匯出 (0) 列印
全部展開

虛擬網路概觀

更新日期: 2014年4月

Windows Azure 虛擬網路所提供之功能,可讓您將網路擴充至 Windows Azure,並將 Windows 中的部署視為內部部署網路的自然擴充。

虛擬網路可讓您完成下列項目:

  • 在 Windows Azure 中建立虛擬私人網路:您可將慣用的私人 IPv4 空間 (10.x, 172.x, 192.x) 帶到 Windows Azure。

  • 透過站對站 IPsec VPN 設定跨單位連線:您可將內部部署網路擴充至 Windows Azure,並將虛擬網路中部署的虛擬機器與服務視為本機部署。

  • 為虛擬網路中所有的服務設定自訂 DNS 伺服器:您可將所有虛擬機器和服務指向內部部署的 DNS 伺服器,或指向在虛擬網路中執行的 DNS 伺服器。此功能可讓您在 Windows Azure 中使用自己的網域控制站。

Windows Azure 虛擬網路的部分主要優點為:

  • 擴充的信任和安全性界限:虛擬網路可將信任界限從單一服務擴充至虛擬網路界限。您可在單一虛擬網路中建立數個雲端服務和虛擬機器,並使其不需透過網際網路就可以和彼此通訊。您也可以設定服務,這些服務使用一般後端資料庫層,或使用共用管理服務。

  • 持續性的私人 IP 位址:在 VNet 中的虛擬機器會具備一個穩定的私人 IP 位址。我們將從您指定的位址範圍中指派 IP 位址,並提供無限期的 DHCP 租用給該位址。建立虛擬機器時,您也可以選擇使用此位址範圍中的特定私人 IP 位址來設定虛擬機器。這可確保即使「停止/取消配置」,虛擬機器仍保有其私人 IP 位址。

  • 增強的安全性和隔離:因為每個虛擬網路都是以覆疊方式執行,因此僅有屬於相同網路的虛擬機器和服務可以互相存取。虛擬網路外部的服務則無法識別或連接至虛擬網路內裝載的服務。為服務提供外加的隔離層。

  • 將內部部署網路擴充至雲端:您可透過站對站 VPN 擴充內部部署網路,並將虛擬網路視為公司網路的一部分。透過監控並識別 Windows Azure 中裝載的服務,您可以存取並運用所有內部部署投資。

  • IaaS 和 PaaS 整合功能更強大:搭配虛擬網路時,您可以建立仰賴 PaaS 和 IaaS 的服務。在大多數情況下,前端都是無狀態,而 PaaS 角色可在這類情況下提供更高的彈性和延展性。當前端移轉到 PaaS 時,您仍可使用喜好的資料庫做為虛擬機器。

  • 連接網際網路:透過已指派給服務的公用 IP 位址,您仍有能力將虛擬網路中裝載的服務連接到網際網路。

設定 Windows Azure 虛擬網路之前,您應仔細考量可能的狀況。若使用此版本,當您建立虛擬網路並部署角色執行個體和虛擬機器後,就難以再進行變更。經過此部署階段後,您無法輕易修改基準網路組態,必須取消角色和虛擬機器然後重新設定,才能修改許多值。因此,您不應試圖建立虛擬網路,然後嘗試讓實際狀況適應網路。

建立網路設計時,請考慮下列可能的狀況:

 

案例 應考量的重點 如需詳細資訊

虛擬網路和內部部署網路之間的安全性站對站連接

  • 位址空間

  • 支援的 VPN 閘道裝置

  • 網際網路可存取的 IP 位址適用於 VPN 閘道裝置

  • 名稱解析 (DNS) 設計

如需跨單位連線選項的詳細資訊,請參閱<關於安全的跨單位連線>。

如需 VPN 裝置需求和組態範本的相關資訊,請參閱<關於虛擬網路的 VPN 裝置>。

內部部署網路上所執行的個別電腦與虛擬網路之間的安全性點對站連接

  • 位址空間

  • 名稱解析 (DNS) 設計

如需跨單位連線選項的詳細資訊,請參閱<關於安全的跨單位連線>。

如需 VPN 裝置需求和組態範本的相關資訊,請參閱<關於虛擬網路的 VPN 裝置>。

您可使用 Windows Azure 虛擬網路的功能,在雲端、分部及跨單位方案中建立專用的私人虛擬網路。若要建立虛擬分部方案,您必須取得與設定支援的 VPN 路由器,其所使用的有效公用 IPv4 位址不得位於 NAT 後方。

 

案例 功能 使用時機 如需詳細資訊

專用的私人虛擬網路

  • 您可使用持續性 IP 位址,設定完全包含在 Windows Azure 中的安全性 IPv4 網路。這表示虛擬機器的內部 IP 位址會保持一致,即使您重新啟動虛擬機器也不會變更。

  • 您可以設定主機名稱解析。您可以使用 Windows Azure 提供的名稱解析服務,或是指定自己的內部部署 DNS 伺服器,或指定在他處執行的專用 DNS 伺服器。

  • 您可使用各服務間的 DIP 對 DIP 通訊。

  • 您正在建立需具備共用層的服務

  • 您希望您正在建立的服務可同時使用 PaaS 和 IaaS

  • 您正在部署的服務需具備穩定的私人 IPv4 位址

請參閱<Azure 名稱解析>。

虛擬分部和跨單位虛擬網路

  • 您可以建立 Windows Azure 和內部部署網路之間的安全性站對站網路連接,同時在雲端中有效建立虛擬分部或資料中心。使用裝載的 VPN 閘道和支援的 VPN 閘道裝置即可達成。

  • 您可以將企業網路擴充至 Windows Azure。

  • 您可以設定主機名稱解析。您可以指定自己的內部部署 DNS 伺服器,或指定在他處執行的專用 DNS 伺服器。

  • 您可以為虛擬機器設定持續性的 IP 位址。這表示虛擬機器的內部 IP 位址會保持一致,即使您重新啟動虛擬機器也不會變更。

  • 您可以將執行於 Windows Azure 中的虛擬機器,加入執行內部部署的網域中。

  • 上列所有或任何原因皆為專用私人虛擬網路所設

  • 您需要內部與虛擬網路之間的安全性 IP 層級連線

  • 您要使用內部部署的 DNS、ADDS 或 System Center Operations Manager

  • 您想要將服務直接公開到內部部署資源,而不是透過網際網路。

請參閱<Azure 名稱解析>。

名稱解析為虛擬網路設計的重要考量。即使您可以建立安全性站對站 VPN 連線,但若沒有名稱解析,就無法依據主機名稱進行通訊。有多種方式可為 Windows Azure 虛擬網路提供名稱解析。您可以使用 Windows Azure 提供的名稱解析,或者使用您自己的 DNS 伺服器。將虛擬網路設定為使用 Windows Azure 提供的名稱解析,這是相當簡單的選項。不過,您可能需要功能更完整的 DNS 方案,以支援虛擬機器或複雜組態。名稱解析方法的選擇應根據其所支援的實際狀況而定。如需 Windows Azure 名稱解析的詳細資訊,請參閱<Azure 名稱解析>。

 

案例 名稱解析 應考量的重點 如需詳細資訊

跨單位:Windows Azure 中的角色執行個體或虛擬機器與內部部署電腦之間的名稱解析

您選擇的 DNS 方案 (並非由 Windows Azure 提供)

  • 名稱解析 (DNS) 設計

  • 位址空間

  • 支援的 VPN 閘道裝置

  • 網際網路可存取的 IP 位址適用於 VPN 閘道裝置

如需 VPN 裝置需求和組態範本的相關資訊,請參閱<關於虛擬網路的 VPN 裝置>。

請參閱<Azure 名稱解析>。

跨單位:內部部署電腦與 Windows Azure 中的角色執行個體或虛擬機器之間的名稱解析

您選擇的 DNS 方案 (並非由 Windows Azure 提供)

  • 名稱解析 (DNS) 設計

  • 位址空間

  • 支援的 VPN 閘道裝置

  • 網際網路可存取的 IP 位址適用於 VPN 閘道裝置

如需 VPN 裝置需求和組態範本的相關資訊,請參閱<關於虛擬網路的 VPN 裝置>。

請參閱<Azure 名稱解析>。

位於相同雲端服務中的角色執行個體之間的名稱解析

Windows Azure 名稱解析 (內部)

  • 名稱解析 (DNS) 設計

請參閱<Azure 名稱解析>。

位於相同雲端服務中的虛擬機器之間的名稱解析

Windows Azure 名稱解析 (內部)

  • 名稱解析 (DNS) 設計

請參閱<Azure 名稱解析>。

位於相同虛擬網路但不同雲端服務中的虛擬機器與角色執行個體之間的名稱解析

Windows Azure 名稱解析 (內部)

  • 名稱解析 (DNS) 設計

  • 必須使用 FQDN

如需 VPN 裝置需求和組態範本的相關資訊,請參閱<關於虛擬網路的 VPN 裝置>。

請參閱<Azure 名稱解析>。

名稱解析位於虛擬機器與角色執行個體之間,這些角色執行個體位於相同的雲端服務中,但卻在不同的 Windows Azure 虛擬網路裡

不適用。

虛擬機器和角色執行個體不可以部署在相同雲端服務中。

不適用。

位於不同雲端服務也不是位於 Windows Azure 虛擬網路中的角色執行個體之間的名稱解析

不適用。

在虛擬網路外,不支援虛擬機器及/或不同雲端服務中的角色執行個體之間的連接。

不適用。

位於相同 Windows Azure 虛擬網路中的虛擬機器之間的名稱解析

Windows Azure 名稱解析 (內部)

  • 名稱解析 (DNS) 設計

請參閱<Azure 名稱解析>。

使用名稱解析來引導資料中心之間的流量

請參閱<Traffic Manager

請參閱<Traffic Manager

請參閱<Traffic Manager>。

控制散發到 Windows Azure 裝載服務的使用者流量

請參閱<Traffic Manager

請參閱<Traffic Manager

請參閱<Traffic Manager>。

您可以使用下列方法設定虛擬網路:

  • 網路組態檔 (.xml)

  • 管理入口網站精靈

設定虛擬網路的所有方法都會產生網路組態檔的組態。網路組態檔包含虛擬網路的所有組態資訊。如需網路組態檔內含項目的詳細資訊,請參閱<Azure 虛擬網路組態結構描述>。如需如何使用網路組態檔設定虛擬網路的詳細資訊,請參閱<使用網路組態檔設定虛擬網路>。

使用管理入口網站精靈設定虛擬網路時,網路組態檔不會輕易顯示出來。建立網路組態檔並將其自動匯入至 Windows Azure,並使用其中的值設定您的虛擬網路。如果您要檢視組態檔內含的結構描述資訊,可使用管理入口網站匯出檔案,並使用任何 XML 編輯器加以檢視。您也可以使用管理入口網站檢視該檔案內含的設定。如需如何使用管理入口網站建立虛擬網路的詳細資訊,請參閱<關於管理入口網站中的虛擬網路設定>。

如果您已建立設計規劃,並想了解如何進行特定的設定,請參閱<虛擬網路組態工作>。

另請參閱

顯示:
© 2014 Microsoft