新增、變更或刪除虛擬網路子網路
所有虛擬網路中的 Azure 資源都會部署到虛擬網路內的子網路。 本文會說明如何使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 來新增、變更或刪除虛擬網路子網路。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 現有的 Azure 虛擬網路。 若要建立虛擬網路,請參閱 快速入門: 使用 Azure 入口網站建立虛擬網路。
- 若要執行本文中的程序,請使用您的 Azure 帳戶登入 Azure 入口網站。
權限
若要在子網路上執行工作,您的帳戶必須獲指派網路參與者角色,或是獲指派下列清單中適當動作的自訂角色:
| 動作 | 名稱 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 讀取虛擬網路子網路。 |
| Microsoft.Network/virtualNetworks/subnets/write | 建立或更新虛擬網路子網路。 |
| Microsoft.Network/virtualNetworks/subnets/delete | 刪除虛擬網路子網路。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 加入虛擬網路。 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | 啟用子網路的服務端點。 |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 取得子網路中的虛擬機器。 |
新增子網路
- 在 Azure 入口網站搜尋並選取 [虛擬網路]。
- 在 [虛擬網路] 刀鋒視窗中,選取要在其中新增子網路的虛擬網路。
- 在 [虛擬網路] 頁面上,從左側導覽中選取 [子網路]。
- 在 [子網路] 頁面上,選取 [+子網路]。
- 在 [新增子網路] 畫面上,輸入或選取子網路設定的值。
- 選取 [儲存]。
您可以為子網路設定以下設定:
| 設定 | 描述 |
|---|---|
| 名稱 | 名稱在虛擬網路中必須是唯一的。 如需與其他 Azure 服務的最大相容性,使用字母作為名稱的第一個字元。 例如,Azure 應用程式閘道不會部署到名稱以數字開頭的子網路。 |
| 子網路位址範圍 | 這必須是位址空間內的唯一範圍,而且不能與虛擬網路中的其他子網路位址範圍重疊。 您必須以「無類別網域間路由選擇 (CIDR)」標記法來指定位址空間。 例如,在位址空間為 10.0.0.0/16 的虛擬網路中,您可以定義 10.0.0.0/22 的子網路位址空間。 您可以指定的最小範圍是 /29,此範圍可提供八個 IP 位址供子網路使用。 為了符合通訊協定的規定,Azure 會保留每個子網路中的第一個和最後一個位址,還有另外三個位址供 Azure 服務使用。 因此,使用 /29 位址範圍定義子網路,會在子網路中產生三個可用的 IP 位址。如果您打算將虛擬網路連線至虛擬私人網路 (VPN) 閘道,則必須建立一個閘道子網路。 如需詳細資訊,請參閱 閘道子網路。 |
| 新增 IPv6 位址空間 | 您可以新增現有的 IPv6 位址空間來建立雙堆疊 且支援 IPv4 和 IPv6 的虛擬網路。 目前,Azure 中的所有服務都不完全支援 IPv6。 如需詳細資訊,請參閱 適用於 Azure 虛擬網路的 IPv6 概觀 |
| 私人子網路 | 將子網路設定為私人,可防止針對子網路中建立的任何虛擬機器使用 預設輸出存取。 這項功能處於預覽狀態。 |
| NAT 閘道 | 若要將網路位址轉譯 (NAT) 提供給子網路上的資源,您可將現有的 NAT 閘道與子網路產生關聯。 NAT 閘道必須與虛擬網路位於相同的訂用帳戶和位置當中。 如需詳細資訊,請參閱 虛擬網路 NAT 和 快速入門: 使用 Azure 入口網站建立 NAT 閘道。 |
| 網路安全性群組 | 若要篩選子網路的輸入和輸出網路流量,您可以將現有的網路安全性群組 (NSG) 與子網路建立關聯。 NSG 必須與虛擬網路位於相同的訂用帳戶和位置當中。 如需詳細資訊,請檢閱 網路安全性群組 和 教學課程: 使用 Azure 入口網站透過網路安全性群組篩選網路流量。 |
| 路由表 | 若要控制路由傳送至其他網路的網路流量,您可以選擇性地將現有路由表與子網路建立關聯。 路由表必須與虛擬網路位於相同的訂用帳戶和位置當中。 如需詳細資訊,請參閱: 虛擬網路流量路由 和 教學課程: 使用 PowerShell 以路由表傳送網路流量。 |
| 服務端點 | 您可以為此子網路啟用一個或多個服務端點。 若要在入口網站子網路設定期間啟用服務的服務端點,請選取服務或從 [服務] 下的快顯清單中選取您想要啟用服務端點的服務。 Azure 會自動設定端點的位置。 若要移除服務端點,請取消選取您想要移除其服務端點的服務。 如需詳細資訊,請參閱虛擬網路服務端點。 根據預設,Azure 會針對虛擬網路的區域設定服務端點。 為了支援區域性容錯移轉案例,Azure 會針對 Azure 儲存體自動將端點設定為 Azure 配對區域。 啟用服務端點之後,您也必須啟用服務所建立資源的子網路存取。 例如,如果您啟用 Microsoft.Storage 的服務端點,您也必須對想要授與網路存取權的所有 Azure 儲存體帳戶啟用網路存取權。 若要為已啟用服務端點的子網路啟用網路存取,請參閱個別服務的文件。 若要驗證是否已為子網路啟用服務端點,請查看子網路中任何網路介面的有效路由。 當您設定端點時,會看到預設路由,其中包含服務的位址首碼,以及 VirtualNetworkServiceEndpoint 的下一個躍點類型。 如需詳細資訊,請參閱虛擬網路流量路由。 |
| 子網路委派 | 您可以為此子網路啟用一個或多個委派。 子網路委派可以為服務提供明確的權限,以在服務部署期間使用唯一識別碼,在子網路中建立服務特定的資源。 若要在入口網站子網路設定期間為服務進行委派,請從快顯清單選取您要委派到的服務。 |
| 私人端點的網路原則 | 若要控制前往私人端點的流量,您可以使用 網路安全性群組 或 路由表。 在入口網站子網路設定期間,請選取 [私人端點網络原則] 下的一個或兩個選項,以在子網路上使用這些控制項。 啟用後,網路原則就會套用至子網路上的所有私人端點。 如需詳細資訊,請參閱 管理私人端點的網路原則。 |
變更子網路設定
- 在 Azure 入口網站搜尋並選取 [虛擬網路]。
- 在 [虛擬網路] 頁面,選取要在其中變更子網路的虛擬網路。
- 在 [虛擬網路] 的頁面上,從左側導覽中選取 [子網路]。
- 在 [子網路] 頁面上,選取您想要變更設定的子網路。
- 在子網路畫面上,變更子網路設定,然後選取 [儲存]。
您可以在建立子網路之後變更下列子網路設定:
| 設定 | 描述 |
|---|---|
| 子網路位址範圍 | 如果子網路內沒有部署資源,您可以變更位址範圍。 如果子網路中有任何資源存在,您必須將資源移至另一個子網路,或先從子網路中刪除。 不同資源的資源移動或刪除步驟也各異。 若要了解如何移動或刪除子網路中的資源,請參閱個別資源類型的文件。 |
| 新增 IPv6 位址空間、NAT 閘道、網路安全性群組 和 路由表 | 建立子網路之後,您可以新增 IPv6、NAT 閘道、NSG 或路由表支援。 |
| 服務端點 | 若要啟用現有子網路的服務端點,請確定子網路中的任何資源上沒有重要的工作正在執行。 服務端點會在子網路中的每個網路介面上切換路由。 服務端點會從使用預設路由 (具有 0.0.0.0/0 位址首碼和 Internet 的下一個躍點類型),變成使用新的路由 (具有服務的位址首碼和 VirtualNetworkServiceEndpoint 的下一個躍點類型)。在切換期間,任何開啟的 TCP 連接都可能會終止。 直到所有網路介面的流量都使用新路由更新,才會啟用服務端點。 如需詳細資訊,請參閱虛擬網路流量路由。 |
| 子網路委派 | 您可以修改子網路委派,以啟用零或多個委派。 若已將服務的資源部署於子網路中,則在移除服務的所有資源之前,您會無法新增或移除子網路委派。 若要為不同的服務進行委派,請從快顯清單選取您要委派到的服務。 |
| 私人端點的網路原則 | 您可以在建立子網路之後變更私人端點網路原則。 |
刪除子網路
您只能刪除未包含任何資源的子網路。 如果資源位於子網路中,您必須先刪除那些資源,才能刪除子網路。 不同資源的資源刪除步驟也各異。 若要了解如何刪除資源,請參閱個別資源類型的文件。
- 在 Azure 入口網站搜尋並選取 [虛擬網路]。
- 在 [虛擬網路] 頁面上,選取要刪除其子網路的虛擬網路。
- 在 [虛擬網路] 的頁面上,從左側導覽中選取 [子網路]。
- 在 [子網路] 頁面上,選取您想要刪除的子網路。
- 選取刪除,然後在確認對話方塊中選取 是。