• Дигитални аксесоари
  • сървър
  • Дигитален живот
  • Политика за поверителност
  • Свържете се с нас
  1. Home
  2. Article
  3. ЧЗВ за виртуална мрежа Azure | Microsoft Docs

ЧЗВ за виртуална мрежа Azure | Microsoft Docs

Rsdaa 07/12/2021 1156

Често задавани въпроси за виртуалната мрежа на Azure (ЧЗВ)

26.06.202029 минути за четене

В тази статия

Основи на виртуалната мрежа

Какво е виртуална мрежа на Azure (VNet)?

Azure Виртуална мрежа (VNet) е представяне на вашата собствена мрежа в облака. Това е логична изолация на облака Azure, посветен на вашия абонамент. Можете да използвате VNets за осигуряване и управление на виртуални частни мрежи (VPN) в Azure и, по желание, да свържете VNets с други VNets в Azure или с вашата локална ИТ инфраструктура, за да създадете хибридни или кръстосани решения. Всяка VNet, която създавате, има свой собствен CIDR блок и може да бъде свързана с други VNet и локални мрежи, стига CIDR блоковете да не се припокриват. Освен това имате контрол върху настройките на DNS сървъра за VNets и сегментирането на VNet в подмрежи.

Използвайте VNets за:

Създайте специална частна VNet само за облак. Понякога не се нуждаете от конфигурация между помещенията за вашето решение. Когато създадете VNet, вашите услуги и виртуални машини във вашата VNet могат да комуникират директно и сигурно помежду си в облака. Все още можете да конфигурирате крайни връзки за виртуални машини и услуги, които изискват интернет комуникация, като част от вашето решение.

Сигурно разширете своя център за данни. С VNets можете да изградите традиционни VPN от сайт до сайт (S2S), за да увеличите сигурно капацитета на вашия център за данни. S2S VPN използват IPSEC, за да осигурят защитена връзка между вашия корпоративен VPN шлюз и Azure.

Активирайте сценарии за хибриден облак. Виртуалните мрежи ви дават гъвкавостта да поддържате набор от сценарии за хибриден облак. Можете сигурно да свържете базирани на облак приложения към всеки тип локална система, като мейнфрейми и Unix системи.

Как да започна?

Посетете документацията за виртуална мрежа, за да започнете. Това съдържание предоставя преглед и информация за внедряване на всички VNet функции.

Мога ли да използвам виртуални мрежи без междинна свързаност?

Да. Можете да използвате виртуална мрежа, без да я свързвате към вашите помещения. Например, можете да стартирате домейн контролери на Microsoft Windows Server Active Directory и ферми на SharePoint единствено в Azure VNet.

Мога ли да извърша WAN оптимизация между виртуални мрежи или виртуална мрежа и моя локален център за данни?

Да. Можете да разположите виртуално устройство за мрежа за оптимизиране на WAN от няколко доставчици чрез Azure Marketplace.

Конфигуриране

Можете да използвате следните инструменти, за да създадете или конфигурирате VNet:

Какви диапазони от адреси мога да използвам в моите виртуални мрежи?

Препоръчваме ви да използвате диапазоните от адреси, изброени в RFC 1918, които са определени от IETF за частни, немаршрутизирани адресни пространства:

10.0.0.0 - 10.255.255.255(префикс 10/8)172.16.0.0 - 172.31.255.255(префикс 172.16/12)192.168.0.0 - 192.168.255.255 (префикс 192.168/16)

Други адресните пространства може да работят, но може и да работят нежелани странични ефекти.

Освен това не можете да добавяте следните диапазони от адреси:

224.0.0.0/4 (Multicast)255.255.255.255/32 (Broadcast)127.0.0.0/8 (Loopback)169.254.0.0/16 (Link-local)168.63.129.16/32 (Internal DNS)

Мога ли да имам публичен DNS IP адреси в моите виртуални мрежи?

Да. За повече информация относно публичните диапазони на IP адреси вижте Създаване на виртуална мрежа. Публичните IP адреси не са директно достъпни от интернет.

Има ли ограничение за броя на подмрежите в моята VNet?

Да. Вижте ограниченията на Azure за подробности. Подмрежовите адресни пространства не могат да се припокриват едно с друго.

Има ли някакви ограничения за използването на IP адреси в тези подмрежи?

Да. Azure запазва 5 IP адреса във всяка подмрежа. Това са x.x.x.0-x.x.x.3 и последния адрес на подмрежата. x.x.x.1-x.x.x.3 е запазено във всяка подмрежа за услуги на Azure.

x.x.x.0: Мрежов адресx.x.x.1: Запазен от Azure за шлюза по подразбиранеx.x.x.2, x.x.x.3: Запазен от Azure за картографиране на DNS IP адресите на Azure към VNet пространствотоx.x.x.255: Мрежов адрес за излъчване за подмрежи с размер /25 и по-голям. Това ще бъде различен адрес в по-малки подмрежи.

Колко малки и колко големи могат да бъдат виртуалните мрежи и подмрежите?

Най-малката поддържана IPv4 подмрежа е /29, а най-голямата е /2 (използвайки CIDR подмрежа дефиниции).IPv6 подмрежите трябва да са с размер точно /64.

Мога ли да пренеса своите VLAN към Azure с помощта на виртуални мрежи?

Не. VNets са Layer-3 наслагвания. Azure не поддържа семантика на Layer-2.

Мога ли да определя персонализирани правила за маршрутизиране на моите виртуални мрежи и подмрежи?

Да. Можете да създадете таблица с маршрути и да я свържете с подмрежа. За повече информация относно маршрутизирането в Azure вижте Общ преглед на маршрутизирането.

VNets поддържат ли мултикаст или излъчване?

Не. Групово предаване и излъчване не се поддържат.

Какви протоколи мога да използвам във VNets?

Можете да използвате TCP, UDP и ICMP TCP/IP протоколи във VNets. Unicast се поддържа във VNets, с изключение на Dynamic Host Configuration Protocol (DHCP) чрез Unicast (порт на източник UDP/68 / порт на местоназначение UDP/67) и UDP порт на източник 65330, който е запазен за хоста. Групово предаване, излъчване, капсулирани пакети IP в IP и пакети за капсулиране на общо маршрутизиране (GRE) са блокирани във VNets.

Мога ли да проверявам моите рутери по подразбиране във VNet?

Не.

Мога ли да използвам tracert за диагностика на свързаността?

Не.

Мога ли да добавя подмрежи след създаването на VNet?

Да. Подмрежите могат да се добавят към VNets по всяко време, стига диапазонът от адреси на подмрежата да не е част от друга подмрежа и в диапазона от адреси на виртуалната мрежа е останало свободно място.

Мога ли да променя размера на моята подмрежа, след като я създам?

Да. Можете да добавяте, премахвате, разширявате или свивате подмрежа, ако в нея няма внедрени виртуални машини или услуги.

Мога ли да променя Vnet, след като съм ги създал?

Да. Можете да добавяте, премахвате и модифицирате CIDR блоковете, използвани от VNet.

Ако изпълнявам услугите си във VNet, мога ли да се свържа с интернет?

Да. Всички услуги, внедрени във VNet, могат да се свързват изходящо към интернет. За да научите повече за изходящите интернет връзки в Azure, вижте Изходящи връзки. Ако искате да се свържете входящо към ресурс, внедрен чрез Resource Manager, ресурсът трябва да има присвоен публичен IP адрес. За да научите повече за публичните IP адреси, вижте Публични IP адреси. Всяка облачна услуга на Azure, внедрена в Azure, има присвоен публично адресируем VIP. Вие дефинирате входни крайни точки за PaaS роли и крайни точки за виртуални машини, за да позволите на тези услуги да приемат връзки от интернет.

VNets поддържат ли IPv6?

Да, VNets могат да бъдат само IPv4 или двоен стек (IPv4+IPv6). За подробности вижте Общ преглед на IPv6 за виртуални мрежи Azure.

Може ли VNet да обхваща региони?

Не. VNet е ограничен до един регион. Виртуалната мрежа обаче обхваща зони на достъпност. За да научите повече за зоните за достъпност, вижте Общ преглед на зоните за достъпност. Можете да свързвате виртуални мрежи в различни региони с peering на виртуална мрежа. За подробности вижте Общ преглед на пиринг на виртуална мрежа

Мога ли да свържа VNet към друга VNet в Azure?

Да. Можете да свържете една VNet към друга VNet, като използвате:

Разрешаване на имена (DNS)

Какви са моите DNS опции за виртуални мрежи?

Използвайте таблицата с решения на страницата Разрешаване на имена за виртуални машини и ролеви инстанции, за да ви преведе през всички Налични опции за DNS.

Мога ли да посоча DNS сървъри за VNet?

Да. Можете да посочите IP адресите на DNS сървъра в настройките на VNet. Настройката се прилага като DNS сървър(и) по подразбиране за всички виртуални машини във VNet.

Колко DNS сървъра мога да посоча?

Справка с ограниченията на Azure.

Мога ли да модифицирам своите DNS сървъри, след като съм създал мрежата?

Да. Можете да промените списъка с DNS сървъри за вашата VNet по всяко време. Ако промените списъка си с DNS сървъри, трябва да извършите подновяване на лизинг на DHCP на всички засегнати виртуални машини във VNet, за да влязат в сила новите DNS настройки. За виртуални машини, работещи с Windows OS, можете да направите това, като напишете ipconfig /renew директно на виртуалната машина. За други типове ОС вижте документацията за подновяване на наема на DHCP за конкретния тип ОС.

Какво представлява DNS, предоставен от Azure, и работи ли с VNets?

DNS, предоставен от Azure, е DNS услуга с множество клиенти, предлагана от Microsoft. Azure регистрира всички ваши виртуални машини и екземпляри на роли на облачна услуга в тази услуга. Тази услуга предоставя разрешаване на имена по име на хост за виртуални машини и екземпляри на роли, съдържащи се в една и съща облачна услуга, и чрез FQDN за виртуални машини и екземпляри на роли в една и съща VNet. За да научите повече за DNS, вижте Резолюция на имена за виртуални машини и ролеви екземпляри на облачни услуги.

Има ограничение за първите 100 облачни услуги във виртуална мрежа за разрешаване на имена на кръстосани клиенти с помощта на осигурен от Azure DNS. Ако използвате собствен DNS сървър, това ограничение не се прилага.

Мога ли да заменя моите DNS настройки на базата на виртуална машина или облачна услуга?

Да. Можете да зададете DNS сървъри за VM или облачна услуга, за да замените мрежовите настройки по подразбиране. Въпреки това се препоръчва да използвате DNS за цялата мрежа колкото е възможно повече.

Мога ли да внеса собствен DNS суфикс?

Не. Не можете да посочите персонализиран DNS суфикс за вашите виртуални мрежи.

Свързване на виртуални машини

Мога ли да разположа виртуални машини във VNet?

Да. Всички мрежови интерфейси (NIC), прикрепени към VM, внедрени чрез модела за разполагане на Resource Manager, трябва да бъдат свързани към VNet. Виртуалните машини, внедрени чрез класическия модел на внедряване, могат по избор да бъдат свързани към VNet.

Какви са различните типове IP адреси, които мога да присвоя на виртуални машини?

Лични: Присвоени на всеки NIC във всяка виртуална машина. Адресът се присвоява чрез използване на статичен или динамичен метод. Частните IP адреси се присвояват от диапазона, който сте посочили в настройките на подмрежата на вашата VNet. На ресурсите, разгърнати чрез класическия модел на разгръщане, се присвояват частни IP адреси, дори ако не са свързани към VNet. Поведението на метода за разпределение е различно в зависимост от това дали даден ресурс е бил внедрен с Resource Manager или класически модел на разполагане:

Мениджър на ресурси: Частен IP адрес, присвоен с динамичния или статичен метод, остава присвоен на виртуална машина (мениджър на ресурси), докато ресурсът не бъде изтрит. Разликата е, че вие ​​избирате адреса, който да присвоите, когато използвате статичен, а Azure избира, когато използвате динамичен. Класически: Частен IP адрес, присвоен с динамичния метод, може да се промени, когато виртуална машина (класическа) VM се рестартира, след като е била в спрян (освободено) състояние. Ако трябва да гарантирате, че частният IP адрес за ресурс, внедрен чрез класическия модел на разполагане, никога не се променя, задайте частен IP адрес със статичния метод.

Публичен: По избор се присвоява на NIC, прикрепени към виртуални машини, внедрени чрез Azure Resource Manager модел на разгръщане. Адресът може да бъде присвоен със статичен или динамичен метод на разпределение. Всички виртуални машини и ролеви екземпляри на облачни услуги, внедрени чрез класическия модел на разгръщане, съществуват в облачна услуга, на която е присвоен динамичен публичен виртуален IP (VIP) адрес. Публичен статичен IP адрес, наречен резервиран IP адрес, може по избор да бъде назначен като VIP. Можете да присвоите публични IP адреси на отделни виртуални машини или ролеви екземпляри на облачни услуги, внедрени чрез класическия модел на внедряване. Тези адреси се наричат ​​публичен IP на ниво инстанция (ILPIP адреси и могат да се присвояват динамично.

Мога ли да запазя частен IP адрес за виртуална машина, която ще създам по-късно?

Не. Не можете да запазите личен IP адрес. Ако е наличен частен IP адрес, той се присвоява на VM или екземпляр на роля от DHCP сървъра. VM може или не може да бъде този, на който искате да бъде присвоен частният IP адрес. Можете обаче да промените частния IP адрес на вече създадена виртуална машина на всеки наличен частен IP адрес.

Променят ли се частните IP адреси за виртуални машини във VNet?

Зависи. Ако виртуалната машина е била разгърната чрез Resource Manager, не, независимо дали IP адресът е бил присвоен със статичен или динамичен метод за разпределение. Ако виртуалната машина е била разгърната чрез класическия модел на разгръщане, динамичните IP адреси могат да се променят, когато виртуална машина е стартирана, след като е била в спряно (освободено) състояние. Адресът се освобождава от виртуална машина, внедрена чрез един от двата модела на разполагане, когато виртуалната машина бъде изтрита.

Мога ли ръчно да присвоя IP адреси на NIC в операционната система на VM?

Да, но не се препоръчва, освен ако не е необходимо, като например при присвояване на множество IP адреси на виртуална машина. За подробности вижте Добавяне на множество IP адреси към виртуална машина. Ако IP адресът, присвоен на Azure NIC, свързан към VM, се промени и IP адресът в операционната система на VM е различен, вие губите връзка с VM.

Ако спра слот за внедряване на Cloud Service или изключа VM от операционната система, какво се случва с моите IP адреси?

Нищо. IP адресите (публичен VIP, публичен и частен) остават присвоени на слота за внедряване на облачна услуга или VM.

Мога ли да премествам виртуални машини от една подмрежа в друга подмрежа във VNet без повторно разполагане?

Да. Можете да намерите повече информация в статията Как да преместите VM или екземпляр на роля в друга подмрежа.

Мога ли да конфигурирам статичен MAC адрес за моята виртуална машина?

Не. MAC адресът не може да бъде статично конфигуриран.

Ще остане ли MAC адресът същият за моята виртуална машина, след като бъде създадена?

Да, MAC адресът остава същият за виртуална машина, внедрена както чрез Resource Manager, така и чрез класически модели за внедряване, докато не бъде изтрита. Преди MAC адресът се освобождаваше, ако VM беше спрян (освободен), но сега MAC адресът се запазва дори когато VM е в състояние на освобождаване. MAC адресът остава присвоен на мрежовия интерфейс, докато мрежовият интерфейс не бъде изтрит или частният IP адрес, присвоен на основната IP конфигурация на основния мрежов интерфейс, не бъде променен.

Мога ли да се свържа с интернет от виртуална машина във VNet?

Да. Всички виртуални машини и ролеви екземпляри на облачни услуги, внедрени във VNet, могат да се свързват към интернет.

Услуги на Azure, които се свързват с виртуални мрежи

Мога ли да използвам уеб приложения на Azure App Service с виртуална мрежа?

Да. Можете да разположите уеб приложения във VNet с помощта на ASE (App Service Environment), да свържете задната част на вашите приложения към вашите VNets с VNet Integration и да заключите входящия трафик към вашето приложение с крайни точки на услугата. За повече информация вижте следните статии:

Мога ли да разположа облачни услуги с уеб и работни роли (PaaS) във VNet?

Да. Можете (по избор) да внедрите екземпляри на роли на Cloud Services във VNets. За да направите това, посочвате името на VNet и съпоставянията на роля/подмрежа в раздела за мрежова конфигурация на вашата конфигурация на услугата. Не е необходимо да актуализирате никакви двоични файлове.

Мога ли да свържа набор от мащаби на виртуална машина към VNet?

Да. Трябва да свържете набор от мащаби на виртуална машина към VNet.

Има ли пълен списък с услуги на Azure, от които мога да разположа ресурси във VNet?

Да, за подробности вижте Интегриране на виртуална мрежа за услуги на Azure.

Как мога да огранича достъпа до ресурси на Azure PaaS от VNet?

Ресурсите, внедрени чрез някои услуги на Azure PaaS (като Azure Storage и Azure SQL база данни), могат да ограничат мрежовия достъп до VNet чрез използване на крайни точки на виртуална мрежова услуга или Azure Private Link. За подробности вижте Общ преглед на крайните точки на виртуална мрежова услуга, Общ преглед на Azure Private Link

Мога ли да премествам услугите си във и извън VNets?

Не. Не можете да местите услуги във и извън виртуални мрежи. За да преместите ресурс в друга VNet, трябва да изтриете и преразположите ресурса.

Сигурност

Какъв е моделът на сигурност за VNets?

VNets са изолирани една от друга и други услуги, хоствани в инфраструктурата на Azure. VNet е граница на доверие.

Мога ли да огранича потока на входящ или изходящ трафик към свързани с VNet ресурси?

Да. Можете да приложите групи за мрежова сигурност към отделни подмрежи във VNet, NIC, свързани към VNet, или и двете.

Мога ли да внедря защитна стена между свързани с VNet ресурси?

Да. Можете да разположите мрежово виртуално устройство за защитна стена от няколко доставчици чрез Azure Marketplace.

Има ли налична информация относно защитата на VNets?

Да. За подробности вижте Общ преглед на мрежовата сигурност на Azure.

Виртуалните мрежи съхраняват ли клиентски данни?

Не. Виртуалните мрежи не съхраняват данни за клиенти.

Мога ли да управлявам виртуални мрежи от код?

Да. Можете да използвате REST API за VNets в Azure Resource Manager и класическите модели за внедряване.

Да. Научете повече за използването на:

VNet peering

Какво е VNet peering?

VNet peering (или виртуална мрежа peering) ви позволява да свързвате виртуални мрежи. VNet peering връзка между виртуални мрежи ви позволява да насочвате трафик между тях частно чрез IPv4 адреси. Виртуалните машини в пиърираните VNets могат да комуникират помежду си, сякаш са в една и съща мрежа. Тези виртуални мрежи могат да бъдат в един и същ регион или в различни региони (известни също като Global VNet Peering). VNet peering връзки могат също да бъдат създадени в абонаменти на Azure.

Мога ли да създам peering връзка към VNet в различен регион?

Да. Глобалният пиъринг на VNet ви позволява да пирингувате виртуални мрежи в различни региони. Глобалният VNet peering е достъпен във всички публични региони на Azure, облачни региони на Китай и облачни региони на правителството. Не можете глобално да препращате от публични региони на Azure към национални облачни региони.

Ако двете виртуални мрежи в два различни региона се надникват през Global VNet Peering, не можете да се свържете с ресурси, които са зад основен балансьор на натоварването през предния IP адрес на балансиращото натоварване. Това ограничение не съществува за стандартен Load Balancer. Следните ресурси могат да използват Basic Load Balancer, което означава, че не можете да ги достигнете чрез предния IP адрес на Load Balancer през Global VNet Peering. Можете обаче да използвате Global VNet peering, за да достигнете до ресурсите директно през техните частни VNet IP адреси, ако е разрешено.

Виртуални машини зад Basic Load Balancers Набори мащаби на виртуална машина с Basic Load BalancersRedis CacheApplication Gateway (v1) SKUService FabricAPI Management (stv1)Active Directory Domain Service (ADDS)Logic AppsHDInsightAzure BatchApp Service Environment

Можете да се свържете с тези ресурси чрез ExpressRoute или VNet-to -VNet чрез VNet Gateways.

Мога ли да активирам VNet Peering, ако моите виртуални мрежи принадлежат към абонаменти в различни клиенти на Azure Active Directory?

Да. Възможно е да установите VNet Peering (независимо дали локален или глобален), ако вашите абонаменти принадлежат на различни клиенти на Azure Active Directory. Можете да направите това чрез портал, PowerShell или CLI.

Моята VNet peering връзка е в състояние Инициирано, защо не мога да се свържа?

Ако вашата peering връзка е в Инициирано състояние, това означава, че сте създали само една връзка. Трябва да се създаде двупосочна връзка, за да се установи успешна връзка. Например, за да се направи peer от VNet A към VNet B, трябва да се създаде връзка от VNetA към VNetB и от VNetB към VNetA. Създаването на двете връзки ще промени състоянието на Свързан.

Моята VNet пиъринг връзка е в състояние на прекъснато свързване, защо не мога да създам пиъринг връзка?

Ако вашата VNet peering връзка е в прекъснато състояние, това означава, че една от създадените връзки е била изтрита. За да установите отново peering връзка, ще трябва да изтриете връзката и да я създадете отново.

Мога ли да пиърна моята VNet с VNet в различен абонамент?

Да. Можете да правите партньорски виртуални мрежи между абонаменти и региони.

Мога ли да пиървам две виртуални мрежи със съвпадащи или припокриващи се диапазони от адреси?

Не. Адресните пространства не трябва да се припокриват, за да се активира VNet Peering.

Мога ли да пирингвам виртуална мрежа към две различни виртуални мрежи с активирана опция „Използване на отдалечен шлюз“ и на двете пиърингове?

Не. Можете да активирате опцията „Използване на отдалечен шлюз“ само на един пиъринг към една от виртуалните мрежи.

Колко струват VNet пиъринг връзките?

Няма такса за създаване на VNet peering връзка. Прехвърлянето на данни през пирингови връзки се таксува. Виж тук.

Шифрован ли е трафикът на VNet peering?

Когато трафикът на Azure се движи между центрове за данни (извън физически граници, които не се контролират от Microsoft или от името на Microsoft), MACsec криптирането на слоя за връзка към данни се използва на основния мрежов хардуер .Това е приложимо за VNet peering трафик.

Защо моята peering връзка е в състояние на прекъснато свързване?

Връзките на VNet peering преминават в състояние Disconnected, когато една VNet връзка за пиринг е изтрита. Трябва да изтриете и двете връзки, за да възстановите успешна peering връзка.

Ако пиървам VNetA към VNetB и пиървам VNetB към VNetC, означава ли това, че VNetA и VNetC се пиърват?

Не. Транзитивният пиъринг не се поддържа. Трябва да направите peer VNetA и VNetC, за да се случи това.

Има ли някакви ограничения на честотната лента за пиъринг връзки?

Не. Пирингът на VNet, независимо дали е локален или глобален, не налага никакви ограничения на честотната лента. Ширината на честотната лента е ограничена само от VM или изчислителния ресурс.

Как мога да отстраня проблеми с VNet Peering?

Ето ръководство за отстраняване на неизправности, което можете да опитате.

Виртуална мрежа TAP

Кои региони на Azure са налични за виртуална мрежа TAP?

Визуализацията на виртуална мрежа TAP е налична във всички региони на Azure. Наблюдаваните мрежови интерфейси, виртуалният мрежов TAP ресурс и колекторът или решението за анализ трябва да бъдат разположени в един и същ регион.

Виртуалната мрежа TAP поддържа ли някакви възможности за филтриране на огледалните пакети?

Възможностите за филтриране не се поддържат с визуализацията на TAP за виртуална мрежа. Когато TAP конфигурация се добави към мрежов интерфейс, дълбоко копие на целия входящ и изходящ трафик на мрежовия интерфейс се предава поточно към TAP дестинацията.

Могат ли да се добавят множество TAP конфигурации към наблюдаван мрежов интерфейс?

Наблюдаван мрежов интерфейс може да има само една TAP конфигурация. Проверете при индивидуалното партньорско решение за възможността за поточно предаване на множество копия на TAP трафика към инструментите за анализ по ваш избор.

Може ли една и съща виртуална мрежа TAP ресурс да събира трафик от наблюдавани мрежови интерфейси в повече от една виртуална мрежа?

Да. Същият TAP ресурс на виртуална мрежа може да се използва за агрегиране на огледален трафик от наблюдавани мрежови интерфейси в пиърирани виртуални мрежи в същия абонамент или различен абонамент. Ресурсът TAP на виртуалната мрежа и целевият балансьор на натоварването или мрежовият интерфейс на местоназначението трябва да са в един и същи абонамент. Всички абонаменти трябва да бъдат под един и същ клиент на Azure Active Directory.

Има ли съображения за производителност на производствения трафик, ако активирам конфигурация на TAP за виртуална мрежа на мрежов интерфейс?

ТАР за виртуална мрежа е в предварителен преглед. По време на визуализацията няма споразумение за ниво на обслужване. Възможността не трябва да се използва за производствени натоварвания. Когато мрежовият интерфейс на виртуална машина е активиран с TAP конфигурация, същите ресурси на хоста на Azure, разпределени на виртуалната машина за изпращане на производствения трафик, се използват за изпълнение на функцията за дублиране и изпращане на дублирани пакети. Изберете правилния размер на виртуална машина за Linux или Windows, за да сте сигурни, че са налични достатъчно ресурси за виртуалната машина за изпращане на производствения трафик и огледалния трафик.

Поддържа ли се ускорената работа в мрежа за Linux или Windows с виртуална мрежа TAP?

Ще можете да добавите TAP конфигурация към мрежов интерфейс, свързан към виртуална машина, която е активирана с ускорена работа в мрежа. Но производителността и закъснението на виртуалната машина ще бъдат засегнати от добавянето на TAP конфигурация, тъй като разтоварването за огледален трафик в момента не се поддържа от Azure ускорена мрежа.

Крайни точки на виртуална мрежова услуга

Каква е правилната последователност от операции за настройване на крайни точки на услуга към услуга на Azure?

Има две стъпки за защита на ресурс на услуга на Azure чрез услуга крайни точки:

Включете крайните точки на услугата за услугата Azure. Настройте VNet ACL на услугата Azure.

Първата стъпка е операция от страна на мрежата, а втората стъпка е операция от страна на ресурса на услугата. И двете стъпки могат да бъдат изпълнени или от един и същ администратор, или от различни администратори въз основа на разрешенията на Azure RBAC, предоставени на администраторската роля. Препоръчваме ви първо да включите крайните точки на услугата за вашата виртуална мрежа, преди да настроите VNet ACL от страната на услугата Azure. Следователно, стъпките трябва да се изпълнят в последователността, посочена по-горе, за да настроите крайни точки на VNet услуга.

Забележка

И двете операции, описани по-горе, трябва да бъдат завършени, преди да можете да ограничите достъпа на услугата Azure до разрешената VNet и подмрежа. Само включването на крайни точки на услугата за услугата Azure от страната на мрежата не ви осигурява ограничения достъп. Освен това трябва да настроите VNet ACL от страната на услугата Azure.

Някои услуги (като SQL и CosmosDB) позволяват изключения от горната последователност чрез флага IgnoreMissingVnetServiceEndpoint. След като флагът е зададен на True, VNet ACL могат да бъдат зададени от страната на услугата Azure, преди да се настроят крайните точки на услугата от страната на мрежата. Услугите на Azure предоставят този флаг, за да помогнат на клиентите в случаите, когато специфичните IP защитни стени са конфигурирани на услуги на Azure и включването на крайните точки на услугата от страната на мрежата може да доведе до прекъсване на връзката, тъй като IP източникът се променя от публичен IPv4 адрес на частен адрес . Настройването на ACL на VNet от страната на услугата Azure преди задаване на крайни точки на услугата от страната на мрежата може да помогне за избягване на прекъсване на връзката.

Всички услуги на Azure намират ли се във виртуалната мрежа на Azure, предоставена от клиента? Как крайната точка на услугата VNet работи с услугите на Azure?

Не, не всички услуги на Azure се намират във виртуалната мрежа на клиента. По-голямата част от услугите за данни на Azure, като Azure Storage, Azure SQL и Azure Cosmos DB, са услуги с множество клиенти, които могат да бъдат достъпни през публични IP адреси. Можете да научите повече за интегрирането на виртуална мрежа за услуги на Azure тук.

Когато използвате функцията за крайни точки на услуга на VNet (включване на крайна точка на услуга на VNet от страната на мрежата и настройка на подходящи ACL за VNet от страната на услугата Azure), достъпът до услуга на Azure е ограничен от разрешена VNet и подмрежа.

Как крайната точка на VNet услуга осигурява сигурност?

Функцията за крайна точка на услугата VNet (включване на крайна точка на услуга на VNet от страна на мрежата и настройка на подходящи ACL за VNet от страната на услугата Azure) ограничава достъпа до услугата Azure към разрешената VNet и подмрежа, като по този начин осигурява сигурност на мрежово ниво и изолиране на трафика на услугата Azure. Целият трафик, използващ крайни точки на VNet услуга, преминава през гръбнака на Microsoft, като по този начин осигурява още един слой на изолация от обществения интернет. Освен това, клиентите могат да изберат да премахнат напълно публичния интернет достъп до ресурсите на услугата Azure и да разрешат трафик само от тяхната виртуална мрежа чрез комбинация от IP защитна стена и VNet ACL, като по този начин защитават ресурсите на услугата Azure от неоторизиран достъп.

Какво защитава крайната точка на услугата VNet – ресурси на VNet или услуга на Azure?

Крайните точки на услугата VNet помагат за защитата на ресурсите на услугата Azure. Ресурсите на VNet са защитени чрез групи за мрежова сигурност (NSG).

Има ли някакви разходи за използване на крайни точки на VNet услуга?

Не, няма допълнителни разходи за използване на крайни точки на VNet услуга.

Мога ли да включа крайни точки на VNet услуга и да настроя VNet ACL, ако виртуалната мрежа и ресурсите на услугата Azure принадлежат към различни абонаменти?

Да, възможно е. Виртуалните мрежи и ресурсите на услугите на Azure могат да бъдат в едни и същи или различни абонаменти. Единственото изискване е както виртуалната мрежа, така и ресурсите на услугите на Azure да бъдат под един и същи клиент на Active Directory (AD).

Мога ли да включа крайни точки на услугата VNet и да настроя ACL за VNet, ако виртуалната мрежа и ресурсите на услугата Azure принадлежат на различни наематели на AD?

Да, възможно е при използване на крайни точки на услуга за хранилище на Azure и Azure Key Vault. За останалата част от услугите крайните точки на услугата на VNet и ACL на VNet не се поддържат в клиенти на AD.

Може ли IP адресът на локално устройство, което е свързано чрез шлюз на виртуална мрежа на Azure (VPN) или шлюз на ExpressRoute, да има достъп до услугата Azure PaaS през крайни точки на услугата VNet?

По подразбиране ресурсите на услугата на Azure са защитени към виртуални мрежите не са достъпни от локални мрежи. Ако искате да разрешите трафик от локално, трябва също да разрешите публични (обикновено NAT) IP адреси от вашия локален или ExpressRoute. Тези IP адреси могат да се добавят чрез конфигурацията на IP защитната стена за ресурсите на услугата Azure.

Мога ли да използвам функцията VNet Service Endpoint, за да осигуря услугата на Azure за множество подмрежи във виртуална мрежа или в множество виртуални мрежи?

За да защитя услугите на Azure за множество подмрежи във виртуална мрежа или в множество виртуални мрежи , активирайте крайните точки на услугата от страната на мрежата на всяка от подмрежите независимо и след това осигурете ресурсите на услугите на Azure за всички подмрежи, като настроите подходящи VNet ACL от страната на услугата Azure.

Как мога да филтрирам изходящ трафик от виртуална мрежа към услуги на Azure и все още да използвам крайни точки на услугата?

Ако искате да инспектирате или филтрирате трафика, предназначен към услуга на Azure от виртуална мрежа, можете разположете мрежово виртуално устройство във виртуалната мрежа. След това можете да приложите крайни точки на услуги към подмрежата, където е разгърнато мрежовото виртуално устройство, и да защитите ресурсите на услугите на Azure само към тази подмрежа чрез VNet ACL. Този сценарий може също да бъде полезен, ако искате да ограничите достъпа до услугата на Azure от вашата виртуална мрежа само до конкретни ресурси на Azure, като използвате филтриране на мрежово виртуално устройство. За повече информация вижте излизане с мрежови виртуални устройства.

Какво се случва, когато получите достъп до акаунт за услуга на Azure, който има списък за контрол на достъп до виртуална мрежа (ACL), активиран извън VNet?

Връща се грешката HTTP 403 или HTTP 404.

Разрешено ли е на подмрежи на виртуална мрежа, създадена в различни региони, да осъществяват достъп до акаунт за услуга на Azure в друг регион?

Да, за повечето от услугите на Azure виртуалните мрежи, създадени в различни региони, имат достъп до услугите на Azure в друг регион чрез крайните точки на услугата VNet. Например, ако акаунт в Azure Cosmos DB е в Западна САЩ или Източна САЩ и виртуалните мрежи са в множество региони, виртуалната мрежа може да има достъп до Azure Cosmos DB. Съхранението и SQL са изключения и са регионални по природа и както виртуалната мрежа, така и услугата Azure трябва да са в един и същ регион.

Може ли една услуга на Azure да има както VNet ACL, така и IP защитна стена?

Да, VNet ACL и IP защитна стена могат да съществуват едновременно. И двете функции се допълват взаимно, за да осигурят изолация и сигурност.

Какво се случва, ако изтриете виртуална мрежа или подмрежа, която има крайна точка на услугата, включена за услугата Azure?

Изтриването на VNets и подмрежи са независими операции и се поддържат дори когато крайните точки на услугата са включени за Azure услуги. В случаите, когато услугите на Azure имат настроени VNet ACL, за тези VNet и подмрежи, информацията за VNet ACL, свързана с тази услуга на Azure, се деактивира, когато VNet или подмрежа, която има включена крайна точка на VNet услуга, се изтрие.

Какво се случва, ако се изтрие акаунт за услуга в Azure, който има активирана крайна точка на VNet услуга?

Изтриването на акаунт за услуга в Azure е независима операция и се поддържа дори когато крайната точка на услугата е активирана на мрежовата страна и VNet ACL се настройват от страната на услугата Azure.

Какво се случва с IP адреса на източника на ресурс (като виртуална машина в подмрежа), който има активирана крайна точка на VNet услуга?

Когато крайните точки на виртуална мрежова услуга са активирани, IP адресите на източника на ресурсите в подмрежата на вашата виртуална мрежа превключва от използване на публични IPV4 адреси към частни IP адреси на виртуалната мрежа на Azure за трафик към услугата на Azure. Имайте предвид, че това може да доведе до неуспех на конкретни IP защитни стени, които са зададени на публичен IPV4 адрес по-рано в услугите на Azure.

Маршрутът на крайната точка на услугата винаги ли има предимство?

Крайните точки на услугата добавят системен маршрут, който има предимство пред BGP маршрутите и осигурява оптимално маршрутизиране за трафика на крайната точка на услугата. Крайните точки на услугата винаги приемат трафика на услугата директно от вашата виртуална мрежа към услугата в опорната мрежа на Microsoft Azure. За повече информация относно начина, по който Azure избира маршрут, вижте Маршрутизиране на трафика на виртуална мрежа на Azure.

Крайните точки на услугата работят ли с ICMP?

Не, ICMP трафикът, който идва от подмрежа с активирани крайни точки на услугата, няма да отведе пътя на тунела на услугата до желаната крайна точка. Крайните точки на услугата ще обработват само TCP трафик. Това означава, че ако искате да тествате латентност или свързаност към крайна точка чрез крайни точки на услуги, инструменти като ping и tracert няма да покажат истинския път, по който ще поемат ресурсите в подмрежата.

Как NSG в подмрежа работи с крайните точки на услугата?

За да достигнат до услугата Azure, NSG трябва да разрешат изходяща свързаност. Ако вашите NSG са отворени за целия изходящ интернет трафик, тогава трафикът на крайната точка на услугата трябва да работи. Можете също така да ограничите изходящия трафик до IP адреси на услуги само с помощта на маркерите на услугата.

Какви разрешения са ми необходими, за да настроя крайни точки на услугата?

Крайните точки на услугата могат да бъдат конфигурирани във виртуална мрежа независимо от потребител с достъп за запис във виртуалната мрежа. За да защити ресурсите на услугите на Azure към VNet, потребителят трябва да има разрешение Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action за подмрежите, които се добавят. Това разрешение е включено във вградената роля на администратор на услуга по подразбиране и може да бъде модифицирано чрез създаване на персонализирани роли. Научете повече за вградените роли и присвояването на конкретни разрешения на персонализирани роли.

Мога ли да филтрирам виртуален мрежов трафик към услугите на Azure, позволявайки само специфични ресурси на услугите на Azure, през крайни точки на услуги на VNet?

Правилата за крайни точки на услугата на виртуална мрежа (VNet) ви позволяват да филтрирате трафика на виртуална мрежа към услуги на Azure , позволявайки само специфични ресурси на услугата Azure през крайните точки на услугата. Политиките за крайни точки осигуряват подробен контрол на достъпа от виртуалния мрежов трафик до услугите на Azure. Можете да научите повече за правилата за крайни точки на услугата тук.

Azure Active Directory (Azure AD) поддържа ли крайни точки на VNet услуга?

Azure Active Directory (Azure AD) не поддържа първоначално крайни точки на услуга. Пълният списък на услугите на Azure, поддържащи крайни точки на VNet услуга, може да се види тук. Обърнете внимание, че етикетът „Microsoft.AzureActiveDirectory“, посочен под услуги, поддържащи крайни точки на услуги, се използва за поддръжка на крайни точки на услуги към ADLS Gen 1. За ADLS Gen 1 интеграцията на виртуална мрежа за Azure Data Lake Storage Gen1 използва сигурността на крайната точка на виртуалната мрежова услуга между вашата виртуална мрежа и Azure Active Directory (Azure AD), за да генерирате допълнителни искове за сигурност в маркера за достъп. След това тези твърдения се използват за удостоверяване на вашата виртуална мрежа към вашия акаунт Data Lake Storage Gen1 и разрешаване на достъп. Научете повече за VNet интеграцията на Azure Data Lake Store Gen 1

Има ли ограничения за това колко крайни точки на VNet услуга мога да настроя от моята VNet?

Няма ограничение за общия брой крайни точки на VNet услуга във виртуална мрежа. За ресурс на услуга на Azure (като акаунт за съхранение на Azure), услугите може да наложат ограничения върху броя на подмрежите, използвани за защита на ресурса. Следната таблица показва някои примерни ограничения:

Ограничения на услугите на Azure за VNet правила Azure Storage100Azure SQL128Azure Synapse Analytics128Azure KeyVault200Azure Cosmos DB64Azure Event Hub128Azure Service Bus128Azure Data Lake Store V1100

Забележка

Ограниченията подлежат на промени по преценка на услугата Azure. Обърнете се към съответната сервизна документация за подробности за услугите.


PREV: Създаване на първи домейн контролер на Windows Server 2012 ...

NEXT: Разбиране на Active Directory в Windows Server 2012 R2 ...

Popular Articles

Hot Articles

Navigation Lists

Back to Top