本文共 3471 字，大约阅读时间需要 11 分钟。

Azure虚拟网络

• Azure虚拟网络就像云上的本地网络
• 对于合法的地址空间，里面的所有设备都是相连接的，这段网络是逻辑独立的。
• VNet可以分为多个子网
• 可以和其他网络相连，比如本地网络，或者其他虚拟网络

注意：在Azure基础架构里面，不需要配置路由器，VNet就可以访问公网，NSG的作用就行防火墙，规定每个子网的流量的出入规则。物理负载均衡器用Azure负载均衡器代替。

虚拟网络名称解析

• 内部DNS用DHCP会给每个虚机配一个后缀 *.internal.cloudapp.net

没看懂

虚拟网络服务endpoint

• 服务endpoint是将虚拟网络直接连接到其他服务端点，比如存储啊。
• Endpoint可以保证虚拟网络内部得到关键资源的安全。
• 从VNet流入Azure服务的流量都会留到Microsoft Azure backbone network
• endpoint可以支持：AAD，CosmosDB，ContainerRegister，EventHub，Key Vault，ServiceBus，AQL，Storage，Web Service

Service endpoint 好处

1. 更安全，因为只允许虚拟网络内去访问资源，不允许外网
2. 相当于endpoint是在内网，不需要用公网地址，也不需要IP 防火墙
3. endpoint可以用在新的和现有的虚拟网络
   虚拟网络功能
   没看

Single VM connectivity

公有IP地址

公有IP地址是配给虚机的网卡，允许虚机可以直接和互联网连接，每个网卡都可以由不同的公网OP地址。 动态IP地址 动态IP地址也是配给网卡的，动态IP地址允许虚机和其他虚机通信，这个虚机可以是同一个网络也可以是其他网络的。

个人PC和VNet相连：point-to-site

本地数据库与VNet 安全相连：site-to-site 本地数据库与VNet Private相连：expressroute

Seure Azure-to-Azure connectivity：VNet-to-VNet

Azure-to-Azure Connectivity：VNet Peering

Point-to-site P2S

不用Azure connect，point-to-site连接hybrid apps，SSTP（windows）， IKEv2（安卓、苹果客户端）。基于VPN客户端连接到Azure 虚拟网络网关。

Site-to-site连接

把本地网络和云连网，用IPSec/IKEv2 VPN通道连接，需要本地网关，用pre-shared key做两边网关的验证。

Multi-site VPN 连接

在一个虚拟网络网关上见好几个站点VPN，用来连接多个子公司。要求本地网关为route based VPN网关。可以用Azure portal powershell JSON部署，不允许IP地址有重合。

Azure Virtual WAN

大规模site-tosite 网络连接，相当于把本地内网半岛云上，有一个叫Azure regional hub network来管理。Azure vitual WAN里面的site就代表一个终端设备，hub来管理设备之间的通讯，有一个hun route table用来路由网络。

ExpressRoute连接

私人连接，把本地网络和云上的服务用私人链接连接起来。

ExpressRoute有三种：

1. CloudExchange Co-location
2. Point-to-point ethernet connectiion
3. any-to-any connection

没懂

ExpressRoute连接支持私人peering和microsoft peering

可支持高吞吐的网络，50，100，200，500Mbps，1，2，5，10Gbps 不支持数据加密，用ExpressRoute之前在客户端端自己加密。 多个订阅可以共享一个ExpressRoute 可以和S2S连接共同存在。

ExpressRoute和S2S共存

这俩连接共存的话就需要两个网关，各用一个网关，把S2S作为故障转移，如果ExpressRoute坏了，就用S2S。用S2SVPN连接不能用ExpressRoute的连得的。

ExpressRoute Global Reach

如果有些本地网络不能连接为WAN,就用ExpressRoute Global Reach用来连接多个本地网络，把本地网络现有的ExpressRoute用微软global network连接起来。如果是ExpressRoute Standard SKU，就要求这些链路在一个region，但是如果是Premium SKU就要求是跨region。必须要用powershell才能部署。Standard最多连10个，premium能连100个。

ExpressRoute 直通

ExpressRoute直通直接连接Microsoft Azure global network backbone。40、100Gbps双向连接贷款，用powershell才能部署，SLA99.95.

VNet-to-VNet连接

一个虚拟网络和另一个虚拟网络安全连接。

需要网关连接，本地网关创建之后自动创建V2V连接，用pre-shared key进行网关验证，不支持IP地址重叠

VNet Peering

不需要网关就可以把两个虚拟网络连接起来，peering可以连接一个region，或者跨region的VNet，不支持IP地址重叠，低延迟，高贷款，入站出站都要钱。

VPN gateway

VPN网关是虚拟网络的网关，向其他网络终端进行流量的收发。每个虚拟网络都要配一个网关。

有好多不同的SKU：Basic，VpnGw1、2、3、1AZ、2AZ、3AZ。（按小时收费） 新的SKU网关性能更好，SLA更高99.95，但是价格一样。 一个网关能够支持10-30个VPN连接 可以部署在availablility zone

VPN网关种类

Route-based VPN gateway

有一个路由表，根据路由表的规则进行路由

Policy based VPN Gateway

Policy-based用两边的网络前缀来确定流量的加密解密方式。

VPN Gateway 迁移到新的SKU

不能直接从旧的VPN升级到新的VPN。

删除现有旧VPN(BASIC STANDARD HIGH PERFORMANCE)，创建一个新的VPN （SKUVpnGw1、2、3），最后更新本地VPN和Azure VPN的共有IP地址。注意，更新网关之后，网关IP地址会变化。

VPN隧道的创建

没看

Azure负载均衡器

Azure负载均衡在layer 4，分配入站流量给健康的intance，坏了的instance就不给。

有两种负载均衡器：一个公共的（公网地址），一个内部的（私有地址）。 有两个SKU：basic和standard basic：可以支持100个设备，后端终端只有一个可用集或虚机scale set。不支持availability zone。 standard：支持1000台设备，仍和虚机都可以成为终端。支持冗余availability set。

如果设备坏了，负载均衡器是不会给他分配流量的，用一个probe去监控终端的健康，终端有一个Azure Agent给probe提供信息

Azure Public Load Balancer

公有负载均衡器公有IP地址入站的流量分配到私有IP地址的虚机终端。默认是平均分配流量。公有负载均衡器用80端口！！！

内部负载均衡器

内部负载均衡器之能分配内网的流量，用1443端口，前端IP地址永远不会和后端连接。

Azure 负载均衡器支持IPv6

Traffic Manager

性能：选最近的终端点

分配方式：有权重 地理上选择最近的 会列举去可以用的终端店 基于终端点子网

Traffic manager可以快速故障转移，10s切换。

Azure front door service

Azure front door service is a HTTP HTTPS HTTP/2 load lalancing and TCP optimization service.

转载地址：http://gmtjn.baihongyu.com/