Виртуальная сеть Azure: часто задаваемые вопросыAzure Virtual Network frequently asked questions (FAQ)

Основные сведения о виртуальных сетяхVirtual Network basics

Что представляет собой виртуальная сеть Azure?What is an Azure Virtual Network (VNet)?

Виртуальная сеть Azure — это представление сети в облаке.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Это логическая изоляция облака Azure, выделенного для вашей подписки.It is a logical isolation of the Azure cloud dedicated to your subscription. С помощью виртуальной сети можно подготовить VPN к работе в Azure и управлять ею. Кроме того, при необходимости можно связать виртуальную сеть с другими виртуальными сетями в Azure или с локальной ИТ-инфраструктурой для создания гибридных или распределенных решений.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Каждая создаваемая виртуальная сеть имеет собственный блок CIDR. Ее можно связать с другими виртуальными и локальными сетями, если блоки CIDR не пересекаются.Each VNet you create has its own CIDR block, and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. Кроме того, вы можете изменять настройки DNS-серверов для виртуальных сетей и разбивать виртуальные сети на подсети.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Вы можете использовать виртуальные сети для указанных ниже целей.Use VNets to:

  • Создание выделенной частной облачной виртуальной сети. Иногда для решения не нужна распределенная конфигурация.Create a dedicated private cloud-only VNet Sometimes you don't require a cross-premises configuration for your solution. При создании виртуальной сети подключенные к ней службы и виртуальные машины могут безопасно обмениваться данными непосредственно друг с другом в облаке.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. В рамках вашего решения вы все еще можете настроить подключения конечных точек для виртуальных машин и служб, которым необходимо подключение к Интернету.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.
  • Безопасное расширение центра обработки данных. С помощью виртуальных сетей можно создавать традиционные VPN-подключения типа "сеть — сеть" (S2S) для безопасного масштабирования емкости центра обработки данных.Securely extend your data center With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. Для создания безопасного подключения между корпоративным VPN-шлюзом и Azure в VPN-подключениях S2S используется IPsec.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.
  • Поддержка гибридных облачных сценариев. Виртуальные сети предоставляют гибкие возможности для использования целого ряда гибридных облачных сценариев.Enable hybrid cloud scenarios VNets give you the flexibility to support a range of hybrid cloud scenarios. Вы можете безопасно подключать облачные приложения к локальным системам любого типа, например к большим ЭВМ и системам под управлением ОС Unix.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Как начать работу?How do I get started?

Чтобы начать работу, ознакомьтесь с документацией по виртуальным сетям.Visit the Virtual network documentation to get started. В ней представлены описание и информация о развертывании для всех компонентов виртуальной сети.This content provides overview and deployment information for all of the VNet features.

Можно ли использовать виртуальные сети без распределенных подключений?Can I use VNets without cross-premises connectivity?

Да.Yes. Вы можете использовать виртуальную сеть без локального подключения.You can use a VNet without connecting it to your premises. Например, вы можете запустить исключительно в виртуальной сети Azure контроллеры доменов Active Directory для Microsoft Windows Server или фермы SharePoint.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Можно ли выполнять оптимизацию глобальной сети между виртуальными сетями или между виртуальной сетью и локальным центром обработки данных?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Да.Yes. Вы можете развернуть виртуальные сетевые устройства оптимизации глобальной сети, предоставляемые несколькими поставщиками через Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

КонфигурацияConfiguration

Какие средства необходимо использовать для создания виртуальной сети?What tools do I use to create a VNet?

Для создания или настройки виртуальной сети можно использовать указанные ниже средства.You can use the following tools to create or configure a VNet:

Какие диапазоны адресов можно использовать в виртуальных сетях?What address ranges can I use in my VNets?

Любой диапазон IP-адресов, определенный в RFC 1918.Any IP address range defined in RFC 1918. Например, 10.0.0.0/16.For example, 10.0.0.0/16. Невозможно добавить следующий диапазон адресов:You cannot add the following address ranges:

  • 224.0.0.0/4 (многоадресная рассылка)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (широковещательный адрес)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (петлевой адрес);127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (локальный адрес канала);169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (внутренний DNS)168.63.129.16/32 (Internal DNS)

Можно ли в виртуальных сетях использовать общедоступные IP-адреса?Can I have public IP addresses in my VNets?

Да.Yes. Дополнительные сведения о диапазонах общедоступных IP-адресов см. в разделе Create a virtual network (Создание виртуальной сети).For more information about public IP address ranges, see Create a virtual network. Общедоступные IP-адреса не доступны непосредственно из Интернета.Public IP addresses are not directly accessible from the internet.

Существует ли ограничение на количество подсетей в виртуальной сети?Is there a limit to the number of subnets in my VNet?

Да.Yes. Дополнительные сведения см. в разделе Ограничения сети.See Azure limits for details. Адресные пространства подсетей не должны пересекаться друг с другом.Subnet address spaces cannot overlap one another.

Существуют ли ограничения на использование IP-адресов в пределах этих подсетей?Are there any restrictions on using IP addresses within these subnets?

Да.Yes. Azure резервирует 5 IP-адресов в каждой подсети.Azure reserves 5 IP addresses within each subnet. Это x. x. x. 0-x. x. x. 3 и последний адрес подсети.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x. x. 1-x. x. x. 3 зарезервировано в каждой подсети для служб Azure.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x. x. x. 0: Сетевой адресx.x.x.0: Network address
  • x. x. x. 1: Зарезервировано Azure для шлюза по умолчаниюx.x.x.1: Reserved by Azure for the default gateway
  • x. x. x. 2, x. x. x. 3: Зарезервировано Azure для отображения Azure DNS IP-адресов в пространстве виртуальной сетиx.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. x. 255: Сетевой широковещательный адресx.x.x.255: Network broadcast address

Насколько большими или малыми могут быть виртуальные сети и подсети?How small and how large can VNets and subnets be?

Самая маленькая поддерживаемая подсеть — /29, а самая большая — /8 (согласно определениям подсети CIDR).The smallest supported subnet is /29, and the largest is /8 (using CIDR subnet definitions).

Можно ли переносить виртуальные локальные сети в Azure с помощью виртуальных сетей?Can I bring my VLANs to Azure using VNets?

Нет.No. Виртуальные сети представляют собой наложения Layer-3.VNets are Layer-3 overlays. Azure не поддерживает семантику Layer-2.Azure does not support any Layer-2 semantics.

Можно ли в виртуальных сетях и подсетях задавать настраиваемые политики маршрутизации?Can I specify custom routing policies on my VNets and subnets?

Да.Yes. Вы можете создать таблицу маршрутов и связать ее с подсетью.You can create a route table and associate it to a subnet. Дополнительные сведения о маршрутизации в Azure см. в разделе Настраиваемые маршруты.For more information about routing in Azure, see Routing overview.

Поддерживают ли виртуальные сети технологии многоадресной или широковещательной рассылки?Do VNets support multicast or broadcast?

Нет.No. Многоадресная и широковещательная рассылка не поддерживаются.Multicast and broadcast are not supported.

Какие протоколы можно использовать в рамках виртуальных сетей?What protocols can I use within VNets?

Вы можете использовать в виртуальных сетях протоколы TCP, UDP и ICMP, относящиеся к стеку TCP/IP.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. Между виртуальными сетями поддерживается одноадресная передача. Исключением является одноадресная передача по протоколу DHCP (исходный порт UDP/68, конечный порт UDP/67).Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67). В виртуальных сетях блокируются многоадресные и широковещательные рассылки, инкапсулированные пакеты IP in IP и пакеты, передаваемые по протоколу GRE (Generic Routing Encapsulation).Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Можно ли в виртуальной сети проверять связь с маршрутизаторами по умолчанию?Can I ping my default routers within a VNet?

Нет.No.

Можно ли использовать команду tracert для диагностики подключения?Can I use tracert to diagnose connectivity?

Нет.No.

Можно ли добавлять подсети после создания виртуальной сети?Can I add subnets after the VNet is created?

Да.Yes. Вы можете в любое время добавлять подсети в виртуальные сети при условии, что диапазон адресов добавляемой подсети не принадлежит другой подсети и в диапазоне адресов виртуальной сети остается свободное место.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Можно ли изменить размер подсети после ее создания?Can I modify the size of my subnet after I create it?

Да.Yes. Вы можете добавлять, удалять, расширять или уменьшать подсеть (если в ней не развернуты виртуальные машины и службы).You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Можно ли изменять подсети после их создания?Can I modify subnets after I created them?

Да.Yes. Вы можете добавлять, удалять и изменять блоки CIDR, используемые виртуальной сетью.You can add, remove, and modify the CIDR blocks used by a VNet.

Могут ли службы, работающие в виртуальной сети, подключиться к Интернету?If I am running my services in a VNet, can I connect to the internet?

Да.Yes. Все службы, развернутые в виртуальной сети, могут подключаться к Интернету.All services deployed within a VNet can connect outbound to the internet. Дополнительные сведения об исходящих интернет-подключениях в Azure см. в статье Исходящие подключения в Azure.To learn more about outbound internet connections in Azure, see Outbound connections. Если вы хотите подключить входящий трафик к ресурсу, развернутому с помощью Resource Manager, необходимо назначить ему общедоступный IP-адрес.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Дополнительные сведения об общедоступных IP-адресах см. в этой статье.To learn more about public IP addresses, see Public IP addresses. У каждой облачной службы, развернутой в Azure, есть общедоступный виртуальный IP-адрес.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. Чтобы эти службы могли принимать подключения из Интернета, необходимо определить входные конечные точки для ролей "платформа как услуга" и конечные точки для виртуальных машин.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Поддерживают ли виртуальные сети протокол IPv6?Do VNets support IPv6?

Нет.No. В настоящее время невозможно использовать протокол IPv6 в виртуальных сетях.You cannot use IPv6 with VNets at this time. Однако вы можете назначить IPv6-адреса подсистемам балансировки нагрузки Azure для распределения нагрузки виртуальных машин.You can however, assign IPv6 addresses to Azure load balancers to load balance virtual machines. Дополнительные сведения см. в статье Общие сведения о поддержке IPv6 для Azure Load Balancer.For details, see Overview of IPv6 for Azure Load Balancer.

Может ли виртуальная сеть охватывать несколько регионов?Can a VNet span regions?

Нет.No. Виртуальную сеть можно использовать только в пределах одного региона.A VNet is limited to a single region. Однако она охватывает зоны доступности.A virtual network does, however, span availability zones. См. дополнительные сведения о зонах доступности.To learn more about availability zones, see Availability zones overview. Вы можете подключать виртуальные сети в разных регионах с помощью пиринговой связи.You can connect virtual networks in different regions with virtual network peering. Дополнительные сведения см. в статье Пиринг между виртуальными сетями.For details, see Virtual network peering overview

Можно ли подключить виртуальную сеть к другой виртуальной сети в Azure?Can I connect a VNet to another VNet in Azure?

Да.Yes. Вы можете подключить одну виртуальную сеть к другой с помощью одного из следующих методов.You can connect one VNet to another VNet using either:

Разрешение имен (DNS)Name Resolution (DNS)

Каковы параметры DNS для виртуальных сетей?What are my DNS options for VNets?

Все доступные параметры DNS есть в таблице решений на странице Разрешение имен для виртуальных машин и экземпляров ролей .Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Можно ли указать DNS-серверы для виртуальной сети?Can I specify DNS servers for a VNet?

Да.Yes. Вы можете указать IP-адреса DNS-сервера в параметрах виртуальной сети.You can specify DNS server IP addresses in the VNet settings. Этот параметр используется в качестве DNS-сервера по умолчанию для всех виртуальных машин в виртуальной сети.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Сколько DNS-серверов можно указать?How many DNS servers can I specify?

См. раздел Ограничения сети.Reference Azure limits.

Можно ли изменять DNS-серверы после создания сети?Can I modify my DNS servers after I have created the network?

Да.Yes. Вы можете в любое время изменить список DNS-серверов для виртуальной сети.You can change the DNS server list for your VNet at any time. После изменения списка DNS-серверов необходимо перезапустить все виртуальные машины в виртуальной сети, чтобы они начали использовать параметры нового DNS-сервера.If you change your DNS server list, you will need to restart each of the VMs in your VNet in order for them to pick up the new DNS server.

Что такое DNS, предоставленная Azure, и работает ли она с виртуальными сетями?What is Azure-provided DNS and does it work with VNets?

DNS, предоставленная Azure, — это мультитенантная служба DNS, предлагаемая корпорацией Майкрософт.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure регистрирует в этой службе все ваши виртуальные машины и экземпляры ролей облачной службы.Azure registers all of your VMs and cloud service role instances in this service. Эта служба выполняет разрешение имен по имени узла для виртуальных машин и экземпляров ролей, содержащихся в одной и той же облачной службе, и по FQDN для виртуальных машин и экземпляров ролей в одной и той же виртуальной сети.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Дополнительные сведения о DNS см. в статье Разрешение имен для виртуальных машин и экземпляров ролей.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Существует следующее ограничение: разрешение имен между клиентами с помощью службы DNS, предоставленной Azure, выполняется только для первых 100 облачных служб в виртуальной сети.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Если вы используете собственный DNS-сервер, то это ограничение не применяется.If you are using your own DNS server, this limitation does not apply.

Можно ли переопределять параметры DNS для каждой виртуальной машины или облачной службы?Can I override my DNS settings on a per-VM or cloud service basis?

Да.Yes. Чтобы переопределить параметры сети по умолчанию, можно задать DNS-серверы для каждой виртуальной машины или облачной службы.You can set DNS servers per VM or cloud service to override the default network settings. Тем не менее, рекомендуем максимально широко использовать DNS уровня сети.However, it's recommended that you use network-wide DNS as much as possible.

Можно использовать собственный суффикс DNS?Can I bring my own DNS suffix?

Нет.No. Невозможно указать пользовательский суффикс DNS для виртуальных сетей.You cannot specify a custom DNS suffix for your VNets.

Подключение виртуальных машинConnecting virtual machines

Можно ли развертывать виртуальные машины в виртуальной сети?Can I deploy VMs to a VNet?

Да.Yes. Все сетевые интерфейсы (сетевые адаптеры), подключенные к виртуальной машине, развернутой по модели развертывания с помощью Resource Manager, должны быть подключены к виртуальной сети.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Виртуальные машины, развернутые с помощью классической модели развертывания, можно (но не обязательно) подключать к виртуальной сети.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Какие типы IP-адресов можно назначать для виртуальных машин?What are the different types of IP addresses I can assign to VMs?

  • Частные. Назначаются каждому сетевому адаптеру на каждой виртуальной машине.Private: Assigned to each NIC within each VM. Для назначения адресов может применяться статический или динамический метод.The address is assigned using either the static or dynamic method. Частные IP-адреса назначаются из диапазона, указанного в параметрах подсети виртуальной сети.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Ресурсам, развернутым с помощью классической модели развертывания, назначаются частные IP-адреса, даже если они не подключены к виртуальной сети.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Поведение метода распределения различается в зависимости от того, был ли ресурс развернут с помощью Resource Manager или классической модели развертывания.The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager. Динамический или статистический частный IP-адрес остается назначенным виртуальной машине (Resource Manager), пока этот ресурс не будет удален.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. Разница заключается в том, что при использовании статистического адреса вы выбираете адрес для назначения, а при использовании динамического его выбирает Azure.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Классическая модель развертывания. Динамический частный IP-адрес может измениться при перезапуске виртуальной машины (классическая модель развертывания) после того, как она была остановлена (освобождена).Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Если необходимо присвоить постоянный частный IP-адрес ресурсу, развернутому с помощью классической модели развертывания, назначьте ему частный IP-адрес с помощью статического метода.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Общедоступные. Могут назначаться для сетевых адаптеров, подключенных к виртуальным машинам, развернутым по модели развертывания с помощью Azure Resource Manager.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. Для назначения адресов может применяться статический или динамический метод распределения.The address can be assigned with the static or dynamic allocation method. Все виртуальные машины и экземпляры ролей облачных служб, развернутые по классической модели развертывания, существуют в облачной службе, которой назначается динамический общедоступный виртуальный IP-адрес.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. В качестве виртуального IP-адреса может быть назначен общедоступный статический IP-адрес, который также называется зарезервированным IP-адресом.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. Общедоступные IP-адреса можно назначать отдельным виртуальным машинам или экземплярам ролей облачных служб, развернутым по классической модели.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Эти адреса называются общедоступными IP-адресами уровня экземпляра (ILPIP) и могут назначаться динамически.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Можно ли зарезервировать частный IP-адрес для виртуальной машины, которую я планирую создать позже?Can I reserve a private IP address for a VM that I will create at a later time?

Нет.No. Зарезервировать частный IP-адрес невозможно.You cannot reserve a private IP address. Если частный IP-адрес доступен, DHCP-сервер назначает его виртуальной машине или экземпляру роли.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. Это может оказаться любая виртуальная машина, а не обязательно та, для которой вы хотите использовать определенный частный IP-адрес.The VM may or may not be the one that you want the private IP address assigned to. Но вы можете изменить частный IP-адрес уже созданной виртуальной машины на любой доступный частный IP-адрес.You can, however, change the private IP address of an already created VM, to any available private IP address.

Изменяются ли частные IP-адреса виртуальных машин в виртуальной сети?Do private IP addresses change for VMs in a VNet?

Здесь возможны варианты в зависимости от обстоятельств.It depends. Нет, если виртуальная машина развернута с помощью Resource Manager, независимо от того, как присвоен IP-адрес: с помощью статического или динамического метода распределения.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Если виртуальная машина была развернута с помощью классической модели развертывания, динамические IP-адреса могут изменяться при перезапуске виртуальной машины после того, как она была остановлена (освобождена).If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. В случае удаления виртуальной машины, развернутой с помощью любой модели развертывания, назначенный ей адрес освобождается.The address is released from a VM deployed through either deployment model when the VM is deleted.

Можно ли вручную назначать IP-адреса для сетевых адаптеров в операционной системе виртуальной машины?Can I manually assign IP addresses to NICs within the VM operating system?

Да, но не рекомендуем. Только при необходимости, например при назначении нескольких IP-адресов для виртуальной машины.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Дополнительные сведения см. в статье Добавление IP-адресов в операционную систему виртуальной машины.For details, see Adding multiple IP addresses to a virtual machine. Если IP-адрес, назначенный сетевой карте Azure, подключенной к виртуальной машине, изменяется и IP-адрес в операционной системе виртуальной машины отличается, вы потеряете связь с виртуальной машиной.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Что происходит с IP-адресами, когда я останавливаю слот развертывания облачной службы или завершаю работу виртуальной машины средствами операционной системы?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Отсутствует.Nothing. IP-адреса (общедоступный виртуальный, общедоступный или частный) остаются назначенными для слота развертывания облачной службы или для виртуальной машины.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Можно ли перемещать виртуальные машины между подсетями виртуальной сети без повторного развертывания?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Да.Yes. Дополнительные сведения см. в статье Перемещение виртуальной машины или экземпляра роли в другую подсеть.You can find more information in the How to move a VM or role instance to a different subnet article.

Можно ли настроить статический MAC-адрес для виртуальной машины?Can I configure a static MAC address for my VM?

Нет.No. Настроить MAC-адрес статически невозможно.A MAC address cannot be statically configured.

Остается ли MAC-адрес виртуальной машины неизменным после ее создания?Will the MAC address remain the same for my VM once it's created?

Да, MAC-адрес остается неизменным для виртуальной машины, развернутой по модели с помощью Resource Manager или по классической модели развертывания, пока виртуальная машина не будет удалена.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Ранее MAC-адрес освобождался также при остановке (освобождении) виртуальной машины, но теперь MAC-адрес сохраняется даже для виртуальных машин в состоянии "Освобождено".Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. MAC-адрес остается назначенным сетевому интерфейсу, пока сетевой интерфейс не будет удален или пока не будет изменен частный IP-адрес, назначенный основной IP-конфигурации основного сетевого интерфейса.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Можно ли подключиться к Интернету из виртуальной машины, находящейся в виртуальной сети?Can I connect to the internet from a VM in a VNet?

Да.Yes. Все виртуальные машины и экземпляры ролей облачных служб, развернутые в виртуальной сети, могут подключаться к Интернету.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Службы Azure, которые подключаются к виртуальным сетямAzure services that connect to VNets

Могу ли я использовать веб-приложения службы приложений Azure с виртуальной сетью?Can I use Azure App Service Web Apps with a VNet?

Да.Yes. Вы можете развернуть веб-приложения в виртуальной сети с помощью ASE (Среда службы приложений), подключить серверную часть приложений к виртуальных сетей с помощью интеграции с виртуальной сетью и заблокировать входящий трафик в приложении с конечными точками службы.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Можно ли развернуть в виртуальной сети облачные службы с веб-ролями и рабочими ролями (платформа как услуга)?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Да.Yes. Вы можете (по своему усмотрению) развертывать экземпляры ролей облачных служб в виртуальных сетях.You can (optionally) deploy Cloud Services role instances within VNets. Для этого нужно указать имя виртуальной сети и сопоставления роли и подсети в разделе конфигурации сети в конфигурации службы.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. Не нужно обновлять никакие двоичные файлы.You do not need to update any of your binaries.

Можно ли подключить масштабируемый набор виртуальных машин к виртуальной сети?Can I connect a virtual machine scale set to a VNet?

Да.Yes. Необходимо подключить масштабируемый набор виртуальных машин к виртуальной сети.You must connect a virtual machine scale set to a VNet.

Существует ли полный список служб Azure, ресурсы которых можно развернуть в виртуальной сети?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Да. Дополнительные сведения см. в статье Интеграция виртуальной сети для служб Azure.Yes, For details, see Virtual network integration for Azure services.

К каким ресурсам Azure PaaS можно предоставить доступ в виртуальной сети?Which Azure PaaS resources can I restrict access to from a VNet?

К ресурсам, развернутым с помощью некоторых служб Azure PaaS (таких как служба хранилища Azure и База данных SQL Azure), можно ограничить доступ, предоставляя его только к ресурсам в виртуальной сети через конечные точки служб.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to only resources in a VNet through the use of virtual network service endpoints. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.For details, see Virtual network service endpoints overview.

Можно ли перемещать службы в виртуальные сети и из них?Can I move my services in and out of VNets?

Нет.No. Невозможно перемещать службы в виртуальные сети и из них.You cannot move services in and out of VNets. Чтобы переместить ресурс в другую виртуальную сеть, необходимо удалить его, а затем повторно развернуть.To move a resource to another VNet, you have to delete and redeploy the resource.

БезопасностьSecurity

Какова модель безопасности для виртуальных сетей?What is the security model for VNets?

Виртуальные сети изолированы друг от друга и от других служб, размещенных в инфраструктуре Azure.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Виртуальная сеть — это граница доверия.A VNet is a trust boundary.

Можно ли ограничить входящий или исходящий трафик к ресурсам, подключенным к виртуальной сети?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Да.Yes. Вы можете применить группы безопасности сети для отдельных подсетей в виртуальной сети и (или) для подключенных к виртуальной сети сетевых адаптеров.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Можно ли развернуть брандмауэр между ресурсами, подключенными к виртуальной сети?Can I implement a firewall between VNet-connected resources?

Да.Yes. Вы можете развернуть виртуальные сетевые устройства с ролью брандмауэра, предоставляемые несколькими поставщиками через Azure Marketplace.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Могу ли я получить информацию о защите виртуальных сетей?Is there information available about securing VNets?

Да.Yes. Дополнительные сведения см. в статье Обзор сетевой безопасности Azure.For details, see Azure Network Security Overview.

API-интерфейсы, схемы и инструментыAPIs, schemas, and tools

Можно ли управлять виртуальными сетями из кода?Can I manage VNets from code?

Да.Yes. В Azure Resource Manager и классической модели развертывания можно использовать интерфейсы API-интерфейсов RESTful для виртуальных сетей.You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Существуют ли специальные программные средства для работы с виртуальными сетями?Is there tooling support for VNets?

Да.Yes. Дополнительные сведения об использовании средств:Learn more about using:

Пиринг VNetVNet peering

Что такое пиринг виртуальных сетей?What is VNet peering?

Пиринг виртуальных сетей позволяет эффективно соединять виртуальные сети.VNet peering (or virtual network peering) enables you to connect virtual networks. Пиринговая связь между виртуальными сетями позволяет направлять трафик между ними в частном порядке через IPv4-адреса.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Виртуальные машины в пиринговых виртуальных сетях могут взаимодействовать друг с другом, как если бы они были в той же сети.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Эти виртуальные сети могут быть в одном или в разных регионах (во втором случае установка связи также известна как глобальный пиринг виртуальных сетей).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). Пиринговые подключения виртуальной сети также могут создаваться в подписках Azure.VNet peering connections can also be created across Azure subscriptions.

Могу ли я создать пиринговое подключение к виртуальной сети в другом регионе?Can I create a peering connection to a VNet in a different region?

Да.Yes. Глобальный пиринг виртуальных сетей позволяет создавать пиринговую связь между виртуальными сетями в разных регионах.Global VNet peering enables you to peer VNets in different regions. Глобальный пиринг виртуальных сетей доступен во всех общедоступных регионах Azure, в регионах облака Китая и в облачных регионах для государственных организаций.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. Вы не можете глобально одноранговые узлы из общедоступных регионов Azure в регионы национальных облаков.You cannot globally peer from Azure public regions to national cloud regions.

Если две виртуальные сети находятся в другом регионе (пиринг глобальной виртуальной сети), вы не сможете подключиться к ресурсам, использующим базовый Load Balancer.If the two virtual networks are in different region (Global VNet Peering), you cannot connect to resources that use Basic Load Balancer. Вы можете подключиться к ресурсам, использующим Load Balancer (цен. категория "Стандартный").You can connect to resources that use Standard Load Balancer. В следующих ресурсах используются базовые подсистемы балансировки нагрузки, что означает, что вы не можете взаимодействовать с ними в глобальной виртуальной сети.The following resources use Basic Load Balancers which means you cannot communicate to them across Global VNet Peering:

  • Виртуальные машины за базовыми подсистемами балансировки нагрузкиVMs behind Basic Load Balancers
  • Масштабируемые наборы виртуальных машин с базовыми подсистемами балансировки нагрузкиVirtual machine scale sets with Basic Load Balancers
  • Кэш RedisRedis Cache
  • SKU шлюза приложений (v1)Application Gateway (v1) SKU
  • Платформа Service FabricService Fabric
  • SQL MISQL MI
  • Управление APIAPI Management
  • Служба домен Active Directory (добавляет)Active Directory Domain Service (ADDS)
  • Приложения логикиLogic Apps
  • HDInsightHDInsight
  • Пакетная служба AzureAzure Batch
  • AKSAKS
  • Среда службы приложенийApp Service Environment

Вы можете подключаться к этим ресурсам через ExpressRoute или VNet-VNet через шлюзы виртуальной сети.You can connect to these resource via ExpressRoute or VNet-to-VNet through VNet Gateways.

Могу ли я включить пиринг виртуальной сети, если мои виртуальные сети относятся к подпискам в разных клиентах Azure Active Directory?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Да.Yes. Установка пиринга виртуальной сети (локальный или глобальный) возможна, если ваши подписки принадлежат к разным клиентам Azure Active Directory.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. Это можно сделать с помощью PowerShell или интерфейса командной строки.You can do this via PowerShell or CLI. Портал пока не поддерживаются.Portal is not yet supported.

Пиринговое подключение виртуальной сети находится в состоянии Начато, почему я не могу установить подключение?My VNet peering connection is in Initiated state, why can't I connect?

Если пиринговое подключение находится в состоянии "Начато", это означает, что вы создали только одну связь.If your peering connection is in an Initiated state, this means you have created only one link. Чтобы установить успешное подключение, необходимо создать двунаправленную связь.A bidirectional link must be created in order to establish a successful connection. Например, чтобы установить пиринговое подключение виртуальной сети А к виртуальной сети В, нужно создать связь из сети VNetA к сети VNetB и из сети VNetB к сети VNetA.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. Создание обеих связей изменит состояние на Подключено.Creating both links will change the state to Connected.

Пиринговое подключение виртуальной сети находится в состоянии Отключено. Почему я не могу установить пиринговое подключение?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Если пиринговое подключение виртуальной сети находится в состоянии "Отключено", это означает, что одна из созданных связей была удалена.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Чтобы повторно установить пиринговую связь, необходимо удалить и повторно создать связь.In order to re-establish a peering connection, you will need to delete the link and recreate.

Можно ли настроить пиринговое подключение своей виртуальной сети к виртуальной сети в другой подписке?Can I peer my VNet with a VNet in a different subscription?

Да.Yes. Можно установить пиринговое подключение виртуальных сетей во всех подписках и регионах.You can peer VNets across subscriptions and across regions.

Могу ли я установить пиринг между двумя виртуальными сетями с совпадающими или перекрывающимися диапазонами адресов?Can I peer two VNets with matching or overlapping address ranges?

Нет.No. Чтобы включить пиринг виртуальных сетей, адресные пространства не должны перекрывать друг друга.Address spaces must not overlap to enable VNet Peering.

Создание пирингового подключения виртуальных сетей бесплатно.There is no charge for creating a VNet peering connection. Передача данных через пиринговые подключения оплачивается.Data transfer across peering connections is charged. Дополнительные сведения см. здесь.See here.

Шифруется ли пиринговый трафик виртуальной сети?Is VNet peering traffic encrypted?

Нет.No. Трафик между ресурсами в пиринговых виртуальных сетях частный и изолированный.Traffic between resources in peered VNets is private and isolated. Он полностью хранится в магистральной сети Майкрософт.It remains completely on the Microsoft Backbone.

Почему мое пиринговое подключение неактивно?Why is my peering connection in a disconnected state?

Пиринговые подключения виртуальных сетей переходят в состояние Отключено, когда удаляется одна из связей пиринга виртуальных сетей.VNet peering connections go into Disconnected state when one VNet peering link is deleted. Вам нужно удалить обе связи, чтобы повторно установить успешное пиринговое подключение.You must delete both links in order to reestablish a successful peering connection.

Если настроить пиринговое подключение между сетями VNetA и VNetB, а затем между сетями VNetB и VNetC, будет ли это означать, что между сетями VNetA и VNetC также установлено пиринговое подключение?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Нет.No. Транзитивный пиринг не поддерживается.Transitive peering is not supported. Для пиринга между сетями VNetA и VNetC нужно использовать именно эти сети.You must peer VNetA and VNetC for this to take place.

Есть ли ограничения пропускной способности для пиринговых подключений?Are there any bandwidth limitations for peering connections?

Нет.No. Пиринг виртуальных сетей (локальный или глобальный) не предусматривает каких-либо ограничений пропускной способности.VNet peering, whether local or global, does not impose any bandwidth restrictions. Пропускная способность ограничивается только виртуальной машиной или вычислительным ресурсом.Bandwidth is only limited by the VM or the compute resource.

Как устранить неполадки пиринга в виртуальной сети?How can I troubleshoot VNet Peering issues?

Ниже приведено пошаговое описание средства устранения неполадок .Here is a troubleshooter guide you can try.

TAP виртуальной сетиVirtual network TAP

В каких регионах Azure доступна функция TAP виртуальной сети?Which Azure regions are available for virtual network TAP?

Предварительная версия TAP для виртуальной сети доступна во всех регионах Azure.Virtual network TAP preview is available in all Azure regions. Отслеживаемые сетевые интерфейсы, ресурс TAP виртуальной сети и сборщик или решение для аналитики должны быть развернуты в одном регионе.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

Поддерживает ли TAP виртуальной сети какие-либо возможности фильтрации зеркальных пакетов?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Возможности фильтрации не поддерживаются предварительной версией TAP виртуальной сети.Filtering capabilities are not supported with the virtual network TAP preview. После добавления конфигурации TAP в сетевой интерфейс глубокая копия всего входящего и исходящего трафика, передаваемого через этот сетевой интерфейс, передается потоком в место назначения TAP.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Можно ли добавить несколько конфигураций TAP в отслеживаемый сетевой интерфейс?Can multiple TAP configurations be added to a monitored network interface?

У отслеживаемого сетевого интерфейса может быть только одна конфигурация TAP.A monitored network interface can have only one TAP configuration. Ознакомьтесь с отдельными решениями партнеров, чтобы изучить возможности потоковой передачи нескольких копий трафика TAP в выбранные инструменты аналитики.Check with the individual partner solutions for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

Может ли один и тот же ресурс TAP виртуальной сети агрегировать трафик из отслеживаемых сетевых интерфейсов в более чем одной виртуальной сети?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Да.Yes. Один ресурс TAP виртуальной сети можно использовать для агрегирования зеркального трафика из отслеживаемых сетевых интерфейсов в пиринговых виртуальных сетях, размещенных в той же или другой подписке.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. Ресурс TAP виртуальной сети и целевая подсистема балансировки нагрузки или целевой сетевой интерфейс должны находиться в одной и той же подписке.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Все подписки должны быть размещены в одном клиенте Azure Active Directory.All subscriptions must be under the same Azure Active Directory tenant.

Возникнут ли какие-либо сложности с производительностью рабочего трафика, если включить конфигурацию TAP виртуальной сети для сетевого интерфейса?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

TAP для виртуальной сети используется предварительная версия.Virtual network TAP is in preview. На этапе предварительной версии соглашение об уровне обслуживания не действует.During preview, there is no service level agreement. Эту функцию не следует использовать для производственных рабочих нагрузок.The capability should not be used for production workloads. Если включить конфигурацию TAP для сетевого интерфейса виртуальной машины, одни и те же ресурсы на узле Azure, выделенные виртуальной машине для отправки рабочего трафика, будут использоваться для зеркального отображения и отправки зеркальных пакетов.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Выберите правильный размер виртуальной машины Linux или Windows, чтобы обеспечить достаточно ресурсов виртуальной машины для отправки рабочего трафика и зеркального трафика.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Поддерживается ли ускорение работы в сети для Linux или Windows с помощью TAP виртуальной сети?Is accelerated networking for Linux or Windows supported with virtual network TAP?

Можно будет добавить конфигурацию TAP в сетевой интерфейс, подключенный к виртуальной машине, для которой включено ускорение работы в сети.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Но добавление конфигурации TAP повлияет не производительность и задержку виртуальной машины, так как разгрузка зеркального трафика для ускорения работы в сети Azure в настоящее время не поддерживается.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Конечные точки службы для виртуальной сетиVirtual network service endpoints

Какова правильная последовательность операций для настройки конечных точек службы Azure?What is the right sequence of operations to set up service endpoints to an Azure service?

Существует два действия по защите ресурса службы Azure с помощью конечных точек службы.There are two steps to securing an Azure service resource through service endpoints:

  1. Включите конечные точки для службы Azure.Turn on service endpoints for the Azure service.
  2. Настройте списки управления доступом виртуальной сети в службе Azure.Set up VNet ACLs on the Azure service.

Первым шагом является операция на стороне сети и вторым – операция на стороне службы ресурсов.The first step is a network side operation and the second step is a service resource side operation. Оба действия выполняются либо с помощью администратора, либо разными администраторами на основании разрешений RBAC, предоставленных ролей администратора.Both steps can be performed either by the same administrator or different administrators based on the RBAC permissions granted to the administrator role. Мы рекомендуем сначала включить конечные точки службы виртуальной сети перед настройкой списков управления доступом в виртуальной сети на стороне службы Azure.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Таким образом, чтобы создать виртуальную сеть точек обслуживания, шаги должны быть выполнены в последовательности, указанной выше.Hence, the steps must be performed in sequence listed above to set up VNet service endpoints.

Примечание

Обе операции, описанные выше, должны быть завершены, прежде чем можно ограничить доступ к службе Azure для разрешенных виртуальных сетей и подсетей.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Только включение конечных точек для службы Azure на стороне сети не предоставляет ограниченный доступ.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Кроме того, необходимо также настроить списки управления доступом в виртуальной сети на стороне службы Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Некоторые службы (такие как SQL и CosmosDB) допускают исключения для вышеуказанной последовательности через флажок IgnoreMissingVnetServiceEndpoint.Certain services (such as SQL, and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag . После установки флажка в значение True можно задать списки управления доступом в виртуальной сети до настройки конечных точек службы на стороне сети со стороны службы Azure.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on network side. Служба Azure предоставляет этот флажок, чтобы помочь клиентам в тех случаях, когда конкретный IP-адрес брандмауэров в службе Azure и включение конечных точек службы на стороне сети может привести к перемещению подключения, так как исходный IP-адрес меняется из публичных IPv4-адресов в собственный адрес.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. Настройка списков управления доступом в виртуальной сети на стороне службы Azure перед настройкой конечных точек службы поможет избежать потери подключения.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Могут ли все службы Azure находиться в виртуальной сети Azure, предоставленной клиентом?Do all Azure services reside in the Azure virtual network provided by the customer? Как конечная точка службы виртуальной сети работает со службами Azure?How does VNet service endpoint work with Azure services?

Нет, не все службы Azure находятся в виртуальной сети клиента.No, not all Azure services reside in the customer's virtual network. Большая часть служб данных Azure, таких как службы хранилища Azure, Azure SQL и Azure Cosmos DB – это мультитенантные службы, которые могут быть доступны через общие IP-адреса.Majority of the Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Подробнее об интеграции виртуальных сетей для служб Azure можно узнать здесь.You can learn more about virtual network integration for Azure services here.

При использовании функции конечных точек службы в виртуальной сети (включение конечной точки службы в виртуальной сети на стороне сети и настройка соответствующих списков управления доступом виртуальной сети на стороне службы Azure) доступ к службе Azure ограничивается из разрешенной виртуальной сети и подсети.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Как конечная точка службы виртуальной сети обеспечивает безопасность?How does VNet service endpoint provide security?

Функция конечной точки службы виртуальной сети (включение конечной точки службы виртуальной сети и настройка нужных списков управления доступом виртуальной сети на стороне службы Azure) ограничивает доступ к службе Azure для разрешенных виртуальных сетей и подсетей, обеспечивая безопасность на уровне сети и изоляцию трафика служб Azure.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Весь трафик, использующий конечные точки службы виртуальной сети, проходит через магистраль Майкрософт, обеспечивая тем самым еще один уровень изоляции от общедоступного Интернета.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Кроме того, клиенты могут выбрать полностью отказаться от открытого доступа в Интернет для ресурсов служб Azure и разрешить трафик только из своей виртуальной сети, используя IP-брандмауэры и списки управления доступом для виртуальной сети, защищая, таким образом, ресурсы служб Azure от несанкционированного доступа.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Что же защищает виртуальная конечная точка службы виртуальной сети – ресурсы Azure или службу Azure?What does the VNet service endpoint protect - VNet resources or Azure service?

Конечные точки службы виртуальной сети помогают защитить ресурсы служб Azure.VNet service endpoints help protect Azure service resources. Ресурсы виртуальной сети защищены с помощью групп безопасности сети (NSG).VNet resources are protected through Network Security Groups (NSGs).

Взимается ли плата за использование конечных точек службы виртуальной сети?Is there any cost for using VNet service endpoints?

Нет, за использование конечных точек службы виртуальной сети дополнительная плата не взимается.No, there is no additional cost for using VNet service endpoints.

Можно ли включить конечные точки службы виртуальной сети и настроить списки управления доступом в виртуальной сети, если виртуальная сеть и ресурсы служб Azure относятся к разным подпискам?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Да, это возможно.Yes, it is possible. Виртуальные сети и ресурсы служб Azure могут находиться в одной или разных подписках.Virtual networks and Azure service resources can be either in the same or different subscriptions. Единственное требование заключается в том, чтобы они были размещены в одном клиенте Active Directory (AD).The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

Можно ли включить конечные точки службы виртуальной сети и настроить списки управления доступом в виртуальной сети, если виртуальная сеть и ресурсы служб Azure относятся к разным клиентам AD?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Нет, конечные точки службы виртуальной сети и списки управления доступом в виртуальной сети в разных клиентах AD не поддерживаются.No, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Может ли IP-адрес локального устройства, подключенный через шлюз виртуальной сети Azure (VPN) или шлюз ExpressRoute, получить доступ к учетной записи службы Azure PaaS через конечные точки службы виртуальной сети?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or Express route gateway access Azure PaaS Service over VNet service endpoints?

По умолчанию ресурсы служб Azure, которые защищены в виртуальной сети, недоступны для локальных сетей.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Чтобы разрешить трафик из локальной среды, необходимо также разрешить общедоступные IP-адреса (обычно это NAT) из локальных каналов или каналов ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Эти IP-адреса можно добавить в конфигурации брандмауэра IP-адресов для ресурсов служб Azure.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Могу ли я использовать функцию виртуальной конечной точки службы, чтобы обезопасить службу Azure для нескольких подсетей в виртуальной сети или в разных виртуальных сетях?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets with in a Virtual network or across multiple virtual networks?

Чтобы обеспечить защиту служб Azure в нескольких подсетях в виртуальной сети или в нескольких виртуальных сетях, включите конечные точки службы на сетевой стороне на каждой из подсетей самостоятельно, а затем закрепите ресурсов Azure сервис для всех подсетей путем создания соответствующей виртуальной сети управления доступом на стороне Azure.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on Azure service side.

Как фильтровать исходящий трафик из виртуальной сети к службам Azure и по-прежнему использовать конечные точки службы?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Чтобы проверить или отфильтровать трафик, который поступает в службу Azure из виртуальной сети, можно развернуть в этой виртуальной сети виртуальное сетевое устройство.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Это позволяет применять конечные точки служб к подсети, в которой развертывается виртуальное сетевое устройство, и обеспечить защиту ресурса службы Azure только в этой подсети через списки управления доступом в виртуальной сети.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Это может также быть полезно, если вам требуется разрешить доступ к службе Azure из виртуальной сети только для определенных ресурсов Azure с использованием фильтрации виртуального сетевого устройства.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Дополнительные сведения см. в разделе Deploy highly available network virtual appliances (Развертывание высокодоступных сетевых устройств).For more information, see egress with network virtual appliances.

Что происходит при получении доступа к учетной записи службы Azure с включенным списком контроля доступа (ACL) вне виртуальной сети ?What happens when you access an Azure service account that has virtual network access control list (ACL) enabled from outside the VNet?

Ошибка HTTP 403 или HTTP 404.The HTTP 403 or HTTP 404 error is returned.

Разрешен ли доступ для подсетей виртуальной сети, созданных в различных регионах, к учетной записи службы Azure в другом регионе?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Да, большинство служб Azure виртуальной сети, созданные для разных регионов, могут получить доступ к службам Azure в другом регионе через конечные точки службы виртуальной сети.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Например, если учетная запись Azure Cosmos DB находится в западной части США или в восточной части США, а виртуальная сеть находится в нескольких регионах, может ли виртуальная сеть получить доступ к базе данных Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Хранилище и SQL являются исключениями и носят, по сути, региональный характер, поэтому и виртуальная сеть, и служба Azure должны находиться в одном регионе.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Может ли служба Azure использовать список управления доступом в виртуальной сети и IP-брандмауэр одновременно?Can an Azure service have both VNet ACL and an IP firewall?

Да, список управления доступом в виртуальной сети и IP-брандмауэр могут сосуществовать.Yes, VNet ACL and an IP firewall can co-exist. Обе эти функции дополняют друг друга для обеспечения изоляции и безопасности.Both features complement each other to ensure isolation and security.

Что происходит при удалении виртуальной сети или подсети, которая имеет включенную конечную точку службы для службы Azure?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

Удаление виртуальных сетей и подсетей являются независимыми операциями и поддерживаются даже в том случае, если конечные точки включены для служб Azure.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. В случаях, когда службы Azure используют списки управления доступом, настроенные для этих виртуальных сетей и подсетей, информация, связанная с этой службой Azure, отключается при удалении виртуальной сети или подсети, которая включила конечную точку службы виртуальной сети.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACLs information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Что произойдет, если учетная запись службы Azure с включенной конечной точкой службы виртуальной сети удалена?What happens if Azure service account that has VNet Service endpoint enabled is deleted?

Удаление учетной записи службы Azure является независимой операцией и поддерживается, даже если конечная точка службы включена на стороне сети, а списки управления доступом виртуальной сети настроены на стороне службы Azure.The deletion of Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Что происходит с исходным IP-адресом ресурса, например виртуальной машины, в подсети с включенной конечной точкой службы виртуальной сети?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

При включении конечных точек служб для виртуальной сети исходные IP-адреса ресурсов в подсети виртуальной сети будут переключаться с использования общедоступных адресов IPv4 на частные адреса виртуальной сети Azure для трафика в службу Azure.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Обратите внимание, что это может привести к созданию определенного IP-адреса брандмауэра, заданному ранее в общедоступных IPv4-адресах службы Azure с ошибкой.Note that this can cause specific IP firewall that are set to public IPV4 address earlier on the Azure services to fail.

Маршрут конечной точки службы всегда имеет приоритет?Does service endpoint route always take precedence?

Конечные точки службы добавляют системный маршрут, который имеет приоритет над маршрутами BGP, и обеспечивают оптимальную маршрутизацию для трафика конечных точек службы.Service endpoints add a system route which takes precedence over BGP routes and provide optimum routing for the service endpoint traffic. Конечные точки службы всегда направляют трафик служб непосредственно из виртуальной сети в службу в магистральной сети Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Дополнительные сведения о том, как Azure выбирает маршрут, см. в статье Маршрутизация трафика виртуальной сети Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Как работает группа безопасности сети в подсети с конечными точками службы?How does NSG on a subnet work with service endpoints?

Для доступа к службе Azure группам безопасности сети необходимо разрешить исходящие подключения.To reach the Azure service, NSGs need to allow outbound connectivity. Если ваши группы безопасности сети открыты для всего исходящего интернет-трафика, то трафик конечной точки службы должен работать.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. Можно также ограничить исходящий трафик для IP-адресов службы, используя только эти теги служб.You can also limit the outbound traffic to service IPs only using the Service tags.

Какие разрешения необходимы для настройки конечных точек службы?What permissions do I need to set up service endpoints?

Пользователь с правами на запись в виртуальной сети может настроить конечные точки служб в виртуальных сетях независимо друг от друга.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Чтобы защитить ресурсы службы Azure для виртуальной сети, пользователь должен иметь разрешение Microsoft. Network/virtualNetworks/подсети/жоинвиасервицеендпоинт/Action для добавляемых подсетей.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Это разрешение по умолчанию включено во встроенную роль администратора служб и может быть изменено при создании настраиваемых ролей.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Узнайте больше о встроенных ролях и назначении разрешений, определенных для настраиваемых ролей.Learn more about built-in roles and assigning specific permissions to custom roles.

Можно ли фильтровать трафик из виртуальной сети к службам Azure, разрешая тем самым только определенные ресурсы служб, через конечные точки служб в виртуальной сети?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Политики конечных точек служб виртуальной сети позволяют фильтровать трафик из виртуальной сети к службам Azure, разрешая тем самым только определенные ресурсы служб, через конечные точки служб.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Политики конечных точек предоставляют возможность детального контроля доступа трафика из виртуальной сети к службам Azure.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Дополнительные сведения о политиках конечных точек служб см. здесь.You can learn more about the service endpoint policies here.

Поддерживает ли Azure Active Directory (Azure AD) конечные точки службы виртуальной сети?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) не поддерживает конечные точки службы изначально.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Полный список служб Azure, поддерживающих конечные точки службы виртуальной сети, можно просмотреть здесь.Complete list of Azure Services supporting VNet service endpoints can be seen here. Обратите внимание, что тег Microsoft. AzureActiveDirectory, указанный в разделе службы, поддерживающие конечные точки службы, используется для поддержки конечных точек службы с ADLS Gen 1.Note that "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. Для ADLS Gen 1 Интеграция виртуальной сети для Azure Data Lake Storage 1-го поколения использует безопасность конечной точки службы виртуальной сети между виртуальной сетью и Azure Active Directory (Azure AD) для создания дополнительных утверждений безопасности в маркере доступа.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Эти утверждения используются для проверки подлинности виртуальной сети в учетной записи ADLS 1-го поколения и для предоставления доступа.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Дополнительные сведения о [Azure Data Lake Store интеграции с виртуальной сетью для поколения 1] (.. /Дата-Лаке-Сторе/Дата-Лаке-Сторе-Нетворк-секурити.МД? TOC =% 2fazure% 2fvirtual — Network% 2ftoc. JSONLearn more about [Azure Data Lake Store Gen 1 VNet Integration](../data-lake-store/data-lake-store-network-security.md?toc=%2fazure%2fvirtual-network%2ftoc.json

Существуют ли какие-либо ограничения на количество конечных точек службы в виртуальной сети, которые я могу настроить из своей виртуальной сети?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Общее количество конечных точек служб в виртуальной сети не ограничено.There is no limit on the total number of VNet service endpoints in a virtual network. Для ресурса службы Azure (например, учетной записи хранения Azure) в службах могут применяться ограничения на количество подсетей, которые используются для защиты ресурса.For an Azure service resource (such as, an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. В следующей таблице приведены примеры некоторых ограничений.The following table shows some example limits:

Служба AzureAzure service Ограничения на правила виртуальной сетиLimits on VNet rules
Служба хранилища AzureAzure Storage 100100
Azure SQLAzure SQL 128128
Хранилище данных SQL AzureAzure SQL Data Warehouse 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Концентратор событий AzureAzure Event Hub 128128
Служебная шина AzureAzure Service Bus 128128
Azure Data Lake Store V1Azure Data Lake Store V1 100100

Примечание

Ограничения могут быть изменены по усмотрению службы Azure.The limits are subjected to changes at the discretion of the Azure service. Чтобы получить подробную информацию о службах, просмотрите соответствующую документацию к службе.Refer to the respective service documentation for services details.