本頁是否能提供幫助?
您對此內容的意見反應十分重要。 請告訴我們您的想法。
其他意見反應?
剩餘 1500 個字元
匯出 (0) 列印
全部展開

虛擬網路常見問題集

更新日期: 2015年6月

虛擬網路基本概念

虛擬網路組態

虛擬網路跨單位連線 (VPN)

多網站與 VNet 對 VNet 連線能力

虛擬網路和名稱解析 (DNS)

虛擬網路與虛擬機器

虛擬網路與服務

虛擬網路與安全性

API、結構描述和工具

虛擬網路可讓您在 Azure 中佈建及管理虛擬私人網路 (VPN),以及 (選擇性地) 將 VPN 與內部部署 IT 基礎結構連結,以建立交互式與跨單位部署解決方案。有了虛擬網路,IT 管理員可以控制網路拓撲,包括 DNS 和 IP 位址範圍的組態。
如需詳細資訊,請參閱虛擬網路概觀

使用虛擬網路可達成以下目的:

  • 建立專用的私人雲端專屬虛擬網路

    有時候您的解決方案不需要跨單位部署組態。在建立虛擬網路時,您的虛擬網路內的服務和 VM 可在雲端中直接且安全地彼此通訊。這可讓虛擬網路內的流量保持安全,但仍可讓您對解決方案中需要網際網路通訊的 VM 和服務設定端點連線。

  • 安全地擴充資料中心

    有了虛擬網路,您可以建置傳統的站對站 VPN,安全地調整資料中心容量。虛擬網路使用業界標準的 IPSEC 通訊協定,提供您的公司 VPN 閘道與 Azure 之間的安全連接。您可以在 VPN 閘道後面新增您想要的電腦數。

  • 啟用混合式雲端案例

    虛擬網路提供您支援一系列混合式雲端案例的彈性。您可以安全地將以雲端為基礎的應用程式連接到任何一種內部部署系統 (例如大型主機和 UNIX 系統)。

瀏覽虛擬網路概觀,查看可幫助您決定最佳網路設計選項的決策表。

我們的資源頁面可幫助您開始使用。此頁面有前往一般組態步驟的連結,也有可協助您了解設計虛擬網路時應納入考量之事項的相關資訊。

虛擬網路可用於各種不同的 Azure 服務,例如雲端服務 (PaaS)、虛擬機器和 Web 應用程式。但是,有一些是虛擬網路中不支援的服務。請檢查您想要使用的特定服務,並驗證是否相容。

是。未使用站對站連線能力也可以使用虛擬網路。這對於您想要在 Azure 中執行網域控制站和 SharePoint 伺服器陣列的情況特別有用。

您可以使用下列工具來建立或設定虛擬網路:

您可以使用公用 IP 位址範圍及 RFC1918 中所定義的任何 IP 位址範圍。

是。如需公用 IP 位址範圍的詳細資訊,請參閱關於公用 IP 位址空間和虛擬網路 (英文)。

您在虛擬網路中使用的子網路數目沒有限制。所有子網路都必須完全包含在虛擬網路位址空間中,而且彼此不應該重疊。

我們在每個子網路中都有保留一些 IP 位址。子網路的第一個和最後一個 IP 位址是為了符合通訊協定而保留。我們也額外保留一些 IP 位址供我們的服務使用。

我們支援的最小子網路是 /29,最大為 /8 (使用 CIDR 子網路定義)。我們在每個子網路中都有保留一些 IP 位址。

虛擬網路是 Layer-3 覆疊。我們不支援任何 Layer-2 語意。

不行。我們不支援在虛擬網路中使用自訂路由原則。

否。我們不支援多點傳送或廣播。

我們在虛擬網路中支援以 IP 為主的標準通訊協定。但是,我們會封鎖多點傳送、廣播、IP-in-IP 封裝的封包和 Generic Routing Encapsulation (GRE) 封包。有效的標準通訊協定包括:

  • TCP

  • UDP

  • ICMP

不行。我們不支援 ping 子網路的預設閘道。

只要子網路位址不是虛擬網路中其他子網路的一部分,隨時都可以在虛擬網路中新增子網路。

如果子網路內未部署任何 VM 或服務,您可以使用 PowerShell Cmdlet 或 NETCFG 檔案新增、移除、擴充或縮小子網路。您也可以新增、移除、擴充或縮小任何前置詞,只要包含 VM 或服務的子網路不受此變更所影響。

只要子網路中未部署任何服務或 VM,您可以使用 PowerShell Cmdlet 或 NETCFG 檔案修改子網路位址。一旦將服務或 VM 部署至子網路之後,即無法修改或刪除該子網路。

是。虛擬網路中部署的所有服務都可以連接網際網路。Azure 中部署的每個雲端服務都有指派公開可定址的 VIP。您必須定義 PaaS 角色的輸入端點和虛擬機器的端點,這些服務才可接受網際網路的連線。

否。我們在虛擬網路中不支援 IPv6。

不行。虛擬網路只限於單一地區。

是。您可以使用 REST API 或 Windows PowerShell 來建立 VNet 對 VNet 的通訊。請參閱Configure VNet to VNet Connectivity

「虛擬網路」支援下列跨單位部署連線:

  • Site-to-site - 透過 IPsec (IKE v1 和 IKE v2) 的 VPN 連線

  • Point-to-site - 透過 SSTP (安全通訊端通道通訊協定) 的 VPN 連線

  • ExpressRoute - 自您的廣域網路 (而不是透過公用網際網路) 直接且安全的連線

站對站連線可讓您將位在您的內部部署之任何電腦,連接至虛擬網路內的任何虛擬機器或角色執行個體,視您選擇設定路由的方式而定。對持續可供使用的跨單位部署連線而言,這是個很理想的選項,也適合混合式組態。它依賴部署在網路邊緣的 IPsec VPN 應用裝置 (硬體/軟體應用裝置) 來提供連線能力。為了建立這類型的連線,您必須具備所需的 VPN 硬體以及對外的 IPv4 IP 位址。

點對站連線可讓您從單一電腦連接至虛擬網路中的任何對象。使用的是 Windows VPN 用戶端。在點對站組態中,您必須安裝憑證與 VPN 用戶端組態封裝,該組態包含的設定可讓您的電腦連接到虛擬網路中的任何虛擬機器或角色執行個體。當您不在內部部署中,而想要連接至虛擬網路時,這個方式很理想。當您無法存取 VPN 硬體或對外的 IPv4 IP 位址時,也是很好的選項,這兩項都是站對站連線所需。

注意:您可以將虛擬網路設定為並行使用站對站和點對站,前提是您必須使用動態閘道建立站對站連線。如需詳細資訊,請參閱關於虛擬網路安全的跨單位連線

您可以使用 Windows PowerShell 與 Azure REST API 來連接到多個網站。請參閱<多網站與 VNet 對 VNet 連線能力常見問題集>一節。

我們已與裝置廠商合作驗證一組標準站對站 VPN 裝置。您可以在這裡找到已知的相容 VPN 裝置、其對應的組態範本與裝置規格的清單。裝置系列中列為已知相容的所有裝置都可搭配虛擬網路運作。為了協助設定 VPN 裝置,請參閱適用裝置系列的對應裝置組態範本。

如果您的裝置未列為已知相容的 VPN 裝置,但您想將該裝置用於 VPN 連線,您需要確認其符合最低需求。符合最低需求的裝置應該也能搭配虛擬網路運作。底下列出靜態和動態路由組態的最低裝置需求。在這裡可找到詳細資訊。如需其他支援和組態指示,請連絡裝置製造商。

我們支援將 Windows Server 2012 路由及遠端存取 (RRAS) 伺服器用於站對站跨單位部署組態。

其他軟體 VPN 解決方案只要符合業界標準 IPsec 實作,應該就能與我們的閘道一起使用。請洽詢軟體廠商,取得組態和支援的相關指示。

以下是支援的作業系統:

  • Windows 7 (僅限 64 位元版本)

  • Windows Server 2008 R2

  • Windows 8 (僅限 64 位元版本)

  • Windows Server 2012

不行。上面所列的 Windows 作業系統版本才受到支援。

我們最多支援 128 個 VPN 用戶端能夠連接至虛擬網路。

目前,只有自我簽署的根憑證受到支援。

是。我們使用 SSTP (安全通訊端通道通訊協定) 穿過防火牆。這個通道將會顯示為 HTTPs 連線。

根據預設,用戶端電腦不會自動重新建立 VPN 連線。

點對站 VPN 目前不支援自動重新連接和 DDNS。

是。如果您的虛擬網路有動態路由 VPN 閘道,這兩個解決方案都可行。我們不支援靜態路由 VPN 閘道中的點對站。

可以,這是可行的。但是,虛擬網路不能有重疊的 IP 位址首碼,而且虛擬網路之間的點對站位址空間不得重疊。

流經 VPN 通道的確切輸送量難以判斷。IPsec 和 SSTP 為加密嚴謹的 VPN 通訊協定。輸送量也會受到您的內部部署環境與網際網路之間的延遲和頻寬所限制。

靜態路由 VPN 也稱為原則式 VPN。原則式 VPN 會根據用戶端自訂的原則,透過介面將封包進行加密與路由傳送。此原則通常定義為存取清單。

動態路由 VPN 也稱為路由式 VPN。路由式 VPN 所依賴的通道介面是特別為轉送封包而建立的。任何到達通道介面的封包都會透過 VPN 連線轉送。

不行。您必須先建立您的閘道,才能取得 IP 位址。如果您刪除並重新建立 VPN 閘道,IP 位址將會變更。

當我們建立 VPN 閘道時,我們會產生預先共用金鑰 (PSK)。您必須使用 PSK 進行驗證。PSK 可以隨時重新產生,而且 PSK 長度可以視需要變更。

是的,設定預先共用金鑰 API 和 PowerShell Cmdlet 均可用來設定 Azure 靜態路由 VPN 和動態路由 VPN。

我們限制只能使用預先共用金鑰 (PSK) 進行驗證。

我們有一項閘道服務,執行此服務可啟用跨單位連線。我們需要您的路由網域中的 2 個 IP 位址,讓我們啟用您的內部部署環境與雲端之間的路由。我們要求您至少指定 /29 子網路,讓我們可以從中挑選用來設定路由的 IP 位址。

請注意,您不得在這些閘道子網路中部署虛擬機器或角色執行個體。

在 [區域網路] 下的 [網路] 頁面中新增您想要透過虛擬網路的閘道傳送的每個範圍。

不行。我們不支援設定路由。您必須使用虛擬網路閘道來提供跨單位連線。

是,它受到 IPsec/IKE 加密保護。

合計最多 10 個。例如,一個 Azure 虛擬網路可連接至最多 6 個內部部署網站和 4 個虛擬網路。

可以,P2S VPN 可用來與連接至多個內部部署網站和其他虛擬網路的 VPN 閘道搭配

不行,不支援 Azure 虛擬網路與內部部署網站之間的備援通道。

不行,重疊的位址空間會造成 NETCFG 上傳或建立虛擬網路失敗。

不會,所有的 VPN 通道,包括 P2S VPN 都共用相同的 Azure VPN 閘道與可用的頻寬。

透過 Azure VPN 閘道傳輸流量是可行的,但需仰賴在 NETCFG 組態檔中靜態定義位址空間。BGP 尚未支援使用 Azure 虛擬網路和 VPN 閘道。若沒有 BGP,手動在 NETCFG 中定義傳輸的位址空間非常易於出錯,因此並不建議。

是。事實上沒有區域限制。一個虛擬網路可以連接至相同區域 (或不同 Azure 區域中) 的另一個虛擬網路。

不會,Azure 預設會針對不同 VPN 連線產生不同的預先共用金鑰。不過,您可以使用最近推出的「設定 VPN 閘道金鑰」REST API 或 PowerShell Cmdlet 來設定您偏好的金鑰值。金鑰「必須」是長度介於 1 到 128 個字元的英數字元字串。

Azure 只會對從一個 Azure 區域周遊至另一個區域的流量收費。流量的收費方式是根據 Azure 定價頁面所列的傳出資料傳送費用,採用相同的費率。

是。您可以在虛擬網路定義中指定 DNS 伺服器 IP 位址。這將會以預設 DNS 伺服器的形式套用到虛擬網路中的所有虛擬機器。

您最多可以指定 12 部 DNS 伺服器。

是。您隨時都可以變更虛擬網路的 DNS 伺服器清單。如果您變更您的 DNS 伺服器清單,您必須重新啟動虛擬網路中的每部虛擬機器,使其挑選新的 DNS 伺服器。

請使用 Azure Name Resolution頁面的決策表,引導您查看所有可用的 DNS 選項。

Azure 提供的 DNS 是我們提供的多租用戶 DNS 服務。我們會在此服務中註冊您的所有虛擬機器。這項服務可讓您針對包含在相同雲端服務內的 VM 依據主機名稱,以及在相同虛擬網路中的 VM 依據 FQDN 進行名稱解析。注意:目前僅限虛擬網路中的前 100 個雲端服務,才能使用 Azure 提供的 DNS 進行跨租用戶名稱解析。如果您是使用自己的 DNS 伺服器,便不受此限制的約束。

是。您可以針對每個雲端服務來設定 DNS 伺服器,以覆寫預設網路設定。不過,建議您盡量使用全網路 DNS。

不行。我們不支援為您的虛擬網路指定自訂 DNS 尾碼。

我們支援 Azure 所支援的所有 Linux 散發版本。

  • 內部 IP 位址 (DIP) 是由 DHCP 指派給每部虛擬機器的 IP 位址,不會對外公開。如果您已經建立虛擬網路,就會從您指定的範圍指派內部 IP 位址。如果您沒有虛擬網路,依然會指派內部 IP 位址。內部 IP 位址在虛擬機器的存留期間都會存在,除非該虛擬機器已停止 (取消配置)。

  • 公開 VIP 是指派給雲端服務的公開 IP 位址,它不會直接指派給虛擬機器 NIC。VIP 會與所指派的雲端服務在一起,直到該雲端服務中的所有虛擬機器全都停止 (取消配置) 或刪除為止。在那個時候,就會將它釋出。

  • DIP - 如果您將 VM 部署至虛擬網路,則 VM 一律會從您指定的內部 IP 位址集區接收內部 IP 位址 (DIP)。VM 使用 DIP 在虛擬網路內通訊。儘管 Azure 會指派 DIP,如果您使用 PowerShell 來部署 VM,則可以為虛擬機器定義靜態 DIP。請參閱Configure a Static Internal IP Address (DIP) for a VM

  • VIP - VM 也與 VIP 相關聯,但絕不會直接指派 VIP 給 VM。VIP 是可指派給雲端服務的公開 IP 位址。您可以選擇性地為雲端服務保留 VIP。請參閱Virtual IP Address (VIP) Reservation

  • PIP - 您的 VM 可以選擇性地也接收執行個體層級的公用 IP 位址 (PIP)。PIP 會直接與 VM (而不是雲端服務) 產生關聯。PIP 目前為預覽狀態。請參閱Instance-level Public IP Addresses

Azure 會使用 DHCP,從您指定的子網路將內部 IP 位址指派給每個 VM 和 PaaS 執行個體。

是。若要指定 DIP,您需要使用 PowerShell Cmdlet 建立 VM。有 Cmdlet 可讓您指定虛擬機器將收到的 DIP。必須確認您所指定的 DIP 未被虛擬網路中的其他 VM 或服務所使用。指定 DIP 時,虛擬機器在存留期間會一直使用它,即使「停用」(取消配置) 虛擬機器也一樣。如果您在「停止 (取消配置)」之後又啟動虛擬機器,虛擬機器會使用先前指定的 DIP。除非需要此功能,否則不需要為虛擬機器指定 DIP。

否。您不能保留 DIP。如果某個 DIP 可用,DHCP 伺服器可將它指派給 VM。此 VM 不見得是您想要指派 DIP 的 VM。不過,您可以使用 PowerShell 將已建立的 VM 的 DIP 變成可用的位址。在此情況下,當所需的 DIP 在系統中變成可用時,您就可以在建立新的 VM 時指定此 DIP。您也可以使用 PowerShell 來釋放 VM 的 DIP。如果您釋放 DIP,會將新的 DIP 指派給 VM。

內部 IP 位址在虛擬機器的存留期間都會存在,除非「停止 (取消配置)」VM。當 VM「停止 (取消配置)」時,除非您是使用 PowerShell 來定義靜態 DIP,否則會釋放內部 IP 位址。當 VM 只是停止時 (而且不是在「已停止 (取消配置)」狀態),此 IP 位址依然是指派給虛擬機器。

不行。您不得變更 VM 的任何介面屬性。任何變更都可能會導致遺失與虛擬機器之間的連線。

無。IP 位址 (公開 VIP 和內部 DIP) 將會與雲端服務或虛擬機器並存。注意:如果您只是想要關閉虛擬機器,請不要使用管理入口網站來執行此作業。目前,關閉按鈕會「停止 (取消配置)」虛擬機器。

「已停止 (取消配置)」是您可以在管理入口網站中選擇「關閉」虛擬機器來指定的狀態。這不同於單純地從虛擬機器本身之內關閉虛擬機器。當您指定「停止 (取消配置)」虛擬機器時,您不只會停止 VM,也會指定釋出內部 IP 位址以及公開 VIP 位址 (如果沒有其他 VM 使用公開 VIP,因為 VIP 是指派給雲端服務,而非直接給虛擬機器)。當您重新配置虛擬機器時,它將會挑選新的公開 VIP (如果它不會加入已經有公開 VIP 的雲端服務) 以及新的內部 IP 位址。

若要透過「停止 (取消配置)」狀態來保留虛擬機器的 DIP,唯一方式就是為該虛擬機器定義靜態 IP 位址。如果發現您已「停止 (取消配置)」虛擬機器」,但您想要原始 DIP,則當您使用 PowerShell 重新部署 VM 時,只要原始 DIP 尚未指派給虛擬網路中的其他 VM,您就可以指定它。

是。您可以利用 PowerShell 這麼做。您可以參閱這裡的詳細資訊。

不行。您無法以靜態方式設定 MAC 位址。

不會。虛擬機器的 MAC 位址會因為幾個不同的原因而變更。如果 VM 置於「已停止 (取消配置)」狀態、您變更虛擬機器的大小,或者發生服務修復或有計畫維護主機伺服器,就不會保留 MAC 位址。

是。虛擬網路中部署的所有服務都可以連接網際網路。此外,Azure 中部署的每個雲端服務都有指派公開可定址的 VIP。您必須定義 PaaS 角色的輸入端點和虛擬機器的端點,這些服務才可接受網際網路的連線。

兩者皆可。如果您已啟用 RDP 並且建立端點,則可使用 VIP 連接到您的虛擬機器。在此情況下,請指定您想要連接的 VIP 和通訊埠。您必須設定虛擬機器將要處理流量的通訊埠。您通常會在管理入口網站中儲存電腦的 RDP 連線設定。此設定包含必要的連線資訊。

如果您的虛擬網路設定了跨單位連線,您就可以使用內部 DIP 連接到您的虛擬機器。您也可以從位於相同虛擬網路的另一部虛擬機器,透過內部 DIP 連接到虛擬機器。若您是從虛擬網路外部的位置連接,便無法藉由使用 DIP 的方式 RDP 到您的虛擬機器。例如,在點對站虛擬網路的組態下,如果未從您的電腦建立連接,您將無法透過 DIP 連接到虛擬機器。

否。流量的目的地 IP 必須在您所指定的虛擬網路「區域網路」IP 位址範圍內,這種流量才會通過虛擬網路閘道。目的地 IP 在虛擬網路內的流量,只會逗留在虛擬網路內。其他流量會透過負載平衡器傳送至公用網路。如果您進行疑難排解,則必須確定您要透過閘道傳送的所有範圍都列在「區域網路」中。請確認「區域網路」位址範圍沒有與虛擬網路中的任何位址範圍重疊。另外,也可以驗證您所使用的 DNS 伺服器可將名稱解析為適當的 IP 位址。

我們在虛擬網路內只支援計算服務。計算服務限制為雲端服務 (Web 和背景工作角色) 與虛擬機器。

無法在 VNet 中部署 Azure 網站。不過,如果 Web 應用程式已設定點對站,則 Azure 網站可以安全地連接並存取 Azure VNet 中的資源。
如需詳細資訊,請參閱下列內容:

Web 應用程式虛擬網路整合

Web 應用程式搭配使用 VNet 整合和混合式連線

整合您的 Azure 網站與 Azure 虛擬網路

不行。我們在虛擬網路中不支援 SQL DB。

是。您可以在虛擬網路內部署 PaaS 服務。您不用變更任何程式碼就可以完成此作業。

若要完成這項作業,您可以在服務組態的網路組態區段中指定虛擬網路名稱和角色/子網路的對應。您不需要更新任何二進位編碼檔案。

不行。我們不支援在虛擬網路中移入和移出服務的功能。您必須刪除服務,並將服務重新部署到虛擬網路。

Azure 會使用 DHCP 從您指定的虛擬網路子網路將內部 IP 位址指派給每部虛擬機器和 PaaS 執行個體。

虛擬網路之間及 Azure 基礎結構中託管的其他服務彼此都是完全隔離的。信任界限 = 虛擬網路界限。

不行。我們在虛擬網路中不支援子網路的 ACL。不過,ACL 可以定義在已經部署至虛擬網路之虛擬機器的輸入端點上。注意:虛擬機器不必部署到虛擬網路,也可定義輸入端點的 ACL。

是。我們有 REST API 可管理虛擬網路和跨單位連線。在這裡可找到詳細資訊。

是。我們有提供適用於各種不同平台的 PowerShell 和命令列工具。在這裡可找到詳細資訊。

另請參閱

顯示:
© 2015 Microsoft