Azure 虚拟网络概念和最佳做法

Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 它使 Azure 资源能够安全地相互通信、Internet 和本地网络。

虚拟网络类似于在自己的数据中心内运行的传统网络。 但是，它带来了 Azure 基础结构的额外优势，例如规模、可用性和隔离。

了解虚拟网络概念和遵循最佳做法有助于设计可靠、安全且可缩放的网络体系结构。 无论是将现有工作负载迁移到 Azure 还是构建新的云原生应用程序，适当的网络设计对于性能、安全性和成本优化至关重要。

本文介绍关键的 Azure 虚拟网络概念和最佳做法，可帮助你为基于云的应用程序设计高效、安全且可缩放的网络基础结构。 了解优化 Azure 网络策略的地址空间、子网、安全组和体系结构准则。

虚拟网络概念

• 地址空间：在创建虚拟网络时，必须使用公共和专用 (RFC 1918) 地址指定自定义专用 IP 地址空间。 Azure 从分配的地址空间中向虚拟网络中的资源分配一个专用 IP 地址。 例如，如果在具有地址空间 10.0.0.0/16 的虚拟网络中部署 VM，则会将类似于 10.0.0.4 的专用 IP 分配给虚拟机。

• 子网： 子网允许将虚拟网络细分为一个或多个子网络，并将虚拟网络的地址空间的一部分分配给每个子网。 然后，可以在特定的子网中部署 Azure 资源。 就像在传统网络中一样，使用子网可将虚拟网络地址空间划分为适合组织内部网络的网段。 分段可提高地址分配效率。 可以使用网络安全组保护子网中的资源。 有关详细信息，请参阅网络安全组。

• 区域：一个虚拟网络的范围限定为单个区域/位置；但可以使用虚拟网络对等互连将不同区域的多个虚拟网络连接起来。

• 订阅：虚拟网络的范围限定为订阅。 可在每个 Azure 订阅和 Azure 区域中实现多个虚拟网络。

Best practices

在 Azure 中构建网络时，必须记住以下通用设计原则：

• 确保地址空间不重叠。 确保虚拟网络地址空间（CIDR 块）不会与组织的其他网络范围重叠。

• 子网不应涵盖虚拟网络的整个地址空间。 提前规划，为将来留出一些地址空间。

• 使用几个大型虚拟网络而不是多个小型虚拟网络来减少管理开销。

• 通过将网络安全组 (NSG) 分配给虚拟网络下的子网来保护虚拟网络。 有关网络安全概念的详细信息，请参阅 Azure 网络安全概述。

Next steps

若要使用虚拟网络来入门，请先创建一个虚拟网络，向其部署一些 VM，然后在 VM 之间通信。 有关详细信息，请参阅创建虚拟网络快速入门。