导出 (0) 打印
全部展开

虚拟网络常见问题

更新时间: 2014年7月

虚拟网络基础知识

虚拟网络配置

虚拟网络跨界连接 (VPN)

多站点连接和 VNet 到 VNet 连接

虚拟网络和名称解析 (DNS)

虚拟网络和虚拟机

虚拟网络和服务

虚拟网络与安全

API、架构和工具

利用虚拟网络,你可以设置和管理 Azure 中的虚拟专用网络 (VPN),并可以选择将 VPN 与本地 IT 基础结构相链接以创建混合和跨界解决方案。通过虚拟网络,IT 管理员可以控制网络拓扑,包括配置 DNS 和 IP 地址范围。
有关更多信息,请参见虚拟网络概述

使用虚拟网络可以执行以下操作:

  • 创建仅限云的专用私有虚拟网络

    有时,你不需要为你的解决方案进行跨界配置。当你创建虚拟网络时,虚拟网络中你的服务和 VM 可以在云中直接安全地互相通信。这使流量安全地保留在虚拟网络中,但仍允许你为解决方案中需要 Internet 通信的 VM 和服务配置终结点连接。

  • 安全地扩展数据中心

    通过虚拟网络,可建立传统的站点到站点 VPN 以安全地改变数据中心的容量规模。虚拟网络使用行业标准 IPSEC 协议以便在企业 VPN 网关与 Azure 之间建立一个安全连接。在 VPN 网关后添加所需数量的计算机。

  • 实现混合云方案

    虚拟网络使你能够灵活支持一系列混合云方案。你可以将基于云的应用程序安全连接到任何类型的内部部署系统(如大型机和 Unix 系统)。

请访问虚拟网络概述以查看一个决策表,该表将帮助你确定最佳的网络设计选项。

我们提供一个可帮助你入门的资源页。该页包含指向常见配置步骤的链接,以及有助于你了解虚拟网络设计注意事项的信息。

虚拟网络可用于云服务 (PaaS) 和虚拟机。目前虚拟网络无法用于任何其他服务。

适用。不使用站点到站点连接也可使用虚拟网络。如果你要在 Azure 中运行域控制器和 SharePoint 场,这尤其有用。

可以使用以下工具来创建或配置虚拟网络:

可使用在 RFC1918 中定义的任何 IP 地址范围。其中包括以下范围中的 IP 地址:

  • 10.0.0.0 - 10.255.255.255(10/8 前缀)

  • 172.16.0.0 - 172.31.255.255(172.16/12 前缀)

  • 192.168.0.0 - 192.168.255.255(192.168/16 前缀)

不支持 RFC1918 范围之外的 IP 地址。

对于在虚拟网络中使用的子网数没有限制。所有子网都必须完全包含在虚拟网络地址空间内,并且彼此不应重叠。

确有限制,我们在每个子网中保留一些 IP 地址。为遵从协议,保留子网的第一个和最后一个 IP 地址。此外,还额外保留几个 IP 地址用于我们的服务。

我们支持的最小子网为 /29,最大为 /8(使用 CIDR 子网定义)。我们在每个子网中保留一些 IP 地址。

虚拟网络是第 3 层叠加。我们不支持任何第 2 层语义。

不。我们在虚拟网络中不支持自定义路由策略。

不。我们不支持多播或广播。

在虚拟网络中支持基于 IP 的标准协议。但是,我们阻止多播、广播、IP 内封装 IP 的数据包以及通用路由封装 (GRE) 数据包。可使用的标准协议包括:

  • TCP

  • UDP

  • ICMP

不。我们不支持 ping 子网的默认网关。

随时可向虚拟网络添加子网,只要该子网地址不是虚拟网络中另一子网的一部分即可。

如果在子网中未使用 PowerShell cmdlet 或 NETCFG 文件部署任何 VM 或服务,则你可以添加、删除、扩展或收缩该子网。你还可以添加、删除、扩展或压缩任何前缀,但前提是包含 VM 或服务的子网不受这种更改的影响。

只要在子网地址中未使用 PowerShell cmdlet 或 NETCFG 文件部署任何服务或 VM,你就可以修改这些子网地址。一旦向子网中部署了服务或 VM,就不能修改或删除该子网。

适用。在虚拟网络中部署的所有服务均可连接到 Internet。对于 Azure 中部署的每个云服务,都向其分配一个可公开寻址的 VIP。必须定义 PaaS 角色的输入终结点和虚拟机的终结点,以使这些服务可接受来自 Internet 的连接。

不。我们在虚拟网络中不支持 IPv6。

不。虚拟网络仅限用于一个区域。

适用。可以通过使用 REST API 或 Windows PowerShell 创建 VNet 到 VNet 通信。请参见配置 VNet 到 VNet 连接

虚拟网络支持以下跨界连接:

  • Site-to-site - 采用 IPsec(IKE v1 和 IKE v2)的 VPN 连接

  • Point-to-site - 采用 SSTP(安全套接字隧道协议)的 VPN 连接

  • ExpressRoute - 从 WAN 发起的直接安全连接,不通过公共 Internet

使用站点到站点连接,可以在本地的任何计算机到虚拟网络中的任何虚拟机或角色实例之间建立连接,具体取决于你如何选择路由配置。站点到站点连接对于始终可用的跨界连接是一个很好的选择,并且非常适合混合配置。它依赖在网络边缘部署的 IPsec VPN 设备(硬件或软设备)进行连接。若要创建此种类型的连接,你必须拥有所需的 VPN 硬件和面向外部的 IPv4 IP 地址。

使用点到站点连接,可以从一台计算机连接到位于虚拟网络中的任何设备。点到站点连接使用 Windows VPN 客户端。在进行点到站点配置的过程中,你将安装证书和 VPN 客户端配置包,其中包含允许你的计算机连接到虚拟网络中的任何虚拟机或角色实例的设置。当你想要连接到虚拟网络,但未位于本地时,点到站点连接很适用。当你无法访问 VPN 硬件或面向外部的 IPv4 IP 地址(这两者对于站点到站点连接来说是必需的)时,点到站点连接也是一个不错的选择。

注意:可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用动态网关创建站点到站点连接。有关详细信息,请参阅关于安全跨界连接

可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。请参阅多站点连接和 VNet 到 VNet 连接常见问题部分。

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。可在此处找到已知兼容的 VPN 设备及其相应的配置模板和设备规范的列表。设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。要获取配置 VPN 设备的帮助,请参考对应于各设备系列的设备配置模板。

如果没有看到你的设备列出作为已知兼容 VPN 设备,但想使用该设备进行 VPN 连接,则需要确认它符合最低要求。满足最低要求的设备也应该能顺利用于虚拟网络。下面列出针对静态和动态路由配置的最低设备要求。可在此处找到详细信息。请联系你的设备制造商了解更多支持和配置说明。

我们支持将 Windows Server 2012 路由和远程访问 (RRAS) 服务器用于站点到站点跨界配置。

其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与我们的网关兼容。有关配置和支持说明,请与该软件的供应商联系。

支持以下操作系统:

  • Windows 7(仅限 64 位版本)

  • Windows Server 2008 R2

  • Windows 8(仅限 64 位版本)

  • Windows Server 2012

不。仅支持上面列出的 Windows 操作系统版本。

我们最多支持 128 个 VPN 客户端可连接到一个虚拟网络。

适用。我们使用 SSTP(安全套接字隧道协议)作为隧道穿越防火墙。此隧道将作为 HTTPs 连接出现。

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

适用。如果虚拟网络有动态路由 VPN 网关,则这些解决方案均可正常工作。我们在静态路由 VPN 网关中不支持点到站点。

是,可以这样。但虚拟网络的 IP 前缀不得重叠,并且点到站点地址空间在虚拟网络之间不得重叠。

难以确定通过 VPN 隧道的准确吞吐量。IPsec 和 SSTP 是重重加密的 VPN 协议。本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。

静态路由 VPN 也称为基于策略的 VPN。基于策略的 VPN 基于客户定义的策略来对通过接口的数据包进行加密和路由。该策略通常以访问列表的形式定义。

动态路由 VPN 也称为基于路由的 VPN。基于路由的 VPN 依赖于专为转发数据包创建的隧道接口。到达隧道接口的任何数据包都将通过 VPN 连接转发。

不。必须先创建网关才能获得 IP 地址。如果删除再重新创建 VPN 网关,则 IP 地址将更改。

我们在创建 VPN 网关时生成一个预共享密钥 (PSK)。必须使用该 PSK 进行身份验证。可随时重新生成该 PSK,并可根据需要更改该 PSK 长度。

可以,设置预共享密钥 API 和 PowerShell cmdlet 可用于配置 Azure 静态路由 VPN 和动态路由 VPN。

我们仅限使用预共享密钥 (PSK) 进行身份验证。

我们有一个网关服务,我们运行它以实现跨界连接。我们需要从你的路由域获得 2 个 IP 地址,才能在你本地与云之间进行路由。我们需要你指定至少一个 /29 子网,从中我们可选取 IP 地址用于设置路由。

请注意,不得在网关子网中部署虚拟机或角色实例。

在“本地网络”下的“网络”页上为虚拟网络添加要通过网关发送的每个范围。

不。我们不支持配置路由。必须使用虚拟网络网关进行跨界连接。

安全,它通过 IPsec/IKE 加密进行保护。

组合起来最多 10 个。例如,一个 Azure 虚拟网络可以连接到 6 个本地站点和 4 个虚拟网络。

能,可以将 P2S VPN 用于连接到多个本地站点的 VPN 网关和其他虚拟网络

不能,不支持 Azure 虚拟网络与本地站点之间的冗余隧道。

不能,重叠的地址空间会导致 NETCFG 上载或虚拟网络创建失败。

不会,所有 VPN 隧道(包括 P2S VPN)共享同一 Azure VPN 网关和可用带宽。

通过 Azure VPN 网关传输流量是可能的,但依赖于 NETCFG 配置文件中静态定义的地址空间。Azure 虚拟网络和 VPN 网关尚不支持 BGP。没有 BGP,手动在 NETCFG 中定义传输地址空间很容易出错,不建议这样做。

适用。实际上,没有任何区域约束。一个虚拟网络可以连接到同一区域中或不同 Azure 区域中的另一个虚拟网络。

不会。默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。但是,你可以使用新引入的设置 VPN 网关密钥 REST API 或 PowerShell cmdlet 设置你想要的密钥值。密钥必须是长度为 1 到 128 个字符的字母数字字符串。

Azure 只对从一个 Azure 区域跨越到另一个 Azure 区域的流量收费。流量费率与“Azure 定价”页列出的传出数据传输费率相同。

适用。你可以在虚拟网络定义中指定 DNS 服务器 IP 地址。将应用此地址作为虚拟网络中所有虚拟机的默认 DNS 服务器。

最多可指定 12 个 DNS 服务器。

适用。可随时更改虚拟网络的 DNS 服务器列表。如果更改 DNS 服务器列表,则需要重新启动虚拟网络中的每个虚拟机以使其选取新的 DNS 服务器。

使用 名称解析页面上的决策表可指导你了解所有可用的 DNS 选项。

Azure 提供的 DNS 是我们提供的一种多租户 DNS 服务。我们将你的所有虚拟机注册到此服务中。此服务为同一云服务中包含的 VM 提供按主机名的名称解析,并为同一虚拟网络中的 VM 提供按 FQDN 的名称解析。注意:当前,使用 Azure 提供的 DNS 进行的跨租户名称解析仅限于虚拟网络中的前 100 个云服务。如果你使用自己的 DNS 服务器,则此限制不适用。

适用。可按云服务设置 DNS 服务器以重写默认网络设置。但是,我们建议尽可能在整个网络中使用统一的 DNS。

不。我们不支持为虚拟网络指定自定义 DNS 前缀。

我们支持 Azure 支持的所有 Linux 发行版。

  • 内部 IP 地址 (DIP) 是 DHCP 分配给每个虚拟机的 IP 地址。该地址不面向公众。如果已创建虚拟网络,则从你指定的范围中分配该内部 IP 地址。如果没有虚拟网络,则仍将分配内部 IP 地址。除非停止(释放)虚拟机,否则内部 IP 地址将在虚拟机生存期内保持不变。

  • 公共 VIP 是分配给你的云服务的公共 IP 地址。并非将其直接分配给你的虚拟机网卡。VIP 在将其分配到的云服务中保持不变,直至停止(释放)或删除该云服务中的所有虚拟机。届时即释放它。

  • DIP - 如果向虚拟网络部署 VM,则该 VM 始终从指定的内部 IP 地址池接收内部 IP 地址 (DIP)。VM 使用 DIP 在虚拟网络中进行通信。虽然 Azure 分配 DIP,但如果你使用 PowerShell 部署 VM,则可以为虚拟机请求静态 DIP。请参见为 VM 配置静态内部 IP 地址 (DIP)

  • VIP - VM 还与 VIP 关联,不过,永远不会将 VIP 直接分配给该 VM。VIP 是可以分配给你的云服务的公共 IP 地址。你可以选择为你的云服务保留 VIP。请参见Reserved IP Addresses

  • PIP - 你的 VM 也可以选择接收实例级公共 IP 地址 (PIP)。PIP 直接与 VM(而非云服务)相关联。PIP 当前处于预览状态。请参见实例级公共 IP 地址

Azure 将使用 DHCP 向指定子网中的每个 VM 和 PaaS 实例分配内部 IP 地址。

适用。若要指定 DIP,你需要使用 PowerShell cmdlet 创建 VM。有一些 cmdlet 可让你指定虚拟机将要接收的 DIP。需要确认指定的 DIP 未由虚拟网络中的其他 VM 或服务使用。如果你指定 DIP,它将在虚拟机的整个生存期中持续存在 - 即使你停止(释放)虚拟机,也是如此。如果在停止(释放)后再次启动该虚拟机,该虚拟机将使用先前指定的 DIP。你不需要为虚拟机指定 DIP,除非你需要该功能。

不可以,你不能保留 DIP。如果某个 DIP 可用,则 DHCP 服务器可将它分配给 VM。该 VM 不一定是你希望将该 DIP 分配到的那一个 VM。但是,你可以使用 PowerShell 将已创建的 VM 的 DIP 更改为某个可用地址。此时,如果所需的 DIP 在系统中变为可用,则你可以在创建新 VM 时指定该 DIP。也可以使用 PowerShell 从 VM 中释放某个 DIP。如果释放某个 DIP,则将为 VM 分配一个新的 DIP。

除非停止(释放)虚拟机,否则,内部 IP 地址在该 VM 的生存期内将一直保留在该 VM 上。停止(释放)VM 时,除非你使用 PowerShell 定义了静态 DIP,否则将释放内部 IP 地址。如果只是停止 VM(而不是将其置于“已停止(已释放)”状态),则仍会将该 IP 地址分配给该虚拟机。

不。你不得更改 VM 的任何接口属性。任何更改都可能导致与虚拟机失去连接。

无任何变化。这些 IP 地址(公共 VIP 和内部 DIP)将在云服务或虚拟机中保持不变。注意:如果只是想要关闭虚拟机,请不要使用管理门户来执行此操作。当前,使用关闭按钮将会停止(释放)虚拟机。

“停止(已释放)”是可以在管理门户中通过选择关闭虚拟机来指定的一种状态。这与单纯地从虚拟机自身内部关闭虚拟机有所不同。当你停止(释放)虚拟机时,不仅会停止该 VM,还会指定释放内部 IP 地址以及公用 VIP 地址(如果没有其他 VM 使用该公用 VIP,因为 VIP 是分配给云服务而不是直接分配给虚拟机的)。当你重新分配某个虚拟机时,该虚拟机将选取新的公用 VIP(如果该虚拟机未加入已经包含一个虚拟机的云服务)以及新的内部 IP 地址。

通过“停止(已释放)”状态保留虚拟机 DIP 的唯一方法是为该虚拟机定义静态 IP 地址。如果你发现已经停止(释放)了虚拟机,但想要使用原始 DIP,那么,你可以在重新部署 VM 时使用 PowerShell 指定该 DIP,但前提是该 DIP 尚未分配给虚拟网络中的其他 VM。

适用。你可以使用 PowerShell 执行该操作。可在此处找到详细信息。

不。不能静态配置 MAC 地址。

不。虚拟机的 MAC 地址可出于几种不同原因而更改。如果使 VM 进入停止(释放)状态,如果更改虚拟机大小,或者如果主机服务器正在进行服务修复或计划内维护,则不保留 MAC 地址。

适用。在虚拟网络中部署的所有服务均可连接到 Internet。此外,对于 Azure 中部署的每个云服务,都向其分配一个可公开寻址的 VIP。必须定义 PaaS 角色的输入终结点和虚拟机的终结点,以使这些服务可接受来自 Internet 的连接。

你可以使用两种方法中的任何一种。如果你启用了 RDP 并且创建了终结点,则可以使用公用 VIP 连接到虚拟机。在这种情况下,你将指定要连接到的 VIP 和端口。你需要配置用于流量的虚拟机端口。通常,你会转到管理门户,并保存与你的计算机建立的 RDP 连接的设置。这些设置将包含所需的连接信息。

如果你有一个配置了跨界连接的虚拟网络,则可以通过使用内部 DIP 连接到你的虚拟机。你也可以使用位于同一虚拟网络中的另一个虚拟机的内部 DIP 连接到你的虚拟机。如果要从虚拟网络外部的位置进行连接,则无法使用 DIP RDP 到你的虚拟机。例如,如果你配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过 DIP 连接到虚拟机。

不是。只有其目标 IP 包含在指定虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网络网关。其目标 IP 位于虚拟网络中的流量将保留在虚拟网络中。其他流量将通过负载平衡器发送到公用网络。如果你要进行故障排除,则重要的是确保列出本地网络中你要通过网关发送的所有范围。确认本地网络地址范围没有与虚拟网络中的任何地址范围重叠。另外,需要确认所用的 DNS 服务器能够将名称解析为正确的 IP 地址。

我们在虚拟网络中仅支持计算服务。计算服务仅限于云服务(Web 和辅助角色)和虚拟机。

不。我们在虚拟网络中不支持网站。

不。我们在虚拟网络中不支持 SQL DB。

适用。可在虚拟网络中部署 PaaS 服务。无需任何代码即可做到这一点。

通过在服务配置的网络配置部分中指定虚拟网络名称和角色 / 子网映射,即可做到这一点。不需要更新任何二进制文件。

不。我们不支持将服务移入和移出虚拟网络。必须删除服务再将其重新部署到虚拟网络中。

Azure 将使用 DHCP 向你指定的虚拟网络子网中的每个虚拟机和 PaaS 实例分配内部 IP 地址。

虚拟网络彼此之间以及与 Azure 基础结构中托管的其他服务完全隔离。信任边界 = 虚拟网络边界。

不。我们对于虚拟网络中的子网不支持 ACL。但是,可在已部署到虚拟网络的虚拟机的输入终结点上定义 ACL。注意:不必向虚拟网络部署虚拟机即可定义输入终结点的 ACL。

适用。我们提供 REST API 以管理虚拟网络和跨界连接。可在此处找到详细信息。

适用。我们提供用于多种平台的 PowerShell 和命令行工具。可在此处找到详细信息。

另请参阅

显示:
© 2014 Microsoft