Azure 虛擬網路的常見問題 (FAQ)

虛擬網路基本概念

什麼是 Azure 虛擬網路 (VNet)?

Azure 虛擬網路 (VNet) 是您的網路在雲端中的身分。 它是專屬於您訂用帳戶的 Azure 雲端邏輯隔離。 您可以使用 VNet 在 Azure 中佈建和管理虛擬私人網路 (VPN),也可以選擇性地連結 VNet 與其他 Azure 中的 VNet,或連結您的內部部署 IT 基礎結構,以便建立混合式或跨單位的解決方案。 您建立的每個 VNet 皆具有自己的 CIDR 區塊,且只要 CIDR 區塊沒有重疊,就可以連結至其他 VNet 和內部部署網路。 針對 VNet 和分割的 VNet 子網路,您也擁有 DNS 伺服器設定的控制項。

您可以使用 VNet:

  • 建立僅限私人雲端的專用 VNet。 針對您的解決方案,有時候您不需要跨單位組態。 當您建立 VNet 時,您的服務和 VNet 中的 VM 可以直接且安全地在雲端中彼此通訊。 您仍然可以設定 VM 的端點連線,以及需要網際網路通訊作為解決方案一部分的服務。

  • 安全地擴充資料中心。 您可以使用 VNet 建置傳統的站台對站台 (S2S) VPN,安全地擴充資料中心容量。 S2S VPN 使用 IPSEC 在您的公司 VPN 閘道與 Azure 之間提供安全連接。

  • 啟用混合式雲端案例。 VNet 可讓您彈性地支援許多混合式雲端案例。 您可以將雲端型應用程式安全地連接到任何類型的內部部署系統,例如大型主機和 Unix 系統。

如何開始?

請造訪虛擬網路文件以開始使用。 本內容提供所有 VNet 功能的概觀和部署資訊。

我可以使用不包含跨單位連線的 VNet 嗎?

是。 您可以使用 VNet,而不用將它連線到您的單位。 例如,您可以在 Azure VNet 中單獨執行 Microsoft Windows Server Active Directory 網域控制站和 SharePoint 伺服器陣列。

我可以在一或多個 VNet 與我的內部部署資料中心之間執行 WAN 最佳化嗎?

是。 您可以透過 Azure Marketplace,部署來自多個廠商的 WAN 最佳化網路的虛擬應用裝置

組態

我可以使用哪些工具來建立 VNet?

您可以使用下列工具來建立或設定 VNet:

我可以在 VNet 中使用哪些位址範圍?

建議您使用 RFC 1918 中列舉的位址範圍,這些位址範圍已由 IETF 設定為用於私人、無法透過路由處理的位址空間:

  • 10.0.0.0 - 10.255.255.255 (10/8 前置詞)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 前置詞)
  • 192.168.0.0 - 192.168.255.255 (192.168/16 首碼)

您亦可部署保留在 RFC 6598 的共用位址空間,此在 Azure 中視為私人 IP 位址空間:

  • 100.64.0.0 - 100.127.255.255 (100.64/10 首碼)

包含所有其他 IETF 辨識的私人、無法路由的位址空間等其他位址空間可能會運作,但可能會出現不想要的副作用。

此外,您無法新增下列位址範圍:

  • 224.0.0.0/4 (多點傳送)
  • 255.255.255.255/32 (廣播)
  • 127.0.0.0/8 (回送)
  • 169.254.0.0/16 (連結-本機)
  • 168.63.129.16/32 (內部 DNS)

我可以在 VNet 擁有公用 IP 位址嗎?

是。 如需有關公用 IP 位址範圍的詳細資訊,請參閱建立虛擬網路。 您無法直接從網際網路存取公用 IP 位址。

我的 VNet 中的子網路數目是否有限制?

是。 如需詳細資訊,請參閱 Azure 限制。 子網路位址空間不能互相重疊。

在這些子網路內使用 IP 位址是否有任何限制?

是。 Azure 會針對每個子網路保留前四個和最後一個 IP 位址,總共 5 個 IP 位址。

例如,192.168.1.0/24 的 IP 位址範圍具有下列保留位址:

  • 192.168.1.0:網路位址
  • 192.168.1.1:Azure 保留給預設閘道
  • 192.168.1.2、192.168.1.3:由 Azure 保留,以將 Azure DNS IP 對應至 VNet 空間
  • 192.168.1.255 :網路廣播位址。

VNet 和子網路的大小限制為何?

支援的最小 IPv4 子網路是 /29,最大則是 /2 (使用 CIDR 子網路定義)。 IPv6 子網路的大小必須正好是 /64。

我可以使用 VNet 將 VLAN 帶到 Azure 嗎?

否。 VNet 是 Layer-3 重疊。 Azure 不支援任何 Layer-2 語意。

可以在我的 Vnet 和子網路上指定自訂路由原則嗎?

是。 您可以建立路由表,並且將它與子網路產生關聯。 如需 Azure 中路由的詳細資訊,請參閱路由概觀

當我在子網路上套用 NSG 和 UDR 時,會發生什麼行為?

針對輸入流量,會處理 NSG 輸入規則。 針對輸出,會處理 NSG 輸出規則,後面接著 UDR 規則。

當我在 VM 的 NIC 和子網路套用 NSG 時,會發生什麼行為?

當 NSG 同時套用至 VM 的 NIC & 子網路時,子網路層級 NSG 後面接著 NIC 層級 NSG 會針對輸入和 NIC 層級 NSG 處理,後面接著輸出流量的子網路層級 NSG。

VNet 是否支援多點傳送或廣播?

否。 不支援多點傳送與廣播。

我可以在 VNet 中使用哪些通訊協定?

您可以在 VNet 中使用 TCP、UDP 和 ICMP TCP/IP 通訊協定。 VNet 內可支援單點傳播,但透過單點傳播 (來源連接埠 UDP/68 / 目的地連接埠 UDP/67) 的動態主機設定通訊協定 (DHCP),以及保留給主機使用的 UDP 來源連接埠 65330 除外。 多點傳送、廣播、IP-in-IP 封裝式封包和 Generic Routing Encapsulation (GRE) 封包在 VNet 內會遭到封鎖。

我可以在 VNet 中偵測我的預設路由器嗎?

否。

我可以使用 tracert 來診斷連線嗎?

否。

我可以在建立 VNet 之後新增子網路嗎?

是。 只要子網路位址範圍不是其他子網路的一部分,而且虛擬網路的位址範圍中有可用空間,子網路就可以隨時新增至 VNet。

我可以在建立子網路之後修改其大小嗎?

是。 如果其中沒有部署任何 VM 或服務,您可以新增、移除、展開或縮小子網路。

我可以在建立 Vnet 之後進行修改嗎?

是。 您可以加入、移除和修改 VNet 所使用的 CIDR 區塊。

如果我在 VNet 中執行服務,我可以連線到網際網路嗎?

是。 部署在 VNet 中的所有服務皆可輸出連線到網際網路。 若要深入了解 Azure 中的輸出網際網路連線,請參閱輸出連線。 如果您想要輸入連線到透過 Resource Manager 所部署的資源,該資源必須已獲派公用 IP 位址。 若要深入了解公用 IP 位址,請參閱公用 IP 位址。 Azure 中部署的每個 Azure 雲端服務皆已指派公開可定址的 VIP。 您必須定義 PaaS 角色的輸入端點和虛擬機器的端點,啟用這些服務以接受來自網際網路的連接。

VNet 是否支援 IPv6?

是,VNet 可以僅限使用 IPv4 或雙堆疊 (IPv4 + IPv6)。 如需詳細資訊,請參閱 Azure 虛擬網路的 IPv6 概觀

VNet 可以跨區域嗎?

否。 VNet 僅限於單一區域。 不過,虛擬網路可以跨越可用性區域。 若要深入了解可用性區域,請參閱可用性區域概觀。 您可以使用虛擬網路對等互連,與不同區域中的虛擬網路連線。 如需詳細資訊,請參閱虛擬網路對等互連概觀

我可以將 VNet 連線到 Azure 中的另一個 VNet 嗎?

是。 您可以使用下列其中一個項目,將一個 VNet 連線到另一個 VNet︰

名稱解析 (DNS)

適用於 VNet 的 DNS 選項為何?

使用 [ VM 和角色執行個體的名稱解析 ] 頁面上的決策資料表來引導您完成所有可用的 DNS 選項。

我可以指定適用於 VNet 的 DNS 伺服器嗎?

是。 您可以在 VNet 設定中指定 DNS 伺服器 IP 位址。 此設定會套用為 VNet 中所有虛擬機器的預設 DNS 伺服器。

我可以指定多少部 DNS 伺服器?

請參考 Azure 限制

我可以在建立虛擬網路之後修改 DNS 伺服器嗎?

是。 您可以隨時針對 VNet 變更 DNS 伺服器清單。 如果您變更 DNS 伺服器清單,則必須在 VNet 中所有受影響的 VM 上執行 DHCP 租用更新,新的 DNS 設定才會生效。 對於執行 Windows 作業系統的 VM,您可以直接在 VM 上輸入 ipconfig /renew 來執行此作業。 對於其他作業系統類型,請參閱特定作業系統類型的 DHCP 租用更新文件。

什麼是 Azure 提供的 DNS,以及它是否可搭配 VNet 使用?

Azure 提供的 DNS 是由 Microsoft 所提供的多租用戶 DNS 服務。 Azure 會註冊您在此服務中的所有 VM 和雲端服務角色執行個體。 這個服務可根據相同雲端服務內所包含 VM 和角色的主機名稱,以及根據 VM 的 FQDN 和相同 VNet 中的角色執行個體提供名稱解析功能。 若要深入了解 DNS,請參閱虛擬機器與雲端服務角色執行個體的名稱解析

VNet 中的前 100 個雲端服務具有使用 Azure 所提供 DNS 進行跨租用戶名稱解析的限制。 如果您使用自己的 DNS 伺服器,則不適用這項限制。

我是否可以根據每個虛擬機器或雲端服務來覆寫 DNS 設定?

是。 您可以根據每個虛擬機器或雲端服務設定 DNS 伺服器,以便覆寫預設網路設定。 不過,建議您盡可能使用全網路 DNS。

我可以加上自己的 DNS 尾碼嗎?

否。 您無法針對 VNet 指定自訂的 DNS 尾碼。

連接虛擬機器

我可以將 VM 部署至 VNet 嗎?

是。 所有連接至透過 Resource Manager 部署模型部署的 VM 網路介面 (NIC) 必須連接到 VNet。 透過傳統部署模型部署的 VM 可以選擇連接至 VNet。

我可以將哪些類型的 IP 位址指派至 VM?

  • 私人︰ 在每部 VM 內指派至每個 NIC。 您可使用靜態或動態方法來指派位址。 系統會根據您在 VNet 子網路設定中所指定的範圍來指派私人 IP 位址。 即使沒有連線至 VNet,透過傳統部署模型所部署的資源也會獲派私人 IP 位址。 配置方法的行為會隨著資源是以 Resource Manager 或傳統部署模型所部署的而有所不同:

    • Resource Manager:以動態或靜態方法指派的私人 IP 位址會持續指派給虛擬機器 (Resource Manager),直到資源刪除為止。 差異在於,使用靜態時是由您選取要指派的位址,使用動態時則是由 Azure 選擇。
    • 傳統:如果虛擬機器 (傳統) VM 在處於已停止 (已解除配置) 狀態之後又重新啟動,以動態方法所指派的私人 IP 位址可能會變更。 如果您需要確保透過傳統部署模型所部署之資源的私人 IP 位址永遠不會變更,請使用靜態方法來指派私人 IP 位址。
  • 公用︰選擇性地指派至與透過 Azure Resource Manager 部署模型部署的 VM 所連接的 NIC。 您可使用靜態或動態配置方法來指派位址。 所有透過傳統部署模型部署的 VM 與雲端服務角色執行個體,皆存在於受指派動態公用虛擬 IP (VIP) 位址的雲端服務內。 公用靜態 IP 位址,稱為保留的 IP 位址,可選擇性地被指派為 VIP。 您可以將公用 IP 位址指派至透過傳統部署模型部署的個別 VM 或雲端服務角色執行個體。 這些位址稱為執行個體層級公用 IP (ILPIP) 位址,且可接受動態指派。

我可以為稍後建立的 VM 保留私人 IP 位址嗎?

否。 您不能保留私人 IP 位址。 如果有可用的私人 IP 位址,則會由 DHCP 伺服器指派至虛擬機器或角色執行個體。 該虛擬機器可能不是您想要指派私人 IP 位址的目的地。 不過,您可以將已建立虛擬機器的私人 IP 位址變更為任何可用的私人 IP 位址。

VNet 中的私人 IP 位址會根據 VM 進行變更嗎?

要看情況而定。 如果是透過 Resource Manager 來部署 VM,不論 IP 位址是使用靜態還是動態配置方法指派的,都不會變更。 如果虛擬機器是透過傳統部署模型所部署的,當虛擬機器在處於已停止 (已解除配置) 狀態之後又啟動,動態 IP 位址會變更。 當虛擬機器遭到刪除時,位址會從透過任一種部署模型所部署的虛擬機器中釋放出來。

我可以在 VM 作業系統中將 IP 位址手動指派至 NIC 嗎?

是,但是除非必要 (例如,在指派多個 IP 位址給虛擬機器時),否則不建議這麼做。 如需詳細資訊,請參閱將多個 IP 位址新增至虛擬機器。 如果指派給 Azure NIC (連結至虛擬機器) 的 IP 位址變更,且虛擬機器作業系統中的 IP 位址不同,您就會失去與虛擬機器的連線。

若我在作業系統內停止雲端服務部署位置或關閉 VM,我的 IP 位址會受到影響嗎?

不做任何動作。 IP 位址 (公用 VIP、公用與私人) 仍會指派至雲端服務部署位置或 VM。

我可以將 VM 從子網路移動至 VNet 中的其他子網路而不需重新部署嗎?

是。 您可以在如何將 VM 或角色執行個體移至不同的子網路一文內找到更多資訊。

我可以針對 VM 設定靜態 MAC 位址嗎?

否。 MAC 位址無法以靜態方式設定。

當我建立虛擬機器之後 MAC 位址會保持相同的狀態嗎?

是,若是建立透過 Resource Manager 和傳統部署模型部署的 VM,MAC 位址會維持不變,直至刪除為止。 以往,當 VM 狀態為已停止 (已重新分配) 時,系統會釋放 MAC 位址,但現在即使 VM 狀態為重新分配時,MAC 位址仍會保持不變。 在網路介面遭到刪除或指派給主要網路介面之主要 IP 組態的私人 IP 位址遭到變更之前,MAC 位址會保持指派給網路介面。

我可以從 VNet 中的 VM 連線到網際網路嗎?

是。 部署在 VNet 中的所有 VM 與雲端服務角色執行個體皆可連線到網際網路。

連線到 VNet 的 Azure 服務

我可以搭配使用 Azure App Service Web Apps 和 VNet 嗎?

是。 您可以使用 ASE (App Service 環境) 在 VNet 內部部署 Web Apps、透過 VNet 整合將應用程式後端連接到 VNet,然後使用服務端點鎖定應用程式的輸入流量。 如需詳細資訊,請參閱下列文章:

我可以在 VNet 中使用 Web 和背景工作角色 (PaaS) 部署雲端服務嗎?

是。 您可以 (選擇性地) 在 VNet 內部署雲端服務角色執行個體。 若要這樣做,請在服務組態的網路組態區段中,指定 VNet 名稱和角色/子網路對應。 您不需要更新任何二進位檔。

我可以將虛擬機器擴展集連接至 VNet 嗎?

是。 您必須將虛擬機器擴展集連接至 VNet。

是否有可以從中將資源部署至 VNet 的完整 Azure 服務清單?

是,如需詳細資訊,請參閱 Azure 服務的虛擬網路整合

我該如何從 VNet 限制對 Azure PaaS 資源的存取?

透過部分 Azure PaaS 服務 (例如 Azure 儲存體和 Azure SQL Database) 部署資源,可以將網路存取權限制為只能透過使用虛擬網路服務端點或 Azure Private Link 存取 VNet。 如需詳細資訊,請參閱虛擬網路服務端點概觀Azure Private Link 概觀

我可以將服務移入和移出 VNet 嗎?

否。 您無法將服務移入和移出 VNet。 若要將資源移至另一個 VNet,您必須刪除並重新部署資源。

安全性

什麼是 VNet 的安全性模型?

VNet 會與另一個 VNet,以及其他裝載於 Azure 基礎結構中的服務隔離。 VNet 是一種信任邊界。

我可以將輸入或輸出流量限制為與 VNet 連接的資源嗎?

是。 您可以將 網路安全性群組 套用至 VNet、連接至 VNet 的 NIC 或同時在兩者以內的獨立子網路。

我可以在與 VNet 連線的資源之間實作防火牆嗎?

是。 您可以透過 Azure Marketplace 部署來自多個廠商的防火牆網路虛擬應用裝置

我可以怎樣取得關於保護 VNet 的資訊?

是。 如需詳細資訊,請參閱 Azure 網路安全性概觀

虛擬網路是否會儲存客戶資料?

否。 虛擬網路不會儲存任何客戶資料。

我可以為整個訂用帳戶設定 FlowTimeoutInMinutes 屬性嗎?

否。 此屬性必須在虛擬網路上設定。 以下項目可協助大型訂用帳戶自動設定此屬性:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API、結構描述和工具

我可以從程式碼管理 VNet 嗎?

是。 您可以在 Azure Resource Manager傳統部署模型中使用適用於 VNet 的 REST API。

是否有工具支援 VNet?

是。 深入了解如何使用:

VNet 對等互連

什麼是 VNet 對等互連?

VNet 對等互連 (或虛擬網路對等互連) 可讓您將虛擬網路連線。 虛擬網路之間的 VNet 對等互連連線可讓您私下透過 IPv4 位址在虛擬網路之間路由傳送流量。 所對等互連 VNet 中的虛擬機器可以彼此通訊,彷彿它們位於相同的網路內。 這些虛擬網路可位於相同或不同的區域 (也稱為全域 VNet 對等互連)。 VNet 對等互連連線也可以跨 Azure 訂用帳戶來建立。

我是否可對不同區域中的 VNet 建立對等互連連線?

是。 全域 VNet 可讓您對不同區域中的對等 VNet 建立對等互連。 全域 VNet 對等互連適用於所有 Azure 公用區域、中國雲端區域,以及政府雲端區域。 您無法建立從 Azure 公用區域到國家雲端區域的全域對等互連。

如果位於兩個不同區域中的兩個虛擬網路透過全域 VNet 對等互連建立對等互連連線,您就無法透過 Load Balancer 的前端 IP 連線到 Basic Load Balancer 後方的資源。 Standard Load Balancer 沒有這種限制。 下列資源可以使用 Basic Load Balancer,這表示您無法透過全域 VNet 對等互連使用 Load Balancer 前端 IP 來存取它們。 不過,您可以使用全域 VNet 對等互連,直接透過其私人 VNet IP 存取資源 (如果允許)。

  • Basic Load Balancer 後方的 VM
  • 使用 Basic Load Balancer 的虛擬機器擴展集
  • Redis 快取
  • 應用程式閘道 (v1) SKU
  • Service Fabric
  • API 管理 (stv1)
  • Active Directory Domain Service (ADDS)
  • Logic Apps
  • HDInsight
  • Azure Batch
  • App Service 環境

您可以透過 ExpressRoute 或通過 VNet 閘道的 VNet 對 VNet 來連線到這些資源。

如果我的虛擬網路屬於不同 Azure Active Directory 租用戶中的訂用帳戶,我是否可啟用 VNet 對等互連?

是。 如果您的訂用帳戶屬於不同的 Azure Active Directory 租用戶,則無法建立 VNet 對等互連 (不論是本機還是全域)。 您可以透過入口網站、PowerShell 或 CLI 執行此動作。

我的 VNet 對等互連連線處於「已起始」狀態,但為何無法連線?

如果您的對等互連連線處於「已起始」 狀態,表示您只建立了一個連結。 必須建立雙向連結,才能建立成功的連線。 例如,若要建立 VNet A 對 VNet B 的對等互連,則必須建立從 VNetA 到 VNetB 和從 VNetB 到 VNetA 的連結。 兩個連結都建立後,狀態將會變更為「已連線」。

我的 VNet 對等互連連線處於「已中斷連線」狀態,為何我無法將連線對等互連?

如果 VNet 對等互連連線處於「已中斷連線」的狀態,則表示其中一個所建立的連結已刪除。 若要重新建立對等互連連線,您必須刪除該連結,再重新建立。

我的 VNet 是否可與不同訂用帳戶中的 VNet 對等互連?

是。 您可以跨訂用帳戶和跨區域建立 VNet 的對等互連。

我是否可將兩個具有相同或重疊位址範圍的 VNet 對等互連?

否。 位址空間不可重疊,才能啟用 VNet 對等互連。

我可以在某 VNet 與兩個不同的 VNet 之間建立對等互連,同時在這兩個對等互連上啟用 [使用遠端閘道] 選項嗎?

否。 您只能在其中一個 VNet 的對等互連上啟用 [使用遠端閘道] 選項。

建立 VNet 對等互連連線無需收費。 透過對等互連連線的資料傳輸才會收費。 請參閱這裡

VNet 對等互連流量是否會加密?

當 Azure 流量在資料中心之間移動 (不是由 Microsoft 或代表 Microsoft 所控制的實體界限之外),就會在基礎網路硬體上使用 MACsec 資料連結層加密。 此功能適用於 VNet 對等互連流量。

為何我的對等互連連線處於「中斷連線」狀態?

一個 VNet 對等互連連結遭到刪除時,VNet 對等互連連線即會進入「中斷連線」狀態。 您必須將兩個連結都刪除,以重新建立成功的對等互連連線。

如果我建立 VNetA 到 VNetB 的對等互連,然後又建立 VNetB 到 VNetC 的對等互連,這是否表示 VNetA 與 VNetC 之間會有對等互連?

不可以。 目前不支援轉移的對等互連。 為此,您必須直接建立 VNetA 與 VNetC 的對等互連。

對等互連連線是否有任何頻寬限制?

不可以。 VNet 對等互連 (不論本機或全域) 並未施加任何頻寬限制。 頻寬只受限於 VM 或計算資源。

如何針對 VNet 對等互連問題進行疑難排解?

您可以嘗試我們所提供的疑難排解指南

虛擬網路 TAP

哪些 Azure 區域可用於虛擬網路 TAP?

虛擬網路 TAP 預覽適用於所有 Azure 區域。 受監視的網路介面、虛擬網路 TAP 資源以及收集器或分析解決方案,都必須部署在相同的區域。

虛擬網路 TAP 是否支援鏡像封包的任何篩選功能?

虛擬網路 TAP 預覽版不支援篩選功能。 將 TAP 設定新增到網路介面時,網路介面上所有連入和連出流量的深層複本將會串流處理到 TAP 目的地。

是否可以將多個 TAP 設定新增到受監視的網路介面?

受監視的網路介面只能有一個 TAP 設定。 請查看個別的合作夥伴解決方案,以了解如何將 TAP 流量的多個複本串流處理到您所選擇的分析工具。

相同的虛擬網路 TAP 資源,是否可以彙總來自多個虛擬網路中受監視的網路介面的流量?

是。 相同的虛擬網路 TAP 資源可用來在相同訂用帳戶或不同訂用帳戶中,彙總對等互連虛擬網路中之受監視的網路介面的鏡像流量。 虛擬網路 TAP 資源和目的地負載平衡器或目的地網路介面,必須位於相同的訂用帳戶中。 所有訂用帳戶都必須位於相同的 Azure Active Directory 租用戶下。

如果我啟用網路介面上的虛擬網路 TAP 設定,是否有任何關於生產流量的效能考量?

虛擬網路 TAP 目前處於預覽狀態。 在預覽期間,沒有任何服務等級協定。 該功能不應該用於生產工作負載。 使用 TAP 設定來啟用虛擬機器網路介面時,會使用 Azure 主機配置給虛擬機器以傳送實際執行流量的相同資源來執行鏡像功能並傳送鏡像封包。 選取正確的 LinuxWindows 虛擬機器大小,以確保有足夠的資源可供虛擬機器傳送生產流量和鏡像流量。

虛擬網路 TAP 是否支援 LinuxWindows 的加速網路?

您將能夠在連結到已啟用加速網路之虛擬機器上的網路介面上,新增 TAP 設定。 但是,新增 TAP 設定會影響虛擬機器的效能與延遲,因為 Azure 加速網路目前不支援鏡像流量的卸載。

虛擬網路服務端點

對 Azure 服務設定服務端點的正確作業順序為何?

透過服務端點來保護 Azure 服務資源的步驟有兩個:

  1. 針對 Azure 服務開啟服務端點。
  2. 在 Azure 服務上設定 VNet ACL。

第一個步驟是網路端作業,第二個步驟是服務資源端作業。 這兩個步驟可以是由相同的系統管理員執行,也可以由不同的系統管理員執行,視授與系統管理員角色的 RBAC 權限而定。 我們建議您先針對您的虛擬網路開啟服務端點,再於 Azure 服務端設定 VNet ACL。 因此,請務必按照以上所列步驟的順序來設定 VNet 服務端點。

注意

您必須先完成上述兩個作業,才能限制 Azure 服務存取所允許的 VNet 和子網路。 只在網路端針對 Azure 服務開啟服務端點不能提供您受限制的存取。 此外,您也必須在 Azure 服務端設定 VNet ACL。

某些服務 (例如 SQL 和 CosmosDB) 可透過 IgnoreMissingVnetServiceEndpoint 旗標來允許上述順序的例外狀況。 旗標設定為 True 之後,就可以先在 Azure 服務端設定 VNet ACL,再於網路端設定服務端點。 Azure 服務提供此旗標來協助客戶避免連線中斷,若 IP 防火牆是設定在 Azure 服務上,在網路端開啟服務端點可能會導致連線中斷,因為來源 IP 從公用 IPv4 位址變更為私人位址。 先在 Azure 服務端設定 VNet ACL,再於網路端設定服務端點有助於避免連線中斷。

是否所有的 Azure 服務都位在客戶提供的 Azure 虛擬網路中? VNet 服務端點如何與 Azure 服務搭配運作?

否,並非所有的 Azure 服務都位在客戶的虛擬網路中。 大部分的 Azure 資料服務 (例如 Azure 儲存體、Azure SQL 和 Azure Cosmos DB) 都是可透過公用 IP 位址來存取的多租用戶服務。 您可以在這裡深入了解 Azure 服務的虛擬網路整合。

當您使用 VNet 服務端點功能 (在網路端開啟 VNet 服務端點並在 Azure 服務端設定適當的 VNet ACL) 時,從允許的 VNet 和子網路存取 Azure 服務會受限。

VNet 服務端點如何提供安全性?

VNet 服務端點功能 (在網路端開啟 VNet 服務端點並在 Azure 服務端設定適當的 VNet ACL) 會限制 Azure 服務存取允許的 VNet 和子網路,因此可提供網路層級安全性和 Azure 服務流量的隔離。 使用 VNet 服務端點的所有流量都流經 Microsoft 骨幹,因此提供與公用網際網路的另一層隔離。 此外,客戶可選擇完全移除公用網際網路對 Azure 服務資源的存取權,僅允許來自其虛擬網路的流量 (透過 IP 防火牆和 VNet ACL 的組合),進而保護 Azure 服務資源不會被未經授權的使用者存取。

VNet 服務端點保護的是 VNet 資源或是 Azure 服務?

VNet 服務端點是協助保護 Azure 服務資源。 VNet 資源是由「網路安全性群組」(NSG) 來保護。

使用 VNet 服務端點是否有任何成本?

否,使用 VNet 服務端點沒有額外成本。

如果虛擬網路和 Azure 服務資源屬於不同子訂用帳戶,我是否可以開啟 VNet 服務端點並設定 VNet ACL?

是,可以的。 虛擬網路和 Azure 服務資源可以位在相同或不同的訂用帳戶中。 唯一的需求是虛擬網路和 Azure 服務資源必須在相同的 Active Directory (AD) 租用戶下。

如果虛擬網路和 Azure 服務資源屬於不同 AD 租用戶,是否可開啟 VNet 服務端點並設定 VNet ACL?

是,使用適用於 Azure 儲存體和 Azure Key Vault 的服務端點時,這是可行方式。 至於其餘服務,AD 租用戶不支援 VNet 服務端點和 VNet ACL。

透過 Azure 虛擬網路閘道 (VPN) 或 Express Route 閘道連線之內部部署裝置的 IP 位址,是否可透過 VNet 服務端點存取 Azure PaaS 服務?

根據預設,從內部部署網路無法觸達放到虛擬網路保護的 Azure 服務資源。 如果需要允許來自內部部署的流量,您也必須允許內部部署或 ExpressRoute 中的公用 (通常是 NAT) IP 位址。 透過 Azure 服務資源的 IP 防火牆設定,可以新增這些 IP 位址。

是否可以使用 VNet 服務端點功能,保護單一虛擬網路或多個虛擬網路中多個子網路的 Azure 服務安全?

若要保護單一虛擬網路或多個虛擬網路中多個子網路的 Azure 服務安全,請分別在每個子網路的網路端啟用服務端點,然後在 Azure 服務端設定適當的 VNet ACL 以保護所有子網路的 Azure 服務資源。

如何篩選從虛擬網路流向 Azure 服務的輸出流量,但仍然使用服務端點?

如果您想檢查或篩選從虛擬網路送到 Azure 服務的流量,可以在虛擬網路內部署網路虛擬設備。 接著,您可以將服務端點套用到網路虛擬設備部署所在的子網路,並透過 VNet ACL 將 Azure 服務資源只保護到該子網路。 如果您想要使用網路虛擬設備篩選,讓來自虛擬網路的 Azure 服務只能存取特定 Azure 資源,則此案例可能也有幫助。 如需詳細資訊,請參閱使用網路虛擬設備輸出

當您存取的 Azure 服務帳戶是從 VNet 外部啟用虛擬網路存取控制清單 (ACL) 時,會發生什麼事?

傳回 HTTP 403 或 HTTP 404 錯誤。

在不同區域中建立的虛擬網路是否可存取另一個區域中的 Azure 服務帳戶?

是,對於大部分的 Azure 服務,在不同區域中建立的虛擬網路可透過 VNet 服務端點存取位在另一個區域中的 Azure 服務。 例如,如果 Azure Cosmos DB 帳戶位於美國西部或美國東部,而虛擬網路位於多個區域,則虛擬網路可存取 Azure Cosmos DB。 儲存體和 SQL 是例外,它們本質上具有地區性,且虛擬網路和 Azure 服務都需要在相同區域中。

Azure 服務是否可以同時使用 VNet ACL 和 IP 防火牆?

是,VNet ACL 和 IP 防火牆可以共存。 這兩個功能彼此互補以確保隔離和安全性。

如果刪除的虛擬網路或子網路有針對 Azure 服務開啟的服務端點,會發生什麼事?

VNet 和子網域的刪除是獨立的作業,即使已針對 Azure 服務開啟服務端點也支援。 如果 Azure 服務已設定 VNet ACL,則就這些 VNet 和子網路而言,一旦刪除已開啟 VNet 服務端點的 VNet 或子網路,即會停用與該 Azure 服務相關聯的 VNet ACL 資訊。

如果刪除已啟用 VNet 服務端點的 Azure 服務帳戶,會發生什麼事?

刪除 Azure 服務帳戶是一項獨立作業,即使已在網路端啟用服務端點並在 Azure 服務端設定 VNet ACL,仍會支援此作業執行。

啟用 VNet 服務端點的資源 (如子網路中的 VM) 的 IP 位址會發生什麼事?

當虛擬網路服務端點啟用時,您虛擬網路中的資源用來傳送流量至 Azure 服務的來源 IP 位址,會從使用公用 IPV4 位址切換為使用 Azure 虛擬網路的私人位址。 請注意,這可能會造成之前在 Azure 服務上設定使用公用 IPV4 位址的特定 IP 防火牆失敗。

服務端點路由是否一律享有優先權?

服務端點會新增優先於 BGP 路由的系統路由,並為服務端點流量提供最佳路由傳送。 服務端點接受的服務流量,一律都是直接從您的虛擬網路到 Microsoft Azure 骨幹網路上的服務。 如需 Azure 如何選取路由的詳細資訊,請參閱 Azure 虛擬網路流量路由傳送

服務端點是否可與 ICMP 搭配使用?

不可以,若 ICMP 流量的來源為已啟用服務端點的子網路,就不會採用所需端點的服務通道路徑。 服務端點只會處理 TCP 流量。 這表示,如果您想要透過服務端點來測試端點的延遲或連線,ping 和 tracert 之類的工具將不會顯示該子網路資源採用的真正路徑。

子網路上的 NSG 如何搭配服務端點運作?

為了與 Azure 服務建立連線,NSG 需要允許輸出連線。 如果您的 NSG 對所有網際網路輸出流量都是開放的,服務端點流量應該就能運作。 您也可以使用「服務」標籤,限制輸出流量只有流向服務 IP 的流量。

設定服務端點需要哪些權限?

擁有虛擬網路寫入權的使用者,可以在虛擬網路上個別設定服務端點。 若要保護 VNet 的 Azure 服務資源安全,使用者必須具備權限 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action,以便新增子網路。 此權限預設會隨附在內建的服務管理員角色中,可藉由建立自訂角色加以修改。 深入了解內建角色以及如何將特定權限指派給自訂角色

是否可以篩選流向 Azure 服務的虛擬網路流量,僅允許特定 Azure 服務資源的流量經過 VNet 服務端點?

虛擬網路 (VNet) 服務端點原則可讓您篩選 Azure 服務的虛擬網路流量,僅允許特定 Azure 服務資源經過服務端點。 服務端點原則可針對流向 Azure 服務的虛擬網路流量提供細部的存取控制。 您可以在此深入了解服務端點原則。

Azure Active Directory (Azure AD) 支援 VNet 服務端點嗎?

Azure Active Directory (Azure AD) 原本不支援服務端點。 您可以在這裡查看支援 VNet 服務端點的 Azure 服務完整清單。 請注意,在支援服務端點的服務下方所列的 "Microsoft.AzureActiveDirectory" 標籤可用來支援使用 ADLS Gen 1 的服務端點。 就 ADLS Gen 1 而言,Azure Data Lake Storage Gen1 的虛擬網路整合會在虛擬網路與 Azure Active Directory (Azure AD) 之間使用虛擬網路服務端點安全性,以在存取權杖中產生額外的安全性宣告。 這些宣告隨後會用來對 Data Lake Storage Gen1 帳戶驗證虛擬網路並允許存取。 深入了解 Azure Data Lake Store Gen 1 VNet 整合

從我的 VNet 能設定的 VNet 服務端點數量是否有限制?

虛擬網路中的 VNet 服務端點總數沒有限制。 對於 Azure 服務資源 (例如,Azure 儲存體帳戶),服務可能會強制執行用來保護資源的子網路數目限制。 下表顯示一些範例限制:

Azure 服務 VNet 規則的限制
Azure 儲存體 200
Azure SQL 128
Azure Synapse Analytics 128
Azure KeyVault 200
Azure Cosmos DB 64
Azure 事件中樞 128
Azure 服務匯流排 128
Azure Data Lake Store V1 100

注意

限制會隨 Azure 服務而變更。 請參閱個別的服務文件以取得服務詳細資料。

移轉傳統網路資源至 Resource Manager

Azure Service Manager 為何,而傳統一詞指什麼?

Azure Service Manager 是 Azure 的舊部署模型,負責建立、管理和刪除資源。 網路服務中的傳統是指 Azure Service Manager 模型所管理的資源。 如需詳細資訊,請參閱部署模型比較

什麼是 Azure Resource Manager?

Azure Resource Manager 是 Azure 中負責建立、管理、刪除 Azure 訂用帳戶中資源的最新部署和管理模型。 如需詳細資訊,請參閱什麼是 Azure Resource Manager API?

在資源認可至 Resource Manager 後,是否可以還原移轉?

只要資源仍處於準備狀態,您可以取消移轉。 資源透過認可作業成功移轉後,不支援復原至先前部署模型。

若認可作業失敗,是否可以還原移轉?

若認可作業失敗,則無法還原移轉。 包含認可作業的所有移轉作業開始後即無法變更。 建議您稍後再重試作業。 若作業持續失敗,請提交支援要求。

我是否可以驗證訂用帳戶或資源,以查看是否能夠移轉它們?

是。 作為移轉程序的一部分,準備移轉的第一步是驗證資源是否可以進行移轉。 若驗證作業失敗,您會收到無法完成移轉的所有原因。

Resource Manager VNet 移轉是否會將應用程式閘道資源視為傳統?

應用程式閘道資源不會在 VNet 移轉流程中自動移轉。 若虛擬網路中有一個,則移轉不會成功。 若要移轉應用程式閘道資源至 Resource Manager,您必須移除應用程式閘道,移轉完成後再重新建立。

Resource Manager VNet 移轉會將 VPN 閘道視為傳統進行移轉?

VPN 閘道資源會移轉是 VNet 移轉流程的一部分。 移轉一次完成一個虛擬網路,不需要其他需求。 移轉步驟與沒有 VPN 閘道的虛擬網路移轉相同。

移轉傳統 VPN 閘道至 Resource Manager 是否會發生服務中斷?

移轉至 Resource Manager 時,VPN 連線不會發生服務中斷。 因此移轉過程中,現有工作負載會繼續運作,不會失去內部連線能力。

VPN 閘道移轉至 Resource Manager 後,是否需要重新設定內部部署裝置?

移轉完成後,與 VPN 閘道相關聯的公用 IP 位址仍維持不便。 您不需要重新設定內部部署路由器。

傳統 VPN 閘道移轉至 Resource Manager 支援的案例為何?

傳統至 Resource Manager 的移轉涵蓋最常見的 VPN 連線案例。 支援的案例包括:

  • 點對站連線能力

  • 站台對站台與連線到內部部署位置之 VPN 閘道的連線能力

  • 使用 VPN 閘道的兩個虛擬網路間的 VNet 對 VNet 連線能力

  • 多個 Vnet 連接到相同內部部署位置

  • 多站台連線能力

  • 強制通道已啟用虛擬網路

傳統 VPN 閘道移轉至 Resource Manager 不支援的案例為何?

不支援的案例包括:

  • 目前不支援具有 ExpressRoute 閘道和 VPN 閘道的虛擬網路。

  • 具有 ExpressRoute 閘道的虛擬網路連線至不同訂用帳戶中的電路。

  • 傳輸 VM 擴充功能連線到內部部署伺服器的案例。

哪裡可以找到關於傳統移轉至 Azure Resource Manager 的詳細資訊?

如需詳細資訊,請參閱關於傳統移轉至 Azure Resource Manager 的常見問題集

如何回報問題?

您可以在 Microsoft Q&A 頁面上張貼所面臨的移轉問題。 建議在此論壇上張貼所有問題。 若有支援合約,您亦可提出支援要求。