Vad är Azure Virtual Network?
Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. VNet gör det möjligt för många typer av Azure-resurser, till exempel Azure Virtual Machines (VM), att kommunicera säkert med varandra, Internet och lokala nätverk. VNet liknar ett traditionellt nätverk som du använder i ditt eget datacenter, men ger det ytterligare fördelar med Azures infrastruktur som skala, tillgänglighet och isolering.
Varför ska jag använda ett virtuellt Azure-nätverk?
Med virtuella Azure-nätverk kan Azure-resurser på ett säkert sätt kommunicera med varandra, Internet och lokala nätverk. Viktiga scenarier som du kan utföra med ett virtuellt nätverk är bland annat kommunikation av Azure-resurser med Internet, kommunikation mellan Azure-resurser, kommunikation med lokala resurser, filtrering av nätverkstrafik, routning av nätverkstrafik och integrering med Azure-tjänster.
Kommunicera med Internet
Alla resurser i ett VNet kan som standard kommunicera utgående till Internet. Du kan kommunicera inkommande trafik till en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare. Du kan också använda en offentlig IP-adress eller en offentlig lastbalanserare för att hantera utgående anslutningar. Mer information om utgående anslutningar i Azure finns i avsnitten om utgående anslutningar, offentliga IP-adresser och lastbalanseraren.
Anteckning
Om du bara använder en intern standardlastbalanserare, är utgående anslutningar inte tillgängliga förrän du definierar hur du vill att utgående anslutningar ska fungera med en offentlig IP-adress på instansnivå eller en offentlig lastbalanserare.
Kommunikation mellan Azure-resurser
Azure-resurser kommunicerar säkert med varandra på något av följande sätt:
- Via ett virtuellt nätverk: Du kan distribuera virtuella datorer och flera andra typer av Azure-resurser till ett virtuellt nätverk, som Azure App Service-miljöer, AKS (Azure Kubernetes Service) och Azure Virtual Machine Scale Sets. En fullständig lista över Azure-resurser som du kan distribuera till ett virtuellt nätverk finns i Tjänstintegration för virtuella nätverk.
- Via en tjänstslutpunkt för virtuellt nätverk: Utöka det privata adressutrymmet för det virtuella nätverket och identiteten för ditt virtuella nätverk till Azure-tjänstresurser, till exempel Azure Storage-konton och Azure SQL Database, via en direktanslutning. Med tjänstslutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast ett virtuellt nätverk. Läs mer i Översikt över tjänstslutpunkter för virtuella nätverk.
- Via VNet-peering: Du kan ansluta virtuella nätverk till varandra, vilket gör att resurser i båda de virtuella nätverken kan kommunicera med varandra med hjälp av peering för virtuella nätverk. De virtuella nätverken du ansluter kan finnas i samma, eller olika, Azure-regioner. Läs mer i Peerkoppling av virtuella nätverk.
Kommunikation med lokala resurser
Du kan ansluta lokala datorer och nätverk till ett virtuellt nätverk med hjälp av valfri kombination av följande alternativ:
- Punkt-till-plats-VPN (virtuellt privat nätverk): Upprättas mellan ett virtuellt nätverk och en dator i ditt nätverk. Anslutningen måste konfigureras för varje dator som du vill ansluta till ett virtuellt nätverk. Den här anslutningstypen är bra om du precis har börjat med Azure, eller för utvecklare, eftersom det krävs få eller inga ändringar i ditt befintliga nätverk. Kommunikationen mellan datorn och ett virtuellt nätverk skickas genom en krypterad tunnel via Internet. Läs mer i Punkt-till-plats-VPN.
- Plats-till-plats-VPN: Upprättas mellan den lokala VPN-enheten och Azure VPN Gateway som distribueras i ett virtuellt nätverk. Med den här anslutningstypen kan alla lokala resurser som du ger behörighet få åtkomst till ett virtuellt nätverk. Kommunikationen mellan den lokala VPN-enheten och en Azure VPN-gateway skickas genom en krypterad tunnel via Internet. Läs mer i Plats-till-plats-VPN.
- Azure ExpressRoute: Upprättas mellan ditt nätverk och Azure, via en ExpressRoute-partner. Den här anslutningen är privat. Trafiken går inte via Internet. Läs mer i ExpressRoute.
Filtrera nätverkstrafik
Du kan filtrera nätverkstrafik mellan undernät med ett eller båda av följande alternativ:
- Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper och programsäkerhetsgrupper kan innehålla flera inkommande och utgående säkerhetsregler som gör att du kan filtrera trafik till och från resurser efter källans och målets IP-adress, port och protokoll. Mer information finns i Nätverkssäkerhetsgrupper eller Programsäkerhetsgrupper.
- Virtuella nätverksinstallationer: En virtuell nätverksinstallation är en virtuell dator som utför en nätverksfunktion, till exempel en brandvägg, WAN-optimering eller annan nätverksfunktion. En lista över tillgängliga virtuella nätverksinstallationer som du kan distribuera i ett virtuellt nätverk finns i Azure Marketplace.
Dirigera nätverkstrafik
Azure dirigerar trafik mellan undernät, anslutna virtuella nätverk, lokala nätverk och Internet, som standard. Du kan implementera ett eller båda av följande alternativ för att åsidosätta de standardvägar som Azure skapar:
- Routningstabeller: Du kan skapa anpassade routningstabeller med vägar som styr vart trafik dirigeras för varje undernät. Läs mer om routningstabeller.
- BGP-vägar (Border Gateway Protocol): Om du ansluter ditt virtuella nätverk till ditt lokala nätverk med hjälp av en Azure VPN Gateway- eller ExpressRoute-anslutning kan du sprida de lokala BGP-vägarna till de virtuella nätverken. Lär dig mer om hur du använder BGP med Azure VPN Gateway och ExpressRoute.
Integrering av virtuella nätverk för Azure-tjänster
Genom att integrera Azure-tjänster i ett virtuellt Azure-nätverk får du privat åtkomst till tjänsten från virtuella datorer eller beräkningsresurser i det virtuella nätverket. Du kan integrera Azure-tjänster i ditt virtuella nätverk med följande alternativ:
- Distribuera dedikerade instanser av tjänsten till ett virtuellt nätverk. Tjänsterna kan sedan nås privat i det virtuella nätverket och från lokala nätverk.
- Med Private Link åtkomst till privat en specifik instans av tjänsten från ditt virtuella nätverk och från lokala nätverk.
- Du kan också komma åt tjänsten med hjälp av offentliga slutpunkter genom att utöka ett virtuellt nätverk till tjänsten via tjänstslutpunkter. Med tjänstslutpunkter kan tjänstresurser skyddas i det virtuella nätverket.
Begränsningar för virtuella Azure-nätverk
Det finns vissa gränser för hur många Azure-resurser du kan distribuera. De flesta nätverksgränser för Azure har de högsta värdena. Du kan dock öka vissa nätverksgränser som anges på sidan VNet-begränsningar.
Virtuella nätverk och tillgänglighetszoner
Virtuella nätverk och undernät sträcker sig över alla tillgänglighetszoner i en region. Du behöver inte dela upp dem med tillgänglighetszoner för att hantera zonbaserade resurser. Om du till exempel konfigurerar en zonindead virtuell dator behöver du inte ta hänsyn till det virtuella nätverket när du väljer tillgänglighetszon för den virtuella datorn. Samma sak gäller för andra zonindeala resurser.
Prissättning
Det kostar inget att använda det virtuella Azure-nätverket, det är kostnadsfritt. Standardavgifter gäller för resurser, till exempel Virtual Machines (VM) och andra produkter. Mer information finns i VNet-priser och Priskalkylatorn förAzure.
Nästa steg
- Läs mer om Azure Virtual Network och metodtips.
- Kom igång med ett virtuellt nätverk genom att skapa ett, distribuera några virtuella datorer till det och kommunicera mellan de virtuella datorerna. Mer information finns i snabbstarten Skapa ett virtuellt nätverk.