Veelgestelde vragen over virtuele Azure-netwerken (FAQ)
Basisprincipes
Wat is een virtueel netwerk?
Een virtueel netwerk is een weergave van uw eigen netwerk in de cloud, zoals geleverd door de Azure Virtual Network-service. Een virtueel netwerk is een logische isolatie van de Azure-cloud die is toegewezen aan uw abonnement.
U kunt virtuele netwerken gebruiken om VPN's (virtual private networks) in Azure in te richten en te beheren. U kunt ook virtuele netwerken koppelen aan andere virtuele netwerken in Azure of met uw on-premises IT-infrastructuur om hybride of cross-premises oplossingen te maken.
Elk virtueel netwerk dat u maakt, heeft een eigen CIDR-blok. U kunt een virtueel netwerk koppelen aan andere virtuele netwerken en on-premises netwerken, zolang de CIDR-blokken elkaar niet overlappen. U hebt ook controle over DNS-serverinstellingen voor virtuele netwerken, samen met segmentatie van het virtuele netwerk in subnetten.
Virtuele netwerken gebruiken om het volgende te doen:
Maak een toegewezen, privé virtueel netwerk met alleen de cloud. Soms hebt u geen cross-premises configuratie voor uw oplossing nodig. Wanneer u een virtueel netwerk maakt, kunnen uw services en virtuele machines (VM's) binnen uw virtuele netwerk rechtstreeks en veilig met elkaar communiceren in de cloud. U kunt nog steeds eindpuntverbindingen configureren voor de VM's en services waarvoor internetcommunicatie is vereist, als onderdeel van uw oplossing.
Breid uw datacenter veilig uit. Met virtuele netwerken kunt u traditionele site-naar-site-VPN's (S2S) bouwen om uw datacentercapaciteit veilig te schalen. S2S VPN's gebruiken IPsec om een beveiligde verbinding te bieden tussen uw zakelijke VPN-gateway en Azure.
Hybride cloudscenario's inschakelen. U kunt cloudtoepassingen veilig verbinden met elk type on-premises systeem, waaronder mainframes en Unix-systemen.
Hoe ga ik aan de slag?
Ga naar de documentatie van Azure Virtual Network om aan de slag te gaan. Deze inhoud bevat overzichts- en implementatiegegevens voor alle functies van het virtuele netwerk.
Kan ik virtuele netwerken gebruiken zonder cross-premises connectiviteit?
Ja. U kunt een virtueel netwerk gebruiken zonder verbinding te maken met uw locatie. U kunt bijvoorbeeld Microsoft Windows Server Active Directory-domeincontrollers en SharePoint-farms uitvoeren in een virtueel Azure-netwerk.
Kan ik WAN-optimalisatie uitvoeren tussen virtuele netwerken of tussen een virtueel netwerk en mijn on-premises datacenter?
Ja. U kunt een virtueel netwerkapparaat implementeren voor WAN-optimalisatie van verschillende leveranciers via Azure Marketplace.
Configuratie
Welke hulpprogramma's gebruik ik om een virtueel netwerk te maken?
U kunt de volgende hulpprogramma's gebruiken om een virtueel netwerk te maken of te configureren:
- Azure Portal
- PowerShell
- Azure-CLI
- Netwerkconfiguratiebestand (
netcfg
alleen voor klassieke virtuele netwerken)
Welke adresbereiken kan ik gebruiken in mijn virtuele netwerken?
U wordt aangeraden de volgende adresbereiken te gebruiken, die zijn opgesomd in RFC 1918. De IETF heeft deze bereiken gereserveerd voor privé- en niet-routeerbare adresruimten.
- 10.0.0.0 tot 10.255.255.255 (voorvoegsel 10/8)
- 172.16.0.0 tot 172.31.255.255 (voorvoegsel 172.16/12)
- 192.168.0.0 tot 192.168.255.255 (voorvoegsel 192.168/16)
U kunt ook de gedeelde adresruimte implementeren die is gereserveerd in RFC 6598, wat wordt behandeld als een privé-IP-adresruimte in Azure:
- 100.64.0.0 tot 100.127.255.255 (voorvoegsel 100.64/10)
Andere adresruimten, waaronder alle andere door IETF herkende privé-, niet-routeerbare adresruimten, werken mogelijk maar hebben ongewenste bijwerkingen.
Daarnaast kunt u de volgende adresbereiken niet toevoegen:
- 224.0.0.0/4 (multicast)
- 255.255.255.255/32 (uitzending)
- 127.0.0.0/8 (loopback)
- 169.254.0.0/16 (lokale koppeling)
- 168.63.129.16/32 (interne DNS)
Kan ik openbare IP-adressen in mijn virtuele netwerken hebben?
Ja. Zie Een virtueel netwerk maken voor meer informatie over openbare IP-adresbereiken. Openbare IP-adressen zijn niet rechtstreeks toegankelijk vanaf internet.
Is er een limiet voor het aantal subnetten in mijn virtuele netwerk?
Ja. Zie Netwerklimieten voor meer informatie. Subnetadresruimten kunnen elkaar niet overlappen.
Zijn er beperkingen voor het gebruik van IP-adressen in deze subnetten?
Ja. Azure reserveert de eerste vier adressen en het laatste adres voor in totaal vijf IP-adressen binnen elk subnet.
Het IP-adresbereik van 192.168.1.0/24 heeft bijvoorbeeld de volgende gereserveerde adressen:
- 192.168.1.0: Netwerkadres.
- 192.168.1.1: Gereserveerd door Azure voor de standaardgateway.
- 192.168.1.2, 192.168.1.3: Gereserveerd door Azure om de AZURE DNS-IP-adressen toe te wijzen aan de virtuele netwerkruimte.
- 192.168.1.255: Network broadcast address.
Hoe klein en hoe groot kunnen virtuele netwerken en subnetten zijn?
Het kleinste ondersteunde IPv4-subnet is /29 en de grootste is /2 (met CIDR-subnetdefinities). IPv6-subnetten moeten exact /64 groot zijn.
Kan ik mijn VLAN's naar Azure brengen met behulp van virtuele netwerken?
Nee Virtuele netwerken zijn laag 3-overlays. Azure biedt geen ondersteuning voor laag 2-semantiek.
Kan ik aangepast routeringsbeleid opgeven voor mijn virtuele netwerken en subnetten?
Ja. U kunt een routetabel maken en deze koppelen aan een subnet. Zie Aangepaste routes voor meer informatie over routering in Azure.
Wat is het gedrag wanneer ik zowel een NSG als een UDR op het subnet toepast?
Voor binnenkomend verkeer worden binnenkomende regels (netwerkbeveiligingsgroep) verwerkt. Voor uitgaand verkeer worden uitgaande NSG-regels verwerkt, gevolgd door door de gebruiker gedefinieerde routeregels (UDR).
Wat is het gedrag wanneer ik een NSG op een NIC en een subnet voor een VM toepast?
Wanneer u NSG's toepast op zowel een netwerkadapter (NIC) als een subnet voor een VIRTUELE machine:
- Een NSG op subnetniveau, gevolgd door een NSG op NIC-niveau, wordt verwerkt voor inkomend verkeer.
- Een NSG op NIC-niveau, gevolgd door een NSG op subnetniveau, wordt verwerkt voor uitgaand verkeer.
Ondersteunen virtuele netwerken multicast of broadcast?
Nee Multicast en broadcast worden niet ondersteund.
Welke protocollen kan ik gebruiken in virtuele netwerken?
U kunt TCP-, UDP-, ESP-, AH- en ICMP TCP/IP-protocollen gebruiken in virtuele netwerken.
Unicast wordt ondersteund in virtuele netwerken. Multicast-, broadcast-, IP-in-IP-ingekapselde pakketten en GRE-pakketten (Generic Routing Encapsulation) worden geblokkeerd in virtuele netwerken. U kunt Dynamic Host Configuration Protocol (DHCP) niet gebruiken via Unicast (bronpoort UDP/68, doelpoort UDP/67). UDP-bronpoort 65330 is gereserveerd voor de host.
Kan ik een DHCP-server implementeren in een virtueel netwerk?
Virtuele Azure-netwerken bieden DHCP-service en DNS aan Azure Virtual Machines. U kunt echter ook een DHCP-server implementeren in een Azure-VM om de on-premises clients te bedienen via een DHCP Relay-agent.
DHCP-server in Azure was eerder gemarkeerd als niet haalbaar omdat het verkeer naar poort UDP/67 beperkt was in Azure. Recente platformupdates hebben echter de frequentiebeperking verwijderd, waardoor deze mogelijkheid mogelijk is.
Notitie
De on-premises client naar DHCP-server (bronpoort UDP/68, doelpoort UDP/67) wordt nog steeds niet ondersteund in Azure, omdat dit verkeer anders wordt onderschept en verwerkt. Dit resulteert in time-outberichten op het moment van DHCP RENEW op T1 wanneer de client rechtstreeks probeert de DHCP-server in Azure te bereiken. De DHCP RENEW slaagt wanneer de DHCP RENEW-poging wordt uitgevoerd op T2 via de DHCP Relay-agent. Zie RFC 2131 voor meer informatie over de T1- en T2 DHCP RENEW-timers.
Kan ik een standaardgateway in een virtueel netwerk pingen?
Nee Een standaardgateway van Azure reageert niet op een ping. U kunt echter pings in uw virtuele netwerken gebruiken om de connectiviteit te controleren en om problemen tussen VM's op te lossen.
Kan ik tracert gebruiken om connectiviteit te diagnosticeren?
Ja.
Kan ik subnetten toevoegen nadat het virtuele netwerk is gemaakt?
Ja. U kunt subnetten op elk gewenst moment toevoegen aan virtuele netwerken, zolang beide voorwaarden bestaan:
- Het adresbereik van het subnet maakt geen deel uit van een ander subnet.
- Er is ruimte beschikbaar in het adresbereik van het virtuele netwerk.
Kan ik de grootte van mijn subnet wijzigen nadat ik het heb gemaakt?
Ja. U kunt een subnet toevoegen, verwijderen, uitvouwen of verkleinen als er geen VM's of services in het subnet zijn geïmplementeerd.
Kan ik een virtueel netwerk wijzigen nadat ik het heb gemaakt?
Ja. U kunt de CIDR-blokken die door een virtueel netwerk worden gebruikt, toevoegen, verwijderen en wijzigen.
Als ik mijn services in een virtueel netwerk gebruik, kan ik dan verbinding maken met internet?
Ja. Alle services die in een virtueel netwerk zijn geïmplementeerd, kunnen uitgaand verbinding maken met internet. Zie SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen voor meer informatie over uitgaande internetverbinding in Azure.
Als u inkomend verbinding wilt maken met een resource die is geïmplementeerd via Azure Resource Manager, moet aan de resource een openbaar IP-adres zijn toegewezen. Zie Een openbaar IP-adres van Azure maken, wijzigen of verwijderen voor meer informatie.
Aan elke cloudservice die in Azure is geïmplementeerd, is een openbaar adresseerbaar virtueel IP-adres (VIP) toegewezen. U definieert invoereindpunten voor PaaS-rollen (Platform as a Service) en eindpunten voor virtuele machines om deze services in staat te stellen verbindingen van internet te accepteren.
Ondersteunen virtuele netwerken IPv6?
Ja. Virtuele netwerken kunnen alleen IPv4 of dubbele stack (IPv4 + IPv6) zijn. Zie Wat is IPv6 voor Azure Virtual Network? voor meer informatie.
Kan een virtueel netwerk regio's omvatten?
Nee Een virtueel netwerk is beperkt tot één regio. Maar een virtueel netwerk omvat wel beschikbaarheidszones. Zie Wat zijn Azure-regio's en beschikbaarheidszones? voor meer informatie over beschikbaarheidszones.
U kunt virtuele netwerken in verschillende regio's verbinden met behulp van peering van virtuele netwerken. Zie Peering voor virtuele netwerken voor meer informatie.
Kan ik een virtueel netwerk verbinden met een ander virtueel netwerk in Azure?
Ja. U kunt één virtueel netwerk verbinden met een ander virtueel netwerk met behulp van:
- Peering van virtuele netwerken. Zie Peering voor virtuele netwerken voor meer informatie.
- Een Azure VPN-gateway. Zie Een VPN-gatewayverbinding tussen netwerken configureren voor meer informatie.
Naamomzetting (DNS)
Wat zijn mijn DNS-opties voor virtuele netwerken?
Gebruik de beslissingstabel in Naamomzetting voor resources in virtuele Azure-netwerken om u te begeleiden bij de beschikbare DNS-opties.
Kan ik DNS-servers voor een virtueel netwerk opgeven?
Ja. U kunt IP-adressen voor DNS-servers opgeven in de instellingen van het virtuele netwerk. De instelling wordt toegepast als de standaard-DNS-server of -servers voor alle VM's in het virtuele netwerk.
Hoeveel DNS-servers kan ik opgeven?
Zie Netwerklimieten.
Kan ik mijn DNS-servers wijzigen nadat ik het netwerk heb gemaakt?
Ja. U kunt de DNS-serverlijst voor uw virtuele netwerk op elk gewenst moment wijzigen.
Als u de lijst met DNS-servers wijzigt, moet u een DHCP-leasevernieuwing uitvoeren op alle betrokken VM's in het virtuele netwerk. De nieuwe DNS-instellingen worden van kracht na het verlengen van de lease. Voor VM's met Windows kunt u de lease verlengen door rechtstreeks op de VIRTUELE machine in te voeren ipconfig /renew
. Raadpleeg de documentatie voor het verlengen van de DHCP-lease voor andere typen besturingssystemen.
Wat is DNS van Azure en werkt het met virtuele netwerken?
Door Azure geleverde DNS is een multitenant DNS-service van Microsoft. Azure registreert al uw VM's en cloudservicerolinstanties in deze service. Deze service biedt naamomzetting:
- Op hostnaam voor VM's en rolinstanties in dezelfde cloudservice.
- Door FQDN (Fully Qualified Domain Main) voor VM's en rolinstanties in hetzelfde virtuele netwerk.
Zie Naamomzetting voor resources in virtuele Azure-netwerken voor meer informatie over DNS.
Er is een beperking voor de eerste 100 cloudservices in een virtueel netwerk voor naamomzetting tussen tenants via door Azure geleverde DNS. Als u uw eigen DNS-server gebruikt, is deze beperking niet van toepassing.
Kan ik mijn DNS-instellingen voor elke VM of cloudservice overschrijven?
Ja. U kunt DNS-servers instellen voor elke VIRTUELE machine of cloudservice om de standaardnetwerkinstellingen te overschrijven. We raden u echter aan zoveel mogelijk NETWERKbrede DNS te gebruiken.
Kan ik mijn eigen DNS-achtervoegsel meenemen?
Nee U kunt geen aangepast DNS-achtervoegsel opgeven voor uw virtuele netwerken.
Virtuele machines verbinden
Kan ik VM's implementeren in een virtueel netwerk?
Ja. Alle netwerkadapters (NIC's) die zijn gekoppeld aan een VM die via het Resource Manager-implementatiemodel wordt geïmplementeerd, moeten zijn verbonden met een virtueel netwerk. Optioneel kunt u vm's die zijn geïmplementeerd via het klassieke implementatiemodel verbinden met een virtueel netwerk.
Wat zijn de typen IP-adressen die ik aan VM's kan toewijzen?
Privé: toegewezen aan elke NIC binnen elke VM, via de statische of dynamische methode. Privé-IP-adressen worden toegewezen vanuit het bereik dat u hebt opgegeven in de subnetinstellingen van uw virtuele netwerk.
Aan resources die zijn geïmplementeerd via het klassieke implementatiemodel, worden privé-IP-adressen toegewezen, zelfs als ze niet zijn verbonden met een virtueel netwerk. Het gedrag van de toewijzingsmethode verschilt, afhankelijk van of u een resource hebt geïmplementeerd met behulp van het Resource Manager- of klassieke implementatiemodel:
- Resource Manager: Een privé-IP-adres dat is toegewezen via de dynamische of statische methode, blijft toegewezen aan een virtuele machine (Resource Manager) totdat de resource wordt verwijderd. Het verschil is dat u het adres selecteert dat u wilt toewijzen wanneer u de statische methode gebruikt en Azure kiest wanneer u de dynamische methode gebruikt.
- Klassiek: Een privé-IP-adres dat via de dynamische methode is toegewezen, kan veranderen wanneer een virtuele machine (klassiek) opnieuw wordt opgestart nadat deze de status gestopt (toewijzing opgeheven) heeft. Als u ervoor wilt zorgen dat het privé-IP-adres voor een resource die is geïmplementeerd via het klassieke implementatiemodel nooit verandert, wijst u een privé-IP-adres toe met behulp van de statische methode.
Openbaar: optioneel toegewezen aan NIC's die zijn gekoppeld aan VM's die zijn geïmplementeerd via het Resource Manager-implementatiemodel. U kunt het adres toewijzen met behulp van de statische of dynamische toewijzingsmethode.
Alle VM's en Azure Cloud Services-rolinstanties die zijn geïmplementeerd via het klassieke implementatiemodel, bestaan in een cloudservice. Aan de cloudservice wordt een dynamisch, openbaar VIP-adres toegewezen. U kunt desgewenst een openbaar statisch IP-adres, een gereserveerd IP-adres genoemd, toewijzen als VIP.
U kunt openbare IP-adressen toewijzen aan afzonderlijke VM's of cloudservicesrolinstanties die zijn geïmplementeerd via het klassieke implementatiemodel. Deze adressen worden openbare IP-adressen op exemplaarniveau genoemd en kunnen dynamisch worden toegewezen.
Kan ik een privé-IP-adres reserveren voor een virtuele machine die ik op een later tijdstip zal maken?
Nee U kunt geen privé-IP-adres reserveren. Als er een privé-IP-adres beschikbaar is, wijst de DHCP-server dit toe aan een VM of rolinstantie. De VIRTUELE machine is mogelijk wel of niet het privé-IP-adres waaraan u het privé-IP-adres wilt toewijzen. U kunt echter het privé-IP-adres van een bestaande VIRTUELE machine wijzigen in elk beschikbaar privé-IP-adres.
Worden privé-IP-adressen gewijzigd voor VM's in een virtueel netwerk?
Dat hangt ervan af. Als u de virtuele machine hebt geïmplementeerd met Resource Manager, kunnen IP-adressen niet worden gewijzigd, ongeacht of u de adressen hebt toegewezen met behulp van de statische of dynamische toewijzingsmethode. Als u de virtuele machine hebt geïmplementeerd met het klassieke implementatiemodel, kunnen dynamische IP-adressen worden gewijzigd wanneer u een virtuele machine start die de status Gestopt (toewijzing opgeheven) heeft.
Het adres wordt vrijgegeven van een VIRTUELE machine die is geïmplementeerd via een van beide implementatiemodellen wanneer u de VIRTUELE machine verwijdert.
Kan ik HANDMATIG IP-adressen toewijzen aan NIC's binnen het VM-besturingssysteem?
Ja, maar dit wordt niet aanbevolen, tenzij dit nodig is, bijvoorbeeld wanneer u meerdere IP-adressen toewijst aan een virtuele machine. Zie Meerdere IP-adressen toewijzen aan virtuele machines voor meer informatie.
Als het IP-adres dat is toegewezen aan een Azure-NIC die is gekoppeld aan een virtuele machine verandert en het IP-adres binnen het VM-besturingssysteem verschilt, verliest u de verbinding met de VIRTUELE machine.
Wat gebeurt er met mijn IP-adressen als ik een implementatiesite van een cloudservice stop of een VM afsluit vanuit het besturingssysteem?
Niets. De IP-adressen (openbaar VIP, openbaar en privé) blijven toegewezen aan de implementatiesite van de cloudservice of de VIRTUELE machine.
Kan ik VM's van het ene subnet naar een ander subnet in een virtueel netwerk verplaatsen zonder opnieuw te implementeren?
Ja. Meer informatie vindt u in Een VM of rolinstantie verplaatsen naar een ander subnet.
Kan ik een statisch MAC-adres configureren voor mijn VM?
Nee U kunt een MAC-adres niet statisch configureren.
Blijft het MAC-adres hetzelfde voor mijn VIRTUELE machine nadat het is gemaakt?
Ja. Het MAC-adres blijft hetzelfde voor een VM die u hebt geïmplementeerd via zowel resourcebeheer als klassieke implementatiemodellen totdat u het verwijdert.
Eerder is het MAC-adres vrijgegeven als u de VIRTUELE machine hebt gestopt (de toewijzing ervan ongedaan gemaakt). Maar nu behoudt de VIRTUELE machine het MAC-adres wanneer deze de toewijzing heeft opgeheven. Het MAC-adres blijft toegewezen aan de netwerkadapter totdat u een van deze taken uitvoert:
- Verwijder de netwerkadapter.
- Wijzig het privé-IP-adres dat is toegewezen aan de primaire IP-configuratie van de primaire netwerkadapter.
Kan ik verbinding maken met internet vanaf een virtuele machine in een virtueel netwerk?
Ja. Alle VM's en cloudservicesrolinstanties die in een virtueel netwerk zijn geïmplementeerd, kunnen verbinding maken met internet.
Azure-services die verbinding maken met virtuele netwerken
Kan ik Web Apps gebruiken met een virtueel netwerk?
Ja. U kunt de functie Web Apps van Azure-app Service in een virtueel netwerk implementeren met behulp van een App Service-omgeving. U kunt dan:
- Verbind de back-end van uw apps met uw virtuele netwerken met behulp van de integratie van virtuele netwerken.
- Vergrendel inkomend verkeer naar uw app met behulp van service-eindpunten.
Raadpleeg voor meer informatie de volgende artikelen:
- App Service-netwerkfuncties
- Een App Service-omgeving gebruiken
- Een app integreren met een virtueel Azure-netwerk
- Toegangsbeperkingen voor Azure App Service instellen
Kan ik Cloud Services implementeren met web- en werkrollen (PaaS) in een virtueel netwerk?
Ja. U kunt (optioneel) cloudservices-rolinstanties implementeren in virtuele netwerken. Hiervoor geeft u de naam van het virtuele netwerk en de rol/subnettoewijzingen op in de sectie netwerkconfiguratie van uw serviceconfiguratie. U hoeft geen binaire bestanden bij te werken.
Kan ik een virtuele-machineschaalset verbinden met een virtueel netwerk?
Ja. U moet een virtuele-machineschaalset verbinden met een virtueel netwerk.
Is er een volledige lijst met Azure-services waarmee ik resources kan implementeren in een virtueel netwerk?
Ja. Zie Toegewezen Azure-services implementeren in virtuele netwerken voor meer informatie.
Hoe kan ik de toegang tot Azure PaaS-resources vanuit een virtueel netwerk beperken?
Resources die zijn geïmplementeerd via sommige Azure PaaS-services (zoals Azure Storage en Azure SQL Database), kunnen netwerktoegang tot virtuele netwerken beperken door gebruik te maken van service-eindpunten voor virtuele netwerken of Azure Private Link. Zie Service-eindpunten voor virtuele netwerken en wat is Azure Private Link? voor meer informatie.
Kan ik mijn services verplaatsen in en uit virtuele netwerken?
Nee U kunt services niet verplaatsen in en uit virtuele netwerken. Als u een resource naar een ander virtueel netwerk wilt verplaatsen, moet u de resource verwijderen en opnieuw implementeren.
Beveiliging
Wat is het beveiligingsmodel voor virtuele netwerken?
Virtuele netwerken zijn geïsoleerd van elkaar en van andere services die worden gehost in de Azure-infrastructuur. Een virtueel netwerk is een vertrouwensgrens.
Kan ik de binnenkomende of uitgaande verkeersstroom beperken tot resources die zijn verbonden met een virtueel netwerk?
Ja. U kunt netwerkbeveiligingsgroepen toepassen op afzonderlijke subnetten binnen een virtueel netwerk, NIC's die zijn gekoppeld aan een virtueel netwerk of beide.
Kan ik een firewall implementeren tussen resources die zijn verbonden met een virtueel netwerk?
Ja. U kunt een virtueel firewallnetwerkapparaat van verschillende leveranciers implementeren via Azure Marketplace.
Is er informatie beschikbaar over het beveiligen van virtuele netwerken?
Ja. Zie het overzicht van Azure-netwerkbeveiliging.
Worden klantgegevens opgeslagen in virtuele netwerken?
Nee In virtuele netwerken worden geen klantgegevens opgeslagen.
Kan ik de eigenschap FlowTimeoutInMinutes instellen voor een volledig abonnement?
Nee U moet de eigenschap FlowTimeoutInMinutes instellen in het virtuele netwerk. Met de volgende code kunt u deze eigenschap automatisch instellen voor grotere abonnementen:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API's, schema's en hulpprogramma's
Kan ik virtuele netwerken beheren vanuit code?
Ja. U kunt REST API's gebruiken voor virtuele netwerken in de Azure Resource Manager - en klassieke implementatiemodellen.
Is er ondersteuning voor hulpprogramma's voor virtuele netwerken?
Ja. Meer informatie over het gebruik van:
- Azure Portal voor het implementeren van virtuele netwerken via azure Resource Manager en klassieke implementatiemodellen.
- PowerShell voor het beheren van virtuele netwerken die zijn geïmplementeerd via het Resource Manager-implementatiemodel .
- De klassieke Azure CLI of de klassieke Azure CLI voor het implementeren en beheren van virtuele netwerken die zijn geïmplementeerd via de Resource Manager - en klassieke implementatiemodellen.
Peering op virtueel netwerk
Wat is peering van virtuele netwerken?
Met peering voor virtuele netwerken kunt u virtuele netwerken verbinden. Met een peeringverbinding tussen virtuele netwerken kunt u verkeer tussen deze netwerken privé routeren via IPv4-adressen.
Virtuele machines in gekoppelde virtuele netwerken kunnen met elkaar communiceren alsof ze zich binnen hetzelfde netwerk bevinden. Deze virtuele netwerken kunnen zich in dezelfde regio of in verschillende regio's bevinden (ook wel globale peering voor virtuele netwerken genoemd).
U kunt ook peeringverbindingen voor virtuele netwerken maken tussen Azure-abonnementen.
Kan ik een peeringverbinding maken met een virtueel netwerk in een andere regio?
Ja. Met wereldwijde peering voor virtuele netwerken kunt u virtuele netwerken in verschillende regio's peeren. Wereldwijde peering voor virtuele netwerken is beschikbaar in alle openbare Azure-regio's, China-cloudregio's en cloudregio's voor de overheid. U kunt niet wereldwijd peeren van openbare Azure-regio's naar nationale cloudregio's.
Wat zijn de beperkingen met betrekking tot peering van wereldwijde virtuele netwerken en load balancers?
Als de twee virtuele netwerken in twee regio's zijn gekoppeld via wereldwijde peering van virtuele netwerken, kunt u geen verbinding maken met resources die zich achter een eenvoudige load balancer bevinden via het front-end-IP-adres van de load balancer. Deze beperking bestaat niet voor een standard load balancer.
De volgende resources kunnen gebruikmaken van basic load balancers, wat betekent dat u ze niet kunt bereiken via het front-end-IP-adres van een load balancer via wereldwijde peering van virtuele netwerken. Maar u kunt globale peering van virtuele netwerken gebruiken om de resources rechtstreeks te bereiken via hun IP-adressen van het particuliere virtuele netwerk, indien toegestaan.
- VM's achter eenvoudige load balancers
- Virtuele-machineschaalsets met eenvoudige load balancers
- Azure Cache voor Redis
- Azure-toepassing Gateway v1
- Azure Service Fabric
- Azure API Management stv1
- Microsoft Entra Domain Services.
- Azure Logic-apps
- Azure HDInsight
- Azure Batch
- App Service Environment v1 en v2
U kunt verbinding maken met deze resources via Azure ExpressRoute of netwerk-naar-netwerkverbindingen via virtuele netwerkgateways.
Kan ik peering van virtuele netwerken inschakelen als mijn virtuele netwerken deel uitmaken van abonnementen binnen verschillende Microsoft Entra-tenants?
Ja. Het is mogelijk om peering van virtuele netwerken (lokaal of globaal) tot stand te brengen als uw abonnementen deel uitmaken van verschillende Microsoft Entra-tenants. U kunt dit doen via Azure Portal, PowerShell of de Azure CLI.
Mijn peeringverbinding voor het virtuele netwerk heeft de status Geïnitieerd. Waarom kan ik geen verbinding maken?
Als uw peeringverbinding de status Gestart heeft, hebt u slechts één koppeling gemaakt. U moet een bidirectionele koppeling maken om een geslaagde verbinding tot stand te brengen.
Als u bijvoorbeeld VNetA wilt koppelen aan VNetB, moet u een koppeling maken van VNetA naar VNetB en van VNetB naar VNetA. Als u beide koppelingen maakt, wordt de status gewijzigd in Verbonden.
Mijn peeringverbinding voor het virtuele netwerk heeft de status Verbinding verbroken. Waarom kan ik geen peeringverbinding maken?
Als de peeringverbinding van uw virtuele netwerk de status Verbroken heeft, is een van de koppelingen die u hebt gemaakt, verwijderd. Als u een peeringverbinding opnieuw tot stand wilt brengen, moet u de resterende koppeling verwijderen en beide opnieuw maken.
Kan ik mijn virtuele netwerk koppelen aan een virtueel netwerk dat zich in een ander abonnement bevindt?
Ja. U kunt virtuele netwerken koppelen aan abonnementen en regio's.
Kan ik twee virtuele netwerken koppelen die overeenkomende of overlappende adresbereiken hebben?
Nee U kunt peering van virtuele netwerken niet inschakelen als adresruimten elkaar overlappen.
Kan ik een virtueel netwerk koppelen aan twee virtuele netwerken met de optie Externe gateway gebruiken ingeschakeld voor beide peerings?
Nee U kunt de optie Externe gateway gebruiken op slechts één peering naar een van de virtuele netwerken inschakelen.
Kan ik een virtueel netwerk met een peeringverbinding met een ander virtueel netwerk verplaatsen?
Nee U kunt een virtueel netwerk met een peeringverbinding met een ander virtueel netwerk niet verplaatsen. U moet de peeringverbinding verwijderen voordat u het virtuele netwerk verplaatst.
Hoeveel kost peeringkoppelingen voor virtuele netwerken?
Er worden geen kosten in rekening gebracht voor het maken van een peeringverbinding voor een virtueel netwerk. Er worden kosten in rekening gebracht voor gegevensoverdracht tussen peeringverbindingen. Zie de pagina met prijzen voor Azure Virtual Network voor meer informatie.
Wordt peeringverkeer van virtuele netwerken versleuteld?
Wanneer Azure-verkeer tussen datacenters wordt verplaatst (buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft), gebruikt de onderliggende netwerkhardware MACsec-gegevenskoppelingslaagversleuteling. Deze versleuteling is van toepassing op peeringverkeer van virtuele netwerken.
Waarom heeft mijn peeringverbinding de status Verbroken?
Peeringverbindingen van virtuele netwerken hebben een niet-verbonden status wanneer één peeringkoppeling voor een virtueel netwerk wordt verwijderd. U moet beide koppelingen verwijderen om een geslaagde peeringverbinding opnieuw tot stand te brengen.
Als ik VNetA koppel aan VNetB en ik VNetB peer naar VNetC, betekent dit dan dat VNetA en VNetC zijn gekoppeld?
Nee Transitieve peering wordt niet ondersteund. U moet VNetA handmatig koppelen aan VNetC.
Zijn er bandbreedtebeperkingen voor peeringverbindingen?
Nee Peering van virtuele netwerken, lokaal of globaal, legt geen bandbreedtebeperkingen op. De bandbreedte wordt alleen beperkt door de VIRTUELE machine of de rekenresource.
Hoe kan ik problemen met peering van virtuele netwerken oplossen?
Probeer de gids voor probleemoplossing.
Virtual Network TAP
Welke Azure-regio's zijn beschikbaar voor TAP van een virtueel netwerk?
De preview van het virtuele netwerkterminaltoegangspunt (TAP) is beschikbaar in alle Azure-regio's. U moet de bewaakte netwerkadapters, de TAP-resource van het virtuele netwerk en de collector- of analyseoplossing in dezelfde regio implementeren.
Ondersteunt TAP in het virtuele netwerk filtermogelijkheden op de gespiegelde pakketten?
Filtermogelijkheden worden niet ondersteund met de preview-versie van het virtuele netwerk TAP. Wanneer u een TAP-configuratie toevoegt aan een netwerkadapter, wordt een diepe kopie van al het inkomend en uitgaand verkeer op de netwerkadapter gestreamd naar de TAP-bestemming.
Kan ik meerdere TAP-configuraties toevoegen aan een bewaakte netwerkadapter?
Een bewaakte netwerkadapter kan slechts één TAP-configuratie hebben. Neem contact op met de afzonderlijke partneroplossing voor het streamen van meerdere kopieën van het TAP-verkeer naar de analysehulpprogramma's van uw keuze.
Kan hetzelfde virtuele netwerk TAP-resource verkeer van bewaakte netwerkadapters aggregeren in meer dan één virtueel netwerk?
Ja. U kunt dezelfde TAP-resource van het virtuele netwerk gebruiken om gespiegeld verkeer van bewaakte netwerkadapters in gekoppelde virtuele netwerken in hetzelfde abonnement of een ander abonnement samen te voegen.
De TAP-resource van het virtuele netwerk en de doel load balancer of doelnetwerkadapter moeten zich in hetzelfde abonnement bevinden. Alle abonnementen moeten zich onder dezelfde Microsoft Entra-tenant bevinden.
Zijn er prestatieoverwegingen voor productieverkeer als ik een TAP-configuratie voor een virtueel netwerk inschakelen op een netwerkadapter?
Tap voor virtueel netwerk is beschikbaar als preview-versie. Tijdens de preview is er geen service level agreement. U moet de mogelijkheid voor productieworkloads niet gebruiken.
Wanneer u een netwerkadapter voor een virtuele machine inschakelt met een TAP-configuratie, worden dezelfde resources op de Azure-host die aan de virtuele machine is toegewezen om het productieverkeer te verzenden, gebruikt om de mirroringfunctie uit te voeren en de gespiegelde pakketten te verzenden. Selecteer de juiste virtuele Linux - of Windows-machinegrootte om ervoor te zorgen dat er voldoende resources beschikbaar zijn voor de virtuele machine om het productieverkeer en het gespiegelde verkeer te verzenden.
Wordt versneld netwerken voor Linux of Windows ondersteund met TAP voor virtueel netwerk?
U kunt een TAP-configuratie toevoegen op een netwerkadapter die is gekoppeld aan een virtuele machine die is ingeschakeld met versneld netwerken voor Linux of Windows. Het toevoegen van de TAP-configuratie heeft echter invloed op de prestaties en latentie op de virtuele machine, omdat versneld netwerken van Azure momenteel geen ondersteuning biedt voor offload voor spiegelingsverkeer.
Service-eindpunten voor virtueel netwerk
Wat is de juiste volgorde van bewerkingen voor het instellen van service-eindpunten voor een Azure-service?
Er zijn twee stappen voor het beveiligen van een Azure-serviceresource via service-eindpunten:
- Schakel service-eindpunten in voor de Azure-service.
- Stel toegangsbeheerlijsten voor virtuele netwerken (ACL's) in de Azure-service in.
De eerste stap is een bewerking aan de netwerkzijde en de tweede stap is een bewerking aan de resourcezijde van de service. Dezelfde beheerder of verschillende beheerders kunnen de stappen uitvoeren, op basis van de RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure die zijn verleend aan de beheerdersrol.
U wordt aangeraden service-eindpunten voor uw virtuele netwerk in te schakelen voordat u ACL's voor virtuele netwerken instelt aan de azure-servicezijde. Als u service-eindpunten voor virtuele netwerken wilt instellen, moet u de stappen in de voorgaande reeks uitvoeren.
Notitie
U moet beide voorgaande bewerkingen voltooien voordat u de toegang van de Azure-service tot het toegestane virtuele netwerk en subnet kunt beperken. Het inschakelen van service-eindpunten voor de Azure-service aan de netwerkzijde geeft u niet de beperkte toegang. U moet ook ACL's voor virtuele netwerken instellen aan de azure-servicezijde.
Bepaalde services (zoals Azure SQL en Azure Cosmos DB) staan uitzonderingen toe op de voorgaande reeks via de IgnoreMissingVnetServiceEndpoint
vlag. Nadat u de vlag hebt True
ingesteld, kunt u ACL's voor virtuele netwerken instellen aan de kant van de Azure-service voordat u de service-eindpunten aan de netwerkzijde inschakelt. Azure-services bieden deze vlag om klanten te helpen in gevallen waarin de specifieke IP-firewalls zijn geconfigureerd in Azure-services.
Als u de service-eindpunten aan de netwerkzijde inschakelt, kan dit leiden tot een afname van de connectiviteit, omdat het bron-IP-adres verandert van een openbaar IPv4-adres in een privéadres. Het instellen van ACL's voor virtuele netwerken aan de azure-servicezijde voordat u service-eindpunten aan de netwerkzijde inschakelt, kan helpen bij het voorkomen van een afname van de connectiviteit.
Notitie
Als u Service-eindpunt inschakelt voor bepaalde services, zoals Microsoft.AzureActiveDirectory, kunt u IPV6-adresverbindingen zien in aanmeldingslogboeken. Microsoft gebruikt een intern IPV6-privébereik voor dit type verbindingen.
Bevinden alle Azure-services zich in het virtuele Azure-netwerk dat de klant biedt? Hoe werkt een service-eindpunt voor een virtueel netwerk met Azure-services?
Niet alle Azure-services bevinden zich in het virtuele netwerk van de klant. De meeste Azure-gegevensservices (zoals Azure Storage, Azure SQL en Azure Cosmos DB) zijn multitenant-services die toegankelijk zijn via openbare IP-adressen. Zie Toegewezen Azure-services implementeren in virtuele netwerken voor meer informatie.
Wanneer u service-eindpunten voor virtuele netwerken aan de netwerkzijde inschakelt en de juiste ACL's voor virtuele netwerken instelt aan de azure-servicezijde, wordt de toegang tot een Azure-service beperkt tot een toegestaan virtueel netwerk en subnet.
Hoe bieden service-eindpunten voor virtuele netwerken beveiliging?
Service-eindpunten voor virtuele netwerken beperken de toegang van de Azure-service tot het toegestane virtuele netwerk en subnet. Op deze manier bieden ze beveiliging en isolatie op netwerkniveau van het Azure-serviceverkeer.
Al het verkeer dat gebruikmaakt van service-eindpunten voor virtuele netwerken loopt via de Microsoft-backbone om een andere isolatielaag van het openbare internet te bieden. Klanten kunnen er ook voor kiezen om openbare internettoegang tot de Azure-servicebronnen volledig te verwijderen en alleen verkeer van hun virtuele netwerk toe te staan via een combinatie van IP-firewall en virtuele netwerk-ACL's. Als u internettoegang verwijdert, kunt u de Azure-servicebronnen beschermen tegen onbevoegde toegang.
Wat beveiligt het service-eindpunt van het virtuele netwerk: virtuele netwerkbronnen of Azure-servicebronnen?
Service-eindpunten voor virtuele netwerken helpen azure-servicebronnen te beveiligen. Virtuele netwerkbronnen worden beveiligd via netwerkbeveiligingsgroepen.
Zijn er kosten verbonden aan het gebruik van service-eindpunten voor virtuele netwerken?
Nee Er zijn geen extra kosten verbonden aan het gebruik van service-eindpunten voor virtuele netwerken.
Kan ik service-eindpunten voor virtuele netwerken inschakelen en ACL's voor virtuele netwerken instellen als het virtuele netwerk en de Azure-servicebronnen deel uitmaken van verschillende abonnementen?
Ja, het is mogelijk. Virtuele netwerken en Azure-servicebronnen kunnen zich in hetzelfde abonnement of in verschillende abonnementen bevinden. De enige vereiste is dat zowel het virtuele netwerk als de Azure-servicebronnen zich onder dezelfde Microsoft Entra-tenant bevinden.
Kan ik service-eindpunten voor virtuele netwerken inschakelen en ACL's voor virtuele netwerken instellen als het virtuele netwerk en de Azure-servicebronnen deel uitmaken van verschillende Microsoft Entra-tenants?
Ja, het is mogelijk wanneer u service-eindpunten gebruikt voor Azure Storage en Azure Key Vault. Voor andere services worden service-eindpunten voor virtuele netwerken en ACL's voor virtuele netwerken niet ondersteund in Microsoft Entra-tenants.
Kan het IP-adres van een on-premises apparaat dat is verbonden via een virtuele Azure-netwerkgateway (VPN) of ExpressRoute-gateway toegang krijgen tot Azure PaaS-services via service-eindpunten voor virtuele netwerken?
Standaard zijn Azure-serviceresources die zijn beveiligd naar virtuele netwerken, niet bereikbaar vanaf on-premises netwerken. Als u verkeer van on-premises wilt toestaan, moet u ook openbare (meestal NAT) IP-adressen van on-premises of ExpressRoute toestaan. U kunt deze IP-adressen toevoegen via de IP-firewallconfiguratie voor de Azure-servicebronnen.
Kan ik service-eindpunten voor virtuele netwerken gebruiken om Azure-services te beveiligen op meerdere subnetten binnen een virtueel netwerk of in meerdere virtuele netwerken?
Als u Azure-services wilt beveiligen op meerdere subnetten binnen een virtueel netwerk of in meerdere virtuele netwerken, schakelt u service-eindpunten in aan de netwerkzijde van elk van de subnetten onafhankelijk van elkaar. Beveilig vervolgens Azure-servicebronnen naar alle subnetten door de juiste ACL's voor virtuele netwerken in te stellen aan de azure-servicezijde.
Hoe kan ik uitgaand verkeer van een virtueel netwerk naar Azure-services filteren en nog steeds service-eindpunten gebruiken?
Als u het verkeer dat is bestemd voor een Azure-service vanaf het virtuele netwerk, wilt controleren of filteren, kunt u een virtueel netwerkapparaat implementeren binnen het virtuele netwerk. U kunt vervolgens service-eindpunten toepassen op het subnet waar het virtuele netwerkapparaat wordt geïmplementeerd en azure-servicebronnen alleen op dit subnet beveiligen via ACL's voor virtuele netwerken.
Dit scenario kan ook handig zijn als u de toegang van de Azure-service van uw virtuele netwerk wilt beperken tot specifieke Azure-resources met behulp van het filteren van virtuele netwerkapparaten. Zie Maximaal beschikbare NVA's implementeren voor meer informatie.
Wat gebeurt er wanneer iemand toegang heeft tot een Azure-serviceaccount waarvoor een ACL van een virtueel netwerk is ingeschakeld buiten het virtuele netwerk?
De service retourneert een HTTP 403- of HTTP 404-fout.
Zijn subnetten van een virtueel netwerk die in verschillende regio's zijn gemaakt, toegang tot een Azure-serviceaccount in een andere regio toegestaan?
Ja. Voor de meeste Azure-services hebben virtuele netwerken die in verschillende regio's zijn gemaakt, toegang tot Azure-services in een andere regio via de service-eindpunten van het virtuele netwerk. Als een Azure Cosmos DB-account zich bijvoorbeeld in de regio VS - west of VS - oost bevindt en virtuele netwerken zich in meerdere regio's bevinden, hebben de virtuele netwerken toegang tot Azure Cosmos DB.
Azure Storage en Azure SQL zijn uitzonderingen en zijn regionaal van aard. Zowel het virtuele netwerk als de Azure-service moeten zich in dezelfde regio bevinden.
Kan een Azure-service zowel een ACL van een virtueel netwerk als een IP-firewall hebben?
Ja. Een ACL van een virtueel netwerk en een IP-firewall kunnen naast elkaar bestaan. De functies vormen een aanvulling op elkaar om isolatie en beveiliging te garanderen.
Wat gebeurt er als u een virtueel netwerk of subnet verwijdert waarvoor service-eindpunten zijn ingeschakeld voor Azure-services?
Het verwijderen van virtuele netwerken en het verwijderen van subnetten zijn onafhankelijke bewerkingen. Ze worden ook ondersteund wanneer u service-eindpunten voor Azure-services inschakelt.
Als u ACL's voor virtuele netwerken instelt voor Azure-services, wordt de ACL-informatie die is gekoppeld aan deze Azure-services uitgeschakeld wanneer u een virtueel netwerk of subnet verwijdert waarvoor service-eindpunten voor virtuele netwerken zijn ingeschakeld.
Wat gebeurt er als ik een Azure-serviceaccount verwijder waarvoor een service-eindpunt voor een virtueel netwerk is ingeschakeld?
Het verwijderen van een Azure-serviceaccount is een onafhankelijke bewerking. Dit wordt ondersteund, zelfs als u het service-eindpunt aan de netwerkzijde hebt ingeschakeld en ACL's voor virtuele netwerken aan de azure-servicezijde hebt ingesteld.
Wat gebeurt er met het bron-IP-adres van een resource (zoals een VM in een subnet) waarvoor service-eindpunten voor virtuele netwerken zijn ingeschakeld?
Wanneer u service-eindpunten voor virtuele netwerken inschakelt, schakelen de bron-IP-adressen van de resources in het subnet van uw virtuele netwerk over van het gebruik van openbare IPv4-adressen tot het gebruik van de privé-IP-adressen van het virtuele Azure-netwerk voor verkeer naar Azure-services. Deze switch kan ertoe leiden dat specifieke IP-firewalls die zijn ingesteld op een openbaar IPv4-adres eerder op de Azure-services mislukken.
Heeft de route van het service-eindpunt altijd voorrang?
Service-eindpunten voegen een systeemroute toe die voorrang heeft op BGP-routes (Border Gateway Protocol) en een optimale routering biedt voor het service-eindpuntverkeer. Service-eindpunten brengen serviceverkeer altijd rechtstreeks van uw virtuele netwerk naar de service in het Backbone-netwerk van Microsoft Azure.
Zie Routering van virtueel netwerkverkeer voor meer informatie over hoe Azure een route selecteert.
Werken service-eindpunten met ICMP?
Nee ICMP-verkeer dat afkomstig is van een subnet waarvoor service-eindpunten zijn ingeschakeld, neemt het pad van de servicetunnel niet naar het gewenste eindpunt. Service-eindpunten verwerken alleen TCP-verkeer. Als u latentie of connectiviteit met een eindpunt wilt testen via service-eindpunten, worden met hulpprogramma's zoals ping en tracert niet het werkelijke pad weergegeven dat door de resources in het subnet wordt gebruikt.
Hoe werken NSG's in een subnet met service-eindpunten?
Om de Azure-service te bereiken, moeten NSG's uitgaande connectiviteit toestaan. Als uw NSG's worden geopend voor al het uitgaande internetverkeer, moet het service-eindpuntverkeer werken. U kunt het uitgaande verkeer ook beperken tot alleen SERVICE-IP-adressen met behulp van de servicetags.
Welke machtigingen heb ik nodig om service-eindpunten in te stellen?
U kunt service-eindpunten op een virtueel netwerk onafhankelijk configureren als u schrijftoegang tot dat netwerk hebt.
Als u Azure-serviceresources wilt beveiligen voor een virtueel netwerk, moet u beschikken over de machtiging Microsoft.Network/virtualNetworks/subnetten/joinViaServiceEndpoint/action voor de subnetten die u toevoegt. Deze machtiging is standaard opgenomen in de ingebouwde rol van servicebeheerder en kan worden gewijzigd door het maken van aangepaste rollen.
Zie Aangepaste Azure-rollen voor meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen aan aangepaste rollen.
Kan ik verkeer van virtuele netwerken naar Azure-services filteren via service-eindpunten?
U kunt service-eindpuntbeleid voor virtuele netwerken gebruiken om verkeer van virtuele netwerken naar Azure-services te filteren, zodat alleen specifieke Azure-servicebronnen via de service-eindpunten worden toegestaan. Eindpuntbeleid biedt gedetailleerd toegangsbeheer van het verkeer van het virtuele netwerk naar de Azure-services.
Zie Service-eindpuntbeleid voor virtuele netwerken voor Azure Storage voor meer informatie.
Biedt Microsoft Entra ID ondersteuning voor service-eindpunten voor virtuele netwerken?
Microsoft Entra ID biedt geen systeemeigen ondersteuning voor service-eindpunten. Zie Service-eindpunten voor virtuele netwerken voor een volledige lijst met Azure-services die service-eindpunten voor virtuele netwerken ondersteunen.
In deze lijst wordt de tag Microsoft.AzureActiveDirectory vermeld onder services die service-eindpunten ondersteunen, gebruikt voor het ondersteunen van service-eindpunten naar Azure Data Lake Storage Gen1. Integratie van virtuele netwerken voor Data Lake Storage Gen1 maakt gebruik van de beveiliging van het service-eindpunt van het virtuele netwerk tussen uw virtuele netwerk en Microsoft Entra-id om extra beveiligingsclaims in het toegangstoken te genereren. Deze claims worden vervolgens gebruikt om het virtuele netwerk te verifiëren bij het Data Lake Storage Gen1-account en toegang toe te staan.
Zijn er limieten voor het aantal service-eindpunten dat ik vanuit mijn virtuele netwerk kan instellen?
Er geldt geen limiet voor het totale aantal service-eindpunten in een virtueel netwerk. Voor een Azure-serviceresource (zoals een Azure Storage-account) kunnen services limieten afdwingen voor het aantal subnetten dat u gebruikt voor het beveiligen van de resource. In de volgende tabel ziet u enkele voorbeeldlimieten:
Azure-service | Limieten voor regels voor virtuele netwerken |
---|---|
Azure Storage | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Azure Event Hubs | 128 |
Azure Service Bus | 128 |
Notitie
De limieten kunnen naar eigen goeddunken van de Azure-services worden gewijzigd. Raadpleeg de betreffende servicedocumentatie voor meer informatie.
Migratie van klassieke netwerkresources naar Resource Manager
Wat is Azure Service Manager en wat betekent de term 'klassiek'?
Azure Service Manager is het oude implementatiemodel van Azure dat verantwoordelijk was voor het maken, beheren en verwijderen van resources. Het woord klassiek in een netwerkservice verwijst naar resources die worden beheerd door het Azure Service Manager-model. Zie de vergelijking van implementatiemodellen voor meer informatie.
Wat is Azure Resource Manager?
Azure Resource Manager is het meest recente implementatie- en beheermodel in Azure dat verantwoordelijk is voor het maken, beheren en verwijderen van resources in uw Azure-abonnement. Zie Wat is Azure Resource Manager? voor meer informatie.
Kan ik de migratie herstellen nadat resources zijn doorgevoerd in Resource Manager?
U kunt de migratie annuleren zolang resources nog steeds de voorbereide status hebben. Terugdraaien naar het vorige implementatiemodel wordt niet ondersteund nadat u resources hebt gemigreerd via de doorvoerbewerking.
Kan ik de migratie herstellen als de doorvoerbewerking is mislukt?
U kunt een migratie niet omkeren als de doorvoerbewerking is mislukt. Alle migratiebewerkingen, inclusief de doorvoerbewerking, kunnen niet worden gewijzigd nadat u ze hebt gestart. U wordt aangeraden de bewerking na een korte periode opnieuw uit te voeren. Als de bewerking blijft mislukken, dient u een ondersteuningsaanvraag in.
Kan ik mijn abonnement of resources valideren om te ontdekken of ze geschikt zijn voor migratie?
Ja. De eerste stap bij het voorbereiden van de migratie is om te valideren dat resources kunnen worden gemigreerd. Als de validatie mislukt, ontvangt u om alle redenen waarom de migratie niet kan worden voltooid.
Worden Application Gateway-resources gemigreerd als onderdeel van de migratie van het virtuele netwerk van klassiek naar Resource Manager?
Azure-toepassing Gateway-resources niet automatisch worden gemigreerd als onderdeel van het migratieproces van het virtuele netwerk. Als er een aanwezig is in het virtuele netwerk, is de migratie niet geslaagd. Als u een Application Gateway-resource naar Resource Manager wilt migreren, moet u het Application Gateway-exemplaar verwijderen en opnieuw maken nadat de migratie is voltooid.
Worden VPN Gateway-resources gemigreerd als onderdeel van de migratie van het virtuele netwerk van klassiek naar Resource Manager?
Azure VPN Gateway-resources worden gemigreerd als onderdeel van het migratieproces van het virtuele netwerk. De migratie is één virtueel netwerk tegelijk voltooid zonder andere vereisten. De migratiestappen zijn hetzelfde als voor het migreren van een virtueel netwerk zonder een VPN-gateway.
Is een serviceonderbreking gekoppeld aan het migreren van klassieke VPN-gateways naar Resource Manager?
U ondervindt geen serviceonderbreking met uw VPN-verbinding wanneer u migreert naar Resource Manager. Bestaande workloads blijven functioneren met volledige on-premises connectiviteit tijdens de migratie.
Moet ik mijn on-premises apparaat opnieuw configureren nadat de VPN-gateway is gemigreerd naar Resource Manager?
Het openbare IP-adres dat is gekoppeld aan de VPN-gateway blijft hetzelfde na de migratie. U hoeft uw on-premises router niet opnieuw te configureren.
Wat zijn de ondersteunde scenario's voor migratie van VPN-gateway van klassiek naar Resource Manager?
De migratie van klassiek naar Resource Manager omvat de meeste veelvoorkomende VPN-connectiviteitsscenario's. De ondersteunde scenario's zijn:
Punt-naar-site-connectiviteit.
Site-naar-site-connectiviteit met een VPN-gateway die is verbonden met een on-premises locatie.
Netwerk-naar-netwerkconnectiviteit tussen twee virtuele netwerken die gebruikmaken van VPN-gateways.
Meerdere virtuele netwerken die zijn verbonden met dezelfde on-premises locatie.
Connectiviteit met meerdere sites.
Virtuele netwerken waarvoor geforceerde tunneling is ingeschakeld.
Welke scenario's worden niet ondersteund voor migratie van vpn-gateways van klassiek naar Resource Manager?
Scenario's die niet worden ondersteund, zijn onder andere:
Een virtueel netwerk met zowel een ExpressRoute-gateway als een VPN-gateway.
Een virtueel netwerk met een ExpressRoute-gateway die is verbonden met een circuit in een ander abonnement.
Transitscenario's waarbij VM-extensies zijn verbonden met on-premises servers.
Waar vind ik meer informatie over migratie van klassiek naar Resource Manager?
Zie veelgestelde vragen over de migratie van klassiek naar Azure Resource Manager.
Hoe kan ik een probleem melden?
U kunt vragen posten over migratieproblemen naar de Microsoft Q&A-pagina . We raden u aan al uw vragen op dit forum te plaatsen. Als u een ondersteuningscontract hebt, kunt u ook een ondersteuningsaanvraag indienen.