Virtuele netwerken plannen

  • Artikel

Het maken van een virtueel netwerk om mee te experimenteren is eenvoudig genoeg, maar de kans is groot dat u in de loop van de tijd meerdere virtuele netwerken implementeert ter ondersteuning van de productiebehoeften van uw organisatie. Met enige planning kunt u virtuele netwerken implementeren en de resources die u nodig hebt effectiever verbinden. De informatie in dit artikel is het handigst als u al bekend bent met virtuele netwerken en ervaring hebt met het werken met deze netwerken. Als u niet bekend bent met virtuele netwerken, is het raadzaam om het overzicht van het virtuele netwerk te lezen.

Naamgeving

Alle Azure-resources hebben een naam. De naam moet uniek zijn binnen een bereik, dat voor elk resourcetype kan variëren. De naam van een virtueel netwerk moet bijvoorbeeld uniek zijn binnen een resourcegroep, maar kan worden gedupliceerd binnen een abonnement of Azure-regio. Het definiëren van een naamconventie die u consistent kunt gebruiken bij het benoemen van resources is handig bij het beheren van verschillende netwerkresources in de loop van de tijd. Zie Naamconventies voor suggesties.

Regio's

Alle Azure-resources worden gemaakt in een Azure-regio en -abonnement. Een resource kan alleen worden gemaakt in een virtueel netwerk dat zich in dezelfde regio en hetzelfde abonnement bevindt als de resource. U kunt echter virtuele netwerken verbinden die bestaan in verschillende abonnementen en regio's. Zie connectiviteit voor meer informatie. Wanneer u beslist in welke regio(s) resources moeten worden geïmplementeerd, moet u overwegen waar consumenten van de resources zich fysiek bevinden:

  • Consumenten van resources willen doorgaans de laagste netwerklatentie voor hun resources. Als u relatieve latenties tussen een opgegeven locatie en Azure-regio's wilt bepalen, raadpleegt u Relatieve latenties weergeven.
  • Hebt u vereisten voor gegevenslocatie, soevereiniteit, naleving of tolerantie? Zo ja, dan is het essentieel om de regio te kiezen die overeenkomt met de vereisten. Zie Azure-geografische gebieden voor meer informatie.
  • Hebt u tolerantie in Azure Beschikbaarheidszones binnen dezelfde Azure-regio nodig voor de resources die u implementeert? U kunt resources, zoals virtuele machines (VM), implementeren in verschillende beschikbaarheidszones binnen hetzelfde virtuele netwerk. Niet alle Azure-regio's ondersteunen echter beschikbaarheidszones. Zie Beschikbaarheidszones voor meer informatie over beschikbaarheidszones en de regio's die deze ondersteunen.

Abonnementen

U kunt zoveel virtuele netwerken implementeren als nodig is binnen elk abonnement, tot aan de limiet. Sommige organisaties hebben verschillende abonnementen voor verschillende afdelingen, bijvoorbeeld. Zie Abonnementsbeheer voor meer informatie en overwegingen met betrekking tot abonnementen.

Segmentatie

U kunt meerdere virtuele netwerken per abonnement en per regio maken. U kunt meerdere subnetten binnen elk virtueel netwerk maken. Met de volgende overwegingen kunt u bepalen hoeveel virtuele netwerken en subnetten u nodig hebt:

Virtuele netwerken

Een virtueel netwerk is een virtueel, geïsoleerd gedeelte van het openbare Azure-netwerk. Elk virtueel netwerk is toegewezen aan uw abonnement. Zaken die u moet overwegen bij het bepalen of u één virtueel netwerk of meerdere virtuele netwerken in een abonnement wilt maken:

  • Bestaan er organisatorische beveiligingsvereisten voor het isoleren van verkeer in afzonderlijke virtuele netwerken? U kunt ervoor kiezen om virtuele netwerken te verbinden of niet. Als u virtuele netwerken verbindt, kunt u een virtueel netwerkapparaat, zoals een firewall, implementeren om de verkeersstroom tussen de virtuele netwerken te beheren. Zie beveiliging en connectiviteit voor meer informatie.
  • Bestaan er organisatievereisten voor het isoleren van virtuele netwerken in afzonderlijke abonnementen of regio's?
  • Met een netwerkinterface kan een virtuele machine communiceren met andere resources. Aan elke netwerkinterface zijn een of meer privé-IP-adressen toegewezen. Hoeveel netwerkinterfaces en privé-IP-adressen hebt u nodig in een virtueel netwerk? Er gelden limieten voor het aantal netwerkinterfaces en privé-IP-adressen die u binnen een virtueel netwerk kunt hebben.
  • Wilt u het virtuele netwerk verbinden met een ander virtueel netwerk of een on-premises netwerk? U kunt ervoor kiezen om sommige virtuele netwerken met elkaar of on-premises netwerken te verbinden, maar niet met anderen. Zie connectiviteit voor meer informatie. Elk virtueel netwerk dat u verbindt met een ander virtueel netwerk of on-premises netwerk, moet een unieke adresruimte hebben. Elk virtueel netwerk heeft een of meer openbare of privé-adresbereiken toegewezen aan de adresruimte. Een adresbereik wordt opgegeven in cidr-indeling (classless internet domain routing), zoals 10.0.0.0/16. Meer informatie over adresbereiken voor virtuele netwerken.
  • Hebt u organisatiebeheervereisten voor resources in verschillende virtuele netwerken? Zo ja, dan kunt u resources scheiden in een afzonderlijk virtueel netwerk om de toewijzing van machtigingen aan personen in uw organisatie te vereenvoudigen of om verschillende beleidsregels toe te wijzen aan verschillende virtuele netwerken.
  • Wanneer u sommige Azure-servicebronnen in een virtueel netwerk implementeert, maken ze hun eigen virtuele netwerk. Als u wilt bepalen of een Azure-service een eigen virtueel netwerk maakt, raadpleegt u informatie voor elke Azure-service die kan worden geïmplementeerd in een virtueel netwerk.

Subnetten

Een virtueel netwerk kan worden gesegmenteerd in een of meer subnetten tot aan de limieten. Zaken die u moet overwegen bij het bepalen of u één subnet of meerdere virtuele netwerken in een abonnement wilt maken:

  • Elk subnet moet een uniek adresbereik hebben, opgegeven in CIDR-indeling, binnen de adresruimte van het virtuele netwerk. Het adresbereik mag niet overlappen met andere subnetten in het virtuele netwerk.
  • Als u van plan bent om sommige Azure-servicebronnen te implementeren in een virtueel netwerk, moeten ze mogelijk hun eigen subnet vereisen of maken, zodat er voldoende niet-toegewezen ruimte is om dit te kunnen doen. Als u wilt bepalen of een Azure-service een eigen subnet maakt, raadpleegt u informatie voor elke Azure-service die kan worden geïmplementeerd in een virtueel netwerk. Als u bijvoorbeeld een virtueel netwerk verbindt met een on-premises netwerk met behulp van een Azure VPN Gateway, moet het virtuele netwerk een toegewezen subnet voor de gateway hebben. Meer informatie over gatewaysubnetten.
  • Azure routeert standaard netwerkverkeer tussen alle subnetten in een virtueel netwerk. U kunt de standaardroutering van Azure overschrijven om azure-routering tussen subnetten te voorkomen of om verkeer tussen subnetten te routeren via een virtueel netwerkapparaat, bijvoorbeeld. Als u wilt dat verkeer tussen resources in hetzelfde virtuele netwerk stroomt via een virtueel netwerkapparaat (NVA), implementeert u de resources in verschillende subnetten. Meer informatie over beveiliging.
  • U kunt de toegang tot Azure-resources, zoals een Azure-opslagaccount of Azure SQL Database, beperken tot specifieke subnetten met een service-eindpunt voor een virtueel netwerk. Verder kunt u de toegang tot de resources vanaf internet weigeren. U kunt meerdere subnetten maken en een service-eindpunt inschakelen voor sommige subnetten, maar niet voor andere. Meer informatie over service-eindpunten en de Azure-resources waarvoor u ze kunt inschakelen.
  • U kunt nul of één netwerkbeveiligingsgroep koppelen aan elk subnet in een virtueel netwerk. U kunt dezelfde of een andere netwerkbeveiligingsgroep koppelen aan elk subnet. Elke netwerkbeveiligingsgroep bevat regels die verkeer naar en van bronnen en bestemmingen toestaan of weigeren. Meer informatie over netwerkbeveiligingsgroepen.

Beveiliging

U kunt netwerkverkeer naar en van resources in een virtueel netwerk filteren met behulp van netwerkbeveiligingsgroepen en virtuele netwerkapparaten. U kunt bepalen hoe Verkeer van subnetten wordt gerouteerd in Azure. U kunt ook beperken wie in uw organisatie kan werken met resources in virtuele netwerken.

Verkeer filteren

  • U kunt netwerkverkeer tussen resources in een virtueel netwerk filteren met behulp van een netwerkbeveiligingsgroep, een NVA die netwerkverkeer filtert, of beide. Als u een NVA, zoals een firewall, wilt implementeren om netwerkverkeer te filteren, raadpleegt u Azure Marketplace. Wanneer u een NVA gebruikt, maakt u ook aangepaste routes om verkeer van subnetten naar de NVA te routeren. Meer informatie over verkeersroutering.
  • Een netwerkbeveiligingsgroep bevat verschillende standaardbeveiligingsregels waarmee verkeer naar of van resources wordt toegestaan of geweigerd. Een netwerkbeveiligingsgroep kan worden gekoppeld aan een netwerkinterface, het subnet waarin de netwerkinterface zich bevindt of beide. Om het beheer van beveiligingsregels te vereenvoudigen, is het raadzaam om waar mogelijk een netwerkbeveiligingsgroep te koppelen aan afzonderlijke subnetten, in plaats van afzonderlijke netwerkinterfaces binnen het subnet.
  • Als voor verschillende VM's in een subnet verschillende beveiligingsregels moeten worden toegepast, kunt u de netwerkinterface in de VIRTUELE machine koppelen aan een of meer toepassingsbeveiligingsgroepen. Een beveiligingsregel kan een toepassingsbeveiligingsgroep opgeven in de bron, bestemming of beide. Deze regel is vervolgens alleen van toepassing op de netwerkinterfaces die lid zijn van de toepassingsbeveiligingsgroep. Meer informatie over netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen.
  • Wanneer een netwerkbeveiligingsgroep is gekoppeld aan het subnetniveau, is deze van toepassing op alle NIC's in het subnet, niet alleen op het verkeer dat afkomstig is van buiten het subnet. Dit betekent dat ook het verkeer tussen de VIRTUELE machines in het subnet kan worden beïnvloed.
  • Azure maakt verschillende standaardbeveiligingsregels binnen elke netwerkbeveiligingsgroep. Met één standaardregel kan al het verkeer tussen alle resources in een virtueel netwerk stromen. Als u dit gedrag wilt overschrijven, gebruikt u netwerkbeveiligingsgroepen, aangepaste routering om verkeer naar een NVA of beide te routeren. Het is raadzaam om vertrouwd te raken met alle standaardbeveiligingsregels van Azure en te begrijpen hoe regels voor netwerkbeveiligingsgroepen worden toegepast op een resource.

U kunt voorbeeldontwerpen bekijken voor het implementeren van een perimeternetwerk (ook wel dmz genoemd) tussen Azure en internet met behulp van een NVA.

Verkeersroutering

Azure maakt verschillende standaardroutes voor uitgaand verkeer van een subnet. U kunt de standaardroutering van Azure overschrijven door een routetabel te maken en deze te koppelen aan een subnet. Veelvoorkomende redenen voor het overschrijven van de standaardroutering van Azure zijn:

  • Omdat u wilt dat verkeer tussen subnetten via een NVA stroomt. Voor meer informatie over het configureren van routetabellen om verkeer via een NVA af te dwingen.
  • Omdat u al het internetverkeer wilt afdwingen via een NVA of on-premises, via een Azure VPN-gateway. Het on-premises afdwingen van internetverkeer voor inspectie en logboekregistratie wordt vaak geforceerde tunneling genoemd. Meer informatie over het configureren van geforceerde tunneling.

Als u aangepaste routering moet implementeren, is het raadzaam om vertrouwd te raken met routering in Azure.

Connectiviteit

U kunt een virtueel netwerk verbinden met andere virtuele netwerken met behulp van peering van virtuele netwerken of met uw on-premises netwerk met behulp van een Azure VPN-gateway.

Peering

Wanneer u peering van virtuele netwerken gebruikt, kunnen de virtuele netwerken zich in dezelfde of verschillende ondersteunde Azure-regio's bevinden. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-abonnementen bevinden (zelfs abonnementen die behoren tot verschillende Microsoft Entra-tenants). Voordat u een peering maakt, is het raadzaam om vertrouwd te raken met alle vereisten en beperkingen voor peering. De bandbreedte tussen resources in virtuele netwerken die in dezelfde regio zijn gekoppeld, is hetzelfde als als de resources zich in hetzelfde virtuele netwerk bevinden.

VPN Gateway

U kunt een Azure VPN Gateway gebruiken om een virtueel netwerk te verbinden met uw on-premises netwerk met behulp van een site-naar-site-VPN of een toegewezen verbinding met Azure ExpressRoute.

U kunt peering en een VPN-gateway combineren om hub- en spoke-netwerken te maken, waarbij virtuele spoke-netwerken verbinding maken met een virtueel hubnetwerk en de hub bijvoorbeeld verbinding maakt met een on-premises netwerk.

Naamomzetting

Resources in één virtueel netwerk kunnen de namen van resources in een gekoppeld virtueel netwerk niet omzetten met behulp van de ingebouwde DNS van Azure. Als u namen in een gekoppeld virtueel netwerk wilt omzetten, implementeert u uw eigen DNS-server of gebruikt u privédomeinen van Azure DNS. Voor het omzetten van namen tussen resources in een virtueel netwerk en on-premises netwerken moet u ook uw eigen DNS-server implementeren.

Bevoegdheden

Azure maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor resources. Machtigingen worden toegewezen aan een bereik in de volgende hiërarchie: beheergroep, abonnement, resourcegroep en afzonderlijke resource. Zie Uw resources organiseren voor meer informatie over de hiërarchie. Als u wilt werken met virtuele Azure-netwerken en alle bijbehorende mogelijkheden, zoals peering, netwerkbeveiligingsgroepen, service-eindpunten en routetabellen, kunt u leden van uw organisatie toewijzen aan de ingebouwde rollen Eigenaar, Inzender of Netwerkbijdrager en vervolgens de rol toewijzen aan het juiste bereik. Als u specifieke machtigingen wilt toewijzen voor een subset van mogelijkheden voor virtuele netwerken, maakt u een aangepaste rol en wijst u de specifieke machtigingen toe die vereist zijn voor virtuele netwerken, subnetten en service-eindpunten, netwerkinterfaces, peering, netwerk- en toepassingsbeveiligingsgroepen of routetabellen naar de rol.

Beleid

Met Azure Policy kunt u beleidsdefinities maken, toewijzen en beheren. Met beleidsdefinities worden verschillende regels voor uw resources afgedwongen, zodat de resources voldoen aan de standaarden en serviceovereenkomsten van uw organisatie. Azure Policy voert een evaluatie uit van uw resources, waarbij wordt gescand op resources die niet voldoen aan de beleidsdefinities die u hebt. U kunt bijvoorbeeld een beleid definiëren en toepassen waarmee alleen virtuele netwerken in een specifieke resourcegroep of regio kunnen worden gemaakt. Een ander beleid kan vereisen dat aan elk subnet een netwerkbeveiligingsgroep is gekoppeld. Het beleid wordt vervolgens geëvalueerd bij het maken en bijwerken van resources.

Beleidsregels worden toegepast op de volgende hiërarchie: beheergroep, abonnement en resourcegroep. Meer informatie over Azure Policy of het implementeren van een aantal Azure Policy-definities voor een virtueel netwerk.

Volgende stappen

Meer informatie over alle taken, instellingen en opties voor een virtueel netwerk, subnet en service-eindpunt, netwerkinterface, peering, netwerk- en toepassingsbeveiligingsgroep of routetabel.