EDUCBA-Azure-网络服务笔记-全-

EDUCBA Azure 网络服务笔记（全）

001：课程介绍

在本课程中，我们将学习Azure网络服务。Azure提供了一系列网络功能，用于连接和管理云资源。这些服务超越了基础的虚拟网络，提供了多种连接选项、流量监控与管理工具、负载均衡以及安全的用户连接保障。

Azure网络服务：01-01：课程内容概述

上一节我们介绍了课程的整体目标，本节中我们来看看本课程将具体涵盖哪些核心服务。

以下是本课程将要讨论的主要服务：

• Azure虚拟广域网：我们将学习虚拟广域网简介、如何创建和管理虚拟中心、使用虚拟广域网建立站点到站点连接以及点到站点连接。
• Azure ExpressRoute：我们将学习ExpressRoute简介、如何建立ExpressRoute线路、对ExpressRoute进行故障排除和监控。
• Azure DNS：我们将学习Azure DNS简介、如何管理Azure DNS区域和记录、在Azure虚拟网络中进行DNS解析，以及如何配置Azure DNS私有区域。
• Azure网络安全最佳实践：我们将学习如何创建安全的网络设计原则、实施Azure虚拟网络强化技术，并了解Azure私有链接。

此外，课程中将包含相关的操作演示。

本节课中我们一起学习了本课程将要涵盖的四大核心Azure网络服务：虚拟广域网、ExpressRoute、DNS和网络安全最佳实践，为后续的深入学习奠定了基础。

---

Azure网络服务：01-02：Azure虚拟广域网简介

在概述了课程内容后，本节我们将深入第一个核心服务：Azure虚拟广域网。

Azure虚拟广域网是一项网络服务，它将多种网络、安全和路由功能整合在一起，提供一个统一的操作界面。

在本模块中，我们将讨论Azure虚拟广域网及其在连接和管理大规模网络方面的优势。我们还将学习如何部署和管理虚拟中心、如何建立站点到站点连接，以及如何使用虚拟广域网实现点到站点连接。

以下是本模块的具体主题：

• Azure虚拟广域网简介
• 创建和管理虚拟中心
• 使用虚拟广域网建立站点到站点连接
• 使用虚拟广域网实现点到站点连接

本节课中我们一起学习了Azure虚拟广域网的定义及其在本课程模块中的学习要点。

---

Azure虚拟广域网：02-01：核心概念与架构

上一节我们介绍了虚拟广域网模块的学习目标，本节中我们来看看它的核心概念与架构设计。

Azure虚拟广域网是一项网络服务，它将多种网络、安全和路由功能整合在一起，提供一个统一的操作界面。

您可以通过Azure门户开始使用Azure虚拟广域网。其架构本质上是中心辐射型架构，为分支机构提供了内置的扩展性和性能。这里的“分支机构”可以指您的VPN、点到站点连接、ExpressRoute线路以及您的虚拟网络。

您可以通过此架构启用全局传输网络。云托管的网络中心使得分布在不同类型辐射网络和不同Azure区域中的端点之间能够实现传输连接。每个Azure区域都可以作为一个中心，您可以选择连接到这些中心。在标准版虚拟广域网中，所有中心通过全网状结构相互连接，这使得用户能够轻松利用微软骨干网实现任意两点间的连接。

关于虚拟广域网的SKU，主要有两种类型：基本版和标准版。

• 基本版仅支持站点到站点VPN。
• 标准版支持ExpressRoute、VPN、点到站点连接、中心到中心连接、VNet到VNet传输、Azure防火墙等更多功能。

此外需要注意，虚拟网络网关VPN最多仅支持30条隧道。如果您需要大规模VPN连接，则应使用虚拟广域网。每个区域的虚拟中心可以支持总计20 Gbps的聚合带宽。

让我们通过一个示例来理解架构。假设您有多个虚拟网络（例如VNet1到VNet6），分布在两个区域（Region1和Region2）。每个区域有一个虚拟广域网中心（VWAN-Hub）。您还可以有多个分支机构（Branch1到Branch4）和一个数据中心（DC）。这些组件可以通过站点到站点VPN、点到站点VPN相互连接，并且区域间的中心也可以互联，从而形成一个复杂的网状网络。

本节课中我们一起学习了Azure虚拟广域网的中心辐射型架构、两种SKU的区别，以及它如何构建大规模连接网络。

---

Azure虚拟广域网：02-02：创建虚拟广域网

上一节我们了解了虚拟广域网的理论架构，本节中我们来看看如何实际操作，创建第一个虚拟广域网实例。

我们将演示如何在Azure门户中创建虚拟广域网。

1. 导航到“虚拟广域网”服务。
2. 点击“创建”。
3. 选择您的订阅和资源组。您可以创建新的资源组。
4. 选择您希望部署的区域。
5. 为实例命名，例如 MyVirtualWAN1。
6. 在“类型”中选择“标准”或“基本”。由于基本版仅支持站点到站点VPN，此处我们选择“标准”。
7. 点击“查看 + 创建”，等待验证通过。
8. 点击“创建”以部署资源。

以下是一个简化的创建命令示例（概念性代码）：

# 这是一个概念性操作步骤，实际创建通常在门户完成
az network vwan create --name MyVirtualWAN1 --resource-group MyResourceGroup --location eastus --type Standard

这样便完成了虚拟广域网的创建。在后续视频中，我们将首先讨论虚拟中心，然后创建虚拟中心，最后将您的虚拟中心连接到虚拟网络。

本节课中我们一起完成了在Azure门户中创建虚拟广域网实例的步骤，为后续配置虚拟中心和连接网络做好了准备。

002：Azure虚拟中心

概述

在本节课中，我们将要学习Azure虚拟中心。我们将了解它的定义、核心功能、路由机制，并通过演示学习如何创建和配置一个虚拟中心。

---

什么是Azure虚拟中心？🤔

Azure虚拟中心是一个由微软管理的虚拟网络，它能够实现与其他资源的连接。

在上一节关于虚拟广域网（vWAN）的视频中，我们了解到，当从虚拟广域网创建虚拟中心时，在Azure门户中，虚拟中心的路由器和网关会作为其组件被自动创建。我们将在演示中看到这一点。目前，我们已了解如何创建虚拟广域网，之后我将创建一个虚拟中心，以便你理解其过程。

虚拟中心是Azure中的一个虚拟网络，它充当连接到本地网络的中心枢纽。在之前的图表中展示的“中心辐射型”技术里，虚拟网络连接就扮演着中心枢纽的角色。这就是Azure虚拟中心。

---

虚拟中心路由 🧭

上一节我们介绍了虚拟中心的基本概念，本节中我们来看看其核心的路由功能。虚拟中心路由主要涉及三个部分：中心路由表、连接和关联。

以下是这三个核心概念的详细说明：

• 中心路由表：一个虚拟中心路由表可以包含一条或多条路由。你可以向路由表中添加多条路由。路由表可以包含名称、标签、目标类型、目标前缀列表、下一跳信息等不同属性。其核心作用是定义数据包的转发路径。
• 连接：连接是具有路由配置的资源管理器资源。主要有四种类型：
  1. VPN连接：将VPN站点连接到虚拟中心VPN网关。
  2. ExpressRoute连接：将ExpressRoute线路连接到虚拟中心ExpressRoute网关。（如果你还不了解ExpressRoute，不用担心，我们后续会详细讨论。）
  3. 点到站点配置连接：将用户VPN连接到虚拟中心用户VPN。
  4. 中心虚拟网络连接：将你的虚拟网络连接到虚拟中心。
• 关联：每个连接都会与一个路由表相关联。将连接关联到路由表，允许流量被发送到该路由表中路由所指示的目标地址。这就是关联的作用。

---

如何创建虚拟中心？🛠️

在虚拟广域网视频中，我们看到了如何创建虚拟广域网。现在，让我们看看如何在其基础上创建虚拟中心。

首先，你需要创建一个虚拟广域网。请遵循上一视频的步骤。创建后，在虚拟广域网资源页面，你可以看到“连接性”选项。这里提供了多种连接选项，如中心、VPN站点、用户VPN配置、ExpressRoute线路、虚拟网络连接等，你可以根据需要创建。

以下是创建虚拟中心的步骤：

1. 在虚拟广域网资源的“连接性”部分，点击“中心”。
2. 点击“+新建中心”开始创建。由于创建过程大约需要30分钟，本演示中已预先创建好一个。
3. 在创建页面，你需要输入：
   • 名称：为你的虚拟中心命名。
   • 专用地址空间：例如 10.1.0.0/16。
   • 中心容量：选择路由基础架构单元的数量（例如2个），这决定了支持的吞吐量（如3 Gbps）。请根据需求选择。
   • 路由偏好：可以选择VPN或ExpressRoute等。
4. 配置完成后，点击“创建”。其他设置（如站点到站点VPN、点到站点VPN）可以保持默认或后续配置。

创建完成后，你可以在中心列表中找到它（例如 hub1）。进入该中心，你可以配置各种功能，例如：

• 站点到站点VPN
• 点到站点VPN
• ExpressRoute
• Azure防火墙或网络虚拟设备（NVA）

例如，如果你想添加一个网络虚拟设备，可以从可用列表中选择一个，然后点击“创建”。

配置完成后，你需要添加连接。在连接配置中，你可以启用“虚拟网络连接”，并选择你想要连接到此中心的特定虚拟网络。

---

总结

本节课中，我们一起学习了Azure虚拟中心。我们首先明确了虚拟中心作为中心连接枢纽的定义和作用。接着，我们深入探讨了其路由机制，包括中心路由表、连接（VPN、ExpressRoute、点到站点、虚拟网络）和关联。最后，我们通过步骤演示了如何在虚拟广域网中创建和配置一个虚拟中心，并为其添加网络连接。掌握虚拟中心是构建高效、可扩展的Azure混合网络架构的关键一步。

003：站点间广域网连接演示 第1部分

在本节课中，我们将学习如何使用Azure虚拟广域网（Virtual WAN）创建站点到站点（Site-to-Site）的连接。我们将通过实际操作演示，了解创建虚拟网络、虚拟中心、配置VPN网关以及建立连接的关键步骤。

概述与准备工作

上一节我们介绍了Azure虚拟广域网的基本概念，本节中我们来看看如何具体配置一个站点到站点的连接。

首先，我们需要规划并创建几个核心组件。以下是本次演示的架构图，它清晰地展示了我们将要构建的连接关系：

根据规划，我们将创建以下资源：

• 虚拟网络（VNet）：代表Azure侧的本地网络，地址空间为 10.0.0.0/16。
• 子网（Subnet）：位于上述虚拟网络内，地址空间为 10.0.0.0/24。
• 虚拟广域网（Virtual WAN）：作为连接的中心枢纽。
• 虚拟中心（Virtual Hub）：部署在虚拟广域网内，是具体处理流量的节点。
• 本地站点（On-premises Site）：代表用户数据中心的配置。

创建虚拟网络与子网

首先，我们需要创建一个虚拟网络。此步骤与课程1中的操作类似，因此不再重复演示具体点击过程。

我们创建的虚拟网络配置如下：

• 名称: VNet1
• 地址空间: 10.0.0.0/16

在该虚拟网络内，我们创建一个子网：

• 子网地址范围: 10.0.0.0/24

创建虚拟广域网与虚拟中心

接下来，我们创建虚拟广域网资源。在Azure门户中，搜索并创建“虚拟WAN”资源。

以下是创建虚拟广域网时的关键设置：

• 资源组: 选择与虚拟网络相同的资源组（例如 Test-RG）。
• 名称: 例如 TestWAN。
• 类型: 选择“标准”类型。

创建好虚拟广域网后，下一步是在其中创建一个虚拟中心。进入已创建的虚拟广域网资源，在“中心”部分点击“新建中心”。

以下是配置虚拟中心的核心参数：

• 区域: 选择部署区域。
• 名称: 例如 hub1。
• 中心专用地址空间: 输入 10.0.1.0/24。此地址空间不能与已有的虚拟网络或本地网络重叠。
• 虚拟中心容量: 选择2个路由单位。
• 路由首选项: 本例中选择“仅ExpressRoute”。

配置完成后，点击“创建”。部署虚拟中心可能需要几分钟时间。

配置站点到站点VPN网关

虚拟中心创建成功后，我们需要在其中启用并配置站点到站点VPN网关功能。

进入虚拟中心，找到“连接”部分下的“VPN（站点到站点）”设置。点击以创建新的VPN配置。

以下是配置VPN网关的步骤：

1. 网关规模单位：这决定了VPN网关的容量和可用性。例如，选择“2个规模单位”意味着部署了两个实例以实现高可用性，总计提供约1 Gbps的聚合带宽。
   • 公式: 1个规模单位 ≈ 500 Mbps
2. 路由首选项：选择“Microsoft网络”以通过微软骨干网进行优化路由。
3. 自治系统编号（ASN）：这是分配给VPN网关的一个唯一标识号，用于BGP路由。可以保留默认值或自定义。

配置完成后保存设置。此操作将部署VPN网关实例。

创建并连接本地站点

VPN网关就绪后，我们需要定义一个代表本地数据中心的“站点”。

在虚拟中心的“VPN（站点到站点）”设置中，点击“创建新VPN站点”。

以下是定义站点所需的详细信息：

• 站点名称：例如 Site1。
• 设备供应商：例如 Cisco。
• 专用地址空间：输入本地数据中心的地址范围，例如 10.0.2.0/24。重要提示：此地址空间不能与Azure虚拟网络或中心地址空间重叠。
• 链接：至少需要配置一个链接。
  • 链接名称：例如 MyLink1。
  • 链接速度：例如 50 Mbps。
  • 提供商名称：例如 AT&T。

填写完毕后，点击“创建”。站点创建完成后，状态为“未连接”。

接下来，我们需要将这个站点连接到虚拟中心。在站点列表中，找到刚创建的 Site1，点击“连接到中心”。

在连接配置中，可以设置高级选项：

• 协议：选择IKEv1或IKEv2。
• 连接模式：
  • Default：双方均可发起连接。
  • Responder only：仅本地VPN设备发起连接。
  • Initiator only：仅Azure VPN网关发起连接。
• 启用自定义流量选择器：可根据需要配置。

使用默认设置，点击“连接”。连接成功后，站点状态将变为“已连接”。

将虚拟网络连接到中心

现在，我们需要将Azure侧的虚拟网络（VNet1）也连接到虚拟中心，以实现三方的互通。

进入虚拟中心，在“连接”部分找到“虚拟网络连接”，然后点击“添加连接”。

以下是连接配置：

• 连接名称：例如 VNet-to-Hub。
• 中心：已自动选择当前中心。
• 虚拟网络：从下拉列表中选择之前创建的 VNet1。
• 路由配置：可以选择关联的路由表，并设置是否传播路由。本例中使用默认值。

点击“创建”以建立连接。成功后，虚拟网络、虚拟中心和本地站点之间就建立了完整的连接路径。

下载配置与查看网关设置

连接建立后，为了在本地VPN设备上进行配置，需要从Azure下载VPN配置文件。

在虚拟中心的“VPN（站点到站点）”设置中，点击“下载VPN配置”。系统会生成一个XML配置文件，其中包含了连接所需的所有参数，如：

• 虚拟中心的公共IP地址。
• 预共享密钥（如果未自定义，则由Azure生成）。
• BGP对等体IP地址等。

您需要根据此配置文件，在本地VPN设备（如Cisco路由器）上完成相应配置。

此外，您可以随时查看和修改VPN网关的设置。在“VPN（站点到站点）”的网关配置视图中，可以查看：

• 自治系统编号（ASN）。
• 公共和私有IP地址。
• 如果需要，可以在此编辑网关规模单位等设置（请注意，更改可能需要30分钟生效）。

总结

本节课中我们一起学习了在Azure虚拟广域网中配置站点到站点VPN连接的第一部分。我们完成了以下核心操作：

1. 创建了虚拟网络和子网作为Azure侧资源。
2. 创建了虚拟广域网和虚拟中心作为连接枢纽。
3. 在虚拟中心内配置并部署了站点到站点VPN网关。
4. 定义了一个代表本地数据中心的VPN站点，并将其连接到虚拟中心。
5. 将Azure虚拟网络也连接到虚拟中心，形成了完整的网络拓扑。
6. 学习了如何下载VPN配置以便在本地设备上完成设置。

至此，Azure侧的配置已基本完成。在下一部分，我们将重点关注如何利用下载的配置文件在本地VPN设备上进行配置，并最终测试站点到站点的连通性。

004：点对站连接 🔗

在本节课中，我们将学习如何在Azure中创建点对站VPN连接。点对站连接允许单个客户端计算机安全地连接到Azure虚拟网络。

---

创建虚拟机

首先，我们需要创建一个虚拟机作为演示环境。

以下是创建虚拟机的步骤：

1. 在Azure门户中，选择订阅和资源组。
2. 为虚拟机命名，例如 ABC。
3. 选择区域，例如 美国东部。
4. 选择Windows Server镜像。
5. 设置管理员用户名和密码。
6. 在“网络”选项卡中，选择一个现有的虚拟网络。
7. 保持其他设置（如磁盘、管理、监视）为默认值，然后创建虚拟机。

创建完成后，我们还需要配置虚拟网络。虚拟网络的地址空间为 10.0.0.0/16，其中包含一个子网 10.0.2.0/24。

---

连接到虚拟机并配置IIS

上一节我们创建了虚拟机，本节中我们来看看如何连接到它并进行基本配置。

使用远程桌面协议连接到虚拟机：

1. 在Azure门户中，转到虚拟机的“概述”页面。
2. 点击“连接”按钮，选择“RDP”。
3. 下载RDP文件并使用管理员凭据登录。

连接成功后，在虚拟机上安装IIS服务器：

1. 打开“服务器管理器”。
2. 点击“添加角色和功能”。
3. 在“服务器角色”中，勾选“Web服务器(IIS)”。
4. 点击“安装”。

为了测试，我们修改了IIS的默认网页。文件路径为 C:\inetpub\wwwroot，我们将 iisstart.htm 文件的内容更改为“Welcome to EducBA Nty class”。

现在，使用虚拟机的公共IP地址访问该网页，应能看到修改后的欢迎信息。

---

创建虚拟广域网网关

接下来，我们需要创建虚拟广域网网关，这是点对站连接的核心组件。

以下是创建虚拟广域网网关的步骤：

1. 在Azure门户中，搜索并选择“虚拟WAN”。
2. 点击“创建”，选择相同的资源组。
3. 为虚拟WAN命名，例如 ABC。
4. 创建虚拟WAN。

创建虚拟WAN后，需要在其内部创建一个虚拟中心。

以下是创建虚拟中心的步骤：

1. 在虚拟WAN资源中，转到“中心”部分，点击“+新建中心”。
2. 为虚拟中心命名，例如 hub1。
3. 设置中心地址空间，例如 10.0.1.0/16。
4. 在“点对站”配置部分，选择“是”以启用。
5. 在“网关规模单位”中，选择 1。
6. 暂时不配置点对站设置，先创建中心。

---

配置虚拟网络连接和用户VPN

现在，我们需要将之前创建的虚拟网络连接到这个虚拟中心。

以下是创建虚拟网络连接的步骤：

1. 在虚拟中心内，转到“连接”部分，点击“+添加连接”。
2. 为连接命名，例如 p2s。
3. 选择目标虚拟网络（之前创建的 VNet1）。
4. 关联路由表选择“默认”，然后创建连接。

点对站连接需要用户VPN配置，其中包含身份验证信息。

以下是创建用户VPN配置的步骤：

1. 在虚拟WAN资源中，转到“用户VPN配置”部分，点击“创建”。
2. 为配置命名。
3. “隧道类型”选择 IKEv2。
4. “身份验证类型”选择 Azure证书。
5. 需要提供根证书和客户端证书的公钥数据。

---

生成并配置证书

点对站连接使用证书进行身份验证。我们需要生成根证书和客户端证书。

使用PowerShell生成证书：

# 生成自签名根证书
New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=P2SRootCert" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

# 从根证书生成客户端证书
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature -Subject "CN=P2SChildCert" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -Signer "Cert:\CurrentUser\My\<上一步生成的根证书指纹>" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

生成证书后，需要导出其公钥数据：

1. 打开“运行”对话框，输入 certmgr.msc，打开证书管理器。
2. 找到生成的根证书（P2SRootCert）和客户端证书（P2SChildCert）。
3. 右键点击每个证书，选择“所有任务” -> “导出”。
4. 在导出向导中，选择“不，不导出私钥”，格式选择“Base-64 编码 X.509 (.CER)”。
5. 将证书保存到本地。
6. 用记事本打开导出的 .cer 文件，复制其全部内容。

回到Azure门户的用户VPN配置创建页面：

1. 将复制的根证书内容粘贴到“根证书”字段。
2. 将复制的客户端证书内容粘贴到“客户端证书”字段。
3. 完成配置创建。

---

完成点对站网关配置并测试连接

现在，我们需要在虚拟中心内完成点对站网关的具体配置。

以下是配置步骤：

1. 导航到已创建的虚拟中心 hub1。
2. 转到“点对站配置”部分。
3. 在“网关规模单位”中，选择 1。
4. 在“点对站配置”下拉列表中，选择上一步创建的用户VPN配置。
5. 配置“地址池”，这是分配给VPN客户端的IP地址范围，例如 192.168.0.0/24。
6. 保存配置。此过程可能需要30分钟来完成部署。

配置完成后，进行连接测试。首先，移除测试虚拟机的公共IP地址，以强制通过VPN访问：

1. 在虚拟机资源中，转到“网络” -> “网络接口” -> “IP配置”。
2. 点击主IP配置，将“公共IP地址”设置为“取消关联”并保存。

现在，从本地计算机连接到点对站VPN：

1. 在虚拟WAN的“用户VPN配置”页面，找到已创建的配置。
2. 点击“下载用户VPN配置”。选择身份验证类型为“Azure证书”，生成并下载配置文件。
3. 下载的压缩包中包含Windows客户端的安装程序（Amd64 文件夹下的 VpnClientSetupAmd64.exe）。运行此程序以安装VPN客户端。
4. 安装后，在Windows设置中打开“VPN”设置，可以看到一个名为 TestWAN 的点对站连接。
5. 点击“连接”。

连接成功后，即使虚拟机没有公共IP，我们也可以使用其私有IP地址（例如 10.0.2.5）在浏览器中访问，并看到IIS服务器上“Welcome to EducBA Nty class”的页面。这证明点对站VPN连接已成功建立。

---

总结

本节课中我们一起学习了如何在Azure中建立点对站VPN连接。我们逐步完成了以下核心任务：

1. 准备环境：创建了Windows虚拟机并配置了IIS服务器。
2. 搭建骨干：创建了虚拟WAN和虚拟中心。
3. 建立连接：将虚拟网络连接到虚拟中心，并创建了用户VPN配置。
4. 配置安全：生成并配置了用于身份验证的证书。
5. 最终部署：在虚拟中心内完成了点对站网关的配置。
6. 测试验证：从本地客户端成功连接到VPN，并通过私有IP访问了Azure中的资源。

通过点对站连接，可以实现远程用户安全、灵活地接入Azure虚拟网络，是混合网络架构中的重要组成部分。

005：Azure ExpressRoute 🚀

在本模块中，我们将学习 Azure ExpressRoute。ExpressRoute 是一项服务，用于在 Azure 数据中心与您本地或托管环境中的基础设施之间建立私有连接。

我们将探讨如何利用 Azure ExpressRoute 在本地网络与 Azure 之间建立私有、专用的连接。我们还将学习如何规划、配置和排查 ExpressRoute 线路问题，以及如何实施 ExpressRoute 对等互连以优化网络性能。

以下是本模块将涵盖的主题：

• ExpressRoute 简介
• 建立 ExpressRoute 线路
• 实施 ExpressRoute 对等互连
• ExpressRoute 的故障排除与监控

---

什么是 Azure ExpressRoute？🔗

现在，让我们首先理解什么是 Azure ExpressRoute。

Azure ExpressRoute 用于在 Azure 数据中心与您本地环境的基础设施之间创建私有连接。ExpressRoute 连接不经过公共互联网，与典型的互联网连接相比，它提供了更高的可靠性、更快的速度和更低的延迟。

本质上，Microsoft 拥有自己的专线或租用线路，您的流量将仅通过这些私有线路传输，而不会进入公共互联网，这就是使用 Azure ExpressRoute 的优势。

Azure ExpressRoute 提供第 3 层连接，通过连接提供商在您的本地网络与 Microsoft 云之间建立连接。您的连接选项可以是：

• 点对点以太网连接
• 任意对任意网络
• 通过互联网交换中心建立的虚拟交叉连接

此外，每个对等互连位置都内置了冗余以实现高可用性，并且您可以从任何地理位置访问 Microsoft 云服务。

---

ExpressRoute 连接模型 🧩

上一节我们介绍了 ExpressRoute 的基本概念，本节中我们来看看其两种主要的连接模型。

Azure ExpressRoute 主要有两种连接模型：服务提供商模型和直接模型。

• 服务提供商模型：您可以通过云交换中心或托管设施连接到 Microsoft Azure。在此模型下，您可以建立：
  • 到 ExpressRoute 的点对点以太网连接。
  • 任意对任意连接（例如，您的广域网直接连接到 Microsoft Azure）。
• 直接模型：您通过 ExpressRoute 站点，建立到 Microsoft Azure 的 ExpressRoute 直接连接。

---

ExpressRoute 的用例 💡

了解了连接模型后，接下来我们看看 ExpressRoute 的一些典型应用场景。

首先，它提供到 Azure 服务的更快、更可靠的连接。公共互联网依赖于许多环境因素，而使用 ExpressRoute，您可以在 Azure 数据中心与本地基础设施之间建立私有连接，从而获得更快、更可靠的连接。

第二个用例是存储、备份和恢复。备份和恢复对于企业的业务连续性以及从服务中断中恢复至关重要。ExpressRoute 提供高达 200 Gbps 带宽的快速可靠 Azure 连接，这使其非常适合定期数据迁移、复制等场景。

此外，它还能扩展您的数据中心能力。ExpressRoute 可用于连接现有数据中心并为其增加计算和存储容量。它提供可预测、可靠且高吞吐量的连接，使企业能够构建横跨本地基础设施和 Azure 的应用程序，而无需牺牲隐私或性能。

---

服务提供商模型与直接模型对比 ⚖️

在之前的视频中，我们讨论了 ExpressRoute 直接模型和使用服务提供商模型。现在让我们看看两者之间的一些区别。

以下是两种模型的主要对比：

• 使用服务提供商的 ExpressRoute：
  • 利用服务提供商实现快速接入并连接到现有基础设施。
  • 可与包括互联网交换中心在内的数百家提供商集成。
  • 支持的 SKU 带宽范围从 50 Mbps 到 10 Gbps。
  • 主要针对单租户场景进行优化。
• ExpressRoute Direct：
  • 需要 100 Gbps 或 1 Gbps 基础设施，并需管理所有层级。
  • 为受监管行业和海量数据场景提供直接或专用容量。
  • 提供不同的带宽选项，如 5 Gbps、10 Gbps、40 Gbps 等。客户还可以组合多个线路（例如，10 Gbps ExpressRoute Direct 线路与 1 Gbps、2 Gbps、5 Gbps、10 Gbps 线路组合）。
  • 支持单租户、多业务单元以及多核心租户场景。

---

总结 📝

在本节课中，我们一起学习了 Azure ExpressRoute 的核心知识。我们了解了 ExpressRoute 是一种建立 Azure 与本地环境之间私有连接的服务，它不经过公共互联网，从而提供更优的性能和可靠性。

我们探讨了其两种主要的连接模型：服务提供商模型和直接模型，并分析了它们各自的适用场景与特点。此外，我们还列举了 ExpressRoute 在实现高速可靠连接、数据备份恢复以及扩展数据中心能力等方面的关键用例。

通过本模块的学习，您应该对 Azure ExpressRoute 的基本概念、价值和应用有了初步的认识，为后续深入学习其配置与管理打下了基础。

006：建立ExpressRoute线路 第1部分

在本节课中，我们将学习如何在Azure门户中创建ExpressRoute线路。ExpressRoute是一种服务，允许你在本地网络与Microsoft云之间建立私有连接。我们将逐步完成创建过程，并了解关键配置选项。

访问门户并开始创建

首先，直接访问你的Azure门户，并在搜索栏中输入“ExpressRoute线路”。

点击“创建ExpressRoute线路”按钮以开始创建过程。

配置基本信息

以下是创建ExpressRoute线路时需要配置的基本信息。

• 订阅：选择你的Azure订阅。
• 资源组：选择或创建一个新的资源组来管理此线路。例如，可以创建一个名为“test-ER-circuit-rg”的新资源组。
• 区域：选择线路的部署区域。
• 名称：为线路指定一个名称，例如“testERcircuit”。

配置连接类型与提供商

上一节我们配置了基本信息，本节中我们来看看连接类型和提供商的选择。

在“配置”部分，有两种连接类型可供选择：提供商 和 直接。

• 如果你需要通过服务提供商来访问Microsoft网络，请选择 提供商。
• 如果你拥有ExpressRoute直接资源，则可以选择 直接。

本教程将选择“提供商”类型。此外，你可以选择创建新线路，或从经典部署模型迁移现有线路。我们选择“新建”。

接下来，从列表中选择一个服务提供商（例如Equinix）和对应的对等互连位置（例如Seattle）。

选择带宽与SKU

选择了提供商后，我们需要确定线路的容量和层级。

• 带宽：从下拉列表中选择所需的带宽，例如50 Mbps或100 Mbps。我们选择50 Mbps。
• SKU：选择线路的层级，可以是标准或高级。我们选择“高级”SKU。

设置计费模型

配置好性能参数后，我们来设置计费方式。

在“计费模型”部分，有以下选项：

• 无限数据：入站数据传输免费，出站数据传输按固定月费提供无限流量。
• 计量数据：出站数据传输按使用量计费。

我们选择“无限数据”模型。此外，如果需要，可以勾选“允许经典操作”选项。

审阅并创建线路

完成所有配置后，点击“下一步：审阅 + 创建”。

Azure会首先验证所有配置。验证通过后，点击“创建”按钮。线路的创建需要一些时间来完成。

查看已创建的线路属性

现在，我们的ExpressRoute线路已经创建完成。让我们查看一下它的属性。

在资源列表中点击你创建的线路（例如“testERcircuit”），然后进入“属性”部分。在这里，你可以看到：

• 状态：显示为“已启用”。
• 位置：显示你选择的对等互连位置。
• 带宽：显示你选择的带宽值。
• 服务密钥：这是线路的唯一标识符，在配置提供商端连接时需要用到。

你还可以在“配置”部分查看或修改SKU等设置，并在“连接”部分管理与此线路关联的虚拟网络连接。

总结

本节课中，我们一起学习了在Azure门户中创建ExpressRoute线路的完整步骤。我们了解了如何配置基本信息、选择连接类型和提供商、设置带宽与SKU、选择计费模型，并最终创建和查看了线路的属性。这是建立从本地网络到Azure私有连接的第一步。

007：快速路由对等互联 第一部分

概述

在本节课中，我们将要学习Azure快速路由（ExpressRoute）中的对等互联（Peering）概念。我们将了解对等互联的类型、配置要求以及基本操作步骤。

---

快速路由对等互联简介

一个快速路由线路可以关联多个对等互联。这意味着可以有多个对等互联连接到一个快速路由线路上。

基本上，我们有以下三种类型的对等互联：Azure公共对等互联、Azure私有对等互联和Microsoft对等互联。Azure服务根据IP寻址方案被分类为Azure公共和Azure私有，每种对等互联都在一对路由器上以相同的方式配置，通常采用主动-主动或负载共享配置。

---

Azure私有对等互联

上一节我们介绍了对等互联的基本类型，本节中我们来看看Azure私有对等互联。

Azure私有对等互联通常用于连接Azure计算服务，例如虚拟机、云服务，以及部署在虚拟网络内的平台即服务（PaaS）服务。

私有对等互联域被视为您核心网络到Microsoft Azure的可信扩展。您可以在您的核心网络和Azure虚拟网络之间建立双向连接。

在配置Azure私有对等互联时，您需要检查以下几项内容。

以下是配置私有对等互联时需要考虑的事项：

• 需要一对不属于任何虚拟网络地址空间保留的子网。
• 一个子网将用于主链路，另一个用于辅助链路。
• 您需要将每个子网的第一个可用IP地址分配给您的路由器，因为Microsoft会使用第二个可用IP地址给其路由器。
• 需要有效的VLAN ID。
• 需要建立对等互联的AS编号。
• 必须通过BGP从您本地的边缘路由器向Azure通告路由。

---

Microsoft对等互联

了解了私有对等互联后，我们接下来看看Microsoft对等互联。

通常，Microsoft 365被设计为通过互联网安全可靠地访问。因此，对于特定场景，推荐使用快速路由。

连接到Microsoft在线服务（例如Microsoft 365、Azure PaaS服务和Microsoft PSTN服务）是通过Microsoft对等互联实现的。通过Microsoft对等互联路由域，您的广域网（WAN）与Microsoft云服务之间同样具有双向连接。

在配置此类对等互联时，也需要满足一些要求。

以下是配置Microsoft对等互联时需要考虑的事项：

• 需要一对由您拥有并在RIR或IRR中注册的子网。
• 一个子网将用作主链路，另一个用作辅助链路。
• 同样需要有效的VLAN ID。
• 需要通告前缀和AS编号。

---

对等互联配置步骤

前面我们介绍了不同类型的对等互联及其要求，本节中我们来看看如何在Azure门户中实际配置对等互联步骤。

首先，您需要创建一个Azure快速路由线路。虽然之前已经介绍过，但让我们再次回顾步骤。

以下是创建快速路由线路的基本步骤：

1. 在Azure门户中选择资源组（例如，我选择了“temp”）。
2. 为线路指定一个名称。
3. 选择端口类型（提供商或直接）以及是否创建新线路。
4. 选择提供商（例如，我选择了Equinix）。
5. 选择位置（例如，我选择了西雅图）。
6. 选择带宽（例如，50 Mbps）。
7. 选择SKU套餐（例如，我选择了高级版）。
8. 选择计费模型（例如，我选择了无限制）。
9. 点击“下一步”并创建线路。

创建线路后，其状态应为“已启用”，提供商状态应为“已预配”。然后，您可以转到“对等互联”部分进行配置。

正如之前所述，有三种对等互联类型：Azure私有、Azure公共和Microsoft。

以下是配置私有对等互联的步骤：

1. 当线路状态正常后，选择“Azure私有”对等互联。
2. 输入对等ASN。
3. 选择子网类型（IPv4或IPv6）。
4. 输入用于两条链路的主子网和辅助子网。
5. 添加VLAN ID和共享密钥。
6. 保存配置。

公共和Microsoft对等互联的配置选项类似。对于Microsoft对等互联，还需要配置“公共前缀地址”，这是通过BGP会话通告的所有前缀的列表。只接受公共IPv4地址前缀，且前缀必须在RIR或IRR注册。最大前缀数为200。此外，还需要路由注册名称和共享密钥。

---

总结

本节课中我们一起学习了Azure快速路由对等互联的核心概念。我们了解了三种主要的对等互联类型：Azure私有、Azure公共和Microsoft对等互联，并探讨了它们各自的用途和配置要求。最后，我们逐步演示了在Azure门户中创建快速路由线路和配置对等互联的基本操作。掌握这些知识是建立稳定、高性能的混合云网络连接的基础。

008：排查与监控ExpressRoute连接 🔍

在本节课中，我们将学习如何排查Azure ExpressRoute的连接问题，以及如何使用Azure Monitor来监控ExpressRoute线路的性能和健康状况。

---

排查ExpressRoute连接问题

上一节我们介绍了ExpressRoute的配置，本节中我们来看看当连接出现问题时，如何进行排查。

首先，需要验证线路的预配状态。线路必须处于“已预配”状态。您可以在Azure门户中ExpressRoute线路的“概述”页面查看此状态。

您也可以使用Azure PowerShell运行以下命令来检查状态：

Get-AzExpressRouteCircuit -ResourceGroupName "<资源组名称>" -Name "<线路名称>"

命令输出会显示线路的ProvisioningState，应为Provisioned。

如果需要重置一个失败的线路，可以按照以下步骤操作。首先，连接到您的Azure账户并选择正确的订阅。

以下是重置线路的PowerShell命令示例：

# 连接到Azure账户
Connect-AzAccount

# 获取订阅列表
Get-AzSubscription

# 选择特定订阅
Select-AzSubscription -SubscriptionName "<您的订阅名称>"

# 将线路信息存入变量
$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "<资源组名称>" -Name "<线路名称>"

# 重置线路
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

接下来，需要验证对等互连配置。ExpressRoute支持三种对等互连：私有、Microsoft和公共（已弃用）。您需要确认所需的对等互连已配置并处于“已建立”状态。

此外，验证ARP表对于排查第2层连接问题至关重要。ARP是地址解析协议，用于将IP地址映射到MAC地址。

以下是需要检查的ARP表项：

• 本地ARP表项：应包含本地路由器接口IP地址到其MAC地址的映射。
• Microsoft ARP表项：应包含ExpressRoute路由器接口IP地址到其MAC地址的映射。
• 检查映射的“年龄”，过期的条目可能导致连接问题。ARP表有助于验证第2层配置并排查基本的连接问题。

对于网络性能排查，Azure提供了多种工具。

以下是可用的网络排查工具和方法：

• Azure网络观察程序：提供连接性检查、数据包捕获等高级诊断工具。
• PowerShell：使用Test-AzNetworkWatcherConnectivity等cmdlet进行测试。
• Azure CLI：使用az network watcher命令组进行测试。
• Azure Connectivity Toolkit (AzureCT)：一个专门用于测试混合网络连接性的工具。

这些工具和方法也被封装在名为Az.Network的PowerShell模块中，您可以安装并使用它。

---

监控ExpressRoute

上一节我们介绍了连接问题的排查，本节中我们来看看如何持续监控ExpressRoute的运行状态。

要监控ExpressRoute，请使用Azure Monitor。这是Azure官方的监控服务。

要查看ExpressRoute的指标，请导航到Azure Monitor页面，选择“指标”。然后，通过资源类型进行筛选，并选择您的ExpressRoute线路。

为了查看历史数据，建议将时间粒度设置为5分钟或更长。

ExpressRoute提供了多种关键指标供您监控。

以下是ExpressRoute的主要监控指标：

• ARP 可用性：显示ARP协议的可用性百分比。
• BGP 可用性：显示BGP会话的可用性百分比。
• 线路入口比特率：每秒进入Azure的数据量（比特/秒）。
• 线路出口比特率：每秒从Azure出去的数据量（比特/秒）。
• 播发的公共前缀数：通过BGP向Microsoft播发的路由数量。
• 网关CPU利用率：ExpressRoute网关的CPU使用率。
• 网关每秒数据包数：网关处理数据包的速率。

您可以使用Azure Monitor来查看这些指标并设置警报，以确保连接的健康和性能。

---

总结 🎯

本节课中我们一起学习了Azure ExpressRoute的运维管理。我们讨论了如何排查连接问题，包括验证线路状态、重置失败线路、检查对等互连和ARP表，以及使用Azure网络观察程序等工具进行性能诊断。随后，我们介绍了如何使用Azure Monitor来监控ExpressRoute线路的各项关键指标，如可用性、带宽利用率和网关性能。

总而言之，ExpressRoute允许您通过连接提供商提供的私有连接，将本地网络扩展到Microsoft云。它能连接到Microsoft Azure、Microsoft 365等多种云服务，支持从任何网络（点到点以太网、任意到任意连接或虚拟交叉连接）进行连接。由于ExpressRoute不经过公共互联网，因此能提供更高的可靠性、更快的速度、更一致的延迟和更强的安全性。在本模块中，我们还学习了如何创建ExpressRoute线路、配置对等互连，以及如何进行故障排查和监控。

009：Azure DNS简介

在本节课中，我们将要学习Azure DNS服务。我们将了解其基本概念、核心功能以及它在Azure网络架构中的作用。

概述

Azure DNS是微软提供的一项域名托管服务，它利用微软的Azure基础设施来提供域名解析。简单来说，它的作用是将人们容易记住的域名（例如 www.example.com）转换为计算机用于互相通信的IP地址（例如 192.0.2.1）。

什么是Azure DNS？

上一节我们介绍了课程概述，本节中我们来看看Azure DNS的具体定义。

与传统的DNS系统一样，Azure DNS的核心职责是进行名称解析。它负责将域名解析为IP地址，反之亦然。这项服务专门用于解析可通过互联网访问的Azure资源和服务（例如您的Web服务器）的名称和IP地址。

Azure DNS的名称解析能力完全基于微软的Azure基础设施。为了管理这些域名记录，您可以在Azure DNS中手动创建与域名相关的记录。

常用的DNS记录类型

在Azure DNS中，您可以配置多种类型的记录来管理域名解析。以下是几种最常用的DNS记录类型：

• A记录：将主机名映射到IPv4地址。
  • 示例：www.example.com A 192.0.2.1
• AAAA记录：将主机名映射到IPv6地址。
• CNAME记录：将一个域名（别名）指向另一个域名（规范名称）。
  • 示例：blog.example.com CNAME www.example.com
• MX记录：指定用于接收该域电子邮件的邮件服务器。
• NS记录：指定负责该域名的权威DNS服务器。
• TXT记录：通常用于域所有权验证或电子邮件安全策略（如SPF、DKIM）。

总结

本节课中我们一起学习了Azure DNS的基础知识。我们了解到Azure DNS是一项基于Azure基础设施的托管服务，用于管理域名并将其解析为IP地址。我们还介绍了在Azure DNS中配置域名记录的基本方法，以及A记录、CNAME记录等几种核心的DNS记录类型及其作用。

010：DNS区域与记录管理

在本节课中，我们将学习Azure DNS的核心概念，包括DNS区域、DNS委派、记录集，并通过一个实际演示了解如何配置DNS以实现域名解析。

概述：什么是DNS区域？🌐

上一节我们介绍了Azure网络的基础知识，本节中我们来看看DNS区域。

DNS区域用于托管特定域名的DNS记录。要使用Azure DNS托管记录，首先需要创建一个DNS区域。

以下是关于DNS区域的几个关键点：

• 同一区域名称可以在不同的资源组或订阅中重复使用。它只需在同一个资源组和订阅内保持唯一。
• 当你的根域名或父域名在域名注册商处注册后，若想使用Azure DNS进行解析，你需要将域名注册商的名称服务器指向Azure提供的名称服务器。Azure本身不是域名注册商。
• 在Azure DNS中使用域名创建DNS区域时，你不需要是该域名的所有者。但是，如果你想配置该域名（例如将其解析到你的资源），则必须拥有该域名。

DNS委派🔗

上一节我们介绍了DNS区域，本节中我们来看看DNS委派。

DNS委派是指将域名的解析权分配给一组名称服务器。将域名委派给Azure DNS时，你必须使用Azure DNS提供的全部四个名称服务器。

以下是关于DNS委派的重要说明：

• Azure DNS提供四个名称服务器，委派时必须全部使用。
• 创建DNS区域后，你需要在父级域名注册商处更新名称服务器设置。
• Azure DNS不提供域名注册服务。你可以通过Azure应用服务域或第三方注册商购买域名，然后将这些域名的记录托管在Azure DNS中进行管理。

记录集📝

上一节我们介绍了DNS委派，本节中我们来看看记录集。

记录集是DNS区域中具有相同名称和类型的一组记录的集合。

以下是关于记录集的要点：

• Azure DNS支持所有标准DNS记录类型，包括 A、AAAA、CNAME、MX、NS、PTR、SOA、SRV 和 TXT。
• 同一个记录集内不能存在两条完全相同的记录。
• 一个记录集最多可包含20条记录。

实战演示：创建DNS区域与记录🎬

前面我们介绍了DNS区域、委派和记录集的理论知识，现在通过一个演示来看看如何实际操作。

演示目标：创建一个DNS区域，添加一条A记录，并验证域名解析是否生效。

准备工作：

1. 已创建一台虚拟机并安装了Apache Web服务器，其IP地址为 172.208.34.20。
2. 已从第三方注册商（如GoDaddy）获取了一个域名 creativedesk.co。

操作步骤：

1. 创建DNS区域
   在Azure门户中，创建DNS区域，名称填写为所拥有的域名 creativedesk.co。创建成功后，Azure会分配四个名称服务器地址。

2. 配置域名委派
   登录域名注册商（GoDaddy）的管理面板，找到域名服务器设置，将原有的名称服务器替换为Azure DNS提供的四个名称服务器地址。此后，该域名的解析权便委派给了Azure DNS。

3. 添加A记录
   在刚创建的DNS区域中，添加一个新的记录集。

   • 名称：输入 niy。这将创建记录 niy.creativedesk.co。
   • 类型：选择 A。
   • IP地址：填写虚拟机的IP地址 172.208.34.20。
   • TTL：保持默认或根据需要调整。

4. 验证解析
   记录创建并传播后（通常很快），即可进行验证。

   • 在浏览器中访问 http://niy.creativedesk.co，应能显示Apache的默认页面。
   • 在命令提示符中使用 nslookup 命令进行查询：

     nslookup niy.creativedesk.co
     

     命令应返回IP地址 172.208.34.20，证明DNS解析已成功配置。

总结📚

本节课中我们一起学习了Azure DNS的核心组件。我们了解了DNS区域是托管域名记录的基础容器，知道了通过DNS委派将域名的解析权交给Azure DNS的步骤，明确了记录集是组织DNS记录的方式。最后，通过一个完整的演示，我们实践了从创建DNS区域、配置委派到添加A记录并验证解析的整个流程，掌握了在Azure中管理DNS服务的基本操作。

011：Azure虚拟网络中的DNS解析

在本节课中，我们将学习如何在Azure虚拟网络内部进行域名解析。我们将探讨几种不同的方法，并了解在不同场景下应如何选择合适的方法。

概述

在Azure虚拟网络中，若要将域名解析为内部IP地址，您无需像处理公共域名那样配置DNS区域。Azure提供了多种内置的解决方案来实现内部名称解析。

上一节我们介绍了虚拟网络的基本概念，本节中我们来看看如何为其中的资源配置DNS解析。

DNS解析方法

Azure主要提供了四种方法来实现虚拟网络内部的名称解析。

以下是四种核心的DNS解析方法：

1. Azure DNS私有区域：一种托管服务，用于管理虚拟网络中的私有DNS记录。
2. Azure提供的名称解析：Azure平台为每个虚拟网络自动提供的默认DNS解析服务。
3. 客户管理的DNS服务器：使用您自己部署的DNS服务器（例如Windows Server DNS或BIND）进行解析。
4. Azure DNS私有解析器：一项较新的服务，它允许您从本地环境查询Azure DNS私有区域，而无需部署基于虚拟机的DNS服务器。

不同场景下的方法选择

根据您的具体网络架构和需求，可以选择不同的DNS解析方案。

以下是针对不同场景的推荐方法：

• 场景一：同一虚拟网络内的解析

  • 需求：解析位于同一虚拟网络内的虚拟机，或同一云服务中的角色实例。
  • 可用方法：Azure DNS私有区域 或 Azure提供的名称解析。

• 场景二：不同虚拟网络间的解析

  • 需求：解析位于不同虚拟网络的虚拟机，或不同云服务中的角色实例。
  • 可用方法：Azure DNS私有区域、Azure DNS私有解析器 或 客户管理的DNS服务器（通过转发查询实现跨网络解析）。

• 场景三：从Azure应用服务解析

  • 需求：从启用了虚拟网络集成的Azure应用服务、函数应用解析同一虚拟网络中的虚拟机或角色实例。
  • 可用方法：Azure DNS私有解析器 或 客户管理的DNS服务器。

总结

本节课中我们一起学习了Azure虚拟网络中DNS解析的几种核心方法。我们了解到，Azure DNS私有区域、平台提供的默认解析、客户自建DNS服务器以及新的Azure DNS私有解析器，分别适用于同一网络内、跨网络以及从PaaS服务发起解析等不同场景。您可以根据实际架构选择最合适的方案。

有关这些场景和方法的更详细信息，建议参考官方文档链接。

012：私有DNS区域 🛡️

在本节课中，我们将学习Azure私有DNS区域。这是一种用于在虚拟网络内部管理和解析域名，而无需自定义DNS解决方案的服务。

概述

私有DNS区域允许你在Azure虚拟网络内使用自定义域名进行名称解析。与公共DNS不同，私有DNS区域的记录无法从互联网解析，其解析功能仅限于链接到该区域的虚拟网络。

什么是私有DNS区域？

私有DNS区域是一项服务，用于在虚拟网络内管理和解析域名，无需你添加自定义的DNS解决方案。

例如，在一个虚拟网络内，如果两台机器需要相互通信，它们可以通过私有IP地址进行。若想为此类通信启用DNS功能，你可以使用私有DNS区域。

通过使用私有DNS区域，你可以使用自己的自定义域名，而不仅限于Azure提供的默认名称。此外，私有DNS区域中包含的记录无法从互联网解析。针对私有DNS区域的DNS解析仅对链接到该区域的虚拟网络有效。

你还可以通过创建虚拟网络链接，将一个私有DNS区域链接到一个或多个虚拟网络。你还可以启用自动注册功能，以自动管理部署在虚拟网络中的虚拟机的DNS记录生命周期。你可以使用所有常见的DNS记录类型。

工作原理示例

让我们通过一个例子来理解其工作原理。

假设这是你的虚拟网络（VNet）。在VNet内部，假设有两台虚拟机：VM1和VM2。

• VM1的IP地址是：192.168.0.4
• VM2的IP地址是：192.168.0.5

如果VM1想与VM2通信，它们可以直接使用私有IP地址。但如果你想使用域名进行通信，就需要创建私有DNS区域。

你创建一个私有DNS区域，例如 abc.com。然后在该区域中创建A记录：

• 为VM1创建记录：vm1.abc.com -> 192.168.0.4
• 为VM2创建记录：vm2.abc.com -> 192.168.0.5

现在，当VM2需要与VM1通信时，它可以使用域名 vm1.abc.com，解析工作将由你的私有DNS区域处理。同样，VM1也可以通过 vm2.abc.com 访问VM2。

演示：创建和配置私有DNS区域

上一节我们介绍了私有DNS区域的概念，本节中我们来看看如何在Azure门户中实际操作。

我已经预先创建了一个名为 Vnet1 的虚拟网络，并在其中部署了两台虚拟机：VM1 和 VM2。在VM1上，我已经安装了Apache2服务器。

以下是创建和配置私有DNS区域的步骤：

1. 创建私有DNS区域

   • 在Azure门户中，搜索并选择“私有DNS区域”。
   • 点击“+ 创建”。
   • 选择资源组（例如 step1）。
   • 为区域命名，例如 hucp.internal.com。此名称专为内部网络使用。
   • 点击“查看 + 创建”，然后点击“创建”。部署需要一些时间。

2. 创建虚拟网络链接

   • 私有DNS区域创建完成后，进入该资源。
   • 在左侧菜单中，点击“虚拟网络链接”。
   • 点击“+ 添加”。
   • 为链接命名，例如 educba。
   • 选择你的虚拟网络 Vnet1。
   • 关键步骤：启用“启用自动注册”。此设置允许自动为连接到该虚拟网络的所有虚拟机在私有DNS区域中创建DNS记录。否则，你需要像在公共DNS中那样手动创建A记录。
   • 点击“确定”创建链接。

创建链接后，由于启用了自动注册，你可以在私有DNS区域的“概述”页面看到自动为VM1和VM2创建的A记录。

验证解析

现在我们来验证DNS解析是否正常工作。

1. 连接到第二台虚拟机 VM2。
2. 在VM2的命令行中，使用 curl 命令尝试访问VM1的域名。命令格式如下：

   curl vm1.hucp.internal.com
   

3. 如果配置正确，curl 命令将成功访问到VM1上运行的Apache2服务器，并返回默认页面内容。这证明通过私有DNS区域进行的域名解析是成功的。

总结

本节课中我们一起学习了Azure DNS服务，特别是私有DNS区域。

根据你使用Azure托管基础架构即服务、平台即服务或混合解决方案的方式，你可能需要允许部署在虚拟网络中的虚拟机和其他资源相互通信。虽然可以使用IP地址启用通信，但使用DNS提供的名称则更为简便。

我们讨论了公共DNS和私有DNS。通过演示，我们学习了如何使用公共DNS，以及如何配置私有DNS区域。我们还了解了如何在虚拟网络中进行设置，以利用私有DNS区域和公共DNS区域进行名称解析。

013：Azure网络安全最佳实践导论 🛡️

在本节课中，我们将学习Azure网络安全的最佳实践。我们将探讨如何通过实施网络控制来保护资产，了解安全设计原则，并介绍一些关键的防护技术。

概述

保护云环境中的资产至关重要。本模块将讨论如何通过控制进出Azure、以及在本地与Azure托管资源之间的网络流量来实施安全措施。如果没有适当的安全措施，攻击者可能通过扫描公共IP范围等方式获得访问权限。因此，正确的网络安全控制可以提供深度防御，帮助检测、遏制和阻止已侵入云部署的攻击者。

网络安全最佳实践

以下是构建安全Azure网络时应遵循的一些核心最佳实践。

使用强健的虚拟网络

首先，应使用强健的虚拟网络。您可以将虚拟机和其他设备放置在虚拟网络上，以连接它们。将虚拟网络接口卡连接到虚拟网络，以便仅允许启用网络的设备之间进行基于TCP/IP的通信。虚拟机可以连接到同一虚拟网络、不同虚拟网络、互联网或本地网络上的设备。

以下是核心网络功能的管理建议：

• 管理核心网络功能，例如ExpressRoute、虚拟网络子网配置和IP地址分配。
• 治理网络安全元素，例如虚拟设备功能。

逻辑划分子网

其次，应逻辑划分子网。Azure虚拟网络类似于本地网络中的局域网（LAN）。其核心思想是基于单个私有IP地址空间创建网络，以便将所有Azure虚拟机放置在一起。可用的私有IP地址范围包括A类（10.0.0.0/8）、B类（172.16.0.0/12）和C类（192.168.0.0/16）。

关于子网划分的最佳实践如下：

• 不要分配具有广泛范围的允许规则（例如，全零或全255）。
• 将较大的地址空间分段为子网。
• 在子网之间创建网络访问控制。子网之间的路由会自动发生。

采用零信任方法

第三点是采用零信任方法。传统的基于边界的安全模型假设网络内的所有系统都是可信的。然而，如今员工可能从任何地点、任何设备访问组织资源，这使得边界安全控制变得不那么有效。因此，仅关注“谁”可以访问资源的访问控制策略已不足够。为了在安全与生产力之间取得平衡，安全策略还需要考虑“如何”访问资源等因素。零信任的核心原则是：不信任任何人，只允许必要的访问。

控制路由行为

第四点是控制路由行为。当您将虚拟机放置在Azure虚拟网络上时，它可以连接到同一网络上的任何其他虚拟机，即使其他虚拟机位于不同的子网。这是因为默认启用的一组系统路由允许此类通信。因此，在必要时控制路由行为非常重要。

使用虚拟网络设备

第五点是使用虚拟网络设备。虽然网络安全组和用户定义的路由可以在网络层和传输层提供一定的安全措施，但在某些情况下，您可能需要在更高层级启用安全功能。为此，可以使用虚拟网络设备，这些设备通常由Azure合作伙伴提供。

上一节我们介绍了几项基础的网络架构安全实践，本节中我们来看看关于网络边界和连接安全的最佳实践。

部署外围网络安全区域

我们应该部署外围网络（也称为安全区域）。外围网络（或DMZ）是一个物理或逻辑网络段，它在您的资产与互联网之间提供了一个额外的安全层。外围网络非常有用，因为您可以将网络访问控制、管理、监控、日志记录和报告的重点放在虚拟网络边缘的设备上。

避免通过专用WAN链路暴露于互联网

许多组织选择了混合IT路线。在混合IT场景下，公司的部分信息资产位于Azure，其他则保留在本地。通常，这需要某种类型的跨本地连接。跨本地连接允许公司将本地网络连接到Azure虚拟网络。为了避免直接暴露于互联网，可以使用站点到站点VPN或Azure ExpressRoute等服务。

优化正常运行时间和性能

如果服务宕机，信息将无法访问；如果性能极差，数据将无法使用。从安全角度来看，您需要尽一切努力确保服务具有最佳的运行时间和性能。为了提高性能和进行优化，可以使用负载均衡等方法。Azure提供了不同的负载均衡方法。

禁用虚拟机的直接RDP和SSH访问

可以通过RDP和SSH协议访问Azure虚拟机。这些协议支持从远程位置管理虚拟机，是数据中心计算的标准做法。建议禁用从互联网直接访问虚拟机的RDP和SSH。相反，可以使用点到站点VPN或站点到站点VPN等方式进行访问。

将关键Azure服务保护在虚拟网络内

最好将关键资源保持在虚拟网络内部。为此，可以使用Azure Private Link通过虚拟网络内的私有端点访问Azure服务，例如Azure存储、SQL数据库等。

安全设计原则

现在，让我们探讨一些安全设计原则。

规划资源及其强化方式

首先，在规划工作负载资源时就要考虑安全性。您应该了解各个云服务的工作原理。使用服务启用框架进行评估，同时实现自动化并应用最小权限原则。在整个应用程序和控制平面实施最小权限，以防止数据泄露和恶意行为者攻击。最小权限意味着只授予必要的访问权限。此外，应通过DevOps驱动自动化，以最大限度地减少人为交互的需要。

分类和加密数据

根据风险对数据进行分类。对静态和传输中的数据应用行业标准加密，确保密钥和证书安全存储和妥善管理。

监控系统安全并规划事件响应

将安全和审计事件与应用程序运行状况模型相关联。关联安全和审计事件以识别主动威胁。同时，建立自动和手动程序来响应事件。应使用安全信息和事件管理（SIEM）工具。

识别和保护端点

监控和保护内部及外部端点的网络完整性。可以使用防火墙、Web应用程序防火墙（WAF）等服务。使用标准方法来防御分布式拒绝服务（DDoS）攻击或慢速攻击等。

防范代码级漏洞

识别并缓解代码级漏洞，例如跨站脚本（XSS）、SQL注入等。建立程序来识别和缓解已知威胁。使用渗透测试来验证威胁缓解措施。应进行静态代码分析，并使用代码扫描来检测和预防未来的漏洞。

总结

本节课中，我们一起学习了Azure网络安全的核心最佳实践。我们从使用强健虚拟网络和逻辑划分子网的基础架构开始，探讨了采用零信任模型的重要性。接着，我们了解了控制路由、使用虚拟网络设备、部署外围网络以及优化连接安全（如避免直接互联网暴露和使用专用连接）的方法。最后，我们回顾了关键的安全设计原则，包括规划与强化、数据加密、持续监控与事件响应、端点保护以及代码安全。遵循这些实践和原则，可以帮助您在Azure上构建一个更安全、更具韧性的网络环境。

014：什么是 Azure Bastion

概述

在本节课中，我们将要学习 Azure Bastion 服务。我们将了解它的定义、核心功能、不同服务层级（SKU）的对比，以及如何创建和使用它来安全地连接到虚拟机。

什么是 Azure Bastion？

Azure Bastion 是一项平台即服务（PaaS）。它允许你通过浏览器和 Azure 门户，或者本地计算机上已安装的原生 SSH 或 RDP 客户端，连接到你的虚拟机。

它通过 TLS 直接从 Azure 门户提供安全、无缝的 RDP 或 SSH 连接。当你使用 Azure Bastion 连接时，你的虚拟机不需要公共 IP 地址、代理或任何特殊的客户端软件。

Azure Bastion 为你提供到其所在虚拟网络内所有虚拟机的安全 RDP 和 SSH 连接。这样，你可以保护虚拟机，避免将 RDP 和 SSH 端口暴露给外部世界，同时仍能使用 RDP 和 SSH 进行安全访问。

为了更清晰地说明，我们来看一个示意图。

假设这是你的虚拟网络（Virtual Network）。其中有三台虚拟机（VM1, VM2, VM3）。你可以通过 Azure 门户或原生客户端进行连接。虚拟机上可能配置有网络安全组（NSG）。你在虚拟网络中部署了 Azure Bastion 服务。

连接通过端口 443 进行 TLS 加密通信。首先，流量会经过 Azure Bastion，然后你可以连接到目标虚拟机，而无需将虚拟机的公共 IP 或其他信息暴露在互联网上。

Azure Bastion 的 SKU

上一节我们介绍了 Azure Bastion 的基本概念，本节中我们来看看它的服务层级（SKU）。

Azure Bastion 提供两种 SKU：基本版 和 标准版。以下是两者的功能对比：

• 连接到对等虚拟网络中的目标虚拟机：两种 SKU 均支持。
• 复制-粘贴（音频输出）：两种 SKU 均支持。

以下是基本版不支持但标准版支持的功能：

• 可共享链接：基本版不支持。
• 使用原生客户端通过 IP 地址连接：基本版不支持。
• 会话缩放：基本版不支持。
• 指定自定义入站端口：基本版不支持。
• 文件上传/下载：基本版不支持。

如何创建和使用 Azure Bastion

前面我们了解了 Azure Bastion 的功能和 SKU 差异，现在我们来实际操作，学习如何创建和使用它。

首先，我已经创建了一个虚拟网络 Vnet1，其地址空间为 10.0.0.0/16。该虚拟网络包含两个子网：

• VmSubnet (10.0.0.0/24)：用于存放虚拟机。
• AzureBastionSubnet (10.0.1.0/26)：这是部署 Azure Bastion 必须使用的专用子网，名称必须为 AzureBastionSubnet，且前缀至少为 /26。

此外，我还创建了一台 Linux 虚拟机 LinuxVM，它目前拥有一个公共 IP 地址。我们的目标是通过 Azure Bastion 连接它。

创建 Azure Bastion 的步骤

1. 进入你的虚拟网络（例如 Vnet1）。
2. 在左侧菜单中选择“Bastion”。
3. 点击“手动配置”。
4. 在配置页面中：
   • 资源组：选择你的资源组。
   • 名称：为 Bastion 实例命名，例如 myBastion。
   • 区域：选择部署区域。
   • 层级：选择“标准”（以获得全部功能）。
   • 虚拟网络：选择你准备好的虚拟网络（例如 Vnet1）。系统会自动识别 AzureBastionSubnet。
   • 子网：确认或创建 AzureBastionSubnet（地址范围至少 /26，例如 10.0.1.0/26）。
   • 公共 IP 地址：创建一个新的或使用现有的标准公共 IP。
5. 点击“查看 + 创建”，然后确认部署。

部署过程大约需要 5 到 10 分钟。

使用 Azure Bastion 连接虚拟机

部署完成后，有两种方式连接：

• 方式一：在 Bastion 资源页面，点击“连接”，然后选择目标虚拟机。
• 方式二：直接进入目标虚拟机（如 LinuxVM）的概览页面，点击“连接”按钮，选择“Bastion”选项卡。

在连接配置中：

• 协议：根据虚拟机类型选择（例如 Linux 选 SSH）。
• 用户名：输入虚拟机用户名。
• 身份验证类型：可选择密码、SSH 私钥等。
• 密码/密钥：输入对应的凭据。
• 点击“连接”。

连接成功后，你将在浏览器中看到一个安全的终端或远程桌面会话。

移除虚拟机的公共 IP 地址（可选）

使用 Azure Bastion 后，虚拟机不再需要公共 IP。你可以将其移除以增强安全性：

1. 进入虚拟机的“网络”设置。
2. 点击关联的网络接口。
3. 进入“IP 配置”。
4. 选择主 IP 配置（如 ipconfig1）。
5. 在“公共 IP 地址”设置中，点击“解除关联”。
6. 保存更改。虚拟机的公共 IP 将被移除。

总结

本节课中我们一起学习了 Azure Bastion 服务。我们了解到它是一个安全的 PaaS 解决方案，允许通过浏览器或原生客户端连接到虚拟机，而无需暴露公共 IP 或管理端口。我们比较了基本版和标准版 SKU 的功能差异。最后，我们逐步演示了如何创建 Azure Bastion 子网、部署 Bastion 服务、通过它连接虚拟机，以及如何移除虚拟机不必要的公共 IP 地址以提升安全性。

015：自适应网络加固 🔒

在本节课中，我们将学习自适应网络加固。这是一种通过分析实际流量模式来优化网络安全组规则，从而提升网络安全性态的方法。

概述

上一节我们介绍了网络安全组的基本规则。本节中，我们来看看如何利用自适应网络加固功能，基于实际流量数据进一步收紧安全策略，实现更精细化的访问控制。

什么是自适应网络加固？

应用网络安全组来筛选进出资源的流量，可以改善我们的网络安全态势。然而，在某些情况下，流经NSG的实际流量可能只是已定义规则的一个子集。此时，基于实际流量模式来强化NSG规则，可以进一步提升安全态势。

自适应网络加固功能正是为此提供建议。它采用一种机器学习算法，综合考虑实际流量、已知可信配置、威胁情报以及其他入侵指标，然后给出建议，以允许仅来自特定IP或端口的流量。

工作原理示例

假设你有一条现有的NSG规则，允许来自IP范围 140.20.30.0/24 的流量访问端口 22。

# 示例原有规则：允许来自 140.20.30.0/24 的流量访问 22 端口
Allow traffic from 140.20.30.0/24 on port 22

基于流量分析，自适应网络加固可能会建议你将范围缩小。例如，它可能建议只允许来自 140.20.30.0/29 这个更小子网的流量访问端口22，并拒绝该端口的所有其他流量。

# 示例加固后规则：将允许范围缩小到 140.20.30.0/29
Allow traffic from 140.20.30.0/29 on port 22
Deny all other traffic to port 22

功能演练与要求

接下来，我们演练一下网络加固工具。这是Microsoft Defender for Cloud的一项功能，无需在本地机器安装任何组件。

要使用此功能，需要满足以下条件：

• 启用 Microsoft Defender for servers 计划。
• 拥有对虚拟机及其关联NSG的相应权限。

操作界面导览

在Microsoft Defender for Cloud中，你可以按以下路径访问此功能：

1. 打开 Defender for Cloud 菜单。
2. 选择 工作负载保护。
3. 点击 自适应网络加固 选项。

进入后，界面会展示资源的状态概览，例如：

• 不健康的资源
• 健康的资源
• 未扫描的资源
• 经典虚拟机
• 数据不足的虚拟机
• 未受Microsoft Defender for servers保护的虚拟机

规则与警报管理

该界面还提供以下选项卡进行管理：

以下是规则管理相关功能：

• 规则选项卡：提供具体的规则修改建议。
• 警报选项卡：显示因资源流量触发的安全警报。

在规则选项卡中，你可以执行以下操作：

• 修改规则
• 删除规则
• 添加规则

你可以选择想要应用到NSG上的规则，然后执行强制执行等操作。

总结

本节课中，我们一起学习了自适应网络加固。我们了解了它如何通过分析实际流量，利用机器学习提供建议，帮助我们将宽泛的NSG规则收紧为更精确的规则，从而显著提升Azure网络资源的安全性。我们还了解了启用该功能的要求，并浏览了其管理界面的主要部分。

016：什么是 Azure 私有链接 🔗

在本节课中，我们将学习 Azure 私有链接。这是一种服务，允许你通过虚拟网络中的专用终结点，安全地访问 Azure 平台即服务（PaaS）资源。

概述

Azure 私有链接使你能够通过虚拟网络内的专用终结点，访问如 Azure 存储、SQL 数据库等 PaaS 服务，甚至是客户或合作伙伴的服务。这消除了通过公共互联网访问这些服务的需要，从而提升了安全性。

Azure 私有链接的优势

上一节我们介绍了私有链接的基本概念，本节中我们来看看它的主要优势。设想一个场景：你有一个 Azure 虚拟网络，其中运行着虚拟机，同时还有一个 Azure SQL 数据库。通常，数据库会配置一个公共终结点以供连接。

以下是使用公共终结点连接的问题：

• 连接路径：即使虚拟机和数据库都在 Azure 云内，连接也通过公共互联网进行。
• 安全风险：数据库通过其公共 IP 地址暴露在互联网上，这带来了潜在的攻击风险。
• 暴露范围：风险不仅存在于你的虚拟网络，也可能影响通过 ExpressRoute 连接到 Azure 的本地网络，或连接到你的公司服务的客户虚拟网络。

Azure 私有链接通过移除连接的公共部分来消除这些安全风险。它通过将资源的公共终结点替换为专用网络接口，为你提供对服务的安全访问。

什么是专用终结点？

上一节我们了解了私有链接的优势，本节中我们来看看实现它的核心技术：专用终结点。

专用终结点是一种网络接口，它能在你的虚拟网络和 Azure 服务之间实现私密且安全的连接。它是 Azure 私有链接背后的关键技术。

专用终结点使用虚拟网络地址空间中的私有 IP 地址，将服务“引入”到虚拟网络中。这意味着服务资源看起来就像是虚拟网络的一部分。

专用终结点与服务终结点

理解了专用终结点，我们再来区分一下它和另一个类似概念——服务终结点。

以下是两者的核心区别：

• 专用终结点：授予对特定服务背后某个具体资源的网络访问权限，实现精细的流量分段。流量可以从本地网络到达服务资源，而无需使用公共终结点。专用终结点是虚拟网络地址空间中的一个私有 IP。
• 服务终结点：服务终结点保持公共可路由的 IP 地址。它通过扩展虚拟网络的身份到 Azure 服务，来保护服务资源，但访问仍通过 Azure 主干网，且是针对整个服务的。

什么是私有链接服务？

之前我们讨论了如何从你的虚拟网络私有访问 Azure 的 PaaS 服务。现在，假设你的公司在 Azure 中创建了自己的服务，并且只供你公司的客户使用。

私有链接服务就是为你自己的服务提供私有连接能力的组件。你的服务在标准负载均衡器后运行，可以启用私有链接访问。这样，你的服务的消费者就可以从他们自己的虚拟网络中进行私有访问。

你的客户可以在其虚拟网络中创建一个专用终结点，并将其映射到你的这个私有链接服务。一个私有链接服务可以接收来自多个专用终结点的连接，而一个专用终结点则连接到一个私有链接服务。

实践：使用私有链接连接存储账户

理论部分已经介绍完毕，现在让我们通过一个实际操作来巩固理解。我们将创建一个虚拟网络和一个存储账户，然后使用 Azure 私有终结点安全地连接它们。

以下是实现步骤：

1. 创建虚拟网络：在 Azure 门户中，创建一个虚拟网络（例如 VNet1）并配置子网。
2. 创建存储账户：创建一个新的存储账户（例如 myaccount567）。
3. 禁用公共访问：在存储账户的“网络”设置中，将访问方式从“所有网络”更改为“禁用”，以关闭公共终结点。
4. 创建专用终结点：
   • 在门户中搜索并创建“专用终结点”。
   • 在配置中，资源类型选择 Microsoft.Storage/storageAccounts，并选择你刚创建的存储账户。
   • 将其部署到之前创建的虚拟网络的特定子网中。
   • 创建完成后，专用终结点会获得该子网内的一个私有 IP 地址。
5. 创建虚拟机（用于测试）：在同一个虚拟网络中创建一台 Windows 虚拟机。在创建时，将其公共 IP 地址选项设置为“无”，因为它将通过私有网络进行测试。
6. 在存储账户中创建容器：在存储账户中创建一个 Blob 容器（例如 mycontainer）。

测试连接

所有资源部署完成后，现在我们来验证私有连接是否正常工作。

1. 连接到虚拟机：通过 Azure 门户的“连接”功能，使用 RDP 或 SSH 连接到刚创建的虚拟机。
2. 解析存储账户域名：在虚拟机的命令行中，使用 nslookup 命令解析你的存储账户名称（例如 nslookup myaccount567.blob.core.windows.net）。你应该会看到解析到的是专用终结点在虚拟网络子网中的私有 IP 地址（例如 10.0.0.4），而不是公共 IP。这证明 DNS 查询被正确重定向到了私有终结点。
3. 使用存储资源管理器访问：
   • 在虚拟机上下载并安装 Microsoft Azure 存储资源管理器。
   • 打开存储资源管理器，选择“添加账户” -> “存储账户” -> “账户名称和密钥”。
   • 输入你的存储账户名称，并从 Azure 门户的存储账户“访问密钥”设置中获取密钥。
   • 连接成功后，你应该能够浏览存储账户中的容器和文件，所有流量都通过 Azure 私有网络进行，而无需经过公共互联网。

总结

本节课中我们一起学习了 Azure 私有链接的核心概念与实践。我们首先了解了私有链接如何通过专用终结点提供对 PaaS 服务的安全访问。接着，我们深入探讨了专用终结点这项关键技术，并将其与服务终结点进行了对比。我们还介绍了私有链接服务，它允许你为自己在 Azure 中托管的服务提供私有连接。最后，通过一个完整的动手实验，我们演示了如何为存储账户配置私有终结点，并从虚拟机安全地访问它，验证了整个私有连接流程。

总而言之，Azure 私有链接是构建安全、隔离的云网络架构的关键服务，它能有效减少网络攻击面，满足合规性要求，是实现云上“零信任”网络模型的重要工具。