文章

虛擬網路概述

發布於 更新於
作者 Ned Hsu 11 分鐘閱讀

Azure 虛擬網路 (Azure Virtual Network, VNet) 是 Azure 上的一種基本網路資源,允許您在雲端中創建和管理您的虛擬網路。VNet 是在 Azure 中運行虛擬機器 (VM)、應用程式、服務和其他資源的基礎,並提供與內部網路的安全連接。以下是 Azure 虛擬網路的概述:

一、Azure 虛擬網路 (VNet) 的基本概念

1. 什麼是 Azure 虛擬網路?

  • 定義:Azure 虛擬網路 (VNet) 是 Azure 上的一種邏輯隔離的網路,類似於您在內部網路上運行的網路,但運行在 Azure 的雲端環境中。它允許您定義自己的 IP 位址範圍、子網路、路由表和網路安全組,以控制流量的路由和訪問。
  • 用戶場景:Azure VNet 支持多種場景,例如運行虛擬機器、應用程式、數據庫和其他服務,並與內部網路或其他 VNet 進行連接。

2. 主要功能

  • 隔離和分段:VNet 提供網路隔離,讓您可以安全地分隔和管理不同的工作負載,確保它們不會互相干擾。
  • 自定義 IP 位址範圍:您可以為 VNet 設置自定義的 IP 位址範圍(例如 10.0.0.0/16),並在此範圍內劃分多個子網路。
  • 連接內部網路:VNet 支持通過虛擬專用網路 (VPN) 閘道或專用連線 (ExpressRoute) 與內部網路連接,實現混合雲架構。
  • 流量控制:通過網路安全組 (NSG)、用戶定義路由 (UDR) 和其他網路功能,您可以精確控制進出 VNet 的流量。
  • 跨區域和跨訂閱連接:使用 VNet 對等連接 (VNet Peering),您可以連接不同區域或不同訂閱中的 VNet,並在這些網路間實現流量傳輸。

二、Azure VNet 的結構和組件

1. VNet

  • 定義:VNet 是一個虛擬網路,類似於內部網路的網段。它擁有一個定義好的 IP 位址空間,可以劃分為多個子網路,並且可以配置自定義路由和安全規則。

2. 子網路 (Subnet)

  • 定義:子網路是 VNet 中的一個區域,具有獨立的 IP 位址範圍。您可以在子網路中部署虛擬機器和其他 Azure 資源,並為每個子網路設置不同的安全性和路由規則。
  • 隔離和安全:不同子網路可以根據需求實現邏輯隔離,並配置不同的網路安全組 (NSG) 來控制流量。

3. 網路安全組 (NSG)

  • 定義:NSG 是一組安全規則,用於控制流量進入和離開 Azure 資源。NSG 可以綁定到子網路或個別的虛擬機器網路介面 (NIC),從而實現精細的流量控制。
  • 規則:每個 NSG 規則定義了允許或拒絕的網路流量源、目的地、端口和協議(如 TCP、UDP)。

4. 用戶定義路由 (UDR)

  • 定義:UDR 是一組由用戶自定義的路由規則,這些規則可以覆蓋 Azure 的默認路由,幫助您精確控制網路流量的流向。例如,您可以指定流量經過防火牆或其他網路設備。

5. 虛擬網路閘道 (VPN Gateway)

  • 定義:VPN Gateway 是一種網路設備,允許您的 Azure VNet 與內部網路或其他 VNet 進行加密的跨網路連接。它支持站點到站點 (Site-to-Site) VPN 和點到站點 (Point-to-Site) VPN。

6. VNet 對等連接 (VNet Peering)

  • 定義:VNet Peering 允許您將兩個 VNet 直接連接在一起,無需使用公共網路進行路由。這使得不同 VNet 之間的資源可以像在同一個網路中一樣進行互相訪問。

7. ExpressRoute

  • 定義:ExpressRoute 是一種專用網路連接服務,允許您通過專線將內部網路與 Azure 連接。它提供比公共網路更高的速度、更低的延遲和更高的安全性。

三、Azure VNet 的常見使用場景

1. 應用程式分層架構

  • 描述:在 Azure VNet 中,您可以將應用程式的不同層(如前端、應用程式層、資料庫層)部署到不同的子網路中,並使用 NSG 來控制各層之間的流量,確保僅允許必要的通信。

2. 混合雲架構

  • 描述:通過 VPN Gateway 或 ExpressRoute,您可以將內部網路與 Azure VNet 連接,形成混合雲環境。這樣,您可以在內部網路中運行核心業務應用程式,同時在 Azure 上擴展運行其他工作負載。

3. 跨區域高可用性

  • 描述:使用 VNet 對等連接,您可以連接不同區域的 VNet,並設計跨區域的高可用性架構。這樣即使一個區域發生故障,您的應用程式仍然可以在其他區域中運行。

4. 安全邊界控制

  • 描述:通過 NSG 和 UDR,您可以為應用程式設置精細的安全控制,確保只有合法的流量能夠訪問特定資源。此外,您還可以使用防火牆或其他安全設備進行更深度的包過濾和入侵防護。

四、Azure VNet 的管理和配置

1. 使用 Azure Portal

  • 管理介面:Azure Portal 提供直觀的介面來創建和管理 VNet、子網路、NSG 和其他網路資源。您可以在 Portal 中配置 IP 位址範圍、設置路由和安全規則,並查看網路狀態和流量統計。

2. 使用 Azure CLI 或 PowerShell

  • 命令行工具:Azure CLI 和 PowerShell 提供強大的命令行工具來自動化 VNet 的配置和管理。例如,使用 Azure CLI 創建 VNet 的命令如下:
    1

    az network vnet create --name MyVNet --resource-group MyResourceGroup --address-prefix 10.0.0.0/16 --subnet-name MySubnet --subnet-prefix 10.0.1.0/24

3. 配置網路安全

  • 配置 NSG:您可以為子網路或個別資源配置 NSG 來控制網路流量的進出。例如,可以創建 NSG 規則來允許 HTTP 流量進入 Web 伺服器,並阻止其他非必要的流量。
  • 設置 UDR:通過 UDR 規則,您可以指定流量必須通過某個網路設備(例如防火牆),從而進行更精細的流量控制。

五、Azure VNet 的最佳實踐

1. 規劃 IP 位址空間

  • 注意避免衝突:在規劃 VNet 和子網路的 IP 位址時,確保與現有內部網路或其他 VNet 的 IP 位址空間不衝突,以便未來能夠進行 VPN 連接或 VNet Peering。

**2. 最小化網路延遲

**

  • 本地化流量:將應用程式的不同組件部署在同一 VNet 或子網路中,以最小化網路延遲並提高應用程式性能。

3. 定期審查安全性

  • 定期更新 NSG 規則:定期審查並更新 NSG 規則,以確保它們符合最新的安全要求並防止未經授權的訪問。

4. 使用標籤進行管理

  • 標籤資源:使用 Azure 標籤功能來組織和管理您的 VNet 資源,這樣可以更輕鬆地進行管理和成本分攤。

5. 測試和監控

  • 定期測試連接:定期測試 VNet 連接和 VPN 隧道,確保在需要時可以正常工作。
  • 啟用監控和警報:使用 Azure Monitor 監控 VNet 流量和性能,並設置警報以便在發生異常時能及時響應。

總結

Azure 虛擬網路 (VNet) 是 Azure 網路架構的基礎,為在雲端中運行的資源提供隔離、連接和安全性。通過合理配置 VNet、子網路、NSG 和其他網路資源,您可以構建安全、高效且可擴展的網路環境,並滿足各種應用場景的需求。

Software, Azure
Azure Cloud Service
本文章以 CC BY 4.0 授權