Azure 中公共和专用 IP 寻址

  • 8 分钟

你在一家制造公司工作,目前正在将资源转移到 Azure。 本地网络中的客户端必须可以访问数据库服务器。 Web 服务器等公共资源必须能够通过 Internet 访问。 你希望确保规划出可满足这两个要求的 IP 地址。

在此单元中,你将了解 Azure 中公共和专用 IP 地址的约束和限制。 此外,你还将了解 Azure 中可用于在网络中重新分配 IP 地址的功能。

IP 地址类型

在 Azure 中,可以使用两种类型的 IP 地址:

  • 公共 IP 地址
  • 专用 IP 地址

你可以通过以下两种方式之一分配两种类型的 IP 地址:

  • 动态
  • 静态

让我们来详细了解 IP 地址类型如何协同工作。

公共 IP 地址

对面向公众的服务使用公共 IP 地址。 公共地址可以是静态的,也可以是动态的。 公共 IP 地址可分配给 VM、面向 Internet 的负载均衡器、VPN 网关或应用程序网关。

  • 动态公共 IP 地址是可在 Azure 资源的生命期内更改的分配地址。 动态 IP 地址是在你创建或启动 VM 时分配的。 停止或删除该 VM 时,会释放该 IP 地址。 在每个 Azure 区域中,公共 IP 地址都是从唯一地址池中分配的。 分配方法默认为“动态”。

  • “静态公共 IP 地址”是在 Azure 资源的生命期内保持不变的分配地址。 为确保资源的 IP 地址保持不变,你可将分配方法设置为“静态”。 在这种情况下,将立即分配 IP 地址,并且仅当删除资源或将 IP 分配方法更改为动态时,才会释放该地址。

用于公共 IP 地址的 SKU

对于公共 IP 地址,有两种 SKU 可供选择:“基本”和“标准”。 引入 SKU 之前创建的所有公共 IP 地址均为基本 SKU 公共 IP 地址。 引入 SKU 后,可以选择用于负载均衡 Internet 流量的规模、功能和定价。

基本和标准 SKU 具有:

  • 默认入站发起流空闲超时时间为 4 分钟,最长可调整为 30 分钟。
  • 固定出站发起流空闲超时时间为 4 分钟。

基本 SKU

可使用静态或动态分配方法分配基本公共 IP。 基本公共 IP 可分配到能配有公共 IP 地址的任何 Azure 资源,包括网络接口、VPN 网关、应用程序网关和面向 Internet 的负载均衡器。

默认情况下,基本 SKU IP 地址:

  • 处于打开状态。 建议使用网络安全组来限制入站或出站流量,但这是可选的。
  • 仅可用于入站流量。
  • 在使用实例元数据服务 (IMDS) 时可用。
  • 不支持可用性区域。
  • 不支持路由首选项。

标准 SKU

默认情况下,标准 SKU IP 地址:

  • 始终使用静态分配。
  • 是安全的,因此对入站流量关闭。 必须使用网络安全组启用入站流量。
  • 是区域冗余的,也可选为区域性(可将其创建为区域性,并在特定的可用性区域中保证可靠性)。
  • 可分配给网络接口、标准公共负载均衡器、应用程序网关或 VPN 网关。
  • 可以与路由首选项一起使用,以便能够更精细地控制如何在 Azure 与 Internet 之间路由流量。
  • 可用作跨区域负载均衡器的任意播前端 IP。

有关详细信息,请参阅 SKU 比较、负载均衡器概述组件

公共 IP 地址前缀

在 Azure 中,公共 IP 地址前缀是保留的静态公共 IP 地址范围。 Azure 从可用地址池中分配 IP 地址,这些地址对于每个 Azure 云中的每个区域都是唯一的。 定义公共 IP 地址前缀时,将从 Azure 区域的池中分配关联的公共 IP 地址。

在具有可用区域的区域中,可以将公共 IP 地址前缀创建为区域冗余或与特定可用区域相关联。

公共 IP 地址前缀的好处是可以为已知范围的 IP 地址指定防火墙规则。 如果你的公司需要在不同区域拥有数据中心,则需要为每个区域设置不同的公共 IP 地址范围。 你可以将公共 IP 地址前缀中的地址分配给支持公共 IP 地址的任何 Azure 资源。

可以通过指定名称和前缀大小来创建公共 IP 地址前缀。 前缀大小是可供使用的保留地址数。

  • 公共 IP 地址前缀由 IPv4 或 IPv6 地址组成。
  • 可以使用 Azure 流量管理器等技术来平衡区域特定的实例。
  • 只能通过使用自定义 IP 地址前缀将自己的公共 IP 地址从本地网络引入到 Azure 中。
  • 创建前缀时,无法指定地址;Azure 分配这些地址。 创建前缀后,IP 地址将固定在连续范围内。
  • 公共 IP 地址不能在区域之间移动,所有 IP 地址都是特定于区域的。

专用 IP 地址

专用 IP 地址用于在 Azure 虚拟网络(包括虚拟网络和本地网络)内通信。 专用 IP 地址既可设置为“动态”(DHCP 租用),又可设置为“静态(DHCP 预留)”。

动态专用 IP 地址通过 DHCP 租约进行分配,可在 Azure 资源的生命期内更改。

静态专用 IP 地址通过 DHCP 预留进行分配,在 Azure 资源的生命期内不可更改。 如果停止或释放资源,静态专用 IP 地址保持不变。

Azure 虚拟网络的 IP 寻址

虚拟网络是在 Azure 中充当组织网络的基本组件。 管理员可以完全控制 IP 地址分配、安全设置和安全规则。 创建虚拟网络时,需要定义 IP 地址的范围。 专用 IP 地址与在本地网络上的工作方式相同。 根据你的网络要求,选择 Internet 号码分配机构 (IANA) 保留的专用 IP 地址:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

子网是虚拟网络中某个范围内的 IP 地址。 可将虚拟网络分为多个子网。 每个子网必须具有唯一的地址范围,该范围以无类别域间路由 (CIDR) 格式指定。 CIDR 是一种表示网络 IP 地址块的方法。 指定为 IP 地址的一部分的 IPv4 CIDR 显示网络前缀的长度。

例如,可考虑使用 CIDR 192.168.10.0/24。 “192.168.10.0”是网络地址,“24”表示前 24 位是网络地址的一部分,并将后 8 位留给特定的主机地址。 子网的地址范围不能与虚拟网络中其他子网重叠,也不能与本地网络重叠。

对于 Azure 中的所有子网,默认情况下保留前三个 IP 地址。 为保证协议一致性,还会保留所有子网的第一个和最后一个 IP 地址。 Azure 中的内部 DHCP 服务会分配并维护 IP 地址的租用。 .1.2.3 和最后一个 IP 地址不可见,Azure 客户也不可配置它们。 这些地址保留供内部 Azure 服务使用。

在 Azure 虚拟网络中,可将 IP 地址分配给以下类型的资源:

  • 虚拟机网络接口
  • 负载均衡器
  • 应用程序网关

知识检查

1.

可将公共 IP 地址分配给下面哪个资源?

2.

要与同一虚拟网络中的其他资源通信,虚拟机必须具有下面哪项内容?