Öffentliche und private IP-Adressierung in Azure

  • 8 Minuten

Sie arbeiten für ein Fertigungsunternehmen und führen die Verlagerung von Ressourcen in die Azure-Umgebung durch. Die Clients in Ihrem lokalen Netzwerk müssen auf den Datenbankserver zugreifen können. Öffentliche Ressourcen, z. B. Webserver, müssen über das Internet zugänglich sein. Sie sollten die Nutzung von IP-Adressen planen, die diese beiden Anforderungen unterstützen.

In dieser Einheit untersuchen Sie die Vorgaben und Einschränkungen für öffentliche und private IP-Adressen in Azure. Außerdem sehen Sie sich die in Azure verfügbaren Funktionen zum erneuten Zuweisen von IP-Adressen in Ihrem Netzwerk an.

IP-Adresstypen

In Azure können Sie zwei Arten von IP-Adressen verwenden:

  • Öffentliche IP-Adressen
  • Private IP-Adressen

Sie haben zwei Möglichkeiten beide Arten von IP-Adressen zuzuweisen:

  • Dynamisch
  • Statisch

Sehen Sie sich nun die Interaktion zwischen den IP-Adresstypen näher an.

Öffentliche IP-Adressen

Verwenden Sie für öffentlich zugängliche Dienste eine öffentliche IP-Adresse. Eine öffentliche Adresse kann entweder statisch oder dynamisch sein. Eine öffentliche IP-Adresse kann einem virtuellen Computer (VM), einem öffentlich zugänglichen Load Balancer, einem VPN-Gateway oder einem Anwendungsgateway zugewiesen werden.

  • Dynamische öffentliche IP-Adressen werden Adressen zugewiesen, die sich während der Lebensdauer der Azure-Ressource ändern können. Die dynamische IP-Adresse wird zugeordnet, wenn Sie eine VM erstellen oder starten. Die IP-Adresse wird freigegeben, wenn Sie die VM beenden oder löschen. In jeder Azure-Region werden öffentliche IP-Adressen aus einem eindeutigen Pool mit Adressen zugewiesen. Das Standardzuordnungsmethode ist „dynamisch“.

  • Statische öffentliche IP-Adressen sind zugewiesene Adressen, die sich während der Lebensdauer der Azure-Ressource nicht ändern. Damit die IP-Adresse für die Ressource unverändert bleibt, können Sie die Zuordnungsmethode auf „Statisch“ festlegen. In diesem Fall wird sofort eine IP-Adresse zugewiesen und erst dann wieder freigegeben, wenn Sie die Ressource löschen oder die Zuordnungsmethode für IP-Adressen in „Dynamisch“ ändern.

SKUs für öffentliche IP-Adressen

Für öffentliche IP-Adressen stehen zwei SKUs zur Auswahl: Basic und Standard. Alle öffentlichen IP-Adressen, die vor der Einführung von SKUs erstellt wurden, sind öffentliche IP-Adressen vom Typ „Basic-SKU“. Mit der Einführung von SKUs können Sie die Skalierung, Features und Preise für den Lastenausgleich des Internetdatenverkehrs auswählen.

Sowohl für Basic- als auch für Standard-SKUs gilt Folgendes:

  • Standardmäßiges Leerlauftimeout für den eingehenden Datenfluss von vier Minuten, das auf bis zu 30 Minuten verlängert werden kann
  • Festes Leerlauftimeout für den ausgehenden Datenfluss von vier Minuten

Basic-SKU

Sie können öffentliche IP-Adressen vom Typ „Basic“ mit der statischen oder der dynamischen Zuordnungsmethode zuweisen. Sie können öffentliche IP-Adressen vom Typ „Basic“ jeder Azure-Ressource zuweisen, der eine öffentliche IP-Adresse zugewiesen werden kann, einschließlich Netzwerkschnittstellen, VPN-Gateways, Anwendungsgateways und Load Balancer mit Internetzugriff.

Für IP-Adressen mit der SKU „Basic“ gilt standardmäßig Folgendes:

  • Sie befinden sich im geöffneten Zustand. Netzwerksicherheitsgruppen sind empfehlenswert, aber optional, um den ein- oder ausgehenden Datenverkehr einzuschränken.
  • Sie sind nur für eingehenden Datenverkehr verfügbar.
  • Sie sind verfügbar, wenn Sie den Instanzmetadatendienst (IMDS) verwenden.
  • Sie verfügen nicht über Unterstützung für Verfügbarkeitszonen.
  • Sie verfügen nicht über Unterstützung für Routingeinstellungen.

Standard-SKU

Für IP-Adressen mit der SKU „Standard“ gilt standardmäßig Folgendes:

  • Es wird immer die statische Zuordnung genutzt.
  • Sie sind sicher und somit für eingehenden Datenverkehr geschlossen. Sie müssen eine Netzwerksicherheitsgruppe verwenden, um eingehenden Datenverkehr zuzulassen.
  • Sie sind zonenredundant und optional auch zonengebunden (sie können zonengebunden erstellt und in einer bestimmten Verfügbarkeitszone garantiert werden).
  • Sie können Netzwerkschnittstellen, öffentlichen Load Balancer Standard-Instanzen, Anwendungsgateways oder VPN-Gateways zugewiesen werden.
  • Kann zusammen mit der Routingpräferenz verwendet werden, um eine differenziertere Kontrolle darüber zu ermöglichen, wie der Datenverkehr zwischen Azure und dem Internet weitergeleitet wird.
  • Sie können als Anycast-Front-End-IPs für regionsübergreifende Lastenausgleichsmodule verwendet werden.

Weitere Informationen finden Sie unter SKU-Vergleich, Übersicht über Load Balancer und Komponenten.

Präfix für öffentliche IP-Adressen

In Azure ist ein Präfix für öffentliche IP-Adressen ein reservierter, statischer Bereich mit öffentlichen IP-Adressen. Azure weist eine IP-Adresse aus einem Pool mit verfügbaren Adressen zu, der für die einzelnen Regionen jeder Azure-Cloudumgebung eindeutig ist. Wenn Sie ein Präfix für eine öffentliche IP-Adresse definieren, werden die zugeordneten öffentlichen IP-Adressen aus einem Pool für eine Azure-Region zugewiesen.

In einer Region mit Verfügbarkeitszonen können Präfixe für öffentliche IP-Adressen als zonenredundante Präfixe erstellt oder einer bestimmten Verfügbarkeitszone zugeordnet werden.

Ein Präfix für eine öffentliche IP-Adresse hat den Vorteil, dass Sie Firewallregeln für einen Bereich mit bekannten IP-Adressen angeben können. Wenn Ihr Unternehmen Rechenzentren in verschiedenen Regionen benötigt, ist für jede Region ein anderer Bereich mit öffentlichen IP-Adressen erforderlich. Sie können die Adressen eines Präfixes für öffentliche IP-Adressen beliebigen Azure-Ressourcen zuweisen, die öffentliche IP-Adressen unterstützen.

Sie erstellen ein Präfix für öffentliche IP-Adressen, indem Sie einen Namen und eine Präfixgröße angeben. Die Präfixgröße steht für die Anzahl reservierter Adressen, die für die Nutzung zur Verfügung stehen.

  • Präfixe für öffentliche IP-Adressen bestehen aus IPv4- oder IPv6-Adressen.
  • Sie können Technologie wie Azure Traffic Manager verwenden, um einen Lastenausgleich für regionsspezifische Instanzen durchzuführen.
  • Sie können Ihre eigenen öffentlichen IP-Adressen aus lokalen Netzwerken nur mithilfe eines Präfixes für benutzerdefinierte IP-Adressen in Azure einbinden.
  • Sie können keine Adressen angeben, wenn Sie ein Präfix erstellen. Diese werden von Azure zugewiesen. Nachdem ein Präfix erstellt wurde, sind die IP-Adressen in einem zusammenhängenden Bereich fest zugeordnet.
  • Öffentliche IP-Adressen können nicht zwischen Regionen verschoben werden; alle IP-Adressen sind regionsspezifisch.

Private IP-Adressen

Private IP-Adressen werden für die Kommunikation innerhalb einer Azure Virtual Network-Instanz verwendet, z. B. in virtuellen Netzwerken und Ihren lokalen Netzwerken. Sie können private IP-Adressen auf „Dynamisch“ (DHCP-Lease) oder „Statisch“ (DHCP-Reservierung) festlegen.

Dynamische private IP-Adressen werden über ein DHCP-Lease zugewiesen, und können sich während der Lebensdauer der Azure-Ressource ändern.

Statische private IP-Adressen werden per DHCP-Reservierung zugewiesen und ändern sich während der Lebensdauer der Azure-Ressource nicht. Statische private IP-Adressen bleiben bestehen, wenn eine Ressource beendet oder die Zuordnung aufgehoben wird.

IP-Adressierung für virtuelle Azure-Netzwerke

In Azure ist ein virtuelles Netzwerk eine grundlegende Komponente, die als Netzwerk einer Organisation dient. Der Administrator verfügt über die vollständige Kontrolle über die IP-Adresszuweisung, Sicherheitseinstellungen und Sicherheitsregeln. Wenn Sie ein virtuelles Netzwerk erstellen, definieren Sie einen Bereich von IP-Adressen. Die private IP-Adressierung funktioniert auf die gleiche Weise wie in einem lokalen Netzwerk. Sie wählen die von der IANA (Internet Assigned Numbers Authority) reservierten privaten IP-Adressen basierend auf Ihren Netzwerkanforderungen aus:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Ein Subnetz ist ein Bereich von IP-Adressen im virtuellen Netzwerk. Sie können ein virtuelles Netzwerk in mehrere Subnetze unterteilen. Jedes Subnetz muss einen eindeutigen Adressbereich aufweisen, der im CIDR-Format (Classless Inter-Domain Routing, Klassenloses domänenübergreifendes Routing) angegeben wird. CIDR ist eine Möglichkeit zur Darstellung eines Blocks von Netzwerk-IP-Adressen. Eine IPv4-CIDR, die als Teil der IP-Adresse angegeben ist, gibt die Länge des Netzwerkpräfixes an.

Hier verwenden wir als Beispiel die CIDR-Adresse 192.168.10.0/24. „192.168.10.0“ ist die Netzwerkadresse, und mit „24“ wird angegeben, dass die ersten 24 Bits Teil der Netzwerkadresse sind. Somit stehen die letzten 8 Bits für spezifische Hostadressen zur Verfügung. Ein Adressbereich eines Subnetzes darf keine Überlappungen mit anderen Subnetzen innerhalb des virtuellen oder mit dem lokalen Netzwerk aufweisen.

Für alle Subnetze in Azure sind die ersten drei IP-Adressen standardmäßig reserviert. Die erste und die letzte IP-Adresse aller Subnetze sind aus Gründen der Protokollkonformität ebenfalls reserviert. In Azure weist ein interner DHCP-Dienst die Lease von IP-Adressen zu und verwaltet sie. Die IP-Adressen .1, .2, .3 sowie die letzte IP-Adresse sind für Azure-Kund*innen nicht sichtbar und können von ihnen nicht konfiguriert werden. Diese Adressen sind reserviert und werden von internen Azure-Diensten verwendet.

In virtuellen Azure-Netzwerken können IP-Adressen den folgenden Ressourcentypen zugeordnet werden:

  • Netzwerkschnittstellen für virtuelle Computer
  • Load Balancer
  • Anwendungsgateways

Überprüfen Sie Ihr Wissen

1.

Welchen der folgenden Ressourcen können Sie eine öffentliche IP-Adresse zuweisen?

2.

Worüber muss ein virtueller Computer verfügen, um mit den anderen Ressourcen im gleichen virtuellen Netzwerk zu kommunizieren?