Azure 虚拟网络允许 Azure 资源(例如 VM、Web 应用和数据库)相互通信、与 Internet 上的用户通信,以及与本地客户端计算机通信。 可将 Azure 网络视为一组资源,它们与其他 Azure 资源进行链接。
Azure 虚拟网络提供以下重要的网络功能:

  • 隔离和分段
  • Internet 通信
  • Azure 资源之间的通信
  • 与本地资源通信
  • 路由网络流量
  • 筛选网络流量
  • 连接虚拟网络

隔离和细分

通过该虚拟网络,可以创建多个隔离的虚拟网络。 设置虚拟网络时,请使用公共或专用 IP 地址范围定义一个专用 Internet 协议 (IP) 地址空间。 可将该 IP 地址空间划分为子网,并将部分已定义的地址空间分配给每个命名的子网。
可以使用 Azure 中内置的名称解析服务进行名称解析。 也可以将虚拟网络配置为使用内部或外部 DNS 服务器。

Internet 通信

Azure 中的 VM 可以默认连接到 Internet。 可以通过定义公共 IP 地址或公共负载均衡器来启用从 Internet 传入的连接。 若要管理 VM,可通过 Azure CLI、远程桌面协议或安全外壳实现连接。

Azure 资源之间的通信

需要让 Azure 资源能够安全地进行相互通信。 为此,可使用下列任一方式:

  • 虚拟网络:虚拟网络不仅可以连接 VM,还可以连接其他 Azure 资源,如用于 Power Apps 的应用服务环境、Azure Kubernetes 服务和 Azure 虚拟机规模集。
  • 服务终结点:可以使用服务终结点连接到其他 Azure 资源类型,例如 Azure SQL 数据库和存储帐户。 此方法可以将多个 Azure 资源连接到虚拟网络,从而提高安全性并在资源之间提供最佳路由。

与本地资源通信

可以通过 Azure 虚拟网络将本地环境中的和 Azure 订阅中的资源链接到一起。 实际上就是可以创建一个横跨本地环境和云环境的网络。 可以通过三种机制实现此连接:

  • 点到站点虚拟专用网络:实现虚拟专用网络 (VPN) 连接的典型方法是从组织外部的计算机返回到企业网络。 在这种情况下,客户端计算机会启动加密 VPN 连接,以便将该计算机连接到 Azure 虚拟网络。
  • 站点到站点虚拟专用网络:站点到站点 VPN 将本地 VPN 设备或网关链接到虚拟网络中的 Azure VPN 网关。 实际上,Azure 中的设备看起来可能就像在本地网络中一样。 连接经过加密,是通过 Internet 进行的。
  • Azure ExpressRoute:对于需要更大带宽甚至更高级别安全性的环境,Azure ExpressRoute 是最好的方法。 ExpressRoute 提供到 Azure 的专用连接,该连接不经过 Internet。

路由网络流量

默认情况下,Azure 会在任何连接的虚拟网络的子网、本地网络以及 Internet 之间路由流量。 也可以控制路由并覆盖这些设置,如下所示:

  • 路由表:通过路由表,可以定义关于应如何定向流量的规则。 可以创建自定义路由表,用于控制数据包在子网之间的路由方式。
  • 边界网关协议:边界网关协议 (BGP) 适用于 Azure VPN 网关或 ExpressRoute,以将本地 BGP 路由传播到 Azure 虚拟网络。

筛选网络流量

Azure 虚拟网络允许使用以下方法筛选子网之间的流量:

  • 网络安全组:网络安全组是一种 Azure 资源,可以包含多个入站和出站安全规则。 可以根据源和目标 IP 地址、端口和协议等因素来定义这些允许或阻止流量的规则。
  • 网络虚拟设备:网络虚拟设备是一种可以与强化网络设备相比较的专用 VM。 网络虚拟设备执行特定的网络功能,例如运行防火墙或执行广域网 (WAN) 优化。

连接虚拟网络

可以通过虚拟网络对等互连将虚拟网络链接到一起。 每个虚拟网络中的资源可以通过对等互连相互通信。 这些虚拟网络可以位于不同的区域,因此可以通过 Azure 创建全球互连的网络。

UDR 是用户定义的路由。 UDR 是 Azure 虚拟网络的重大更新,网络管理员通过它能够控制 VNet 中的子网间路由表以及 VNet 之间的路由表,以便更好地控制网络流量。

Azure基础:什么是 Azure 虚拟网络(17)_azure网络