Voorbereiden om Azure Communications Gateway te verbinden met uw eigen virtuele netwerk (preview)

In dit artikel worden de stappen beschreven die nodig zijn om een Azure Communications Gateway te verbinden met uw eigen virtuele netwerk met behulp van VNet-injectie voor Azure Communications Gateway (preview). Deze procedure is vereist voor het implementeren van Azure Communications Gateway in een subnet dat u bepaalt en wordt gebruikt bij het verbinden van uw on-premises netwerk met ExpressRoute-privépeering of via een Azure VPN-gateway. Azure Communications Gateway heeft twee serviceregio's met hun eigen connectiviteit. Dit betekent dat u virtuele netwerken en subnetten in elk van deze regio's moet bieden.

In het volgende diagram ziet u een overzicht van Azure Communications Gateway die is geïmplementeerd met VNet-injectie. De netwerkinterfaces in Azure Communications Gateway die tegenover uw netwerk staan, worden geïmplementeerd in uw subnet, terwijl de netwerkinterfaces die gericht zijn op back-endcommunicatieservices door Microsoft worden beheerd.

Vereisten

• Zorg ervoor dat uw Azure-abonnement is ingeschakeld voor Azure Communications Gateway.
• Informeer uw onboardingteam dat u uw eigen virtuele netwerken wilt gebruiken.
• Maak een virtueel Azure-netwerk in elk van de Azure-regio's die moeten worden gebruikt als de Azure Communications Gateway-serviceregio's. Meer informatie over het maken van een virtueel netwerk.
• Maak een subnet in elk virtueel Azure-netwerk voor exclusief gebruik van Azure Communications Gateway. Deze subnetten moeten elk ten minste 16 IP-adressen hebben (een /28 IPv4-bereik of groter). Niets anders moet dit subnet gebruiken. Meer informatie over het maken van een subnet.
• Zorg ervoor dat uw Azure-account de rol Netwerkbijdrager heeft, of een bovenliggend element van deze rol, in de virtuele netwerken.
• Implementeer uw gekozen connectiviteitsoplossing (bijvoorbeeld ExpressRoute) in uw Azure-abonnement en zorg ervoor dat deze gereed is voor gebruik.

Tip

Labimplementaties hebben slechts één serviceregio, dus u hoeft slechts één regio in te stellen tijdens deze procedure.

De subnetten van het virtuele netwerk delegeren

Als u uw virtuele netwerk wilt gebruiken met Azure Communications Gateway, moet u de subnetten delegeren naar Azure Communications Gateway. Subnetdelegering geeft expliciete machtigingen voor Azure Communications Gateway voor het maken van servicespecifieke resources, zoals netwerkinterfaces (NIC's), in de subnetten.

Volg deze stappen om uw subnetten te delegeren voor gebruik met uw Azure Communications Gateway:

1. Ga naar uw virtuele netwerken en selecteer het virtuele netwerk dat u wilt gebruiken in de eerste serviceregio voor Azure Communications Gateway.

2. Selecteer Subnetten.

3. Selecteer een subnet dat u wilt delegeren aan Azure Communications Gateway.

   Belangrijk

   Het subnet dat u gebruikt, moet zijn toegewezen aan Azure Communications Gateway.

4. Selecteer in Het subnet Delegeren naar een service Microsoft.AzureCommunicationsGateway/networkSettings en selecteer Vervolgens Opslaan.

5. Controleer of Microsoft.AzureCommunicationsGateway/networkSettings wordt weergegeven in de kolom Gedelegeerd aan voor uw subnet.

6. Herhaal de bovenstaande stappen voor het virtuele netwerk en subnet in de andere Azure Communications Gateway-serviceregio.

Netwerkbeveiligingsgroepen configureren

Wanneer u uw Azure Communications Gateway verbindt met virtuele netwerken, moet u een netwerkbeveiligingsgroep (NSG) configureren om verkeer van uw netwerk toe te staan de Azure Communications Gateway te bereiken. Een netwerkbeveiligingsgroep bevat toegangsbeheerregels waarmee verkeer wordt toegestaan of geweigerd op basis van verkeersrichting, protocol, bronadres en poort en doeladres en poort.

De regels van een NSG kunnen op elk gewenst moment worden gewijzigd en wijzigingen worden toegepast op alle gekoppelde instanties. Het kan tot 10 minuten duren voordat de NSG-wijzigingen effectief zijn.

Belangrijk

Als u geen netwerkbeveiligingsgroep configureert, heeft uw verkeer geen toegang tot de netwerkinterfaces van Azure Communication Gateway.

De configuratie van de netwerkbeveiligingsgroep bestaat uit twee stappen die in elke serviceregio moeten worden uitgevoerd:

1. Maak een netwerkbeveiligingsgroep die het gewenste verkeer toestaat.
2. Koppel de netwerkbeveiligingsgroep aan de subnetten van het virtuele netwerk.

U kunt een NSG gebruiken om verkeer te beheren naar een of meer virtuele machines (VM's), rolinstanties, netwerkadapters (NIC's) of subnetten in uw virtuele netwerk. Een netwerkbeveiligingsgroep bevat toegangsbeheerregels waarmee verkeer wordt toegestaan of geweigerd op basis van verkeersrichting, protocol, bronadres en poort en doeladres en poort. De regels van een NSG kunnen op elk gewenst moment worden gewijzigd en wijzigingen worden toegepast op alle gekoppelde instanties.

Ga naar een NSG voor meer informatie over NSG's.

De relevante netwerkbeveiligingsgroep maken

Werk samen met uw onboardingteam om de juiste netwerkbeveiligingsgroepconfiguratie voor uw virtuele netwerken te bepalen. Deze configuratie is afhankelijk van uw connectiviteitskeuze (bijvoorbeeld ExpressRoute) en uw virtuele netwerktopologie.

De configuratie van uw netwerkbeveiligingsgroep moet verkeer toestaan naar de benodigde poortbereiken die worden gebruikt door Azure Communications Gateway.

Tip

U kunt aanbevelingen voor netwerkbeveiligingsgroepen gebruiken om ervoor te zorgen dat uw configuratie overeenkomt met aanbevolen procedures voor beveiliging.

Het subnet koppelen aan de netwerkbeveiligingsgroep

1. Ga naar uw netwerkbeveiligingsgroep en selecteer Subnetten.
2. Selecteer + Koppelen in de bovenste menubalk.
3. Selecteer uw virtuele netwerk voor virtueel netwerk.
4. Selecteer voor Subnet het subnet van het virtuele netwerk.
5. Selecteer OK om het subnet van het virtuele netwerk te koppelen aan de netwerkbeveiligingsgroep.
6. Herhaal deze stappen voor de andere serviceregio.

Volgende stap

De implementatie van Azure Communications Gateway voorbereiden