Azure虚拟网络基础 | AI生成和翻译
Azure 虚拟网络基础
Azure 通过其虚拟网络(VNet)服务提供可扩展的安全网络环境,这是与 AWS VPC 对等的核心服务。它在 Azure 云中为您的资源(如虚拟机、应用服务或 Kubernetes 集群)创建私有隔离空间。下面我将结合与 AWS 的异同点,以易于对比的结构介绍关键组件(虚拟网络、网关、子网等)。
虚拟网络(VNet)
- 定义:Azure 中基础的隔离网络,跨区域部署,允许资源进行私有通信。您可通过 CIDR 块(如 10.0.0.0/16)定义其地址空间。
- 关键特性:
- 资源默认具备出站互联网访问(不同于 AWS 需手动启用)
- 支持 IPv4 和 IPv6;默认隔离
- VNet 本身免费,仅对网关等附加资源收费
- 与 AWS VPC 的相似处:两者都是用于资源隔离、扩展和连接的私有云。Azure VNet 自动跨可用区;AWS VPC 需显式配置可用区。
- 使用场景:保障资源间安全通信、互联网访问和本地连接。每个 Azure 订阅均可访问,但需创建自定义 VNet 以获得控制权。
- 示例:如同 AWS VPC,它是您在云中的“私有领地”——您设定边界,但 Azure 会处理出站互联网等默认配置。
子网
- 定义:VNet 地址空间的细分单元,资源部署于此。每个子网隶属于 VNet,可跨区域内的所有可用区。
- 类型:
- 公共子网:资源可配置公网 IP 实现入站/出站互联网访问(通过 Azure 负载均衡器或公共端点)
- 私有子网:无直接公网访问,适合数据库或内部应用
- 关键特性:
- 通过 CIDR 定义(如 10.0.1.0/24)
- 支持多子网划分以实现流量隔离和过滤
- 与 AWS 子网的相似处:两者都通过网络分段提升安全性和组织性。Azure 自动跨可用区简化高可用部署;AWS 将子网与特定可用区绑定。
- 使用场景:隔离工作负载——例如前端部署在公共子网,后端部署在私有子网。
- 示例:子网如同 VNet 城市中的“行政区”:公共子网像临街区域(连接互联网),私有子网如深宅大院。
网关
Azure 中的网关负责外部连接,但其默认行为与 AWS 存在差异。
- 互联网网关等效功能:
- 定义:无直接 IGW;VNet 资源默认启用出站互联网访问。入站访问需配置公网 IP 或负载均衡器。
- 工作原理:流量通过 Azure 系统路由(0.0.0.0/0 指向互联网)传输。使用公网 IP 可实现双向访问。
- 与 AWS IGW 的相似处:两者都支持公网访问,但 Azure 出站访问“始终启用”;AWS 需显式附加并配置路由。
- 使用场景:为 Web 应用提供简易公网暴露。基础路由功能免费。
- NAT 网关:
- 定义:部署在公共子网中的托管服务,为私有子网提供仅出站互联网访问(如虚拟机更新)。
- 工作原理:通过弹性 IP 进行地址转换;跨可用区高可用。
- 与 AWS NAT 网关的相似处:两者都提供无入站暴露的安全出站访问。Azure 版本默认集成度更高且更易扩展。
- 使用场景:在允许单向访问的同时保护私有资源。费用约 0.045 美元/小时 + 数据流量费。
- 其他网关:
- VPN 网关:用于站点到站点或点到站点 VPN 连接本地网络(类似 AWS VGW)
- ExpressRoute 网关:连接本地网络的私有高带宽链路(类似 AWS Direct Connect)
其他相关组件(“等”)
- 路由表:控制子网流量导向(如指向互联网或对等 VNet)。系统存在默认路由;自定义路由可覆盖特定路径。类似 AWS 路由表,但 Azure 支持从本地网络动态传播 BGP 路由。
- 网络安全组(NSG):为子网或资源提供有状态防火墙,支持按 IP/端口/协议配置规则。类似于 AWS 安全组(实例级,有状态)和网络 ACL(子网级,但 Azure 为有状态)的组合。可使用应用安全组进行逻辑标记。
- VNet 对等互连:连接相同/不同区域/账户的 VNet 实现私有流量传输,类似 AWS VPC 对等互连。
- 服务端点/私有链接:为 Azure 服务(如存储)提供无需经过互联网的安全私有访问,类似 AWS VPC 端点。
- 网络虚拟设备:部署在 VNet 中基于虚拟机的防火墙或路由器,类似 AWS 网络防火墙。
整体协作流程
- 使用 CIDR 创建 VNet
- 添加跨可用区的子网(公共/私有)
- 资源默认具备出站互联网访问;为入站访问配置公网 IP/负载均衡器
- 为私有子网配置 NAT 网关实现出站访问
- 应用路由表和 NSG 控制流量
- 通过 VNet 对等或网关实现混合云部署
Azure 模式强调默认配置(如出站互联网)以加速部署,而 AWS 提供更细粒度的可选配置。两者均注重安全性与韧性。
实践建议:尝试使用 Azure 门户的 VNet 创建向导。