Was ist Azure Virtual Network?
Azure Virtual Network ist ein Dienst, der den Grundbaustein für Ihr privates Netzwerk in Azure bereitstellt. Eine Instanz des Diensts (ein virtuelles Netzwerk) ermöglicht zahlreichen Azure-Ressourcentypen die sichere Kommunikation untereinander sowie mit dem Internet und lokalen Netzwerken. Zu diesen Azure-Ressourcen gehören virtuelle Computer (VMs).
Virtuelle Netzwerke ähneln den herkömmlichen Netzwerken, die Sie in Ihrem eigenen Rechenzentrum betreiben. Sie bieten jedoch die zusätzlichen Vorteile der Azure-Infrastruktur, wie z. B. Skalierung, Verfügbarkeit und Isolation.
Warum ein virtuelles Azure-Netzwerk verwenden?
Zu den wichtigsten Szenarien, die Sie mit einem virtuellen Netzwerk realisieren können, zählen die folgenden:
Kommunikation von Azure-Ressourcen mit dem Internet.
Kommunikation zwischen Azure-Ressourcen.
Kommunikation mit lokalen Ressourcen.
Filterung des Netzwerkdatenverkehrs.
Routen des Netzwerkdatenverkehrs.
Integration in Azure-Dienste.
Kommunikation mit dem Internet
Alle Ressourcen in einem virtuellen Netzwerk können standardmäßig in ausgehender Richtung mit dem Internet kommunizieren. Sie können auch eine öffentlichen IP-Adresse, ein NAT-Gateway oder einen öffentlichen Lastenausgleich zum Verwalten Ihrer ausgehenden Verbindungen verwenden. Zur Kommunikation in eingehender Richtung muss der entsprechenden Ressource eine öffentliche IP-Adresse oder ein öffentlicher Lastenausgleich zugewiesen werden.
Wenn Sie nur eine interne Instanz von Load Balancer Standard verwenden, ist ausgehende Konnektivität erst verfügbar, wenn Sie definieren, wie ausgehende Verbindungen mit einer öffentlichen IP-Adresse auf Instanzebene oder einer öffentlichen Load Balancer-Instanz verwendet werden sollen.
Kommunikation zwischen Azure-Ressourcen
Azure-Ressourcen können auf eine der folgenden Arten sicher miteinander kommunizieren:
- Virtuelles Netzwerk: Sie können VMs und andere Typen von Azure-Ressourcen in einem virtuellen Netzwerk bereitstellen. Beispiele für Ressourcen sind App Service-Umgebungen, Azure Kubernetes Service (AKS) und Azure Virtual Machine Scale Sets. Eine vollständige Liste der Azure-Ressourcen, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie unter Bereitstellen dedizierter Azure-Dienste in virtuellen Netzwerken.
Hinweis
Wenn Sie einen virtuellen Computer in ein anderes virtuelles Netzwerk verschieben möchten, müssen Sie den virtuellen Computer löschen und im neuen virtuellen Netzwerk neu erstellen. Die Datenträger des virtuellen Computers können für die Verwendung mit dem neuen virtuellen Computer beibehalten werden.
VNet-Dienstendpunkt: Sie können den privaten Adressraum Ihres virtuellen Netzwerks und die Identität Ihres virtuellen Netzwerks über eine direkte Verbindung auf Azure-Dienstressourcen erweitern. Beispiele für Ressourcen sind Azure Storage-Konten und Azure SQL-Datenbank. Mithilfe von Dienstendpunkten können Sie Ihre kritischen Azure-Dienstressourcen auf ein virtuelles Netzwerk beschränken und so schützen. Weitere Informationen finden Sie unter VNET-Dienstendpunkte.
Peering virtueller Netzwerke: Sie können virtuelle Netzwerke mithilfe des virtuellen Peerings miteinander verbinden. Die Ressourcen in beiden virtuellen Netzwerken können dann miteinander kommunizieren. Die verbundenen virtuellen Netzwerke können sich in derselben Azure-Region oder in verschiedenen Azure-Regionen befinden. Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.
Kommunikation mit lokalen Ressourcen
Sie können Ihre lokalen Computer und Netzwerke unter Verwendung beliebiger der folgenden Optionen mit einem virtuellen Netzwerk verbinden:
Point-to-Site-VPN: Dieses Netzwerk wird zwischen einem virtuellen Netzwerk und einem einzelnen Computer in Ihrem Netzwerk eingerichtet. Jeder Computer, der eine Verbindung mit einem virtuellen Netzwerk herstellen möchte, muss eine eigene Verbindung konfigurieren. Dieser Verbindungstyp ist für Neueinsteiger in Azure oder für Entwickler gut geeignet, weil keine oder nur sehr geringe Änderungen an einem vorhandenen Netzwerk erforderlich sind. Die Kommunikation zwischen Ihrem Computer und einem virtuellen Netzwerk wird durch einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Informationen zu Point-to-Site-VPN.
Site-to-Site-VPN: Wird zwischen Ihrem lokalen VPN-Gerät und einem Azure-VPN-Gateway eingerichtet, das in einem virtuellen Netzwerk bereitgestellt wird. Bei diesem Verbindungstyp können alle lokalen Ressourcen, die von Ihnen autorisiert werden, auf ein virtuelles Netzwerk zugreifen. Die Kommunikation zwischen Ihrem lokalen VPN-Gerät und einem Azure-VPN-Gateway wird durch einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Site-to-Site und Multi-Site (IPsec-/IKE-VPN-Tunnel).
Azure ExpressRoute: Wird zwischen Ihrem Netzwerk und Azure über einen ExpressRoute-Partner eingerichtet. Diese Verbindung ist privat. Der Datenverkehr wird nicht über das Internet übertragen. Weitere Informationen finden Sie unter Was ist Azure ExpressRoute?
Filtern des Netzwerkdatenverkehrs
Sie können den Netzwerkdatenverkehr zwischen Subnetzen filtern, indem Sie eine oder beide der folgenden Optionen verwenden:
Netzwerksicherheitsgruppen: Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen können mehrere Sicherheitsregeln für ein- und ausgehenden Datenverkehr enthalten. Mit diesen Regeln können Sie den Datenverkehr zu und von Ressourcen nach Quell- und Ziel-IP-Adresse, Port und Protokoll filtern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.
Virtuelle Netzwerkgeräte: Ein virtuelles Netzwerkgerät ist eine VM, die eine Netzwerkfunktion übernimmt, beispielsweise eine Firewall oder WAN-Optimierung. Eine Liste mit verfügbaren virtuellen Netzwerkgeräten, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie im Azure Marketplace.
Weiterleiten von Netzwerkdatenverkehr
Azure leitet standardmäßig Datenverkehr zwischen Subnetzen, verbundenen virtuellen Netzwerken, lokalen Netzwerken und dem Internet weiter. Sie können eine oder beide der folgenden Optionen implementieren, um die von Azure erstellten Standardrouten außer Kraft zu setzen:
Routingtabellen: Sie können benutzerdefinierte Routingtabellen erstellen, über die gesteuert wird, wohin der Datenverkehr für die einzelnen Subnetze geleitet wird.
BGP-Routen (Border Gateway Protocol): Wenn Sie Ihr virtuelles Netzwerk über ein Azure-VPN-Gateway oder eine ExpressRoute-Verbindung mit Ihrem lokalen Netzwerk verbinden, können Sie Ihre lokalen BGP-Routen an Ihre virtuellen Netzwerke weitergeben.
Integration in Azure-Dienste
Wenn Sie Azure-Dienste in ein virtuelles Azure-Netzwerk integrieren, ermöglichen Sie damit den privaten Zugriff auf den Dienst über VMs oder Computeressourcen im virtuellen Netzwerk. Sie können die folgenden Optionen für diese Integration verwenden:
Stellen Sie dedizierte Instanzen des Diensts in einem virtuellen Netzwerk bereit. Auf die Dienste kann dann innerhalb des virtuellen Netzwerks und von lokalen Netzwerken aus privat zugegriffen werden.
Verwenden Sie Azure Private Link, um von Ihrem virtuellen Netzwerk und von lokalen Netzwerken aus privat auf eine bestimmte Instanz des Diensts zuzugreifen.
Greifen Sie über öffentliche Endpunkte auf den Dienst zu, indem Sie ein virtuelles Netzwerk mithilfe von Dienstendpunkten auf den Dienst erweitern. Durch Dienstendpunkte können Dienstressourcen an das virtuelle Netzwerk gebunden werden.
Grenzwerte
Es gibt Grenzwerte für die Anzahl der Azure-Ressourcen, die Sie bereitstellen können. Die meisten Grenzwerte für Azure-Netzwerke sind auf die Maximalwerte festgelegt. Sie können jedoch bestimmte Netzwerkgrenzwerte erhöhen. Weitere Informationen finden Sie unter Grenzwerte für Netzwerke.
Virtuelle Netzwerke und Verfügbarkeitszonen
Virtuelle Netzwerke und Subnetze umfassen alle Verfügbarkeitszonen in einer Region. Sie müssen sie nicht durch Verfügbarkeitszonen unterteilen, um zonale Ressourcen aufnehmen zu können. Wenn Sie beispielsweise eine zonale VM konfigurieren, müssen Sie das virtuelle Netzwerk bei der Auswahl der Verfügbarkeitszone für den virtuellen Computer nicht berücksichtigen. Dasselbe gilt für andere zonale Ressourcen.
Preise
Für die Nutzung von Azure Virtual Network fällt keine Gebühr an. Sie ist kostenlos. Für Ressourcen wie VMs und andere Produkte werden Standardgebühren berechnet. Weitere Informationen finden Sie unter Virtual Network – Preise und über den Azure-Preisrechner.
Nächste Schritte
Erfahren Sie mehr über Azure Virtual Network-Konzepte und bewährte Methoden.
Steigen Sie in die Verwendung eines virtuellen Netzwerks ein, indem Sie ein virtuelles Netzwerk erstellen, einige VMs darin bereitstellen und zwischen den VMs kommunizieren. Weitere Informationen finden Sie im Schnellstart Verwenden des Azure-Portals zum Erstellen eines virtuellen Netzwerks.
Absolvieren Sie ein Schulungsmodul zum Entwerfen und Implementieren einer grundlegenden Azure-Netzwerkinfrastruktur, einschließlich virtueller Netzwerke: Einführung in virtuelle Azure-Netzwerke.