了解 Azure 虚拟网络

Azure 虚拟网络（VNet） 是 Azure 中专用网络的基本构建基块。 通过 VNet 可以构建类似于本地网络的复杂虚拟网络，它还提供了 Azure 基础结构的其他优势，例如缩放性、可用性和隔离性。

此视频回顾 IP 寻址和子网的基础知识。

Azure 虚拟网络的功能

借助 Azure VNet，Azure 中的资源可以安全地在相互之间、与 Internet 和本地网络进行通信。

• 与 Internet 之间的通信。 默认情况下，VNet 中的所有资源都可以与 Internet 进行出站通信。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。 还可以使用公共 IP 或公共负载均衡器来管理出站连接。
• Azure 资源之间的通信。 Azure 资源可通过以下三种关键机制进行通信：VNet、VNet 服务终结点和 VNet 对等互连。 虚拟网络不仅可以连接虚拟机（VM），还可以连接其他 Azure 资源，例如应用服务环境、Azure Kubernetes 服务和 Azure 虚拟机规模集。 可以使用服务终结点连接到其他 Azure 资源类型，例如 Azure SQL 数据库和存储帐户。 创建 VNet 时，VNet 中的服务和 VM 可以在云中安全地互相直接通信。
• 本地资源之间的通信。 安全地扩展数据中心。 可以使用以下任一选项将本地计算机和网络连接到虚拟网络：点到站点虚拟专用网络 (VPN)、站点到站点 VPN、Azure ExpressRoute。
• 筛选网络流量。 可以使用网络安全组和网络虚拟设备的任意组合来筛选子网之间的流量。
• 路由网络流量。 默认情况下，Azure 在子网、连接的虚拟网络、本地网络以及 Internet 之间路由流量。 你可以实现路由表或边界网关协议 (BGP) 路由来替代 Azure 创建的默认路由。

Azure 虚拟网络的设计注意事项

地址空间和子网

可以为每个区域的每个订阅分别创建多个虚拟网络。 可在每个虚拟网络中创建多个子网。

虚拟网络

创建 VNet 时，请使用 RFC 1918 中枚举的地址范围。 这些地址适用于专用的不可路由地址空间。

• 10.0.0.0 - 10.255.255.255（10/8 前缀）
• 172.16.0.0 - 172.31.255.255（172.16/12 前缀）
• 192.168.0.0 - 192.168.255.255（192.168/16 前缀）

此外，这些地址范围是保留的。

• 224.0.0.0/4（多播）
• 255.255.255.255/32（广播）
• 127.0.0.0/8（环回）
• 169.254.0.0/16（本地链路）
• 168.63.129.16/32（内部 DNS）

子网

子网是 VNet 中的一个 IP 地址范围。 将 VNet 分段为不同的大小子网。 然后，在特定的子网中部署 Azure 资源。 就像在传统网络中一样，使用子网可将 VNet 地址空间划分为适合组织内部网络的网段。 支持的最小 IPv4 子网为 /29，最大为 /2（使用 CIDR 子网定义）。 IPv6 子网的大小必须是 /64。 计划实现子网时，请考虑：

• 每个子网必须具有唯一的地址范围，该范围以无类别域际路由选择 (CIDR) 格式指定。
• 某些 Azure 服务需要自己的子网。
• 子网可用于流量管理。 例如，你可以创建子网以通过网络虚拟设备路由流量。
• 可将对 Azure 资源的访问权限限制为具有虚拟网络服务终结点的特定子网。 可以创建多个子网，并为某些子网启用服务终结点，其他子网则不启用服务终结点。

虚拟网络注意事项

在计划实现虚拟网络时，需要考虑以下事项：

• 确保地址空间不会重叠。 确保 VNet 地址空间（CIDR 块）不与组织的其他网络范围重叠。
• 是否需要任何安全隔离？
• 是否需要缓解任何 IP 寻址限制？
• Azure VNet 与本地网络之间是否有连接？
• 是否需要出于管理目的进行任何隔离？
• 你是否使用了任何创建自己的 VNet 的 Azure 服务？

为每个问题选择最佳答案。