Есть определённые веские причины для размещения ваших Azure ресурсов в vnet.
В большинстве случаев вы будете иметь внутренние ресурсы, которые не должны быть публично доступны Inte rnet, но должны быть доступны для других ресурсов в вашем приложении.
Вы можете
A) Создайте правила брандмауэра для каждого ресурса, указав, какие публичные c IP-адреса могут получить к нему доступ.
или
B) Поместите ресурсы в vnet, который по умолчанию изолирует их от общедоступных c Inte rnet и использует группы сетевой безопасности для управления тем, какие ресурсы могут обращаться к другим ресурсам, и указывает те, которые должны быть доступны из общедоступных c Inte rnet.
Для очень простого приложения с небольшим количеством ресурсов не может быть большой разницы между этими двумя подходами, но по мере того, как растет ваше облачное присутствие, а вместе с ним количество приложений, служб и компонентов инфраструктуры, оно станет Управлять безопасностью становится все труднее.
Использование vnet с группами сетевой безопасности сделает это проще настраивать и поддерживать правила безопасности между вашими компонентами, так как ваша среда становится более сложной, поэтому рекомендуется встроить ее в архитектуру с самого начала.
Вот хороший пост в блоге на топи c