Azure Virtual Network usein kysytyt kysymykset (FAQ)
26.06.202029 minuuttia aikaa lukeaAzure Virtuaaliverkko (VNet) on esitys omasta verkkostasi pilvessä. Se on tilauksellesi omistettu Azure-pilven looginen eristys. Voit käyttää VNettejä virtuaalisten yksityisten verkkojen (VPN) luomiseen ja hallintaan Azuressa ja valinnaisesti linkittää VNets muihin Azuren virtuaaliverkkoihin tai paikalliseen IT-infrastruktuuriin luodaksesi hybridi- tai yritysten välisiä ratkaisuja. Jokaisella luomallasi VNetillä on oma CIDR-lohko, ja se voidaan linkittää muihin VNeteihin ja paikallisiin verkkoihin, kunhan CIDR-lohkot eivät mene päällekkäin. Voit myös hallita VNet-verkkojen DNS-palvelinasetuksia ja segmentoida VNet aliverkkoihin.
VNet-verkkojen avulla:
Luo oma yksityinen pilvipalveluun tarkoitettu VNet. Joskus et vaadi toimitilojen välistä määritystä ratkaisullesi. Kun luot VNetin, palvelusi ja VM:si voivat kommunikoida toistensa kanssa suoraan ja turvallisesti pilvessä. Voit edelleen määrittää päätepisteyhteydet virtuaalisille koneille ja palveluille, jotka edellyttävät Internet-yhteyttä osana ratkaisuasi.
Laajenna palvelinkeskustasi turvallisesti. VNets-verkkojen avulla voit rakentaa perinteisiä S2S-VPN-verkkoja skaalataksesi tietokeskuksesi kapasiteettia turvallisesti. S2S VPN:t käyttävät IPSEC:tä suojatun yhteyden tarjoamiseen yrityksesi VPN-yhdyskäytäväsi ja Azuren välillä.
Ota käyttöön hybridipilviskenaariot. VNetit antavat sinulle joustavuuden tukea useita hybridipilviskenaarioita. Voit yhdistää pilvipohjaisia sovelluksia turvallisesti minkä tahansa tyyppisiin paikallisiin järjestelmiin, kuten keskustietokoneisiin ja Unix-järjestelmiin.
Aloita käymällä virtuaaliverkon ohjeissa. Tämä sisältö tarjoaa yleiskatsauksen ja käyttöönottotiedot kaikista VNet-ominaisuuksista.
Kyllä. Voit käyttää VNetiä yhdistämättä sitä tiloihin. Voit esimerkiksi käyttää Microsoft Windows Server Active Directory -toimialueen ohjaimia ja SharePoint-farmia vain Azure VNetissä.
Kyllä. Voit ottaa käyttöön WAN-optimointiverkon virtuaalisen laitteen useilta toimittajilta Azure Marketplacen kautta.
Voit luoda tai määrittää VNetin seuraavilla työkaluilla:
Suosittelemme, että käytät RFC 1918:ssa lueteltuja osoitealueita, jotka IETF on varannut yksityisille, ei-reititettäville osoiteavaruksille:
10.0.0.0 - 10.255.255.255(10/8 etuliite)172.16.0.0 - 172.31.255.255(172.16/12 etuliite)192.168.0.0 - 192.168.5) (toinen osoite 6p.25.19p.25. saattaa toimia, mutta voi olla ei-toivottuja sivuvaikutuksia.Lisäksi seuraavia osoitealueita ei voi lisätä:
224.0.0.0/4 (Multicast)255.255.255.255/32 (Lähetys)127.0.0.0/8 (Loopback)169.254.0.0/16 (Link-paikallinen)168.63.129.16/32 julkinen (Sisäinen C) IP-osoitteet virtuaaliverkoissani?Kyllä. Lisätietoja julkisista IP-osoitealueista on kohdassa Virtuaaliverkon luominen. Julkisiin IP-osoitteisiin ei pääse suoraan Internetistä.
Kyllä. Katso lisätietoja Azure-rajoituksista. Aliverkon osoiteavaruudet eivät voi mennä päällekkäin.
Kyllä. Azure varaa 5 IP-osoitetta kustakin aliverkosta. Nämä ovat x.x.x.0-x.x.x.3 ja aliverkon viimeinen osoite. x.x.x.1-x.x.x.3 on varattu kussakin aliverkossa Azure-palveluille.
x.x.x.0: Verkko-osoitex.x.x.1: Azuren varaama oletusyhdyskäytävällex.x.x.2, x.x.x.3: Azure varannut Azuren DNS-IP-osoitteet yhdistämään VNet spacex.x.x.255: Verkkolähetysosoite aliverkoille, joiden koko on /25 ja suurempi. Tämä on eri osoite pienemmissä aliverkoissa.Pienin tuettu IPv4-aliverkko on /29 ja suurin on /2 (käytettäessä CIDR-aliverkkoa IPv6-aliverkkojen on oltava kooltaan täsmälleen /64.
Ei. VNet-verkot ovat kerroksen 3 peittokuvia. Azure ei tue Layer-2:n semantiikkaa.
Kyllä. Voit luoda reittitaulukon ja liittää sen aliverkkoon. Lisätietoja reitityksestä Azuressa on kohdassa Reitityksen yleiskatsaus.
Ei. Multicastia ja lähetystä ei tueta.
Voit käyttää VNetissä TCP-, UDP- ja ICMP TCP/IP-protokollia. Unicast on tuettu VNetissä, paitsi Dynamic Host Configuration Protocol (DHCP) Unicastin kautta (lähdeportti UDP/68 / kohdeportti UDP/67) ja UDP-lähdeportti 65330, joka on varattu isännälle. Multicast-, broadcast-, IP-in-IP-kapseloidut paketit ja Generic Routing Encapsulation (GRE) -paketit estetään virtuaaliverkoissa.
Ei.
Ei.
Kyllä. Aliverkkoja voidaan lisätä VNeteihin milloin tahansa, kunhan aliverkon osoitealue ei ole osa toista aliverkkoa ja virtuaaliverkon osoitealueella on vapaata tilaa.
Kyllä. Voit lisätä, poistaa, laajentaa tai pienentää aliverkkoa, jos siinä ei ole käytössä virtuaalisia koneita tai palveluita.
Kyllä. Voit lisätä, poistaa ja muokata VNetin käyttämiä CIDR-lohkoja.
Kyllä. Kaikki VNetissä käyttöönotetut palvelut voivat muodostaa yhteyden Internetiin. Lisätietoja lähtevistä Internet-yhteyksistä Azuressa on kohdassa Lähtevät yhteydet. Jos haluat muodostaa yhteyden saapuvan Resource Managerin kautta käyttöön otettuun resurssiin, resurssilla on oltava julkinen IP-osoite. Lisätietoja julkisista IP-osoitteista on kohdassa Julkiset IP-osoitteet. Jokaiselle Azuressa käyttöönotetulle Azure Cloud Servicelle on määritetty julkisesti osoitettava VIP. Määrität syöttöpäätepisteet PaaS-rooleille ja päätepisteet virtuaalikoneen, jotta nämä palvelut voivat hyväksyä yhteyksiä Internetistä.
Kyllä, VNetit voivat olla vain IPv4- tai kaksoispinoisia (IPv4+IPv6). Katso lisätietoja kohdasta Yleiskatsaus IPv6:sta Azure Virtual Networksille.
Ei. VNet on rajoitettu yhdelle alueelle. Virtuaalinen verkko kattaa kuitenkin käytettävyysalueet. Saat lisätietoja käytettävyysvyöhykkeistä kohdasta Saatavuusalueiden yleiskatsaus. Voit yhdistää virtuaaliverkkoja eri alueilla virtuaalisen verkon peeringillä. Lisätietoja on kohdassa Virtuaaliverkon peeringin yleiskatsaus
Kyllä. Voit yhdistää yhden VNetin toiseen VNetiin käyttämällä jompaakumpaa:
Käytä VM:ien ja rooliinstanssien nimenratkaisusivun päätöstaulukkoa opastaaksesi sinua kaikissa DNS-vaihtoehdot käytettävissä.
Kyllä. Voit määrittää DNS-palvelimen IP-osoitteet VNet-asetuksissa. Asetusta käytetään oletusarvoisena DNS-palvelimena kaikille virtuaalikoneille VNetissä.
Katso Azure-rajoitukset.
Kyllä. Voit muuttaa VNet-verkkosi DNS-palvelinluetteloa milloin tahansa. Jos muutat DNS-palvelinluetteloasi, sinun on uusittava DHCP-vuokrasopimus kaikille VNetin VM:ille, jotta uudet DNS-asetukset tulevat voimaan. Windows-käyttöjärjestelmää käyttävillä virtuaalikoneilla voit tehdä tämän kirjoittamalla ipconfig /renew suoraan virtuaalikoneeseen. Katso muiden käyttöjärjestelmätyyppien DHCP-vuokrauksen uusimisasiakirjat tietylle käyttöjärjestelmätyypille.
Azuren tarjoama DNS on Microsoftin tarjoama usean vuokraajan DNS-palvelu. Azure rekisteröi kaikki virtuaalikoneesi ja pilvipalvelurooliesiintymäsi tähän palveluun. Tämä palvelu tarjoaa nimenselvityksen isäntänimen perusteella samaan pilvipalveluun sisältyville virtuaalisille koneille ja rooliesiintymille ja FQDN:n avulla virtuaalisille koneille ja rooliinstanssille samassa VNetissä. Lisätietoja DNS:stä on kohdassa Virtuaalisten koneiden ja pilvipalveluiden rooliinstanssien nimenratkaisu.
Vnetin 100 ensimmäistä pilvipalvelua koskevat rajoitukset vuokralaisten välisen nimen selvittämisessä Azuren tarjoaman DNS:n avulla. Jos käytät omaa DNS-palvelinta, tämä rajoitus ei koske.
Kyllä. Voit asettaa DNS-palvelimet VM- tai pilvipalvelukohtaisesti ohittamaan verkon oletusasetukset. On kuitenkin suositeltavaa, että käytät verkon laajuista DNS:ää mahdollisimman paljon.
Ei. Et voi määrittää mukautettua DNS-liitettä VNeteillesi.
Kyllä. Kaikki Resource Managerin käyttöönottomallin kautta käyttöön otettuun virtuaalikoneeseen liitetyt verkkoliitännät (NIC) on liitettävä VNetiin. Klassisen käyttöönottomallin kautta käyttöön otetut virtuaalikoneet voidaan valinnaisesti yhdistää VNetiin.
Yksityinen: määritetty jokaiselle virtuaalikoneen verkkokortille. Osoite määritetään joko staattisella tai dynaamisella menetelmällä. Yksityiset IP-osoitteet määritetään alueelta, jonka määritit VNet-aliverkkoasetuksissa. Klassisen käyttöönottomallin avulla käyttöönotetuille resursseille määritetään yksityiset IP-osoitteet, vaikka ne eivät olisi yhteydessä VNetiin. Varausmenetelmän käyttäytyminen vaihtelee sen mukaan, otettiinko resurssi käyttöön Resource Managerilla vai perinteisellä käyttöönottomallilla:
Resurssien hallinta: Dynaamisella tai staattisella menetelmällä määritetty yksityinen IP-osoite säilyy virtuaalikoneen (resurssien hallintaohjelman) avulla, kunnes resurssi poistetaan. Erona on se, että valitset määritettävän osoitteen, kun käytät staattista ominaisuutta, ja Azure valitsee sen, kun käytät dynaamista. Klassinen: Dynaamalla menetelmällä määritetty yksityinen IP-osoite voi muuttua, kun virtuaalikoneen (klassinen) VM käynnistetään uudelleen sen jälkeen, kun se on ollut pysäytettynä. (vapautettu) tila. Jos sinun on varmistettava, että perinteisen käyttöönottomallin avulla käyttöön otetun resurssin yksityinen IP-osoite ei koskaan muutu, määritä yksityinen IP-osoite staattisen menetelmän avulla.Julkinen: Valinnaisesti määritetty verkkokorteille, jotka on liitetty Azure Resource Managerin kautta käyttöön otettuihin virtuaalikoneisiin käyttöönottomalli. Osoite voidaan määrittää staattisella tai dynaamisella allokointimenetelmällä. Kaikki perinteisen käyttöönottomallin kautta käyttöön otetut VM:t ja pilvipalveluiden rooliinstanssit ovat pilvipalvelussa, jolle on määritetty dynaaminen, julkinen virtuaalinen IP (VIP) -osoite. Julkinen staattinen IP-osoite, jota kutsutaan varatuksi IP-osoitteeksi, voidaan valinnaisesti määrittää VIP-osoitteeksi. Voit määrittää julkisia IP-osoitteita yksittäisille VM- tai Cloud Services -rooliesiintymille, jotka on otettu käyttöön perinteisen käyttöönottomallin avulla. Näitä osoitteita kutsutaan ilmentymätason julkisiksi IP-osoitteiksi (ILPIP-osoitteiksi ja ne voidaan määrittää dynaamisesti.
Ei. Et voi varata yksityistä IP-osoitetta. Jos yksityinen IP-osoite on saatavilla, DHCP-palvelin määrittää sen virtuaalikoneelle tai rooliinstanssille. Virtuaalinen kone voi olla se, jolle haluat määrittää yksityisen IP-osoitteen. Voit kuitenkin muuttaa jo luodun virtuaalikoneen yksityisen IP-osoitteen mihin tahansa käytettävissä olevaan yksityiseen IP-osoitteeseen.
Se riippuu. Jos virtuaalikone otettiin käyttöön Resource Managerin kautta, ei, riippumatta siitä, onko IP-osoite määritetty staattisen vai dynaamisen allokointimenetelmän avulla. Jos virtuaalikone otettiin käyttöön perinteisen käyttöönottomallin avulla, dynaamiset IP-osoitteet voivat muuttua, kun virtuaalikone käynnistetään sen jälkeen, kun se on ollut pysäytettynä (vapautettu). Osoite vapautetaan virtuaalisesta koneesta, joka on otettu käyttöön jommankumman käyttöönottomallin kautta, kun virtuaalikone poistetaan.
Kyllä, mutta sitä ei suositella, ellei se ole välttämätöntä, esimerkiksi määritettäessä useita IP-osoitteita virtuaalikoneen. Katso lisätietoja kohdasta Useiden IP-osoitteiden lisääminen virtuaalikoneeseen. Jos virtuaalikoneeseen liitetylle Azure NIC:lle määritetty IP-osoite muuttuu ja VM-käyttöjärjestelmän IP-osoite on erilainen, menetät yhteyden virtuaalikoneeseen.
Ei mitään. IP-osoitteet (julkinen VIP, julkinen ja yksityinen) pysyvät määritettyinä pilvipalvelun käyttöönottopaikalle tai virtuaalikoneelle.
Kyllä. Saat lisätietoja artikkelista Virtuaalikoneen tai rooliinstanssin siirtäminen toiseen aliverkkoon.
Ei. MAC-osoitetta ei voi määrittää staattisesti.
Kyllä, MAC-osoite pysyy samana sekä Resource Managerin että perinteisten käyttöönottomallien kautta käyttöön otetuissa virtuaalikoneissa, kunnes se poistetaan. Aiemmin MAC-osoite vapautettiin, jos VM pysäytettiin (varattu), mutta nyt MAC-osoite säilyy, vaikka virtuaalikone olisi vapautetussa tilassa. MAC-osoite pysyy määritettynä verkkoliitännälle, kunnes verkkoliitäntä poistetaan tai ensisijaisen verkkoliitännän ensisijaiselle IP-konfiguraatiolle määritetty yksityinen IP-osoite muutetaan.
Kyllä. Kaikki virtuaalikoneen ja pilvipalveluiden rooliinstanssit, jotka on otettu käyttöön VNetissä, voivat muodostaa yhteyden Internetiin.
Kyllä. Voit ottaa verkkosovelluksia käyttöön VNetissä ASE:n (App Service Environment) avulla, yhdistää sovellusten taustan VNet-verkkoihisi VNet Integrationin avulla ja lukita sovellukseesi tulevan liikenteen palvelun päätepisteiden avulla. Lisätietoja on seuraavissa artikkeleissa:
Kyllä. Voit (valinnaisesti) ottaa käyttöön Cloud Services -rooliesiintymiä VNeteissä. Voit tehdä tämän määrittämällä VNet-nimen ja rooli-/aliverkkomääritykset palvelukokoonpanon verkkomääritysosiossa. Sinun ei tarvitse päivittää mitään binääriäsi.
Kyllä. Sinun on yhdistettävä virtuaalikoneen mittakaavajoukko VNetiin.
Kyllä. Katso lisätietoja kohdasta Virtuaaliverkon integrointi Azure-palveluille.
Resurssit, jotka on otettu käyttöön joidenkin Azure PaaS -palvelujen (kuten Azure Storage ja Azure SQL Database) kautta, voivat rajoittaa verkkokäyttöä VNetiin virtuaalisen verkkopalvelun päätepisteistä tai Azure Private Linkistä. Katso lisätietoja kohdista Virtuaaliverkkopalvelun päätepisteiden yleiskatsaus, Azure Private Link -yleiskatsaus
Ei. Et voi siirtää palveluita VNeteihin ja niistä pois. Jos haluat siirtää resurssin toiseen VNetiin, sinun on poistettava resurssi ja otettava se uudelleen käyttöön.
VNetit on eristetty toisistaan, ja muut palvelut isännöidään Azure-infrastruktuurissa. VNet on luottamuksen raja.
Kyllä. Voit käyttää verkon suojausryhmiä yksittäisiin aliverkkoihin VNetissä, VNetiin liitettyihin verkkokorttiin tai molempiin.
Kyllä. Voit ottaa palomuuriverkon virtuaalisen laitteen käyttöön useilta toimittajilta Azure Marketplacen kautta.
Kyllä. Lisätietoja on kohdassa Azure Network Security Yleiskatsaus.
Ei. Virtual Networks ei tallenna asiakastietoja.
Kyllä. Voit käyttää VNet-verkkojen REST-sovellusliittymiä Azure Resource Managerissa ja perinteisissä käyttöönottomalleissa.
Kyllä. Lisätietoja käytöstä:
VNet-liikenteen (tai virtuaalisen verkon liikenteen) avulla voit yhdistää virtuaaliverkkoja. Virtuaaliverkkojen välisen VNet-peering-yhteyden avulla voit reitittää liikenteen niiden välillä yksityisesti IPv4-osoitteiden kautta. Vertaisverkkoverkkojen virtuaalikoneet voivat kommunikoida keskenään ikään kuin ne olisivat samassa verkossa. Nämä virtuaaliverkot voivat olla samalla alueella tai eri alueilla (tunnetaan myös nimellä Global VNet Peering). VNet peering -yhteyksiä voidaan luoda myös Azure-tilausten välillä.
Kyllä. Globaalin VNet-verkon vaihtamisen avulla voit vertailla VNet-verkkoja eri alueilla. Global VNet peering on saatavilla kaikilla Azuren julkisilla alueilla, Kiinan pilvialueilla ja hallituksen pilvialueilla. Et voi maailmanlaajuisesti vertailla Azuren julkisista alueista kansallisiin pilvialueisiin.
Jos kahta virtuaalista verkkoa kahdella eri alueella käytetään maailmanlaajuisen VNet Peeringin kautta, et voi muodostaa yhteyttä resursseihin, jotka ovat Basic Load Balancerin takana Load Balancerin käyttöliittymän IP-osoitteen kautta. Tätä rajoitusta ei ole vakiokuormituksen tasapainottajalle. Seuraavat resurssit voivat käyttää Basic Load Balancers -laitteita, mikä tarkoittaa, että et voi tavoittaa niitä Load Balancerin käyttöliittymän IP-osoitteen kautta maailmanlaajuisen VNet Peeringin kautta. Voit kuitenkin käyttää Global VNet peeringiä tavoittaaksesi resurssit suoraan heidän yksityisten VNet-IP-osoitteidensa kautta, jos se on sallittua.
Peruskuormituksen tasaajien takana olevat virtuaalikoneet Virtuaaliset koneen mittakaavat, joissa on Basic Load Balancers Redis CacheApplication Gateway (v1) SKUService FabricAPI Management (stv1) Active Directory Domain Service (ADDS) Logic AppsHDInsightAzure BatchApp Service EnvironmentVoit muodostaa yhteyden näihin resursseihin ExpressRouten tai VNet-Routen kautta -VNet VNet-yhdyskäytävien kautta.
Kyllä. On mahdollista muodostaa VNet Peering (joko paikallinen tai globaali), jos tilauksesi kuuluvat eri Azure Active Directory -vuokralaisille. Voit tehdä tämän portaalin, PowerShellin tai CLI:n kautta.
Jos peering-yhteytesi on Initiated-tilassa, olet luonut vain yhden linkin. Kaksisuuntainen linkki on luotava onnistuneen yhteyden muodostamiseksi. Esimerkiksi VNet A:sta VNet B:hen vertaamiseksi on luotava linkki VNetA:sta VNetB:hen ja VNetB:stä VNetA:han. Molempien linkkien luominen muuttaa tilaksi Yhdistetty.
Jos VNet-verkkoyhteytesi on katkaistu, se tarkoittaa, että yksi luoduista linkeistä on poistettu. Peering-yhteyden palauttamiseksi sinun on poistettava linkki ja luotava se uudelleen.
Kyllä. Voit vertailla VNet-verkkoja tilausten ja alueiden välillä.
Ei. Osoitetilat eivät saa mennä päällekkäin VNet Peeringin käyttöön ottamiseksi.
Ei. Voit ottaa käyttöön "Käytä etäyhdyskäytävää" -vaihtoehdon vain yhdessä VNetissä.
VNet-liikenteen vaihtoyhteyden luomisesta ei veloiteta. Tiedonsiirto peering-yhteyksien välillä on maksullista. Katso tästä.
Kun Azure-liikenne liikkuu palvelinkeskusten välillä (fyysisten rajojen ulkopuolella, joita Microsoft tai Microsoft ei hallitse), MACsec-tietolinkkikerroksen salausta käytetään taustalla olevassa verkkolaitteistossa .Tämä koskee VNetin peering-liikennettä.
VNet-liikenteen vaihto-yhteydet siirtyvät katkaistu-tilaan, kun yksi VNet-yhteyslinkki poistetaan. Sinun on poistettava molemmat linkit, jotta voit muodostaa uudelleen onnistuneen peering-yhteyden.
Ei. Transitiivista liikenteenvaihtoa ei tueta. Sinun on käytettävä VNetA:ta ja VNetC:tä, jotta tämä tapahtuu.
Ei. VNet peering, olipa paikallinen tai globaali, ei aseta kaistanleveysrajoituksia. Kaistanleveyttä rajoittaa vain virtuaalikone tai laskentaresurssi.
Tässä on vianetsintäopas, jota voit kokeilla.
Virtuaaliverkon TAP-esikatselu on saatavilla kaikilla Azure-alueilla. Valvotut verkkorajapinnat, virtuaalisen verkon TAP-resurssi ja kerääjä- tai analytiikkaratkaisu on otettava käyttöön samalla alueella.
Suodatusominaisuuksia ei tueta virtuaalisen verkon TAP-esikatselussa. Kun TAP-kokoonpano lisätään verkkoliitäntään, syvä kopio kaikesta verkkoliitännän sisään- ja ulosmenoliikenteestä suoratoistetaan TAP-kohteeseen.
Valvotulla verkkoliittymällä voi olla vain yksi TAP-määritys. Tarkista yksittäisen kumppaniratkaisun kyky suoratoistaa useita kopioita TAP-liikenteestä valitsemiisi analytiikkatyökaluihin.
Kyllä. Samaa virtuaalisen verkon TAP-resurssia voidaan käyttää peilatun liikenteen yhdistämiseen valvotuista verkkoliitännöistä vertaisvirtuaaliverkoissa samassa tai eri liittymässä. Virtuaaliverkon TAP-resurssin ja kohdekuormituksen tasaajan tai kohdeverkkoliitännän on oltava samassa tilauksessa. Kaikkien tilausten on oltava saman Azure Active Directory -vuokraajan alla.
Virtuaaliverkon TAP on esikatselussa. Esikatselun aikana ei ole palvelutasosopimusta. Valmiutta ei tule käyttää tuotantotyökuormiin. Kun virtuaalikoneen verkkoliitäntä on otettu käyttöön TAP-kokoonpanolla, samoja Azure-isäntäkoneen resursseja, jotka on varattu virtuaalikoneelle tuotantoliikenteen lähettämiseen, käytetään peilaustoiminnon suorittamiseen ja peilattujen pakettien lähettämiseen. Valitse oikea Linux- tai Windows-virtuaalikoneen koko varmistaaksesi, että virtuaalikoneella on riittävästi resursseja tuotantoliikenteen ja peilatun liikenteen lähettämiseen.
Voit lisätä TAP-määrityksen verkkoliitäntään, joka on liitetty virtuaalikoneeseen, jossa on käytössä nopeutettu verkko. TAP-määrityksen lisääminen vaikuttaa kuitenkin virtuaalikoneen suorituskykyyn ja viiveeseen, koska Azuren kiihdytetty verkko ei tue tällä hetkellä liikenteen peilaamista.
On kaksi vaihetta suojata Azure-palveluresurssi palvelun kautta päätepisteet:
Ota palvelun päätepisteet käyttöön Azure-palvelussa.Määritä VNet ACL:t Azure-palveluun.Ensimmäinen vaihe on verkkopuolen toiminto ja toinen vaihe on palveluresurssipuolen toiminto. Molemmat vaiheet voivat suorittaa joko sama järjestelmänvalvoja tai eri järjestelmänvalvojat järjestelmänvalvojan roolille myönnettyjen Azure RBAC -oikeuksien perusteella. Suosittelemme, että otat ensin käyttöön virtuaaliverkon palvelun päätepisteet ennen VNet ACL:ien määrittämistä Azure-palvelupuolella. Siksi vaiheet on suoritettava yllä luetellussa järjestyksessä VNet-palvelun päätepisteiden määrittämiseksi.
Huomaa
Molemmat yllä kuvatut toiminnot on suoritettava, ennen kuin voit rajoittaa Azure-palvelun pääsyä sallittuun VNetiin ja aliverkkoon. Vain palvelun päätepisteiden käyttöönotto Azure-palvelussa verkon puolella ei tarjoa rajoitettua käyttöoikeutta. Lisäksi sinun on määritettävä VNet ACL:t Azure-palvelupuolella.
Tietyt palvelut (kuten SQL ja CosmosDB) sallivat poikkeuksia yllä olevaan järjestykseen IgnoreMissingVnetServiceEndpoint-lipun kautta. Kun lipun arvoksi on asetettu True, VNet ACL:t voidaan asettaa Azure-palvelupuolella ennen palvelun päätepisteiden määrittämistä verkkopuolella. Azure-palvelut tarjoavat tämän lipun auttaakseen asiakkaita tapauksissa, joissa tietyt IP-palomuurit on määritetty Azure-palveluihin ja palvelun päätepisteiden kytkeminen päälle verkon puolella voi johtaa yhteyden katkeamiseen, koska lähde-IP muuttuu julkisesta IPv4-osoitteesta yksityiseksi osoitteeksi. . VNet ACL:ien määrittäminen Azure-palvelupuolella ennen palvelun päätepisteiden määrittämistä verkkopuolella voi auttaa välttämään yhteyden katkeamisen.
Ei, kaikki Azure-palvelut eivät sijaitse asiakkaan virtuaaliverkossa. Suurin osa Azure-tietopalveluista, kuten Azure Storage, Azure SQL ja Azure Cosmos DB, ovat usean vuokraajan palveluita, joita voidaan käyttää julkisten IP-osoitteiden kautta. Voit lukea lisää Azure-palvelujen virtuaaliverkkointegraatiosta täältä.
Kun käytät VNet-palvelun päätepisteiden ominaisuutta (ota VNet-palvelun päätepiste käyttöön verkon puolella ja määrität sopivat VNet ACL:t Azure-palvelupuolella), pääsy Azure-palveluun rajoitetaan sallitusta VNetistä ja aliverkosta.
VNet-palvelun päätepisteominaisuus (VNet-palvelun päätepisteen käyttöönotto verkon puolella ja asianmukaisten VNet ACL:ien määrittäminen Azure-palvelun puolella) rajoittaa Azure-palvelun pääsyä sallittuun VNetiin ja aliverkkoon, mikä tarjoaa verkkotason suojauksen ja Azure-palveluliikenteen eristyksen. Kaikki VNet-palvelun päätepisteitä käyttävä liikenne virtaa Microsoftin runkoverkon yli, mikä tarjoaa toisen kerroksen eristykseen julkisesta Internetistä. Lisäksi asiakkaat voivat poistaa Azure-palveluresurssien julkisen Internet-yhteyden kokonaan ja sallia liikenteen vain virtuaaliverkosta IP-palomuurin ja VNet ACL -luetteloiden yhdistelmän kautta, mikä suojaa Azure-palveluresursseja luvattomalta käytöltä.
VNet-palvelun päätepisteet auttavat suojaamaan Azure-palveluresursseja. VNet-resurssit suojataan Network Security Groups (NSG:t) avulla.
Ei, VNet-palvelun päätepisteiden käyttämisestä ei aiheudu lisäkustannuksia.
Kyllä, se on mahdollista. Virtuaaliverkot ja Azure-palveluresurssit voivat olla joko samoissa tai eri tilauksissa. Ainoa vaatimus on, että sekä virtuaalisen verkon että Azure-palveluresurssien on oltava saman Active Directory (AD) -vuokraajan alla.
Kyllä, se on mahdollista käytettäessä palvelun päätepisteitä Azure Storagelle ja Azure Key Vault. Muiden palvelujen osalta VNet-palvelun päätepisteitä ja VNet ACL:itä ei tueta AD-vuokralaisissa.
Oletusarvoisesti Azure-palveluresurssit on suojattu virtuaalisiin verkot eivät ole tavoitettavissa paikan päällä olevista verkoista. Jos haluat sallia paikallisen liikenteen, sinun on sallittava myös julkiset (yleensä NAT) IP-osoitteet paikalliselta tai ExpressRoutelta. Nämä IP-osoitteet voidaan lisätä Azure-palveluresurssien IP-palomuurimääritysten kautta.
Suojatakseni Azure-palvelut useisiin aliverkkoihin virtuaaliverkossa tai useissa virtuaaliverkoissa , ota käyttöön palvelun päätepisteet verkkopuolella kussakin aliverkossa erikseen ja suojaa sitten Azure-palveluresurssit kaikille aliverkoille määrittämällä sopivat VNet ACL:t Azure-palvelupuolella.
Jos haluat tarkastaa tai suodattaa Azure-palveluun virtuaalisesta verkosta tulevaa liikennettä, voit ottaa käyttöön verkkovirtuaalilaitteisto virtuaaliverkossa. Tämän jälkeen voit käyttää palvelun päätepisteitä aliverkkoon, jossa verkon virtuaalinen laite on otettu käyttöön, ja suojata Azure-palveluresurssit vain tähän aliverkkoon VNet ACL:ien kautta. Tämä skenaario voi olla hyödyllinen myös, jos haluat rajoittaa Azure-palvelun pääsyn virtuaaliverkostasi vain tiettyihin Azure-resursseihin käyttämällä verkkovirtuaalilaitteiston suodatusta. Katso lisätietoja kohdasta ulospääsy verkkovirtuaalilaitteiden kanssa.
Palauttaa HTTP 403- tai HTTP 404 -virhe.
Kyllä, useimmissa Azure-palveluissa eri alueilla luodut virtuaaliverkot voivat käyttää Azure-palveluita toisella alueella VNet-palvelun päätepisteiden kautta. Jos Azure Cosmos DB -tili on esimerkiksi Yhdysvalloissa Länsi- tai Itä-Yhdysvalloissa ja virtuaaliverkot sijaitsevat useilla alueilla, virtuaaliverkko voi käyttää Azure Cosmos DB:tä. Tallennustila ja SQL ovat poikkeuksia ja ovat luonteeltaan alueellisia, ja sekä virtuaaliverkon että Azure-palvelun on oltava samalla alueella.
Kyllä, VNet ACL ja IP-palomuuri voivat olla rinnakkain. Molemmat ominaisuudet täydentävät toisiaan eristyksen ja turvallisuuden takaamiseksi.
VNet-verkkojen ja aliverkkojen poistaminen ovat itsenäisiä toimintoja, ja niitä tuetaan, vaikka palvelun päätepisteet olisi otettu käyttöön Azuressa palvelut. Tapauksissa, joissa Azure-palveluihin on määritetty VNet ACL:t, kyseisten VNet- ja aliverkkojen osalta kyseiseen Azure-palveluun liittyvät VNet ACL -tiedot poistetaan käytöstä, kun VNet tai aliverkko, jossa VNet-palvelun päätepiste on käytössä, poistetaan.
Azure-palvelutilin poistaminen on itsenäinen toimenpide, ja sitä tuetaan, vaikka palvelun päätepiste olisi käytössä verkkopuolella ja VNet ACL:t on määritetty Azure-palvelupuolella.
Kun virtuaalisen verkkopalvelun päätepisteet ovat käytössä, resurssien IP-lähdeosoitteet virtuaaliverkkosi aliverkossa siirtyy julkisista IPV4-osoitteista Azure-virtuaaliverkon yksityisiin IP-osoitteisiin liikenteessä Azure-palveluun. Huomaa, että tämä voi aiheuttaa sen, että tietyt IP-palomuurit, jotka on asetettu julkiseen IPV4-osoitteeseen aiemmin Azure-palveluissa, epäonnistuvat.
Palvelun päätepisteet lisäävät järjestelmäreitin, joka on etusijalla BGP-reitteihin nähden ja tarjoaa optimaalisen reitityksen palvelun päätepisteen liikenteelle. Palvelun päätepisteet vievät palveluliikenteen aina suoraan virtuaaliverkostasi Microsoft Azure -runkoverkon palveluun. Lisätietoja siitä, kuinka Azure valitsee reitin, on kohdassa Azure Virtual Network -liikenteen reititys.
Ei, ICMP-liikenne, joka on peräisin aliverkosta, jossa palvelun päätepisteet ovat käytössä, ei kulje palvelutunnelin polkua haluttuun päätepisteeseen. Palvelun päätepisteet käsittelevät vain TCP-liikennettä. Tämä tarkoittaa, että jos haluat testata latenssia tai yhteyttä päätepisteeseen palvelun päätepisteiden kautta, työkalut, kuten ping ja tracert, eivät näytä todellista polkua, jota aliverkon resurssit kulkevat.
Azure-palveluun pääsemiseksi NSG:iden on sallittava lähtevät yhteydet. Jos NSG:si on avoinna kaikelle Internetin lähtevälle liikenteelle, palvelun päätepisteliikenteen pitäisi toimia. Voit myös rajoittaa lähtevän liikenteen vain palvelun IP-osoitteisiin käyttämällä palvelutunnisteita.
Käyttäjä, jolla on kirjoitusoikeus virtuaaliseen verkkoon, voi määrittää palvelun päätepisteet itsenäisesti virtuaalisessa verkossa. Jotta Azure-palveluresurssit voidaan suojata VNetiin, käyttäjällä on oltava Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action-käyttöoikeus lisättäviin aliverkkoihin. Tämä käyttöoikeus sisältyy oletusarvoisesti sisäänrakennetun palvelun järjestelmänvalvojan rooliin, ja sitä voidaan muokata luomalla mukautettuja rooleja. Lue lisää sisäänrakennetuista rooleista ja tiettyjen oikeuksien määrittämisestä mukautetuille rooleille.
Virtuaaliverkkopalvelun (VNet) päätepistekäytäntöjen avulla voit suodattaa virtuaalisen verkkoliikenteen Azure-palveluihin , joka sallii vain tietyt Azure-palveluresurssit palvelun päätepisteiden yli. Päätepistekäytännöt tarjoavat tarkan pääsynhallinnan virtuaaliverkkoliikenteestä Azure-palveluihin. Saat lisätietoja palvelun päätepistekäytännöistä täältä.
Azure Active Directory (Azure AD) ei tue palvelun päätepisteitä natiivisti. Täydellinen luettelo VNet-palvelun päätepisteitä tukevista Azure-palveluista löytyy täältä. Huomaa, että "Microsoft.AzureActiveDirectory" -tunnistetta, joka on lueteltu palvelun päätepisteitä tukevien palveluiden alla, käytetään palvelun päätepisteiden tukemiseen ADLS Gen 1:lle. ADLS Gen 1:n virtuaaliverkkointegraatiossa Azure Data Lake Storage Gen1:lle hyödynnetään virtuaalisen verkkopalvelun päätepisteen suojausta välillä. virtuaaliverkkosi ja Azure Active Directory (Azure AD) luodaksesi lisätietoturvavaatimuksia käyttöoikeustunnuksessa. Näitä väitteitä käytetään sitten virtuaaliverkkosi todentamiseen Data Lake Storage Gen1 -tilillesi ja pääsyn sallimiseen. Lue lisää Azure Data Lake Store Gen 1 VNet -integraatiosta
Virtuaaliverkon VNet-palvelun päätepisteiden kokonaismäärää ei ole rajoitettu. Azure-palveluresurssille (kuten Azure Storage -tilille) palvelut voivat asettaa rajoituksia resurssin suojaamiseen käytettävien aliverkkojen lukumäärälle. Seuraavassa taulukossa on esimerkkejä rajoituksista:
Azure-palvelurajoitukset VNet-säännöissäAzure Storage100Azure SQL128Azure Synapse Analytics128Azure KeyVault200Azure Cosmos DB64Azure Event Hub128Azure Service Bus128Azure Data Lake Store V1100Huomaa
Rajoitukset voivat muuttua Azure-palvelun harkinnan mukaan. Katso huoltotiedot vastaavasta huoltodokumentaatiosta.
PREV: Ensimmäisen Windows Server 2012 Domain Controllerin luominen...
NEXT: Active Directoryn ymmärtäminen Windows Server 2012 R2:ssa ...
![[Ratkaistu] Ei voi muodostaa yhteyttä MySql-palvelimeen localhostilla (10061) (Näytä aihe) * Apache OpenOffice -yhteisöfoorumi](http://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/26/2022-3-1/7051.jpeg "[Ratkaistu] Ei voi muodostaa yhteyttä MySql-palvelimeen localhostilla (10061) (Näytä aihe) * Apache OpenOffice -yhteisöfoorumi")
