Beschreiben virtueller Azure-Netzwerke

  • 5 Minuten

Mit virtuellen Azure-Netzwerken und virtuellen Subnetzen können Azure-Ressourcen wie etwa VMs, Web-Apps und Datenbanken untereinander, mit Benutzer*innen im Internet sowie mit Ihren lokalen Clientcomputern kommunizieren. Stellen Sie sich ein Azure-Netzwerk als eine Erweiterung Ihres lokalen Netzwerks von Ressourcen vor, das andere Azure-Ressourcen miteinander verbindet.

Virtuelle Azure-Netzwerke bieten die folgenden wichtigen Netzwerkfunktionen:

  • Isolation und Segmentierung
  • Internetkommunikation
  • Kommunikation zwischen Azure-Ressourcen
  • Kommunikation mit lokalen Ressourcen
  • Weiterleitung von Netzwerkdatenverkehr
  • Filterung von Netzwerkdatenverkehr
  • Verbindung virtueller Netzwerke

Virtuelle Azure-Netzwerke unterstützen sowohl öffentliche als auch private Endpunkte, um die Kommunikation zwischen externen oder internen Ressourcen mit anderen internen Ressourcen zu ermöglichen.

  • Öffentliche Endpunkte haben eine öffentliche IP-Adresse, auf die von jedem Ort der Welt aus zugegriffen werden kann.
  • Private Endpunkte sind in einem virtuellen Netzwerk enthalten und weisen eine private IP-Adresse im Adressraum des virtuellen Netzwerks auf.

Isolation und Segmentierung

Azure Virtual Network ermöglicht die Erstellung mehrerer isolierter virtueller Netzwerke. Wenn Sie ein virtuelles Netzwerk einrichten, definieren Sie einen privaten IP-Adressraum, indem Sie entweder öffentliche oder private IP-Adressbereiche verwenden. Der IP-Adressbereich ist nur innerhalb des virtuellen Netzwerks vorhanden und kann nicht über das Internet geroutet werden. Diesen IP-Adressraum können Sie dann in Subnetze aufteilen und den einzelnen benannten Subnetzen jeweils einen Teil des definierten Adressraums zuordnen.

Für die Namensauflösung können Sie den in Azure integrierten Dienst zur Namensauflösung verwenden. Ferner können Sie das virtuelle Netzwerk so konfigurieren, dass ein interner oder ein externer DNS-Server verwendet wird.

Internetkommunikation

Sie können eingehende Internetverbindungen zulassen, indem Sie einer Azure-Ressource eine öffentliche IP-Adresse zuweisen oder die VM hinter einem öffentlichen Lastenausgleich platzieren.

Kommunikation zwischen Azure-Ressourcen

Es empfiehlt sich, eine sichere Kommunikation zwischen Azure-Ressourcen zu ermöglichen. Dazu haben Sie zwei Möglichkeiten:

  • Virtuelle Netzwerke können nicht nur eine Verbindung mit VMs herstellen, sondern auch mit anderen Azure-Ressourcen. Hierzu zählen beispielsweise die App Service-Umgebung für Power Apps, Azure Kubernetes Service und Azure-VM-Skalierungsgruppen.
  • Mithilfe von Dienstendpunkten können Sie eine Verbindung mit anderen Azure-Ressourcentypen herstellen (beispielsweise mit Azure SQL-Datenbanken und Speicherkonten). Bei diesem Ansatz können Sie mehrere Azure-Ressourcen mit virtuellen Netzwerken verknüpfen, um die Sicherheit zu erhöhen und ein optimales Routing zwischen Ressourcen sicherzustellen.

Kommunikation mit lokalen Ressourcen

Virtuelle Azure-Netzwerke ermöglichen es Ihnen, Ressourcen in Ihrer lokalen Umgebung und in Ihrem Azure-Abonnement miteinander zu verknüpfen. So können Sie ein Netzwerk erstellen, das sowohl Ihre lokale Umgebung als auch Ihre Cloudumgebung abdeckt. Für diese Konnektivität stehen drei Mechanismen zur Verfügung:

  • Point-to-Site-VPN-Verbindungen (Virtual Private Network) bestehen zwischen einem Computer außerhalb Ihrer Organisation zurück in das Unternehmensnetzwerk. In diesem Fall initiiert der Clientcomputer eine verschlüsselte VPN-Verbindung, um den Computer mit dem virtuellen Azure-Netzwerk zu verbinden.
  • Site-to-Site-VPNs verbinden Ihr lokales VPN-Gerät oder -Gateway mit dem Azure-VPN-Gateway in einem virtuellen Netzwerk. Dadurch kann der Eindruck entstehen, dass sich die Geräte in Azure tatsächlich im lokalen Netzwerk befinden. Die Verbindung ist verschlüsselt und internetbasiert.
  • Azure ExpressRoute bietet dedizierte private Konnektivität mit Azure ohne eine Datenübertragung über das Internet. ExpressRoute ist besonders für Umgebungen geeignet, in denen Sie eine höhere Bandbreite und ein noch höheres Maß an Sicherheit benötigen.

Weiterleitung von Netzwerkdatenverkehr

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen in beliebigen verbundenen virtuellen Netzwerken, lokalen Netzwerken und dem Internet weiter. Sie können das Routing aber auch steuern und die Einstellungen wie folgt überschreiben:

  • Mit Routingtabellen können Sie Regeln für die Weiterleitung von Datenverkehr definieren. Sie können benutzerdefinierte Routingtabellen erstellen, die steuern, wie Pakete zwischen Subnetzen weitergeleitet werden.
  • Ein Border Gateway Protocol (BGP) kann für Azure-VPN-Gateways, Azure Route Server oder Azure ExpressRoute verwendet werden, um lokale BGP-Routen an virtuelle Azure-Netzwerke weiterzugeben.

Filterung von Netzwerkdatenverkehr

Mit virtuellen Azure-Netzwerken können Sie Datenverkehr zwischen Subnetzen wie folgt filtern:

  • Netzwerksicherheitsgruppen sind Azure-Ressourcen, die mehrere Eingangs- und Ausgangssicherheitsregeln enthalten können. Sie können diese Regeln definieren, um Datenverkehr auf der Grundlage von Faktoren wie Quell- und Ziel-IP-Adresse, Port und Protokoll zuzulassen oder zu blockieren.
  • Virtuelle Netzwerkgeräte sind spezielle VMs, die mit einem gehärteten Netzwerkgerät vergleichbar sind. Ein virtuelles Netzwerkgerät führt eine bestimmte Netzwerkfunktion aus (beispielsweise eine Firewall oder WAN-Optimierung).

Verbindung virtueller Netzwerke

Virtuelle Netzwerke können mittels Peering miteinander verknüpft werden. Peering ermöglicht eine direkte Verbindung zwischen zwei virtuellen Netzwerken. Der Netzwerkdatenverkehr zwischen Peernetzwerken ist privat und durchläuft das Microsoft-Backbone-Netzwerk, aber nie in das öffentliche Internet. Peering ermöglicht es Ressourcen in den einzelnen virtuellen Netzwerken, miteinander zu kommunizieren. Da sich diese virtuellen Netzwerke in unterschiedlichen Regionen befinden können, können Sie so über Azure ein globales, miteinander verbundenes Netzwerk erstellen.

Mit benutzerdefinierten Routen (User-Defined Route, UDR) können Sie die Routingtabellen zwischen Subnetzen innerhalb eines virtuellen Netzwerks oder zwischen virtuellen Netzwerken steuern. Dies ermöglicht eine bessere Kontrolle über den Netzwerkdatenverkehr.