準備將 Azure 通訊網關聯機到您自己的虛擬網路 (預覽)
本文說明使用適用於 Azure 通訊閘道的 VNet 插入將 Azure 通訊網關聯機到您自己的虛擬網路所需的步驟(預覽)。 需要此程式,才能將 Azure 通訊閘道部署到您控制的子網,並在使用 ExpressRoute 私人對等互連或透過 Azure VPN 閘道 連線內部部署網路時使用。 Azure 通訊閘道有兩個服務區域有自己的連線能力,這表示您需要在每個區域中提供虛擬網路和子網。
下圖顯示使用 VNet 插入部署的 Azure 通訊閘道概觀。 面向您網路的 Azure 通訊閘道網路介面會部署到子網中,而面向後端通訊服務的網路介面仍會由Microsoft管理。
必要條件
- 啟用 Azure 通訊閘道的 Azure 訂用帳戶。
- 通知上線小組您想要使用自己的虛擬網路。
- 在每個 Azure 區域中建立 Azure 虛擬網路,以作為 Azure 通訊閘道 服務區域。 瞭解如何建立 虛擬網路。
- 針對 Azure 通訊閘道的獨佔用途,在每個 Azure 虛擬網路中建立子網。 這些子網必須至少有16個IP位址(/28 IPv4範圍或更大範圍)。 其他任何項目都必須使用此子網。 瞭解如何建立 子網。
- 請確定您的 Azure 帳戶在虛擬網路上具有網路參與者角色或此角色的父系。
- 將您選擇的連線解決方案(例如 ExpressRoute)部署到您的 Azure 訂用帳戶,並確定已準備好使用。
提示
實驗室部署只有一個服務區域,因此您只需要在此程式中設定單一區域。
委派虛擬網路子網
若要搭配 Azure 通訊閘道使用虛擬網路,您必須 將子網 委派給 Azure 通訊閘道。 子網委派提供 Azure 通訊閘道的明確許可權,以在子網中建立服務特定資源,例如網路介面(NIC)。
請遵循下列步驟來委派子網,以搭配 Azure 通訊閘道使用:
移至您的 虛擬網路 ,然後選取要用於 Azure 通訊閘道的第一個服務區域中的虛擬網路。
選取 [子網路]。
選取您想要委派給 Azure 通訊閘道的子網。
重要
您使用的子網必須專用於 Azure 通訊閘道。
在 [將子網委派給服務] 中,選取 [Microsoft.AzureCommunicationsGateway/networkSettings],然後選取 [ 儲存]。
確認 Microsoft.AzureCommunicationsGateway/networkSettings 出現在 子網的 [委派至] 數據行中。
針對其他 Azure 通訊閘道服務區域中的虛擬網路和子網重複上述步驟。
設定網路安全性群組
當您將 Azure 通訊網關聯機到虛擬網路時,您必須設定網路安全組 (NSG) 以允許來自您網路的流量連線到 Azure 通訊閘道。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠,允許或拒絕流量。
NSG 的規則可以隨時變更,而變更時會套用至所有相關聯的執行個體。 NSG 變更可能需要 10 分鐘的時間才會生效。
重要
如果您未設定網路安全組,流量將無法存取 Azure 通訊閘道網路介面。
網路安全組組態包含兩個步驟,可在每個服務區域中執行:
- 建立允許所需流量的網路安全組。
- 將網路安全組與虛擬網路子網產生關聯。
您可以在虛擬網路中,使用 NSG 控制傳輸至一個或多個虛擬機器 (VM)、角色執行個體、網路介面卡 (NIC) 或子網路的流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠,允許或拒絕流量。 NSG 的規則可以隨時變更,而變更時會套用至所有相關聯的執行個體。
如需 NSG 的詳細資訊,請瀏覽 何謂 NSG。
建立相關的網路安全組
請與您的上線小組合作,為您的虛擬網路判斷正確的網路安全組設定。 此設定取決於您的連線選擇(例如 ExpressRoute)和虛擬網路拓撲。
您的網路安全組設定必須允許流量流向 Azure 通訊閘道所使用的必要埠範圍。
提示
您可以使用 網路安全組 的建議,協助確保您的組態符合安全性的最佳做法。
將子網路關聯至網路安全性群組
- 移至您的網路安全群組,然後選取 [子網路]。
- 從頂端功能表列選取 [+ 關聯]。
- 在 [虛擬網路] 中,選取您的虛擬網路。
- 針對 [子網路],選取您的虛擬網路子網路。
- 選取 [確定] 以將虛擬網路子網路關聯至網路安全群組。
- 針對其他服務區域重複這些步驟。
後續步驟
準備部署 Azure 通訊閘道 (部分機器翻譯)