpieczeń aplikacji.Learn more about network security groups and application security groups.
  • Platforma Azure tworzy kilka domyślnych reguł zabezpieczeń w ramach każdej sieciowej grupy zabezpieczeń.Azure creates several default security rules within each network security group. Jedna reguła domyślna zezwala na przepływ całego ruchu między wszystkimi zasobami w sieci wirtualnej.One default rule allows all traffic to flow between all resources in a virtual network. Aby przesłonić to zachowanie, użyj sieciowych grup zabezpieczeń, routingu niestandardowego do kierowania ruchu do urządzenie WUS lub obu.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Zaleca się zapoznanie się ze wszystkimi domyślnymi regułami zabezpieczeń platformy Azure i zrozumienie, jak reguły grupy zabezpieczeń sieci są stosowane do zasobu.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

Można wyświetlić przykładowe projekty do wdrożenia sieci obwodowej (zwanej także strefą DMZ) między platformą Azure i Internetem przy użyciu urządzenie WUS.You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

Routing ruchuTraffic routing

Platforma Azure tworzy kilka domyślnych tras dla ruchu wychodzącego z podsieci.Azure creates several default routes for outbound traffic from a subnet. Domyślne Routing platformy Azure można zastąpić, tworząc tabelę tras i kojarząc ją z podsiecią.You can override Azure's default routing by creating a route table and associating it to a subnet. Typowe przyczyny przesłania domyślnego routingu platformy Azure to:Common reasons for overriding Azure's default routing are:

  • Ponieważ ruch między podsieciami jest potrzebny do przepływu przez urządzenie WUS.Because you want traffic between subnets to flow through an NVA. Aby dowiedzieć się więcej na temat sposobu konfigurowania tabel tras w celu wymuszania ruchu przez urządzenie WUS.To learn more about how to configure route tables to force traffic through an NVA.
  • Ponieważ chcesz wymusić cały ruch związany z Internetem za pośrednictwem urządzenie WUS lub lokalnego, za pośrednictwem bramy sieci VPN platformy Azure.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Wymuszanie lokalnego ruchu internetowego na potrzeby inspekcji i rejestrowania jest często określane jako Wymuszone tunelowanie.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Dowiedz się więcej o konfigurowaniu wymuszonego tunelowania.Learn more about how to configure forced tunneling.

Jeśli musisz zaimplementować Routing niestandardowy, zalecamy zapoznanie się z usługą Routing na platformie Azure.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

ŁącznośćConnectivity

Można połączyć sieć wirtualną z innymi sieciami wirtualnymi przy użyciu komunikacji równorzędnej sieci wirtualnej lub sieci lokalnej przy użyciu bramy sieci VPN platformy Azure.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

Komunikacja równorzędnaPeering

W przypadku korzystania z komunikacji równorzędnej sieciwirtualnych sieci wirtualne mogą znajdować się w tych samych lub różnych obsługiwanych regionach platformy Azure.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. Sieci wirtualne mogą znajdować się w tych samych lub różnych subskrypcjach platformy Azure (nawet w subskrypcjach należących do różnych dzierżawców Azure Active Directory).The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). Przed utworzeniem komunikacji równorzędnej zaleca się zapoznanie się ze wszystkimi wymaganiami dotyczącymi komunikacji równorzędnej i ograniczeniami.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. Przepustowość między zasobami w sieciach wirtualnych połączonych za pomocą komunikacji równorzędnej w tym samym regionie jest taka sama jak w przypadku, gdy zasoby znajdowały się w tej samej sieci wirtualnej.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

Brama sieci VPNVPN gateway

Korzystając z VPN Gateway platformy Azure, można połączyć sieć wirtualną z siecią lokalną przy użyciu sieci VPN typu lokacja-lokacjalub za pomocą dedykowanego połączenia z usługą Azure ExpressRoute.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

Można połączyć komunikację równorzędną i bramę sieci VPN, aby utworzyć sieci Hub i szprych, gdzie sieci wirtualne szprych nawiązują połączenie z siecią wirtualną centralną, a centrum łączy się z siecią lokalną, na przykład.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

Rozpoznawanie nazwName resolution

Zasoby w jednej sieci wirtualnej nie mogą rozpoznać nazw zasobów w równorzędnej sieci wirtualnej przy użyciu wbudowanego systemu DNSplatformy Azure.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Aby rozwiązać nazwy w równorzędnej sieci wirtualnej, Wdróż własny serwer DNSlub użyj Azure DNS domen prywatnych.To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. Rozpoznawanie nazw między zasobami w sieci wirtualnej i w sieciach lokalnych wymaga również wdrożenia własnego serwera DNS.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

UprawnieniaPermissions

Platforma Azure korzysta z kontroli dostępu opartej na rolach (Azure RBAC) na potrzeby zasobów.Azure utilizes Azure role-based access control (Azure RBAC) to resources. Uprawnienia są przypisywane do zakresu w następującej hierarchii: grupy zarządzania, subskrypcji, grupy zasobów i poszczególnych zasobów.Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. Aby dowiedzieć się więcej o hierarchii, zobacz organizowanie zasobów.To learn more about the hierarchy, see Organize your resources. Aby współpracować z sieciami wirtualnymi platformy Azure i wszystkimi związanymi z nimi funkcjami, takimi jak Komunikacja równorzędna, sieciowe grupy zabezpieczeń, punkty końcowe usługi i tabele tras, można przypisać członków organizacji do wbudowanych ról właściciela, współautoralub współautorów sieci , a następnie przypisać rolę do odpowiedniego zakresu.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Jeśli chcesz przypisać określone uprawnienia dla podzestawu możliwości sieci wirtualnej, Utwórz rolę niestandardową i przypisz określone uprawnienia wymagane dla sieci wirtualnych, podsieci i punktów końcowych usług, interfejsów sieciowych, komunikacji równorzędnej, sieci i grup zabezpieczeń aplikacjilub tabel tras do roli.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

ZasadyPolicy

Azure Policy umożliwia tworzenie i przypisywanie definicji zasad oraz zarządzanie nimi.Azure Policy enables you to create, assign, and manage policy definitions. Definicje zasad wymuszają stosowanie różnych reguł do zasobów, dzięki czemu zasoby pozostają zgodne ze standardami organizacji i umowami dotyczącymi poziomu usług.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Azure Policy uruchamia ocenę zasobów i skanuje zasoby, które nie są zgodne z definicjami zasad.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. Na przykład można zdefiniować i zastosować zasady, które umożliwiają tworzenie sieci wirtualnych tylko w określonej grupie zasobów lub regionie.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. Inne zasady mogą wymagać, aby do każdej podsieci była skojarzona sieciowa Grupa zabezpieczeń.Another policy can require that every subnet has a network security group associated to it. Zasady są następnie oceniane podczas tworzenia i aktualizowania zasobów.The policies are then evaluated when creating and updating resources.

Zasady są stosowane do następującej hierarchii: grupy zarządzania, subskrypcji i grupy zasobów.Policies are applied to the following hierarchy: management group, subscription, and resource group. Dowiedz się więcej na temat Azure Policy lub Wdróż niektóre definicje Azure Policysieci wirtualnej.Learn more about Azure Policy or deploy some virtual network Azure Policy definitions.

Następne krokiNext steps

Dowiedz się więcej na temat wszystkich zadań, ustawień i opcji dla sieci wirtualnej, punktu końcowego podsieci i usługi, interfejsu sieciowego, komunikacji równorzędnej, sieci i grupy zabezpieczeń aplikacjilub tabeli tras.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.