Azure Virtual Network – häufig gestellte Fragen

Grundeinstellungen

Was ist ein virtuelles Netzwerk?

Ein virtuelles Netzwerk ist eine Darstellung Ihres eigenen Netzwerks in der Cloud, wie es vom Azure Virtual Network-Dienst bereitgestellt wird. Ein virtuelles Netzwerk ist eine logische Isolierung der dedizierten Azure-Cloud für Ihr Abonnement.

Sie können virtuelle Netzwerke verwenden, um virtuelle private Netzwerke (Virtual Private Networks, VPNs) in Azure bereitzustellen und zu verwalten. Optional können Sie virtuelle Netzwerke mit anderen virtuellen Netzwerken in Azure oder mit Ihrer lokalen IT-Infrastruktur verknüpfen, um hybride oder standortübergreifende Lösungen zu erstellen.

Jedes virtuelle Netzwerk, das Sie erstellen, verfügt über einen eigenen CIDR-Block. Sie können ein virtuelles Netzwerk mit anderen virtuellen Netzwerken und lokalen Netzwerken verknüpfen, solange sich die CIDR-Blöcke nicht überlappen. Sie können auch die DNS-Servereinstellungen für virtuelle Netzwerke einschließlich der Segmentierung des virtuellen Netzwerks in Subnetze steuern.

Verwenden Sie virtuelle Netzwerke, um:

• Ein dediziertes, privates virtuelles Netzwerk zu erstellen, das auf die Cloud beschränkt ist. Manchmal benötigen Sie keine standortübergreifende Konfiguration für Ihre Lösung. Wenn Sie ein virtuelles Netzwerk erstellen, können die Dienste und VMs in Ihrem virtuellen Netzwerk direkt und sicher in der Cloud miteinander kommunizieren. Sie können trotzdem in Ihrer Lösung Endpunktverbindungen für die virtuellen Computer und Dienste konfigurieren, die eine Internetkommunikation erfordern.

• Ihr Rechenzentrum sicher zu erweitern. Mit virtuellen Netzwerken können Sie herkömmliche Standort-zu-Standort-VPNs (S2S) erstellen, um die Kapazität des Rechenzentrums sicher zu skalieren. S2S-VPNs verwenden IPsec, um eine sichere Verbindung zwischen dem unternehmenseigenen VPN-Gateway und Azure bereitzustellen.

• Unterstützung von Hybrid Cloud-Szenarien. Sie können cloudbasierte Anwendungen auf sichere Weise mit beliebigen lokalen Systemen verbinden, einschließlich Mainframes oder Unix-Systemen.

Wie fange ich an?

Gehen Sie zur Dokumentation von Azure Virtual Network, um Informationen zu den ersten Schritten zu erhalten. Hierbei handelt es sich um Übersichts- und Bereitstellungsinformationen für alle Features von virtuellen Netzwerken.

Kann ich virtuelle Netzwerke ohne standortübergreifende Konnektivität verwenden?

Ja. Sie können ein virtuelles Netzwerk verwenden, ohne es mit Ihrer lokalen Umgebung verbinden zu müssen. Sie können beispielsweise Microsoft Windows Server Active Directory-Domänencontroller und SharePoint-Farmen nur in einem virtuellen Netzwerk von Azure ausführen.

Kann ich eine WAN-Optimierung zwischen virtuellen Netzwerken oder zwischen einem virtuellen Netzwerk und meinem lokalen Rechenzentrum durchführen?

Ja. Sie können ein virtuelles Netzwerkgerät für die WAN-Optimierung von mehreren Anbietern über Azure Marketplace bereitstellen.

Konfiguration

Welche Tools werden zum Erstellen eines virtuellen Netzwerks verwendet?

Sie können die folgenden Tools zum Erstellen oder Konfigurieren eines virtuellen Netzwerks verwenden:

• Azure-Portal
• PowerShell
• Azure CLI
• Netzwerkkonfigurationsdatei (netcfg, nur für klassische virtuelle Netzwerke)

Welche Adressbereiche kann ich in meinen virtuellen Netzwerken verwenden?

Wir empfehlen, die folgenden Adressbereiche zu verwenden, die in RFC 1918 aufgezählt werden. Die IETF hat diese Bereiche für private, nicht routingfähige Adressräume reserviert.

• 10.0.0.0 bis 10.255.255.255 (10/8 Präfix)
• 172.16.0.0 bis 172.31.255.255 (172.16/12 Präfix)
• 192.168.0.0 bis 192.168.255.255 (192.168/16 Präfix)

Sie können auch den freigegebenen Adressraum bereitstellen, der in RFC 6598 reserviert ist und in Azure als privater IP-Adressraum behandelt wird:

• 100.64.0.0 bis 100.127.255.255 (100.64/10 Präfix)

Andere Adressräume, einschließlich aller anderen von der IETF anerkannten privaten, nicht-routingfähigen Adressräume, können funktionieren, haben aber möglicherweise unerwünschte Nebeneffekte.

Die folgenden Adressbereiche können nicht hinzugefügt werden:

• 224.0.0.0/4 (Multicast)
• 255.255.255.255/32 (Übertragung)
• 127.0.0.0/8 (Loopback)
• 169.254.0.0/16 (verbindungslokal)
• 168.63.129.16/32 (Internes DNS)

Kann ich öffentliche IP-Adressen in meinen virtuellen Netzwerken verwenden?

Ja. Weitere Informationen zu öffentlichen IP-Adressbereichen finden Sie unter Create, change, or delete a virtual network (Erstellen, Ändern oder Löschen eines virtuellen Netzwerks). Auf öffentliche IP-Adressen kann nicht direkt über das Internet zugegriffen werden.

Ist die Anzahl der Subnetze im virtuellen Netzwerk begrenzt?

Ja. Weitere Informationen dazu finden Sie unter Netzwerkgrenzwerte. Die Adressräume von Subnetzen können sich nicht überlappen.

Unterliegen die in den Subnetzen verwendeten IP-Adressen bestimmten Beschränkungen?

Ja. Azure reserviert die ersten vier IP-Adressen und die letzte IP-Adresse, d. h. insgesamt fünf IP-Adressen in jedem Subnetz.

Der IP-Adressbereich 192.168.1.0/24 weist beispielsweise die folgenden reservierten Adressen auf:

• 192.168.1.0: Netzwerkadresse.
• 192.168.1.1: Von Azure für das Standardgateway reserviert.
• 192.168.1.2, 192.168.1.3: Von Azure reserviert, um die Azure DNS-IP-Adressen dem virtuellen Netzwerkbereich zuzuordnen.
• 192.168.1.255: Netzwerkübertragungsadresse.

Wie ist die minimale und maximale Größe virtueller Netzwerke und Subnetze?

Das kleinste unterstützte IPv4-Subnetz ist /29, das größte Subnetz ist /2 (gemäß CIDR-Subnetzdefinitionen). IPv6-Subnetze müssen exakt /64 groß sein.

Kann ich VLANs mithilfe von virtuellen Netzwerken in Azure integrieren?

Nein. Virtuelle Netzwerke sind Layer-3-Overlays. Layer-2-Semantik wird in Azure nicht unterstützt.

Können benutzerdefinierte Routingrichtlinien für virtuelle Netzwerke und Subnetze festgelegt werden?

Ja. Sie können eine Routingtabelle erstellen und einem Subnetz zuordnen. Weitere Informationen zum Routing in Azure finden Sie unter Benutzerdefinierte Routen.

Wie sieht das Verhalten aus, wenn ich sowohl eine Netzwerksicherheitsgruppe (NSG) als auch benutzerdefinierte Routen (UDR) im Subnetz anwende?

Für eingehenden Datenverkehr werden eingehende Regeln für Netzwerksicherheitsgruppen (NSG) verarbeitet. Für ausgehenden Datenverkehr werden NSG-Ausgangsregeln gefolgt von UDR-Regeln (User-Defined Route) verarbeitet.

Wie sieht das Verhalten aus, wenn ich eine Netzwerksicherheitsgruppe (NSG) für einen Netzwerkadapter (NIC) und ein Subnetz für eine VM anwende?

Wenn Sie NSGs sowohl auf einem Netzwerkadapter (NIC) als auch in einem Subnetz für eine VM anwenden:

• Eine NSG auf Subnetzebene, gefolgt von einer NSG auf NIC-Ebene, wird für eingehenden Datenverkehr verarbeitet.
• Eine NSG auf NIC-Ebene, gefolgt von einer NSG auf Subnetzebene, wird für ausgehenden Datenverkehr verarbeitet.

Unterstützen virtuelle Netzwerke Multicasting oder Broadcasting?

Nein. Multicast und Broadcast werden nicht unterstützt.

Welche Protokolle kann ich in virtuellen Netzwerken verwenden?

Sie können die Protokolle TCP, UDP, ESP, AH und ICMP TCP/IP in virtuellen Netzwerken verwenden.

Unicast wird in virtuellen Netzwerken unterstützt. Verkapselte Multicast-, Broadcast- und IP-in-IP-Pakete sowie GRE-Pakete (Generic Routing Encapsulation) werden in virtuellen Netzwerken blockiert. Nicht möglich ist das Verwenden von DHCP (Dynamic Host Configuration Protocol) über Unicast (Quellport UDP/68, Zielport UDP/67). Gleiches gilt für den UDP-Quellport 65330, der für den Host reserviert ist.

Kann ich einen DHCP-Server in einem virtuellen Netzwerk bereitstellen?

Virtuelle Azure-Netzwerke bieten DHCP-Dienste und DNS für Virtuelle Azure-Computer. Sie können jedoch auch einen DHCP-Server auf einem virtuellen Azure-Computer bereitstellen, um die lokalen Clients über einen DHCP-Relay-Agent zu bedienen.

Der DHCP-Server in Azure wurde zuvor als „nicht unterstützt“ gekennzeichnet, da der Datenverkehr zum Port UDP/67 in Azure eingeschränkt war. Die neuesten Plattformupdates haben jedoch die Ratenbegrenzung entfernt, wodurch diese Funktion aktiviert wird.

Hinweis

Der lokale Client für DHCP-Server (Quellport „UDP/68“, Zielport „UDP/67“) wird in Azure immer noch nicht unterstützt, da dieser Datenverkehr abgefangen und anders verarbeitet wird. Dies führt also zu einigen Timeoutmeldungen zum Zeitpunkt der DHCP-VERLÄNGERUNG bei T1, wenn der Client direkt versucht, den DHCP-Server in Azure zu erreichen, dies sollte jedoch erfolgreich sein, wenn der Versuch zur DHCP-VERLÄNGERUNG über den DHCP-Relay-Agent bei T2 durchgeführt wird. Weitere Informationen zu den T1- und T2-DHCP-VERLÄNGERUNGS-Timern finden Sie unter RFC 2131.

Kann ich ein Standardgateway in einem virtuellen Netzwerk pingen?

Nein. Ein von Azure bereitgestelltes Standardgateway reagiert nicht auf Ping. Sie können jedoch Ihre virtuellen Netzwerke pingen, um die Konnektivität und Problembehandlung zwischen VMs zu überprüfen.

Können Verbindungsdiagnosen mit "tracert" durchgeführt werden?

Ja.

Kann ich Subnetze hinzufügen, nachdem das virtuelle Netzwerk erstellt wurde?

Ja. Sie können jederzeit Subnetze zu virtuellen Netzwerken hinzufügen, sofern diese beiden Bedingungen erfüllt sind:

• Der Adressbereich des Subnetzes ist nicht Teil eines anderen Subnetzes.
• Im Adressbereich des virtuellen Netzwerks ist Speicherplatz verfügbar.

Kann die Größe des Subnetzes nach dessen Erstellung geändert werden?

Ja. Sie können ein Subnetz hinzufügen, entfernen, erweitern oder verkleinern, wenn darin keine VMs oder Dienste bereitgestellt werden.

Kann ich ein virtuelles Netzwerk ändern, nachdem ich es erstellt habe?

Ja. Sie können die CIDR-Blöcke, die von einem virtuellen Netzwerk verwendet werden, hinzufügen, entfernen und ändern.

Kann ich eine Verbindung mit dem Internet herstellen, wenn ich Dienste in einem virtuellen Netzwerk ausführe?

Ja. Alle Dienste, die innerhalb eines virtuellen Netzwerks bereitgestellt werden, können eine Verbindung mit dem Internet herstellen. Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Verwendung von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Wenn Sie mit einer Ressource eine Verbindung in eingehender Richtung herstellen möchten, die über Azure Resource Manager bereitgestellt wurde, muss der Ressource eine öffentliche IP-Adresse zugewiesen sein. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer öffentlichen Azure-IP-Adresse.

Jeder in Azure bereitgestellte Clouddienst verfügt über eine öffentlich adressierbare, zugewiesene VIP-Adresse (virtuelle IP). Sie müssen Eingabeendpunkte für PaaS-Rollen (Platform-as-a-Service) und Endpunkte für VMs definieren, damit diese Dienste Verbindungen über das Internet annehmen können.

Unterstützen virtuelle Netzwerke IPv6?

Ja. Virtuelle Netzwerke können „Nur-IPv4“ oder „Dual-Stack“ sein (IPv4 und IPv6). Weitere Informationen finden Sie unter Was ist IPv6 für Azure Virtual Network?.

Kann sich ein virtuelles Netzwerk über mehrere Regionen erstrecken?

Nein. Ein virtuelles Netzwerk ist auf eine Region beschränkt. Ein virtuelles Netzwerk erstreckt sich jedoch über Verfügbarkeitszonen. Weitere Informationen zu Verfügbarkeitszonen finden Sie unter Was sind Azure-Regionen und -Verfügbarkeitszonen?.

Mithilfe von Peering virtueller Netzwerke können Sie Verbindungen zwischen virtuellen Netzwerken in verschiedenen Regionen herstellen. Weitere Informationen finden Sie unter Peering virtueller Netzwerke.

Kann ich ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk in Azure verbinden?

Ja. Sie können ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk wie folgt verbinden:

• Peering virtueller Netzwerke. Weitere Informationen finden Sie unter Peering virtueller Netzwerke.
• Mit einem Azure VPN-Gateway. Weitere Informationen finden Sie unter Konfigurieren einer Netzwerk-zu-Netzwerk-VPN-Gatewayverbindung.

Namensauflösung (DNS)

Welche DNS-Optionen sind für virtuelle Netzwerke verfügbar?

Verwenden Sie die Entscheidungstabelle unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken, um die verfügbaren DNS-Optionen kennenzulernen.

Kann ich DNS-Server für virtuelle Netzwerke angeben?

Ja. Sie können IP-Adressen für DNS-Server in den Einstellungen des virtuellen Netzwerks angeben. Die Einstellung gilt als DNS-Standardserver oder Server für alle VMs im virtuellen Netzwerk.

Wie viele DNS-Server können angegeben werden?

Weitere Informationen finden Sie unter Netzwerkgrenzwerte.

Kann ich DNS-Server ändern, nachdem ich das Netzwerk erstellt habe?

Ja. Sie können die Liste der DNS-Server für das virtuelle Netzwerk jederzeit ändern.

Wenn Sie Ihre DNS-Serverliste ändern, müssen Sie für alle betroffenen VMs im virtuellen Netzwerk eine Verlängerung der DHCP-Leasedauer durchführen. Die neuen DNS-Einstellungen werden nach der Leasedauer-Verlängerung wirksam. Bei VMs, auf denen Windows ausgeführt wird, können Sie die Leasedauer verlängern, indem Sie ipconfig /renew direkt in der VM eingeben. Im Fall von anderen Betriebssystemtypen, lesen Sie bitte die Dokumentation zur DHCP-Leasedauer-Verlängerung.

Was ist das von Azure bereitgestellte DNS und wie funktioniert es bei virtuellen Netzwerken?

Das von Azure bereitgestellte DNS ist ein von Microsoft angebotener mehrinstanzenfähiger DNS-Dienst. In Azure werden Ihre gesamten VMs und Clouddienst-Rolleninstanzen dieses Diensts registriert. Dieser Dienst ermöglicht die Namensauflösung:

• Nach Hostnamen für VMs und Rolleninstanzen im selben Clouddienst.
• Durch vollqualifizierte Domänen (FQDN) für VMs und Rolleninstanzen im selben virtuellen Netzwerk.

Weitere Informationen zu DNS finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.

Die mandantenübergreifende Namensauflösung mithilfe des von Azure bereitgestellten DNS-Diensts ist auf die ersten 100 Clouddienste in einem virtuellen Netzwerk beschränkt. Diese Einschränkung gilt nicht, wenn Sie einen eigenen DNS-Server verwenden.

Kann ich DNS-Einstellungen für jede VM oder jeden Clouddienst überschreiben?

Ja. Sie können DNS-Server für jede VM oder jeden Clouddienst festlegen, um die standardmäßigen Netzwerkeinstellungen zu überschreiben. Es wird jedoch empfohlen, nach Möglichkeit den netzwerkweiten DNS-Server zu verwenden.

Können benutzerdefinierte DNS-Suffixe angegeben werden?

Nein. Sie können kein benutzerdefiniertes DNS-Suffix für virtuelle Netzwerke angeben.

Verbinden von virtuellen Computern

Kann ich VMs in einem virtuellen Netzwerk bereitstellen?

Ja. Alle Netzwerkadapter (NICs) einer VM, die mit dem Resource Manager-Bereitstellungsmodell bereitgestellt wurden, müssen mit einem virtuellen Netzwerk verbunden sein. Optional können Sie VMs, die über das klassische Bereitstellungsmodell bereitgestellt wurden, mit einem virtuellen Netzwerk verbinden.

Wie lauten die Typen von IP-Adressen, die ich VMs zuweisen kann?

• Privat: Wird jeder NIC auf jeder VM über die statische oder dynamische Methode zugewiesen. Private IP-Adressen werden aus dem Bereich zugewiesen, den Sie in den Subnetzeinstellungen Ihres virtuellen Netzwerks angegeben haben.

  Mit dem klassischen Bereitstellungsmodell bereitgestellten Ressourcen werden private IP-Adressen zugewiesen, selbst wenn keine Verbindung mit einem virtuellen Netzwerk besteht. Das Verhalten der Zuordnungsmethode unterscheidet sich abhängig davon, ob Sie eine Ressource mit dem Resource Manager-Bereitstellungsmodell oder mit dem klassischen Bereitstellungsmodell bereitgestellt haben:

  • Resource Manager: Eine mit der dynamischen oder statischen Methode zugewiesene private IP-Adresse bleibt einer VM (Resource Manager) zugewiesen, bis die Ressource gelöscht wird. Der Unterschied besteht darin, dass bei Verwendung der statischen Methode Sie die zuzuweisende Adresse auswählen, und bei Verwendung der dynamischen Methode Azure die Adresse auswählt.
  • Klassisch: Eine mit der dynamischen Methode zugewiesene private IP-Adresse ändert sich möglicherweise, wenn eine VM (klassisch) neu gestartet wird, nachdem sie im Zustand „Beendet“ (Zuordnung aufgehoben) war. Wenn Sie sicherstellen müssen, dass sich die private IP-Adresse einer Ressource, die über das klassische Bereitstellungsmodell bereitgestellt wurde, nie ändert, weisen Sie eine private IP-Adresse mit der statischen Methode zu.

• Öffentlich: Kann optional NICs von VMs zugewiesen werden, die über das Resource Manager-Bereitstellungsmodell bereitgestellt wurden. Sie können die Adresse mithilfe der statischen oder dynamischen Zuordnungsmethode zuweisen.

  Alle VMs und Azure Cloud Services-Rolleninstanzen, die über das klassische Bereitstellungsmodell bereitgestellt werden, sind in einem Clouddienst vorhanden. Dem Clouddienst wird eine dynamische, öffentliche VIP-Adresse zugewiesen. Sie können optional eine öffentliche statische IP-Adresse, die als reservierte IP-Adresse bezeichnet wird, als VIP zuweisen.

  Sie können öffentliche IP-Adressen einzelnen VMs oder Cloud Services-Rolleninstanzen zuweisen, die mit dem klassischen Bereitstellungsmodell bereitgestellt wurden. Diese Adressen werden als ILPIP-Adressen (Instance Level Public IP, öffentliche IP-Adresse auf Instanzebene) bezeichnet und können dynamisch zugewiesen werden.

Kann ich eine private IP-Adresse für eine VM reservieren, die ich zu einem späteren Zeitpunkt erstelle?

Nein. Eine private IP-Adresse kann nicht reserviert werden. Wenn eine private IP-Adresse verfügbar ist, wird sie einer VM oder einer Rolleninstanz durch den DHCP-Server zugewiesen. Die VM kann der Computer sein, dem Sie die interne IP-Adresse zuweisen möchten. Dies muss aber nicht der Fall sein. Sie können aber die private IP-Adresse einer erstellten VM in eine verfügbare private IP-Adresse ändern.

Ändern sich private IP-Adressen für VMs in einem virtuellen Netzwerk?

Das ist unterschiedlich. Wenn Sie die VM mithilfe des Resource Manager bereitgestellt haben, können sich die IP-Adressen nicht ändern, unabhängig davon, ob Sie die Adressen mithilfe der statischen oder dynamischen Zuordnungsmethode zugewiesen haben. Wenn Sie die VM mithilfe des klassischen Bereitstellungsmodells bereitgestellt haben, können sich dynamische IP-Adressen ändern, wenn Sie eine VM starten, die sich im Zustand „Beendet“ (Zuordnung aufgehoben) befand.

Die Adresse einer VM, die über eins der beiden Bereitstellungsmodelle bereitgestellt wurde, wird freigegeben, wenn Sie die VM löschen.

Kann ich IP-Adressen den NICs im VM-Betriebssystem manuell zuordnen?

Ja, aber dies wird nur empfohlen, wenn es unbedingt notwendig ist, etwa beim Zuweisen mehrerer IP-Adressen zu einer VM. Weitere Informationen finden Sie unter Zuweisen von mehreren IP-Adressen zu virtuellen Computern.

Falls sich die IP-Adresse ändert, die einer an eine VM angefügten Azure-NIC zugewiesen ist, und die IP-Adresse im VM-Betriebssystem sich davon unterscheidet, geht die Konnektivität zur VM verloren.

Was passiert mit meinen IP-Adressen, wenn ich einen Clouddienst-Bereitstellungsslot beende oder eine VM über das Betriebssystem herunterfahre?

Nichts. Die IP-Adressen (öffentliche VIP, öffentlich und privat) bleiben dem Clouddienst-Bereitstellungsslot bzw. der VM zugewiesen.

Kann ich VMs in einem virtuellen Netzwerk aus einem Subnetz in ein anderes Subnetz verschieben, ohne erneute Bereitstellung?

Ja. Weitere Informationen finden Sie unter Verschieben eines virtuellen Computers oder einer Rolleninstanz in ein anderes Subnetz.

Kann eine statische MAC-Adresse für einen virtuellen Computer konfiguriert werden?

Nein. Sie können eine MAC-Adresse nicht statisch konfigurieren.

Bleibt die MAC-Adresse einer VM nach ihrer Erstellung unverändert?

Ja. Die MAC-Adresse bleibt für eine VM so lange erhalten, bis Sie sie löschen. Dabei spielt es keine Rolle, ob die VM über das Resource Manager- oder das klassische Bereitstellungsmodell bereitgestellt wurde.

Zuvor wurde die MAC-Adresse freigegeben, wenn Sie die VM auf den Status „Beendet“ (Zuordnung aufgehoben) gesetzt haben. Jetzt behält die VM jedoch die MAC-Adresse bei, wenn sie sich im Status „Zuordnung aufgehoben“ befindet. Die MAC-Adresse bleibt dem Netzwerkadapter zugewiesen, bis Sie eine der folgenden Aufgaben ausführen:

• Löschen des Netzwerkadapters.
• Ändern Sie die private IP-Adresse, die der primären IP-Konfiguration des primären Netzwerkadapters zugewiesen ist.

Kann ich von einer VM in einem virtuellen Netzwerk eine Verbindung mit dem Internet herstellen?

Ja. Für alle in einem virtuellen Netzwerk bereitgestellten VMs und Cloud Services-Rolleninstanzen kann eine Verbindung mit dem Internet hergestellt werden.

Azure-Dienste, die eine Verbindung mit virtuellen Netzwerken herstellen

Kann ich Web-Apps mit einem virtuellen Netzwerk verwenden?

Ja. Sie können das Web-Apps-Feature von Azure App Service in einem virtuellen Netzwerk bereitstellen, indem Sie eine App Service-Umgebung verwenden. Anschließend können Sie folgende Aktionen ausführen:

• Verbinden Sie das Back-End Ihrer Apps mit Ihren virtuellen Netzwerken mithilfe der Integration virtueller Netzwerke.
• Sperren Sie eingehenden Datenverkehr für Ihre App mithilfe von Dienstendpunkten.

Weitere Informationen finden Sie in den folgenden Artikeln:

• App Service-Netzwerkfunktionen
• Verwenden einer App Service-Umgebung
• Integrieren Ihrer App in ein Azure Virtual Network
• Einrichten von Azure App Service-Zugriffseinschränkungen

Kann ich Clouddienste mit Web- und Workerrollen (PaaS) in einem virtuellen Netzwerk bereitstellen?

Ja. Sie können Rolleninstanzen von Clouddiensten (optional) in virtuellen Netzwerken bereitstellen. Hierfür geben Sie den Namen des virtuellen Netzwerks und die Rollen-/Subnetzzuordnungen im Netzwerkkonfigurationsabschnitt der Dienstkonfiguration an. Sie müssen keine Binärdateien aktualisieren.

Kann ich für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen?

Ja. Sie müssen für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen.

Gibt es eine vollständige Liste der Azure-Dienste, über die ich Ressourcen in einem virtuellen Netzwerk bereitstellen kann?

Ja. Ausführliche Informationen finden Sie unter Bereitstellen von dedizierten Azure-Diensten in virtuellen Netzwerken.

Wie kann ich den Zugriff auf Azure PaaS-Ressourcen über ein virtuelles Netzwerk einschränken?

Ressourcen, die über ausgewählte Azure PaaS-Dienste (wie Azure Storage und Azure SQL-Datenbank) bereitgestellt werden, können den Netzwerkzugriff auf das virtuelle Netzwerk durch die Verwendung von virtuellen Netzwerkdienstendpunkten oder Azure Private Link einschränken. Weitere Informationen finden Sie unter VNET-Dienstendpunkte und Was ist Azure Private Link?.

Können Dienste in und aus virtuellen Netzwerken verschoben werden?

Nein. Sie können Dienste nicht in und aus virtuellen Netzwerken verschieben. Wenn Sie eine Ressource in ein anderes virtuelles Netzwerk verschieben möchten, müssen Sie die Ressource löschen und neu bereitstellen.

Sicherheit

Welches Sicherheitsmodell wird für virtuelle Netzwerke verwendet?

Virtuelle Netzwerke werden von anderen virtuellen Netzwerken und anderen in der Azure-Infrastruktur gehosteten Diensten isoliert ausgeführt. Ein virtuelles Netzwerk ist eine Vertrauensstellungsgrenze.

Kann ich den eingehenden oder ausgehenden Datenverkehr auf Ressourcen beschränken, die mit einem virtuellen Netzwerk verbunden sind?

Ja. Sie können Netzwerksicherheitsgruppen auf einzelne Subnetze in einem virtuellen Netzwerk, an ein virtuelles Netzwerk angefügte NICs oder beides anwenden.

Kann ich eine Firewall zwischen Ressourcen implementieren, die mit einem virtuellen Netzwerk verbunden sind?

Ja. Sie können ein virtuelles Netzwerkgerät für eine Firewall von mehreren Anbietern über Azure Marketplace bereitstellen.

Sind Informationen zum Schützen virtueller Netzwerke verfügbar?

Ja. Weitere Informationen finden Sie unter Übersicht über die Netzwerksicherheit in Azure.

Speichern virtuelle Netzwerke Kundendaten?

Nein. In virtuellen Netzwerken werden keine Kundendaten gespeichert.

Kann ich die Eigenschaft FlowTimeoutInMinutes für ein ganzes Abonnement festlegen?

Nein. Sie müssen die Eigenschaft FlowTimeoutInMinutes im virtuellen Netzwerk festlegen. Mit dem folgenden Code können Sie diese Eigenschaft für größere Abonnements automatisch festlegen:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

APIs, Schemas und Tools

Kann ich virtuelle Netzwerke mit Code verwalten?

Ja. Sie können REST-APIs für virtuelle Netzwerke im Rahmen des Azure Resource Manager-Bereitstellungsmodells und des klassischen Bereitstellungsmodells verwenden.

Sind Tools zur Unterstützung virtueller Netzwerke verfügbar?

Ja. Weitere Informationen zur Verwendung von folgenden Tools:

• Azure-Portal: Bereitstellen von virtuellen Netzwerken über das Azure Resource Manager- und klassische Bereitstellungsmodell.
• PowerShell für die Verwaltung von virtuellen Netzwerken, die über das Resource Manager-Bereitstellungsmodell bereitgestellt werden.
• Azure-Befehlszeilenschnittstelle oder die klassische Azure CLI zum Bereitstellen und Verwalten von virtuellen Netzwerken, die über das Resource Manager-Modell und das klassische Bereitstellungsmodell bereitgestellt werden.

Peering in virtuellen Netzwerken

Was ist Peering virtueller Netzwerke?

Peering virtueller Netzwerke ermöglicht Ihnen, virtuelle Netzwerke miteinander zu verbinden. Über eine Peeringverbindung zwischen virtuellen Netzwerken können Sie Datenverkehr privat über IPv4-Adressen weiterleiten.

VMs in den anhand von Peering verknüpften virtuellen Netzwerken können miteinander kommunizieren, als ob sie sich im gleichen Netzwerks befinden. Diese virtuellen Netzwerke können sich in der gleichen Region oder in verschiedenen Regionen befinden (auch bekannt als globales Peering virtueller Netzwerke).

Sie können auch Verbindungen für das Peering virtueller Netzwerke in Azure-Abonnements erstellen.

Kann ich eine Peeringverbindung mit einem virtuellen Netzwerk in einer anderen Region herstellen?

Ja. Ein globales Peering virtueller Netzwerke ermöglicht das Peering virtueller Netzwerke in unterschiedlichen Regionen. Globales Peering virtueller Netzwerke ist in allen öffentlichen Azure-Regionen, China-Cloudregionen und Government-Cloudregionen verfügbar. Das globale Peering von öffentlichen Azure-Regionen in nationale Cloudregionen ist nicht möglich.

Welche Einschränkungen gibt es im Zusammenhang mit globalem Peering virtueller Netzwerke und Lastenausgleichsmodulen?

Wenn die beiden virtuellen Netzwerke in zwei Regionen mittels Peering über das globale Peering virtueller Netzwerke verbunden sind, können Sie über die Front-End-IP des Lastenausgleichsmoduls keine Verbindung mit Ressourcen herstellen, die sich hinter einem Lastenausgleichsmodul im Tarif „Basic“ befinden. Diese Einschränkung gilt nicht für einen Standard-Lastenausgleich.

Die folgenden Ressourcen können Lastenausgleichsmodule im Tarif „Basic“ verwenden, d. h. Sie können sie nicht über die Front-End-IP-Adresse des Lastenausgleichsmoduls über globales Peering virtueller Netzwerke erreichen. Sie können jedoch globales Peering virtueller Netzwerke verwenden, um die Ressourcen direkt über ihre privaten virtuellen Netzwerk-IP-Adressen zu erreichen, sofern dies zulässig ist.

• VMs hinter Basic-Lastenausgleichsmodulen
• VM-Skalierungsgruppen mit Basic-Lastenausgleichsmodulen
• Azure Cache for Redis
• Azure Application Gateway v1
• Azure Service Fabric
• Azure API Management stv1
• Microsoft Entra Domain Services
• Azure Logic Apps
• Azure HDInsight
• Azure Batch
• App Service-Umgebung v1 und v2

Sie können eine Verbindung mit diesen Ressourcen über Azure ExpressRoute oder Netzwerk-zu-Netzwerk-Verbindungen über Gateways für virtuelle Netzwerke herstellen.

Kann ich das Peering virtueller Netzwerke aktivieren, wenn meine virtuellen Netzwerke zu Abonnements in verschiedenen Azure Active Directory-Mandanten gehören?

Ja. Es ist möglich, das Peering virtueller Netzwerke (lokal oder global) einzurichten, wenn Ihre Abonnements zu unterschiedlichen Microsoft Entra-Mandanten gehören. Verwenden Sie hierzu das Azure-Portal, PowerShell oder die Azure CLI.

Meine Verbindung für Peering virtueller Netzwerke hat den Status „Initiiert“. Warum kann ich keine Verbindung herstellen?

Wenn Ihre Peeringverbindung den Status Initiiert hat, bedeutet dies, dass Sie nur einen Link erstellt haben. Sie müssen einen bidirektionalen Link erstellen, um eine erfolgreiche Verbindung herzustellen.

Um beispielsweise eine Peeringverbindung zwischen VNET A und VNET B herzustellen, muss ein Link von VNetA zu VNetB und von VNetB zu VNetA erstellt werden. Nach dem Erstellen beider Links ändert sich der Status in Verbunden.

Meine Verbindung für das Peering virtueller Netzwerke hat den Status „Getrennt“. Warum kann ich keine Peeringverbindung herstellen?

Wenn Ihre Verbindung für das Peering virtueller Netzwerke den Status Getrennt hat, bedeutet dies, dass einer der von Ihnen erstellen Links gelöscht wurde. Um eine Peeringverbindung erneut herzustellen, müssen Sie den verbleibenden Link löschen und beide neu erstellen.

Kann ich mein virtuelles Netzwerk über Peering mit einem virtuellen Netzwerk in einem anderen Abonnement verbinden?

Ja. Sie können virtuelle Netzwerke über Abonnements und Regionen hinweg über Peering miteinander verbinden.

Ist das Peering zweier virtueller Netzwerke mit übereinstimmenden oder überlappenden Adressbereichen möglich?

Nein. Sie können das Peering virtueller Netzwerke nicht aktivieren, wenn sich Adressräume überlappen.

Ist das Peering eines virtuellen Netzwerks mit zwei virtuellen Netzwerken möglich, wenn die Option Remotegateway verwenden für beide Peerings aktiviert ist?

Nein. Sie können die Option Remotegateway verwenden nur bei einem Peering in einem der virtuellen Netzwerke aktivieren.

Wie viel Kosten die Links für das Peering virtueller Netzwerke?

Für das Erstellen einer Peeringverbindung für virtuelle Netzwerke fallen keine Gebühren an. Die Datenübertragung über Peeringverbindungen wird in Rechnung gestellt. Weitere Informationen finden Sie unter Virtual Network – Preise.

Wird Datenverkehr für Peering virtueller Netzwerke verschlüsselt?

Wenn Azure-Datenverkehr zwischen Rechenzentren (außerhalb physischer Grenzen, die nicht von Microsoft oder im Auftrag von Microsoft kontrolliert werden) fließt, verwendet die zugrunde liegende Netzwerkhardware eine MACsec-Verschlüsselung für die Sicherungsschicht. Diese Verschlüsselung gilt für Peeringdatenverkehr virtueller Netzwerke.

Warum hat meine Peeringverbindung den Status Getrennt?

Peeringverbindungen von virtuellen Netzwerken werden auf den Status Getrennt gesetzt, wenn ein Peeringlink für virtuelle Netzwerke gelöscht wird. Sie müssen beide Links löschen, um eine erfolgreiche Peeringverbindung wiederherzustellen.

Wenn ich eine Peeringverbindung zwischen VNetA und VNetB sowie VNetB und VNetC herstelle, bedeutet dies, dass eine Peeringverbindung zwischen VNetA und VNetC besteht?

Nein. Transitives Peering wird nicht unterstützt. Sie müssen VNetA manuell mit VNetC peeren.

Gibt es Bandbreiteneinschränkungen für Peeringverbindungen?

Nein. Für das Peering virtueller Netzwerke, ob lokal oder global, bestehen keine Bandbreiteneinschränkungen. Die Bandbreite wird nur durch die VM oder die Computeressource beschränkt.

Wie kann ich Probleme beim Peering virtueller Netzwerke beheben?

Schauen Sie sich den Leitfaden zur Problembehandlung an.

TAP eines virtuellen Netzwerks

Welche Azure-Regionen sind für den TAP eines virtuellen Netzwerks verfügbar?

Die Vorschau des Terminalzugriffspunkts (TAP) für virtuelle Netzwerke ist in allen Azure-Regionen verfügbar. Sie müssen die überwachten Netzwerkadapter, die TAP-Ressource des virtuellen Netzwerks und die Collector- oder Analyselösung in der gleichen Region bereitstellen.

Unterstützt der TAP eines virtuellen Netzwerks Filterfunktionen für die gespiegelten Pakete?

Filterfunktionen werden in der Vorschauversion des TAP für ein virtuelles Netzwerk nicht unterstützt. Wenn Sie eine TAP-Konfiguration zu einem Netzweradapter hinzufügen, wird eine Tiefenkopie des gesamten eingehenden und ausgehenden Datenverkehrs an das TAP-Ziel gestreamt.

Kann ich einem überwachten Netzwerkadapter mehrere TAP-Konfigurationen hinzufügen?

Ein überwachter Netzwerkadapter kann nur über eine TAP-Konfiguration verfügen. Überprüfen Sie die einzelne Partnerlösung auf die Möglichkeit zum Streamen mehrerer Kopien des TAP-Datenverkehrs an die Analysetools Ihrer Wahl.

Kann dieselbe TAP-Ressource eines virtuellen Netzwerks Datenverkehr von überwachten Netzwerkadaptern in mehr als einem virtuellen Netzwerk aggregieren?

Ja. Sie können dieselbe TAP-Ressource eines virtuellen Netzwerks zum Aggregieren von gespiegeltem Datenverkehr von überwachten Netzwerkadaptern in virtuellen Netzwerken mit Peering im gleichen Abonnement oder in einem anderen Abonnement verwenden.

Die TAP-Ressource des virtuellen Netzwerks und der Lastenausgleich oder der Zielnetzwerk-Adapter müssen sich im selben Abonnement befinden. Alle Abonnements müssen demselben Microsoft Entra-Mandanten zugeordnet sein.

Gibt es Überlegungen zur Leistung für Produktionsdatenverkehr, wenn ich eine TAP-Konfiguration für ein virtuelles Netzwerk an einem Netzwerkadapter aktiviere?

Der TAP für virtuelle Netzwerke befindet sich in der Vorschau. Während der Vorschau gibt es keine Vereinbarung zum Servicelevel. Sie sollten die Funktion nicht für Produktionsworkloads verwenden.

Wenn Sie einen Netzwerkadapter einer VM mit einer TAP-Konfiguration aktivieren, werden mit den Ressourcen auf dem Azure-Host, der der VM für das Senden des Produktionsdatenverkehrs zugeordnet ist, auch die Spiegelungsfunktion ausgeführt und die gespiegelten Pakete versendet. Wählen Sie die richtige Größe für einen virtuellen Linux- oder Windows-Computer aus, um sicherzustellen, dass für den virtuellen Computer genügend Ressourcen zum Senden des Produktionsdatenverkehrs und des gespiegelten Datenverkehrs verfügbar sind.

Wird beschleunigter Netzwerkbetrieb für Linux oder Windows mit TAP eines virtuellen Netzwerks unterstützt?

Sie können eine TAP-Konfiguration auf einem Netzwerkadapter hinzufügen, der an eine VM angefügt ist, bei der der beschleunigte Netzwerkbetrieb für Linux oder Windows aktiviert ist. Das Hinzufügen der TAP-Konfiguration wirkt sich jedoch auf die Leistung und Latenz auf der VM aus, da der beschleunigte Netzwerkbetrieb von Azure derzeit die Auslagerung von Spiegelungsdatenverkehr nicht unterstützt.

VNET-Dienstendpunkte

Was ist die richtige Reihenfolge der Vorgänge zum Einrichten von Endpunkten für einen Azure-Dienst?

Das Schützen einer Azure-Dienstressource über Dienstendpunkte erfolgt in zwei Schritten:

1. Aktivieren von Dienstendpunkten für den Azure-Dienst
2. Richten Sie Zugriffssteuerungslisten für virtuelle Netzwerke (ACLs) für den Azure-Dienst ein.

Der erste Schritt ist ein netzwerkseitiger Vorgang, und der zweite Schritt ist ein Vorgang auf der Seite der Dienstressource. Beide Schritte können durch denselben oder verschiedene Administratoren erfolgen, basierend auf den Azure RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) der Administratorrolle.

Wir empfehlen, Dienstendpunkte für Ihr virtuelles Netzwerk zu aktivieren, bevor Sie ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten. Zum Einrichten von Dienstendpunkten für virtuelle Netzwerke müssen Sie die Schritte in der vorherigen Sequenz ausführen.

Hinweis

Sie müssen beide vorherigen Vorgänge ausführen, bevor Sie den Zugriff des Azure-Diensts auf das jeweilige virtuelle Netzwerk und Subnetz beschränken können. Wenn Sie nur die Dienstendpunkte für den Azure-Dienst auf der Netzwerkseite aktivieren, erhalten Sie noch keinen eingeschränkten Zugriff. Sie müssen zusätzlich auch ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts festlegen.

Bestimmte Dienste (z. B. Azure SQL und Azure Cosmos DB) lassen Ausnahmen für die oben angegebene Reihenfolge über das Flag IgnoreMissingVnetServiceEndpoint zu. Nachdem Sie das Flag auf Truefestgelegt haben, können Sie ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten, bevor Sie die Dienstendpunkte auf der Netzwerkseite aktivieren. Azure-Dienste stellen dieses Flag bereit, um Kunden in Fällen zu helfen, in denen die spezifischen IP-Firewalls für Azure-Dienste konfiguriert sind.

Das Aktivieren der Dienstendpunkte auf Netzwerkseite kann zu einem Verbindungsabbruch führen, da die Quell-IP von einer öffentlichen IPv4-Adresse zu einer privaten Adresse wechselt. Durch Einrichten der ACLs für virtuelle Netzwerke auf der Azure-Dienstseite vor der Aktivierung von Dienstendpunkten auf der Netzwerkseite können Sie Verbindungsausfälle vermeiden.

Hinweis

Wenn Sie Dienstendpunkt für bestimmte Dienste wie „Microsoft.AzureActiveDirectory“ aktivieren, können Sie IPV6-Adressverbindungen in Anmeldeprotokollen anzeigen. Microsoft verwendet einen internen privaten IPV6-Bereich für diese Art von Verbindungen.

Befinden sich alle Azure-Dienste in dem vom Kunden bereitgestellten virtuellen Azure-Netzwerk? Wie funktioniert der Dienstendpunkt für virtuelle Netzwerke mit Azure-Diensten?

Es befinden sich nicht alle Azure-Dienste im virtuellen Netzwerk des Kunden. Bei einem Großteil der Azure-Datendienste (wie Azure Storage, Azure SQL und Azure Cosmos DB) handelt es sich um mehrmandantenfähige Dienste, auf die über öffentliche IP-Adressen zugegriffen werden kann. Weitere Informationen finden Sie unter Bereitstellen von dedizierten Azure-Diensten in virtuellen Netzwerken.

Wenn Sie Dienstendpunkte für virtuelle Netzwerke auf Netzwerkseite aktivieren und entsprechende ACLs für virtuelle Netzwerke auf der Azure-Dienstseite einrichten, ist der Zugriff auf einen Azure-Dienst von einem zulässigen virtuellen Netzwerk und Subnetz aus eingeschränkt.

Wie bieten Dienstendpunkte für virtuelle Netzwerke Sicherheit?

Dienstendpunkte für virtuelle Netzwerke beschränken den Zugriff des Azure-Diensts auf das jeweilige virtuelle Netzwerk und Subnetz. Auf diese Weise ermöglichen sie Sicherheit auf Netzwerkebene und eine Isolation des Azure-Dienstdatenverkehrs.

Der gesamte Datenverkehr, der Dienstendpunkte für virtuelle Netzwerke verwendet, fließt über den Microsoft-Backbone, um eine weitere Isolationsschicht vom öffentlichen Internet bereitzustellen. Darüber hinaus können Kunden den Zugriff vom öffentlichen Internet auf die Azure-Dienstressourcen auch vollständig entfernen und nur Datenverkehr vom eigenen virtuellen Netzwerk über eine Kombination aus IP-Firewall und ACLs für virtuelle Netzwerke zulassen. Das Entfernen des Internetzugriffs trägt dazu bei, die Azure-Dienstressourcen vor unbefugtem Zugriff zu schützen.

Was schützt der Dienstendpunkt für virtuelle Netzwerke: virtuelle Netzwerkressourcen oder Azure-Dienstressourcen?

Dienstendpunkte für virtuelle Netzwerke helfen dabei, Azure-Dienstressourcen zu schützen. Ressourcen von virtuellen Netzwerken werden über Netzwerksicherheitsgruppen geschützt.

Fallen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an?

Nein. Es fallen keine zusätzlichen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an.

Kann ich Dienstendpunkte für virtuelle Netzwerke aktivieren und ACLs für virtuelle Netzwerke einrichten, wenn das virtuelle Netzwerk und die Azure-Dienstressourcen zu unterschiedlichen Abonnements gehören?

Ja, das ist möglich. Virtuelle Netzwerke und Ressourcen von Azure-Diensten können sich in demselben oder in unterschiedlichen Abonnements befinden. Es gilt lediglich die Voraussetzung, dass das virtuelle Netzwerk und die Azure-Dienstressourcen zu demselben Microsoft Entra-Mandanten gehören.

Kann ich Dienstendpunkte für virtuelle Netzwerke aktivieren und ACLs für virtuelle Netzwerke einrichten, wenn das virtuelle Netzwerk und die Azure-Dienstressourcen zu unterschiedlichen Microsoft Entra-Mandanten gehören?

Ja. Dies ist möglich, wenn Sie Dienstendpunkte für Azure Storage und Azure Key Vault verwenden. Für andere Dienste werden Dienstendpunkte für virtuelle Netzwerke und ACLs für virtuelle Netzwerke für Microsoft Entra-Mandanten nicht unterstützt.

Kann die IP-Adresse eines lokalen Geräts, das über ein Azure Virtual Network-Gateway (VPN) oder ein ExpressRoute-Gateway verbunden ist, über Dienstendpunkte für virtuelle Netzwerke auf einen Azure-PaaS-Dienst zugreifen?

Standardmäßig sind Azure-Dienstressourcen, die auf virtuelle Netzwerke beschränkt und so geschützt sind, über lokale Netzwerke nicht erreichbar. Wenn Sie Datenverkehr aus der lokalen Umgebung zulassen möchten, müssen Sie auch öffentliche IP-Adressen (meist NAT) aus der lokalen Umgebung bzw. per ExpressRoute zulassen. Sie können diese IP-Adressen über die Konfiguration der IP-Firewall für Azure-Dienstressourcen hinzufügen.

Kann ich mit den Dienstendpunkten für virtuelle Netzwerke Azure-Dienste in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke verwenden?

Zum Schützen von Azure-Diensten in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke können Sie Dienstendpunkte unabhängig voneinander in den einzelnen Subnetzen aktivieren. Sichern Sie dann die Azure-Dienstressourcen in allen Subnetzen, indem Sie entsprechenden ACLs für virtuelle Netzwerke auf der Seite des Azure-Diensts einrichten.

Wie kann ich ausgehenden Datenverkehr aus einem virtuellen Netzwerk an Azure-Dienste filtern und weiterhin Dienstendpunkte verwenden?

Wenn Sie den Datenverkehr, der aus dem virtuellen Netzwerk an einen Azure-Dienst fließen soll, untersuchen und filtern möchten, können Sie in diesem virtuellen Netzwerk ein virtuelles Netzwerkgerät bereitstellen. Anschließend können Sie Dienstendpunkte auf das Subnetz anwenden, in dem das virtuelle Netzwerkgerät bereitgestellt wurde, und Ressourcen des Azure-Diensts mithilfe von ACLs für virtuelle Netzwerke auf dieses Subnetz beschränken.

Dieses Szenario kann auch hilfreich sein, wenn Sie den Zugriff auf den Azure-Dienst aus Ihrem virtuellen Netzwerk per Filterung durch ein virtuelles Netzwerkgerät nur auf bestimmte Azure-Ressourcen beschränken möchten. Weitere Informationen finden Sie unter Bereitstellen von hochverfügbaren NVAs.

Was passiert, wenn jemand von außerhalb des virtuellen Netzwerks auf ein Azure-Dienstkonto zugreift, für das eine Zugriffssteuerungsliste (ACL) für virtuelle Netzwerke aktiviert ist?

Der Dienst gibt einen HTTP 403- oder HTTP 404-Fehler zurück.

Können Subnetze eines virtuellen Netzwerks, die in verschiedenen Regionen erstellt wurden, auf ein Azure-Dienstkonto in einer anderen Region zugreifen?

Ja. Für die meisten Azure-Dienste können in unterschiedlichen Regionen erstellte virtuelle Netzwerke über die Dienstendpunkte für virtuelle Netzwerke auf Azure-Dienste in einer anderen Region zugreifen. Wenn sich ein Azure Cosmos DB-Konto z. B. in einer der Regionen „USA, Westen“ oder „USA, Osten“ befindet und sich virtuelle Netzwerke in mehreren Regionen befinden, können virtuelle Netzwerke auf Azure Cosmos DB zugreifen.

Azure Storage und Azure SQL sind Ausnahmen und regional. Sowohl das virtuelle Netzwerk als auch der Azure-Dienst müssen sich in der gleichen Region befinden.

Kann ein Azure-Dienst sowohl eine ACL für virtuelle Netzwerke als auch eine IP-Firewall aufweisen?

Ja. Eine ACL für virtuelle Netzwerke und eine IP-Firewall können gleichzeitig vorhanden sein. Die Features ergänzen einander, um Isolation und Sicherheit zu gewährleisten.

Was passiert beim Löschen eines virtuellen Netzwerks oder Subnetzes, für das Dienstendpunkte für Azure-Dienste aktiviert sind?

Das Löschen virtueller Netzwerke und das Löschen von Subnetzen sind unabhängige Vorgänge. Sie werden auch dann unterstützt, wenn Sie Dienstendpunkte für Azure-Dienste aktivieren.

Wenn Sie ACLs für virtuelle Netzwerke für Azure-Dienste einrichten, werden die diesen Azure-Diensten zugeordneten ACL-Informationen deaktiviert, wenn Sie ein virtuelles Netzwerk oder Subnetz löschen, in dem Dienstendpunkte für virtuelle Netzwerke aktiviert sind.

Was passiert, wenn ich ein Azure-Dienstkonto lösche, für das ein Dienstendpunkt für virtuelle Netzwerke aktiviert ist?

Das Löschen eines Azure-Dienstkontos ist ein unabhängiger Vorgang. Dieser wird auch dann unterstützt, wenn Sie den Dienstendpunkt auf der Netzwerkseite aktiviert und ACLs für virtuelle Netzwerke auf Seite des Azure-Diensts eingerichtet haben.

Was passiert mit der IP-Quelladresse einer Ressource (z. B. einer VM in einem Subnetz), für die ein Dienstendpunkt für virtuelle Netzwerke aktiviert ist?

Wenn Sie Dienstendpunkte für virtuelle Netzwerke aktiviert haben, verwenden die IP-Quelladressen der Ressourcen im Subnetz des virtuellen Netzwerks keine öffentlichen IPv4-Adressen mehr, sondern private IP-Adressen des virtuellen Azure-Netzwerks, um Datenverkehr an die Azure-Dienste zu leiten. Dieser Wechsel kann zu Fehlern bei bestimmten IP-Firewalls führen, die zuvor in den Azure-Diensten für öffentliche IPv4-Adressen festgelegt wurden.

Hat die Dienstendpunktroute immer Vorrang?

Dienstendpunkte fügen eine Systemroute hinzu, die Vorrang vor BGP-Routen (Border Gateway Protocol) hat und eine optimale Weiterleitung für den Dienstendpunkt-Datenverkehr ermöglicht. Dienstendpunkte leiten den Datenverkehr der Dienste immer direkt aus Ihrem virtuellen Netzwerk an den Dienst im Microsoft Azure-Backbonenetzwerk weiter.

Weitere Informationen zum Auswählen einer Route durch Azure finden Sie unter Datenverkehrsrouting für virtuelle Netzwerke.

Funktionieren Dienstendpunkte mit ICMP?

Nein. ICMP-Datenverkehr, der aus einem Subnetz mit aktivierten Dienstendpunkten stammt, fließt nicht über den Diensttunnelpfad zum gewünschten Endpunkt. Von Dienstendpunkten wird nur TCP-Datenverkehr verarbeitet. Wenn Sie die Latenz oder Konnektivität für einen Endpunkt über Dienstendpunkte testen möchten, wird mit Tools wie Ping und tracert nicht der Pfad angezeigt, der von den Ressourcen im Subnetz genutzt wird.

Wie arbeiten NSGs in einem Subnetz mit Dienstendpunkten zusammen?

Um den Azure-Dienst zu erreichen, müssen NSGs ausgehende Verbindungen zulassen. Wenn Ihre NSGs für sämtlichen ausgehenden Internet-Datenverkehr geöffnet sind, sollte der Datenverkehr für den Dienstendpunkt funktionieren. Sie können den ausgehenden Datenverkehr über Diensttags auch auf Dienst-IP-Adressen beschränken.

Welche Berechtigungen benötige ich, um Dienstendpunkte einzurichten?

Sie können Dienstendpunkte in einem virtuellen Netzwerk unabhängig konfigurieren, wenn Sie Schreibzugriff auf dieses Netzwerk haben.

Um Azure-Dienstressourcen in einem virtuellen Netzwerk zu schützen, müssen Sie für die hinzuzufügenden Subnetze über die Berechtigung Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action verfügen. Diese Berechtigung ist standardmäßig in den integrierten Dienstadministratorrollen enthalten und kann durch Erstellen von benutzerdefinierten Rollen geändert werden.

Weitere Informationen zu integrierten Rollen und dem Zuweisen spezifischer Berechtigungen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.

Kann ich den virtuellen Netzwerkverkehr zu Azure-Diensten über Dienstendpunkte filtern?

Sie können die Richtlinien für Dienstendpunkte in virtuellen Azure-Netzwerken verwenden, um virtuellen Netzwerkdatenverkehr an Azure-Dienste zu filtern, sodass nur bestimmte Azure-Dienstressourcen über Dienstendpunkte zugelassen werden. Endpunktrichtlinien bieten eine differenzierte Zugriffssteuerung für virtuellen Netzwerkdatenverkehr an Azure-Dienste.

Weitere Informationen finden Sie unter Richtlinien für VNET-Dienstendpunkte für Azure Storage.

Unterstützt Microsoft Entra ID Dienstendpunkte für virtuelle Netzwerke?

Microsoft Entra ID unterstützt nativ keine Dienstendpunkte. Eine vollständige Liste der Azure-Dienste, die Dienstendpunkte für virtuelle Netzwerke unterstützen, finden Sie unter Virtual Network-Dienstendpunkte.

Beachten Sie, dass das Tag Microsoft.AzureActiveDirectory, das in den Diensten, die Dienstendpunkte unterstützen, aufgeführt ist, nur für die Unterstützung von Dienstendpunkten für Azure Data Lake Storage Gen1 verwendet wird. Die Integration virtueller Netzwerke für Data Lake Storage Gen1 nutzt die Sicherheit von Dienstendpunkten zwischen Ihrem virtuellen Netzwerk und Microsoft Entra ID, um zusätzliche Sicherheitsansprüche im Zugriffstoken zu generieren. Diese Ansprüche werden dann genutzt, um Ihr virtuelles Netzwerk mit Ihrem Data Lake Storage Gen1-Konto zu authentifizieren und den Zugriff zu ermöglichen.

Gibt es eine Grenze für die Anzahl der Dienstendpunkte für virtuelle Netzwerke, die ich in meinem virtuellen Netzwerk einrichten kann?

Für die Gesamtzahl von Dienstendpunkten in einem virtuellen Netzwerk gilt keine Beschränkung. Für die Ressource eines Azure-Diensts (z.B. ein Azure Storage-Konto) können Dienste Beschränkungen in Bezug auf die Anzahl von Subnetzen erzwingen, die Sie zum Schützen der Ressource verwenden. Die folgende Tabelle zeigt einige Beispielgrenzwerte:

Azure-Dienst	Grenzwerte für Regeln für virtuelle Netzwerke
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure-Servicebus	128
Azure Data Lake Storage Gen1	100

Hinweis

Die Grenzwerte unterlegen Änderungen im alleinigen Ermessen der Azure-Dienste. Details zu den einzelnen Diensten finden Sie in der jeweiligen Dokumentation.

Migrieren klassischer Netzwerkressourcen zu Resource Manager

Was ist Azure Service Manager, und was bedeutet der Begriff „Klassisch“?

Azure Service Manager ist das alte Bereitstellungsmodell von Azure zum Erstellen, Verwalten und Löschen von Ressourcen. Das Wort klassisch in einem Netzwerkdienst bezieht sich auf Ressourcen, die vom Azure Service Manager-Modell verwaltet werden. Weitere Informationen finden Sie unter Vergleich der Bereitstellungsmodelle.

Was ist Azure Resource Manager?

Azure Resource Manager ist das neueste Bereitstellungs- und Verwaltungsmodell in Azure, das zum Erstellen, Verwalten und Löschen von Ressourcen in Ihrem Azure-Abonnement verantwortlich ist. Weitere Informationen finden Sie unter Was ist Azure Resource Manager?.

Kann ich die Migration rückgängig machen, nachdem Ressourcen an Resource Manager committet worden sind?

Sie können die Migration abbrechen, solange sich die Ressourcen noch im Zustand „Vorbereitet“ befinden. Ein Rollback zum vorherigen Bereitstellungsmodell wird nicht unterstützt, nachdem Sie Ressourcen erfolgreich über den Commitvorgang migriert haben.

Kann ich die Migration rückgängig machen, wenn der Commitvorgang nicht erfolgreich war?

Sie können eine Migration nicht umkehren, wenn der Commitvorgang nicht erfolgreich war. Alle Migrationsvorgänge einschließlich Commit können nach dem Start nicht mehr geändert werden. Es wird empfohlen, den Vorgang nach einer kurzen Wartezeit zu wiederholen. Wenn der Vorgang weiterhin nicht erfolgreich ist, senden Sie eine Supportanfrage.

Kann ich mein Abonnement oder meine Ressourcen überprüfen, um zu ermitteln, ob sie für die Migration geeignet sind?

Ja. Der erste Schritt bei der Vorbereitung der Migration besteht darin, zu überprüfen, ob Ressourcen migriert werden können. Falls die Validierung fehlschlägt, erhalten Sie alle Meldungen zu den Gründen, aus denen die Migration nicht abgeschlossen werden kann.

Werden Application Gateway-Ressourcen im Rahmen der Migration von virtuellen Netzwerken von „Klassisch“ zu Resource Manager migriert?

Azure Application Gateway-Ressourcen werden nicht automatisch im Rahmen des Migrationsprozesses für virtuelle Netzwerke migriert. Wenn eine solche Ressource im virtuellen Netzwerk vorhanden ist, ist die Migration nicht erfolgreich. Um eine Application Gateway-Ressource zu Resource Manager zu migrieren, müssen Sie die Application Gateway-Instanz entfernen und neu erstellen, sobald die Migration abgeschlossen ist.

Werden VPN Gateway-Ressourcen im Rahmen der Migration virtueller Netzwerke von „Klassisch“ zu Resource Manager migriert?

VPN Gateway-Ressourcen werden im Rahmen des Migrationsprozesses für virtuelle Netzwerke migriert. Es wird jeweils ein virtuelles Netzwerk ohne andere Anforderungen ausgeführt. Die Migrationsschritte entsprechen der Migration eines virtuellen Netzwerks ohne VPN-Gateway.

Tritt im Zusammenhang mit der Migration klassischer VPN-Gateways zu Resource Manager eine Dienstunterbrechung auf?

Bei der Migration zu Resource Manager tritt keine Dienstunterbrechung bei Ihrer VPN-Verbindung auf. Vorhandene Workloads funktionieren während der Migration weiterhin vollständig ohne Verlust der Konnektivität.

Muss ich nach der Migration des VPN-Gateways zu Resource Manager mein lokales Gerät neu konfigurieren?

Die öffentliche IP-Adresse, die dem VPN-Gateway zugeordnet ist, bleibt auch nach der Migration unverändert. Sie müssen Ihren lokalen Router nicht neu konfigurieren.

Welche Szenarien werden für die Migration von VPN-Gateways von „Klassisch“ zu Resource Manager unterstützt?

Die Migration von „Klassisch“ zu Resource Manager deckt die meisten der gängigen VPN-Konnektivitätsszenarien ab. Folgende Szenarien werden unterstützt:

• Punkt-zu-Standort-Konnektivität.

• Standort-zu-Standort-Konnektivität mit einem VPN-Gateway, der mit einem lokalen Standort verbunden ist.

• Netzwerk-zu-Netzwerkkonnektivität zwischen zwei virtuellen Netzwerken, die VPN-Gateways verwenden.

• Mehrere virtuelle Netzwerke, die mit demselben lokalen Standort verbunden sind.

• Konnektivität mit mehreren Standorten.

• Virtuelle Netzwerke mit aktivierten erzwungenen Tunneln.

Welche Szenarien werden für die Migration von VPN-Gateways von „Klassisch“ zu Resource Manager nicht unterstützt?

Folgende Szenarien werden nicht unterstützt:

• Ein virtuelles Netzwerk mit sowohl einem ExpressRoute-Gateway als auch einem VPN-Gateway.

• Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway, das mit einem Netzwerk in einem anderen Abonnement verbunden ist.

• Übertragungsszenarios in denen VM-Erweiterungen mit lokalen Servern verbunden sind.

Wo finde ich weitere Informationen zur Migration von „Klassisch“ zu Resource Manager?

Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Migration vom klassischen Bereitstellungsmodell zum Azure Resource Manager-Bereitstellungsmodell.

Wie kann ich ein Problem melden?

Sie können Fragen zu Migrationsproblemen auf der Q&A-Seite von Microsoft stellen. Wir empfehlen, alle Fragen in diesem Forum zu veröffentlichen. Wenn Sie über einen Supportvertrag verfügen, können Sie auch eine Supportanfrage stellen.