Erstellen eines virtuellen Netzwerks mit Verschlüsselung

Die Azure Virtual Network-Verschlüsselung ist ein Feature von Azure Virtual Network. Mit der Virtual Network-Verschlüsselung können Sie den internen Netzwerkdatenverkehr über die Verbindung nahtlos ver- und entschlüsseln, mit minimalen Auswirkungen auf Leistung und Skalierung. Die Virtual Network-Verschlüsselung schützt Daten, die in Ihrem virtuelles Netzwerk zwischen VMs.

Voraussetzungen

Portal

Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto.

PowerShell

• Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Installieren Sie Azure PowerShell lokal, oder verwenden Sie Azure Cloud Shell.

• Melden Sie sich bei Azure PowerShell an, und wählen Sie das Abonnement aus, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

• Stellen Sie sicher, dass Ihr Az.Network-Modul mindestens Version 4.3.0 aufweist. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name Az.Network. Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name Az.Network.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Artikel ist mindestens Version 2.31.0 der Azure-Befehlszeilenschnittstelle erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen eines virtuellen Netzwerks

Portal

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
   Instanzendetails
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Osten 2 aus.

   

4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

7. Geben Sie im Bereich Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Subnetzdetails
   Subnetzvorlage	Behalten Sie die Standardeinstellung als Standard bei.
   Name	Geben Sie subnet-1 ein.
   Startadresse	Übernehmen Sie den Standardwert 10.0.0.0.
   Subnetzgröße	Übernehmen Sie den Standardwert /24 (256 Adressen).

   

8. Wählen Sie Speichern.

9. Wählen Sie unten auf dem Bildschirm die Option Überprüfen + erstellen aus. Wenn die Überprüfung erfolgreich war, wählen Sie Erstellen aus.

PowerShell

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe namens test-rg am Standort eastus2.

$rg =@{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

Verwenden Sie New-AzVirtualNetwork und New-AzVirtualNetworkSubnetConfig, um ein virtuelles Netzwerk zu erstellen.

## Create backend subnet config ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig
    EnableEncryption = 'true'
    EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie mit az group create eine Ressourcengruppe namens test-rg am Standort eastus2.

  az group create \
    --name test-rg \
    --location eastus2

Verwenden Sie az network vnet create, um ein virtuelles Netzwerk zu erstellen.

  az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24 

Wichtig

Für die Verschlüsselung von Virtual Network sind unterstützte VM-Versionen im virtuellen Netzwerk erforderlich, damit der Datenverkehr verschlüsselt wird. Durch die Einstellung dropUnencrypted wird der Datenverkehr zwischen nicht unterstützten VM-SKUs verworfen, wenn sie im virtuellen Netzwerk bereitgestellt werden. Weitere Informationen finden Sie unter Anforderungen der Azure Virtual Network-Verschlüsselung.

Aktivieren der Verschlüsselung in einem virtuellen Netzwerk

Portal

Führen Sie die folgenden Schritte aus, um die Verschlüsselung für ein virtuelles Netzwerk zu aktivieren.

1. Geben Sie im Suchfeld oben im Portal den Begriff virtuelle Netzwerke ein. Wenn Virtuelle Netzwerke in den Suchergebnissen angezeigt wird, können Sie den Begriff auswählen.

2. Wählen Sie vnet-1 aus, um den Bereich vnet-1 zu öffnen.

3. Wählen Sie im Menü „Dienst“ die Option Übersicht und dann die Registerkarte Eigenschaften aus.

4. Wählen Sie unter Verschlüsselung die Option Deaktiviert aus.

   

5. Aktivieren Sie das Kontrollkästchen neben Verschlüsselung virtueller Netzwerke.

6. Wählen Sie Speichern.

PowerShell

Sie können die Verschlüsselung auch in einem vorhandenen virtuellen Netzwerk aktivieren, indem Sie Set-AzVirtualNetwork verwenden. Dieser Schritt ist nicht erforderlich, wenn Sie das virtuelle Netzwerk mit aktivierter Verschlüsselung in den vorherigen Schritten erstellt haben.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Enable encryption on the virtual network ##
$vnet.Encryption = @{
    Enabled = 'true'
    Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Sie können die Verschlüsselung auch in einem vorhandenen virtuellen Netzwerk aktivieren, indem Sie az network vnet update verwenden. Dieser Schritt ist nicht erforderlich, wenn Sie das virtuelle Netzwerk mit aktivierter Verschlüsselung in den vorherigen Schritten erstellt haben.

  az network vnet update \
    --resource-group test-rg \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted

Überprüfen der Aktivierung der Verschlüsselung

Portal

1. Geben Sie im Suchfeld oben im Portal den Begriff virtuelle Netzwerke ein. Wenn Virtuelle Netzwerke in den Suchergebnissen angezeigt wird, können Sie den Begriff auswählen.

2. Wählen Sie vnet-1 aus, um den Bereich vnet-1 zu öffnen.

3. Wählen Sie im Menü „Dienst“ die Option Übersicht und dann die Registerkarte Eigenschaften aus.

4. Vergewissern Sie sich, dass Verschlüsselung auf Aktiviert festgelegt ist.

   

PowerShell

Verwenden Sie Get-AzVirtualNetwork, um den Verschlüsselungsparameter für das zuvor erstellte virtuelle Netzwerk anzuzeigen.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

Um den Parameter für die Verschlüsselung anzuzeigen, geben Sie die folgenden Informationen ein:

$vnet.Encryption

Enabled Enforcement
------- -----------
True   allowUnencrypted

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie az network vnet show, um den Verschlüsselungsparameter für das zuvor erstellte virtuelle Netzwerk anzuzeigen.

  az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv

user@Azure:~$ az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv
True   AllowUnencrypted

Bereinigen von Ressourcen

Portal

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

PowerShell

Wenn Sie diese Ressourcengruppe nicht mehr benötigen, verwenden Sie Remove-AzResourceGroup, um die Ressourcengruppe und alle darin enthaltenen Ressourcen zu entfernen.

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn Sie das virtuelle Netzwerk nicht mehr benötigen, verwenden Sie az group delete, um die Ressourcengruppe und alle zugehörigen Ressourcen zu entfernen.

az group delete \
    --name test-rg \
    --yes

Zugehöriger Inhalt

• Weitere Informationen zu Virtual Network finden Sie unter Was ist Azure Virtual Network?.
• Weitere Informationen zur Virtual Network-Verschlüsselung finden Sie unter Was ist die Azure Virtual Network-Verschlüsselung?.