將專用 Azure 服務部署至虛擬網路
若在虛擬網路中部署專用 Azure 服務,可以使用私人 IP 位址,私下與該服務資源通訊。
部署在虛擬網路中的服務有下列功能:
虛擬網路中的資源可以透過私人 IP 位址,私下互相通訊。 例如,在虛擬網路中,直接在於虛擬機器上執行的 HDInsight 和 SQL Server 之間傳輸資料。
內部部署資源可以透過站對站 VPN (VPN 閘道) 或 ExpressRoute,使用私人 IP 位址,存取虛擬網路中的資源。
虛擬網路則可以使用私人 IP 位址進行對等互連,來讓虛擬網路中的資源彼此通訊。
服務執行個體已部署至虛擬網路中的子網路。 根據服務提供的指導,必須透過網路安全性群組,開放子網路的輸入和輸出網路存取。
有些服務會對其部署所在的子網路施加限制。 此限制會限制原則的應用、路由或結合相同子網路內的 VM 和服務資源。 請檢查每個服務的特定限制,因為它們可能會隨著時間而改變。 服務的範例包括 Azure NetApp Files、專用 HSM、Azure Container Instances、App Service。
(選擇性) 服務可能需要委派的子網路,作為子網路可以裝載特定服務的明確識別項。 透過委派,服務會收到明確權限,以在委派的子網路中建立服務特定資源。
請在具有委派子網的虛擬網路上參閱 REST API 回應的範例。 您可以透過可用委派 API,取得使用委派子網模型的完整服務清單。
可以部署至虛擬網路的服務
| 類別 | 服務 | 專用的1子網路 |
|---|---|---|
| 計算 | 虛擬機器:Linux 或 Windows 虛擬機器擴展集 雲端服務:僅限虛擬網路 (傳統) Azure Batch Azure BareMetal 基礎結構 |
否 否 否 否2 否 |
| 網路 | 應用程式閘道 - WAF Azure Bastion Azure 防火牆 Azure 路由伺服器 ExpressRoute 閘道 網路虛擬設備 VPN 閘道 Azure DNS 私人解析程式 虛擬網絡 適用於網狀架構和 Power BI 的數據閘道 |
是 是 是 是 是 不 是 否 |
| 資料 | RedisCache 適用於 MySQL 的 Azure SQL 受控執行個體 Azure 資料庫 - 彈性伺服器 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器 |
是 是 是 是 |
| 分析 | Azure HDInsight Azure Databricks |
否2 否2 |
| 身分識別 | Microsoft Entra Domain Services | 否 |
| 容器 | Azure Kubernetes Service (AKS) Azure 容器執行個體 (ACI) Azure Container Service 引擎搭配 Azure 虛擬網路 CNI 外掛程式 Azure Functions |
否2 是 否 Yes |
| Web | API 管理 Web Apps App Service 環境 Azure Logic 應用程式 Azure 容器應用程式環境 |
是 是 是 是 Yes |
| 裝載 | Azure 專用 HSM Azure NetApp Files |
是 是 |
| Azure Spring Apps | 在 Azure 虛擬網路中部署 (VNet 插入) |
是 |
| 虛擬桌面基礎結構 | Azure 實驗室服務 |
是 |
| DevOps | Azure 負載測試 |
是 |
1「專用」暗示只有服務特定資源可以部署在此子網路中,且無法與客戶 VM/VMSS 合併
2 建議您最好在專用子網路中具有這些服務,但這不是服務所強加的必要需求。