• Digitaaliset tarvikkeet
  • Palvelin
  • Digitaalinen elämä
  • Tietosuojakäytäntö
  • Ota meihin yhteyttä
  1. Home
  2. Article
  3. Azure Virtual Network FAQ | Microsoft Docs

Azure Virtual Network FAQ | Microsoft Docs

Rsdaa 07/12/2021 1891

Azure Virtual Network usein kysytyt kysymykset (FAQ)

26.06.202029 minuuttia aikaa lukea

Tämä artikkeli

Virtual Networkin perusteet

Mikä on Azure Virtual Network (VNet)?

Azure Virtuaaliverkko (VNet) on esitys omasta verkkostasi pilvessä. Se on tilauksellesi omistettu Azure-pilven looginen eristys. Voit käyttää VNettejä virtuaalisten yksityisten verkkojen (VPN) luomiseen ja hallintaan Azuressa ja valinnaisesti linkittää VNets muihin Azuren virtuaaliverkkoihin tai paikalliseen IT-infrastruktuuriin luodaksesi hybridi- tai yritysten välisiä ratkaisuja. Jokaisella luomallasi VNetillä on oma CIDR-lohko, ja se voidaan linkittää muihin VNeteihin ja paikallisiin verkkoihin, kunhan CIDR-lohkot eivät mene päällekkäin. Voit myös hallita VNet-verkkojen DNS-palvelinasetuksia ja segmentoida VNet aliverkkoihin.

VNet-verkkojen avulla:

Luo oma yksityinen pilvipalveluun tarkoitettu VNet. Joskus et vaadi toimitilojen välistä määritystä ratkaisullesi. Kun luot VNetin, palvelusi ja VM:si voivat kommunikoida toistensa kanssa suoraan ja turvallisesti pilvessä. Voit edelleen määrittää päätepisteyhteydet virtuaalisille koneille ja palveluille, jotka edellyttävät Internet-yhteyttä osana ratkaisuasi.

Laajenna palvelinkeskustasi turvallisesti. VNets-verkkojen avulla voit rakentaa perinteisiä S2S-VPN-verkkoja skaalataksesi tietokeskuksesi kapasiteettia turvallisesti. S2S VPN:t käyttävät IPSEC:tä suojatun yhteyden tarjoamiseen yrityksesi VPN-yhdyskäytäväsi ja Azuren välillä.

Ota käyttöön hybridipilviskenaariot. VNetit antavat sinulle joustavuuden tukea useita hybridipilviskenaarioita. Voit yhdistää pilvipohjaisia ​​sovelluksia turvallisesti minkä tahansa tyyppisiin paikallisiin järjestelmiin, kuten keskustietokoneisiin ja Unix-järjestelmiin.

Miten pääsen alkuun?

Aloita käymällä virtuaaliverkon ohjeissa. Tämä sisältö tarjoaa yleiskatsauksen ja käyttöönottotiedot kaikista VNet-ominaisuuksista.

Voinko käyttää VNettejä ilman toimitilojen välistä yhteyttä?

Kyllä. Voit käyttää VNetiä yhdistämättä sitä tiloihin. Voit esimerkiksi käyttää Microsoft Windows Server Active Directory -toimialueen ohjaimia ja SharePoint-farmia vain Azure VNetissä.

Voinko suorittaa WAN-optimoinnin VNet-verkkojen tai VNetin ja paikallisen palvelinkeskukseni välillä?

Kyllä. Voit ottaa käyttöön WAN-optimointiverkon virtuaalisen laitteen useilta toimittajilta Azure Marketplacen kautta.

Määritys

Voit luoda tai määrittää VNetin seuraavilla työkaluilla:

Mitä osoitealueita voin käyttää virtuaaliverkoissani?

Suosittelemme, että käytät RFC 1918:ssa lueteltuja osoitealueita, jotka IETF on varannut yksityisille, ei-reititettäville osoiteavaruksille:

10.0.0.0 - 10.255.255.255(10/8 etuliite)172.16.0.0 - 172.31.255.255(172.16/12 etuliite)192.168.0.0 - 192.168.5) (toinen osoite 6p.25.19p.25. saattaa toimia, mutta voi olla ei-toivottuja sivuvaikutuksia.

Lisäksi seuraavia osoitealueita ei voi lisätä:

224.0.0.0/4 (Multicast)255.255.255.255/32 (Lähetys)127.0.0.0/8 (Loopback)169.254.0.0/16 (Link-paikallinen)168.63.129.16/32 julkinen (Sisäinen C) IP-osoitteet virtuaaliverkoissani?

Kyllä. Lisätietoja julkisista IP-osoitealueista on kohdassa Virtuaaliverkon luominen. Julkisiin IP-osoitteisiin ei pääse suoraan Internetistä.

Onko virtuaaliverkossani olevien aliverkkojen lukumäärää rajoitettu?

Kyllä. Katso lisätietoja Azure-rajoituksista. Aliverkon osoiteavaruudet eivät voi mennä päällekkäin.

Onko IP-osoitteiden käytölle näissä aliverkoissa rajoituksia?

Kyllä. Azure varaa 5 IP-osoitetta kustakin aliverkosta. Nämä ovat x.x.x.0-x.x.x.3 ja aliverkon viimeinen osoite. x.x.x.1-x.x.x.3 on varattu kussakin aliverkossa Azure-palveluille.

x.x.x.0: Verkko-osoitex.x.x.1: Azuren varaama oletusyhdyskäytävällex.x.x.2, x.x.x.3: Azure varannut Azuren DNS-IP-osoitteet yhdistämään VNet spacex.x.x.255: Verkkolähetysosoite aliverkoille, joiden koko on /25 ja suurempi. Tämä on eri osoite pienemmissä aliverkoissa.

Kuinka pieniä ja kuinka suuria VNetit ja aliverkot voivat olla?

Pienin tuettu IPv4-aliverkko on /29 ja suurin on /2 (käytettäessä CIDR-aliverkkoa IPv6-aliverkkojen on oltava kooltaan täsmälleen /64.

Voinko tuoda VLAN-verkkoni Azureen VNet-verkkojen avulla?

Ei. VNet-verkot ovat kerroksen 3 peittokuvia. Azure ei tue Layer-2:n semantiikkaa.

Voinko määrittää mukautettuja reitityskäytäntöjä virtuaaliverkkoihini ja aliverkkoihini?

Kyllä. Voit luoda reittitaulukon ja liittää sen aliverkkoon. Lisätietoja reitityksestä Azuressa on kohdassa Reitityksen yleiskatsaus.

Tukevatko virtuaaliverkot monilähetystä tai lähetystä?

Ei. Multicastia ja lähetystä ei tueta.

Mitä protokollia voin käyttää VNeteissä?

Voit käyttää VNetissä TCP-, UDP- ja ICMP TCP/IP-protokollia. Unicast on tuettu VNetissä, paitsi Dynamic Host Configuration Protocol (DHCP) Unicastin kautta (lähdeportti UDP/68 / kohdeportti UDP/67) ja UDP-lähdeportti 65330, joka on varattu isännälle. Multicast-, broadcast-, IP-in-IP-kapseloidut paketit ja Generic Routing Encapsulation (GRE) -paketit estetään virtuaaliverkoissa.

Voinko pingata oletusreitittimiäni VNetissä?

Ei.

Voinko käyttää tracertiä yhteyden diagnosointiin?

Ei.

Voinko lisätä aliverkkoja VNetin luomisen jälkeen?

Kyllä. Aliverkkoja voidaan lisätä VNeteihin milloin tahansa, kunhan aliverkon osoitealue ei ole osa toista aliverkkoa ja virtuaaliverkon osoitealueella on vapaata tilaa.

Voinko muuttaa aliverkkoni kokoa sen luomisen jälkeen?

Kyllä. Voit lisätä, poistaa, laajentaa tai pienentää aliverkkoa, jos siinä ei ole käytössä virtuaalisia koneita tai palveluita.

Voinko muokata Vnet-verkkoa luomiseni jälkeen?

Kyllä. Voit lisätä, poistaa ja muokata VNetin käyttämiä CIDR-lohkoja.

Jos käytän palvelujani VNetissä, voinko muodostaa yhteyden Internetiin?

Kyllä. Kaikki VNetissä käyttöönotetut palvelut voivat muodostaa yhteyden Internetiin. Lisätietoja lähtevistä Internet-yhteyksistä Azuressa on kohdassa Lähtevät yhteydet. Jos haluat muodostaa yhteyden saapuvan Resource Managerin kautta käyttöön otettuun resurssiin, resurssilla on oltava julkinen IP-osoite. Lisätietoja julkisista IP-osoitteista on kohdassa Julkiset IP-osoitteet. Jokaiselle Azuressa käyttöönotetulle Azure Cloud Servicelle on määritetty julkisesti osoitettava VIP. Määrität syöttöpäätepisteet PaaS-rooleille ja päätepisteet virtuaalikoneen, jotta nämä palvelut voivat hyväksyä yhteyksiä Internetistä.

Tukevatko VNetit IPv6:ta?

Kyllä, VNetit voivat olla vain IPv4- tai kaksoispinoisia (IPv4+IPv6). Katso lisätietoja kohdasta Yleiskatsaus IPv6:sta Azure Virtual Networksille.

Voiko VNet kattaa alueita?

Ei. VNet on rajoitettu yhdelle alueelle. Virtuaalinen verkko kattaa kuitenkin käytettävyysalueet. Saat lisätietoja käytettävyysvyöhykkeistä kohdasta Saatavuusalueiden yleiskatsaus. Voit yhdistää virtuaaliverkkoja eri alueilla virtuaalisen verkon peeringillä. Lisätietoja on kohdassa Virtuaaliverkon peeringin yleiskatsaus

Voinko yhdistää VNetin toiseen VNetiin Azuressa?

Kyllä. Voit yhdistää yhden VNetin toiseen VNetiin käyttämällä jompaakumpaa:

Nimen resoluutio (DNS)

Mitä DNS-vaihtoehtoni ovat VNet-verkkoille?

Käytä VM:ien ja rooliinstanssien nimenratkaisusivun päätöstaulukkoa opastaaksesi sinua kaikissa DNS-vaihtoehdot käytettävissä.

Voinko määrittää DNS-palvelimet VNetille?

Kyllä. Voit määrittää DNS-palvelimen IP-osoitteet VNet-asetuksissa. Asetusta käytetään oletusarvoisena DNS-palvelimena kaikille virtuaalikoneille VNetissä.

Kuinka monta DNS-palvelinta voin määrittää?

Katso Azure-rajoitukset.

Voinko muokata DNS-palvelimiani verkon luomisen jälkeen?

Kyllä. Voit muuttaa VNet-verkkosi DNS-palvelinluetteloa milloin tahansa. Jos muutat DNS-palvelinluetteloasi, sinun on uusittava DHCP-vuokrasopimus kaikille VNetin VM:ille, jotta uudet DNS-asetukset tulevat voimaan. Windows-käyttöjärjestelmää käyttävillä virtuaalikoneilla voit tehdä tämän kirjoittamalla ipconfig /renew suoraan virtuaalikoneeseen. Katso muiden käyttöjärjestelmätyyppien DHCP-vuokrauksen uusimisasiakirjat tietylle käyttöjärjestelmätyypille.

Mikä on Azuren tarjoama DNS ja toimiiko se virtuaaliverkkojen kanssa?

Azuren tarjoama DNS on Microsoftin tarjoama usean vuokraajan DNS-palvelu. Azure rekisteröi kaikki virtuaalikoneesi ja pilvipalvelurooliesiintymäsi tähän palveluun. Tämä palvelu tarjoaa nimenselvityksen isäntänimen perusteella samaan pilvipalveluun sisältyville virtuaalisille koneille ja rooliesiintymille ja FQDN:n avulla virtuaalisille koneille ja rooliinstanssille samassa VNetissä. Lisätietoja DNS:stä on kohdassa Virtuaalisten koneiden ja pilvipalveluiden rooliinstanssien nimenratkaisu.

Vnetin 100 ensimmäistä pilvipalvelua koskevat rajoitukset vuokralaisten välisen nimen selvittämisessä Azuren tarjoaman DNS:n avulla. Jos käytät omaa DNS-palvelinta, tämä rajoitus ei koske.

Voinko ohittaa DNS-asetukset VM- tai pilvipalvelukohtaisesti?

Kyllä. Voit asettaa DNS-palvelimet VM- tai pilvipalvelukohtaisesti ohittamaan verkon oletusasetukset. On kuitenkin suositeltavaa, että käytät verkon laajuista DNS:ää mahdollisimman paljon.

Voinko tuoda oman DNS-liitteeni?

Ei. Et voi määrittää mukautettua DNS-liitettä VNeteillesi.

Virtuaalikoneiden yhdistäminen

Voinko ottaa virtuaalikoneita käyttöön virtuaaliverkkoon?

Kyllä. Kaikki Resource Managerin käyttöönottomallin kautta käyttöön otettuun virtuaalikoneeseen liitetyt verkkoliitännät (NIC) on liitettävä VNetiin. Klassisen käyttöönottomallin kautta käyttöön otetut virtuaalikoneet voidaan valinnaisesti yhdistää VNetiin.

Mitä erityyppisiä IP-osoitteita voin määrittää virtuaalikoneille?

Yksityinen: määritetty jokaiselle virtuaalikoneen verkkokortille. Osoite määritetään joko staattisella tai dynaamisella menetelmällä. Yksityiset IP-osoitteet määritetään alueelta, jonka määritit VNet-aliverkkoasetuksissa. Klassisen käyttöönottomallin avulla käyttöönotetuille resursseille määritetään yksityiset IP-osoitteet, vaikka ne eivät olisi yhteydessä VNetiin. Varausmenetelmän käyttäytyminen vaihtelee sen mukaan, otettiinko resurssi käyttöön Resource Managerilla vai perinteisellä käyttöönottomallilla:

Resurssien hallinta: Dynaamisella tai staattisella menetelmällä määritetty yksityinen IP-osoite säilyy virtuaalikoneen (resurssien hallintaohjelman) avulla, kunnes resurssi poistetaan. Erona on se, että valitset määritettävän osoitteen, kun käytät staattista ominaisuutta, ja Azure valitsee sen, kun käytät dynaamista. Klassinen: Dynaamalla menetelmällä määritetty yksityinen IP-osoite voi muuttua, kun virtuaalikoneen (klassinen) VM käynnistetään uudelleen sen jälkeen, kun se on ollut pysäytettynä. (vapautettu) tila. Jos sinun on varmistettava, että perinteisen käyttöönottomallin avulla käyttöön otetun resurssin yksityinen IP-osoite ei koskaan muutu, määritä yksityinen IP-osoite staattisen menetelmän avulla.

Julkinen: Valinnaisesti määritetty verkkokorteille, jotka on liitetty Azure Resource Managerin kautta käyttöön otettuihin virtuaalikoneisiin käyttöönottomalli. Osoite voidaan määrittää staattisella tai dynaamisella allokointimenetelmällä. Kaikki perinteisen käyttöönottomallin kautta käyttöön otetut VM:t ja pilvipalveluiden rooliinstanssit ovat pilvipalvelussa, jolle on määritetty dynaaminen, julkinen virtuaalinen IP (VIP) -osoite. Julkinen staattinen IP-osoite, jota kutsutaan varatuksi IP-osoitteeksi, voidaan valinnaisesti määrittää VIP-osoitteeksi. Voit määrittää julkisia IP-osoitteita yksittäisille VM- tai Cloud Services -rooliesiintymille, jotka on otettu käyttöön perinteisen käyttöönottomallin avulla. Näitä osoitteita kutsutaan ilmentymätason julkisiksi IP-osoitteiksi (ILPIP-osoitteiksi ja ne voidaan määrittää dynaamisesti.

Voinko varata yksityisen IP-osoitteen virtuaaliselle koneelle, jonka luon myöhemmin?

Ei. Et voi varata yksityistä IP-osoitetta. Jos yksityinen IP-osoite on saatavilla, DHCP-palvelin määrittää sen virtuaalikoneelle tai rooliinstanssille. Virtuaalinen kone voi olla se, jolle haluat määrittää yksityisen IP-osoitteen. Voit kuitenkin muuttaa jo luodun virtuaalikoneen yksityisen IP-osoitteen mihin tahansa käytettävissä olevaan yksityiseen IP-osoitteeseen.

Vaihtuvatko virtuaalikoneen yksityiset IP-osoitteet virtuaaliverkossa?

Se riippuu. Jos virtuaalikone otettiin käyttöön Resource Managerin kautta, ei, riippumatta siitä, onko IP-osoite määritetty staattisen vai dynaamisen allokointimenetelmän avulla. Jos virtuaalikone otettiin käyttöön perinteisen käyttöönottomallin avulla, dynaamiset IP-osoitteet voivat muuttua, kun virtuaalikone käynnistetään sen jälkeen, kun se on ollut pysäytettynä (vapautettu). Osoite vapautetaan virtuaalisesta koneesta, joka on otettu käyttöön jommankumman käyttöönottomallin kautta, kun virtuaalikone poistetaan.

Voinko määrittää IP-osoitteita manuaalisesti virtuaalikoneen käyttöjärjestelmässä oleville verkkokortteille?

Kyllä, mutta sitä ei suositella, ellei se ole välttämätöntä, esimerkiksi määritettäessä useita IP-osoitteita virtuaalikoneen. Katso lisätietoja kohdasta Useiden IP-osoitteiden lisääminen virtuaalikoneeseen. Jos virtuaalikoneeseen liitetylle Azure NIC:lle määritetty IP-osoite muuttuu ja VM-käyttöjärjestelmän IP-osoite on erilainen, menetät yhteyden virtuaalikoneeseen.

Jos pysäytän Cloud Servicen käyttöönottopaikan tai sammutan virtuaalikoneen käyttöjärjestelmästä, mitä tapahtuu IP-osoitteilleni?

Ei mitään. IP-osoitteet (julkinen VIP, julkinen ja yksityinen) pysyvät määritettyinä pilvipalvelun käyttöönottopaikalle tai virtuaalikoneelle.

Voinko siirtää virtuaalikoneita yhdestä aliverkosta toiseen aliverkkoon VNetissä ilman uudelleenasennusta?

Kyllä. Saat lisätietoja artikkelista Virtuaalikoneen tai rooliinstanssin siirtäminen toiseen aliverkkoon.

Voinko määrittää VM:lle staattisen MAC-osoitteen?

Ei. MAC-osoitetta ei voi määrittää staattisesti.

Säilyykö virtuaalikoneeni MAC-osoite samana, kun se on luotu?

Kyllä, MAC-osoite pysyy samana sekä Resource Managerin että perinteisten käyttöönottomallien kautta käyttöön otetuissa virtuaalikoneissa, kunnes se poistetaan. Aiemmin MAC-osoite vapautettiin, jos VM pysäytettiin (varattu), mutta nyt MAC-osoite säilyy, vaikka virtuaalikone olisi vapautetussa tilassa. MAC-osoite pysyy määritettynä verkkoliitännälle, kunnes verkkoliitäntä poistetaan tai ensisijaisen verkkoliitännän ensisijaiselle IP-konfiguraatiolle määritetty yksityinen IP-osoite muutetaan.

Voinko muodostaa yhteyden Internetiin virtuaalikoneesta VNetissä?

Kyllä. Kaikki virtuaalikoneen ja pilvipalveluiden rooliinstanssit, jotka on otettu käyttöön VNetissä, voivat muodostaa yhteyden Internetiin.

Azure-palvelut, jotka muodostavat yhteyden VNeteihin

Voinko käyttää Azure App Service Web Appsia virtuaaliverkon kanssa?

Kyllä. Voit ottaa verkkosovelluksia käyttöön VNetissä ASE:n (App Service Environment) avulla, yhdistää sovellusten taustan VNet-verkkoihisi VNet Integrationin avulla ja lukita sovellukseesi tulevan liikenteen palvelun päätepisteiden avulla. Lisätietoja on seuraavissa artikkeleissa:

Voinko ottaa pilvipalvelut käyttöön verkko- ja työntekijärooleilla (PaaS) VNetissä?

Kyllä. Voit (valinnaisesti) ottaa käyttöön Cloud Services -rooliesiintymiä VNeteissä. Voit tehdä tämän määrittämällä VNet-nimen ja rooli-/aliverkkomääritykset palvelukokoonpanon verkkomääritysosiossa. Sinun ei tarvitse päivittää mitään binääriäsi.

Voinko yhdistää virtuaalikoneen mittakaavan VNetiin?

Kyllä. Sinun on yhdistettävä virtuaalikoneen mittakaavajoukko VNetiin.

Onko olemassa täydellinen luettelo Azure-palveluista, joista voin ottaa resursseja käyttöön VNetissä?

Kyllä. Katso lisätietoja kohdasta Virtuaaliverkon integrointi Azure-palveluille.

Kuinka voin rajoittaa pääsyä Azure PaaS -resursseihin VNetistä?

Resurssit, jotka on otettu käyttöön joidenkin Azure PaaS -palvelujen (kuten Azure Storage ja Azure SQL Database) kautta, voivat rajoittaa verkkokäyttöä VNetiin virtuaalisen verkkopalvelun päätepisteistä tai Azure Private Linkistä. Katso lisätietoja kohdista Virtuaaliverkkopalvelun päätepisteiden yleiskatsaus, Azure Private Link -yleiskatsaus

Voinko siirtää palveluni VNeteihin ja niistä pois?

Ei. Et voi siirtää palveluita VNeteihin ja niistä pois. Jos haluat siirtää resurssin toiseen VNetiin, sinun on poistettava resurssi ja otettava se uudelleen käyttöön.

Turvallisuus

Mikä on VNets-tietoturvamalli?

VNetit on eristetty toisistaan, ja muut palvelut isännöidään Azure-infrastruktuurissa. VNet on luottamuksen raja.

Voinko rajoittaa saapuvan tai lähtevän liikenteen virtauksen VNetiin yhdistettyihin resursseihin?

Kyllä. Voit käyttää verkon suojausryhmiä yksittäisiin aliverkkoihin VNetissä, VNetiin liitettyihin verkkokorttiin tai molempiin.

Voinko ottaa palomuurin käyttöön VNetiin yhdistettyjen resurssien välillä?

Kyllä. Voit ottaa palomuuriverkon virtuaalisen laitteen käyttöön useilta toimittajilta Azure Marketplacen kautta.

Onko saatavilla tietoja VNet-verkkojen suojaamisesta?

Kyllä. Lisätietoja on kohdassa Azure Network Security Yleiskatsaus.

Tallennavatko virtuaaliverkot asiakastietoja?

Ei. Virtual Networks ei tallenna asiakastietoja.

Voinko hallita VNettejä koodista?

Kyllä. Voit käyttää VNet-verkkojen REST-sovellusliittymiä Azure Resource Managerissa ja perinteisissä käyttöönottomalleissa.

Kyllä. Lisätietoja käytöstä:

VNet-liikenteen vaihto

Mitä VNet-liikenteen vaihto on?

VNet-liikenteen (tai virtuaalisen verkon liikenteen) avulla voit yhdistää virtuaaliverkkoja. Virtuaaliverkkojen välisen VNet-peering-yhteyden avulla voit reitittää liikenteen niiden välillä yksityisesti IPv4-osoitteiden kautta. Vertaisverkkoverkkojen virtuaalikoneet voivat kommunikoida keskenään ikään kuin ne olisivat samassa verkossa. Nämä virtuaaliverkot voivat olla samalla alueella tai eri alueilla (tunnetaan myös nimellä Global VNet Peering). VNet peering -yhteyksiä voidaan luoda myös Azure-tilausten välillä.

Voinko luoda peering-yhteyden eri alueen VNetiin?

Kyllä. Globaalin VNet-verkon vaihtamisen avulla voit vertailla VNet-verkkoja eri alueilla. Global VNet peering on saatavilla kaikilla Azuren julkisilla alueilla, Kiinan pilvialueilla ja hallituksen pilvialueilla. Et voi maailmanlaajuisesti vertailla Azuren julkisista alueista kansallisiin pilvialueisiin.

Jos kahta virtuaalista verkkoa kahdella eri alueella käytetään maailmanlaajuisen VNet Peeringin kautta, et voi muodostaa yhteyttä resursseihin, jotka ovat Basic Load Balancerin takana Load Balancerin käyttöliittymän IP-osoitteen kautta. Tätä rajoitusta ei ole vakiokuormituksen tasapainottajalle. Seuraavat resurssit voivat käyttää Basic Load Balancers -laitteita, mikä tarkoittaa, että et voi tavoittaa niitä Load Balancerin käyttöliittymän IP-osoitteen kautta maailmanlaajuisen VNet Peeringin kautta. Voit kuitenkin käyttää Global VNet peeringiä tavoittaaksesi resurssit suoraan heidän yksityisten VNet-IP-osoitteidensa kautta, jos se on sallittua.

Peruskuormituksen tasaajien takana olevat virtuaalikoneet Virtuaaliset koneen mittakaavat, joissa on Basic Load Balancers Redis CacheApplication Gateway (v1) SKUService FabricAPI Management (stv1) Active Directory Domain Service (ADDS) Logic AppsHDInsightAzure BatchApp Service Environment

Voit muodostaa yhteyden näihin resursseihin ExpressRouten tai VNet-Routen kautta -VNet VNet-yhdyskäytävien kautta.

Voinko ottaa VNet Peeringin käyttöön, jos virtuaaliverkkoni kuuluvat eri Azure Active Directory -vuokralaisten tilauksiin?

Kyllä. On mahdollista muodostaa VNet Peering (joko paikallinen tai globaali), jos tilauksesi kuuluvat eri Azure Active Directory -vuokralaisille. Voit tehdä tämän portaalin, PowerShellin tai CLI:n kautta.

VNet-verkkoyhteyteni on aloitettu-tilassa, miksi en voi muodostaa yhteyttä?

Jos peering-yhteytesi on Initiated-tilassa, olet luonut vain yhden linkin. Kaksisuuntainen linkki on luotava onnistuneen yhteyden muodostamiseksi. Esimerkiksi VNet A:sta VNet B:hen vertaamiseksi on luotava linkki VNetA:sta VNetB:hen ja VNetB:stä VNetA:han. Molempien linkkien luominen muuttaa tilaksi Yhdistetty.

VNet-verkkoyhteyteni on katkaistu-tilassa. Miksi en voi luoda peering-yhteyttä?

Jos VNet-verkkoyhteytesi on katkaistu, se tarkoittaa, että yksi luoduista linkeistä on poistettu. Peering-yhteyden palauttamiseksi sinun on poistettava linkki ja luotava se uudelleen.

Voinko verrata VNetiäni toisen tilauksen VNetin kanssa?

Kyllä. Voit vertailla VNet-verkkoja tilausten ja alueiden välillä.

Voinko vertailla kahta VNetiä, joiden osoitealueet ovat samat tai päällekkäiset?

Ei. Osoitetilat eivät saa mennä päällekkäin VNet Peeringin käyttöön ottamiseksi.

Voinko vertailla VNet-verkkoa kahteen eri VNetiin, kun Käytä etäyhdyskäytävää -vaihtoehto on käytössä molemmissa peeringissä?

Ei. Voit ottaa käyttöön "Käytä etäyhdyskäytävää" -vaihtoehdon vain yhdessä VNetissä.

Kuinka paljon VNet-liikenteen vaihtolinkit maksavat?

VNet-liikenteen vaihtoyhteyden luomisesta ei veloiteta. Tiedonsiirto peering-yhteyksien välillä on maksullista. Katso tästä.

Onko VNetin peering-liikenne salattua?

Kun Azure-liikenne liikkuu palvelinkeskusten välillä (fyysisten rajojen ulkopuolella, joita Microsoft tai Microsoft ei hallitse), MACsec-tietolinkkikerroksen salausta käytetään taustalla olevassa verkkolaitteistossa .Tämä koskee VNetin peering-liikennettä.

Miksi peering-yhteyteni on katkaistu-tilassa?

VNet-liikenteen vaihto-yhteydet siirtyvät katkaistu-tilaan, kun yksi VNet-yhteyslinkki poistetaan. Sinun on poistettava molemmat linkit, jotta voit muodostaa uudelleen onnistuneen peering-yhteyden.

Jos käytän VNetA:ta VNetB:hen ja VNetB:tä VNetC:hen, tarkoittaako se, että VNetA:ta ja VNetC:tä on vertaisverkko?

Ei. Transitiivista liikenteenvaihtoa ei tueta. Sinun on käytettävä VNetA:ta ja VNetC:tä, jotta tämä tapahtuu.

Onko peering-yhteyksillä kaistanleveysrajoituksia?

Ei. VNet peering, olipa paikallinen tai globaali, ei aseta kaistanleveysrajoituksia. Kaistanleveyttä rajoittaa vain virtuaalikone tai laskentaresurssi.

Miten voin tehdä VNet Peering -ongelmien vianmäärityksen?

Tässä on vianetsintäopas, jota voit kokeilla.

Virtuaaliverkon TAP

Mitkä Azure-alueet ovat käytettävissä virtuaalisen verkon TAP:lle?

Virtuaaliverkon TAP-esikatselu on saatavilla kaikilla Azure-alueilla. Valvotut verkkorajapinnat, virtuaalisen verkon TAP-resurssi ja kerääjä- tai analytiikkaratkaisu on otettava käyttöön samalla alueella.

Tukeeko Virtual Network TAP mitään suodatusominaisuuksia peilatuissa paketeissa?

Suodatusominaisuuksia ei tueta virtuaalisen verkon TAP-esikatselussa. Kun TAP-kokoonpano lisätään verkkoliitäntään, syvä kopio kaikesta verkkoliitännän sisään- ja ulosmenoliikenteestä suoratoistetaan TAP-kohteeseen.

Voidaanko valvottuun verkkoliitäntään lisätä useita TAP-määrityksiä?

Valvotulla verkkoliittymällä voi olla vain yksi TAP-määritys. Tarkista yksittäisen kumppaniratkaisun kyky suoratoistaa useita kopioita TAP-liikenteestä valitsemiisi analytiikkatyökaluihin.

Voiko sama virtuaalisen verkon TAP-resurssi koota liikennettä valvotuista verkkoliitännöistä useammassa kuin yhdessä virtuaaliverkossa?

Kyllä. Samaa virtuaalisen verkon TAP-resurssia voidaan käyttää peilatun liikenteen yhdistämiseen valvotuista verkkoliitännöistä vertaisvirtuaaliverkoissa samassa tai eri liittymässä. Virtuaaliverkon TAP-resurssin ja kohdekuormituksen tasaajan tai kohdeverkkoliitännän on oltava samassa tilauksessa. Kaikkien tilausten on oltava saman Azure Active Directory -vuokraajan alla.

Onko tuotantoliikenteen suorituskykyyn liittyviä näkökohtia, jos otan käyttöön virtuaalisen verkon TAP-määrityksen verkkorajapinnassa?

Virtuaaliverkon TAP on esikatselussa. Esikatselun aikana ei ole palvelutasosopimusta. Valmiutta ei tule käyttää tuotantotyökuormiin. Kun virtuaalikoneen verkkoliitäntä on otettu käyttöön TAP-kokoonpanolla, samoja Azure-isäntäkoneen resursseja, jotka on varattu virtuaalikoneelle tuotantoliikenteen lähettämiseen, käytetään peilaustoiminnon suorittamiseen ja peilattujen pakettien lähettämiseen. Valitse oikea Linux- tai Windows-virtuaalikoneen koko varmistaaksesi, että virtuaalikoneella on riittävästi resursseja tuotantoliikenteen ja peilatun liikenteen lähettämiseen.

Tuetaanko virtuaalisen verkon TAP:n avulla nopeutettua verkkokäyttöä Linuxille tai Windowsille?

Voit lisätä TAP-määrityksen verkkoliitäntään, joka on liitetty virtuaalikoneeseen, jossa on käytössä nopeutettu verkko. TAP-määrityksen lisääminen vaikuttaa kuitenkin virtuaalikoneen suorituskykyyn ja viiveeseen, koska Azuren kiihdytetty verkko ei tue tällä hetkellä liikenteen peilaamista.

Virtuaaliverkkopalvelun päätepisteet

Mikä on oikea toimintosarja palvelun päätepisteiden määrittämiseksi Azure-palveluun?

On kaksi vaihetta suojata Azure-palveluresurssi palvelun kautta päätepisteet:

Ota palvelun päätepisteet käyttöön Azure-palvelussa.Määritä VNet ACL:t Azure-palveluun.

Ensimmäinen vaihe on verkkopuolen toiminto ja toinen vaihe on palveluresurssipuolen toiminto. Molemmat vaiheet voivat suorittaa joko sama järjestelmänvalvoja tai eri järjestelmänvalvojat järjestelmänvalvojan roolille myönnettyjen Azure RBAC -oikeuksien perusteella. Suosittelemme, että otat ensin käyttöön virtuaaliverkon palvelun päätepisteet ennen VNet ACL:ien määrittämistä Azure-palvelupuolella. Siksi vaiheet on suoritettava yllä luetellussa järjestyksessä VNet-palvelun päätepisteiden määrittämiseksi.

Huomaa

Molemmat yllä kuvatut toiminnot on suoritettava, ennen kuin voit rajoittaa Azure-palvelun pääsyä sallittuun VNetiin ja aliverkkoon. Vain palvelun päätepisteiden käyttöönotto Azure-palvelussa verkon puolella ei tarjoa rajoitettua käyttöoikeutta. Lisäksi sinun on määritettävä VNet ACL:t Azure-palvelupuolella.

Tietyt palvelut (kuten SQL ja CosmosDB) sallivat poikkeuksia yllä olevaan järjestykseen IgnoreMissingVnetServiceEndpoint-lipun kautta. Kun lipun arvoksi on asetettu True, VNet ACL:t voidaan asettaa Azure-palvelupuolella ennen palvelun päätepisteiden määrittämistä verkkopuolella. Azure-palvelut tarjoavat tämän lipun auttaakseen asiakkaita tapauksissa, joissa tietyt IP-palomuurit on määritetty Azure-palveluihin ja palvelun päätepisteiden kytkeminen päälle verkon puolella voi johtaa yhteyden katkeamiseen, koska lähde-IP muuttuu julkisesta IPv4-osoitteesta yksityiseksi osoitteeksi. . VNet ACL:ien määrittäminen Azure-palvelupuolella ennen palvelun päätepisteiden määrittämistä verkkopuolella voi auttaa välttämään yhteyden katkeamisen.

Ovatko kaikki Azure-palvelut asiakkaan tarjoamassa Azure-virtuaaliverkossa? Miten VNet-palvelun päätepiste toimii Azure-palvelujen kanssa?

Ei, kaikki Azure-palvelut eivät sijaitse asiakkaan virtuaaliverkossa. Suurin osa Azure-tietopalveluista, kuten Azure Storage, Azure SQL ja Azure Cosmos DB, ovat usean vuokraajan palveluita, joita voidaan käyttää julkisten IP-osoitteiden kautta. Voit lukea lisää Azure-palvelujen virtuaaliverkkointegraatiosta täältä.

Kun käytät VNet-palvelun päätepisteiden ominaisuutta (ota VNet-palvelun päätepiste käyttöön verkon puolella ja määrität sopivat VNet ACL:t Azure-palvelupuolella), pääsy Azure-palveluun rajoitetaan sallitusta VNetistä ja aliverkosta.

Miten VNet-palvelun päätepiste tarjoaa suojan?

VNet-palvelun päätepisteominaisuus (VNet-palvelun päätepisteen käyttöönotto verkon puolella ja asianmukaisten VNet ACL:ien määrittäminen Azure-palvelun puolella) rajoittaa Azure-palvelun pääsyä sallittuun VNetiin ja aliverkkoon, mikä tarjoaa verkkotason suojauksen ja Azure-palveluliikenteen eristyksen. Kaikki VNet-palvelun päätepisteitä käyttävä liikenne virtaa Microsoftin runkoverkon yli, mikä tarjoaa toisen kerroksen eristykseen julkisesta Internetistä. Lisäksi asiakkaat voivat poistaa Azure-palveluresurssien julkisen Internet-yhteyden kokonaan ja sallia liikenteen vain virtuaaliverkosta IP-palomuurin ja VNet ACL -luetteloiden yhdistelmän kautta, mikä suojaa Azure-palveluresursseja luvattomalta käytöltä.

Mitä VNet-palvelun päätepiste suojaa – VNet-resursseja vai Azure-palvelua?

VNet-palvelun päätepisteet auttavat suojaamaan Azure-palveluresursseja. VNet-resurssit suojataan Network Security Groups (NSG:t) avulla.

Onko VNet-palvelun päätepisteiden käyttämisestä kustannuksia?

Ei, VNet-palvelun päätepisteiden käyttämisestä ei aiheudu lisäkustannuksia.

Voinko ottaa VNet-palvelun päätepisteet käyttöön ja määrittää VNet ACL:t, jos virtuaaliverkko ja Azure-palveluresurssit kuuluvat eri tilauksiin?

Kyllä, se on mahdollista. Virtuaaliverkot ja Azure-palveluresurssit voivat olla joko samoissa tai eri tilauksissa. Ainoa vaatimus on, että sekä virtuaalisen verkon että Azure-palveluresurssien on oltava saman Active Directory (AD) -vuokraajan alla.

Voinko ottaa VNet-palvelun päätepisteet käyttöön ja määrittää VNet ACL:t, jos virtuaaliverkko ja Azure-palveluresurssit kuuluvat eri AD-vuokralaisille?

Kyllä, se on mahdollista käytettäessä palvelun päätepisteitä Azure Storagelle ja Azure Key Vault. Muiden palvelujen osalta VNet-palvelun päätepisteitä ja VNet ACL:itä ei tueta AD-vuokralaisissa.

Voiko paikallisen laitteen IP-osoite, joka on yhdistetty Azure Virtual Network -yhdyskäytävän (VPN) tai ExpressRoute-yhdyskäytävän kautta, käyttää Azure PaaS -palvelua VNet-palvelun päätepisteiden kautta?

Oletusarvoisesti Azure-palveluresurssit on suojattu virtuaalisiin verkot eivät ole tavoitettavissa paikan päällä olevista verkoista. Jos haluat sallia paikallisen liikenteen, sinun on sallittava myös julkiset (yleensä NAT) IP-osoitteet paikalliselta tai ExpressRoutelta. Nämä IP-osoitteet voidaan lisätä Azure-palveluresurssien IP-palomuurimääritysten kautta.

Voinko VNet Service Endpoint -ominaisuuden avulla suojata Azure-palvelun useisiin aliverkkoihin virtuaaliverkossa tai useissa virtuaaliverkoissa?

Suojatakseni Azure-palvelut useisiin aliverkkoihin virtuaaliverkossa tai useissa virtuaaliverkoissa , ota käyttöön palvelun päätepisteet verkkopuolella kussakin aliverkossa erikseen ja suojaa sitten Azure-palveluresurssit kaikille aliverkoille määrittämällä sopivat VNet ACL:t Azure-palvelupuolella.

Miten voin suodattaa lähtevän liikenteen virtuaaliverkosta Azure-palveluihin ja silti käyttää palvelun päätepisteitä?

Jos haluat tarkastaa tai suodattaa Azure-palveluun virtuaalisesta verkosta tulevaa liikennettä, voit ottaa käyttöön verkkovirtuaalilaitteisto virtuaaliverkossa. Tämän jälkeen voit käyttää palvelun päätepisteitä aliverkkoon, jossa verkon virtuaalinen laite on otettu käyttöön, ja suojata Azure-palveluresurssit vain tähän aliverkkoon VNet ACL:ien kautta. Tämä skenaario voi olla hyödyllinen myös, jos haluat rajoittaa Azure-palvelun pääsyn virtuaaliverkostasi vain tiettyihin Azure-resursseihin käyttämällä verkkovirtuaalilaitteiston suodatusta. Katso lisätietoja kohdasta ulospääsy verkkovirtuaalilaitteiden kanssa.

Mitä tapahtuu, kun käytät Azure-palvelutiliä, jossa virtuaalisen verkon käyttöoikeusluettelo (ACL) on otettu käyttöön VNetin ulkopuolelta?

Palauttaa HTTP 403- tai HTTP 404 -virhe.

Saavatko eri alueille luodut virtuaaliverkot käyttää Azure-palvelutiliä toisella alueella?

Kyllä, useimmissa Azure-palveluissa eri alueilla luodut virtuaaliverkot voivat käyttää Azure-palveluita toisella alueella VNet-palvelun päätepisteiden kautta. Jos Azure Cosmos DB -tili on esimerkiksi Yhdysvalloissa Länsi- tai Itä-Yhdysvalloissa ja virtuaaliverkot sijaitsevat useilla alueilla, virtuaaliverkko voi käyttää Azure Cosmos DB:tä. Tallennustila ja SQL ovat poikkeuksia ja ovat luonteeltaan alueellisia, ja sekä virtuaaliverkon että Azure-palvelun on oltava samalla alueella.

Voiko Azure-palvelussa olla sekä VNet ACL että IP-palomuuri?

Kyllä, VNet ACL ja IP-palomuuri voivat olla rinnakkain. Molemmat ominaisuudet täydentävät toisiaan eristyksen ja turvallisuuden takaamiseksi.

Mitä tapahtuu, jos poistat virtuaalisen verkon tai aliverkon, jossa palvelun päätepiste on otettu käyttöön Azure-palvelussa?

VNet-verkkojen ja aliverkkojen poistaminen ovat itsenäisiä toimintoja, ja niitä tuetaan, vaikka palvelun päätepisteet olisi otettu käyttöön Azuressa palvelut. Tapauksissa, joissa Azure-palveluihin on määritetty VNet ACL:t, kyseisten VNet- ja aliverkkojen osalta kyseiseen Azure-palveluun liittyvät VNet ACL -tiedot poistetaan käytöstä, kun VNet tai aliverkko, jossa VNet-palvelun päätepiste on käytössä, poistetaan.

Mitä tapahtuu, jos Azure-palvelutili, jonka VNet-palvelun päätepiste on käytössä, poistetaan?

Azure-palvelutilin poistaminen on itsenäinen toimenpide, ja sitä tuetaan, vaikka palvelun päätepiste olisi käytössä verkkopuolella ja VNet ACL:t on määritetty Azure-palvelupuolella.

Mitä tapahtuu sellaisen resurssin (kuten aliverkon virtuaalikoneen) lähde-IP-osoitteelle, jossa VNet-palvelun päätepiste on käytössä?

Kun virtuaalisen verkkopalvelun päätepisteet ovat käytössä, resurssien IP-lähdeosoitteet virtuaaliverkkosi aliverkossa siirtyy julkisista IPV4-osoitteista Azure-virtuaaliverkon yksityisiin IP-osoitteisiin liikenteessä Azure-palveluun. Huomaa, että tämä voi aiheuttaa sen, että tietyt IP-palomuurit, jotka on asetettu julkiseen IPV4-osoitteeseen aiemmin Azure-palveluissa, epäonnistuvat.

Onko palvelun päätepisteen reitti aina etusijalla?

Palvelun päätepisteet lisäävät järjestelmäreitin, joka on etusijalla BGP-reitteihin nähden ja tarjoaa optimaalisen reitityksen palvelun päätepisteen liikenteelle. Palvelun päätepisteet vievät palveluliikenteen aina suoraan virtuaaliverkostasi Microsoft Azure -runkoverkon palveluun. Lisätietoja siitä, kuinka Azure valitsee reitin, on kohdassa Azure Virtual Network -liikenteen reititys.

Toimivatko palvelun päätepisteet ICMP:n kanssa?

Ei, ICMP-liikenne, joka on peräisin aliverkosta, jossa palvelun päätepisteet ovat käytössä, ei kulje palvelutunnelin polkua haluttuun päätepisteeseen. Palvelun päätepisteet käsittelevät vain TCP-liikennettä. Tämä tarkoittaa, että jos haluat testata latenssia tai yhteyttä päätepisteeseen palvelun päätepisteiden kautta, työkalut, kuten ping ja tracert, eivät näytä todellista polkua, jota aliverkon resurssit kulkevat.

Kuinka aliverkon NSG toimii palvelun päätepisteiden kanssa?

Azure-palveluun pääsemiseksi NSG:iden on sallittava lähtevät yhteydet. Jos NSG:si on avoinna kaikelle Internetin lähtevälle liikenteelle, palvelun päätepisteliikenteen pitäisi toimia. Voit myös rajoittaa lähtevän liikenteen vain palvelun IP-osoitteisiin käyttämällä palvelutunnisteita.

Mitä käyttöoikeuksia tarvitsen palvelun päätepisteiden määrittämiseen?

Käyttäjä, jolla on kirjoitusoikeus virtuaaliseen verkkoon, voi määrittää palvelun päätepisteet itsenäisesti virtuaalisessa verkossa. Jotta Azure-palveluresurssit voidaan suojata VNetiin, käyttäjällä on oltava Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action-käyttöoikeus lisättäviin aliverkkoihin. Tämä käyttöoikeus sisältyy oletusarvoisesti sisäänrakennetun palvelun järjestelmänvalvojan rooliin, ja sitä voidaan muokata luomalla mukautettuja rooleja. Lue lisää sisäänrakennetuista rooleista ja tiettyjen oikeuksien määrittämisestä mukautetuille rooleille.

Voinko suodattaa virtuaalisen verkkoliikenteen Azure-palveluihin VNet-palvelun päätepisteiden kautta sallien vain tietyt Azure-palveluresurssit?

Virtuaaliverkkopalvelun (VNet) päätepistekäytäntöjen avulla voit suodattaa virtuaalisen verkkoliikenteen Azure-palveluihin , joka sallii vain tietyt Azure-palveluresurssit palvelun päätepisteiden yli. Päätepistekäytännöt tarjoavat tarkan pääsynhallinnan virtuaaliverkkoliikenteestä Azure-palveluihin. Saat lisätietoja palvelun päätepistekäytännöistä täältä.

Tukeeko Azure Active Directory (Azure AD) VNet-palvelun päätepisteitä?

Azure Active Directory (Azure AD) ei tue palvelun päätepisteitä natiivisti. Täydellinen luettelo VNet-palvelun päätepisteitä tukevista Azure-palveluista löytyy täältä. Huomaa, että "Microsoft.AzureActiveDirectory" -tunnistetta, joka on lueteltu palvelun päätepisteitä tukevien palveluiden alla, käytetään palvelun päätepisteiden tukemiseen ADLS Gen 1:lle. ADLS Gen 1:n virtuaaliverkkointegraatiossa Azure Data Lake Storage Gen1:lle hyödynnetään virtuaalisen verkkopalvelun päätepisteen suojausta välillä. virtuaaliverkkosi ja Azure Active Directory (Azure AD) luodaksesi lisätietoturvavaatimuksia käyttöoikeustunnuksessa. Näitä väitteitä käytetään sitten virtuaaliverkkosi todentamiseen Data Lake Storage Gen1 -tilillesi ja pääsyn sallimiseen. Lue lisää Azure Data Lake Store Gen 1 VNet -integraatiosta

Onko rajoituksia sille, kuinka monta VNet-palvelun päätepistettä voin määrittää VNetistäni?

Virtuaaliverkon VNet-palvelun päätepisteiden kokonaismäärää ei ole rajoitettu. Azure-palveluresurssille (kuten Azure Storage -tilille) palvelut voivat asettaa rajoituksia resurssin suojaamiseen käytettävien aliverkkojen lukumäärälle. Seuraavassa taulukossa on esimerkkejä rajoituksista:

Azure-palvelurajoitukset VNet-säännöissäAzure Storage100Azure SQL128Azure Synapse Analytics128Azure KeyVault200Azure Cosmos DB64Azure Event Hub128Azure Service Bus128Azure Data Lake Store V1100

Huomaa

Rajoitukset voivat muuttua Azure-palvelun harkinnan mukaan. Katso huoltotiedot vastaavasta huoltodokumentaatiosta.


PREV: Ensimmäisen Windows Server 2012 Domain Controllerin luominen...

NEXT: Active Directoryn ymmärtäminen Windows Server 2012 R2:ssa ...

Popular Articles

Hot Articles

Navigation Lists

Back to Top