Was ist ein virtuelles Azure-Netzwerk?

Azure Virtual Network ist ein Dienst, der den grundlegenden Baustein für Ihr privates Netzwerk in Azure bereitstellt. Eine Instanz des Diensts (ein virtuelles Netzwerk) ermöglicht es vielen Arten von Azure-Ressourcen, sicher miteinander, dem Internet und lokalen Netzwerken zu kommunizieren. Zu diesen Azure-Ressourcen gehören virtuelle Computer (VMs).

Virtuelle Netzwerke ähneln den herkömmlichen Netzwerken, die Sie in Ihrem eigenen Rechenzentrum betreiben. Es bietet jedoch zusätzliche Vorteile der Azure-Infrastruktur, z. B. Skalierung, Verfügbarkeit und Isolation.

Warum ein Azure Virtual Network verwenden?

Zu den wichtigsten Szenarien, die Sie mit einem virtuellen Netzwerk ausführen können, gehören:

• Kommunikation von Azure-Ressourcen mit dem Internet.
• Kommunikation zwischen Azure-Ressourcen.
• Kommunikation mit lokalen Ressourcen.
• Filterung des Netzwerkdatenverkehrs.
• Routen des Netzwerkdatenverkehrs.
• Integration in Azure-Dienste.

Kommunizieren mit dem Internet

Alle Ressourcen in einem virtuellen Netzwerk können standardmäßig mit dem Internet kommunizieren. Sie können auch eine öffentlichen IP-Adresse, ein NAT-Gateway oder einen öffentlichen Lastenausgleich zum Verwalten Ihrer ausgehenden Verbindungen verwenden. Zur Kommunikation in eingehender Richtung muss der entsprechenden Ressource eine öffentliche IP-Adresse oder ein öffentlicher Lastenausgleich zugewiesen werden.

Wenn Sie nur eine interne Instanz von Load Balancer Standard verwenden, ist ausgehende Konnektivität erst verfügbar, wenn Sie definieren, wie ausgehende Verbindungen mit einer öffentlichen IP-Adresse auf Instanzebene oder einer öffentlichen Load Balancer-Instanz verwendet werden sollen.

Kommunikation zwischen Azure-Ressourcen

Azure-Ressourcen kommunizieren auf eine der folgenden Arten sicher miteinander:

• Virtuelles Netzwerk: Sie können virtuelle Computer und andere Arten von Azure-Ressourcen in einem virtuellen Netzwerk bereitstellen. Beispiele für Ressourcen sind App Service-Umgebungen, Azure Kubernetes Service (AKS) und Azure Virtual Machine Scale Sets. Eine vollständige Liste der Azure-Ressourcen, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie unter Bereitstellen dedizierter Azure-Dienste in virtuellen Netzwerken.
• Endpunkt des virtuellen Netzwerks: Sie können den privaten Adressraum Ihres virtuellen Netzwerks und die Identität Ihres virtuellen Netzwerks auf Azure-Dienstressourcen über eine direkte Verbindung erweitern. Beispiele für Ressourcen sind Azure Storage-Konten und Azure SQL-Datenbank. Mit Dienstendpunkten können Sie Ihre kritischen Azure-Dienstressourcen nur in einem virtuellen Netzwerk sichern. Weitere Informationen finden Sie unter VNET-Dienstendpunkte.
• Virtuelles Netzwerk-Peering: Sie können virtuelle Netzwerke miteinander verbinden, indem Sie virtuelle Peering verwenden. Die Ressourcen in beiden virtuellen Netzwerken können dann miteinander kommunizieren. Die verbundenen virtuellen Netzwerke können sich in derselben Azure-Region oder in verschiedenen Azure-Regionen befinden. Weitere Informationen finden Sie unter Peering virtueller Netzwerke.

Kommunikation mit lokalen Ressourcen

Sie können Ihre lokalen Computer und Netzwerke mit einem virtuellen Netzwerk verbinden, indem Sie eine der folgenden Optionen verwenden:

• Point-to-Site-VPN: Wird zwischen einem virtuellen Netzwerk und einem einzelnen Computer in Ihrem Netzwerk eingerichtet. Jeder Computer, der eine Verbindung mit einem virtuellen Netzwerk herstellen möchte, muss seine Verbindung konfigurieren. Dieser Verbindungstyp ist nützlich, wenn Sie gerade mit Azure oder für Entwickler beginnen, da nur wenige oder keine Änderungen an einem vorhandenen Netzwerk erforderlich sind. Die Kommunikation zwischen Ihrem Computer und einem virtuellen Netzwerk wird über einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Informationen zu Point-to-Site-VPN.
• Standort-zu-Standort-VPN: Hergestellt zwischen Ihrem lokalen VPN-Gerät und einem Azure VPN-Gateway, das in einem virtuellen Netzwerk bereitgestellt wird. Dieser Verbindungstyp ermöglicht jede lokale Ressource, die Sie für den Zugriff auf ein virtuelles Netzwerk autorisieren. Die Kommunikation zwischen Ihrem lokalen VPN-Gerät und einem Azure VPN-Gateway wird über einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Site-to-Site-VPN.
• Azure ExpressRoute: Wird über einen ExpressRoute-Partner zwischen Ihrem Netzwerk und Azure eingerichtet. Diese Verbindung ist privat. Datenverkehr geht nicht über das Internet. Weitere Informationen finden Sie unter Was ist Azure ExpressRoute?

Filtern des Netzwerkdatenverkehrs

Sie können den Netzwerkdatenverkehr zwischen Subnetzen filtern, indem Sie eine oder beide der folgenden Optionen verwenden:

• Netzwerksicherheitsgruppen: Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen können mehrere eingehende und ausgehende Sicherheitsregeln enthalten. Mit diesen Regeln können Sie den Datenverkehr zu und von Ressourcen nach Quell- und Ziel-IP-Adresse, Port und Protokoll filtern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.
• Virtuelle Netzwerkgeräte: Eine virtuelle Netzwerk-Appliance ist eine VM, die eine Netzwerkfunktion ausführt, z. B. eine Firewall oder WAN-Optimierung. Eine Liste mit verfügbaren virtuellen Netzwerkgeräten, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie im Azure Marketplace.

Routing von Netzwerkverkehr

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen, verbundenen virtuellen Netzwerken, lokalen Netzwerken und dem Internet weiter. Sie können eine oder beide der folgenden Optionen implementieren, um die von Azure erstellten Standardrouten außer Kraft zu setzen:

• Routentabellen: Sie können benutzerdefinierte Routentabellen erstellen, die steuern, an welchen Ort Datenverkehr für jedes Subnetz weitergeleitet wird.
• BGP-Routen (Border Gateway Protocol): Wenn Sie Ihr virtuelles Netzwerk über ein Azure VPN-Gateway oder eine ExpressRoute-Verbindung mit Ihrem lokalen Netzwerk verbinden, können Sie Ihre lokalen BGP-Routen an Ihre virtuellen Netzwerke weitergeben.

Integration in Azure-Dienste

Die Integration von Azure-Diensten in ein virtuelles Azure-Netzwerk ermöglicht privaten Zugriff auf den Dienst von virtuellen Computern oder Computeressourcen im virtuellen Netzwerk. Sie können die folgenden Optionen für diese Integration verwenden:

• Stellen Sie dedizierte Instanzen des Diensts in einem virtuellen Netzwerk bereit. Auf die Dienste kann dann privat innerhalb des virtuellen Netzwerks und über lokale Netzwerke zugegriffen werden.
• Verwenden Sie Azure Private Link, um von Ihrem virtuellen Netzwerk und von lokalen Netzwerken aus privat auf eine bestimmte Instanz des Diensts zuzugreifen.
• Greifen Sie über öffentliche Endpunkte auf den Dienst zu, indem Sie ein virtuelles Netzwerk mithilfe von Dienstendpunkten auf den Dienst erweitern. Dienstendpunkte ermöglichen die Sicherung von Dienstressourcen im virtuellen Netzwerk.

Grenzen

Es gibt Grenzwerte für die Anzahl der Azure-Ressourcen, die Sie bereitstellen können. Die meisten Azure-Netzwerkgrenzwerte liegen bei den maximal zulässigen Werten. Sie können jedoch bestimmte Netzwerkgrenzwerte erhöhen. Weitere Informationen finden Sie unter Grenzwerte für Netzwerke.

Virtuelle Netzwerke und Verfügbarkeitszonen

Virtuelle Netzwerke und Subnetze umfassen alle Verfügbarkeitszonen in einer Region. Sie müssen sie nicht durch Verfügbarkeitszonen aufteilen, um zonenale Ressourcen zu berücksichtigen. Wenn Sie z. B. einen zonalen virtuellen Computer konfigurieren, müssen Sie das virtuelle Netzwerk nicht berücksichtigen, wenn Sie die Verfügbarkeitszone für den virtuellen Computer auswählen. Das gleiche gilt für andere Zonenressourcen.

Preisgestaltung

Für die Nutzung von Azure Virtual Network fällt keine Gebühr an. Sie ist kostenlos. Für Ressourcen wie VMs und andere Produkte werden Standardgebühren berechnet. Weitere Informationen finden Sie unter Virtual Network – Preise und im Azure-Preisrechner.