Интеграция виртуальной сети для служб AzureVirtual network integration for Azure services

Интеграция служб Azure с виртуальной сетью Azure обеспечивает закрытый доступ к службе из виртуальных машин или вычислительных ресурсов в виртуальной сети.Integrating Azure services to an Azure virtual network enables private access to the service from virtual machines or compute resources in the virtual network. Службы Azure можно интегрировать с виртуальной сетью такими способами:You can integrate Azure services in your virtual network with the following options:

  • Развертывание выделенных экземпляров службы в виртуальной сети.Deploying dedicated instances of the service into a virtual network. В этом случае закрытый доступ к этим службам сможет осуществляться в виртуальной сети и из локальных сетей.The services can then be privately accessed within the virtual network and from on-premises networks.
  • Использование частной ссылки для частного доступа к конкретному экземпляру службы из виртуальной сети и из локальных сетей.Using Private Link to access privately an specific instance of the service from your virtual network and from on-premises networks.

Вы также можете получить доступ к службе с помощью общедоступных конечных точек, расширив виртуальную сеть для службы через конечные точки службы.You can also access the service using public endpoints by extending a virtual network to the service, through service endpoints. Конечные точки службы позволяют защищать ресурсы службы в виртуальной сети.Service endpoints allow service resources to be secured to the virtual network.

Развертывание служб Azure в виртуальных сетяхDeploy Azure services into virtual networks

При развертывании выделенных служб Azure в виртуальной сети вы можете взаимодействовать с ресурсами служб в частном порядке через частные IP-адреса.When you deploy dedicated Azure services in a virtual network, you can communicate with the service resources privately, through private IP addresses.

Службы, развернутые в виртуальной сети

Развертывание служб в виртуальной сети обеспечивает следующие возможности:Deploying services within a virtual network provides the following capabilities:

  • Ресурсы в виртуальной сети могут взаимодействовать друг с другом в частном порядке через частные IP-адреса,Resources within the virtual network can communicate with each other privately, through private IP addresses. например непосредственно передавать данные между службой HDInsight и сервером SQL Server, запущенным на виртуальной машине в виртуальной сети.Example, directly transferring data between HDInsight and SQL Server running on a virtual machine, in the virtual network.
  • Локальные ресурсы могут обращаться к ресурсам в виртуальной сети с помощью частных IP-адресов через VPN-подключение типа "сеть —сеть" (VPN-шлюз) или канал ExpressRoute.On-premises resources can access resources in a virtual network using private IP addresses over a Site-to-Site VPN (VPN Gateway) or ExpressRoute.
  • Виртуальные сети могут создавать пиринговую связь, что позволяет ресурсам в виртуальной сети взаимодействовать друг с другом через частные IP-адреса.Virtual networks can be peered to enable resources in the virtual networks to communicate with each other, using private IP addresses.
  • Экземпляры службы в виртуальной сети обычно полностью управляются службой Azure.Service instances in a virtual network are typically fully managed by the Azure service. Сюда входит отслеживание работоспособности ресурсов и масштабирование с помощью нагрузки.This includes monitoring the health of the resources and scaling with load.
  • Экземпляры служб развертываются в подсети в виртуальной сети.Service instances are deployed into a subnet in a virtual network. Входящий и исходящий сетевой доступ к подсети должен быть открыт с помощью групп безопасности сети, согласно инструкциям службы.Inbound and outbound network access for the subnet must be opened through network security groups, per guidance provided by the service.
  • Некоторые службы также накладывают ограничения на подсеть, в которой они развернуты, ограничивая применение политик, маршруты или сочетание виртуальных машин и ресурсов служб в одной подсети.Certain services also impose restrictions on the subnet they are deployed in, limiting the application of policies, routes or combining VMs and service resources within the same subnet. Проверяйте каждую службу по определенным ограничениям, так как они могут меняться со временем.Check with each service on the specific restrictions as they may change over time. Примерами таких служб являются Azure NetApp Files, выделенный HSM, экземпляры контейнеров Azure, служба приложений.Examples of such services are Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
  • При необходимости для служб можно использовать делегированную подсеть, чтобы явно указать, что в этой подсети может размещаться определенная служба.Optionally, services might require a delegated subnet as an explicit identifier that a subnet can host a particular service. Делегируя, службы получают явные разрешения на создание ресурсов, зависящих от службы, в делегированной подсети.By delegating, services get explicit permissions to create service-specific resources in the delegated subnet.
  • См. Пример ответа REST API в виртуальной сети с делегированнойподсетью.See an example of a REST API response on a virtual network with a delegated subnet. Полный список служб, использующих делегированную модель подсети, можно получить с помощью доступного API делегирования .A comprehensive list of services that are using the delegated subnet model can be obtained via the Available Delegations API.

Службы, которые можно развернуть в виртуальной сетиServices that can be deployed into a virtual network

КатегорияCategory СлужбаService Выделенная подсеть ¹Dedicated¹ Subnet
Службы вычисленийCompute Виртуальные машины: Linux или WindowsVirtual machines: Linux or Windows
Масштабируемые наборы виртуальных машинVirtual machine scale sets
Облачная служба: только виртуальная сеть (классическая)Cloud Service: Virtual network (classic) only
Пакетная служба AzureAzure Batch
НетNo
НетNo
НетNo
Без ²No²
NetworkNetwork Шлюз приложений — WAFApplication Gateway - WAF
VPN-шлюзVPN Gateway
Брандмауэр AzureAzure Firewall
Виртуальные сетевые модулиNetwork Virtual Appliances
ДаYes
ДаYes
ДаYes
НетNo
ДанныеData Кэш RedisRedisCache
Управляемый экземпляр Базы данных SQL AzureAzure SQL Database Managed Instance
ДаYes
ДаYes
АналитикаAnalytics Azure HDInsightAzure HDInsight
Azure DatabricksAzure Databricks
Без ²No²
Без ²No²
идентификацииIdentity Доменные службы Azure Active DirectoryAzure Active Directory Domain Services НетNo
КонтейнерыContainers Служба Azure Kubernetes (AKS)Azure Kubernetes Service (AKS)
Экземпляр контейнера Azure (ACI)Azure Container Instance (ACI)
Обработчик службы контейнеров Azure с подключаемым модулем CNI для виртуальной сети AzureAzure Container Service Engine with Azure Virtual Network CNI plug-in
Без ²No²
ДаYes

НетNo
ИнтернетWeb Управление APIAPI Management
Среда службы приложенийApp Service Environment
Azure Logic AppsAzure Logic Apps
ДаYes
ДаYes
ДаYes
РазмещенныеHosted Выделенное устройство HSM AzureAzure Dedicated HSM
Azure NetApp FilesAzure NetApp Files
ДаYes
ДаYes

¹ "выделенный" означает, что в этой подсети можно развертывать только ресурсы, относящиеся к службам, и не может сочетаться с клиентом VM/Вмссс.¹ 'Dedicated' implies that only service specific resources can be deployed in this subnet and cannot be combined with customer VM/VMSSs
рекомендуется, но не обязательное требование, накладываемое службой.² Recommended, but not a mandatory requirement imposed by the service.