Vnet subnet Nic Nsg 区别

2023-03-02 19:48:44 浏览数 (2)

可以在创建 VM 之前创建 VNet,也可以在创建 VM 时创建 VNet。需要创建以下资源来支持与 VM 通信:

  • 网络接口
  • IP 地址
  • 虚拟网络和子网

除了上述基本资源外,还应考虑创建以下可选资源:

  • 网络安全组
  • 负载均衡器

网络接口 (NIC)

是 VM 与虚拟网络 (VNet) 之间互相连接的桥梁。VM 必须至少有一个 NIC,但可以根据所创建 VM 的大小包含多个 NIC。

附加到 VM 的每个 NIC 必须在与 VM 相同的位置和订阅中。每个 NIC 必须连接到与 NIC 位于相同 Azure 位置和订阅中的 VNet。创建 VM 之后,可以更改它连接到的子网,但无法更改 VNet。

虚拟网络和子网

子网是 VNet 中的一系列 IP 地址。可将一个 VNet 划分为多个子网,以便于组织和提高安全性。 VM 中的每个 NIC 连接到一个 VNet 中的一个子网。连接到 VNet 中的子网(不管是相同的子网还是不同的子网)的 NIC 可以互相通信,不需任何额外的配置

默认情况下,子网之间没有安全边界,因此,每个子网中的 VM 可以相互通信。但是,可以设置网络安全组 (NSG) 来控制流入或流出子网以及 VM 的流量。

网络安全组 (NSG)

包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网和/或 NIC 的网络流量。NSG 可与子网或者已连接到子网的各个 NIC 相关联。当 NSG 与某个子网相关联时,ACL 规则应用到该子网中的所有 VM。另外,可以通过将 NSG 直接关联到 NIC,对流向单个 NIC 的流量进行限制。

NSG 包含两种类型的规则:入站规则和出站规则。在每组中,规则的优先级必须保持唯一。每个规则包含以下属性:协议、源和目标端口范围、地址前缀、流量方向、优先级和访问类型。

所有 NSG 都包含一组默认规则。默认规则无法删除,但由于给它们分配的优先级最低,可以用创建的规则来重写它们。

将 NSG 关联到 NIC 时,NSG 中的网络访问规则只会应用到该 NIC。如果 NSG 已应用到包含多个 NIC 的 VM 中的单个 NIC,则它不会影响流向其他 NIC 的流量。可将不同的 NSG 关联到 NIC(或 VM,具体取决于部署模型)以及 NIC 或 VM 绑定到的子网。优先级是根据流量方向指定的。

IP 地址

可将以下类型的 IP 地址分配到 Azure 中的 NIC:

  • 公共 IP 地址:用来与 Internet 以及未连接到 VNet 的其他 Azure 资源进行入站和出站通信(不提供网络地址转换 (NAT))。向 NIC 分配公共 IP 地址是可选操作。公共 IP 地址会产生少许费用,并且每个订阅可使用的最大公共 IP 地址数目有限制。
  • 专用 IP 地址:用于在 VNet、本地网络和 Internet 中通信(提供 NAT)。必须至少将一个专用 IP 地址分配给 VM。

可将公共 IP 地址分配到 VM 或面向 Internet 的负载均衡器。可将专用 IP 地址分配到 VM 和内部负载均衡器。可以使用网络接口将 IP 地址分配给 VM。

将 IP 地址分配给资源有两种方法:动态或静态。默认分配方法为动态,即,IP 地址不是在创建它时分配的, 而是在创建 VM 或启动已停止的 VM 时分配的。停止或删除该 VM 时,会释放该 IP 地址。

要确保 VM 的 IP 地址保持不变,可将分配方法显式设置为静态。在这种情况下,IP 地址是即时分配的。只有在删除该 VM 或将其分配方法更改为动态时,才会释放该地址。

Azure 负载均衡器

可提高应用程序的可用性和网络性能。可以配置负载均衡器,对传入 VM 的 Internet 流量进行均衡,或者对 VNet 中 VM 之间的流量进行均衡。负载均衡器还可以均衡跨界网络中本地计算机与 VM 之间的流量,或者将外部流量转发到特定的 VM。

负载均衡器可以映射负载均衡器中公共 IP 地址与端口之间的,以及 VM 中专用 IP 地址与端口之间的传入和传出流量。

创建负载均衡器时,还必须考虑以下配置要素:

  • 前端 IP 配置:单个负载均衡器可包含一个或多个前端 IP 地址(也称为虚拟 IP,即 VIP)。这些 IP 地址充当流量的入口。
  • 后端地址池 – 与负载分配到的 NIC 关联的 IP 地址。
  • NAT 规则 – 定义入站流量如何流经前端 IP 并分配到后端 IP。
  • 负载均衡器规则 – 将给定的前端 IP 和端口组合映射到一组后端 IP 地址和端口组合。单个负载均衡器可拥有多个负载均衡规则。每个规则都包含前端 IP 和端口,以及与 VM 关联的后端 IP 和端口。
  • 探测器:监视 VM 的运行状况。当探测无法响应时,负载均衡器会停止向状况不良的 VM 发送新连接。现有连接不受影响,新连接将发送到状况良好的 VM。

VM

可在同一 VNet 中创建 VM,VM 可以使用专用 IP 地址相互连接。即使 VM 位于不同的子网中,它们也可以相互连接,无需配置网关或使用公共 IP 地址。要将 VM 放入某个 VNet,请创建该 VNet,然后在每个 VM 时,将其分配到该 VNet 和子网。在部署或启动期间,VM 会获取其网络设置。

部署 VM 时,系统为 VM 分配一个 IP 地址。如果将多个 VM 部署到 VNet 或子网,则 VM 启动时,系统为其分配 IP 地址。动态 IP 地址 (DIP) 是与 VM 关联的内部 IP 地址。可向 VM 分配静态 DIP。如果分配静态 DIP,应考虑使用特定的子网,避免意外地重复使用另一个 VM 的静态 DIP。

如果创建了一个 VM,事后又想要将它迁移到 VNet,做出这种配置更改并不是一个简单的过程。在这种情况下,必须将 VM 重新部署到 VNet。最简单的重新部署方法是删除该 VM(但不要删除其上附加的任何磁盘),并在 VNet 中使用原始磁盘重新创建 VM。

参考 :https://blog.csdn.net/zangdalei/article/details/78605815

0 人点赞