Freigeben über


Planen virtueller Netzwerke

Das Erstellen eines virtuellen Netzwerks für Experimente ist einfach. Aber die Wahrscheinlichkeit ist hoch, dass Sie im Lauf der Zeit mehrere virtuelle Netzwerke bereitstellen, um die Produktionsanforderungen Ihrer Organisation zu erfüllen. Mit etwas Planung können Sie beim Bereitstellen von virtuellen Netzwerken und beim Herstellen einer Verbindung mit den Ressourcen effektiver vorgehen. Die Informationen in diesem Artikel sind besonders hilfreich, wenn Sie bereits mit virtuellen Netzwerken vertraut sind und etwas Erfahrung mit deren Verwendung haben. Wenn Sie mit virtuellen Netzwerken nicht vertraut sind, empfehlen wir, die Übersicht über virtuelle Netzwerke zu lesen.

Benennung

Alle Azure-Ressourcen haben einen Namen. Der Name muss innerhalb des Geltungsbereichs eindeutig sein, der für jeden Ressourcentyp unterschiedlich sein kann. Beispielsweise muss der Name eines virtuellen Netzwerks innerhalb einer Ressourcengruppe eindeutig sein, Aber Sie können einen doppelten Namen innerhalb eines Abonnements oder einer Azure-Region verwenden. Das Definieren einer Namenskonvention, die Sie beim Benennen von Ressourcen konsistent verwenden können, ist hilfreich, wenn mit der Zeit mehrere Netzwerkressourcen verwaltet werden. Vorschläge finden Sie unter Namenskonventionen.

Regionen

Alle Azure-Ressourcen werden in einer Azure-Region und unter einem Abonnement erstellt. Eine Ressource kann nur in einem virtuellen Netzwerk in derselben Region und unter demselben Abonnement wie die Ressource erstellt werden. Sie können jedoch virtuelle Netzwerke aus unterschiedlichen Abonnements und Regionen verbinden. Weitere Informationen finden Sie unter "Konnektivität". Berücksichtigen Sie bei Ihrer Entscheidung, in welchen Regionen Ressourcen bereitgestellt werden sollen, wo sich die Benutzenden der Ressourcen physisch befinden:

  • Ist Ihre Netzwerklatenz niedrig? Nutzer von Ressourcen erwarten normalerweise die geringstmögliche Netzwerklatenz für ihre Ressourcen. Informationen zum Ermitteln relativer Latenzen zwischen einem angegebenen Standort und Azure-Regionen finden Sie unter Anzeigen relativer Latenzen.
  • Haben Sie Anforderungen in Bezug auf Datenresidenz, Datenhoheit, Datenkonformität oder Datenresilienz festgelegt? Wenn ja, ist die Auswahl der Region, die den Anforderungen entspricht, entscheidend. Weitere Informationen finden Sie unter Azure-Regionen.
  • Ist Resilienz in den Azure-Verfügbarkeitszonen innerhalb derselben Azure-Region für die bereitgestellten Ressourcen erforderlich? Sie können Ressourcen, z. B. VMs, in unterschiedlichen Verfügbarkeitszonen innerhalb desselben virtuellen Netzwerks bereitstellen. Verfügbarkeitszonen werden nicht in allen Azure-Regionen unterstützt. Weitere Informationen zu Verfügbarkeitszonen und den Regionen, die sie unterstützen, finden Sie unter Verfügbarkeitszonen.

Abonnements

Sie können bis zum Limit beliebig viele virtuelle Netzwerke innerhalb jedes Abonnements bereitstellen. Einige Organisationen verfügen beispielsweise für unterschiedliche Abteilungen über unterschiedliche Abonnements. Weitere Informationen und Überlegungen zu Abonnements finden Sie unter Subscription Governance.

Segmentierung

Sie können mehrere virtuelle Netzwerke pro Abonnement und pro Region erstellen. Sie können in jedem virtuellen Netzwerk mehrere Subnetze erstellen. Unter Berücksichtigung der folgenden Überlegungen können Sie festlegen, wie viele virtuelle Netzwerke und Subnetze Sie benötigen.

Virtuelle Netzwerke

Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks. Jedes virtuelle Netzwerk ist Ihrem Abonnement zugeordnet. Bei der Sie Entscheidung, ob Sie ein virtuelles Netzwerk oder mehrere virtuelle Netzwerke in einem Abonnement erstellen möchten, sollten Sie die folgenden Punkte berücksichtigen:

  • Liegen Sicherheitsanforderungen der Organisation zur Isolierung von Datenverkehr in separaten virtuellen Netzwerken vor? Sie können auswählen, ob virtuelle Netzwerke verbunden oder nicht verbunden werden. Wenn Sie virtuelle Netzwerke verbinden, können Sie ein virtuelles Netzwerkgerät (z.B. eine Firewall) implementieren, um den ein- und ausgehenden Datenverkehr zwischen den virtuellen Netzwerken zu steuern. Weitere Informationen finden Sie unter "Sicherheit und Konnektivität".
  • Gibt es organisationsinterne Anforderungen zum Isolieren virtueller Netzwerke in separate Abonnements oder Regionen?
  • Verfügen Sie über Netzwerkschnittstellenanforderungen ? Eine Netzwerkschnittstelle ermöglicht die Kommunikation zwischen einem virtuellen Computer und anderen Ressourcen. Jeder Netzwerkschnittstelle sind private IP-Adressen zugewiesen. Wie viele Netzwerkschnittstellen und private IP-Adressen benötigen Sie in einem virtuellen Netzwerk? Es gibt Grenzwerte für die Anzahl der Netzwerkschnittstellen und privaten IP-Adressen, die Sie innerhalb eines virtuellen Netzwerks haben können.
  • Möchten Sie das virtuelle Netzwerk mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden? Sie können einige virtuelle Netzwerke untereinander oder mit lokalen Netzwerken verbinden, jedoch nicht alle. Weitere Informationen finden Sie unter "Konnektivität". Jedes virtuelle Netzwerk, das Sie mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden, muss über einen eindeutigen Adressraum verfügen. Jedes virtuelle Netzwerk verfügt über einen oder mehrere dem Adressraum zugewiesene öffentliche oder private Adressbereiche. Ein Adressbereich wird im CIDR-Format (Classless Interdomain Routing, klassenloses domänenübergreifendes Routing) angegeben, z.B. 10.0.0.0/16. Erfahren Sie mehr über Adressbereiche für virtuelle Netzwerke.
  • Liegen Verwaltungsanforderungen der Organisation in Bezug auf Ressourcen in unterschiedlichen virtuellen Netzwerken vor? Wenn ja, können Sie Ressourcen in separate virtuelle Netzwerke aufteilen, um die Berechtigungszuweisung an Einzelpersonen in Ihrer Organisation zu vereinfachen oder unterschiedliche Richtlinien verschiedenen virtuellen Netzwerken zuzuweisen.
  • Verfügen Sie über Anforderungen für Ressourcen, die ein eigenes virtuelles Netzwerk erstellen können? Wenn Sie Azure-Dienstressourcen in einem virtuellen Netzwerk bereitstellen, wird jeweils ein zugehöriges virtuelles Netzwerk erstellt. Um festzustellen, ob ein Azure-Dienst ein eigenes virtuelles Netzwerk erstellt, finden Sie Informationen zu jedem Azure-Dienst, den Sie in einem virtuellen Netzwerk bereitstellen können.

Subnetze

Sie können ein virtuelles Netzwerk bis zu den Grenzwerten in ein oder mehrere Subnetze segmentieren. Bei der Sie Entscheidung, ob Sie ein Subnetz oder mehrere virtuelle Netzwerke in einem Abonnement erstellen möchten, sollten Sie die folgenden Punkte berücksichtigen:

  • Jedes Subnetz muss über einen eindeutigen im CIDR-Format angegebenen Adressbereich innerhalb des Adressraums des virtuellen Netzwerks verfügen. Der Adressbereich darf sich nicht mit anderen Subnetzen im virtuellen Netzwerk überlappen.
  • Wenn Sie beabsichtigen, einige Azure-Dienstressourcen in einem virtuellen Netzwerk bereitzustellen, benötigen sie möglicherweise ein eigenes Subnetz oder erstellen sie. Dafür muss ausreichend nicht verfügbarer Speicher zur Verfügung stehen. Informationen dazu, ob ein Azure-Dienst sein eigenes Subnetz erstellt, finden Sie bei den entsprechenden Informationen zu jedem Azure-Dienst, den Sie in einem virtuellen Netzwerk bereitstellen können. Wenn Sie z. B. ein virtuelles Netzwerk über eine Azure VPN Gateway-Instanz mit einem lokalen Netzwerk verbinden, muss das virtuelle Netzwerk über ein dediziertes Subnetz für das Gateway verfügen. Weitere Informationen zu Gatewaysubnetzen.
  • Setzen Sie das Standardrouting für den Netzwerkdatenverkehr zwischen allen Subnetzen in einem virtuellen Netzwerk außer Kraft. Sie verhindern damit das Azure-Routing zwischen Subnetzen oder die Weiterleitung von Datenverkehr zwischen Subnetzen z. B. über ein virtuelles Netzwerkgerät. Wenn Sie festlegen möchten, dass Datenverkehr zwischen Ressourcen im selben virtuellen Netzwerk über ein virtuelles Netzwerkgerät übermittelt wird, stellen Sie die Ressourcen in unterschiedlichen Subnetzen bereit. Weitere Informationen finden Sie unter "Sicherheit".
  • Sie können den Zugriff auf Azure-Ressourcen, z. B. auf ein Azure Storage-Konto oder eine Azure SQL-Datenbank-Instanz, auf bestimmte Subnetze mit einem VNET-Dienstendpunkt einschränken. Außerdem können Sie den Zugriff auf die Ressourcen über das Internet verweigern. Sie können mehrere Subnetze erstellen und für bestimmte Subnetze einen Dienstendpunkt aktivieren, für andere hingegen nicht. Erfahren Sie mehr über Dienstendpunkte und die Azure-Ressourcen, für die Sie sie aktivieren können.
  • Sie können jedem Subnetz in einem virtuellen Netzwerk eine Netzwerksicherheitsgruppe zuordnen, dies ist jedoch nicht erforderlich. Sie können jedem Subnetz dieselbe oder eine unterschiedliche Netzwerksicherheitsgruppe zuordnen. Jede Netzwerksicherheitsgruppe enthält Regeln, mit denen Datenverkehr zu und von Quellen und Zielen zugelassen oder verweigert wird. Erfahren Sie mehr über Netzwerksicherheitsgruppen.

Sicherheit

Sie können den Netzwerkdatenverkehr zu und von Ressourcen in einem virtuellen Netzwerk mithilfe von Netzwerksicherheitsgruppen und virtuellen Netzwerkgeräten filtern. Sie können steuern, wie in Azure Datenverkehr aus Subnetzen weitergeleitet wird. Zudem können Sie einschränken, welche Benutzer in Ihrer Organisation Ressourcen in virtuellen Netzwerken verwenden können.

Filtern von Datenverkehr

  • Sie können den Netzwerkdatenverkehr zwischen Ressourcen in einem virtuellen Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern und/oder mithilfe eines virtuellen Netzwerkgeräts, das dazu in der Lage ist. Informationen zum Bereitstellen eines NVA, z. B. einer Firewall, zum Filtern des Netzwerkdatenverkehrs finden Sie unter Azure Marketplace. Bei Verwendung eines virtuellen Netzwerkgeräts erstellen Sie auch benutzerdefinierte Routen zur Weiterleitung des Datenverkehrs aus Subnetzen an das virtuelle Netzwerkgerät. Weitere Informationen zum Datenverkehrsrouting.
  • Eine Netzwerksicherheitsgruppe enthält mehrere Standardsicherheitsregeln, mit denen Datenverkehr zu und von Ressourcen zugelassen oder verweigert wird. Sie können Netzwerksicherheitsgruppe einer Netzwerkschnittstelle oder dem Subnetz zuordnen, in dem sich die Netzwerkschnittstelle befindet. Zur vereinfachten Verwaltung von Sicherheitsregeln empfiehlt es sich, eine Netzwerksicherheitsgruppe nach Möglichkeit einzelnen Subnetzen und nicht einzelnen Netzwerkschnittstellen in einem Subnetz zuzuordnen.
  • Wenn auf unterschiedliche virtuelle Computer innerhalb eines Subnetzes unterschiedliche Sicherheitsregeln angewandt werden sollen, können Sie die Netzwerkschnittstelle im virtuellen Computer Anwendungssicherheitsgruppen zuordnen. In einer Sicherheitsregel kann eine Anwendungssicherheitsgruppe als Quelle und Ziel angegeben werden. Diese Regel gilt dann nur für die Netzwerkschnittstellen, die Mitglieder der Anwendungssicherheitsgruppe sind. Erfahren Sie mehr über Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.
  • Wenn eine Netzwerksicherheitsgruppe auf Subnetzebene zugeordnet ist, gilt sie für alle Netzwerkschnittstellencontroller im Subnetz, nicht nur für den Datenverkehr, der von außerhalb des Subnetzes kommt. Der Datenverkehr zwischen den VMs im Subnetz kann ebenfalls betroffen sein.
  • In Azure werden in jeder Netzwerksicherheitsgruppe mehrere Standardsicherheitsregeln erstellt. Eine Standardregel lässt die Weiterleitung des gesamten Datenverkehrs zwischen allen Ressourcen in einem virtuellen Netzwerk zu. Dieses Verhalten können Sie mithilfe von Netzwerksicherheitsgruppen oder benutzerdefiniertem Routing zum Weiterleiten von Datenverkehr an ein virtuelles Netzwerkgerät außer Kraft setzen. Es wird empfohlen, sich mit allen Azure-Standardsicherheitsregeln vertraut zu machen und zu verstehen, wie Regeln für Netzwerksicherheitsgruppen auf eine Ressource angewendet werden.

Sie können Beispieldesigns für die Implementierung eines Umkreisnetzwerks (auch als DMZ bezeichnet) zwischen Azure und dem Internet anzeigen, indem Sie eine NVA verwenden.

Routing von Datenverkehr

In Azure werden mehrere Standardrouten für ausgehenden Datenverkehr aus einem Subnetz erstellt. Sie können das Azure-Standardrouting außer Kraft setzen, indem Sie eine Routingtabelle erstellen und einem Subnetz zuordnen. Häufige Gründe für das Außerkraftsetzen des Azure-Standardroutings:

  • Sie möchten, dass Datenverkehr zwischen Subnetzen über ein NVA fließt. Erfahren Sie mehr darüber, wie Sie Routentabellen konfigurieren, um den Datenverkehr über eine NVA zu leiten.
  • Der gesamte Internetdatenverkehr soll über ein virtuelles Netzwerkgerät oder lokal über eine Azure VPN Gateway-Instanz erfolgen. Die Erzwingung der lokalen Weiterleitung von Internetdatenverkehr zur Überprüfung und Protokollierung wird häufig als Tunnelerzwingung bezeichnet. Erfahren Sie mehr darüber, wie Sie erzwungene Tunneling konfigurieren.

Wenn Sie benutzerdefiniertes Routing implementieren müssen, empfiehlt es sich, sich mit dem Routing in Azure vertraut zu machen.

Konnektivität

Sie können ein virtuelles Netzwerk mittels VNet-Peering mit anderen virtuellen Netzwerken oder über eine Azure VPN Gateway-Instanz mit dem lokalen Netzwerk verbinden.

Peering

Wenn Sie virtuelle Netzwerk-Peering verwenden, können Sie virtuelle Netzwerke in denselben oder anderen unterstützten Azure-Regionen verwenden. Die virtuellen Netzwerke können sich im selben oder in unterschiedlichen Azure-Abonnements befinden (auch in Abonnements, die zu verschiedenen Microsoft Entra-Mandanten gehören).

Bevor Sie ein Peering erstellen, sollten Sie sich mit allen Peeringanforderungen und Einschränkungen vertraut machen. Die Bandbreite zwischen Ressourcen in virtuellen Netzwerken, die mittels Peering in derselben Region miteinander verknüpft sind, ist dieselbe wie zwischen Ressourcen, die sich im selben virtuellen Netzwerk befinden.

VPN-Gateway

Sie können ein Azure VPN-Gateway verwenden, um ein virtuelles Netzwerk mit Ihrem lokalen Netzwerk zu verbinden, indem Sie ein Standort-zu-Standort-VPN oder eine dedizierte Verbindung mit Azure ExpressRoute verwenden.

Sie können Peering und ein VPN-Gateway kombinieren, um Hub-and-Spoke-Netzwerke zu erstellen, in denen virtuelle Speichennetzwerke mit einem virtuellen Hubnetzwerk verbunden sind und der Hub beispielsweise eine Verbindung mit einem lokalen Netzwerk herstellt.

Namensauflösung

Ressourcen in einem virtuellen Netzwerk können die Namen von Ressourcen in einem virtuellen Peernetzwerk nicht mithilfe des integrierten Azure Domain Name System (DNS) auflösen. Um Namen in einem virtuellen Peer-Netzwerk aufzulösen, stellen Sie Ihren eigenen DNS-Server bereit, oder verwenden Sie private Azure DNS-Domänen. Für die Auflösung von Namen zwischen Ressourcen in einem virtuellen Netzwerk und lokalen Netzwerken müssen Sie außerdem einen eigenen DNS-Server bereitstellen.

Berechtigungen

Azure verwendet die rollenbasierte Zugriffssteuerung von Azure. Berechtigungen werden einem Bereich in der Hierarchie der Verwaltungsgruppe, des Abonnements, der Ressourcengruppe und der einzelnen Ressource zugewiesen. Weitere Informationen zur Hierarchie finden Sie unter "Organisieren Ihrer Ressourcen".

Um mit virtuellen Azure-Netzwerken und allen zugehörigen Funktionen wie Peering, Netzwerksicherheitsgruppen, Dienstendpunkten und Routentabellen zu arbeiten, weisen Sie Mitglieder Ihrer Organisation den integrierten Rollen "Besitzer", "Mitwirkender" oder "Netzwerkmitwirkender" zu. Weisen Sie anschließend die Rolle dem entsprechenden Geltungsbereich zu. Wenn Sie bestimmten Berechtigungen für eine Teilmenge von virtuellen Netzwerkfunktionen zuweisen möchten, erstellen Sie eine benutzerdefinierte Rolle , und weisen Sie die spezifischen Berechtigungen zu, die für Folgendes erforderlich sind:

Politik

Mit Azure Policy können Sie Richtliniendefinitionen erstellen, zuweisen und verwalten. Richtliniendefinitionen erzwingen unterschiedliche Regeln für Ihre Ressourcen, damit diese stets mit den Standards Ihrer Organisation und Vereinbarungen zum Servicelevel konform bleiben. Azure Policy führt eine Bewertung Ihrer Ressourcen aus. Dabei wird nach Ressourcen gesucht, die nicht Ihren geltenden Richtliniendefinitionen entsprechen.

Sie können beispielsweise eine Richtlinie definieren und anwenden, welche die Erstellung von virtuellen Netzwerken nur in einer bestimmten Ressourcengruppe oder Region zulässt. In einer anderen Richtlinie können Sie festlegen, dass jedem Subnetz eine Netzwerksicherheitsgruppe zugeordnet werden muss. Die Richtlinien werden dann ausgewertet, wenn Sie Ressourcen erstellen und aktualisieren.

Richtlinien werden in der folgenden Hierarchie angewendet: Verwaltungsgruppe, Abonnement und Ressourcengruppe. Erfahren Sie mehr über Azure-Richtlinie oder stellen Sie einige Azure-Richtliniendefinitionen für virtuelle Netzwerke bereit.

Erfahren Sie mehr über alle Aufgaben, Einstellungen und Optionen für virtuelle Netzwerkressourcen und -features in den folgenden Artikeln: