Distribuera dedikerade Azure-tjänster i virtuella nätverk
När du distribuerar dedikerade Azure-tjänster i ett virtuelltnätverk kan du kommunicera med tjänstresurserna privat via privata IP-adresser.
Distribution av tjänster i ett virtuellt nätverk ger följande funktioner:
- Resurser i det virtuella nätverket kan kommunicera med varandra privat via privata IP-adresser. Exempel: direkt överföring av data mellan HDInsight och SQL Server körs på en virtuell dator i det virtuella nätverket.
- Lokala resurser kan komma åt resurser i ett virtuellt nätverk med hjälp av privata IP-adresser via vpn för plats-till-plats (VPN Gateway) eller ExpressRoute.
- Virtuella nätverk kan peer-användas för att göra det möjligt för resurser i de virtuella nätverken att kommunicera med varandra med hjälp av privata IP-adresser.
- Tjänstinstanser i ett virtuellt nätverk hanteras vanligtvis helt av Azure-tjänsten. Detta omfattar övervakning av resursernas hälsotillstånd och skalning med belastning.
- Tjänstinstanser distribueras till ett undernät i ett virtuellt nätverk. Inkommande och utgående nätverksåtkomst för undernätet måste öppnas via nätverkssäkerhetsgrupper,enligt vägledningen i tjänsten.
- Vissa tjänster har också begränsningar för det undernät som de distribueras i, vilket begränsar tillämpningen av principer, vägar eller kombination av virtuella datorer och tjänstresurser inom samma undernät. Kontrollera med varje tjänst om de specifika begränsningarna eftersom de kan ändras med tiden. Exempel på sådana tjänster är Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
- Tjänster kan också kräva ett delegerat undernät som en explicit identifierare som ett undernät kan vara värd för en viss tjänst. Genom att delegera får tjänster explicita behörigheter att skapa tjänstspecifika resurser i det delegerade undernätet.
- Se ett exempel på ett REST API svar på ett virtuellt nätverk med ett delegerat undernät. En omfattande lista över tjänster som använder den delegerade undernätsmodellen kan hämtas via API:et för tillgängliga delegeringar.
Tjänster som kan distribueras till ett virtuellt nätverk
| Kategori | Tjänst | Dedikerad1 undernät |
|---|---|---|
| Compute | Virtuella datorer: Linux eller Windows VM-skalningsuppsättningar Molntjänst:Endast virtuellt nätverk (klassisk) Azure Batch |
Inga Inga Inga Nej2 |
| Nätverk | Application Gateway – WAF VPN Gateway Azure Firewall Azure Bastion Virtuella nätverksapparater |
Ja Ja Ja Ja Inga |
| Data | RedisCache Hanterad Azure SQL-instans |
Ja Ja |
| Analys | Azure HDInsight Azure Databricks |
Nej2 Nej2 |
| Identitet | Azure Active Directory Domain Services | No |
| Containers | Azure Kubernetes Service (AKS) Azure Container Instance (ACI) Azure Container Service Engine med Azure Virtual Network CNI-plugin-program Azure Functions |
Nej2 Ja Inga Ja |
| Webben | API Management Web Apps App Service-miljön Azure Logic Apps |
Ja Ja Ja Ja |
| Värdbaserad | Azure Dedicated HSM Azure NetApp Files |
Ja Ja |
| Azure Spring Cloud | Distribuera i ett virtuellt Azure-nätverk (VNet- injection) |
Yes |
1 "Dedikerad" innebär att endast tjänstspecifika resurser kan distribueras i det här undernätet och inte kan kombineras med kundens virtuella dator/VMSS
2 Det rekommenderas som bästa praxis att ha dessa tjänster i ett dedikerat undernät, men inte ett obligatoriskt krav som införts av tjänsten.