导出 (0) 打印
全部展开

虚拟网络概述

更新时间: 2014年4月

使用 Windows Azure 虚拟网络,你可以将网络扩展到 Windows Azure 中,将 Windows 中的部署视为本地网络的自然扩展。

使用虚拟网络可以实现以下目标:

  • 在 Windows Azure 中创建虚拟专用网络:你可以将首选的专用 IPv4 空间 (10.x, 172.x, 192.x)) 设置到 Windows Azure。

  • 通过站点到站点 IPsec VPN 配置跨界连接:你可以将跨界网络扩展到 Windows Azure,并将虚拟网络中部署的虚拟机和服务视为在本地系统上。

  • 为虚拟网络中的所有服务配置自定义 DNS 服务器:你可以将所有虚拟机和服务指向本地 DNS 服务器或在虚拟网络中运行的 DNS 服务器。此功能允许你在 Windows Azure 中使用域控制器。

Windows Azure 虚拟网络有以下主要优点:

  • 扩展信任和安全边界:虚拟网络将信任边界从单个服务扩展到虚拟网络边界。可以在一个虚拟网络中创建几个云服务和虚拟机,使它们不必通过 Internet 就能互相通信。还可以设置使用公用后台数据库层或使用共享管理服务的服务。

  • 持久性专用 IP 地址:VNet 中的虚拟机将拥有稳定的专用 IP 地址。我们从你指定的地址范围中分配一个 IP 地址并提供对该地址的无限期 DHCP 租约。在创建虚拟机时,你还可以选择使用地址范围中的某个特定专用 IP 地址配置该虚拟机。这样,即使停止/释放虚拟机,也能确保该虚拟机保留其专用 IP 地址。

  • 增强的安全性和隔离:由于每个虚拟网络是以覆盖方式运行的,只有属于同一网络的虚拟机和服务才能互相访问。虚拟网络外部的服务不能识别或连接虚拟网络内承载的服务。这为你的服务提供了另一层隔离。

  • 将本地网络扩展到云中:你可以通过站点到站点 VPN 扩展本地网络,并将虚拟网络视为公司网络的一部分。可以访问有关监视和标识的所有本地投资并将它们用于 Windows Azure 中托管的服务。

  • IaaS 和 PaaS 更好地结合:使用虚拟网络可以构建依赖于 PaaS 和 IaaS 的服务。在大多数情况下,前端都是无状态的,PaaS 角色在这样的情况下可以提供更大的灵活性和可伸缩性。当前端迁移到 PaaS 时,你仍然可以将自己喜欢的数据库用作虚拟机。

  • 连接到 Internet:你仍然可以通过为服务分配的公用 IP 地址将虚拟网络中托管的服务连接到 Internet。

配置 Windows Azure 虚拟网络前,应仔细考虑可能的方案。对于此版本,创建虚拟网络并部署角色实例和虚拟机后就很难更改了。在此部署阶段之后,不能轻易修改基准网络配置,有很多值如需修改就只能回滚角色和虚拟机并重新配置。因此,不应试图先创建虚拟网络,然后调整方案来适合网络。

创建网络设计时,应考虑以下可能的方案:

 

方案 需要考虑的要点 参考信息

你的虚拟网络和本地网络之间的安全的站点到站点连接

  • 地址空间

  • 支持的 VPN 网关设备

  • VPN 网关设备的可通过 Internet 访问的 IP 地址

  • 名称解析 (DNS) 设计

有关跨界连接选项的更多信息,请参见关于安全跨界连接

有关 VPN 设备要求和配置模板,请参见关于用于虚拟网络的 VPN 设备

你的本地网络和虚拟网络上运行的各个计算机之间的安全的点到站点连接

  • 地址空间

  • 名称解析 (DNS) 设计

有关跨界连接选项的更多信息,请参见关于安全跨界连接

有关 VPN 设备要求和配置模板,请参见关于用于虚拟网络的 VPN 设备

利用 Windows Azure 虚拟网络的功能,可以在云中创建专用的私有虚拟网络以及分支机构和跨界解决方案。为创建虚拟分支机构解决方案,你必须获取并配置支持的 VPN 路由器,该路由器须有不在 NAT 之后的有效公共 IPv4 地址。

 

方案 功能 何时使用 参考信息

专用私有虚拟网络

  • 你可以使用持久的 IP 地址设置完全包含在 Windows Azure 中的安全 IPv4 网络。这意味着虚拟机的内部 IP 地址将持久不变,即使重新启动虚拟机后也不变。

  • 可以配置主机名解析。可以使用 Windows Azure 提供的名称解析服务,也可以指定你自己的本地 DNS 服务器或在其他位置运行的专用 DNS 服务器。

  • 可以进行服务间 DIP-to-DIP 通信。

  • 构建需要共享层的服务

  • 构建希望同时使用 PaaS 和 IaaS 的服务

  • 部署需要稳定专用 IPv4 地址的服务

请参阅Azure 名称解析

虚拟分支机构和跨界虚拟网络

  • 可以在 Windows Azure 和你的本地网络之间创建安全的站点到站点网络连接,在云中有效地创建虚拟分支机构或数据中心。使用托管 VPN 网关和支持的 VPN 网关设备可以实现这一目的。

  • 可以将企业网络扩展到 Windows Azure 中。

  • 可以配置主机名解析。可以指定你自己的本地 DNS 服务器或在其他位置运行的专用 DNS 服务器。

  • 可以为虚拟机配置持久的 IP 地址。这意味着虚拟机的内部 IP 地址将持久不变,即使重新启动虚拟机后也不变。

  • 可以将 Windows Azure 中运行的虚拟机加入本地运行的域。

  • 上面所列专用虚拟私有网络的全部或部分理由

  • 你的本地网络和虚拟网络之间需要安全的 IP 级连接

  • 你希望使用 DNS、ADDS 或 System Center Operations Manager 的本地部署

  • 你希望直接向本地资源公开服务,而不是通过 Internet 公开。

请参阅Azure 名称解析

名称解析是虚拟网络设计中的重要考虑事项。即使创建了安全的站点到站点 VPN 连接,没有名称解析也不可能按主机名通信。可以通过多种方式为 Windows Azure 虚拟网络提供名称解析。可以使用 Windows Azure 提供的名称解析,也可以使用你自己的 DNS 服务器。配置你的虚拟网络使用 Windows Azure 提供的名称解析是相对简单的选择。不过,你可能需要功能更全面的 DNS 解析,以便支持虚拟机或复杂配置。应根据将支持的方案选择名称解析方法。有关 Windows Azure 名称解析的详细信息,请参阅 Azure 名称解析

 

方案 名称解析 需要考虑的要点 参考信息

跨界:Windows Azure 中的角色实例或虚拟机与本地计算机之间的名称解析

你选择的 DNS 解决方案(而非由 Windows Azure 提供)

  • 名称解析 (DNS) 设计

  • 地址空间

  • 支持的 VPN 网关设备

  • VPN 网关设备的可通过 Internet 访问的 IP 地址

有关 VPN 设备要求和配置模板,请参见关于用于虚拟网络的 VPN 设备

请参阅Azure 名称解析

跨界:本地计算机与 Windows Azure 中的角色实例或虚拟机之间的名称解析

你选择的 DNS 解决方案(而非由 Windows Azure 提供)

  • 名称解析 (DNS) 设计

  • 地址空间

  • 支持的 VPN 网关设备

  • VPN 网关设备的可通过 Internet 访问的 IP 地址

有关 VPN 设备要求和配置模板,请参见关于用于虚拟网络的 VPN 设备

请参阅Azure 名称解析

位于相同的云服务中的角色实例之间的名称解析

Windows Azure 名称解析(内部)

  • 名称解析 (DNS) 设计

请参阅Azure 名称解析

位于相同的云服务中的虚拟机之间的名称解析

Windows Azure 名称解析(内部)

  • 名称解析 (DNS) 设计

请参阅Azure 名称解析

位于同一个虚拟网络的不同云服务中的虚拟机和角色实例之间的名称解析

Windows Azure 名称解析(内部)

  • 名称解析 (DNS) 设计

  • 必须使用 FQDN

有关 VPN 设备要求和配置模板,请参见关于用于虚拟网络的 VPN 设备

请参阅Azure 名称解析

位于同一云服务中而非在同一 Windows Azure 虚拟网络中的虚拟机和角色实例之间的名称解析

不适用。

无法将虚拟机和角色实例部署到相同的云服务中。

不适用。

位于不同云服务中而非在同一 Windows Azure 虚拟网络中的角色实例之间的名称解析

不适用。

不同云服务中的虚拟机和/或角色实例之间的连接在虚拟网络外部不受支持。

不适用。

位于同一 Windows Azure 虚拟网络中的虚拟机之间的名称解析

Windows Azure 名称解析(内部)

  • 名称解析 (DNS) 设计

请参阅Azure 名称解析

使用名称解析定向数据中心之间的流量

请参见 Traffic Manager

请参见 Traffic Manager

请参阅Traffic Manager

控制用户流量向 Windows Azure 托管服务的分布

请参见 Traffic Manager

请参见 Traffic Manager

请参阅Traffic Manager

可以通过以下方法配置虚拟网络:

  • 网络配置文件 (.xml)

  • 管理门户向导

所有配置虚拟网络的方法都需要配置网络配置文件。网络配置文件包含虚拟网络的所有配置信息。有关网络配置文件中包含的元素的更多信息,请参见 Azure 虚拟网络配置架构。有关如何使用网络配置文件配置虚拟网络的信息,请参见使用网络配置文件配置虚拟网络

使用管理门户向导配置虚拟网络时,网络配置文件并非即时可见。将创建网络配置文件并自动导入 Windows Azure,其中的值用于配置你的虚拟网络。如果要查看配置文件中包含的架构信息,可以使用管理门户导出该文件,然后使用任意 xml 编辑器查看。也可以使用管理门户查看该文件中包含的设置。有关如何使用管理门户创建虚拟网络的信息,请参见关于管理门户中的虚拟网络设置

如果你已经制定了设计计划并想要了解如何配置特定的设置,请参阅 虚拟网络配置任务

另请参阅

显示:
© 2014 Microsoft