【Azure网络】什么是Azure虚拟网络？

Azure虚拟网络是一种服务，它为Azure中的专用网络提供了基本的构建块。该服务的实例（虚拟网络）使多种类型的Azure资源能够安全地相互通信、与互联网和本地网络通信。这些Azure资源包括虚拟机（VM）。

虚拟网络类似于您在自己的数据中心中运行的传统网络。但它带来了Azure基础架构的额外好处，如规模、可用性和隔离性。

为什么要使用Azure虚拟网络？

您可以使用虚拟网络完成的关键场景包括：

• Azure资源与互联网的通信。
• Azure资源之间的通信。
• 与内部资源的沟通。
• 过滤网络流量。
• 网络流量的路由。
• 与Azure服务集成。

与互联网通信

默认情况下，虚拟网络中的所有资源都可以与互联网进行出站通信。您还可以使用公共IP地址、NAT网关或公共负载平衡器来管理出站连接。您可以通过分配公共IP地址或公共负载平衡器与资源进行入站通信。

当您仅使用内部标准负载平衡器时，在定义出站连接如何与实例级公共IP地址或公共负载平衡器一起工作之前，出站连接不可用。

Azure资源之间的通信

Azure资源通过以下方式之一安全地相互通信：

• 虚拟网络：您可以在虚拟网络中部署VM和其他类型的Azure资源。资源示例包括应用服务环境、Azure Kubernetes服务（AKS）和Azure虚拟机规模集。要查看可以在虚拟网络中部署的Azure资源的完整列表，请参阅将专用Azure服务部署到虚拟网络中。
   

注：

若要将虚拟机从一个虚拟网络移动到另一个，您必须在新的虚拟网络中删除并重新创建虚拟机。虚拟机的磁盘可以保留以供新虚拟机使用。

• 虚拟网络服务端点(Virtual network service endpoint)：您可以通过直接连接将虚拟网络的专用地址空间和虚拟网络的标识扩展到Azure服务资源。资源的示例包括Azure存储帐户和Azure SQL数据库。服务端点允许您仅将关键Azure服务资源安全地保护到虚拟网络。要了解更多信息，请参阅虚拟网络服务端点。
• 虚拟网络对等互联：您可以使用虚拟对等互联将虚拟网络相互连接。然后，任何一个虚拟网络中的资源都可以相互通信。您连接的虚拟网络可以位于相同或不同的Azure区域中。要了解更多信息，请参阅虚拟网络对等。

与内部资源沟通

您可以使用以下任何选项将本地计算机和网络连接到虚拟网络：

• 点对点虚拟专用网络（VPN）：在虚拟网络和网络中的单个计算机之间建立。每台想要与虚拟网络建立连接的计算机都必须配置其连接。如果您刚开始使用Azure，或者对于开发人员来说，这种连接类型很有用，因为它只需要对现有网络进行很少或根本不需要更改。您的计算机和虚拟网络之间的通信是通过互联网上的加密隧道发送的。要了解更多信息，请参阅关于点对点VPN。
• 站点到站点VPN：在本地VPN设备和部署在虚拟网络中的Azure VPN网关之间建立。此连接类型允许您授权的任何本地资源访问虚拟网络。本地VPN设备与Azure VPN网关间的通信通过互联网上的加密隧道发送。要了解更多信息，请参阅站点到站点VPN。
• Azure ExpressRoute：通过ExpressRoute合作伙伴在您的网络和Azure之间建立。此连接是私有的。流量不会通过互联网传输。要了解更多信息，请参阅什么是Azure ExpressRoute？。

过滤网络流量

您可以使用以下任一选项或两个选项过滤子网之间的网络流量：

• 网络安全组：网络安全组和应用程序安全组可以包含多个入站和出站安全规则。这些规则使您能够按源和目标IP地址、端口和协议过滤进出资源的流量。要了解更多信息，请参阅网络安全组和应用程序安全组。
• 网络虚拟设备：网络虚拟设备是执行网络功能的虚拟机，如防火墙或广域网优化。要查看可以在虚拟网络中部署的可用网络虚拟设备的列表，请转到Azure Marketplace。

路由网络流量

默认情况下，Azure在子网、连接的虚拟网络、本地网络和互联网之间路由流量。您可以实现以下任一选项或两个选项来覆盖Azure创建的默认路由：

• 路由表：您可以创建自定义路由表，控制每个子网的流量路由到哪里。
• 边界网关协议（BGP）路由：如果您使用Azure VPN网关或ExpressRoute连接将虚拟网络连接到本地网络，则可以将本地BGP路由传播到虚拟网络。

与Azure服务集成

将Azure服务与Azure虚拟网络集成，可以从虚拟机或虚拟网络中的计算资源对服务进行私有访问。您可以使用以下选项进行此集成：

• 将服务的专用实例部署到虚拟网络中。然后，可以在虚拟网络内和从本地网络对服务进行私有访问。
• 使用Azure Private Link从您的虚拟网络和本地网络私下访问服务的特定实例。
• 通过服务端点将虚拟网络扩展到服务，通过公共端点访问服务。服务端点允许将服务资源保护到虚拟网络。

限制

您可以部署的Azure资源数量有限制。大多数Azure网络限制都处于最大值。但是，您可以增加某些网络限制。有关更多信息，请参阅网络限制。

虚拟网络和可用区

虚拟网络和子网跨越一个区域中的所有可用区域。您不需要按可用区域划分它们来容纳区域资源。例如，如果配置了分区VM，则在为VM选择可用区域时不必考虑虚拟网络。其他区域资源也是如此。

定价

使用Azure虚拟网络是免费的。标准费用适用于虚拟机和其他产品等资源。要了解更多信息，请参阅虚拟网络定价和Azure定价计算器。

下一步

了解Azure虚拟网络概念和最佳实践。

通过创建一个虚拟网络、向其部署几个虚拟机以及在虚拟机之间进行通信来开始使用虚拟网络。要了解如何操作，请参阅使用Azure门户创建虚拟网络快速入门。

遵循有关设计和实施核心Azure网络基础架构（包括虚拟网络）的培训模块：Azure虚拟网络简介。