Vanliga frågor och svar (FAQ) om Azure Virtual Network
Virtual Network grunderna
Vad är ett Azure Virtual Network (VNet)?
En Azure Virtual Network (VNet) är en representation av ditt eget nätverk i molnet. Det är en logisk isolering av Azure-molnet dedikerad till din prenumeration. Du kan använda virtuella nätverk för att etablera och hantera virtuella privata nätverk (VPN) i Azure och, om du vill, länka de virtuella nätverken till andra virtuella nätverk i Azure eller med din lokala IT-infrastruktur för att skapa hybridlösningar eller lösningar mellan olika platser. Varje VNet som du skapar har ett eget CIDR-block och kan länkas till andra virtuella nätverk och lokala nätverk så länge CIDR-blocken inte överlappar varandra. Du har också kontroll över DNS-serverinställningarna för virtuella nätverk och segmentering av det virtuella nätverket i undernät.
Använd virtuella nätverk för att:
Skapa ett dedikerat privat moln endast VNet. Ibland behöver du inte en konfiguration på flera platser för din lösning. När du skapar ett VNet kan dina tjänster och virtuella datorer i ditt VNet kommunicera direkt och säkert med varandra i molnet. Du kan fortfarande konfigurera slutpunktsanslutningar för de virtuella datorer och tjänster som kräver Internetkommunikation som en del av din lösning.
Utöka ditt datacenter på ett säkert sätt. Med virtuella nätverk kan du skapa traditionella S2S-VPN:er (plats-till-plats) för att på ett säkert sätt skala datacenterkapaciteten. S2S VPN:er använder IPSEC för att tillhandahålla en säker anslutning mellan företagets VPN-gateway och Azure.
Aktivera hybridmolnscenarier. Med virtuella nätverk får du flexibiliteten att stödja en mängd olika hybridmolnscenarier. Du kan ansluta molnbaserade program på ett säkert sätt till alla typer av lokala system, till exempel stordatorer och Unix-system.
Hur kommer jag igång?
Gå till dokumentationen för virtuella nätverk för att komma igång. Det här innehållet ger översikt och distributionsinformation för alla VNet-funktioner.
Kan jag använda virtuella nätverk utan anslutning mellan flera platser?
Ja. Du kan använda ett VNet utan att ansluta det till ditt lokala nätverk. Du kan till exempel köra Microsoft Windows Server Active Directory domänkontrollanter och SharePoint i ett azure-VNet.
Kan jag utföra WAN-optimering mellan virtuella nätverk eller ett VNet och mitt lokala datacenter?
Ja. Du kan distribuera en virtuell nätverksinstallation för WAN-optimering från flera leverantörer via Azure Marketplace.
Konfiguration
Vilka verktyg använder jag för att skapa ett VNet?
Du kan använda följande verktyg för att skapa eller konfigurera ett VNet:
- Azure Portal
- PowerShell
- Azure CLI
- En nätverkskonfigurationsfil (netcfg – endast för klassiska virtuella nätverk). Se artikeln Konfigurera ett VNet med hjälp av en nätverkskonfigurationsfil.
Vilka adressintervall kan jag använda i mina virtuella nätverk?
Vi rekommenderar att du använder de adressintervall som räknas upp i RFC 1918, som har reserverats av IETF för privata, icke-dirigerbara adressutrymmen:
- 10.0.0.0 – 10.255.255.255 (prefixet 10/8)
- 172.16.0.0 – 172.31.255.255 (prefixet 172.16/12)
- 192.168.0.0 – 192.168.255.255 (prefixet 192.168/16)
Andra adressutrymmen kan fungera men kan ha oönskade sidoeffekter.
Dessutom kan du inte lägga till följande adressintervall:
- 224.0.0.0/4 (Multicast)
- 255.255.255.255/32 (sändning)
- 127.0.0.0/8 (Loopback)
- 169.254.0.0/16 (länk-lokal)
- 168.63.129.16/32 (intern DNS)
Kan jag ha offentliga IP-adresser i mina virtuella nätverk?
Ja. Mer information om offentliga IP-adressintervall finns i Skapa ett virtuellt nätverk. Offentliga IP-adresser är inte direkt åtkomliga från Internet.
Finns det någon gräns för antalet undernät i mitt VNet?
Ja. Mer information finns i Azure-gränser. Adressutrymmen för undernät får inte överlappa varandra.
Finns det några begränsningar för användning av IP-adresser i dessa undernät?
Ja. Azure reserverar 5 IP-adresser i varje undernät. Det här är x.x.x.0-x.x.x.3 och undernätets sista adress. x.x.x.1-x.x.x.3 är reserverat i varje undernät för Azure-tjänster.
- x.x.x.0: Nätverksadress
- x.x.x.1: Reserverad av Azure för standardgatewayen
- x.x.x.2, x.x.x.3: Reserverad av Azure för att mappa Azure DNS-IP-adresser till VNet-utrymmet
- x.x.x.255: Nätverkssändningsadress för undernät med storleken /25 och större. Det här är en annan adress i mindre undernät.
Hur små och stora kan virtuella nätverk och undernät vara?
Det minsta IPv4-undernät som stöds är /29 och störst är /2 (med CIDR-undernätsdefinitioner). IPv6-undernät måste vara exakt /64 i storlek.
Kan jag ta mina VLAN till Azure med hjälp av virtuella nätverk?
Nej. Virtuella nätverk är Layer-3-överlägg. Azure stöder inte någon Layer-2-semantik.
Kan jag ange anpassade routningsprinciper på mina virtuella nätverk och undernät?
Ja. Du kan skapa en vägtabell och associera den med ett undernät. Mer information om routning i Azure finns i Routningsöversikt.
Stöder virtuella nätverk multicast eller broadcast?
Nej. Multicast och broadcast stöds inte.
Vilka protokoll kan jag använda i virtuella nätverk?
Du kan använda TCP-, UDP- och ICMP TCP/IP-protokoll i virtuella nätverk. Unicast stöds i virtuella nätverk, med undantag för Dynamic Host Configuration Protocol (DHCP) via Unicast (UDO-källport 68 och UDP-målport 67) och UDP-källport 65330 som är reserverad för värden. Multicast-, broadcast-, IP-in-IP-kapslade paket och GRE-paket (Generic Routing Encapsulation) blockeras i virtuella nätverk.
Kan jag pinga mina standardroutrar i ett VNet?
Nej.
Kan jag använda tracert för att diagnostisera anslutningen?
Nej.
Kan jag lägga till undernät när det virtuella nätverket har skapats?
Ja. Undernät kan läggas till i virtuella nätverk när som helst så länge adressintervallet för undernätet inte ingår i ett annat undernät och det finns tillgängligt utrymme kvar i det virtuella nätverkets adressintervall.
Kan jag ändra storleken på mitt undernät när jag har skapat det?
Ja. Du kan lägga till, ta bort, expandera eller krympa ett undernät om inga virtuella datorer eller tjänster är distribuerade i det.
Kan jag ändra VNet när jag har skapat dem?
Ja. Du kan lägga till, ta bort och ändra de CIDR-block som används av ett VNet.
Kan jag ansluta till Internet om jag kör mina tjänster i ett VNet?
Ja. Alla tjänster som distribueras i ett VNet kan ansluta utgående till Internet. Mer information om utgående Internetanslutningar i Azure finns i Utgående anslutningar. Om du vill ansluta inkommande till en resurs som distribueras via Resource Manager måste resursen ha en tilldelad offentlig IP-adress. Mer information om offentliga IP-adresser finns i Offentliga IP-adresser. Varje Azure-molntjänst som distribueras i Azure har en offentligt adresserbar VIP tilldelad till sig. Du definierar indataslutpunkter för PaaS-roller och slutpunkter för virtuella datorer så att dessa tjänster kan acceptera anslutningar från Internet.
Stöder virtuella nätverk IPv6?
Ja, virtuella nätverk kan vara endast IPv4 eller dubbla stackar (IPv4 + IPv6). Mer information finns i Översikt över IPv6 för virtuella Azure-nätverk.
Kan ett VNet omfatta regioner?
Nej. Ett VNet är begränsat till en enda region. Ett virtuellt nätverk omfattar dock tillgänglighetszoner. Mer information om tillgänglighetszoner finns i Översikt över tillgänglighetszoner. Du kan ansluta virtuella nätverk i olika regioner med peering för virtuella nätverk. Mer information finns i Översikt över peering för virtuella nätverk
Kan jag ansluta ett VNet till ett annat VNet i Azure?
Ja. Du kan ansluta ett VNet till ett annat VNet med hjälp av antingen:
- Peering för virtuella nätverk: Mer information finns i Översikt över VNet-peering
- En Azure VPN Gateway: Mer information finns i Konfigurera en VNet-till-VNet-anslutning.
Namnmatchning (DNS)
Vilka DNS-alternativ har jag för virtuella nätverk?
Använd beslutstabellen på sidan Namnmatchning för virtuella datorer och rollinstanser för att vägleda dig genom alla tillgängliga DNS-alternativ.
Kan jag ange DNS-servrar för ett VNet?
Ja. Du kan ange IP-adresser för DNS-server i inställningarna för det virtuella nätverket. Inställningen tillämpas som DNS-standardservrar för alla virtuella datorer i det virtuella nätverket.
Hur många DNS-servrar kan jag ange?
Referera till Azure-gränser.
Kan jag ändra mina DNS-servrar när jag har skapat nätverket?
Ja. Du kan när som helst ändra DNS-serverlistan för ditt VNet. Om du ändrar dns-serverlistan måste du förnya DHCP-lånet på alla berörda virtuella datorer i det virtuella nätverket för att de nya DNS-inställningarna ska gälla. För virtuella datorer som Windows operativsystem kan du göra detta genom att skriva ipconfig /renew direkt på den virtuella datorn. För andra os-typer kan du läsa dokumentationen om förnyelse av DHCP-lån för den specifika OS-typen.
Vad är DNS som tillhandahålls av Azure och fungerar det med virtuella nätverk?
Azure-tillhandahållen DNS är en DNS-tjänst för flera innehavare som erbjuds av Microsoft. Azure registrerar alla dina virtuella datorer och molntjänstrollinstanser i den här tjänsten. Den här tjänsten tillhandahåller namnmatchning efter värdnamn för virtuella datorer och rollinstanser som finns i samma molntjänst och av FQDN för virtuella datorer och rollinstanser i samma virtuella nätverk. Mer information om DNS finns i Namnmatchning för virtuella datorer och Cloud Services-rollinstanser.
Det finns en begränsning till de första 100 molntjänsterna i ett VNet för namnmatchning mellan klientorganisationen med hjälp av Azure-tillhandahållen DNS. Om du använder en egen DNS-server gäller inte den här begränsningen.
Kan jag åsidosätta mina DNS-inställningar per virtuell dator eller molntjänst?
Ja. Du kan ange DNS-servrar per virtuell dator eller molntjänst för att åsidosätta standardnätverksinställningarna. Vi rekommenderar dock att du använder nätverksomfattande DNS så mycket som möjligt.
Kan jag använda mitt eget DNS-suffix?
Nej. Du kan inte ange ett anpassat DNS-suffix för dina virtuella nätverk.
Ansluta virtuella datorer
Kan jag distribuera virtuella datorer till ett VNet?
Ja. Alla nätverksgränssnitt (NIC) som är anslutna till en virtuell dator som distribueras via Resource Manager-distributionsmodellen måste vara anslutna till ett virtuellt nätverk. Virtuella datorer som distribueras via den klassiska distributionsmodellen kan eventuellt anslutas till ett VNet.
Vilka olika typer av IP-adresser kan jag tilldela till virtuella datorer?
Privat: Tilldelas till varje nätverkskort i varje virtuell dator. Adressen tilldelas med antingen den statiska eller dynamiska metoden. Privata IP-adresser tilldelas från det intervall som du angav i undernätsinställningarna för ditt VNet. Resurser som distribueras via den klassiska distributionsmodellen tilldelas privata IP-adresser, även om de inte är anslutna till ett VNet. Allokeringsmetodens beteende varierar beroende på om en resurs har distribuerats med den Resource Manager eller den klassiska distributionsmodellen:
- Resource Manager: En privat IP-adress som tilldelats med den dynamiska eller statiska metoden förblir tilldelad till en virtuell dator (Resource Manager) tills resursen tas bort. Skillnaden är att du väljer den adress som ska tilldelas när du använder statisk, och Azure väljer när du använder dynamisk.
- Klassisk: En privat IP-adress som tilldelas med den dynamiska metoden kan ändras när en virtuell dator (klassisk) virtuell dator startas om efter att ha varit i stoppat (frisatt) tillstånd. Om du behöver se till att den privata IP-adressen för en resurs som distribueras via den klassiska distributionsmodellen aldrig ändras tilldelar du en privat IP-adress med den statiska metoden.
Offentliga: Alternativt tilldelas till nätverkskort som är anslutna till virtuella datorer som distribuerats via Azure Resource Manager distributionsmodellen. Adressen kan tilldelas med den statiska eller dynamiska allokeringsmetoden. Alla virtuella datorer och Cloud Services-rollinstanser som distribueras via den klassiska distributionsmodellen finns i en molntjänst som tilldelas en dynamisk , offentlig virtuell IP-adress (VIP). En offentlig statisk IP-adress, som kallas en Reserverad IP-adress,kan eventuellt tilldelas som en VIP. Du kan tilldela offentliga IP-adresser till enskilda virtuella datorer eller Cloud Services rollinstanser som distribuerats via den klassiska distributionsmodellen. De här adresserna kallas för ILPIP-adresser (Instance Level Public IP) och kan tilldelas dynamiskt.
Kan jag reservera en privat IP-adress för en virtuell dator som jag skapar vid ett senare tillfälle?
Nej. Du kan inte reservera en privat IP-adress. Om en privat IP-adress är tillgänglig tilldelas den till en virtuell dator eller rollinstans av DHCP-servern. Den virtuella datorn kanske eller inte är den som du vill tilldela den privata IP-adressen. Du kan dock ändra den privata IP-adressen för en redan skapad virtuell dator till valfri tillgänglig privat IP-adress.
Ändras privata IP-adresser för virtuella datorer i ett VNet?
Det beror på. Om den virtuella datorn har distribuerats via Resource Manager, nej, oavsett om IP-adressen har tilldelats med den statiska eller dynamiska allokeringsmetoden. Om den virtuella datorn har distribuerats via den klassiska distributionsmodellen kan dynamiska IP-adresser ändras när en virtuell dator startas efter att ha varit i stoppat (frisatt) tillstånd. Adressen frisläpps från en virtuell dator som distribueras via någon av distributionsmodellerna när den virtuella datorn tas bort.
Kan jag tilldela IP-adresser till nätverkskort manuellt i operativsystemet för den virtuella datorn?
Ja, men det rekommenderas inte om det inte behövs, till exempel när du tilldelar flera IP-adresser till en virtuell dator. Mer information finns i Lägga till flera IP-adresser till en virtuell dator. Om IP-adressen som tilldelats till ett Azure-nätverkskort som är kopplat till en virtuell dator ändras och IP-adressen i operativsystemet för den virtuella datorn är annorlunda, förlorar du anslutningen till den virtuella datorn.
Vad händer med mina IP-adresser om jag stoppar ett distributionsfack för molntjänsten eller stänger av en virtuell dator från operativsystemet?
Ingenstans. IP-adresserna (offentlig VIP, offentlig och privat) förblir tilldelade till molntjänstens distributionsfack eller virtuella dator.
Kan jag flytta virtuella datorer från ett undernät till ett annat undernät i ett VNet utan att omdistribuera?
Ja. Mer information finns i artikeln Så här flyttar du en virtuell dator eller rollinstans till ett annat undernät.
Kan jag konfigurera en statisk MAC-adress för min virtuella dator?
Nej. En MAC-adress kan inte konfigureras statiskt.
Förblir MAC-adressen densamma för min virtuella dator när den har skapats?
Ja, MAC-adressen är densamma för en virtuell dator som distribueras via både Resource Manager och klassiska distributionsmodeller tills den tas bort. Tidigare släpptes MAC-adressen om den virtuella datorn stoppades (frisläppts), men nu behålls MAC-adressen även när den virtuella datorn är i frisläppt tillstånd. MAC-adressen förblir tilldelad till nätverksgränssnittet tills nätverksgränssnittet tas bort eller den privata IP-adressen som tilldelats den primära IP-konfigurationen för det primära nätverksgränssnittet ändras.
Kan jag ansluta till Internet från en virtuell dator i ett virtuellt nätverk?
Ja. Alla virtuella datorer och Cloud Services-rollinstanser som distribueras i ett VNet kan ansluta till Internet.
Azure-tjänster som ansluter till virtuella nätverk
Kan jag använda Azure App Service Web Apps med ett VNet?
Ja. Du kan distribuera Web Apps i ett VNet med hjälp av en ASE (App Service-miljön), ansluta dina appars backend till dina virtuella nätverk med VNet-integrering och låsa inkommande trafik till din app med tjänstslutpunkter. Mer information finns i följande artiklar:
- App Service nätverksfunktioner
- Skapa Web Apps i en App Service-miljön
- Integrera en app med Azure Virtual Network
- App Service åtkomstbegränsningar
Kan jag distribuera Cloud Services med webb- och arbetsroller (PaaS) i ett VNet?
Ja. Du kan (valfritt) Cloud Services distribuera rollinstanser inom virtuella nätverk. Det gör du genom att ange VNet-namnet och roll-/undernätsmappningarna i nätverkskonfigurationsavsnittet i tjänstkonfigurationen. Du behöver inte uppdatera några av dina binärfiler.
Kan jag ansluta en VM-skalningsuppsättning till ett virtuellt nätverk?
Ja. Du måste ansluta en VM-skalningsuppsättning till ett virtuellt nätverk.
Finns det en fullständig lista över Azure-tjänster som jag kan distribuera resurser från till ett VNet?
Ja, mer information finns i Integrering av virtuella nätverk för Azure-tjänster.
Hur begränsar jag åtkomsten till Azure PaaS-resurser från ett VNet?
Resurser som distribueras via vissa Azure PaaS-tjänster (till exempel Azure Storage och Azure SQL Database) kan begränsa nätverksåtkomsten till VNet genom att använda tjänstslutpunkter för virtuellt nätverk eller Azure Private Link. Mer information finns i Översikt över tjänstslutpunkter för virtuellt nätverkAzure Private Link översikt
Kan jag flytta mina tjänster till och från virtuella nätverk?
Nej. Du kan inte flytta tjänster till och från virtuella nätverk. Om du vill flytta en resurs till ett annat VNet måste du ta bort och distribuera om resursen.
Säkerhet
Vad är säkerhetsmodellen för virtuella nätverk?
Virtuella nätverk är isolerade från varandra och andra tjänster som finns i Azure-infrastrukturen. Ett VNet är en förtroendegräns.
Kan jag begränsa flödet för inkommande eller utgående trafik till VNet-anslutna resurser?
Ja. Du kan använda nätverkssäkerhetsgrupper för enskilda undernät i ett VNet, nätverkskort som är kopplade till ett VNet eller båda.
Kan jag implementera en brandvägg mellan VNet-anslutna resurser?
Ja. Du kan distribuera en virtuell brandväggsnätverksinstallation från flera leverantörer via Azure Marketplace.
Finns det information om att skydda virtuella nätverk?
Ja. Mer information finns i Azure Network säkerhetsöversikt.
Lagrar virtuella nätverk kunddata?
Nej. Virtuella nätverk lagrar inga kunddata.
Kan jag ange egenskapen FlowTimeoutInMinutes för en hel prenumeration?
Nej. Detta måste anges i det virtuella nätverket. Följande kan hjälpa dig att automatisera inställningen av den här egenskapen för större prenumerationer:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API:er, scheman och verktyg
Kan jag hantera virtuella nätverk från kod?
Ja. Du kan använda REST-API:er för virtuella nätverk i Azure Resource Manager och klassiska distributionsmodeller.
Finns det verktygsstöd för virtuella nätverk?
Ja. Läs mer om hur du använder:
- Det Azure Portal att distribuera virtuella nätverk via de Azure Resource Manager och klassiska distributionsmodellerna.
- PowerShell för att hantera virtuella nätverk som distribueras via Resource Manager och klassiska distributionsmodeller.
- Azures kommandoradsgränssnitt (CLI) för att distribuera och hantera virtuella nätverk som distribueras via Resource Manager och klassiska distributionsmodeller.
VNet-peering
Vad är VNet-peering?
Med VNet-peering (eller peering för virtuella nätverk) kan du ansluta virtuella nätverk. Med en VNet-peeringanslutning mellan virtuella nätverk kan du dirigera trafik mellan dem privat via IPv4-adresser. Virtuella datorer i peer-ade virtuella nätverk kan kommunicera med varandra som om de vore inom samma nätverk. Dessa virtuella nätverk kan finnas i samma region eller i olika regioner (kallas även global VNet-peering). VNet-peering-anslutningar kan också skapas mellan Azure-prenumerationer.
Kan jag skapa en peering-anslutning till ett VNet i en annan region?
Ja. Med global VNet-peering kan du peer-peer-använda virtuella nätverk i olika regioner. Global VNet-peering är tillgängligt i alla offentliga Azure-regioner, Molnregioner i Kina och Government-molnregioner. Du kan inte peer-användas globalt från offentliga Azure-regioner till nationella molnregioner.
Vilka begränsningar gäller global VNet-peering och lastbalanserare?
Om de två virtuella nätverken i två olika regioner peer-kopplas via global VNet-peering kan du inte ansluta till resurser som finns bakom en Grundläggande Load Balancer via IP-adressen för Load Balancer. Den här begränsningen finns inte för en Standard Load Balancer. Följande resurser kan använda Grundläggande lastbalanserare, vilket innebär att du inte kan nå dem via Load Balancer ip-adressen för frontend-nätverket via global VNet-peering. Du kan dock använda global VNet-peering för att nå resurserna direkt via deras privata VNet-IP-adresser, om det är tillåtet.
- Virtuella datorer bakom grundläggande lastbalanserare
- VM-skalningsuppsättningar med grundläggande lastbalanserare
- Redis Cache
- Application Gateway (v1) SKU
- Service Fabric
- API Management (stv1)
- Active Directory-domän Service (ADDS)
- Logic Apps
- HDInsight
- Azure Batch
- App Service Environment
Du kan ansluta till dessa resurser via ExpressRoute eller VNet-till-VNet via VNet-gatewayer.
Kan jag aktivera VNet-peering om mina virtuella nätverk tillhör prenumerationer inom Azure Active Directory klientorganisation?
Ja. Det är möjligt att upprätta VNet-peering (oavsett om det är lokalt eller globalt) om dina prenumerationer tillhör Azure Active Directory klientorganisation. Du kan göra detta via portalen, PowerShell eller CLI.
Min VNet-peeringanslutning är i initierat tillstånd, varför kan jag inte ansluta?
Om peering-anslutningen är i ett initierat tillstånd innebär det att du bara har skapat en länk. En dubbelriktad länk måste skapas för att upprätta en lyckad anslutning. Om du till exempel vill peer-koppla VNet A till VNet B måste en länk skapas från VNetA till VNetB och från VNetB till VNetA. Om du skapar båda länkarna ändras tillståndet till Ansluten.
Min VNet-peeringanslutning är i frånkopplat tillstånd, varför kan jag inte skapa en peeringanslutning?
Om VNet-peeringanslutningen är i ett frånkopplat tillstånd innebär det att en av länkarna som skapades har tagits bort. För att återupprätta en peeringanslutning måste du ta bort länken och återskapa den.
Kan jag peer-ta mitt VNet med ett VNet i en annan prenumeration?
Ja. Du kan peer-peer-använda virtuella nätverk mellan prenumerationer och regioner.
Kan jag peer-para ihop två virtuella nätverk med matchande eller överlappande adressintervall?
Nej. Adressutrymmen får inte överlappa varandra för att aktivera VNet-peering.
Kan jag peer-ta ett VNet till två olika virtuella nätverk med alternativet "Använd fjärrgateway" aktiverat på båda peerings?
Nej. Du kan bara aktivera alternativet "Använd fjärrgateway" på en peering till ett av de virtuella nätverken.
Hur mycket kostar VNet-peeringlänkar?
Det finns ingen avgift för att skapa en VNet-peeringanslutning. Dataöverföring mellan peering-anslutningar debiteras. Se här.
Krypteras VNet-peeringtrafik?
När Azure-trafik flyttas mellan datacenter (utanför fysiska gränser som inte styrs av Microsoft eller på uppdrag av Microsoft) används MACsec-kryptering på datalänknivå på den underliggande nätverksmaskinvaran. Detta gäller för VNet-peeringtrafik.
Varför är min peeringanslutning i frånkopplat tillstånd?
VNet-peeringanslutningar förs i frånkopplat tillstånd när en VNet-peeringlänk tas bort. Du måste ta bort båda länkarna för att återupprätta en lyckad peeringanslutning.
Innebär det att VNetA och VNetC är peer-peerade om jag peer-använder VNetA till VNetB och I peer-VNetB till VNetC?
Nej. Transitiv peering stöds inte. Du måste peer-använda VNetA och VNetC för att detta ska ske.
Finns det några bandbreddsbegränsningar för peering-anslutningar?
Nej. VNet-peering, oavsett om det är lokalt eller globalt, inför inte några bandbreddsbegränsningar. Bandbredden begränsas endast av den virtuella datorn eller beräkningsresursen.
Hur felsöker jag problem med VNet-peering?
Här är en felsökningsguide som du kan prova.
Virtual Network TAP
Vilka Azure-regioner är tillgängliga för TAP för virtuella nätverk?
Förhandsversionen av TAP för virtuella nätverk är tillgänglig i alla Azure-regioner. De övervakade nätverksgränssnitten, den virtuella nätverks-TAP-resursen och insamlaren eller analyslösningen måste distribueras i samma region.
Stöder Virtual Network TAP några filtreringsfunktioner på speglade paket?
Filtreringsfunktioner stöds inte med tap-förhandsversionen av det virtuella nätverket. När en TAP-konfiguration läggs till i ett nätverksgränssnitt strömmas en djup kopia av all in- och utgående trafik i nätverksgränssnittet till TAP-målet.
Kan flera TAP-konfigurationer läggas till i ett övervakat nätverksgränssnitt?
Ett övervakat nätverksgränssnitt kan bara ha en TAP-konfiguration. Kontrollera med den enskilda partnerlösningen om möjligheten att strömma flera kopior av TAP-trafiken till valiga analysverktyg.
Kan samma TAP-resurs för virtuella nätverk aggregera trafik från övervakade nätverksgränssnitt i mer än ett virtuellt nätverk?
Ja. Samma TAP-resurs för virtuella nätverk kan användas för att aggregera speglad trafik från övervakade nätverksgränssnitt i peer-erade virtuella nätverk i samma prenumeration eller en annan prenumeration. TAP-resursen för det virtuella nätverket och mållastbalanseraren eller målnätverksgränssnittet måste finnas i samma prenumeration. Alla prenumerationer måste finnas under samma Azure Active Directory klientorganisation.
Finns det några prestandaöverväganden för produktionstrafik om jag aktiverar en TAP-konfiguration för virtuella nätverk i ett nätverksgränssnitt?
TAP för virtuellt nätverk är en förhandsversion. Under förhandsversionen finns det inget serviceavtal. Funktionen ska inte användas för produktionsarbetsbelastningar. När ett nätverksgränssnitt för virtuella datorer är aktiverat med en TAP-konfiguration används samma resurser på Azure-värden som tilldelats den virtuella datorn för att skicka produktionstrafiken för att utföra speglingsfunktionen och skicka speglade paket. Välj rätt linux- eller Windows för att se till att det finns tillräckligt med resurser för att den virtuella datorn ska kunna skicka produktionstrafik och speglad trafik.
Stöds accelererat nätverk för Linux eller Windows med TAP för virtuella nätverk?
Du kommer att kunna lägga till en TAP-konfiguration i ett nätverksgränssnitt som är kopplat till en virtuell dator som är aktiverad med accelererat nätverk. Men prestanda och svarstid på den virtuella datorn påverkas av att TAP-konfigurationen läggs till eftersom avlastningen för speglingstrafik för närvarande inte stöds av Azure-accelererade nätverk.
Tjänstslutpunkter för virtuella nätverk
Vilken är rätt sekvens med åtgärder för att konfigurera tjänstslutpunkter till en Azure-tjänst?
Det finns två steg för att skydda en Azure-tjänstresurs via tjänstslutpunkter:
- Aktivera tjänstslutpunkter för Azure-tjänsten.
- Konfigurera VNet-ACL:er på Azure-tjänsten.
Det första steget är en åtgärd på nätverkssidan och det andra steget är en åtgärd på tjänstresurssidan. Båda stegen kan utföras av samma administratör eller olika administratörer baserat på de Azure RBAC-behörigheter som beviljas administratörsrollen. Vi rekommenderar att du först aktiverar tjänstslutpunkter för ditt virtuella nätverk innan du ställer in VNet-ACL:er på Azure-tjänstsidan. Därför måste stegen utföras i sekvensen ovan för att konfigurera VNet-tjänstslutpunkter.
Anteckning
Båda åtgärderna som beskrivs ovan måste slutföras innan du kan begränsa Azure-tjänstens åtkomst till det tillåtna virtuella nätverket och undernätet. Du får inte den begränsade åtkomsten om du bara slår på tjänstslutpunkter för Azure-tjänsten på nätverkssidan. Dessutom måste du också konfigurera VNet-ACL:er på Azure-tjänstsidan.
Vissa tjänster (till exempel SQL och CosmosDB) tillåter undantag till sekvensen ovan via flaggan IgnoreMissingVnetServiceEndpoint. När flaggan har angetts till True kan VNet-ACL:er ställas in på Azure-tjänstsidan innan du ställer in tjänstslutpunkterna på nätverkssidan. Azure-tjänster tillhandahåller den här flaggan för att hjälpa kunder i de fall där de specifika IP-brandväggarna är konfigurerade på Azure-tjänster och aktivera tjänstslutpunkterna på nätverkssidan kan leda till att anslutningen sjunker eftersom käll-IP-adressen ändras från en offentlig IPv4-adress till en privat adress. Genom att konfigurera VNet-ACL:er på Azure-tjänstsidan innan du anger tjänstslutpunkter på nätverkssidan kan du undvika att anslutningen går ned.
Finns alla Azure-tjänster i det virtuella Azure-nätverk som tillhandahålls av kunden? Hur fungerar VNet-tjänstslutpunkten med Azure-tjänster?
Nej, alla Azure-tjänster finns inte i kundens virtuella nätverk. De flesta Azure-datatjänster som Azure Storage, Azure SQL och Azure Cosmos DB är tjänster för flera innehavare som kan nås via offentliga IP-adresser. Du kan lära dig mer om integrering av virtuella nätverk för Azure-tjänster här.
När du använder funktionen VNet-tjänstslutpunkter (aktivera VNet-tjänstslutpunkt på nätverkssidan och konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan) begränsas åtkomsten till en Azure-tjänst från ett tillåtet VNet och undernät.
Hur ger VNet-tjänstslutpunkten säkerhet?
Funktionen VNet-tjänstslutpunkt (aktivera VNet-tjänstslutpunkt på nätverkssidan och konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan) begränsar Azure-tjänstens åtkomst till det tillåtna virtuella nätverket och undernätet, vilket ger en säkerhet på nätverksnivå och isolering av Azure-tjänsttrafiken. All trafik som använder VNet-tjänstslutpunkter flödar över Microsofts stamnät, vilket ger ytterligare ett isoleringslager från det offentliga Internet. Dessutom kan kunder välja att helt ta bort offentlig Internetåtkomst till Azure-tjänstresurser och endast tillåta trafik från det virtuella nätverket via en kombination av IP-brandvägg och VNet-ACL:er, vilket skyddar Azure-tjänstresurserna från obehörig åtkomst.
Vad skyddar VNet-tjänstslutpunkten – VNet-resurser eller Azure-tjänst?
VNet-tjänstslutpunkter hjälper till att skydda Azure-tjänstresurser. VNet-resurser skyddas via nätverkssäkerhetsgrupper (NSG:er).
Kostar det att använda VNet-tjänstslutpunkter?
Nej, det finns ingen extra kostnad för att använda VNet-tjänstslutpunkter.
Kan jag aktivera VNet-tjänstslutpunkter och konfigurera VNet-ACL:er om det virtuella nätverket och Azure-tjänstresurserna tillhör olika prenumerationer?
Ja, det kan du. Virtuella nätverk och Azure-tjänstresurser kan finnas i samma eller olika prenumerationer. Det enda kravet är att både det virtuella nätverket och Azure-tjänstresurserna måste finnas under samma Active Directory-klientorganisation (AD).
Kan jag aktivera VNet-tjänstslutpunkter och konfigurera VNet-ACL:er om det virtuella nätverket och Azure-tjänstresurserna tillhör olika AD-klienter?
Ja, det är möjligt när du använder tjänstslutpunkter för Azure Storage och Azure Key Vault. För resten av tjänsterna stöds inte VNet-tjänstslutpunkter och VNet-ACL:er i AD-klientorganisationen.
Kan en lokal enhets IP-adress som är ansluten via Azure Virtual Network gateway (VPN) eller ExpressRoute-gateway få åtkomst till Azure PaaS-tjänsten via VNet-tjänstslutpunkter?
Som standard kan Azure-tjänstresurser som skyddas på virtuella nätverk inte nås från lokala nätverk. Om du vill tillåta trafik från en lokal plats måste du även tillåta offentliga IP-adresser (vanligtvis NAT) från din lokala plats eller ExpressRoute. Dessa IP-adresser kan läggas till via IP-brandväggskonfigurationen för Azure-tjänstresurserna.
Kan jag använda funktionen tjänstslutpunkt för virtuellt nätverk för att skydda Azure-tjänsten till flera undernät i ett virtuellt nätverk eller i flera virtuella nätverk?
Om du vill skydda Azure-tjänster i flera undernät i ett virtuellt nätverk eller i flera virtuella nätverk aktiverar du tjänstslutpunkter på nätverkssidan på vart och ett av undernäten oberoende av varandra och skyddar sedan Azure-tjänstresurser till alla undernät genom att konfigurera lämpliga VNet-ACL:er på Azure-tjänstsidan.
Hur kan jag filtrera utgående trafik från ett virtuellt nätverk till Azure-tjänster och fortfarande använda tjänstslutpunkter?
Om du vill granska eller filtrera trafiken mot en Azure-tjänst från ett virtuellt nätverk kan du distribuera en virtuell nätverksinstallation inom det virtuella nätverket. Du kan sedan använda tjänstslutpunkter för undernätet där den virtuella nätverksinstallationen distribueras och skydda Azure-tjänstresurser endast till det här undernätet via VNet-ACL:er. Det här scenariot kan också vara användbart om du vill begränsa Azure-tjänståtkomsten från ditt virtuella nätverk till endast specifika Azure-resurser med filtrering av virtuella nätverksinstallationer. Mer information finns i Utgående trafik med virtuella nätverksinstallationer.
Vad händer när du kommer åt ett Azure-tjänstkonto som har en ACL (Virtual Network Access Control List) aktiverad utanför det virtuella nätverket?
HTTP 403- eller HTTP 404-felet returneras.
Har undernät i ett virtuellt nätverk som skapats i olika regioner behörighet att komma åt ett Azure-tjänstkonto i en annan region?
Ja, för de flesta Azure-tjänster kan virtuella nätverk som skapats i olika regioner komma åt Azure-tjänster i en annan region via VNet-tjänstslutpunkterna. Om till exempel ett Azure Cosmos DB-konto finns i USA, västra eller USA, östra och virtuella nätverk finns i flera regioner, kan det virtuella nätverket komma åt Azure Cosmos DB. Storage och SQL är undantag och är regionala till sin natur och både det virtuella nätverket och Azure-tjänsten måste finnas i samma region.
Kan en Azure-tjänst ha både en VNet-ACL och en IP-brandvägg?
Ja, en VNet-ACL och en IP-brandvägg kan finnas tillsammans. Båda funktionerna kompletterar varandra för att säkerställa isolering och säkerhet.
Vad händer om du tar bort ett virtuellt nätverk eller undernät som har en aktiverad tjänstslutpunkt för Azure-tjänsten?
Borttagning av virtuella nätverk och undernät är oberoende åtgärder och stöds även när tjänstslutpunkter är aktiverat för Azure-tjänster. I de fall där Azure-tjänsterna har konfigurerade VNet-ACL:er för dessa virtuella nätverk och undernät, inaktiveras den VNet ACL-information som är associerad med den Azure-tjänsten när ett VNet eller undernät som har VNet-tjänstslutpunkt aktiverat tas bort.
Vad händer om ett Azure-tjänstkonto som har en aktiverad VNet-tjänstslutpunkt tas bort?
Borttagningen av ett Azure-tjänstkonto är en oberoende åtgärd och stöds även när tjänstslutpunkten är aktiverad på nätverkssidan och VNet-ACL:er konfigureras på Azure-tjänstsidan.
Vad händer med källans IP-adress för en resurs (t.ex. en virtuell dator i ett undernät) som har VNet-tjänstslutpunkten aktiverad?
När tjänstslutpunkter för virtuellt nätverk är aktiverade växlar käll-IP-adresserna för resurserna i det virtuella nätverkets undernät från att använda offentliga IPV4-adresser till det virtuella Azure-nätverkets privata IP-adresser för trafik till Azure-tjänsten. Observera att detta kan orsaka att specifika IP-brandväggar som är inställda på offentliga IPV4-adresser tidigare i Azure-tjänsterna misslyckas.
Har tjänstens slutpunktsväg alltid företräde?
Tjänstslutpunkter lägger till en systemväg som har företräde framför BGP-vägar och ger optimal routning för tjänstens slutpunktstrafik. Tjänstslutpunkter tar alltid tjänsttrafik direkt från ditt virtuella nätverk till tjänsten på Microsoft Azure stamnätverk. Mer information om hur Azure väljer en väg finns i Trafikdirigering för virtuella Azure-nätverk.
Fungerar tjänstslutpunkter med ICMP?
Nej, ICMP-trafik som kommer från ett undernät med tjänstslutpunkter aktiverade tar inte tjänsttunnelvägen till önskad slutpunkt. Tjänstslutpunkter hanterar endast TCP-trafik. Det innebär att om du vill testa svarstiden eller anslutningen till en slutpunkt via tjänstslutpunkter visar verktyg som ping och tracert inte den sanna sökvägen som resurserna i undernätet tar.
Hur fungerar NSG i ett undernät med tjänstslutpunkter?
För att nå Azure-tjänsten måste NSG:er tillåta utgående anslutning. Om dina NSG:er är öppna för all utgående Internettrafik bör trafiken för tjänstslutpunkten fungera. Du kan också begränsa den utgående trafiken till tjänst-IP-adresser med hjälp av tjänsttaggar.
Vilka behörigheter behöver jag för att konfigurera tjänstslutpunkter?
Tjänstslutpunkter kan konfigureras i ett virtuellt nätverk oberoende av en användare med skrivåtkomst till det virtuella nätverket. För att skydda Azure-tjänstresurser i ett virtuellt nätverk måste användaren ha behörigheten Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action för de undernät som läggs till. Den här behörigheten ingår som standard i den inbyggda tjänstadministratörsrollen och kan ändras genom att skapa anpassade roller. Lär dig mer om inbyggda roller och att tilldela specifika behörigheter till anpassade roller.
Kan jag filtrera trafik i virtuella nätverk till Azure-tjänster, som endast tillåter specifika Azure-tjänstresurser, över VNet-tjänstslutpunkter?
Med tjänstslutpunktsprinciper för virtuellt nätverk (VNet) kan du filtrera trafik för virtuella nätverk till Azure-tjänster, så att endast specifika Azure-tjänstresurser tillåts över tjänstslutpunkterna. Slutpunktsprinciper ger detaljerad åtkomstkontroll från den virtuella nätverkstrafiken till Azure-tjänsterna. Du kan läsa mer om principer för tjänstslutpunkter här.
Stöder Azure Active Directory (Azure AD) VNet-tjänstslutpunkter?
Azure Active Directory (Azure AD) har inte inbyggt stöd för tjänstslutpunkter. En fullständig lista över Azure-tjänster som stöder VNet-tjänstslutpunkter finns här. Observera att taggen "Microsoft.AzureActiveDirectory" som anges under tjänster som stöder tjänstslutpunkter används för att stödja tjänstslutpunkter till ADLS Gen 1. För ADLS Gen 1 använder integrering av virtuella nätverk för Azure Data Lake Storage Gen1 tjänstslutpunktssäkerhet för virtuellt nätverk mellan ditt virtuella nätverk och Azure Active Directory (Azure AD) för att generera ytterligare säkerhetsanspråk i åtkomsttoken. Dessa anspråk används sedan för att autentisera ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto och tillåta åtkomst. Läs mer om azure Data Lake Store Gen 1 VNet-integrering
Finns det några begränsningar för hur många VNet-tjänstslutpunkter jag kan konfigurera från mitt VNet?
Det finns ingen gräns för det totala antalet VNet-tjänstslutpunkter i ett virtuellt nätverk. För en Azure-tjänstresurs (till exempel ett Azure Storage-konto) kan tjänster framtvinga gränser för antalet undernät som används för att skydda resursen. I följande tabell visas några exempelbegränsningar:
| Azure-tjänst | Begränsningar för VNet-regler |
|---|---|
| Azure Storage | 100 |
| Azure SQL | 128 |
| Azure Synapse Analytics | 128 |
| Azure KeyVault | 200 |
| Azure Cosmos DB | 64 |
| Azure Event Hub | 128 |
| Azure Service Bus | 128 |
| Azure Data Lake Store V1 | 100 |
Anteckning
Gränserna måste ändras enligt Azure-tjänstens gottfinnande. Mer information om tjänster finns i respektive tjänstdokumentation.