Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Grundeinstellungen
Was ist ein virtuelles Netzwerk?
Ein virtuelles Netzwerk ist eine Darstellung Ihres eigenen Netzwerks in der Cloud, wie es vom Azure Virtual Network-Dienst bereitgestellt wird. Ein virtuelles Netzwerk ist eine logische Isolierung der dedizierten Azure-Cloud für Ihr Abonnement.
Sie können virtuelle Netzwerke verwenden, um virtuelle private Netzwerke (Virtual Private Networks, VPNs) in Azure bereitzustellen und zu verwalten. Optional können Sie virtuelle Netzwerke mit anderen virtuellen Netzwerken in Azure oder mit Ihrer lokalen IT-Infrastruktur verknüpfen, um hybride oder standortübergreifende Lösungen zu erstellen.
Jedes virtuelle Netzwerk, das Sie erstellen, verfügt über einen eigenen CIDR-Block. Sie können ein virtuelles Netzwerk mit anderen virtuellen Netzwerken und lokalen Netzwerken verknüpfen, solange sich die CIDR-Blöcke nicht überlappen. Sie können auch die DNS-Servereinstellungen für virtuelle Netzwerke einschließlich der Segmentierung des virtuellen Netzwerks in Subnetze steuern.
Verwenden Sie virtuelle Netzwerke, um:
Ein dediziertes, privates virtuelles Netzwerk zu erstellen, das auf die Cloud beschränkt ist. Manchmal benötigen Sie keine standortübergreifende Konfiguration für Ihre Lösung. Wenn Sie ein virtuelles Netzwerk erstellen, können die Dienste und VMs in Ihrem virtuellen Netzwerk direkt und sicher in der Cloud miteinander kommunizieren. Sie können trotzdem in Ihrer Lösung Endpunktverbindungen für die virtuellen Computer und Dienste konfigurieren, die eine Internetkommunikation erfordern.
Ihr Rechenzentrum sicher zu erweitern. Mit virtuellen Netzwerken können Sie herkömmliche Standort-zu-Standort-VPNs (S2S) erstellen, um die Kapazität des Rechenzentrums sicher zu skalieren. S2S-VPNs verwenden IPsec, um eine sichere Verbindung zwischen dem unternehmenseigenen VPN-Gateway und Azure bereitzustellen.
Unterstützung von Hybrid Cloud-Szenarien. Sie können cloudbasierte Anwendungen auf sichere Weise mit beliebigen lokalen Systemen verbinden, einschließlich Mainframes oder Unix-Systemen.
Wie fange ich an?
Besuchen Sie die Dokumentation zu Azure Virtual Network , um zu beginnen. Hierbei handelt es sich um Übersichts- und Bereitstellungsinformationen für alle Features von virtuellen Netzwerken.
Kann ich virtuelle Netzwerke ohne standortübergreifende Konnektivität verwenden?
Ja. Sie können ein virtuelles Netzwerk verwenden, ohne es mit Ihrer lokalen Umgebung verbinden zu müssen. Sie können beispielsweise Microsoft Windows Server Active Directory-Domänencontroller und SharePoint-Farmen nur in einem virtuellen Netzwerk von Azure ausführen.
Kann ich eine WAN-Optimierung zwischen virtuellen Netzwerken oder zwischen einem virtuellen Netzwerk und meinem lokalen Rechenzentrum durchführen?
Ja. Sie können eine virtuelle Netzwerk-Appliance für die WAN-Optimierung von mehreren Anbietern über Azure Marketplace bereitstellen.
Konfiguration
Welche Tools werden zum Erstellen eines virtuellen Netzwerks verwendet?
Sie können die folgenden Tools zum Erstellen oder Konfigurieren eines virtuellen Netzwerks verwenden:
- Azure-Portal
- PowerShell
- Azure-Befehlszeilenschnittstelle (Azure CLI)
- Netzwerkkonfigurationsdatei (
netcfg
nur für klassische virtuelle Netzwerke)
Welche Adressbereiche kann ich in meinen virtuellen Netzwerken verwenden?
Es wird empfohlen, die folgenden Adressbereiche zu verwenden, die in RFC 1918 aufgelistet werden. Die IETF hat diese Bereiche für private, nicht routingfähige Adressräume reserviert.
- 10.0.0.0 bis 10.255.255.255 (10/8 Präfix)
- 172.16.0.0 bis 172.31.255.255 (172.16/12 Präfix)
- 192.168.0.0 bis 192.168.255.255 (192.168/16 Präfix)
Sie können auch den in RFC 6598 reservierten freigegebenen Adressraum bereitstellen, der als privater IP-Adressraum in Azure behandelt wird:
- 100.64.0.0 bis 100.127.255.255 (100.64/10 Präfix)
Andere Adressräume, einschließlich aller anderen von der IETF anerkannten privaten, nicht-routingfähigen Adressräume, können funktionieren, haben aber möglicherweise unerwünschte Nebeneffekte.
Die folgenden Adressbereiche können nicht hinzugefügt werden:
- 224.0.0.0/4 (Multicast)
- 255.255.255.255/32 (Übertragung)
- 127.0.0.0/8 (Loopback)
- 169.254.0.0/16 (verbindungslokal)
- 168.63.129.16/32 (Internes DNS)
Kann ich öffentliche IP-Adressen in meinen virtuellen Netzwerken verwenden?
Ja. Weitere Informationen zu öffentlichen IP-Adressbereichen finden Sie unter Erstellen eines virtuellen Netzwerks. Auf öffentliche IP-Adressen kann nicht direkt über das Internet zugegriffen werden.
Ist die Anzahl der Subnetze im virtuellen Netzwerk begrenzt?
Ja. Details finden Sie unter Netzwerkgrenzwerte . Die Adressräume von Subnetzen können sich nicht überlappen.
Unterliegen die in den Subnetzen verwendeten IP-Adressen bestimmten Beschränkungen?
Ja. Azure reserviert die ersten vier IP-Adressen und die letzte IP-Adresse, d. h. insgesamt fünf IP-Adressen in jedem Subnetz.
Der IP-Adressbereich 192.168.1.0/24 weist beispielsweise die folgenden reservierten Adressen auf:
- 192.168.1.0: Netzwerkadresse.
- 192.168.1.1: Von Azure für das Standardgateway reserviert.
- 192.168.1.2, 192.168.1.3: Von Azure reserviert, um die Azure DNS-IP-Adressen dem virtuellen Netzwerkbereich zuzuordnen.
- 192.168.1.255: Netzwerkübertragungsadresse.
Wie ist die minimale und maximale Größe virtueller Netzwerke und Subnetze?
Das kleinste unterstützte IPv4-Subnetz ist /29, das größte Subnetz ist /2 (gemäß CIDR-Subnetzdefinitionen). IPv6-Subnetze müssen exakt /64 groß sein.
Kann ich VLANs mithilfe von virtuellen Netzwerken in Azure integrieren?
Nein. Virtuelle Netzwerke sind Layer-3-Overlays. Layer-2-Semantik wird in Azure nicht unterstützt.
Können benutzerdefinierte Routingrichtlinien für virtuelle Netzwerke und Subnetze festgelegt werden?
Ja. Sie können eine Routingtabelle erstellen und einem Subnetz zuordnen. Weitere Informationen zum Routing in Azure finden Sie unter "Benutzerdefinierte Routen".
Wie sieht das Verhalten aus, wenn ich sowohl eine Netzwerksicherheitsgruppe (NSG) als auch benutzerdefinierte Routen (UDR) im Subnetz anwende?
Für eingehenden Datenverkehr werden eingehende Regeln für Netzwerksicherheitsgruppen (NSG) verarbeitet. Für ausgehenden Datenverkehr werden NSG-Ausgangsregeln gefolgt von UDR-Regeln (User-Defined Route) verarbeitet.
Wie sieht das Verhalten aus, wenn ich eine Netzwerksicherheitsgruppe (NSG) für einen Netzwerkadapter (NIC) und ein Subnetz für eine VM anwende?
Wenn Sie NSGs sowohl auf einem Netzwerkadapter (NIC) als auch in einem Subnetz für eine VM anwenden:
- Eine NSG auf Subnetzebene, gefolgt von einer NSG auf NIC-Ebene, wird für eingehenden Datenverkehr verarbeitet.
- Eine NSG auf NIC-Ebene, gefolgt von einer NSG auf Subnetzebene, wird für ausgehenden Datenverkehr verarbeitet.
Unterstützen virtuelle Netzwerke Multicasting oder Broadcasting?
Nein. Multicast und Broadcast werden nicht unterstützt.
Welche Protokolle kann ich in virtuellen Netzwerken verwenden?
Sie können die Protokolle TCP, UDP, ESP, AH und ICMP TCP/IP in virtuellen Netzwerken verwenden.
Unicast wird in virtuellen Netzwerken unterstützt. Verkapselte Multicast-, Broadcast- und IP-in-IP-Pakete sowie GRE-Pakete (Generic Routing Encapsulation) werden in virtuellen Netzwerken blockiert. Nicht möglich ist das Verwenden von DHCP (Dynamic Host Configuration Protocol) über Unicast (Quellport UDP/68, Zielport UDP/67). Die UDP-Ports 4791 und 65330 sind für den Host reserviert.
Kann ich einen DHCP-Server in einem virtuellen Netzwerk bereitstellen?
Virtuelle Azure-Netzwerke bieten DHCP-Dienste und DNS für Virtuelle Azure-Computer. Sie können jedoch auch einen DHCP-Server auf einem virtuellen Azure-Computer bereitstellen, um die lokalen Clients über einen DHCP-Relay-Agent zu bedienen.
Die DHCP-Server in Azure wurden zuvor als „nicht möglich“ angesehen, da der Datenverkehr zum Port UDP/67 in Azure eingeschränkt war. Die neuesten Plattformupdates haben jedoch die Ratenbegrenzung entfernt, wodurch diese Funktion aktiviert wird.
Hinweis
Der lokale Client für DHCP-Server (Quellport „UDP/68“, Zielport „UDP/67“) wird in Azure immer noch nicht unterstützt, da dieser Datenverkehr abgefangen und anders verarbeitet wird. Dies führt zu Zeitüberschreitungsmeldungen zum Zeitpunkt von DHCP RENEW bei T1, wenn der Client direkt versucht, den DHCP-Server in Azure zu erreichen. DHCP RENEW wird erfolgreich ausgeführt, wenn der DHCP RENEW-Versuch über den DHCP-Relay-Agent bei T2 durchgeführt wird. Weitere Informationen zu den Timern T1 und T2 DHCP RENEW finden Sie unter RFC 2131.
Kann ich ein Standardgateway in einem virtuellen Netzwerk pingen?
Nein. Ein von Azure bereitgestelltes Standardgateway reagiert nicht auf Ping. Sie können jedoch Ihre virtuellen Netzwerke pingen, um die Konnektivität und Problembehandlung zwischen VMs zu überprüfen.
Können Verbindungsdiagnosen mit "tracert" durchgeführt werden?
Ja.
Kann ich Subnetze hinzufügen, nachdem das virtuelle Netzwerk erstellt wurde?
Ja. Sie können jederzeit Subnetze zu virtuellen Netzwerken hinzufügen, sofern diese beiden Bedingungen erfüllt sind:
- Der Adressbereich des Subnetzes ist nicht Teil eines anderen Subnetzes.
- Im Adressbereich des virtuellen Netzwerks ist Speicherplatz verfügbar.
Kann die Größe des Subnetzes nach dessen Erstellung geändert werden?
Ja. Sie können ein Subnetz hinzufügen, entfernen, erweitern oder verkleinern, wenn darin keine VMs oder Dienste bereitgestellt werden.
Kann ich ein virtuelles Netzwerk ändern, nachdem ich es erstellt habe?
Ja. Sie können die CIDR-Blöcke, die von einem virtuellen Netzwerk verwendet werden, hinzufügen, entfernen und ändern.
Kann ich eine Verbindung mit dem Internet herstellen, wenn ich Dienste in einem virtuellen Netzwerk ausführe?
Ja. Alle Dienste, die innerhalb eines virtuellen Netzwerks bereitgestellt werden, können eine Verbindung mit dem Internet herstellen. Weitere Informationen zu ausgehenden Internetverbindungen in Azure finden Sie unter Verwenden der Quellnetzwerkadressübersetzung (Source Network Address Translation, SNAT) für ausgehende Verbindungen.
Wenn Sie mit einer Ressource eine Verbindung in eingehender Richtung herstellen möchten, die über Azure Resource Manager bereitgestellt wurde, muss der Ressource eine öffentliche IP-Adresse zugewiesen sein. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer öffentlichen Azure-IP-Adresse.
Jeder in Azure bereitgestellte Clouddienst verfügt über eine öffentlich adressierbare, zugewiesene VIP-Adresse (virtuelle IP). Sie müssen Eingabeendpunkte für PaaS-Rollen (Platform-as-a-Service) und Endpunkte für VMs definieren, damit diese Dienste Verbindungen über das Internet annehmen können.
Unterstützen virtuelle Netzwerke IPv6?
Ja. Virtuelle Netzwerke können „Nur-IPv4“ oder „Dual-Stack“ sein (IPv4 und IPv6). Ausführliche Informationen finden Sie unter "Was ist IPv6 für virtuelles Azure-Netzwerk?"
Kann sich ein virtuelles Netzwerk über mehrere Regionen erstrecken?
Nein. Ein virtuelles Netzwerk ist auf eine Region beschränkt. Ein virtuelles Netzwerk erstreckt sich jedoch über Verfügbarkeitszonen. Weitere Informationen zu Verfügbarkeitszonen finden Sie unter Was sind Azure-Regionen und Verfügbarkeitszonen?.
Mithilfe von Peering virtueller Netzwerke können Sie Verbindungen zwischen virtuellen Netzwerken in verschiedenen Regionen herstellen. Weitere Informationen finden Sie unter Virtual Network Peering.
Kann ich ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk in Azure verbinden?
Ja. Sie können ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk wie folgt verbinden:
- Peering virtueller Netzwerke. Weitere Informationen finden Sie unter Virtual Network Peering.
- Mit einem Azure VPN-Gateway. Ausführliche Informationen finden Sie unter Konfigurieren einer Netzwerk-zu-Netzwerk-VPN-Gatewayverbindung.
Namensauflösung (DNS)
Welche DNS-Optionen sind für virtuelle Netzwerke verfügbar?
Verwenden Sie die Entscheidungstabelle in der Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken , um Sie durch die verfügbaren DNS-Optionen zu führen.
Kann ich DNS-Server für virtuelle Netzwerke angeben?
Ja. Sie können IP-Adressen für DNS-Server in den Einstellungen des virtuellen Netzwerks angeben. Die Einstellung gilt als DNS-Standardserver oder Server für alle VMs im virtuellen Netzwerk.
Wie viele DNS-Server können angegeben werden?
Siehe Netzwerkgrenzwerte.
Kann ich DNS-Server ändern, nachdem ich das Netzwerk erstellt habe?
Ja. Sie können die Liste der DNS-Server für das virtuelle Netzwerk jederzeit ändern.
Wenn Sie Ihre DNS-Serverliste ändern, müssen Sie für alle betroffenen VMs im virtuellen Netzwerk eine Verlängerung der DHCP-Leasedauer durchführen. Die neuen DNS-Einstellungen werden nach der Leasedauer-Verlängerung wirksam. Bei VMs, auf denen Windows ausgeführt wird, können Sie die Leasedauer verlängern, indem Sie ipconfig /renew
direkt in der VM eingeben. Im Fall von anderen Betriebssystemtypen, lesen Sie bitte die Dokumentation zur DHCP-Leasedauer-Verlängerung.
Was ist das von Azure bereitgestellte DNS und wie funktioniert es bei virtuellen Netzwerken?
Das von Azure bereitgestellte DNS ist ein von Microsoft angebotener mehrinstanzenfähiger DNS-Dienst. In Azure werden Ihre gesamten VMs und Clouddienst-Rolleninstanzen dieses Diensts registriert. Dieser Dienst ermöglicht die Namensauflösung:
- Nach Hostnamen für VMs und Rolleninstanzen im selben Clouddienst.
- Durch vollqualifizierte Domänen (FQDN) für VMs und Rolleninstanzen im selben virtuellen Netzwerk.
Weitere Informationen zu DNS finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.
Die mandantenübergreifende Namensauflösung mithilfe des von Azure bereitgestellten DNS-Diensts ist auf die ersten 100 Clouddienste in einem virtuellen Netzwerk beschränkt. Diese Einschränkung gilt nicht, wenn Sie einen eigenen DNS-Server verwenden.
Kann ich DNS-Einstellungen für jede VM oder jeden Clouddienst überschreiben?
Ja. Sie können DNS-Server für jede VM oder jeden Clouddienst festlegen, um die standardmäßigen Netzwerkeinstellungen zu überschreiben. Es wird jedoch empfohlen, nach Möglichkeit den netzwerkweiten DNS-Server zu verwenden.
Können benutzerdefinierte DNS-Suffixe angegeben werden?
Nein. Sie können kein benutzerdefiniertes DNS-Suffix für virtuelle Netzwerke angeben.
Verbinden von virtuellen Computern
Kann ich VMs in einem virtuellen Netzwerk bereitstellen?
Ja. Alle Netzwerkadapter (NICs) einer VM, die mit dem Resource Manager-Bereitstellungsmodell bereitgestellt wurden, müssen mit einem virtuellen Netzwerk verbunden sein. Optional können Sie VMs, die über das klassische Bereitstellungsmodell bereitgestellt wurden, mit einem virtuellen Netzwerk verbinden.
Wie lauten die Typen von IP-Adressen, die ich VMs zuweisen kann?
Privat: Jedem NIC innerhalb jeder VM über die statische oder dynamische Methode zugewiesen. Private IP-Adressen werden aus dem Bereich zugewiesen, den Sie in den Subnetzeinstellungen Ihres virtuellen Netzwerks angegeben haben.
Mit dem klassischen Bereitstellungsmodell bereitgestellten Ressourcen werden private IP-Adressen zugewiesen, selbst wenn keine Verbindung mit einem virtuellen Netzwerk besteht. Das Verhalten der Zuordnungsmethode unterscheidet sich abhängig davon, ob Sie eine Ressource mit dem Resource Manager-Bereitstellungsmodell oder mit dem klassischen Bereitstellungsmodell bereitgestellt haben:
- Ressourcen-Manager: Eine private IP-Adresse, die über die dynamische oder statische Methode zugewiesen wird, bleibt einem virtuellen Computer (Ressourcen-Manager) zugewiesen, bis die Ressource gelöscht wird. Der Unterschied besteht darin, dass bei Verwendung der statischen Methode Sie die zuzuweisende Adresse auswählen, und bei Verwendung der dynamischen Methode Azure die Adresse auswählt.
- Klassisch: Eine private IP-Adresse, die über die dynamische Methode zugewiesen wird, kann sich ändern, wenn ein virtueller Computer (klassisch) neu gestartet wird, nachdem er sich im Zustand "beendet" (Deallocated) befindet. Wenn Sie sicherstellen müssen, dass sich die private IP-Adresse einer Ressource, die über das klassische Bereitstellungsmodell bereitgestellt wurde, nie ändert, weisen Sie eine private IP-Adresse mit der statischen Methode zu.
Öffentlich: Optional zugewiesen an NICs, die an VMs angeschlossen sind, die über das Bereitstellungsmodell des Ressourcen-Managers bereitgestellt werden. Sie können die Adresse mithilfe der statischen oder dynamischen Zuordnungsmethode zuweisen.
Alle VMs und Azure Cloud Services-Rolleninstanzen, die über das klassische Bereitstellungsmodell bereitgestellt werden, sind in einem Clouddienst vorhanden. Dem Clouddienst wird eine dynamische, öffentliche VIP-Adresse zugewiesen. Optional können Sie eine öffentliche statische IP-Adresse, die als reservierte IP-Adresse bezeichnet wird, als VIP zuweisen.
Sie können öffentliche IP-Adressen einzelnen VMs oder Cloud Services-Rolleninstanzen zuweisen, die mit dem klassischen Bereitstellungsmodell bereitgestellt wurden. Diese Adressen werden als öffentliche IP-Adressen auf Instanzebene bezeichnet und können dynamisch zugewiesen werden.
Kann ich eine private IP-Adresse für eine VM reservieren, die ich zu einem späteren Zeitpunkt erstelle?
Nein. Eine private IP-Adresse kann nicht reserviert werden. Wenn eine private IP-Adresse verfügbar ist, wird sie einer VM oder einer Rolleninstanz durch den DHCP-Server zugewiesen. Die VM kann der Computer sein, dem Sie die interne IP-Adresse zuweisen möchten. Dies muss aber nicht der Fall sein. Sie können aber die private IP-Adresse einer erstellten VM in eine verfügbare private IP-Adresse ändern.
Ändern sich private IP-Adressen für VMs in einem virtuellen Netzwerk?
Das ist unterschiedlich. Wenn Sie die VM mithilfe des Resource Manager bereitgestellt haben, können sich die IP-Adressen nicht ändern, unabhängig davon, ob Sie die Adressen mithilfe der statischen oder dynamischen Zuordnungsmethode zugewiesen haben. Wenn Sie die VM mithilfe des klassischen Bereitstellungsmodells bereitgestellt haben, können sich dynamische IP-Adressen ändern, wenn Sie eine VM starten, die sich im Zustand „Beendet“ (Zuordnung aufgehoben) befand.
Die Adresse einer VM, die über eins der beiden Bereitstellungsmodelle bereitgestellt wurde, wird freigegeben, wenn Sie die VM löschen.
Kann ich IP-Adressen den NICs im VM-Betriebssystem manuell zuordnen?
Ja, aber dies wird nur empfohlen, wenn es unbedingt notwendig ist, etwa beim Zuweisen mehrerer IP-Adressen zu einer VM. Weitere Informationen finden Sie unter Zuweisen von mehreren IP-Adressen zu virtuellen Computern.
Falls sich die IP-Adresse ändert, die einer an eine VM angefügten Azure-NIC zugewiesen ist, und die IP-Adresse im VM-Betriebssystem sich davon unterscheidet, geht die Konnektivität zur VM verloren.
Was passiert mit meinen IP-Adressen, wenn ich einen Clouddienst-Bereitstellungsslot beende oder eine VM über das Betriebssystem herunterfahre?
Nichts. Die IP-Adressen (öffentliche VIP, öffentlich und privat) bleiben dem Clouddienst-Bereitstellungsslot bzw. der VM zugewiesen.
Kann ich VMs in einem virtuellen Netzwerk aus einem Subnetz in ein anderes Subnetz verschieben, ohne erneute Bereitstellung?
Ja. Weitere Informationen finden Sie unter Verschieben einer VM oder Rolleninstanz in ein anderes Subnetz.
Kann eine statische MAC-Adresse für einen virtuellen Computer konfiguriert werden?
Nein. Sie können eine MAC-Adresse nicht statisch konfigurieren.
Bleibt die MAC-Adresse einer VM nach ihrer Erstellung unverändert?
Ja. Die MAC-Adresse bleibt für eine VM so lange erhalten, bis Sie sie löschen. Dabei spielt es keine Rolle, ob die VM über das Resource Manager- oder das klassische Bereitstellungsmodell bereitgestellt wurde.
Zuvor wurde die MAC-Adresse freigegeben, wenn Sie die VM auf den Status „Beendet“ (Zuordnung aufgehoben) gesetzt haben. Jetzt behält die VM jedoch die MAC-Adresse bei, wenn sie sich im Status „Zuordnung aufgehoben“ befindet. Die MAC-Adresse bleibt dem Netzwerkadapter zugewiesen, bis Sie eine der folgenden Aufgaben ausführen:
- Löschen des Netzwerkadapters.
- Ändern Sie die private IP-Adresse, die der primären IP-Konfiguration des primären Netzwerkadapters zugewiesen ist.
Azure-Dienste, die eine Verbindung mit virtuellen Netzwerken herstellen
Kann ich Web-Apps mit einem virtuellen Netzwerk verwenden?
Ja. Sie können das Web-Apps-Feature von Azure App Service in einem virtuellen Netzwerk bereitstellen, indem Sie eine App Service-Umgebung verwenden. Anschließend können Sie folgende Aktionen ausführen:
- Verbinden Sie das Back-End Ihrer Apps mit Ihren virtuellen Netzwerken mithilfe der Integration virtueller Netzwerke.
- Sperren Sie eingehenden Datenverkehr für Ihre App mithilfe von Dienstendpunkten.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Features des App-Dienstnetzwerks
- Verwenden einer App Service-Umgebung
- Integrieren Ihrer App in ein virtuelles Azure-Netzwerk
- Einrichten von Zugriffsbeschränkungen für Azure App Service
Kann ich Clouddienste mit Web- und Workerrollen (PaaS) in einem virtuellen Netzwerk bereitstellen?
Ja. Sie können Rolleninstanzen von Clouddiensten (optional) in virtuellen Netzwerken bereitstellen. Hierfür geben Sie den Namen des virtuellen Netzwerks und die Rollen-/Subnetzzuordnungen im Netzwerkkonfigurationsabschnitt der Dienstkonfiguration an. Sie müssen keine Binärdateien aktualisieren.
Kann ich für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen?
Ja. Sie müssen für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen.
Gibt es eine vollständige Liste der Azure-Dienste, über die ich Ressourcen in einem virtuellen Netzwerk bereitstellen kann?
Ja. Ausführliche Informationen finden Sie unter Bereitstellen dedizierter Azure-Dienste in virtuellen Netzwerken.
Wie kann ich den Zugriff auf Azure PaaS-Ressourcen über ein virtuelles Netzwerk einschränken?
Ressourcen, die über ausgewählte Azure PaaS-Dienste (wie Azure Storage und Azure SQL-Datenbank) bereitgestellt werden, können den Netzwerkzugriff auf das virtuelle Netzwerk durch die Verwendung von virtuellen Netzwerkdienstendpunkten oder Azure Private Link einschränken. Ausführliche Informationen finden Sie unter Endpunkte des virtuellen Netzwerks undwas ist Azure Private Link?.
Können Dienste in und aus virtuellen Netzwerken verschoben werden?
Nein. Sie können Dienste nicht in und aus virtuellen Netzwerken verschieben. Wenn Sie eine Ressource in ein anderes virtuelles Netzwerk verschieben möchten, müssen Sie die Ressource löschen und neu bereitstellen.
Sicherheit
Welches Sicherheitsmodell wird für virtuelle Netzwerke verwendet?
Virtuelle Netzwerke werden von anderen virtuellen Netzwerken und anderen in der Azure-Infrastruktur gehosteten Diensten isoliert ausgeführt. Ein virtuelles Netzwerk ist eine Vertrauensstellungsgrenze.
Kann ich den eingehenden oder ausgehenden Datenverkehr auf Ressourcen beschränken, die mit einem virtuellen Netzwerk verbunden sind?
Ja. Sie können Netzwerksicherheitsgruppen auf einzelne Subnetze in einem virtuellen Netzwerk, niCs anwenden, die mit einem virtuellen Netzwerk verbunden sind, oder beides.
Kann ich eine Firewall zwischen Ressourcen implementieren, die mit einem virtuellen Netzwerk verbunden sind?
Ja. Sie können eine virtuelle Firewallnetzwerk-Appliance von mehreren Anbietern über Azure Marketplace bereitstellen.
Sind Informationen zum Schützen virtueller Netzwerke verfügbar?
Ja. Siehe Übersicht über die Azure-Netzwerksicherheit.
Speichern virtuelle Netzwerke Kundendaten?
Nein. In virtuellen Netzwerken werden keine Kundendaten gespeichert.
Kann ich die Eigenschaft FlowTimeoutInMinutes für ein ganzes Abonnement festlegen?
Nein. Sie müssen die FlowTimeoutInMinutes-Eigenschaft im virtuellen Netzwerk festlegen. Mit dem folgenden Code können Sie diese Eigenschaft für größere Abonnements automatisch festlegen:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
APIs, Schemas und Tools
Kann ich virtuelle Netzwerke mit Code verwalten?
Ja. Sie können REST-APIs für virtuelle Netzwerke im Azure Resource Manager und klassische Bereitstellungsmodelle verwenden.
Sind Tools zur Unterstützung virtueller Netzwerke verfügbar?
Ja. Weitere Informationen zur Verwendung von folgenden Tools:
- Das Azure-Portal zum Bereitstellen virtueller Netzwerke über den Azure Resource Manager und klassische Bereitstellungsmodelle.
- PowerShell zum Verwalten virtueller Netzwerke, die über das Ressourcen-Manager-Bereitstellungsmodell bereitgestellt werden.
- Die Azure CLI oder die klassische Azure CLI zum Bereitstellen und Verwalten virtueller Netzwerke, die über den Ressourcen-Manager und die klassischen Bereitstellungsmodelle bereitgestellt und verwaltet werden.
Peering in virtuellen Netzwerken
Was ist Peering virtueller Netzwerke?
Peering virtueller Netzwerke ermöglicht Ihnen, virtuelle Netzwerke miteinander zu verbinden. Über eine Peeringverbindung zwischen virtuellen Netzwerken können Sie Datenverkehr privat über IPv4-Adressen weiterleiten.
VMs in den anhand von Peering verknüpften virtuellen Netzwerken können miteinander kommunizieren, als ob sie sich im gleichen Netzwerks befinden. Diese virtuellen Netzwerke können sich in der gleichen Region oder in verschiedenen Regionen befinden (auch bekannt als globales Peering virtueller Netzwerke).
Sie können auch Verbindungen für das Peering virtueller Netzwerke in Azure-Abonnements erstellen.
Kann ich eine Peeringverbindung mit einem virtuellen Netzwerk in einer anderen Region herstellen?
Ja. Ein globales Peering virtueller Netzwerke ermöglicht das Peering virtueller Netzwerke in unterschiedlichen Regionen. Globales Peering virtueller Netzwerke ist in allen öffentlichen Azure-Regionen, China-Cloudregionen und Government-Cloudregionen verfügbar. Das globale Peering von öffentlichen Azure-Regionen in nationale Cloudregionen ist nicht möglich.
Welche Einschränkungen gibt es im Zusammenhang mit globalem Peering virtueller Netzwerke und Lastenausgleichsmodulen?
Wenn die beiden virtuellen Netzwerke in zwei Regionen mittels Peering über das globale Peering virtueller Netzwerke verbunden sind, können Sie über die Front-End-IP des Lastenausgleichsmoduls keine Verbindung mit Ressourcen herstellen, die sich hinter einem Lastenausgleichsmodul im Tarif „Basic“ befinden. Diese Einschränkung gilt nicht für einen Standard-Lastenausgleich.
Die folgenden Ressourcen können Lastenausgleichsmodule im Tarif „Basic“ verwenden, d. h. Sie können sie nicht über die Front-End-IP-Adresse des Lastenausgleichsmoduls über globales Peering virtueller Netzwerke erreichen. Sie können jedoch globales Peering virtueller Netzwerke verwenden, um die Ressourcen direkt über ihre privaten virtuellen Netzwerk-IP-Adressen zu erreichen, sofern dies zulässig ist.
- VMs hinter Basic-Lastenausgleichsmodulen
- VM-Skalierungsgruppen mit Basic-Lastenausgleichsmodulen
- Azure Cache für Redis
- Azure-Anwendungsgateway v1
- Azure Service Fabric
- Azure API Management stv1
- Microsoft Entra Domain Services
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service-Umgebung v1 und v2
Sie können eine Verbindung mit diesen Ressourcen über Azure ExpressRoute oder Netzwerk-zu-Netzwerk-Verbindungen über Gateways für virtuelle Netzwerke herstellen.
Kann ich das Peering virtueller Netzwerke aktivieren, wenn meine virtuellen Netzwerke zu Abonnements in verschiedenen Azure Active Directory-Mandanten gehören?
Ja. Es ist möglich, das Peering virtueller Netzwerke (lokal oder global) einzurichten, wenn Ihre Abonnements zu unterschiedlichen Microsoft Entra-Mandanten gehören. Sie können dies über das Azure-Portal, PowerShell oder die Azure CLI tun.
Meine Verbindung für Peering virtueller Netzwerke hat den Status „Initiiert“. Warum kann ich keine Verbindung herstellen?
Wenn sich Ihre Peeringverbindung in einem Initiierten Zustand befindet, haben Sie nur einen Link erstellt. Sie müssen einen bidirektionalen Link erstellen, um eine erfolgreiche Verbindung herzustellen.
Um beispielsweise eine Peeringverbindung zwischen VNET A und VNET B herzustellen, muss ein Link von VNetA zu VNetB und von VNetB zu VNetA erstellt werden. Durch das Erstellen beider Verknüpfungen wird der Zustand in "Verbunden" geändert.
Meine Verbindung für das Peering virtueller Netzwerke hat den Status „Getrennt“. Warum kann ich keine Peeringverbindung herstellen?
Wenn sich Die Verbindung mit dem virtuellen Netzwerk-Peering im Zustand "Getrennt" befindet, wurde eine der von Ihnen erstellten Verknüpfungen gelöscht. Um eine Peeringverbindung erneut herzustellen, müssen Sie den verbleibenden Link löschen und beide neu erstellen.
Kann ich mein virtuelles Netzwerk über Peering mit einem virtuellen Netzwerk in einem anderen Abonnement verbinden?
Ja. Sie können virtuelle Netzwerke über Abonnements und Regionen hinweg über Peering miteinander verbinden.
Ist das Peering zweier virtueller Netzwerke mit übereinstimmenden oder überlappenden Adressbereichen möglich?
Nein. Sie können das Peering virtueller Netzwerke nicht aktivieren, wenn sich Adressräume überlappen.
Ist das Peering eines virtuellen Netzwerks mit zwei virtuellen Netzwerken möglich, wenn die Option Remotegateway verwenden für beide Peerings aktiviert ist?
Nein. Sie können die Option "Remotegateway verwenden " nur für ein Peering zu einem der virtuellen Netzwerke aktivieren.
Kann ich ein virtuelles Netzwerk, das eine Peering-Verbindung zu einem anderen virtuellen Netzwerk hat, verschieben?
Nein. Sie können ein virtuelles Netzwerk, das eine Peering-Verbindung nicht zu einem anderen virtuellen Netzwerk verschieben. Sie müssen die Peering-Verbindung löschen, bevor Sie das virtuelle Netzwerk verschieben.
Wie viel Kosten die Links für das Peering virtueller Netzwerke?
Für das Erstellen einer Peeringverbindung für virtuelle Netzwerke fallen keine Gebühren an. Die Datenübertragung über Peeringverbindungen wird in Rechnung gestellt. Weitere Informationen finden Sie auf der Azure Virtual Network-Preisseite.
Wird Datenverkehr für Peering virtueller Netzwerke verschlüsselt?
Wenn Azure-Datenverkehr zwischen Rechenzentren wechselt (außerhalb physischer Grenzen, die nicht von Microsoft oder im Auftrag von Microsoft gesteuert werden), verwendet die zugrunde liegende Netzwerkhardware MACsec-Datenverknüpfungsschichtverschlüsselung. Diese Verschlüsselung gilt für Peeringdatenverkehr virtueller Netzwerke.
Warum hat meine Peeringverbindung den Status Getrennt?
Virtuelle Netzwerk-Peeringverbindungen werden in einen getrennten Zustand versetzt, wenn eine virtuelle Netzwerk-Peeringverbindung gelöscht wird. Sie müssen beide Links löschen, um eine erfolgreiche Peeringverbindung wiederherzustellen.
Wenn ich eine Peeringverbindung zwischen VNetA und VNetB sowie VNetB und VNetC herstelle, bedeutet dies, dass eine Peeringverbindung zwischen VNetA und VNetC besteht?
Nein. Transitives Peering wird nicht unterstützt. Sie müssen VNetA manuell mit VNetC peeren.
Gibt es Bandbreiteneinschränkungen für Peeringverbindungen?
Nein. Für das Peering virtueller Netzwerke, ob lokal oder global, bestehen keine Bandbreiteneinschränkungen. Die Bandbreite wird nur durch die VM oder die Computeressource beschränkt.
Wie kann ich Probleme beim Peering virtueller Netzwerke beheben?
Probieren Sie das Handbuch zur Problembehandlung aus.
TAP eines virtuellen Netzwerks
Welche Azure-Regionen sind für den TAP eines virtuellen Netzwerks verfügbar?
Die Vorschau des Terminalzugriffspunkts (TAP) für virtuelle Netzwerke ist in allen Azure-Regionen verfügbar. Sie müssen die überwachten Netzwerkadapter, die TAP-Ressource des virtuellen Netzwerks und die Collector- oder Analyselösung in der gleichen Region bereitstellen.
Unterstützt der TAP eines virtuellen Netzwerks Filterfunktionen für die gespiegelten Pakete?
Filterfunktionen werden in der Vorschauversion des TAP für ein virtuelles Netzwerk nicht unterstützt. Wenn Sie eine TAP-Konfiguration zu einem Netzweradapter hinzufügen, wird eine Tiefenkopie des gesamten eingehenden und ausgehenden Datenverkehrs an das TAP-Ziel gestreamt.
Kann ich einem überwachten Netzwerkadapter mehrere TAP-Konfigurationen hinzufügen?
Ein überwachter Netzwerkadapter kann nur über eine TAP-Konfiguration verfügen. Wenden Sie sich an die individuelle Partnerlösung , um mehrere Kopien des TAP-Datenverkehrs an die Analysetools Ihrer Wahl zu streamen.
Kann dieselbe TAP-Ressource eines virtuellen Netzwerks Datenverkehr von überwachten Netzwerkadaptern in mehr als einem virtuellen Netzwerk aggregieren?
Ja. Sie können dieselbe TAP-Ressource eines virtuellen Netzwerks zum Aggregieren von gespiegeltem Datenverkehr von überwachten Netzwerkadaptern in virtuellen Netzwerken mit Peering im gleichen Abonnement oder in einem anderen Abonnement verwenden.
Die TAP-Ressource des virtuellen Netzwerks und der Lastenausgleich oder der Zielnetzwerk-Adapter müssen sich im selben Abonnement befinden. Alle Abonnements müssen demselben Microsoft Entra-Mandanten zugeordnet sein.
Gibt es Überlegungen zur Leistung für Produktionsdatenverkehr, wenn ich eine TAP-Konfiguration für ein virtuelles Netzwerk an einem Netzwerkadapter aktiviere?
Der TAP für virtuelle Netzwerke befindet sich in der Vorschau. Während der Vorschau gibt es keine Vereinbarung zum Servicelevel. Sie sollten die Funktion nicht für Produktionsworkloads verwenden.
Wenn Sie einen Netzwerkadapter einer VM mit einer TAP-Konfiguration aktivieren, werden mit den Ressourcen auf dem Azure-Host, der der VM für das Senden des Produktionsdatenverkehrs zugeordnet ist, auch die Spiegelungsfunktion ausgeführt und die gespiegelten Pakete versendet. Wählen Sie die richtige Größe des virtuellen Linux- oder Windows-Computers aus, um sicherzustellen, dass ausreichende Ressourcen für den virtuellen Computer verfügbar sind, um den Produktionsdatenverkehr und den gespiegelten Datenverkehr zu senden.
Wird beschleunigter Netzwerkbetrieb für Linux oder Windows mit TAP eines virtuellen Netzwerks unterstützt?
Sie können eine TAP-Konfiguration auf einem Netzwerkadapter hinzufügen, der an einen virtuellen Computer angeschlossen ist, der mit beschleunigtem Netzwerk für Linux oder Windows aktiviert ist. Das Hinzufügen der TAP-Konfiguration wirkt sich jedoch auf die Leistung und Latenz auf der VM aus, da der beschleunigte Netzwerkbetrieb von Azure derzeit die Auslagerung von Spiegelungsdatenverkehr nicht unterstützt.
VNET-Dienstendpunkte
Was ist die richtige Reihenfolge der Vorgänge zum Einrichten von Endpunkten für einen Azure-Dienst?
Das Schützen einer Azure-Dienstressource über Dienstendpunkte erfolgt in zwei Schritten:
- Aktivieren von Dienstendpunkten für den Azure-Dienst
- Richten Sie Zugriffssteuerungslisten für virtuelle Netzwerke (ACLs) für den Azure-Dienst ein.
Der erste Schritt ist ein netzwerkseitiger Vorgang, und der zweite Schritt ist ein Vorgang auf der Seite der Dienstressource. Beide Schritte können durch denselben oder verschiedene Administratoren erfolgen, basierend auf den Azure RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) der Administratorrolle.
Wir empfehlen, Dienstendpunkte für Ihr virtuelles Netzwerk zu aktivieren, bevor Sie ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten. Zum Einrichten von Dienstendpunkten für virtuelle Netzwerke müssen Sie die Schritte in der vorherigen Sequenz ausführen.
Hinweis
Sie müssen beide vorherigen Vorgänge ausführen, bevor Sie den Zugriff des Azure-Diensts auf das jeweilige virtuelle Netzwerk und Subnetz beschränken können. Wenn Sie nur die Dienstendpunkte für den Azure-Dienst auf der Netzwerkseite aktivieren, erhalten Sie noch keinen eingeschränkten Zugriff. Sie müssen zusätzlich auch ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts festlegen.
Bestimmte Dienste (z. B. Azure SQL und Azure Cosmos DB) lassen Ausnahmen für die oben angegebene Reihenfolge über das Flag IgnoreMissingVnetServiceEndpoint
zu. Nachdem Sie das Flag auf True
festgelegt haben, können Sie ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten, bevor Sie die Dienstendpunkte auf der Netzwerkseite aktivieren. Azure-Dienste stellen dieses Flag bereit, um Kunden in Fällen zu helfen, in denen die spezifischen IP-Firewalls für Azure-Dienste konfiguriert sind.
Das Aktivieren der Dienstendpunkte auf Netzwerkseite kann zu einem Verbindungsabbruch führen, da die Quell-IP von einer öffentlichen IPv4-Adresse zu einer privaten Adresse wechselt. Durch Einrichten der ACLs für virtuelle Netzwerke auf der Azure-Dienstseite vor der Aktivierung von Dienstendpunkten auf der Netzwerkseite können Sie Verbindungsausfälle vermeiden.
Hinweis
Wenn Sie Dienstendpunkt für bestimmte Dienste wie „Microsoft.AzureActiveDirectory“ aktivieren, können Sie IPV6-Adressverbindungen in Anmeldeprotokollen anzeigen. Microsoft verwendet einen internen privaten IPV6-Bereich für diese Art Verbindung.
Befinden sich alle Azure-Dienste in dem vom Kunden bereitgestellten virtuellen Azure-Netzwerk? Wie funktioniert der Dienstendpunkt für virtuelle Netzwerke mit Azure-Diensten?
Es befinden sich nicht alle Azure-Dienste im virtuellen Netzwerk des Kunden. Bei einem Großteil der Azure-Datendienste (wie Azure Storage, Azure SQL und Azure Cosmos DB) handelt es sich um mehrmandantenfähige Dienste, auf die über öffentliche IP-Adressen zugegriffen werden kann. Weitere Informationen finden Sie unter Bereitstellen dedizierter Azure-Dienste in virtuellen Netzwerken.
Wenn Sie Dienstendpunkte für virtuelle Netzwerke auf Netzwerkseite aktivieren und entsprechende ACLs für virtuelle Netzwerke auf der Azure-Dienstseite einrichten, ist der Zugriff auf einen Azure-Dienst auf einem zulässigen virtuellen Netzwerk und Subnetz aus eingeschränkt.
Wie bieten Dienstendpunkte für virtuelle Netzwerke Sicherheit?
Dienstendpunkte für virtuelle Netzwerke beschränken den Zugriff des Azure-Diensts auf das jeweilige virtuelle Netzwerk und Subnetz. Auf diese Weise ermöglichen sie Sicherheit auf Netzwerkebene und eine Isolation des Azure-Dienstdatenverkehrs.
Der gesamte Datenverkehr, der Dienstendpunkte für virtuelle Netzwerke verwendet, fließt über den Microsoft-Backbone, um eine weitere Isolationsschicht vom öffentlichen Internet bereitzustellen. Darüber hinaus können Kunden den Zugriff vom öffentlichen Internet auf die Azure-Dienstressourcen auch vollständig entfernen und nur Datenverkehr vom eigenen virtuellen Netzwerk über eine Kombination aus IP-Firewall und ACLs für virtuelle Netzwerke zulassen. Das Entfernen des Internetzugriffs trägt dazu bei, die Azure-Dienstressourcen vor unbefugtem Zugriff zu schützen.
Was schützt der Dienstendpunkt für virtuelle Netzwerke: virtuelle Netzwerkressourcen oder Azure-Dienstressourcen?
Dienstendpunkte für virtuelle Netzwerke helfen dabei, Azure-Dienstressourcen zu schützen. Ressourcen von virtuellen Netzwerken werden über Netzwerksicherheitsgruppen geschützt.
Fallen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an?
Nein. Es fallen keine zusätzlichen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an.
Kann ich Dienstendpunkte für virtuelle Netzwerke aktivieren und ACLs für virtuelle Netzwerke einrichten, wenn das virtuelle Netzwerk und die Azure-Dienstressourcen zu unterschiedlichen Abonnements gehören?
Ja, das ist möglich. Virtuelle Netzwerke und Ressourcen von Azure-Diensten können sich in demselben oder in unterschiedlichen Abonnements befinden. Es gilt lediglich die Voraussetzung, dass das virtuelle Netzwerk und die Azure-Dienstressourcen zu demselben Microsoft Entra-Mandanten gehören.
Kann ich Dienstendpunkte für virtuelle Netzwerke aktivieren und ACLs für virtuelle Netzwerke einrichten, wenn das virtuelle Netzwerk und die Azure-Dienstressourcen zu unterschiedlichen Microsoft Entra-Mandanten gehören?
Ja. Dies ist möglich, wenn Sie Dienstendpunkte für Azure Storage und Azure Key Vault verwenden. Für andere Dienste werden Dienstendpunkte für virtuelle Netzwerke und ACLs für virtuelle Netzwerke für Microsoft Entra-Mandanten nicht unterstützt.
Kann die IP-Adresse eines lokalen Geräts, das über ein Azure Virtual Network-Gateway (VPN) oder ein ExpressRoute-Gateway verbunden ist, über Dienstendpunkte für virtuelle Netzwerke auf einen Azure-PaaS-Dienst zugreifen?
Standardmäßig sind Azure-Dienstressourcen, die auf virtuelle Netzwerke beschränkt und so geschützt sind, über lokale Netzwerke nicht erreichbar. Wenn Sie Datenverkehr aus der lokalen Umgebung zulassen möchten, müssen Sie auch öffentliche IP-Adressen (meist NAT) aus der lokalen Umgebung bzw. per ExpressRoute zulassen. Sie können diese IP-Adressen über die Konfiguration der IP-Firewall für Azure-Dienstressourcen hinzufügen.
Alternativ können Sie private Endpunkte für unterstützte Dienste implementieren.
Kann ich mit den Dienstendpunkten für virtuelle Netzwerke Azure-Dienste in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke verwenden?
Zum Schützen von Azure-Diensten in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke können Sie Dienstendpunkte unabhängig voneinander in den einzelnen Subnetzen aktivieren. Sichern Sie dann die Azure-Dienstressourcen in allen Subnetzen, indem Sie entsprechenden ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten.
Wie kann ich ausgehenden Datenverkehr aus einem virtuellen Netzwerk an Azure-Dienste filtern und weiterhin Dienstendpunkte verwenden?
Wenn Sie den Datenverkehr, der aus dem virtuellen Netzwerk an einen Azure-Dienst fließen soll, untersuchen und filtern möchten, können Sie in diesem virtuellen Netzwerk ein virtuelles Netzwerkgerät bereitstellen. Anschließend können Sie Dienstendpunkte auf das Subnetz anwenden, in dem das virtuelle Netzwerkgerät bereitgestellt wurde, und Ressourcen des Azure-Diensts mithilfe von ACLs für virtuelle Netzwerke auf dieses Subnetz beschränken.
Dieses Szenario kann auch hilfreich sein, wenn Sie den Zugriff auf den Azure-Dienst aus Ihrem virtuellen Netzwerk per Filterung durch ein virtuelles Netzwerkgerät nur auf bestimmte Azure-Ressourcen beschränken möchten. Weitere Informationen finden Sie unter Bereitstellen hochverfügbarer NVAs.
Was passiert, wenn jemand von außerhalb des virtuellen Netzwerks auf ein Azure-Dienstkonto zugreift, für das eine Zugriffssteuerungsliste (ACL) für virtuelle Netzwerke aktiviert ist?
Der Dienst gibt einen HTTP 403- oder HTTP 404-Fehler zurück.
Können Subnetze eines virtuellen Netzwerks, die in verschiedenen Regionen erstellt wurden, auf ein Azure-Dienstkonto in einer anderen Region zugreifen?
Ja. Für die meisten Azure-Dienste können in unterschiedlichen Regionen erstellte virtuelle Netzwerke über die Dienstendpunkte für virtuelle Netzwerke auf Azure-Dienste in einer anderen Region zugreifen. Wenn sich ein Azure Cosmos DB-Konto z. B. in einer der Regionen „USA, Westen“ oder „USA, Osten“ befindet und sich virtuelle Netzwerke in mehreren Regionen befinden, können virtuelle Netzwerke auf Azure Cosmos DB zugreifen.
Azure SQL ist eine Ausnahme und von Natur aus regional. Sowohl das virtuelle Netzwerk als auch der Azure-Dienst müssen sich in der gleichen Region befinden.
Kann ein Azure-Dienst sowohl eine ACL für virtuelle Netzwerke als auch eine IP-Firewall aufweisen?
Ja. Eine ACL für virtuelle Netzwerke und eine IP-Firewall können gleichzeitig vorhanden sein. Die Features ergänzen einander, um Isolation und Sicherheit zu gewährleisten.
Was passiert beim Löschen eines virtuellen Netzwerks oder Subnetzes, für das Dienstendpunkte für Azure-Dienste aktiviert sind?
Das Löschen virtueller Netzwerke und das Löschen von Subnetzen sind unabhängige Vorgänge. Sie werden auch dann unterstützt, wenn Sie Dienstendpunkte für Azure-Dienste aktivieren.
Wenn Sie ACLs für virtuelle Netzwerke für Azure-Dienste einrichten, werden die diesen Azure-Diensten zugeordneten ACL-Informationen deaktiviert, wenn Sie ein virtuelles Netzwerk oder Subnetz löschen, in dem Dienstendpunkte für virtuelle Netzwerke aktiviert sind.
Was passiert, wenn ich ein Azure-Dienstkonto lösche, für das ein Dienstendpunkt für virtuelle Netzwerke aktiviert ist?
Das Löschen eines Azure-Dienstkontos ist ein unabhängiger Vorgang. Dieser wird auch dann unterstützt, wenn Sie den Dienstendpunkt auf der Netzwerkseite aktiviert und ACLs für virtuelle Netzwerke auf Seite des Azure-Diensts eingerichtet haben.
Was passiert mit der IP-Quelladresse einer Ressource (z. B. einer VM in einem Subnetz), für die ein Dienstendpunkt für virtuelle Netzwerke aktiviert ist?
Wenn Sie Dienstendpunkte für virtuelle Netzwerke aktiviert haben, verwenden die IP-Quelladressen der Ressourcen im Subnetz des virtuellen Netzwerks keine öffentlichen IPv4-Adressen mehr, sondern private IP-Adressen des virtuellen Azure-Netzwerks, um Datenverkehr an die Azure-Dienste zu leiten. Dieser Wechsel kann zu Fehlern bei bestimmten IP-Firewalls führen, die zuvor in den Azure-Diensten für öffentliche IPv4-Adressen festgelegt wurden.
Hat die Dienstendpunktroute immer Vorrang?
Dienstendpunkte fügen eine Systemroute hinzu, die Vorrang vor BGP-Routen (Border Gateway Protocol) hat und eine optimale Weiterleitung für den Dienstendpunkt-Datenverkehr ermöglicht. Dienstendpunkte leiten den Datenverkehr der Dienste immer direkt aus Ihrem virtuellen Netzwerk an den Dienst im Microsoft Azure-Backbonenetzwerk weiter.
Weitere Informationen dazu, wie Azure eine Route auswählt, finden Sie unter Routing des virtuellen Netzwerks.
Funktionieren Dienstendpunkte mit ICMP?
Nein. ICMP-Datenverkehr, der aus einem Subnetz mit aktivierten Dienstendpunkten stammt, fließt nicht über den Diensttunnelpfad zum gewünschten Endpunkt. Von Dienstendpunkten wird nur TCP-Datenverkehr verarbeitet. Wenn Sie die Latenz oder Konnektivität für einen Endpunkt über Dienstendpunkte testen möchten, wird mit Tools wie Ping und tracert nicht der Pfad angezeigt, der von den Ressourcen im Subnetz genutzt wird.
Wie arbeiten NSGs in einem Subnetz mit Dienstendpunkten zusammen?
Um den Azure-Dienst zu erreichen, müssen NSGs ausgehende Verbindungen zulassen. Wenn Ihre NSGs für sämtlichen ausgehenden Internet-Datenverkehr geöffnet sind, sollte der Datenverkehr für den Dienstendpunkt funktionieren. Sie können den ausgehenden Datenverkehr über Diensttags auch auf Dienst-IP-Adressen beschränken.
Welche Berechtigungen benötige ich, um Dienstendpunkte einzurichten?
Sie können Dienstendpunkte in einem virtuellen Netzwerk unabhängig konfigurieren, wenn Sie Schreibzugriff auf dieses Netzwerk haben.
Um Azure-Dienstressourcen in einem virtuellen Netzwerk zu sichern, müssen Sie über die Berechtigung "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action " für die Subnetze verfügen, die Sie hinzufügen. Diese Berechtigung ist standardmäßig in den integrierten Dienstadministratorrollen enthalten und kann durch Erstellen von benutzerdefinierten Rollen geändert werden.
Weitere Informationen zu integrierten Rollen und zum Zuweisen bestimmter Berechtigungen zu benutzerdefinierten Rollen finden Sie unter Azure custom roles.
Kann ich den virtuellen Netzwerkverkehr zu Azure-Diensten über Dienstendpunkte filtern?
Sie können die Richtlinien für Dienstendpunkte in virtuellen Azure-Netzwerken verwenden, um virtuellen Netzwerkdatenverkehr an Azure-Dienste zu filtern, sodass nur bestimmte Azure-Dienstressourcen über Dienstendpunkte zugelassen werden. Endpunktrichtlinien bieten eine differenzierte Zugriffssteuerung für virtuellen Netzwerkdatenverkehr an Azure-Dienste.
Weitere Informationen finden Sie unter Endpunktrichtlinien für virtuelle Netzwerke für Azure Storage.
Unterstützt Microsoft Entra ID Dienstendpunkte für virtuelle Netzwerke?
Microsoft Entra ID unterstützt nativ keine Dienstendpunkte. Eine vollständige Liste der Azure-Dienste, die Virtuelle Netzwerkdienstendpunkte unterstützen, finden Sie unter Endpunkte für virtuelle Netzwerke.
In dieser Liste wird das Microsoft.AzureActiveDirectory-Tag unter Diensten aufgeführt, die Dienstendpunkte unterstützen, um Serviceendpunkte für Azure Data Lake Storage Gen1 zu unterstützen. Die Integration des virtuellen Netzwerks für Data Lake Storage Gen1 verwendet die Sicherheit des virtuellen Netzwerkdienstendpunkts zwischen Ihrem virtuellen Netzwerk und der Microsoft Entra-ID, um zusätzliche Sicherheitsansprüche im Zugriffstoken zu generieren. Diese Ansprüche werden dann genutzt, um Ihr virtuelles Netzwerk mit Ihrem Data Lake Storage Gen1-Konto zu authentifizieren und den Zugriff zu ermöglichen.
Gibt es eine Grenze für die Anzahl der Dienstendpunkte für virtuelle Netzwerke, die ich in meinem virtuellen Netzwerk einrichten kann?
Für die Gesamtzahl von Dienstendpunkten in einem virtuellen Netzwerk gilt keine Beschränkung. Für die Ressource eines Azure-Diensts (z.B. ein Azure Storage-Konto) können Dienste Beschränkungen in Bezug auf die Anzahl von Subnetzen erzwingen, die Sie zum Schützen der Ressource verwenden. Die folgende Tabelle zeigt einige Beispielgrenzwerte:
Azure-Dienst | Grenzwerte für Regeln für virtuelle Netzwerke |
---|---|
Azure Storage | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel) | 200 |
Azure Cosmos DB (ein Microsoft-Datenbankdienst) | 64 |
Azure Event Hubs | 128 |
Azure-Servicebus | 128 |
Hinweis
Die Grenzwerte unterlegen Änderungen im alleinigen Ermessen der Azure-Dienste. Details zu den einzelnen Diensten finden Sie in der jeweiligen Dokumentation.
Migrieren klassischer Netzwerkressourcen zu Resource Manager
Was ist Azure Service Manager, und was bedeutet der Begriff „Klassisch“?
Azure Service Manager ist das alte Bereitstellungsmodell von Azure zum Erstellen, Verwalten und Löschen von Ressourcen. Das Wort klassisch in einem Netzwerkdienst bezieht sich auf Ressourcen, die vom Azure Service Manager-Modell verwaltet werden. Weitere Informationen finden Sie im Vergleich der Bereitstellungsmodelle.
Was ist Azure Resource Manager?
Azure Resource Manager ist das neueste Bereitstellungs- und Verwaltungsmodell in Azure, das zum Erstellen, Verwalten und Löschen von Ressourcen in Ihrem Azure-Abonnement verantwortlich ist. Weitere Informationen finden Sie unter Was ist Azure Resource Manager?.
Kann ich die Migration rückgängig machen, nachdem Ressourcen an Resource Manager committet worden sind?
Sie können die Migration abbrechen, solange sich die Ressourcen noch im Zustand „Vorbereitet“ befinden. Ein Rollback zum vorherigen Bereitstellungsmodell wird nicht unterstützt, nachdem Sie Ressourcen erfolgreich über den Commitvorgang migriert haben.
Kann ich die Migration rückgängig machen, wenn der Commitvorgang nicht erfolgreich war?
Sie können eine Migration nicht umkehren, wenn der Commitvorgang nicht erfolgreich war. Alle Migrationsvorgänge einschließlich Commit können nach dem Start nicht mehr geändert werden. Es wird empfohlen, den Vorgang nach einer kurzen Wartezeit zu wiederholen. Wenn der Vorgang weiterhin nicht erfolgreich ist, senden Sie eine Supportanfrage.
Kann ich mein Abonnement oder meine Ressourcen überprüfen, um zu ermitteln, ob sie für die Migration geeignet sind?
Ja. Der erste Schritt bei der Vorbereitung der Migration besteht darin, zu überprüfen, ob Ressourcen migriert werden können. Falls die Validierung fehlschlägt, erhalten Sie alle Meldungen zu den Gründen, aus denen die Migration nicht abgeschlossen werden kann.
Werden Application Gateway-Ressourcen im Rahmen der Migration von virtuellen Netzwerken von „Klassisch“ zu Resource Manager migriert?
Azure Application Gateway-Ressourcen werden nicht automatisch im Rahmen des Migrationsprozesses für virtuelle Netzwerke migriert. Wenn eine solche Ressource im virtuellen Netzwerk vorhanden ist, ist die Migration nicht erfolgreich. Um eine Application Gateway-Ressource zu Resource Manager zu migrieren, müssen Sie die Application Gateway-Instanz entfernen und neu erstellen, sobald die Migration abgeschlossen ist.
Werden VPN Gateway-Ressourcen im Rahmen der Migration virtueller Netzwerke von „Klassisch“ zu Resource Manager migriert?
VPN Gateway-Ressourcen werden im Rahmen des Migrationsprozesses für virtuelle Netzwerke migriert. Es wird jeweils ein virtuelles Netzwerk ohne andere Anforderungen ausgeführt. Die Migrationsschritte entsprechen der Migration eines virtuellen Netzwerks ohne VPN-Gateway.
Tritt im Zusammenhang mit der Migration klassischer VPN-Gateways zu Resource Manager eine Dienstunterbrechung auf?
Bei der Migration zu Resource Manager tritt keine Dienstunterbrechung bei Ihrer VPN-Verbindung auf. Vorhandene Workloads funktionieren während der Migration weiterhin vollständig ohne Verlust der Konnektivität.
Muss ich nach der Migration des VPN-Gateways zu Resource Manager mein lokales Gerät neu konfigurieren?
Die öffentliche IP-Adresse, die dem VPN-Gateway zugeordnet ist, bleibt auch nach der Migration unverändert. Sie müssen Ihren lokalen Router nicht neu konfigurieren.
Welche Szenarien werden für die Migration von VPN-Gateways von „Klassisch“ zu Resource Manager unterstützt?
Die Migration von „Klassisch“ zu Resource Manager deckt die meisten der gängigen VPN-Konnektivitätsszenarien ab. Folgende Szenarien werden unterstützt:
Punkt-zu-Standort-Konnektivität.
Standort-zu-Standort-Konnektivität mit einem VPN-Gateway, der mit einem lokalen Standort verbunden ist.
Netzwerk-zu-Netzwerkkonnektivität zwischen zwei virtuellen Netzwerken, die VPN-Gateways verwenden.
Mehrere virtuelle Netzwerke, die mit demselben lokalen Standort verbunden sind.
Konnektivität mit mehreren Standorten.
Virtuelle Netzwerke mit aktivierten erzwungenen Tunneln.
Welche Szenarien werden für die Migration von VPN-Gateways von „Klassisch“ zu Resource Manager nicht unterstützt?
Folgende Szenarien werden nicht unterstützt:
Ein virtuelles Netzwerk mit sowohl einem ExpressRoute-Gateway als auch einem VPN-Gateway.
Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway, das mit einem Netzwerk in einem anderen Abonnement verbunden ist.
Übertragungsszenarios in denen VM-Erweiterungen mit lokalen Servern verbunden sind.
Wo finde ich weitere Informationen zur Migration von „Klassisch“ zu Resource Manager?
Lesen Sie häufig gestellte Fragen zur klassischen Azure Resource Manager-Migration.
Kann ich eine gelöschte öffentliche IP-Adresse wiederherstellen?
Nein. Sobald eine öffentliche Azure-IP-Adresse gelöscht wurde, kann sie nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Anzeigen, Ändern von Einstellungen für oder Löschen einer öffentlichen IP-Adresse.
Wie kann ich ein Problem melden?
Sie können Fragen zu Migrationsproblemen auf der Microsoft Q&A-Seite posten. Wir empfehlen, alle Fragen in diesem Forum zu veröffentlichen. Wenn Sie über einen Supportvertrag verfügen, können Sie auch eine Supportanfrage stellen.