Co to jest usługa Azure Virtual Network?

Azure Virtual Network to usługa, która udostępnia podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Wystąpienie usługi (sieć wirtualna) umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Te zasoby platformy Azure obejmują maszyny wirtualne.

Sieć wirtualna jest podobna do tradycyjnej sieci, którą można obsługiwać we własnym centrum danych. Jednak zapewnia dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.

Dlaczego warto używać sieci wirtualnej platformy Azure?

Najważniejsze scenariusze, które można wykonać za pomocą sieci wirtualnej, obejmują:

  • Komunikacja zasobów platformy Azure z Internetem.

  • Komunikacja między zasobami platformy Azure.

  • Komunikacja z zasobami lokalnymi.

  • Filtrowanie ruchu sieciowego.

  • Routing ruchu sieciowego.

  • Integracja z usługami platformy Azure.

Komunikacja z Internetem

Wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się wychodząco z Internetem. Do zarządzania połączeniami wychodzących można również użyć publicznego adresu IP, bramy translatora adresów sieciowych lub publicznego modułu równoważenia obciążenia. Ruch przychodzący można komunikować z zasobem, przypisując publiczny adres IP lub publiczny moduł równoważenia obciążenia.

Jeśli używasz tylko wewnętrznego standardowego modułu równoważenia obciążenia, łączność wychodząca nie jest dostępna do momentu zdefiniowania sposobu pracy połączeń wychodzących z publicznym adresem IP na poziomie wystąpienia lub publicznym modułem równoważenia obciążenia.

Komunikacja między zasobami platformy Azure

Zasoby platformy Azure komunikują się bezpiecznie ze sobą nawzajem, korzystając z jednego z następujących sposobów:

  • Sieć wirtualna: maszyny wirtualne i inne typy zasobów platformy Azure można wdrożyć w sieci wirtualnej. Przykłady zasobów obejmują App Service Environments, Azure Kubernetes Service (AKS) i Azure Virtual Machine Scale Sets. Aby wyświetlić pełną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych.

  • Punkt końcowy usługi sieci wirtualnej: możesz rozszerzyć prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej na zasoby usługi platformy Azure za pośrednictwem połączenia bezpośredniego. Przykłady zasobów obejmują konta usługi Azure Storage i Azure SQL Database. Punkty końcowe usługi umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Punkty końcowe usługi dla sieci wirtualnej.

  • Komunikacja równorzędna sieci wirtualnych: możesz połączyć ze sobą sieci wirtualne przy użyciu wirtualnej komunikacji równorzędnej. Zasoby w obu sieciach wirtualnych mogą następnie komunikować się ze sobą. Sieci wirtualne, z którymi się łączysz, mogą znajdować się w tym samym lub w różnych regionach świadczenia usługi Azure. Aby dowiedzieć się więcej, zobacz Komunikacja równorzędna sieci wirtualnych.

Komunikacja z zasobami lokalnymi

Lokalne komputery i sieci można połączyć z siecią wirtualną przy użyciu dowolnej z następujących opcji:

  • Wirtualna sieć prywatna typu punkt-lokacja (VPN): ustanowiona między siecią wirtualną a pojedynczym komputerem w sieci. Każdy komputer, który chce nawiązać łączność z siecią wirtualną, musi skonfigurować swoje połączenie. Ten typ połączenia jest przydatny, jeśli dopiero zaczynasz pracę z platformą Azure lub dla deweloperów, ponieważ wymaga to kilku lub żadnych zmian w istniejącej sieci. Komunikacja pomiędzy komputerem i siecią wirtualną jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

  • Sieć VPN typu lokacja-lokacja: ustanowiona między lokalnym urządzeniem sieci VPN a bramą sieci VPN platformy Azure wdrożona w sieci wirtualnej. Ten typ połączenia umożliwia dowolnym zasobom lokalnym, które uzyskają autoryzację, uzyskiwanie dostępu do sieci wirtualnej. Komunikacja między lokalnym urządzeniem VPN i bramą Azure VPN Gateway jest wysyłana przez szyfrowany tunel za pośrednictwem Internetu. Aby dowiedzieć się więcej, zobacz Sieć VPN typu lokacja-lokacja.

  • Azure ExpressRoute: ustanowiona między siecią a platformą Azure za pośrednictwem partnera usługi ExpressRoute. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure ExpressRoute?.

Filtrowanie ruchu sieciowego

Ruch sieciowy między podsieciami można filtrować przy użyciu jednej lub obu następujących opcji:

  • Sieciowe grupy zabezpieczeń: sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji mogą zawierać wiele reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Te reguły umożliwiają filtrowanie ruchu do i z zasobów według źródłowego i docelowego adresu IP, portu i protokołu. Aby dowiedzieć się więcej, zobacz Sieciowe grupy zabezpieczeń i Grupy zabezpieczeń aplikacji.

  • Wirtualne urządzenia sieciowe: wirtualne urządzenie sieciowe to maszyna wirtualna, która wykonuje funkcję sieciową, taką jak zapora lub optymalizacja sieci WAN. Aby wyświetlić listę dostępnych wirtualnych urządzeń sieciowych, które można wdrożyć w sieci wirtualnej, przejdź do Azure Marketplace.

Routing ruchu sieciowego

Platforma Azure domyślnie kieruje ruch między podsieciami, połączonymi sieciami wirtualnymi, sieciami lokalnymi i Internetem. Możesz zaimplementować jedną lub obie z następujących opcji, aby zastąpić trasy domyślne tworzone przez platformę Azure:

Integracja z usługami platformy Azure

Integrowanie usług platformy Azure z siecią wirtualną platformy Azure umożliwia prywatny dostęp do usługi z maszyn wirtualnych lub zasobów obliczeniowych w sieci wirtualnej. Dla tej integracji można użyć następujących opcji:

  • Wdrażanie dedykowanych wystąpień usługi w sieci wirtualnej. Następnie usługi mogą być dostępne prywatnie w sieci wirtualnej i z sieci lokalnych.

  • Użyj Azure Private Link, aby uzyskać prywatny dostęp do określonego wystąpienia usługi z sieci wirtualnej i z sieci lokalnych.

  • Uzyskaj dostęp do usługi za pośrednictwem publicznych punktów końcowych, rozszerzając sieć wirtualną na usługę za pośrednictwem punktów końcowych usługi. Punkty końcowe usługi umożliwiają zabezpieczanie zasobów usługi w sieci wirtualnej.

Limity

Istnieją limity liczby zasobów platformy Azure, które można wdrożyć. Większość limitów sieci platformy Azure wynosi maksymalną wartość. Można jednak zwiększyć niektóre limity sieci. Aby uzyskać więcej informacji, zobacz Limity sieci.

Sieci wirtualne i strefy dostępności

Sieci wirtualne i podsieci obejmują wszystkie strefy dostępności w regionie. Nie musisz dzielić ich przez strefy dostępności, aby pomieścić zasoby strefowe. Jeśli na przykład skonfigurujesz strefową maszynę wirtualną, nie musisz brać pod uwagę sieci wirtualnej podczas wybierania strefy dostępności dla maszyny wirtualnej. To samo dotyczy innych zasobów strefowych.

Cennik

Za korzystanie z usługi Azure Virtual Network nie są naliczane opłaty. Jest to bezpłatne. Opłaty standardowe dotyczą zasobów, takich jak maszyny wirtualne i inne produkty. Aby dowiedzieć się więcej, zobacz Virtual Network cennik i kalkulator cen platformy Azure.

Następne kroki