Azure Virtual Network często zadawane pytaniaAzure Virtual Network frequently asked questions (FAQ)

Podstawowe informacje Virtual NetworkVirtual Network basics

Co to jest usługa Azure Virtual Network (VNet)?What is an Azure Virtual Network (VNet)?

Usługa Azure Virtual Network (VNet) to reprezentacja własnej sieci w chmurze.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Jest logiczną izolacją chmury Azure przeznaczoną dla Twojej subskrypcji.It is a logical isolation of the Azure cloud dedicated to your subscription. Za pomocą sieci wirtualnych można udostępniać wirtualne sieci prywatne (VPN) na platformie Azure i zarządzać nimi, opcjonalnie połączyć sieci wirtualnych z innymi sieci wirtualnych na platformie Azure lub z lokalną infrastrukturą INFORMATYCZNą w celu tworzenia rozwiązań hybrydowych lub obejmujących wiele lokalizacji.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Każda utworzona sieć wirtualna ma swój własny blok CIDR i może być połączona z innymi sieci wirtualnych i sieciami lokalnymi, o ile bloki CIDR nie nakładają się na siebie.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. Masz również kontrolę nad ustawieniami serwera DNS dla sieci wirtualnych i segmentacją sieci wirtualnej na podsieci.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Użyj sieci wirtualnych, aby:Use VNets to:

  • Utwórz dedykowaną sieć wirtualną obsługującą tylko chmurę prywatną.Create a dedicated private cloud-only VNet. Czasami nie jest wymagane, aby Twoje rozwiązanie nie wymagało konfiguracji obejmującej wiele lokalizacji.Sometimes you don't require a cross-premises configuration for your solution. Podczas tworzenia sieci wirtualnej usługi i maszyny wirtualne w sieci wirtualnej mogą komunikować się bezpośrednio i bezpiecznie ze sobą w chmurze.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. Nadal można skonfigurować połączenia punktów końcowych dla maszyn wirtualnych i usług, które wymagają komunikacji z Internetem w ramach rozwiązania.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Bezpieczne rozszeranie centrum danych.Securely extend your data center. Za pomocą sieci wirtualnych można tworzyć tradycyjne sieci VPN typu lokacja-lokacja (S2S) w celu bezpiecznego skalowania pojemności centrum danych.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. Sieci VPN S2S używają protokołu IPSEC do zapewnienia bezpiecznego połączenia między firmową bramą sieci VPN i platformą Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Włącz scenariusze chmury hybrydowej.Enable hybrid cloud scenarios. Sieci wirtualnych zapewniają elastyczność umożliwiającą obsługę szeregu scenariuszy chmury hybrydowej.VNets give you the flexibility to support a range of hybrid cloud scenarios. Aplikacje oparte na chmurze można bezpiecznie połączyć z dowolnym typem systemu lokalnego, takim jak Komputery mainframe i systemy UNIX.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Jak rozpocząć?How do I get started?

Przejdź do dokumentacji sieci wirtualnej , aby rozpocząć pracę.Visit the Virtual network documentation to get started. Ta zawartość zawiera przegląd i informacje dotyczące wdrażania dla wszystkich funkcji sieci wirtualnej.This content provides overview and deployment information for all of the VNet features.

Czy mogę używać sieci wirtualnych bez połączenia między różnymi lokalizacjami?Can I use VNets without cross-premises connectivity?

Tak.Yes. Możesz użyć sieci wirtualnej bez łączenia jej z Twoim lokalem.You can use a VNet without connecting it to your premises. Można na przykład uruchomić system Microsoft Windows Server Active Directory kontrolery domeny i farmy programu SharePoint wyłącznie w sieci wirtualnej platformy Azure.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Czy mogę przeprowadzić optymalizację sieci WAN między sieci wirtualnychą a siecią wirtualną i lokalnym centrum danych?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Tak.Yes. Wirtualne urządzenie sieciowe optymalizacji sieci WAN można wdrożyć od kilku dostawców za pośrednictwem portalu Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

KonfigurowanieConfiguration

Jakie narzędzia są używane do tworzenia sieci wirtualnej?What tools do I use to create a VNet?

Aby utworzyć lub skonfigurować sieć wirtualną, można użyć następujących narzędzi:You can use the following tools to create or configure a VNet:

Jakie zakresy adresów mogę użyć w mojej sieci wirtualnych?What address ranges can I use in my VNets?

Dowolny zakres adresów IP zdefiniowany w dokumencie RFC 1918.Any IP address range defined in RFC 1918. Na przykład 10.0.0.0/16.For example, 10.0.0.0/16. Nie można dodać następujących zakresów adresów:You cannot add the following address ranges:

  • 224.0.0.0/4 (multiemisja)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (emisja)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (sprzężenie zwrotne)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (Link-local)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (wewnętrzna usługa DNS)168.63.129.16/32 (Internal DNS)

Czy mogę mieć publiczne adresy IP w mojej sieci wirtualnych?Can I have public IP addresses in my VNets?

Tak.Yes. Aby uzyskać więcej informacji na temat zakresów publicznych adresów IP, zobacz Tworzenie sieci wirtualnej.For more information about public IP address ranges, see Create a virtual network. Publiczne adresy IP nie są bezpośrednio dostępne z Internetu.Public IP addresses are not directly accessible from the internet.

Czy istnieje ograniczenie liczby podsieci w sieci wirtualnej?Is there a limit to the number of subnets in my VNet?

Tak.Yes. Aby uzyskać szczegółowe informacje, zobacz limity platformy Azure .See Azure limits for details. Przestrzenie adresowe podsieci nie mogą nakładać się na siebie nawzajem.Subnet address spaces cannot overlap one another.

Czy istnieją jakieś ograniczenia dotyczące używania adresów IP w tych podsieciach?Are there any restrictions on using IP addresses within these subnets?

Tak.Yes. Platforma Azure rezerwuje 5 adresów IP dla każdej podsieci.Azure reserves 5 IP addresses within each subnet. Są to x. x. x. 0-x. x. x. 3 i ostatni adres podsieci.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x. x. 1-x. x. x. 3 jest zarezerwowane w każdej podsieci dla usług platformy Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x. x. x. 0: Adres sieciowyx.x.x.0: Network address
  • x. x. x. 1: Zarezerwowane przez platformę Azure dla bramy domyślnejx.x.x.1: Reserved by Azure for the default gateway
  • x. x. x. 2, x. x. x. 3: Zarezerwowane przez platformę Azure do mapowania adresów IP Azure DNS na przestrzeń wirtualnąx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. x. 255: Adres emisji siecix.x.x.255: Network broadcast address

Jak mały i jak duży może być sieci wirtualnych i podsieci?How small and how large can VNets and subnets be?

Najmniejsza obsługiwana podsieć to/29, a największe to/8 (przy użyciu definicji podsieci CIDR).The smallest supported subnet is /29, and the largest is /8 (using CIDR subnet definitions).

Czy mogę przenieść moje sieci VLAN na platformę Azure przy użyciu usługi sieci wirtualnych?Can I bring my VLANs to Azure using VNets?

Nie.No. Sieci wirtualnych to nakładki warstwy 3.VNets are Layer-3 overlays. Platforma Azure nie obsługuje żadnej semantyki warstwy 2.Azure does not support any Layer-2 semantics.

Czy mogę określić niestandardowe zasady routingu w moich sieci wirtualnychach i podsieciach?Can I specify custom routing policies on my VNets and subnets?

Tak.Yes. Można utworzyć tabelę tras i skojarzyć ją z podsiecią.You can create a route table and associate it to a subnet. Aby uzyskać więcej informacji na temat routingu na platformie Azure, zobacz Omówienie routingu.For more information about routing in Azure, see Routing overview.

Czy sieci wirtualnych obsługuje multiemisję czy emisję?Do VNets support multicast or broadcast?

Nie.No. Multiemisja i emisja nie są obsługiwane.Multicast and broadcast are not supported.

Jakich protokołów mogę używać w ramach sieci wirtualnych?What protocols can I use within VNets?

W programie sieci wirtualnych można używać protokołów TCP, UDP i ICMP protokołu TCP/IP.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. Emisja pojedyncza jest obsługiwana w ramach sieci wirtualnych, z wyjątkiem Dynamic Host Configuration Protocol (DHCP) za pośrednictwem emisji pojedynczej (port źródłowy UDP/68/port docelowy UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). Pakiety multiemisji, emisji, pakiety IP w IP hermetyzowane i pakietów GRE (Generic Routing Encapsulation) są blokowane w ramach sieci wirtualnych.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Czy mogę wysłać polecenie ping do moich domyślnych routerów w sieci wirtualnej?Can I ping my default routers within a VNet?

Nie.No.

Czy mogę użyć polecenia tracert do diagnozowania łączności?Can I use tracert to diagnose connectivity?

Nie.No.

Czy mogę dodać podsieci po utworzeniu sieci wirtualnej?Can I add subnets after the VNet is created?

Tak.Yes. Podsieci można dodać do sieci wirtualnych w dowolnym momencie, o ile zakres adresów podsieci nie jest częścią innej podsieci i dostępne miejsce pozostawiono w zakresie adresów sieci wirtualnej.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Czy mogę zmienić rozmiar podsieci po utworzeniu?Can I modify the size of my subnet after I create it?

Tak.Yes. Możesz dodać, usunąć, rozwinąć lub zmniejszyć podsieć, jeśli nie ma w niej wdrożonych maszyn wirtualnych ani usług.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Czy mogę modyfikować podsieci po ich utworzeniu?Can I modify subnets after I created them?

Tak.Yes. Bloki CIDR używane przez sieć wirtualną można dodawać, usuwać i modyfikować.You can add, remove, and modify the CIDR blocks used by a VNet.

Czy w przypadku korzystania z usług w sieci wirtualnej można nawiązać połączenie z Internetem?If I am running my services in a VNet, can I connect to the internet?

Tak.Yes. Wszystkie usługi wdrożone w sieci wirtualnej mogą łączyć ruch wychodzący z Internetem.All services deployed within a VNet can connect outbound to the internet. Aby dowiedzieć się więcej o wychodzących połączeniach internetowych na platformie Azure, zobacz połączenia wychodzące.To learn more about outbound internet connections in Azure, see Outbound connections. Jeśli chcesz nawiązać połączenie przychodzące z zasobem wdrożonym za pomocą Menedżer zasobów, do zasobu musi być przypisany publiczny adres IP.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Aby dowiedzieć się więcej o publicznych adresach IP, zobacz publiczne adresy IP.To learn more about public IP addresses, see Public IP addresses. Każda usługa w chmurze platformy Azure wdrożona na platformie Azure ma publicznie przypisany adres VIP.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Należy zdefiniować wejściowe punkty końcowe dla PaaS ról i punktów końcowych dla maszyn wirtualnych, aby umożliwić tym usługom akceptowanie połączeń z Internetu.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Czy sieci wirtualnych obsługuje protokół IPv6?Do VNets support IPv6?

Nie.No. W tej chwili nie można używać protokołu IPv6 z sieci wirtualnych.You cannot use IPv6 with VNets at this time. Można jednak przypisać adresy IPv6 do modułów równoważenia obciążenia platformy Azure, aby zrównoważyć obciążenie maszyn wirtualnych.You can however, assign IPv6 addresses to Azure load balancers to load balance virtual machines. Aby uzyskać szczegółowe informacje, zobacz Omówienie protokołu IPv6 dla Azure Load Balancer.For details, see Overview of IPv6 for Azure Load Balancer.

Czy mogą istnieć regiony zakresu sieci wirtualnej?Can a VNet span regions?

Nie.No. Sieć wirtualna jest ograniczona do jednego regionu.A VNet is limited to a single region. Sieć wirtualna obejmuje jednak strefy dostępności.A virtual network does, however, span availability zones. Aby dowiedzieć się więcej o strefach dostępności, zobacz Availability zones overview (Omówienie stref dostępności).To learn more about availability zones, see Availability zones overview. Sieci wirtualne można łączyć w różnych regionach za pomocą komunikacji równorzędnej sieci wirtualnych.You can connect virtual networks in different regions with virtual network peering. Aby uzyskać szczegółowe informacje, zobacz Omówienie komunikacji równorzędnej sieci wirtualnychFor details, see Virtual network peering overview

Czy mogę połączyć sieć wirtualną z inną siecią wirtualną na platformie Azure?Can I connect a VNet to another VNet in Azure?

Tak.Yes. Można połączyć jedną sieć wirtualną z inną siecią wirtualną przy użyciu:You can connect one VNet to another VNet using either:

Rozpoznawanie nazw (DNS)Name Resolution (DNS)

Jakie są moje Opcje DNS dla sieci wirtualnych?What are my DNS options for VNets?

Za pomocą tabeli decyzji na stronie rozpoznawanie nazw dla maszyn wirtualnych i wystąpień ról można przekierować wszystkie dostępne opcje systemu DNS.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Czy mogę określić serwery DNS dla sieci wirtualnej?Can I specify DNS servers for a VNet?

Tak.Yes. W ustawieniach sieci wirtualnej można określić adresy IP serwerów DNS.You can specify DNS server IP addresses in the VNet settings. To ustawienie jest stosowane jako domyślne serwery DNS dla wszystkich maszyn wirtualnych w sieci wirtualnej.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Ile serwerów DNS można określić?How many DNS servers can I specify?

Odwołania do limitów platformy Azure.Reference Azure limits.

Czy mogę zmodyfikować moje serwery DNS po utworzeniu sieci?Can I modify my DNS servers after I have created the network?

Tak.Yes. W dowolnym momencie możesz zmienić listę serwerów DNS dla sieci wirtualnej.You can change the DNS server list for your VNet at any time. W przypadku zmiany listy serwerów DNS należy ponownie uruchomić wszystkie maszyny wirtualne w sieci wirtualnej, aby można było wybrać nowy serwer DNS.If you change your DNS server list, you will need to restart each of the VMs in your VNet in order for them to pick up the new DNS server.

Co to jest usługa DNS udostępniona przez platformę Azure i czy działa ona z usługą sieci wirtualnych?What is Azure-provided DNS and does it work with VNets?

System DNS udostępniany przez platformę Azure to wielodostępna usługa DNS oferowana przez firmę Microsoft.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Platforma Azure rejestruje wszystkie maszyny wirtualne i wystąpienia roli usługi w chmurze w tej usłudze.Azure registers all of your VMs and cloud service role instances in this service. Ta usługa zapewnia rozpoznawanie nazw według nazwy hosta dla maszyn wirtualnych i wystąpień ról zawartych w tej samej usłudze w chmurze oraz według nazwy FQDN dla maszyn wirtualnych i wystąpień roli w tej samej sieci wirtualnej.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Aby dowiedzieć się więcej na temat usługi DNS, zobacz rozpoznawanie nazw dla maszyn wirtualnych i wystąpień ról Cloud Services.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Istnieje ograniczenie do pierwszych 100 usług w chmurze w sieci wirtualnej na potrzeby rozpoznawania nazw między dzierżawcami przy użyciu systemu DNS udostępnianego przez platformę Azure.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Jeśli używasz własnego serwera DNS, to ograniczenie nie ma zastosowania.If you are using your own DNS server, this limitation does not apply.

Czy mogę zastąpić moje ustawienia DNS dla maszyny wirtualnej lub usługi w chmurze?Can I override my DNS settings on a per-VM or cloud service basis?

Tak.Yes. Można ustawić serwery DNS na maszynę wirtualną lub usługę w chmurze w celu zastąpienia domyślnych ustawień sieci.You can set DNS servers per VM or cloud service to override the default network settings. Zaleca się jednak używanie systemu DNS w całej sieci, jak to możliwe.However, it's recommended that you use network-wide DNS as much as possible.

Czy mogę przenieść mój własny sufiks DNS?Can I bring my own DNS suffix?

Nie.No. Nie można określić niestandardowego sufiksu DNS dla sieci wirtualnych.You cannot specify a custom DNS suffix for your VNets.

Łączenie maszyn wirtualnychConnecting virtual machines

Czy mogę wdrożyć maszyny wirtualne w sieci wirtualnej?Can I deploy VMs to a VNet?

Tak.Yes. Wszystkie interfejsy sieciowe dołączone do maszyny wirtualnej wdrożonej za pomocą modelu wdrażania Menedżer zasobów muszą być połączone z siecią wirtualną.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Maszyny wirtualne wdrożone za pośrednictwem klasycznego modelu wdrażania mogą być opcjonalnie połączone z siecią wirtualną.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Jakie są różne typy adresów IP, które można przypisać do maszyn wirtualnych?What are the different types of IP addresses I can assign to VMs?

  • Użytek Przypisane do każdej karty sieciowej w ramach każdej maszyny wirtualnej.Private: Assigned to each NIC within each VM. Adres jest przypisany przy użyciu metody statycznej lub dynamicznej.The address is assigned using either the static or dynamic method. Prywatne adresy IP są przypisywane z zakresu określonego w ustawieniach podsieci sieci wirtualnej.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Do zasobów wdrożonych za pomocą klasycznego modelu wdrażania są przypisywane prywatne adresy IP, nawet jeśli nie są połączone z siecią wirtualną.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Zachowanie metody alokacji jest inne w zależności od tego, czy zasób został wdrożony przy użyciu Menedżer zasobów lub klasycznego modelu wdrażania:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Menedżer zasobów: Prywatny adres IP przypisany za pomocą metody dynamicznej lub statycznej pozostaje przypisany do maszyny wirtualnej (Menedżer zasobów), dopóki zasób nie zostanie usunięty.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. Różnica polega na tym, że wybierasz adres, który ma zostać przypisany przy użyciu statycznej, a platforma Azure wybiera przy użyciu opcji dynamiczny.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Klasyczne: Prywatny adres IP przypisany za pomocą metody dynamicznej może ulec zmianie, gdy maszyna wirtualna (klasyczna) jest uruchamiana ponownie po przejściu w stan zatrzymania (cofnięto przydział).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Jeśli chcesz mieć pewność, że prywatny adres IP zasobu wdrożonego za pomocą klasycznego modelu wdrażania nigdy nie ulegnie zmianie, przypisz prywatny adres IP za pomocą metody statycznej.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Społeczeństwo Opcjonalnie przypisane do kart sieciowych dołączonych do maszyn wirtualnych wdrożonych za pomocą modelu wdrażania Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. Adres można przypisać za pomocą metody alokacji statycznej lub dynamicznej.The address can be assigned with the static or dynamic allocation method. Wszystkie maszyny wirtualne i wystąpienia ról Cloud Services wdrożone za pośrednictwem klasycznego modelu wdrażania istnieją w ramach usługi w chmurze, która ma przypisany dynamiczny, publiczny wirtualny adres IP (VIP).All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Publiczny statyczny adres IP o nazwie adres zastrzeżony adres IPmożna opcjonalnie przypisać do adresu VIP.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Publiczne adresy IP można przypisywać do poszczególnych maszyn wirtualnych lub Cloud Services wystąpień ról wdrożonych za pomocą klasycznego modelu wdrażania.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Te adresy są nazywane publicznym adresem IP na poziomie wystąpienia (ILPIP ) i mogą być przypisywane dynamicznie.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Czy można zarezerwować prywatny adres IP dla maszyny wirtualnej, która zostanie utworzona w późniejszym czasie?Can I reserve a private IP address for a VM that I will create at a later time?

Nie.No. Nie można zarezerwować prywatnego adresu IP.You cannot reserve a private IP address. Jeśli prywatny adres IP jest dostępny, jest on przypisywany do maszyny wirtualnej lub wystąpienia roli przez serwer DHCP.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. Maszyna wirtualna może być taka sama jak ta, do której ma przypisany prywatny adres IP.The VM may or may not be the one that you want the private IP address assigned to. Można jednak zmienić prywatny adres IP już utworzonej maszyny wirtualnej na dowolny dostępny prywatny adres IP.You can, however, change the private IP address of an already created VM, to any available private IP address.

Czy prywatne adresy IP są zmieniane dla maszyn wirtualnych w sieci wirtualnej?Do private IP addresses change for VMs in a VNet?

To zależy.It depends. Jeśli maszyna wirtualna została wdrożona za pomocą Menedżer zasobów nie, niezależnie od tego, czy adres IP został przypisany za pomocą metody alokacji statycznej, czy dynamicznej.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Jeśli maszyna wirtualna została wdrożona za pomocą klasycznego modelu wdrażania, dynamiczne adresy IP mogą ulec zmianie, gdy maszyna wirtualna jest uruchomiona po przejściu w stan zatrzymania (cofnięto przydział).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. Adres jest wydawany z maszyny wirtualnej wdrożonej przy użyciu modelu wdrażania podczas usuwania maszyny wirtualnej.The address is released from a VM deployed through either deployment model when the VM is deleted.

Czy mogę ręcznie przypisywać adresy IP do kart sieciowych w ramach systemu operacyjnego maszyny wirtualnej?Can I manually assign IP addresses to NICs within the VM operating system?

Tak, ale nie jest to zalecane, o ile nie jest to konieczne, na przykład podczas przypisywania wielu adresów IP do maszyny wirtualnej.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Aby uzyskać szczegółowe informacje, zobacz Dodawanie wielu adresów IP do maszyny wirtualnej.For details, see Adding multiple IP addresses to a virtual machine. Jeśli adres IP przypisany do karty sieciowej platformy Azure dołączony do maszyny wirtualnej ulegnie zmianie, a adres IP w systemie operacyjnym maszyny wirtualnej jest inny, nastąpi utrata łączności z maszyną wirtualną.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Jeśli zatrzymasz miejsce wdrożenia usługi w chmurze lub wyzamykasz maszynę wirtualną z poziomu systemu operacyjnego, co się stanie z moimi adresami IP?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Wartość.Nothing. Adresy IP (Public VIP, Public i Private) pozostają przypisane do miejsca wdrożenia usługi w chmurze lub maszyny wirtualnej.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Czy mogę przenieść maszyny wirtualne z jednej podsieci do innej podsieci w sieci wirtualnej bez ponownego wdrażania?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Tak.Yes. Więcej informacji można znaleźć w artykule jak przenieść wystąpienie maszyny wirtualnej lub roli do innego artykułu podsieci .You can find more information in the How to move a VM or role instance to a different subnet article.

Czy mogę skonfigurować statyczny adres MAC dla mojej maszyny wirtualnej?Can I configure a static MAC address for my VM?

Nie.No. Adres MAC nie może być skonfigurowany statycznie.A MAC address cannot be statically configured.

Czy adres MAC będzie nadal taki sam dla mojej maszyny wirtualnej po jej utworzeniu?Will the MAC address remain the same for my VM once it's created?

Tak, adres MAC pozostaje taki sam dla maszyny wirtualnej wdrożonej w ramach Menedżer zasobów i klasycznych modeli wdrażania, dopóki nie zostanie usunięty.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Wcześniej adres MAC został ogłoszony, jeśli maszyna wirtualna została zatrzymana (bez przydziału), ale teraz adres MAC jest zachowywany nawet wtedy, gdy maszyna wirtualna jest w stanie cofania przydziału.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. Adres MAC pozostaje przypisany do interfejsu sieciowego do momentu usunięcia interfejsu sieciowego lub zmiany prywatnego adresu IP przypisanego do podstawowej konfiguracji adresu IP podstawowego interfejsu sieciowego.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Czy mogę połączyć się z Internetem z maszyny wirtualnej w sieci wirtualnej?Can I connect to the internet from a VM in a VNet?

Tak.Yes. Wszystkie maszyny wirtualne i wystąpienia roli Cloud Services wdrożone w sieci wirtualnej mogą łączyć się z Internetem.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Usługi platformy Azure, które łączą się z usługą sieci wirtualnychAzure services that connect to VNets

Czy można używać Azure App Service Web Apps z siecią wirtualną?Can I use Azure App Service Web Apps with a VNet?

Tak.Yes. Web Apps można wdrożyć wewnątrz sieci wirtualnej przy użyciu środowiska ASE (App Service Environment), połączyć zaplecze aplikacji z usługą sieci wirtualnych z integracją sieci wirtualnej i zablokować ruch przychodzący do aplikacji za pomocą punktów końcowych usługi.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Aby uzyskać więcej informacji zobacz następujące artykuły:For more information, see the following articles:

Czy można wdrażać Cloud Services z rolą sieci Web i procesu roboczego (PaaS) w sieci wirtualnej?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Tak.Yes. Możesz (opcjonalnie) wdrożyć wystąpienia roli Cloud Services w sieci wirtualnych.You can (optionally) deploy Cloud Services role instances within VNets. W tym celu należy określić nazwę sieci wirtualnej i mapowania role/podsieć w konfiguracji usługi.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Nie trzeba aktualizować żadnych plików binarnych.You do not need to update any of your binaries.

Czy można połączyć zestaw skalowania maszyn wirtualnych z siecią wirtualną?Can I connect a virtual machine scale set to a VNet?

Tak.Yes. Należy podłączyć zestaw skalowania maszyn wirtualnych do sieci wirtualnej.You must connect a virtual machine scale set to a VNet.

Czy istnieje kompletna lista usług platformy Azure, które umożliwiają wdrażanie zasobów w sieci wirtualnej?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Tak, aby uzyskać szczegółowe informacje, zobacz integracja z siecią wirtualną dla usług platformy Azure.Yes, For details, see Virtual network integration for Azure services.

Z których zasobów usługi Azure PaaS można ograniczyć dostęp z sieci wirtualnej?Which Azure PaaS resources can I restrict access to from a VNet?

Zasoby wdrożone za pomocą niektórych usług PaaS platformy Azure (takich jak Azure Storage i Azure SQL Database) mogą ograniczyć dostęp do sieci tylko do zasobów w sieci wirtualnej za pomocą punktów końcowych usługi sieci wirtualnej.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to only resources in a VNet through the use of virtual network service endpoints. Aby uzyskać szczegółowe informacje, zobacz Omówienie punktów końcowych usługi sieci wirtualnej.For details, see Virtual network service endpoints overview.

Czy mogę przenieść usługi do i z sieci wirtualnych?Can I move my services in and out of VNets?

Nie.No. Nie można przenieść usług do i z sieci wirtualnych.You cannot move services in and out of VNets. Aby przenieść zasób do innej sieci wirtualnej, należy usunąć i ponownie wdrożyć zasób.To move a resource to another VNet, you have to delete and redeploy the resource.

BezpieczeństwoSecurity

Jaki jest model zabezpieczeń sieci wirtualnych?What is the security model for VNets?

Sieci wirtualnych są odizolowane od siebie nawzajem i inne usługi hostowane w infrastrukturze platformy Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Sieć wirtualna jest granicą zaufania.A VNet is a trust boundary.

Czy mogę ograniczyć przepływ ruchu przychodzącego lub wychodzącego do zasobów podłączonych do sieci wirtualnej?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Tak.Yes. Sieciowe grupy zabezpieczeń można stosować do poszczególnych podsieci w sieci wirtualnej, kart sieciowych podłączonych do sieci wirtualnej lub obu.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Czy mogę zaimplementować zaporę między zasobami połączonymi z siecią wirtualną?Can I implement a firewall between VNet-connected resources?

Tak.Yes. Urządzenie wirtualne sieci zapory można wdrożyć z kilku dostawców za pośrednictwem portalu Azure Marketplace.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Czy istnieją informacje o zabezpieczaniu sieci wirtualnych?Is there information available about securing VNets?

Tak.Yes. Aby uzyskać szczegółowe informacje, zobacz Omówienie zabezpieczeń sieci platformy Azure.For details, see Azure Network Security Overview.

Interfejsy API, schematy i narzędziaAPIs, schemas, and tools

Czy mogę zarządzać sieci wirtualnych z kodu?Can I manage VNets from code?

Tak.Yes. Interfejsów API REST można używać dla sieci wirtualnych w ramach Azure Resource Manager i klasycznych modeli wdrażania.You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Czy istnieją narzędzia obsługujące sieci wirtualnych?Is there tooling support for VNets?

Tak.Yes. Dowiedz się więcej o korzystaniu z programu:Learn more about using:

Komunikacja równorzędna sieci wirtualnychVNet peering

Co to jest Komunikacja równorzędna sieci wirtualnych?What is VNet peering?

Wirtualne sieci równorzędne (lub Komunikacja równorzędna sieci wirtualnych) umożliwiają łączenie z siecią wirtualną.VNet peering (or virtual network peering) enables you to connect virtual networks. Połączenie komunikacji równorzędnej wirtualnej między sieciami wirtualnymi pozwala na kierowanie ruchu między nimi prywatnie przy użyciu adresów IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Maszyny wirtualne w sieci wirtualnych równorzędnym mogą komunikować się ze sobą, tak jakby znajdowały się w tej samej sieci.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Te sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (nazywanych również globalnymi sieciami równorzędnymi).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). Połączenia komunikacji równorzędnej sieci wirtualnej można również tworzyć w ramach subskrypcji platformy Azure.VNet peering connections can also be created across Azure subscriptions.

Czy można utworzyć połączenie komunikacji równorzędnej z siecią wirtualną w innym regionie?Can I create a peering connection to a VNet in a different region?

Tak.Yes. Globalna komunikacja równorzędna sieci wirtualnych umożliwia sieci wirtualnych elementów równorzędnych w różnych regionach.Global VNet peering enables you to peer VNets in different regions. Globalna komunikacja równorzędna sieci wirtualnych jest dostępna we wszystkich regionach publicznych platformy Azure, regionach chmury w Chinach i regionach w chmurze dla instytucji rządowych.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Nie można globalnie elementów równorzędnych z publicznych regionów platformy Azure do regionów w chmurze krajowej.You cannot globally peer from Azure public regions to national cloud regions.

Jeśli dwie sieci wirtualne znajdują się w różnych regionach (globalnej komunikacji równorzędnej sieci wirtualnej), nie można nawiązać połączenia z zasobami, które używają podstawowego Load Balancer.If the two virtual networks are in different regions (Global VNet Peering), you cannot connect to resources that use Basic Load Balancer. Możesz połączyć się z zasobami korzystającymi z usługa Load Balancer w warstwie Standardowa.You can connect to resources that use Standard Load Balancer. W poniższych zasobach są używane podstawowe usługi równoważenia obciążenia, co oznacza, że nie można komunikować się z nimi w ramach globalnej komunikacji równorzędnej sieci wirtualnej:The following resources use Basic Load Balancers which means you cannot communicate to them across Global VNet Peering:

  • Maszyny wirtualne za podstawowymi usługami równoważenia obciążeniaVMs behind Basic Load Balancers
  • Zestawy skalowania maszyn wirtualnych z podstawowymi usługami równoważenia obciążeniaVirtual machine scale sets with Basic Load Balancers
  • Redis CacheRedis Cache
  • Jednostka SKU Application Gateway (v1)Application Gateway (v1) SKU
  • Service FabricService Fabric
  • SQL — MISQL MI
  • API ManagementAPI Management
  • Usługa domena usługi Active Directory (dodaje)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • AKSAKS
  • App Service EnvironmentApp Service Environment

Możesz połączyć się z tymi zasobami za pośrednictwem ExpressRoute lub sieci VNet-to-VNet za pośrednictwem bram sieci wirtualnej.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

Czy mogę włączyć komunikację równorzędną wirtualnych, jeśli moje sieci wirtualne należą do subskrypcji w ramach różnych Azure Active Directory dzierżawców?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Tak.Yes. Istnieje możliwość ustanowienia komunikacji równorzędnej sieci wirtualnej (lokalnego lub globalnego), jeśli subskrypcje należą do różnych dzierżaw Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Można to zrobić za pomocą programu PowerShell lub interfejsu wiersza polecenia.You can do this via PowerShell or CLI. Portal nie jest jeszcze obsługiwany.Portal is not yet supported.

Połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie inicjowania , dlaczego nie mogę nawiązać połączenia?My VNet peering connection is in Initiated state, why can't I connect?

Jeśli połączenie komunikacji równorzędnej jest w stanie zainicjowanym , oznacza to, że utworzono tylko jeden link.If your peering connection is in an Initiated state, this means you have created only one link. Aby można było nawiązać połączenie, należy utworzyć dwukierunkowy link.A bidirectional link must be created in order to establish a successful connection. Na przykład aby połączyć równorzędną sieć wirtualną z siecią VNet B, należy utworzyć łącze z VNetA do Vnetc i z Vnetc do VNetA.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. Utworzenie obu linków spowoduje zmianę stanu na połączony.Creating both links will change the state to Connected.

Połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie rozłączenia , dlaczego nie można utworzyć połączenia komunikacji równorzędnej?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Jeśli połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie odłączonym , oznacza to, że jedno z utworzonych linków zostało usunięte.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Aby można było ponownie ustanowić połączenie komunikacji równorzędnej, należy usunąć link i ponownie go utworzyć.In order to re-establish a peering connection, you will need to delete the link and recreate it.

Czy mogę połączyć sieć wirtualną z siecią wirtualną w ramach innej subskrypcji?Can I peer my VNet with a VNet in a different subscription?

Tak.Yes. Możesz sieci wirtualnych elementy równorzędne w różnych subskrypcjach i w różnych regionach.You can peer VNets across subscriptions and across regions.

Czy mogę nawiązać połączenie równorzędne dwóch sieci wirtualnych z pasującymi lub nakładanymi zakresami adresów?Can I peer two VNets with matching or overlapping address ranges?

Nie.No. Przestrzenie adresowe nie mogą się nakładać, aby umożliwić komunikację równorzędną sieci wirtualnych.Address spaces must not overlap to enable VNet Peering.

Nie jest naliczana opłata za utworzenie połączenia komunikacji równorzędnej sieci wirtualnej.There is no charge for creating a VNet peering connection. Opłaty za transfer danych między połączeniami równorzędnymi są naliczone.Data transfer across peering connections is charged. Zobacz tutaj.See here.

Czy ruch komunikacji równorzędnej sieci wirtualnej jest szyfrowany?Is VNet peering traffic encrypted?

Nie.No. Ruch między zasobami w sieci wirtualnych komunikacji równorzędnej jest prywatny i izolowany.Traffic between resources in peered VNets is private and isolated. Pozostanie w całości w sieci szkieletowej firmy Microsoft.It remains completely on the Microsoft Backbone.

Dlaczego moje połączenie komunikacji równorzędnej jest w stanie odłączonym ?Why is my peering connection in a Disconnected state?

Połączenia komunikacji równorzędnej sieci wirtualnych przechodzą w stan rozłączenia , gdy zostanie usunięte łącze komunikacji równorzędnej sieci wirtualnej.VNet peering connections go into Disconnected state when one VNet peering link is deleted. Należy usunąć oba linki, aby ponownie ustanowić pomyślne połączenie komunikacji równorzędnej.You must delete both links in order to reestablish a successful peering connection.

Jeśli VNetA równorzędny do Vnetc i i elementów równorzędnych Vnetc do VNetC, czy oznacza to, że jako VNetA i VNetC są połączone za pomocą komunikacji równorzędnej?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Nie.No. Przechodnia Komunikacja równorzędna nie jest obsługiwana.Transitive peering is not supported. Aby to zrobić, musisz mieć VNetAy elementów równorzędnych i VNetC.You must peer VNetA and VNetC for this to take place.

Czy istnieją ograniczenia przepustowości dla połączeń komunikacji równorzędnej?Are there any bandwidth limitations for peering connections?

Nie.No. Wirtualne sieci równorzędne, lokalne lub globalne, nie nakładają żadnych ograniczeń przepustowości.VNet peering, whether local or global, does not impose any bandwidth restrictions. Przepustowość jest ograniczona tylko przez maszynę wirtualną lub zasób obliczeniowy.Bandwidth is only limited by the VM or the compute resource.

Jak mogę rozwiązać problemy dotyczące komunikacji równorzędnej sieci wirtualnej?How can I troubleshoot VNet Peering issues?

Oto Przewodnik dotyczący narzędzia do rozwiązywania problemów , który można wypróbować.Here is a troubleshooter guide you can try.

Virtual Network TAPVirtual network TAP

Które regiony platformy Azure są dostępne dla NACISKania sieci wirtualnej?Which Azure regions are available for virtual network TAP?

Usługa Virtual Network TAP w wersji zapoznawczej jest dostępna we wszystkich regionach świadczenia usługi Azure.Virtual network TAP preview is available in all Azure regions. Monitorowane interfejsy sieciowe, zasób TAP sieci wirtualnej i rozwiązanie zbierające lub analityczne muszą być wdrożone w tym samym regionie.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

Czy Virtual Network TAP obsługuje jakiekolwiek możliwości filtrowania na dublowanych pakietach?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Możliwości filtrowania nie są obsługiwane w przypadku WYBRANia pozycji Podgląd sieci wirtualnej.Filtering capabilities are not supported with the virtual network TAP preview. Po dodaniu konfiguracji TAP do interfejsu sieciowego Szczegółowa kopia całego ruchu przychodzącego i wychodzącego w interfejsie sieciowym jest przesyłana strumieniowo do lokalizacji docelowej.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Czy do monitorowanego interfejsu sieciowego można dodać wiele konfiguracji TAP?Can multiple TAP configurations be added to a monitored network interface?

Monitorowany interfejs sieciowy może mieć tylko jedną konfigurację TAP.A monitored network interface can have only one TAP configuration. Zapoznaj się z rozwiązaniem partnera indywidualnego, aby przesłać strumieniowo wiele kopii ruchu TAP do wybranych narzędzi analitycznych.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

Czy ta sama sieć wirtualna umożliwia wybranie zasobów zagregowanych z monitorowanych interfejsów sieciowych w więcej niż jednej sieci wirtualnej?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Tak.Yes. Tego samego zasobu sieci wirtualnej można użyć do agregowania dublowanego ruchu z monitorowanych interfejsów sieciowych w równorzędnych sieciach wirtualnych w ramach tej samej subskrypcji lub innej subskrypcji.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. Zasób TAP sieci wirtualnej i docelowy moduł równoważenia obciążenia lub docelowy interfejs sieciowy muszą znajdować się w tej samej subskrypcji.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Wszystkie subskrypcje muszą znajdować się w tej samej dzierżawie Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

Czy w przypadku włączenia konfiguracji sieci wirtualnej w interfejsie sieciowym są brane pod uwagę wydajność w ruchu produkcyjnym?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

Wybór sieci wirtualnej jest w wersji zapoznawczej.Virtual network TAP is in preview. W trakcie okresu zapoznawczego nie ma umowy dotyczącej poziomu usług.During preview, there is no service level agreement. Tej możliwości nie należy używać w przypadku obciążeń produkcyjnych.The capability should not be used for production workloads. Gdy interfejs sieciowy maszyny wirtualnej jest włączony z konfiguracją TAP, te same zasoby na hoście platformy Azure przydzieleni do maszyny wirtualnej w celu wysłania ruchu produkcyjnego są używane do wykonywania funkcji dublowania i wysyłania dublowanych pakietów.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Wybierz prawidłowy rozmiar maszyny wirtualnej z systemem Linux lub Windows , aby upewnić się, że dla maszyny wirtualnej są dostępne wystarczające zasoby, które będą wysyłać ruch produkcyjny i wolumin dublowany.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Czy jest to przyspieszone sieci dla systemu Linux lub Windows obsługiwane z naciskiem sieci wirtualnej?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Można dodać konfigurację TAP w interfejsie sieciowym podłączonym do maszyny wirtualnej, która jest włączona za pomocą przyspieszonej sieci.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Jednak wydajność i opóźnienie na maszynie wirtualnej mają wpływ na dodanie konfiguracji TAP, ponieważ nie jest to obecnie obsługiwane przez przyspieszone sieci platformy Azure.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Punkty końcowe usługi dla sieci wirtualnejVirtual network service endpoints

Jaka jest właściwa sekwencja operacji w celu skonfigurowania punktów końcowych usługi dla usługi platformy Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Aby zabezpieczyć zasób usługi platformy Azure za pomocą punktów końcowych usługi, należy wykonać dwa kroki:There are two steps to secure an Azure service resource through service endpoints:

  1. Włącz punkty końcowe usługi dla usługi platformy Azure.Turn on service endpoints for the Azure service.
  2. Skonfiguruj listy ACL sieci wirtualnej w usłudze platformy Azure.Set up VNet ACLs on the Azure service.

Pierwszym krokiem jest operacja po stronie sieci, a drugi krok to operacja po stronie zasobów usługi.The first step is a network side operation and the second step is a service resource side operation. Obie kroki mogą być wykonywane przez tego samego administratora lub różnych administratorów na podstawie uprawnień RBAC przyznanych roli administratora.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Zalecamy najpierw włączyć punkty końcowe usługi dla sieci wirtualnej przed skonfigurowaniem list kontroli dostępu wirtualnej w ramach usługi platformy Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. W związku z tym kroki muszą być wykonywane w sekwencji wymienionej powyżej w celu skonfigurowania punktów końcowych usługi sieci wirtualnej.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Uwaga

Obie operacje opisane powyżej muszą zostać wykonane, aby można było ograniczyć dostęp usługi platformy Azure do dozwolonej sieci wirtualnej i podsieci.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Włączenie punktów końcowych usługi dla usługi platformy Azure po stronie sieci nie zapewnia ograniczonego dostępu.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Ponadto należy również skonfigurować listy ACL sieci wirtualnej na stronie usługi platformy Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Niektóre usługi (takie jak SQL i CosmosDB) umożliwiają wyjątki od powyższej sekwencji przez flagę IgnoreMissingVnetServiceEndpoint .Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Gdy flaga ma wartość true, po stronie usługi platformy Azure można ustawić listy ACL sieci wirtualnej przed skonfigurowaniem punktów końcowych usługi po stronie sieci.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. Usługi platformy Azure zapewniają tę flagę, aby pomóc klientom w przypadkach, w których określone zapory IP zostały skonfigurowane w usługach platformy Azure i włączające punkty końcowe usługi po stronie sieci mogą prowadzić do porzucenia połączeń, ponieważ źródłowy adres IP zmienia się z publicznego adresu IPv4 na adres prywatny.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. Skonfigurowanie list ACL sieci wirtualnej na stronie usługi platformy Azure przed ustawieniem punktów końcowych usługi po stronie sieci może pomóc w uniknięciu usuwania łączności.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Czy wszystkie usługi platformy Azure znajdują się w sieci wirtualnej platformy Azure dostarczonej przez klienta?Do all Azure services reside in the Azure virtual network provided by the customer? Jak działa punkt końcowy usługi sieci wirtualnej z usługami platformy Azure?How does VNet service endpoint work with Azure services?

Nie, nie wszystkie usługi platformy Azure znajdują się w sieci wirtualnej klienta.No, not all Azure services reside in the customer's virtual network. Większość usług danych platformy Azure, takich jak Azure Storage, Azure SQL i Azure Cosmos DB, to usługi wielodostępne, do których można uzyskać dostęp za pośrednictwem publicznych adresów IP.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Więcej informacji na temat integracji sieci wirtualnej dla usług platformy Azure można znaleźć tutaj.You can learn more about virtual network integration for Azure services here.

W przypadku korzystania z funkcji punktów końcowych usługi sieci wirtualnej (Włączanie punktu końcowego usługi wirtualnej po stronie sieciowej i konfigurowania odpowiednich list ACL sieci wirtualnej na stronie usługi Azure) dostęp do usługi platformy Azure jest ograniczony z dozwolonej sieci wirtualnej i podsieci.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Jak punkt końcowy usługi sieci wirtualnej zapewnia zabezpieczenia?How does VNet service endpoint provide security?

Funkcja punktu końcowego usługi sieci wirtualnej (Włączanie punktu końcowego usługi wirtualnej po stronie sieci i konfigurowania odpowiednich list ACL sieci wirtualnej na stronie usługi platformy Azure) ogranicza dostęp do usługi platformy Azure do dopuszczalnej sieci wirtualnej i podsieci, zapewniając w ten sposób zabezpieczenia na poziomie sieci i izolacja ruchu usługi platformy Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Cały ruch korzystający z punktów końcowych usługi sieci wirtualnej przechodzi przez sieć szkieletową firmy Microsoft, co zapewnia kolejną warstwę izolacji z publicznego Internetu.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Ponadto klienci mogą wybrać całkowite usunięcie publicznego dostępu do zasobów usługi platformy Azure i Zezwalanie na ruch tylko z sieci wirtualnych za pośrednictwem kombinacji list kontroli dostępu i zapory IP, a tym samym ochronę zasobów usługi platformy Azure przed nieautoryzowanym dostępem niego.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Co to jest Ochrona punktu końcowego usługi sieci wirtualnej lub usługi platformy Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Punkty końcowe usługi sieci wirtualnej ułatwiają ochronę zasobów usługi platformy Azure.VNet service endpoints help protect Azure service resources. Zasoby sieci wirtualnej są chronione za poorednictwem sieciowych grup zabezpieczeń (sieciowych grup zabezpieczeń).VNet resources are protected through Network Security Groups (NSGs).

Czy istnieją jakieś koszty używania punktów końcowych usługi sieci wirtualnej?Is there any cost for using VNet service endpoints?

Nie. nie ma dodatkowych kosztów za korzystanie z punktów końcowych usługi sieci wirtualnej.No, there is no additional cost for using VNet service endpoints.

Czy mogę włączyć punkty końcowe usługi VNet i skonfigurować listy ACL sieci wirtualnej, jeśli sieć wirtualna i zasoby usługi platformy Azure należą do różnych subskrypcji?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Tak, jest to możliwe.Yes, it is possible. Sieci wirtualne i zasoby usług platformy Azure mogą należeć do tej samej lub różnych subskrypcji.Virtual networks and Azure service resources can be either in the same or different subscriptions. Jedyny wymóg polega na tym, że zarówno zasoby sieci wirtualnej, jak i usługi platformy Azure muszą znajdować się w tej samej dzierżawie Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

Czy mogę włączyć punkty końcowe usługi VNet i skonfigurować listy ACL sieci wirtualnej, jeśli sieć wirtualna i zasoby usługi platformy Azure należą do różnych dzierżawców usługi AD?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Nie, punkty końcowe usługi sieci wirtualnej i listy kontroli dostępu wirtualne nie są obsługiwane w dzierżawach usługi AD.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Czy można korzystać z adresu IP urządzenia lokalnego, który jest połączony za pośrednictwem usługi Azure Virtual Network Gateway (VPN) lub ExpressRoute Gateway przez punkty końcowe usługi sieci wirtualnej?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

Domyślnie nie można uzyskać dostępu do zasobów usługi platformy Azure zabezpieczonych w sieciach wirtualnych z sieci lokalnych.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Jeśli chcesz zezwolić na ruch z lokalnego, musisz również zezwolić na publiczne (zazwyczaj NAT) adresy IP z lokalnego lub ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Te adresy IP można dodać za pomocą konfiguracji zapory adresów IP dla zasobów usługi platformy Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Czy można użyć funkcji punktu końcowego usługi sieci wirtualnej do zabezpieczenia usługi platformy Azure w wielu podsieciach w ramach sieci wirtualnej lub wielu sieci wirtualnych?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Aby zabezpieczyć usługi platformy Azure w wielu podsieciach w sieci wirtualnej lub w wielu sieciach wirtualnych, należy niezależnie włączyć punkty końcowe usługi w sieci w każdej podsieci, a następnie zabezpieczyć zasoby usługi platformy Azure we wszystkich podsieciach przez skonfigurowanie odpowiednie listy ACL sieci wirtualnej po stronie usługi platformy Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

Jak można filtrować ruch wychodzący z sieci wirtualnej do usług platformy Azure i nadal korzystać z punktów końcowych usługi?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

jeśli chcesz sprawdzić lub filtrować ruch kierowany do usługi platformy Azure z sieci wirtualnej, możesz wdrożyć urządzenie sieci wirtualnej w ramach tej sieci wirtualnej.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Następnie można zastosować punkty końcowe usługi do podsieci, w której wdrożono wirtualne urządzenie sieciowe i zabezpieczyć zasoby usługi platformy Azure tylko do tej podsieci za pomocą list ACL sieci wirtualnej.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Ten scenariusz może być również przydatny, jeśli chcesz ograniczyć dostęp do usługi platformy Azure z sieci wirtualnej tylko do określonych zasobów platformy Azure przy użyciu filtrowania wirtualnego urządzenia sieciowego.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Aby uzyskać więcej informacji, zobacz ruch wychodzący z sieciowych urządzeń wirtualnych.For more information, see egress with network virtual appliances.

Co się stanie w przypadku uzyskania dostępu do konta usługi platformy Azure z włączoną listą kontroli dostępu do sieci wirtualnej z poziomu poza siecią wirtualną?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

Zwracany jest błąd HTTP 403 lub HTTP 404.The HTTP 403 or HTTP 404 error is returned.

Czy podsieci sieci wirtualnej utworzonej w różnych regionach mogą uzyskać dostęp do konta usługi platformy Azure w innym regionie?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Tak. w przypadku większości usług platformy Azure sieci wirtualne utworzone w różnych regionach mogą uzyskiwać dostęp do usług platformy Azure w innym regionie za pomocą punktów końcowych usługi sieci wirtualnej.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Na przykład jeśli konto Azure Cosmos DB znajduje się w regionie zachodnie stany USA lub Wschodnie stany USA, a sieci wirtualne znajdują się w wielu regionach, Sieć wirtualna może uzyskać dostęp do Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Magazyn i SQL to wyjątki, które są regionalne, a zarówno w przypadku sieci wirtualnej, jak i usługi platformy Azure, muszą znajdować się w tym samym regionie.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Czy usługa platformy Azure ma zarówno listę ACL sieci wirtualnej, jak i zaporę IP?Can an Azure service have both a VNet ACL and an IP firewall?

Tak, ta lista ACL sieci wirtualnej i Zapora IP mogą współistnieć.Yes, a VNet ACL and an IP firewall can co-exist. Obie funkcje uzupełniają się wzajemnie, aby zapewnić izolację i bezpieczeństwo.Both features complement each other to ensure isolation and security.

Co się stanie w przypadku usunięcia sieci wirtualnej lub podsieci z włączonym punktem końcowym usługi dla usługi Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

Usuwanie sieci wirtualnych i podsieci są niezależnymi operacjami i są obsługiwane nawet wtedy, gdy punkty końcowe usługi są włączone dla usług platformy Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. W przypadkach, gdy usługi platformy Azure mają skonfigurowane listy ACL sieci wirtualnej dla tych sieci wirtualnych i podsieci, informacje o liście ACL sieci wirtualnej skojarzone z usługą platformy Azure są wyłączone, gdy zostanie usunięta Sieć wirtualna lub podsieci z włączonym punktem końcowym usługi sieci wirtualnej.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Co się stanie, jeśli konto usługi platformy Azure z włączonym punktem końcowym usługi sieci wirtualnej zostanie usunięte?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

Usuwanie konta usługi platformy Azure jest niezależną operacją i jest obsługiwane nawet wtedy, gdy punkt końcowy usługi jest włączony po stronie sieci, a usługi dostępu wirtualne sieci wirtualnej są skonfigurowane po stronie usług platformy Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Co się dzieje ze źródłowym adresem IP zasobu (np. maszyną wirtualną w podsieci), dla którego jest włączony punkt końcowy usługi sieci wirtualnej?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Po włączeniu punktów końcowych usługi sieci wirtualnej źródłowe adresy IP zasobów w podsieci sieci wirtualnej przełączają się z używania publicznych adresów IPV4 do prywatnych adresów IP sieci wirtualnej platformy Azure dla ruchu do usługi platformy Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Należy zauważyć, że może to spowodować niepowodzenie określonych zapór IP skonfigurowanych na publiczny adres IPV4 w usługach platformy Azure.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

Czy ma zawsze pierwszeństwo trasy punktu końcowego usługi?Does the service endpoint route always take precedence?

Punkty końcowe usługi dodają trasę systemową, która ma pierwszeństwo przed trasami BGP i zapewnia optymalny Routing ruchu punktu końcowego usługi.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Punkty końcowe usługi zawsze pobierają ruch bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Aby uzyskać więcej informacji o tym, jak platforma Azure wybiera trasę, zobacz routing ruchu w sieci wirtualnej platformy Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Jak sieciowej grupy zabezpieczeń w podsieci działa z punktami końcowymi usługi?How does NSG on a subnet work with service endpoints?

Aby dotrzeć do usługi platformy Azure, sieciowych grup zabezpieczeń musi zezwalać na łączność wychodzącą.To reach the Azure service, NSGs need to allow outbound connectivity. Jeśli sieciowych grup zabezpieczeń są otwarte dla całego ruchu wychodzącego z Internetu, należy obejść ruch punktu końcowego usługi.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. Można także ograniczyć ruch wychodzący do adresów IP usługi tylko przy użyciu tagów usługi.You can also limit the outbound traffic to service IPs only using the Service tags.

Jakie uprawnienia muszę skonfigurować punkty końcowe usługi?What permissions do I need to set up service endpoints?

Punkty końcowe usługi można skonfigurować w sieci wirtualnej niezależnie od użytkownika z dostępem do zapisu do sieci wirtualnej.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, użytkownik musi mieć uprawnienia Microsoft. Network/virtualNetworks/Subnets/joinViaServiceEndpoint/Action dla dodawanych podsieci.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. To uprawnienie jest domyślnie dołączone do wbudowanej roli administratora usługi i można je zmodyfikować, tworząc role niestandardowe.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Dowiedz się więcej o rolach wbudowanych i przypisywaniu określonych uprawnień do ról niestandardowych.Learn more about built-in roles and assigning specific permissions to custom roles.

Czy można filtrować ruch w sieci wirtualnej do usług platformy Azure, zezwalając na tylko określone zasoby usługi platformy Azure, za pośrednictwem punktów końcowych usługi sieci wirtualnej?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Zasady punktu końcowego usługi sieci wirtualnej umożliwiają filtrowanie ruchu w sieci wirtualnej do usług platformy Azure, co pozwala na dostęp tylko do określonych zasobów usługi platformy Azure za pośrednictwem punktów końcowych usługi.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Zasady punktu końcowego zapewniają szczegółową kontrolę dostępu z ruchu w sieci wirtualnej do usług platformy Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Więcej informacji na temat zasad punktu końcowego usługi można znaleźć tutaj.You can learn more about the service endpoint policies here.

Czy Azure Active Directory (Azure AD) obsługuje punkty końcowe usługi sieci wirtualnej?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) nie obsługuje natywnych punktów końcowych usługi.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Pełną listę usług platformy Azure obsługujących punkty końcowe usługi sieci wirtualnej można zobaczyć tutaj.Complete list of Azure Services supporting VNet service endpoints can be seen here. Należy zauważyć, że tag "Microsoft. usługi azureactivedirectory" wymieniony w obszarze punkty końcowe usługi obsługiwanej przez usługi jest używany do obsługi punktów końcowych usługi ADLS Gen 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. W przypadku usługi ADLS Gen 1 Integracja sieci wirtualnej dla Azure Data Lake Storage Gen1 wykorzystuje zabezpieczenia punktu końcowego usługi sieci wirtualnej między siecią wirtualną i Azure Active Directory (Azure AD) w celu wygenerowania dodatkowych oświadczeń zabezpieczeń w tokenie dostępu.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Te oświadczenia są następnie używane do uwierzytelniania sieci wirtualnej na koncie usługi Data Lake Storage Gen1 i uzyskania dostępu.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Dowiedz się więcej na temat integracji sieci wirtualnej (Azure Data Lake Store generacji 1) (.. /Data-Lake-Store/Data-Lake-Store-Network-Security.MD? TOC =% 2fazure% 2fvirtual-Network% 2ftoc. JSONLearn more about [Azure Data Lake Store Gen 1 VNet Integration](../data-lake-store/data-lake-store-network-security.md?toc=%2fazure%2fvirtual-network%2ftoc.json

Czy istnieją jakieś ograniczenia dotyczące liczby punktów końcowych usługi sieci wirtualnej, które mogę skonfigurować przy użyciu mojej VNet?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Nie ma limitu całkowitej liczby punktów końcowych usługi wirtualnej w sieci wirtualnej.There is no limit on the total number of VNet service endpoints in a virtual network. W przypadku zasobu usługi platformy Azure (takiego jak konto usługi Azure Storage) usługi mogą wymuszać limity liczby podsieci używanych do zabezpieczania zasobu.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. W poniższej tabeli przedstawiono niektóre przykładowe limity:The following table shows some example limits:

Usługa platformy AzureAzure service Limity dla reguł sieci wirtualnejLimits on VNet rules
Azure StorageAzure Storage 100100
SQL AzureAzure SQL 128128
Azure SQL Data WarehouseAzure SQL Data Warehouse 128128
Magazyn kluczy platformy AzureAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Azure Event HubAzure Event Hub 128128
Magistrala usług AzureAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Uwaga

Limity są uzależnione od zmiany uznania usługi platformy Azure.The limits are subjected to changes at the discretion of the Azure service. Szczegóły dotyczące usług można znaleźć w odpowiedniej dokumentacji usługi.Refer to the respective service documentation for services details.