Planera virtuella nätverkPlan virtual networks

Att skapa ett virtuellt nätverk för att experimentera med är tillräckligt, men det är möjligt att du distribuerar flera virtuella nätverk över tid för att stödja produktions behoven i din organisation.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. Med vissa planer kan du distribuera virtuella nätverk och ansluta resurserna som du behöver mer effektivt.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. Informationen i den här artikeln är mest användbar om du redan är van vid virtuella nätverk och har en del erfarenhet av att arbeta med dem.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Om du inte är bekant med virtuella nätverk rekommenderar vi att du läser Översikt över virtuella nätverk.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

NamngivningNaming

Alla Azure-resurser har ett namn.All Azure resources have a name. Namnet måste vara unikt inom ett omfång, vilket kan variera för varje resurs typ.The name must be unique within a scope, that may vary for each resource type. Namnet på ett virtuellt nätverk måste till exempel vara unikt inom en resurs grupp, men kan dupliceras i en prenumeration eller Azure- region.For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Att definiera en namngivnings konvention som du kan använda konsekvent när du namnger resurser är till hjälp när du hanterar flera nätverks resurser över tid.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Förslag finns i namngivnings konventioner.For suggestions, see Naming conventions.

RegionerRegions

Alla Azure-resurser skapas i en Azure-region och prenumeration.All Azure resources are created in an Azure region and subscription. En resurs kan bara skapas i ett virtuellt nätverk som finns i samma region och prenumeration som resursen.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. Du kan dock ansluta virtuella nätverk som finns i olika prenumerationer och regioner.You can however, connect virtual networks that exist in different subscriptions and regions. Mer information finns i anslutning.For more information, see connectivity. När du bestämmer vilka regioner som ska distribuera resurser i bör du tänka på var resurserna för resurserna är fysiskt placerade:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • Konsumenter av resurser vill vanligt vis ha den lägsta nätverks fördröjningen för resurserna.Consumers of resources typically want the lowest network latency to their resources. Information om relativa svars tider mellan en angiven plats och Azure-regioner finns i Visa relativa fördröjningar.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Har du krav på data placering, suveränitet, efterlevnad eller återhämtning?Do you have data residency, sovereignty, compliance, or resiliency requirements? I så fall, är det viktigt att välja den region som motsvarar kraven.If so, choosing the region that aligns to the requirements is critical. Mer information finns i avsnittet om Azure-geografiskaområden.For more information, see Azure geographies.
  • Behöver du återhämtning i Azure-tillgänglighetszoner inom samma Azure-region för de resurser som du distribuerar?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? Du kan distribuera resurser, till exempel virtuella datorer (VM) till olika tillgänglighets zoner inom samma virtuella nätverk.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. Alla Azure-regioner stöder dock inte tillgänglighets zoner.Not all Azure regions support availability zones however. Läs mer om tillgänglighets zoner och de regioner som stöder dem i tillgänglighets zoner.To learn more about availability zones and the regions that support them, see Availability zones.

PrenumerationerSubscriptions

Du kan distribuera så många virtuella nätverk som krävs inom varje prenumeration, upp till gränsen.You can deploy as many virtual networks as required within each subscription, up to the limit. Vissa organisationer har olika prenumerationer för olika avdelningar, till exempel.Some organizations have different subscriptions for different departments, for example. Mer information och överväganden kring prenumerationer finns i prenumerations styrning.For more information and considerations around subscriptions, see Subscription governance.

SegmenteringSegmentation

Du kan skapa flera virtuella nätverk per prenumeration och per region.You can create multiple virtual networks per subscription and per region. Du kan skapa flera undernät i varje virtuellt nätverk.You can create multiple subnets within each virtual network. De överväganden som följer hjälper dig att avgöra hur många virtuella nätverk och undernät du behöver:The considerations that follow help you determine how many virtual networks and subnets you require:

Virtuella nätverkVirtual networks

Ett virtuellt nätverk är en virtuell, isolerad del av det offentliga Azure-nätverket.A virtual network is a virtual, isolated portion of the Azure public network. Varje virtuellt nätverk är dedikerat för din prenumeration.Each virtual network is dedicated to your subscription. Saker att tänka på när du bestämmer om du vill skapa ett virtuellt nätverk eller flera virtuella nätverk i en prenumeration:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Finns det några organisatoriska säkerhets krav för att isolera trafik i separata virtuella nätverk?Do any organizational security requirements exist for isolating traffic into separate virtual networks? Du kan välja att ansluta virtuella nätverk eller inte.You can choose to connect virtual networks or not. Om du ansluter virtuella nätverk kan du implementera en virtuell nätverks installation, till exempel en brand vägg, för att styra trafik flödet mellan de virtuella nätverken.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Mer information finns i säkerhet och anslutning.For more information, see security and connectivity.
  • Finns det några organisatoriska krav för att isolera virtuella nätverk i separata prenumerationer eller regioner?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Ett nätverks gränssnitt gör det möjligt för en virtuell dator att kommunicera med andra resurser.A network interface enables a VM to communicate with other resources. Varje nätverks gränssnitt har tilldelats en eller flera privata IP-adresser.Each network interface has one or more private IP addresses assigned to it. Hur många nätverks gränssnitt och privata IP-adresser behöver du i ett virtuellt nätverk?How many network interfaces and private IP addresses do you require in a virtual network? Det finns begränsningar för antalet nätverks gränssnitt och privata IP-adresser som du kan ha i ett virtuellt nätverk.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • Vill du ansluta det virtuella nätverket till ett annat virtuellt nätverk eller lokalt nätverk?Do you want to connect the virtual network to another virtual network or on-premises network? Du kan välja att ansluta några virtuella nätverk till varandra eller lokala nätverk, men inte andra.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Mer information finns i anslutning.For more information, see connectivity. Varje virtuellt nätverk som du ansluter till ett annat virtuellt nätverk eller lokalt nätverk måste ha ett unikt adress utrymme.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Varje virtuellt nätverk har ett eller flera offentliga eller privata adress intervall tilldelade till sitt adress utrymme.Each virtual network has one or more public or private address ranges assigned to its address space. Ett adress intervall anges i CIDR-format (Classless Internet Domain routing), till exempel 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Lär dig mer om adress intervall för virtuella nätverk.Learn more about address ranges for virtual networks.
  • Har du några organisations administrations krav för resurser i olika virtuella nätverk?Do you have any organizational administration requirements for resources in different virtual networks? I så fall kan du dela upp resurser i ett separat virtuellt nätverk för att förenkla behörighets tilldelningen till enskilda användare i din organisation eller för att tilldela olika principer till olika virtuella nätverk.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • När du distribuerar vissa Azure-tjänsteresurser till ett virtuellt nätverk skapar de ett eget virtuellt nätverk.When you deploy some Azure service resources into a virtual network, they create their own virtual network. För att avgöra om en Azure-tjänst skapar ett eget virtuellt nätverk, se information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

UndernätSubnets

Ett virtuellt nätverk kan segmenteras i ett eller flera undernät upp till gränserna.A virtual network can be segmented into one or more subnets up to the limits. Saker att tänka på när du bestämmer om du vill skapa ett undernät eller flera virtuella nätverk i en prenumeration:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Varje undernät måste ha ett unikt adress intervall, angivet i CIDR-format, inom det virtuella nätverkets adress utrymme.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. Adress intervallet får inte överlappa andra undernät i det virtuella nätverket.The address range cannot overlap with other subnets in the virtual network.
  • Om du planerar att distribuera vissa Azure-tjänsteresurser till ett virtuellt nätverk kan de behöva eller skapa ett eget undernät, så det måste finnas tillräckligt mycket ledigt utrymme för att de ska kunna göra det.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. För att avgöra om en Azure-tjänst skapar ett eget undernät, se information för varje Azure-tjänst som kan distribueras till ett virtuellt nätverk.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Om du till exempel ansluter ett virtuellt nätverk till ett lokalt nätverk med hjälp av ett Azure-VPN Gateway måste det virtuella nätverket ha ett dedikerat undernät för gatewayen.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Läs mer om Gateway-undernät.Learn more about gateway subnets.
  • Azure dirigerar nätverks trafik mellan alla undernät i ett virtuellt nätverk som standard.Azure routes network traffic between all subnets in a virtual network, by default. Du kan åsidosätta Azures standardroutning för att förhindra Azure-routning mellan undernät eller för att dirigera trafik mellan undernät via en virtuell nätverks installation, till exempel.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Om du behöver trafik mellan resurser i samma virtuella nätverks flöde via en virtuell nätverks installation (NVA) distribuerar du resurserna till olika undernät.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Läs mer i säkerhet.Learn more in security.
  • Du kan begränsa åtkomsten till Azure-resurser, till exempel ett Azure Storage-konto eller Azure SQL Database, till vissa undernät med en tjänst slut punkt för virtuella nätverk.You can limit access to Azure resources such as an Azure storage account or Azure SQL Database, to specific subnets with a virtual network service endpoint. Dessutom kan du neka åtkomst till resurserna från Internet.Further, you can deny access to the resources from the internet. Du kan skapa flera undernät och aktivera en tjänst slut punkt för vissa undernät, men inte andra.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Läs mer om tjänst slut punkteroch de Azure-resurser som du kan aktivera dem för.Learn more about service endpoints, and the Azure resources you can enable them for.
  • Du kan koppla noll eller en nätverks säkerhets grupp till varje undernät i ett virtuellt nätverk.You can associate zero or one network security group to each subnet in a virtual network. Du kan associera samma eller en annan nätverks säkerhets grupp till varje undernät.You can associate the same, or a different, network security group to each subnet. Varje nätverks säkerhets grupp innehåller regler som tillåter eller nekar trafik till och från källor och mål.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Läs mer om nätverks säkerhets grupper.Learn more about network security groups.

SäkerhetSecurity

Du kan filtrera nätverks trafik till och från resurser i ett virtuellt nätverk med hjälp av nätverks säkerhets grupper och virtuella nätverks enheter.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. Du kan styra hur Azure dirigerar trafik från undernät.You can control how Azure routes traffic from subnets. Du kan också begränsa vem i din organisation som kan arbeta med resurser i virtuella nätverk.You can also limit who in your organization can work with resources in virtual networks.

TrafikfiltreringTraffic filtering

  • Du kan filtrera nätverks trafik mellan resurser i ett virtuellt nätverk med hjälp av en nätverks säkerhets grupp, en NVA som filtrerar nätverks trafik eller både och.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Om du vill distribuera en NVA, till exempel en brand vägg, för att filtrera nätverks trafik, se Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. När du använder en NVA kan du också skapa anpassade vägar för att dirigera trafik från undernät till NVA.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Läs mer om trafik dirigering.Learn more about traffic routing.
  • En nätverks säkerhets grupp innehåller flera standard säkerhets regler som tillåter eller nekar trafik till och från resurser.A network security group contains several default security rules that allow or deny traffic to or from resources. En nätverks säkerhets grupp kan kopplas till ett nätverks gränssnitt, under nätet som nätverks gränssnittet finns i eller både och.A network security group can be associated to a network interface, the subnet the network interface is in, or both. För att förenkla hanteringen av säkerhets regler rekommenderar vi att du kopplar en nätverks säkerhets grupp till enskilda undernät, i stället för enskilda nätverks gränssnitt inom under nätet, närhelst det är möjligt.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Om olika virtuella datorer i ett undernät behöver olika säkerhets regler, kan du associera nätverks gränssnittet i den virtuella datorn med en eller flera program säkerhets grupper.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. En säkerhets regel kan ange en program säkerhets grupp i dess källa, mål eller både och.A security rule can specify an application security group in its source, destination, or both. Regeln gäller sedan bara för de nätverks gränssnitt som är medlemmar i program säkerhets gruppen.That rule then only applies to the network interfaces that are members of the application security group. Lär dig mer om nätverks säkerhets grupper och program säkerhets grupper.Learn more about network security groups and application security groups.
  • Azure skapar flera standard säkerhets regler inom varje nätverks säkerhets grupp.Azure creates several default security rules within each network security group. Med en standard regel kan all trafik flöda mellan alla resurser i ett virtuellt nätverk.One default rule allows all traffic to flow between all resources in a virtual network. Om du vill åsidosätta det här beteendet använder du nätverks säkerhets grupper, anpassad routning för att dirigera trafik till en NVA eller både och.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Vi rekommenderar att du bekantar dig med alla Standard säkerhets regler för Azure och förstår hur regler för nätverks säkerhets grupper tillämpas på en resurs.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

Du kan visa exempel design för att implementera ett perimeternätverk (kallas även DMZ) mellan Azure och Internet med en NVA.You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

Trafik dirigeringTraffic routing

Azure skapar flera standard vägar för utgående trafik från ett undernät.Azure creates several default routes for outbound traffic from a subnet. Du kan åsidosätta Azures standardroutning genom att skapa en routningstabell och associera den till ett undernät.You can override Azure's default routing by creating a route table and associating it to a subnet. Vanliga orsaker till att åsidosätta Azures standardroutning är:Common reasons for overriding Azure's default routing are:

  • Eftersom du vill att trafiken mellan undernät ska flöda genom en NVA.Because you want traffic between subnets to flow through an NVA. Mer information om hur du konfigurerar routningstabeller för att tvinga trafik genom en NVA.To learn more about how to configure route tables to force traffic through an NVA.
  • Eftersom du vill tvinga all Internet-baserad trafik via en NVA, eller lokalt, via en Azure VPN-gateway.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Att tvinga Internet trafik lokalt för inspektion och loggning kallas ofta för Tvingad tunnel trafik.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Läs mer om hur du konfigurerar Tvingad tunnel trafik.Learn more about how to configure forced tunneling.

Om du behöver implementera anpassad routning rekommenderar vi att du bekantar dig med routning i Azure.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

AnslutningarConnectivity

Du kan ansluta ett virtuellt nätverk till andra virtuella nätverk med hjälp av peering för virtuella nätverk eller till ditt lokala nätverk med hjälp av en Azure VPN-gateway.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

PeeringPeering

När du använder peering av virtuella nätverkkan de virtuella nätverken vara i samma, eller olika, Azure-regioner som stöds.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. De virtuella nätverken kan finnas i samma eller olika Azure-prenumerationer (även prenumerationer som tillhör olika Azure Active Directory klienter).The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). Innan du skapar en peering rekommenderar vi att du bekantar dig med alla peering- krav och begränsningar.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. Bandbredd mellan resurser i virtuella nätverk som är peer-kopplat i samma region är samma som om resurserna fanns i samma virtuella nätverk.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

VPN gatewayVPN gateway

Du kan använda en Azure- VPN gateway för att ansluta ett virtuellt nätverk till ditt lokala nätverk med en plats-till-plats-VPN, eller genom att använda en särskild anslutning med Azure ExpressRoute.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

Du kan kombinera peering och en VPN-gateway för att skapa Hubbs-och eker-nätverk, där ekrar virtuella nätverk ansluter till ett virtuellt hubb nätverk, och hubben ansluter till ett lokalt nätverk, till exempel.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

NamnmatchningName resolution

Resurser i ett virtuellt nätverk kan inte matcha namnen på resurserna i ett peer-kopplat virtuellt nätverk med hjälp av Azures inbyggda DNS.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Om du vill matcha namn i ett peer-kopplat virtuellt nätverk distribuerar du din egen DNS-Servereller använder Azure DNS privata domäner.To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. Att matcha namn mellan resurser i ett virtuellt nätverk och lokala nätverk kräver också att du distribuerar din egen DNS-server.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

BehörigheterPermissions

Azure använder Azures rollbaserad åtkomst kontroll (Azure RBAC) för resurser.Azure utilizes Azure role-based access control (Azure RBAC) to resources. Behörigheter tilldelas en omfattning i följande hierarki: hanterings grupp, prenumeration, resurs grupp och enskild resurs.Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. Mer information om hierarkin finns i ordna dina resurser.To learn more about the hierarchy, see Organize your resources. Om du vill arbeta med virtuella Azure-nätverk och alla tillhör ande funktioner, till exempel peering, nätverks säkerhets grupper, tjänst slut punkter och routningstabeller, kan du tilldela medlemmar i din organisation till den inbyggda rollen ägare, deltagareeller nätverks deltagare och sedan tilldela rollen till lämplig omfattning.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Om du vill tilldela specifika behörigheter för en delmängd av funktioner för virtuella nätverk skapar du en anpassad roll och tilldelar de specifika behörigheter som krävs för virtuella nätverk, undernät och tjänst slut punkter, nätverks gränssnitt, peering, nätverks-och program säkerhets gruppereller väg tabeller till rollen.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

PolicyPolicy

Med Azure Policy kan du skapa, tilldela och hantera princip definitioner.Azure Policy enables you to create, assign, and manage policy definitions. Princip definitioner tillämpar olika regler för dina resurser, så att resurserna förblir kompatibla med organisationens standarder och service avtal.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Azure Policy kör en utvärdering av dina resurser och söker efter resurser som inte är kompatibla med de princip definitioner som du har.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. Du kan till exempel definiera och tillämpa en princip som gör det möjligt att skapa virtuella nätverk i endast en speciell resurs grupp eller region.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. En annan princip kan kräva att varje undernät har en nätverks säkerhets grupp som är kopplad till den.Another policy can require that every subnet has a network security group associated to it. Principerna utvärderas sedan när du skapar och uppdaterar resurser.The policies are then evaluated when creating and updating resources.

Principer tillämpas på följande hierarki: hanterings grupp, prenumeration och resurs grupp.Policies are applied to the following hierarchy: management group, subscription, and resource group. Läs mer om hur du Azure policy eller distribuerar några Azure policy definitionerför virtuella nätverk.Learn more about Azure Policy or deploy some virtual network Azure Policy definitions.

Nästa stegNext steps

Lär dig mer om alla aktiviteter, inställningar och alternativ för ett virtuellt nätverk, undernät och tjänst slut punkt, nätverks gränssnitt, peering, nätverks-och program säkerhets gruppeller routningstabell.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.