虚拟网络相关概念

Azure 虚拟网络相关该概念

•地址空间: 地址空间: 创建 VNet 时,必须使用公共和专用 (RFC 1918) 地址指定自定义的专用 IP 地址空间。Azure 从分配的地址空间中向虚拟网络中的资源分配一个专用 IP 地址。 例如,如果在地址空间为 10.0.0.0/16 的 VNet 中部署某个 VM,将为该 VM 分配类似于 10.0.0.4 的专用 IP。

• 子网:使用子网可将虚拟网络划分为一个或多个子网络,并向每个子网分配一部分虚拟网络地址空间。 然后,可以在特定的子网中部署 Azure 资源。 就像在传统网络中一样,使用子网可将 VNet 地址空间划分为适合组织内部网络的网段。 这还会提高地址分配效率。 可以使用网络安全组保护子网中的资源。

• 区域:VNet 局限于一个区域/位置;但是,可以使用虚拟网络对等互连将不同区域的多个虚拟网络连接起来。比如东亚和美西区域,可以通过对等互联连接起来。

IT规划网络先行

规划虚拟网络的最佳做法:

  • 确保地址空间不重叠
  • 不要覆盖整个 VNet 地址空间,提前规划,为将来留出一些地址空间
  • 配置一些较大的 VNet(而不是许多小型 VNet)
  • 通过将 NSG (网络安全组)分配给子网来保护 VNet

虚拟网络与Internet通讯

•默认情况下允许出站流量(例如从VNET的VM访问Azure 外部的IP,例如百度)

•可以通过公共IP地址和公共负载均衡器提供入站流量:(例如从你的办公室访问Azure 虚拟网络)

虚拟网络与本地资源通讯

与本地资源进行通信:(例如与你的私有数据中心或者办公室网络)

•点到站点虚拟专用网络 (P2S VPN):在网络中的虚拟网络和单台计算机之间建立连接。要与虚拟网络 建立连接的每台计算机必须配置其连接。这种连接类型适用于刚开始使用 Azure 的人员或开发人员, 因为该连接类型仅需对现有网络进行极少更改或不作任何更改。计算机与虚拟网络之间的通信经 Internet 通过加密的通道来发送。

•站点到站点 VPN (S2S VPN):在本地 VPN 设备和虚拟网络中部署的 Azure VPN 网关之间建立连 接。此连接类型可使授权的任何本地资源访问虚拟网络。本地 VPN 设备和 Azure VPN 网关之间的通信经 Internet 通过加密通道来发送。

•Azure ExpressRoute:通过 ExpressRoute 合作伙伴在网络和 Azure 之间建立连接。此连接是专用 连接。流量不经过 Internet。

虚拟网络流量筛选

可使用以下两个选项中的任意一个或使用这两个筛选子网之间的网络流量:

•可以使用网络安全组(nsg)来筛选虚拟网络子网的入站和出站网络流量。 网络安全组包含安全规则,这些规则可按 IP 地址、端口和协议筛选网络流量。 安全规则应用到子网中部署的资源。

•NVA:网络虚拟设备 (NVA) 是可执行网络功能(例如防火墙、WAN 优化或其他网络 功能)的 VM。

修改虚拟网络默认路由

默认情况下,Azure 在子网、连接的虚拟网络、本地网络以及 Internet 之间路由流量。可实现以下两个选项中的任意一个或同时实现二者,以替代 Azure 创建的默认路由:

•路由表:可创建自定义路由表,其中包含可控制每个子网流量路由到何处的路由。

•边界网关协议 (BGP) 路由:如果使用 Azure VPN 网关或 ExpressRoute 连接将虚拟网络连接到本地 网络,则可将本地 BGP 路由传播到虚拟网络。

Azure服务的虚拟网络集成

Azure 的很多PaaS 服务具备虚拟网络集成功能,例如Azure database for MySql,App service 等:

•将服务的专用实例部署到 VNet 中 使用专用链接

•使用服务终结点

虚拟网络对等互联和VPN网关的相同点

二者都可以支持:

  • 不同区域的虚拟网络
  • 不同 Azure Active Directory 租户中的虚拟网络
  • 不同 Azure 订阅中的虚拟网络
  • 使用混合 Azure 部署模型的虚拟网络

虚拟网络对等互联和VPN的选择

•虚拟网络对等互连。虚拟网络对等互连连接两个 Azure 虚拟网络。对等互连虚拟网络中虚拟机之间的流量仅通过私有 IP 地址经 Microsoft 骨干基础结构进行路由。不涉及公共互联网。你还可以跨 Azure 区域对等互连虚拟网络(全局对等互连)。

•VPN 网关。VPN 网关是一种特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送流量。也可以使用 VPN 网关在 Azure 虚拟网络之间发送流量。每个虚拟网络仅能有一个 VPN 网关。

•虚拟网络对等互连提供了低延迟、高带宽的连接。路径中没有网关,因此没有多余的跃点,从而确保了低延迟的连接。在跨区域数据复制和数据库故障转移等场景中很有用。由于流量是私有的,并保留在 Microsoft 主干上,因此,如果你具有严格的数据策略,并且希望避免通过 Internet 发送任何流量,则也应考虑虚拟网络对等互连。

•VPN 网关提供有限的带宽连接,在需要加密但可以忍受带宽限制的情况下很有用。在这些场景下,客户也不会对延迟敏感。

个人建站、企业建站,域名注册、小程序、云服务器、物理主机等业务,咨询蓝队云客服微信:landui507 蓝队云官方网站:www.landui.com/?codepub

未经允许不得转载:云技术 » 虚拟网络相关概念

赞 (0)