来源:蜘蛛抓取(WebSpider)
时间:2016-08-12 04:58
标签:
azure 虚拟机 iis
Azure(13)
参考地址MSDN 太有用了,收藏过来了。
将一个 Azure 虚拟网络 (VNet) 连接到另一个 Azure 虚拟网络非常类似于将虚拟网络连接到本地站点位置。这两种连接类型都使用虚拟网络网关通过 IPsec/IKE 提供安全隧道。连接的 VNet 可在不同的订阅和不同的区域中。甚至可以使用多站点配置来整合 VNet 到 VNet 的通信。这样,便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑,如下图所示:
跨区域地域冗余和地域存在
你可以使用安全连接设置自己的地域复制或同步,而无需借助于面向 Internet 的终结点。
使用 Azure 负载平衡器和 Microsoft 或第三方群集技术,你可以设置支持跨多个 Azure 区域实现地域冗余的高可用性工作负载。一个重要的示例就是对分散在多个 Azure 区域中的可用性组设置 SQL Always On。
具有强大隔离边界的区域多层应用程序
在同一区域中,你可以设置具有多个虚拟网络的多层应用程序,这些虚拟网络相互连接在一起,但同时又能保持强大的隔离性,而且还能进行安全的层间通信。
在 Azure 中跨订阅进行组织间通信
如果你有多个 Azure 订阅,现在可以在虚拟网络之间安全地将不同订阅中的工作负载连接起来。
对于企业或服务提供商而言,现在可以在 Azure 中使用安全 VPN 技术启用跨组织通信。
VNet 到 VNet 通信支持连接 Azure 虚拟网络。它不支持连接虚拟网络外部的虚拟机或云服务。
VNet 到 VNet 通信需要使用具有动态路由 VPN 的 Azure VPN 网关 - 不支持 Azure 静态路由 VPN。将多个 Azure 虚拟网络连接在一起不需要任何本地 VPN 网关,除非需要跨界连接。
虚拟网络连接可与多站点 VPN 同时使用,最多可以将一个虚拟网络 VPN 网关的 10 个 VPN 隧道连接到其他虚拟网络或本地站点。
虚拟网络和本地网络站点的地址空间不得重叠。地址空间重叠将会导致创建虚拟网络或上载 netcfg 配置文件失败。
虚拟网络可以在相同或不同的订阅中。
虚拟网络可以在相同或不同的 Azure 区域(位置)中。
不支持一对虚拟网络之间存在冗余隧道。
云服务或负载平衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。
虚拟网络的所有 VPN 隧道(包括 P2S VPN)共享 Azure VPN 网关上的可用带宽,以及 Azure 中的相同 VPN 网关运行时间 SLA。
在此过程中,我们将逐步演示如何连接两个虚拟网络:VNet1 和 VNet2。你需要具有丰富的网络知识,以便能够改用与你的网络设计要求相符的 IP 地址范围。将一个 Azure 虚拟网络连接到另一个 Azure 虚拟网络的操作与通过站点到站点 (S2S) VPN 连接到本地网络的操作相同。
此过程主要使用管理门户,但必须使用 Microsoft Azure PowerShell cmdlet 来连接 VPN 网关。
要规划和配置 5 个部分。请按以下列出顺序配置每个部分:
必须确定要用于配置网络配置文件 (netcfg) 的范围。从 VNet1 的角度讲,VNet2 只不过是 Azure 平台中定义的另一个 VPN 连接。从 VNet2 的角度讲,VNet1 也只不过是另一个 VPN 连接。它们将彼此标识为本地网络站点。请记住,必须确保没有任何 VNet 范围或本地网络范围存在任何形式的重叠。
表 1 显示了有关如何定义 VNet 的示例。下面的范围仅供参考。写下要用于虚拟网络的范围。后面的步骤需要用到此信息。
虚拟网络站点定义
本地网络站点定义
VNet1 (10.1.0.0/16)
VNet2 (10.2.0.0/16)
VNet2 (10.2.0.0/16)
VNet1 (10.1.0.0/16)
在本教程中,我们将创建两个虚拟网络:VNet1 和 VNet2。创建 VNet 时,请替换为你自己的值。对于本教程,我们将为 VNet 使用以下值:
VNet1:地址空间 = 10.1.0.0/16;区域 = 美国西部
VNet2:地址空间 = 10.2.0.0/16;区域 = 日本东部
登录到“管理门户”。
在屏幕左下角,单击“新建”。在导航窗格中,单击“网络服务”,然后单击“虚拟网络”。单击“自定义创建”以开始配置向导。
在“虚拟网络详细信息”页上,输入以下信息。有关详细信息页上的设置的详细信息,请参阅。
名称&- 命名你的虚拟网络。例如,VNet1。
位置&- 当你创建虚拟网络时,你会将它与一个 Azure 位置(区域)相关联。例如,如果你希望部署到虚拟网络的 VM 的物理位置位于West US,请选择该位置。创建虚拟网络后,将无法更改与虚拟网络关联的位置。
在“DNS 服务器和 VPN 连接”页面上,输入以下信息,然后单击右下方的“下一步”箭头。有关此页上的设置的详细信息,请参阅。
DNS 服务器&- 输入 DNS 服务器名称和 IP 地址,或者从下拉列表中选择一个以前注册的 DNS 服务器。此设置不创建 DNS 服务器,但可以指定要用于对此虚拟网络进行名称解析的 DNS 服务器。如果希望在虚拟网络之间进行名称解析,则必须配置自己的 DNS 服务器,而不是使用 Azure 提供的名称解析。
请不要选中任何复选框。只需单击右下角的箭头转到下一屏幕。
在“虚拟网络地址空间”页上,指定要用于虚拟网络的地址范围。这些都是动态 IP 地址 (DIPS),将分配给你部署到此虚拟网络的 VM 和其他角色实例。有相当多的规则与虚拟网络地址空间有关,因此你需要参阅以了解详细信息。所选范围不要与本地网络所用地址范围重叠,这一点尤其重要。你需要与网络管理员协调,该管理员可能需要从本地网络地址空间为你划分一个 IP 地址范围,以供你的虚拟网络使用。
输入以下信息,然后单击右下角的复选标记以配置你的网络。
地址空间&- 包括“起始 IP”和“地址计数”。请验证你指定的地址空间不与本地网络的任一个地址空间相重叠。对于本示例,我们将对 VNet1 使用 10.1.0.0/16。
添加子网&- 包括“起始 IP”和“地址计数”。附加的子网不是必需的,但你可能需要为具有静态 DIP 的 VM 创建一个单独的子网。或者,你可能需要在子网中拥有与其他角色实例分开的 VM。
单击页面右下角的复选标记,随后将开始创建虚拟网络。创建完成时,将在“管理门户”的“网络”页上看到“状态”下列出的“已创建”。
创建另一个虚拟网络。在本教程中,我们将使用以下值:VNet2: 地址空间 = 10.2.0.0/16;区域 = 日本东部
创建 VNet 到 VNet 配置时,需要配置每个 VNet 以将彼此标识为本地网络站点。在此过程中,你要将每个 VNet 配置为本地网络。如果以前已配置了 VNet,请在管理门户中以类似的操作将它们添加为本地网络。
在屏幕左下角,单击“新建”。在导航窗格中,单击“网络服务”,然后单击“虚拟网络”。单击“添加本地网络”
在“指定你的本地网络详细信息”页中,对于“名称”,请输入你要在 VNet 到 VNet 配置中使用的虚拟网络的名称。对于本示例,我们将使用 VNet 1,因为我们的配置需要将 VNet2 指向此虚拟网络。
对于“VPN 设备 IP 地址”,请使用任意 IP 地址。通常,应该使用 VPN 设备的实际外部 IP 地址。对于 VNet 到 VNet 配置,你要使用网关 IP 地址。但是,考虑到你尚未创建网关,我们将使用你在此处以占位符形式指定的 IP 地址。稍后你将返回到这些设置,并使用 Azure 生成的相应网关 IP 地址对其进行配置。
在“指定地址”页中,请输入 VNet1 的实际 IP 地址范围和地址计数。此值必须精确对应于你前面为 VNet1 指定的范围。
将 VNet1 配置为本地网络后,请返回前面的屏幕,并使用对应于 VNet2 的值配置该 VNet。
接下来,将每个 VNet 作为本地网络指向另一个 VNet。在管理门户中,转到 VNet1 的“配置”页。在“站点到站点连接”下,选择“连接到本地网络”,然后选择“VNET2”作为本地网络。
在同一页上的“虚拟网络地址空间”部分中,单击“添加网关子网”,然后单击页底部的“保存”图标以保存配置。
针对 VNet2 重复该步骤以将 VNet1 指定为本地网络。
配置每个 VNet 后,接下来将要配置 VNet 网关。
在“网络”页上,验证虚拟网络的“状态”列是否为“已创建”。
在“名称”列中,单击你的虚拟网络的名称。
在“仪表板”页上,请注意此 VNet 尚未配置网关。当你完成配置网关的步骤时,你将会看到此状态更改。
在页面底部,单击“创建网关”。
必须选择“动态路由”。系统提示你确认要创建网关时,单击“是”。
正在创建网关时,请注意页面上的网关图形将更改为黄色,并显示Creating Gateway。创建网关通常需要大约 15 分钟时间。
针对另一个 VNet 重复相同的步骤,请确保选择“动态网关”。不需要在创建完第一个 VNet 网关之后才开始创建另一个 VNet 的网关。
当网关状态更改为&Connecting&时,每个网关的 IP 地址将显示在仪表板中。写下对应于每个 VNet 的 IP 地址,请注意不要混淆。在“本地网络”中编辑 VPN 设备的占位符 IP 地址时,将要使用这些 IP 地址。
在“本地网络”页上,单击你要编辑的本地网络名称,然后单击页底部的“编辑”。对于“VPN 设备 IP 地址”,请输入对应于 VNet 的网关 IP 地址。例如,对于 VNet1,请输入分配给 VNet1 的网关 IP 地址。然后,单击页底部的箭头。
在“指定地址空间”页上,单击右下角的复选标记,但不要进行任何更改。
完成前面的所有步骤后,需要将 IPsec/IKE 预共享密钥设置为相同。你可以使用 REST API 或 PowerShell cmdlet 完成此操作。如果使用 PowerShell,请确认你使用的是最新版本的 Microsoft Azure PowerShell cmdlet。以下示例使用 PowerShell cmdlet 将密钥值设置为 A1b2C3D4。请注意,两个 VNet 应使用相同的密钥值。请编辑以下示例,使之反映你自己的值。
对于 VNet1
PS C:\& Set-AzureVNetGatewayKey -VNetName VNet1 -LocalNetworkSiteName VNet2 -SharedKey A1b2C3D4
对于 VNet2
PS C:\& Set-AzureVNetGatewayKey -VNetName VNet2 -LocalNetworkSiteName VNet1 -SharedKey A1b2C3D4
等待连接初始化。初始化网关后,该网关将与下图类似,此时你的虚拟网络已连接。
/zh-cn/library/azure/dn690122.aspx
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:295431次
积分:5957
积分:5957
排名:第2824名
原创:282篇
转载:152篇
译文:10篇
评论:28条
(11)(8)(5)(11)(6)(7)(1)(2)(3)(3)(7)(12)(4)(28)(27)(14)(9)(2)(13)(4)(6)(3)(3)(2)(9)(5)(4)(1)(1)(5)(10)(3)(3)(7)(5)(4)(5)(6)(13)(12)(42)(60)(11)(6)(2)(2)(11)(3)(1)(14)(1)(1)(1)(1)我个人有关 Azure 网络 SLA、带宽、延迟、性能、SLB、DNS、DMZ、VNET、IPv6 等的 Azure 常见问题解答 - 推酷
我个人有关 Azure 网络 SLA、带宽、延迟、性能、SLB、DNS、DMZ、VNET、IPv6 等的 Azure 常见问题解答
: 2014 年 11 月 3 日(增加了 2014 年欧洲 TechEd 大会新宣布的内容)。
:这篇文章中我提供的信息具有时间敏感性,因为这些信息未来可能会发生更改。我会尽量让这些内容保持最新状态,但是您还是应该阅读 Azure 官方文档源,对相关信息进行进一步确认。
过去三年内,我在 Azure IaaS 方面做了比较深入的工作。在与合作伙伴共事的过程中,我被问到很多有关 Azure 网络的问题,更具体地说,是有关虚拟网络 (VNET) 和 VM 的问题。要提供恰当的答案并不总是那么容易,有时候文档内容不清楚或者会漏掉细节,而有的时候您可以自己去发现,但需要足够多的知识。因为我在这些问题中发现了一些重复出现的内容,所以我决定在这篇博客文章中写下我的个人常见问题解答列表。事先声明:虽然我来自微软,对 Azure 有深入了解,但是我不会向您披露任何保留或机密信息。您在此处读到的内容可以由您自己再直接使用 Azure时发现 ,或者可以直接使用官方和公开文档检索到。如果您有其他比较好的问题且答案会非常重要或者不容易检索到,请尽管在这篇文章下方添加评论。此外,关于 Azure 网络应该具备的新功能,如果您有相关建议或反馈,请使用以下链接提交您的想法或者为已有想法投票:
反馈论坛:网络( DNS 、 Traffic Manager 、 VPN 、 VNET )
像往常一样,您也可以在 Twitter 上关注我:
Azure 是否为 VM 网络带宽提供 SLA ?
我对几乎所有 VM 型号都进行了 VM 带宽测试,发现整个过程中结果都非常一致。因为官方数字尚未披露,所以我不会共享我的测试结果。您可能在 Internet 上找到了一些有关各种 VM SKU 最高网络带宽的旧表格和信息,但不要相信这些表格和信息,因为它们已经过期,而且 Azure 基础结构在此过程中已经有了发展。您仍可以使用这些信息做一个大概了解,但是您将需要等待官方发布相关的 SLA 。
Azure 是否为 VM 到 VM 的网络延迟提供 SLA ?
在我的测试和项目中, Azure 网络的延迟性能都表现优异。至少据我所知,没有任何云供应商可以通过正式的 SLA 为两台不同 VM 之间的最高网络延迟做保证。您自己可以很轻松地做个测试,深入了解平均延迟,但是在测试标准方面您需要非常小心。首先,您需要在一天中的多个时段进行测试,包括峰值时段和非峰值时段;在一周中的多个日子进行测试,包括周末和工作日;最后,您应该计算平均值,按延迟从小到大排序后关心前 95%的数据 ,以消除峰值和偶发奇怪值。此外,不要假设所有 Azure 数据中心的延迟都一样。如果您要自己进行测试,我推荐您使用 SYSINTERNAL 套件中的 PSPING 工具,可从此处下载:
。这款工具的优点在于,它不使用 ICMP ,这样就没有跨越防火墙和负载平衡器的问题,您可以决定使用哪个 TCP 端口。非常重要的是,您不但可以测试延迟,还可以测试带宽。有关使用该工具进行 Azure 延迟测试的详细信息,您可以阅读我之前的一篇博客文章:
Azure 网络延迟和 SQL Server 优化
另一个需要考虑的复杂性因素是两台 VM 在 Azure 数据中心中的位置:两台 VM 是在同一个 Azure 群集中还是在不同的群集中?如果在不同的群集中,延迟应该会因为有额外的跃点而稍微增加。再说一次,这没有官方文档。更有趣的是,您没办法知道 VM 在哪个 Azure 群集中,除非您向 Microsoft 支持提出申请进行询问。但是将 VM 并置于同一个 Azure 群集中却有快捷方法,具体内容请参阅下一部分。
Azure 数据中心到数据中心的流量是否会经过公共 Internet ?
不会。通过 VPN 连接的、不同数据中心中 VNET 之间的流量会一直留在 Microsoft 自己的网络主干中,请参阅以下演示文稿中的第 34 张幻灯片:
MicrosoftAzure 网络技术介绍及新增功能
此外 , 如果使用 ExpressRoute 连接 VNET , 流量也不会经过公共 Internet , 而是使用私有租赁线路。 &
是否可以将 Azure 公共 IP 地址加入白名单 ?
可以 , 所有 Azure 公共 IP 范围都公布在以下链接中。如果因为安全原因,您想在内部部署网络中将这些 IP 加入白名单,您可以按区域而不是按服务,选择性地执行该操作。
Microsoft Azure 数据中心 IP 范围
如果您依赖特定的 Azure 资源,例如 Azure SQLDB 实例或 Blob 存储帐户,请注意您看到的、用于解析具体 DNS 名称的分配 IP 可能会在没有通知的情况下发生更改。 &
:对于 Azure 使用的 Internet IP ,请勿依赖任何地理定位服务,因为这些服务可能会报告错误信息,有关详细信息,请参阅以下博客文章:
Microsoft Azure 在美国区域使用非美国 IPv4 地址空间
如果您创建了自己的云服务,想要使用逆向 DNS 对该服务进行验证,您可以通过为云服务 VIP 启用 PTR 记录注册(由 Azure 提供)以实现该目的,具体说明请参阅以下链接:
宣布:适用于 Azure 云服务的反向 DNS
请注意,与云服务关联的虚拟 IP (VIP) 在某些情况下可能会发生改变,如果想要百分之百确保不发生这种情况,您需要启用 “ 预留 IP” 功能,具体说明请参阅以下博客文章:
云服务和虚拟机的预留 IP 地址
HYPERLINK”/b/azchina/archive//reserved-ip-addresses.aspx”
/b/azchina/archive//reserved-ip-addresses.aspx
是否可以将
VM放在同一个群集中
,以缩短网络延迟?
可以,这是可以实现的,但是因为最近引入了 “
区域虚拟网络
” ,所以流程发生了改变,具体说明请参阅以下博客文章:
区域虚拟网络
您基本上不需要创建与虚拟网络 (VNET) 绑定的关联组 (AG) ,只要在创建 VM 时指定 AG 即可。您即使使用了 “ 区域虚拟网络 ” ,也可以实现在同一个 Azure 群集中进行并置。请注意,所有新的 VNET 在默认情况下都是 “ 区域虚拟网络 ” ,您将无法继续在 Azure 门户中创建 “ 本地虚拟网络 ” 。此外,已经存在的 VNET 将自动迁移到 “ 区域虚拟网络 ” 中,无需用户干预。现在我还不清楚未来 AG 机制是否会被抛弃,但现在 AG 机制仍然可以按照我刚才为您说明的方式使用。
我无法确认的是 “ 关联组 ”
的发展方向:在我看来, 但这只是个人观点 ,随着
“ 区域网络 ” 的出现,如果 Microsoft 通过某种方式在 “ 区域网络 ” 内保证了一种统一的延迟边界,关联组的存在将没有意义。
Azure VM 中的 “*.internal.cloudapp.net”DNS 后缀是什么?
如果您构建 Azure VM 并将其加入到 Azure 虚拟网络中,在您尝试使用 VM 主机名称(清楚地说就是旧版 Netbios 名称)对这台 VM 执行 ping 操作时,您会看到以下画面:
从这张图片中您可以看到, FQDN 中有两个奇怪的部分: “
cloudapp.net
” 没有什么奇怪的,但是 “
” 是什么?您可以很容易地猜到 “
” 是 Azure 内部 DNS (iDNS) 用于托管 VM 记录并解析至内部 VM IP (DIP) 的默认 DNS 子区域。而 “
” 有点复杂:简单地说,它描述了 VM 在特定 Azure 数据中心中所处的网络区域。这些区域没有相关的官方文档或者列表,所以不要细究,但是请注意, 它不但在 Azure 数据中心之间会发生变化,在同一个数据中心内也会发生变化。
连接不同云服务中的 VM 会不会产生延迟开销?
答案是不会,或者至少是可以忽略。不久前,我和多个合作伙伴合作,将应用程序 VM 放置到了一个云服务中,然后将后端 VM (SQL Server) 放置到了另一个云服务中。如果您想要使用 SQL Server AlwaysOn 可用性组 (AG) 机制,这是一种典型情况。虽然应用程序 VM 将通过 Azure 负载平衡器 (SLB) 与后端 VM 连接,但是网络延迟开销非常小,因为 Azure 中有一种有趣的网络优化功能。在两台 VM 初次进行 TCP 连接握手时, Azure 会识别出该通信是两个内部资源之间的通信,并允许直接进行通信,这与同一个云服务内使用 DIP 进行网络连接的情况相同。您可以在我下面这篇博客文章中查阅我获得的详细测量数据:
Azure 网络延迟和 SQL Server 优化
Ping 和 Tracert 工具在 Azure 虚拟网络内部是否有用?
有用,这两种工具可以在 VNET 内完美工作,甚至可以通过 VPN 连接,在内部部署网络对 VNET 使用。如果您尝试跨越 Azure 负载平衡器 (SLB) ,这两个工具将不起作用。
Azure 负载平衡器 (SLB) 是否会使用轮询策略分发传入连接?
这是对 SLB 工作方式的常见误解。实际上, Azure SLB 是第 4 层软件负载平衡器,使用 &
源 IP 、源端口、目标 IP 、目标端口、协议类型
)计算用于将流量映射到 VIP 后的可用服务器的哈希函数。选择哈希函数是为了让分发到服务器的连接随机化,而不是完美地轮询。此外,至少到目前为止,还不支持会话关联。
Microsoft Azure 负载平衡服务
2014 年 10 月, Azure 引入了一种称为源 IP 关联(也称为会话关联或客户端 IP 关联)的新分发模式。 Azure 负载平衡器可以配置为使用 2 元组(源 IP 、目标 IP )或 3 元组(源 IP 、目标 IP 、协议)将流量映射到可用服务器上。使用源 IP 关联,同一客户端计算机上发起的连接都会转到同一个 DIP 端点。
Azure 负载平衡器新分发模式
Azure 负载平衡器 (SLB) 是否支持 SSL 终止 ?
AzureSLB 现在还不支持 SSL 终止 , 您必须在每台 VM 或每个 Web/Worker Role 实例中处理 HTTPS 加密和解密的终止过程。这是 Azure 网络团队正在考虑改进的一个方面。 &
允许在负载平衡器上进行 SSL 终止
我是否可以不使用 Azure SLB ,而使用自己的负载平衡器?
可以,使用 Azure SLB 不是强制性的, Azure 有一种称为 “
” 的特定虚拟机,与标准 SKU 相比,基本级虚拟机的价格低 27% :
基本级虚拟机
” 不提供自动伸缩功能,但是通过 “
” ,您可以获得 99,95% 的可用性。此外,请注意,不是所有型号的CPU和 RAM 都有基本级:
为 VM 选择 “
” 级后,您就可以安装自己的负载平衡器软件了。
我是否可以暴露 VM 的整个端口范围?
可以, Azure 有一个称为 “
实例级公共 IP 地址
” 的特殊功能,可以为 VM 提供 “ 公共实例 IP”(PIP) ,并在默认情况下打开整个端口范围,无需创建任何端点。使用正常的 VIP ,您最多只能创建 / 打开 150 个端点 / 端口,如果您要打开大量端口,这个功能可以满足您的要求。
实例级公共 IP 地址
加入了 VNET 的 VM 可以支持多少连接?
对于 Windows Server , VM 可以支持大约 50 万条 TCP 连接,但是您需要小心,在达到这个阈值前可能会出现其他潜在限制:如果您通过 Azure 负载平衡器端点将 VM 暴露给 Internet 流量,您可能会受到 SLB 容量或 DDOS 安全机制的限制。实际上,在 SLB 或端点限制方面并没有相关的公共文档,连接数量和网络带宽方面也没有,所以您需要自己进行性能测试,确保一切正常运行。
我是否可以有多个 VNET 网关?
现在一个 VNET 只能有一个网络网关:如果您配置多个隧道,这些隧道会共享相同的最大网络带宽。
从上表中您可以看到,根据网关 SKU 的类型(默认或高性能)和连接类型( S2S VPN 或 Express Route ),您可以创建的最大隧道数量是有限制的。
Azure 是否提供 DDOS 网络保护?
提供, Azure 基础结构设计为在网络受到源于 Internet 或内部其他租户 VM 的 DDOS 攻击时提供保护。有关详细信息,请参阅以下白皮书: &
请注意以下要点:
Windows Azure DDoS 防护系统的设计目的不仅包括抵御外部攻击,还包括抵御内部攻击。
Windows Azure 会监控并检测内部发起的 DDoS 攻击,并将发起攻击的 VM 从网络中移除。
Windows Azure 的 DDoS 保护也可以为应用程序提供帮助。但是,单个应用程序仍然可能会成为攻击目标。所以,客户应主动监控 Windows Azure 应用程序。
我是否可以在 Azure 虚拟网络内部使用 IPv6 ?
经确认,对 IPv6 的支持仍在开发过程中,您可以参阅以下链接: &
在整个 Azure 平台支持 IPv6
Azure 常见问题中的其他评论 &
过去几年 , Microsoft 在帮助客户从 IPv4 平稳过渡到 IPv6 方面起到了重要作用。迄今为止 , Microsoft 已在其许多产品和解决方案 ( 如 Windows 8 和 Windows Server2012 R2 ) 中建立了 IPv6 支持。 Microsoft 致力于通过 IPv6 扩展 Internet 的全球性功能并实现各种有用且激动人心的方案,包括点对点应用程序和移动应用程序。在 Azure 环境中启用 IPv6 的基础工作正在进行中。但是,我们目前无法公开 IPv6 支持正式发布的日期。
Azure 虚拟网络内是否支持 UDP 广播和多播?
在 VNET 内,甚至是跨 Azure SLB 都不允许这种通信类型。
在虚拟网络内支持多播
VM 上是否可以有多个 NIC ?
可以,2014 年 10 月的欧洲 TechEd 大会上已经宣布了这项功能。请注意,添加更多的 NIC
为您增加更多带宽,所有 NIC 都会共享 VM 级别获得的限值。现在最多可以有 4 个额外的 NIC 且不需花费任何额外的成本,具体数量会因为 VM 型号的不同而发生变化:
大型 (A3) 和 A6:2 个
超大型 (A4) 和 A7:4 个
请注意,这其中存在一些限制,请确保阅读以下博客文章中 “
关于多个 NIC 的功能的常见问题解答和限制
Azure 中的多个 VM NIC 和网络虚拟设备
值得一提的是,现在还可以在整个 VM 生命周期中保持 NIC 的以太网 (MAC) 地址不变。
我是否可以在虚拟网络内避免使用 DHCP ?
可以,当您将一台 VM 加入 Azure 虚拟网络时,默认情况下这台 VM 将使用由 Azure 内部 DHCP 自动分配的内部 IP (DIP) ,先在您定义的地址范围内生效,最终在您指定的子网中生效。这个 IP 将拥有无限长的租赁时间,但在
特定情况下可能会发生改变,例如您通过取消配置停止
时(默认行为)。如果要混合使用
动态分配的
和静态分配的
,建议使用不同的子网,避免可能发生的地址冲突。有关详细信息,请参阅以下博客文章:
虚拟机的静态内部 IP 地址
是否可以针对我的 Azure VM 运行网络渗透测试?
可以,您可以这样做,但是强烈建议在运行测试前遵循以下所述的具体流程,否则 Azure 监控和防御系统会被触发并将您的连接、 IP 和 / 或 VM 加入黑名单。您需要从 &
& 下载一份表单,填写必要的信息,然后向 Azure 客户支持开立支持表单并指定 “Support Type: Billing” (支持类型 : 计费)、 “Problem type: Legal andCompliance” (问题类型 : 法律和合规)以及 “Category: Request for penetration testing” (类别 : 渗透测试请求):
Azure VPN 保证的带宽是多少?
Azure VPN 没有最小保证带宽,唯一提供的 SLA 与高可用性有关 (99,90%) ,您可以从以下链接下载相关文档。如果您在 Internet 上搜索公共内容,您可能会找到多个消息来源,宣称有 60 到 100MB/ 秒的多个最大带宽值:这通常也是我个人测试中得到的值,我想再强调一遍,没有最小保证带宽。上限可能由支持 VPN 软件 Azure 侧的 VM 型号(小型)决定,我听到有传言说未来会改进,但还没有官方消息。
Microsoft Azure 云服务、虚拟机和虚拟网络 SLA
VHD I/O& 是否会计入 VM 网络带宽上限?
不会。与 IaaS VM VHD 访问相关的 I/O 将计入存储 IOPS 限值,但不计入网络限值。这似乎是一个复杂的问题,但因为持久的 VM 存储是联网到存储服务的,所以有些客户和合作伙伴会经常问这个问题。有关 Azure 存储的伸缩目标的官方数字,请参阅以下链接:
Azure 存储的可伸缩性和性能目标
HYPERLINK”/library/azure/dn249410.aspx”
/library/azure/dn249410.aspx
如果您使用一些特殊功能,例如 SQL Server 2014 Azure Blob 存储集成或 Azure File (在 SMB 上),这些特殊功能在计入目标服务可伸缩性和性能限值的同时,也会计入 VM 网络带宽限值。
更新:有关 SQL Server 2014 和 Azure Blob 存储集成的新白皮书
MicrosoftAzure File 服务简介
我是否可以为我的应用程序流量使用 A8/A9VM Infiniband NIC ?
这要看情况。我已经被多次问到这样的问题 , 例如 , 是否可以为 SQLServer AlwaysOn 可用性组复制流量使用 Infiniband NIC , 因为 Infiniband NIC 可以提供高带宽、低延迟连接以及 RDMA 支持。在这种情况下,答案是不可以。这种 NIC 不提供一般的 TCP/IP 连接,所以所有应用程序将无法在 “
Network Direct
” 接口和 MS-MPI 协议上通信。
Windows Azure 的新高性能功能
我是否可以在 Azure 中创建 DMZ ?
可以。 2014 年 10 月的欧洲 TechEd 大会上引入了 “
网络安全组
”(NSG) 之后,现在已经可以实施全功能的 DMZ ,严格隔离同一个 VNET 中的子网之间的流量。
网络安全组可以应用于子网(虚拟网络内),也可以应用于单个虚拟机,从而启用两层保护。网络安全组内的规则可以独立于虚拟机进行修改和更新,从而允许在虚拟机生命周期以外管理访问控制列表。
Azure ILB 是否可以用于增强网络安全?
可以,但需要澄清安全帮助是什么,因为关于这个功能的工作方式有一些困惑。这个功能本质上可以帮助增强安全,因为它可以让您在使用 Azure SLB 时定义一个(或多个)不暴露给 Internet的负载平衡端点,进而增强安全。但是,这个功能不是一种分隔机制,因为即使使用 ACL ,如果不使用 ILB , VNET 中的资源还是不会被隔离,所有 VM 都可以通过开放、全面的连接功能与其他所有 VM 连接。基于相同的原因, ILB 不能用于实现 DMZ 。
如果您想要构建真正的 DMZ 配置,建议阅读这篇博客文章前面的 “
我是否可以在 Azure 中创建 DMZ ? ”
是否可以在虚拟网络中添加 Azure PaaS 服务?
可以。 Microsoft 最近开始为 VNET 增加添加平台 PaaS 服务的功能:添加平台 PaaS 服务后,您可以在 IaaS VM 和 PaaS 服务之间获得双向访问权限。现在您可以为 Azure VNET 添加网站和 HDInsight HBASE 群集,未来有望增加更多服务: &
Azure 网站虚拟网络集成
在 Azure 虚拟网络中配置 HBase 群集
如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-63652咨询各类服务信息。
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置: 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致
