Netzwerk-DMZ zwischen Azure und einem lokalen RechenzentrumNetwork DMZ between Azure and an on-premises datacenter

Diese Referenzarchitektur zeigt ein sicheres Hybridnetzwerk, das ein lokales Netzwerk in Azure erweitert.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. Die Architektur implementiert eine DMZ, auch als Umkreisnetzwerk bezeichnet, zwischen dem lokalen Netzwerk und einem virtuellen Azure-Netzwerk.The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network. Sämtlicher eingehender und ausgehender Datenverkehr durchläuft die Azure Firewall.All inbound and outbound traffic passes through Azure Firewall. Stellen Sie diese Lösung bereit.Deploy this solution.

Sichere Hybrid-Netzwerkarchitektur

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

Für diese Architektur ist eine Verbindung mit Ihrem lokalen Rechenzentrum erforderlich, entweder mithilfe eines VPN-Gateways oder einer ExpressRoute-Verbindung.This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Typische Einsatzmöglichkeiten für diese Architektur sind:Typical uses for this architecture include:

  • Hybridanwendungen, in denen Workloads teilweise lokal und teilweise in Azure ausgeführt werden.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Infrastruktur, die eine differenzierte Kontrolle des aus einem lokalen Rechenzentrum in ein virtuelles Azure-Netzwerk eingehenden Datenverkehrs erfordert.Infrastructure that requires granular control over traffic entering an Azure virtual network from an on-premises datacenter.
  • Anwendungen, die ausgehenden Verkehr überwachen müssen.Applications that must audit outgoing traffic. Dies ist ein oftmals auf behördliche Bestimmungen zurückgehendes Erfordernis vieler kommerzieller Systeme und kann dabei helfen, die Offenlegung privater Informationen zu verhindern.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

ArchitectureArchitecture

Die Architektur umfasst die folgenden Komponenten.The architecture consists of the following components.

  • Lokales Netzwerk.On-premises network. Ein privates lokales Netzwerk innerhalb einer Organisation.A private local-area network implemented in an organization.

  • Virtuelles Azure-Netzwerk.Azure virtual network. Das virtuelle Netzwerk hostet die Anwendung und weitere Ressourcen, die in Azure ausgeführt werden.The virtual network hosts the application and other resources running in Azure.

  • Gateway:Gateway. Das Gateway stellt Verbindungen zwischen den Routern im lokalen Netzwerk und dem virtuellen Netzwerk bereit.The gateway provides connectivity between the routers in the on-premises network and the virtual network. Das Gateway befindet sich in einem eigenen Subnetz.The gateway is placed in its own subnet.

  • Azure Firewall.Azure Firewall. Die Azure Firewall ist eine verwaltete Firewall, die als Dienst eingesetzt wird.Azure Firewall is a managed firewall as a service. Die Firewallinstanz befindet sich in einem eigenen Subnetz.The Firewall instance is placed in its own subnet.

  • Virtuelle Netzwerkrouten.Virtual network routes. Virtuelle Netzwerkrouten definieren den IP-Datenverkehrsfluss innerhalb des virtuellen Azure-Netzwerks.Virtual network routes define the flow of IP traffic within the Azure virtual network. Es gibt zwei benutzerdefinierte Routingtabellen, wie im Diagramm oben dargestellt.In the diagram shown above, there are two user-defined route tables.

    • Im Gatewaysubnetz wird der an das Subnetz der Webschicht (10.0.1.0/24) gesendete Datenverkehr über die Azure Firewall-Instanz weitergeleitet.In the gateway subnet, traffic sent to the web-tier subnet (10.0.1.0/24) is routed through the Azure Firewall instance.
    • Im Subnetz der Webschicht wird der gesamte Datenverkehr (0.0.0.0/0) an die Azure Firewall gesendet.In the web tier subnet, all traffic (0.0.0.0/0) is sent to the Azure Firewall.

    Hinweis

    Je nach den Anforderungen Ihrer VPN-Verbindung können Sie BGP-Routen (Border Gateway Protocol) konfigurieren, um die Weiterleitungsregeln zu implementieren, die Datenverkehr zurück durch das lokale Netzwerk leiten.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes to implement the forwarding rules that direct traffic back through the on-premises network.

  • Netzwerksicherheitsgruppen.Network security groups. Verwenden Sie Sicherheitsgruppen, um den Netzwerkdatenverkehr im virtuellen Netzwerk zu beschränken.Use security groups to restrict network traffic within the virtual network. Bei der Bereitstellung in dieser Referenzarchitektur lässt beispielsweise das Subnetz der Webschicht TCP-Datenverkehr aus dem lokalen und dem virtuellen Netzwerk zu; die Geschäftsschicht lässt Datenverkehr aus der Webschicht zu; und die Datenschicht lässt Datenverkehr aus der Geschäftsschicht zu.For example, in the deployment provided with this reference architecture, the web tier subnet allows TCP traffic from the on-premises network and from within the virtual network; the business tier allows traffic from the web tier; and the data tier allows traffic from the business tier.

  • Jumpbox:Jumpbox. Die Jumpbox-VM implementiert Verwaltungs- und Überwachungsfunktionen für die Komponenten, die im virtuellen Netzwerk ausgeführt werden.The jumpbox VM implements management and monitoring capabilities for the components running in the virtual network. Der gesamte RDP- oder SSH-Zugriff auf die anderen VMs durchläuft die Jumpbox.All remote desktop (RDP) or ssh access to the other VMs go through the jumpbox.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

Empfehlungen für die ZugriffssteuerungAccess control recommendations

Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um die Ressourcen in Ihrer Anwendung zu verwalten.Use role-based access control (RBAC) to manage the resources in your application. Ziehen Sie die Erstellung der folgenden benutzerdefinierten Rollen in Erwägung:Consider creating the following custom roles:

  • Eine DevOps-Rolle mit Berechtigungen zum Verwalten der Infrastruktur für die Anwendung, zum Bereitstellen der Anwendungskomponenten und zum Überwachen und Neustarten von VMs.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Eine zentrale IT-Administratorrolle zum Verwalten und Überwachen von Netzwerkressourcen.A centralized IT administrator role to manage and monitor network resources.

  • Eine IT-Sicherheitsadministratorrolle zum Verwalten der sicheren Netzwerkressourcen, wie etwa der Firewall.A security IT administrator role to manage secure network resources such as the firewall.

Die DevOps- und IT-Administratorrollen sollten keinen Zugriff auf die Firewallressourcen haben.The DevOps and IT administrator roles should not have access to the firewall resources. Dieser sollte auf die IT-Sicherheitsadministratorrolle beschränkt sein.This should be restricted to the security IT administrator role.

Empfehlungen für RessourcengruppenResource group recommendations

Azure-Ressourcen wie VMs, virtuelle Netzwerke und Lastenausgleichsmodule können durch Zusammenfassung in Ressourcengruppen ganz einfach verwaltet werden.Azure resources such as VMs, virtual networks, and load balancers can be easily managed by grouping them together into resource groups. Weisen Sie jeder Ressourcengruppe RBAC-Rollen zu, um den Zugriff einzuschränken.Assign RBAC roles to each resource group to restrict access.

Es empfiehlt sich, die folgenden Ressourcengruppen zu erstellen:We recommend creating the following resource groups:

  • Eine Ressourcengruppe, die das virtuelle Netzwerk (ohne die VMs), die Netzwerksicherheitsgruppen und die Gatewayressourcen für die Verbindung mit dem lokalen Netzwerk enthält.A resource group containing the virtual network (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Weisen Sie dieser Ressourcengruppe die zentrale IT-Administratorrolle zu.Assign the centralized IT administrator role to this resource group.
  • Eine Ressourcengruppe, die die VMs für die Azure Firewall-Instanz, die Jumpbox und andere Verwaltungs-VMs sowie die benutzerdefinierten Routen für das Gatewaysubnetz enthält.A resource group containing the VMs for the Azure Firewall instance, the jumpbox and other management VMs, and the user-defined routes for the gateway subnet. Weisen Sie dieser Ressourcengruppe die IT-Sicherheitsadministratorrolle zu.Assign the security IT administrator role to this resource group.
  • Getrennte Ressourcengruppen für jede Logikschicht, die das Lastenausgleichsmodul und die VMs enthalten.Separate resource groups for each application tier that contain the load balancer and VMs. Beachten Sie, dass diese Ressourcengruppen nicht die Subnetze für die einzelnen Schichten enthalten sollten.Note that this resource group shouldn't include the subnets for each tier. Weisen Sie dieser Ressourcengruppe die DevOps-Rolle zu.Assign the DevOps role to this resource group.

NetzwerkempfehlungenNetworking recommendations

Um eingehenden Datenverkehr aus dem Internet zuzulassen, fügen Sie der Azure Firewall eine Regel für die Zielnetzwerk-Adressübersetzung (Destination Network Address Translation, DNAT) hinzu.To accept inbound traffic from the internet, add a Destination Network Address Translation (DNAT) rule to Azure Firewall.

  • Zieladresse = öffentliche IP-Adresse der FirewallinstanzDestination address = Public IP address of the firewall instance
  • Übersetzte Adresse = private IP-Adresse innerhalb des virtuellen NetzwerksTranslated address = Private IP address within the virtual network.

Die Beispielbereitstellung leitet Internetdatenverkehr für Port 80 an das Lastenausgleichsmodul der Webschicht.The example deployment routes internet traffic for port 80 to the web tier load balancer.

Verwenden Sie die Tunnelerzwingung für den gesamten ausgehenden Internetdatenverkehr durch Ihr lokales Netzwerk, indem Sie einen Site-zu-Site-VPN-Tunnel verwenden, und nutzen Sie für die Weiterleitung ins Internet die Netzwerkadressenübersetzung (Network Address Translation, NAT).Force-tunnel all outbound internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the internet using network address translation (NAT). Dadurch wird die versehentliche Offenlegung jeglicher vertraulicher Informationen verhindert, die in Ihrer Datenschicht gespeichert sind, und zugleich die Untersuchung und Überwachung des gesamten ausgehenden Verkehrs ermöglicht.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Blockieren Sie nicht den gesamten Internetverkehr aus den Logikschichten, da diese Schichten dadurch auch an der Verwendung von Azure PaaS-Diensten gehindert werden, die öffentliche IP-Adressen benötigen, wie etwa die VM-Diagnoseprotokollierung, das Herunterladen von VM-Erweiterungen sowie weitere Funktionen.Don't completely block internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. Für Azure-Diagnose ist außerdem erforderlich, dass Komponenten Lese- und Schreibzugriff auf ein Azure Storage-Konto besitzen.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Überprüfen Sie, ob der ausgehende Internetdatenverkehr ordnungsgemäß zwangsweise getunnelt wird.Verify that outbound internet traffic is force-tunneled correctly. Wenn Sie eine VPN-Verbindung mit dem Routing- und RAS-Dienst auf einem lokalen Server verwenden, setzen Sie ein Tool wie WireShark oder Microsoft Message Analyzer ein.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark or Microsoft Message Analyzer.

Verwenden Sie ggf. Application Gateway oder Azure Front Door für die SSL-Beendigung.Consider using Application Gateway or Azure Front Door for SSL termination.

Empfehlungen für das VerwaltungssubnetzManagement subnet recommendations

Das Verwaltungssubnetz enthält eine Jumpbox, die Verwaltungs- und Überwachungsfunktionen ausführt.The management subnet contains a jumpbox that performs management and monitoring functionality. Schränken Sie die Ausführung aller sicheren Verwaltungsaufgaben auf die Jumpbox ein.Restrict execution of all secure management tasks to the jumpbox.

Erstellen Sie für die Jumpbox keine öffentliche IP-Adresse.Do not create a public IP address for the jumpbox. Erstellen Sie stattdessen eine Route für den Zugriff auf die Jumpbox durch das Eingangsgateway.Instead, create one route to access the jumpbox through the incoming gateway. Erstellen Sie NSG-Regeln, damit das Verwaltungssubnetz nur auf Anforderungen von der zugelassenen Route reagiert.Create NSG rules so the management subnet only responds to requests from the allowed route.

Überlegungen zur SkalierbarkeitScalability considerations

Weitere Informationen über die Bandbreitengrenzwerte von VPN Gateway finden Sie unter Gateway-SKUs.For details about the bandwidth limits of VPN Gateway, see Gateway SKUs. Für größere Bandbreiten können Sie das Upgrade auf ein ExpressRoute-Gateway in Erwägung ziehen.For higher bandwidths, consider upgrading to an ExpressRoute gateway. ExpressRoute stellt bis zu 10 Gb/s Bandbreite mit geringerer Latenz als eine VPN-Verbindung zur Verfügung.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Weitere Informationen zur Skalierbarkeit von Azure-Gateways finden Sie im Abschnitt mit den Überlegungen zur Skalierbarkeit in Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN und Implementieren einer Hybrid-Netzwerkarchitektur mit Azure ExpressRoute.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Überlegungen zur VerfügbarkeitAvailability considerations

Wenn Sie Azure ExpressRoute verwenden, um eine Verbindung zwischen dem virtuellen und dem lokalen Netzwerk bereitzustellen, konfigurieren Sie ein VPN-Gateway zur Failoverbereitstellung für den Fall, dass die ExpressRoute-Verbindung nicht verfügbar ist.If you're using Azure ExpressRoute to provide connectivity between the virtual network and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

Spezifische Informationen zum Aufrechterhalten der Verfügbarkeit von VPN- und ExpressRoute-Verbindungen finden Sie in den Überlegungen zur Verfügbarkeit in Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN und Implementieren einer Hybrid-Netzwerkarchitektur mit Azure ExpressRoute.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Überlegungen zur VerwaltbarkeitManageability considerations

Die gesamte Anwendungs- und Ressourcenüberwachung sollte durch die Jumpbox im Verwaltungssubnetz erfolgen.All application and resource monitoring should be performed by the jumpbox in the management subnet. Je nach Ihren Anwendungsanforderungen benötigen Sie möglicherweise zusätzliche Überwachungsressourcen im Verwaltungssubnetz.Depending on your application requirements, you may need additional monitoring resources in the management subnet. In diesem Fall sollte der Zugriff auf diese Ressourcen über die Jumpbox erfolgen.If so, these resources should be accessed through the jumpbox.

Wenn keine Gatewaykonnektivität zwischen Ihrem lokalen Netzwerk und Azure besteht, können Sie weiterhin auf die Jumpbox zugreifen, indem Sie eine öffentliche IP-Adresse bereitstellen, diese der Jumpbox hinzufügen und sich dann remote über das Internet anmelden.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and remoting in from the internet.

Das Subnetz jeder einzelnen Schicht in der Referenzarchitektur wird durch NSG-Regeln geschützt.Each tier's subnet in the reference architecture is protected by NSG rules. Möglicherweise müssen Sie eine Regel zum Öffnen von Port 3389 für RDP-Zugriff (Remote Desktop Protocol) auf Windows-VMs oder Port 22 für SSH-Zugriff (Secure Shell) auf Linux-VMs erstellen.You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. Andere Verwaltungs- und Überwachungstools erfordern möglicherweise Regeln zum Öffnen zusätzlicher Ports.Other management and monitoring tools may require rules to open additional ports.

Wenn Sie die Konnektivität zwischen Ihrem lokalen Rechenzentrum und Azure mithilfe von ExpressRoute bereitstellen, verwenden Sie das Azure Connectivity Toolkit (AzureCT) für die Überwachung und Problembehandlung von Verbindungsproblemen.If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

Weitere Informationen zum Überwachen und Verwalten von VPN- und ExpressRoute-Verbindungen finden Sie in den Artikeln Implementieren einer sicheren Hybrid-Netzwerkarchitektur mit Azure und lokalem VPN und Implementieren einer Hybrid-Netzwerkarchitektur mit Azure ExpressRoute.You can find additional information about monitoring and managing VPN and ExpressRoute connections in the articles Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

SicherheitshinweiseSecurity considerations

Diese Referenzarchitektur implementiert mehrere Sicherheitsebenen.This reference architecture implements multiple levels of security.

Routen aller lokalen Benutzeranforderungen durch eine Azure FirewallRouting all on-premises user requests through Azure Firewall

Die benutzerdefinierte Route im Gatewaysubnetz blockiert alle Benutzeranforderungen, die nicht aus dem lokalen Netzwerk stammen.The user-defined route in the gateway subnet blocks all user requests other than those received from on-premises. Die Route übergibt zulässige Anforderungen an die Firewall, und diese werden an die Anwendung weitergeleitet, wenn sie aufgrund der Firewallregeln zulässig sind.The route passes allowed requests to the firewall, and these requests are passed on to the application if they are allowed by the firewall rules. Sie können weitere Routen hinzufügen, achten Sie jedoch darauf, dass diese nicht nicht unabsichtlich die Firewall umgehen oder Verwaltungsdatenverkehr für das Verwaltungssubnetz blockieren.You can add other routes, but make sure they don't inadvertently bypass the firewall or block administrative traffic intended for the management subnet.

Verwenden Sie NSGs, um den Datenverkehr zwischen Logikschichten zu blockieren/übergebenUsing NSGs to block/pass traffic between application tiers

Der Datenverkehr zwischen den Schichten wird mithilfe von NSGs eingeschränkt.Traffic between tiers is restricted by using NSGs. Die Geschäftsschicht blockiert jeglichen Verkehr, der nicht aus der Webschicht stammt, und die Datenschicht blockiert jeglichen Verkehr, der nicht aus der Geschäftsschicht stammt.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Wenn bei Ihnen das Erfordernis besteht, die NSG-Regeln zu erweitern, um einen breiteren Zugriff auf diese Schichten zuzulassen, wägen Sie diese Erfordernisse gegen die Sicherheitsrisiken ab.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Jeder neue eingehende Kommunikationsweg stellt eine Gelegenheit für die zufällige oder absichtliche Offenlegung von Daten oder Beschädigung von Anwendungen dar.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

DevOps-ZugriffDevOps access

Verwenden Sie RBAC, um die Vorgänge einzuschränken, die DevOps auf den einzelnen Ebenen ausführen kann.Use RBAC to restrict the operations that DevOps can perform on each tier. Verwenden Sie beim Erteilen von Berechtigungen den Ansatz der geringsten Rechte.When granting permissions, use the principle of least privilege. Protokollieren Sie alle Verwaltungsvorgänge, und führen Sie regelmäßig Überwachungen durch, um sicherzustellen, dass alle Konfigurationsänderungen auf Planung beruhen.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Bereitstellen der LösungDeploy the solution

Eine Bereitstellung für eine Referenzarchitektur, die diese Empfehlungen implementiert, steht auf GitHub zur Verfügung.A deployment for a reference architecture that implements these recommendations is available on GitHub.

VoraussetzungenPrerequisites

  1. Klonen oder Forken Sie das GitHub-Repository Referenzarchitekturen, oder laden Sie die entsprechende ZIP-Datei herunter.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Installieren Sie Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installieren Sie Node und NPM.Install Node and NPM

  4. Installieren Sie das npm-Paket mit den Azure Bausteinen.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. Melden Sie sich über eine Eingabeaufforderung, eine Bash-Eingabeaufforderung oder die PowerShell-Eingabeaufforderung folgendermaßen bei Ihrem Azure-Konto an:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Bereitstellen von RessourcenDeploy resources

  1. Navigieren Sie zum Ordner /dmz/secure-vnet-dmz des GitHub-Repositorys für Referenzarchitekturen.Navigate to the /dmz/secure-vnet-dmz folder of the reference architectures GitHub repository.

  2. Führen Sie den folgenden Befehl aus:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Führen Sie den folgenden Befehl aus:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-dmz.json --deploy
    

Verbinden der lokalen und der Azure-GatewaysConnect the on-premises and Azure gateways

In diesem Schritt verbinden Sie die zwei Gateways des lokalen Netzwerks.In this step, you will connect the two local network gateways.

  1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die Sie erstellt haben.In the Azure portal, navigate to the resource group that you created.

  2. Suchen Sie nach der Ressource mit dem Namen ra-vpn-vgw-pip, und kopieren Sie die auf dem Blatt Übersicht angezeigte IP-Adresse.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Suchen Sie nach der Ressource mit dem Namen onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Klicken Sie auf das Blatt Konfiguration.Click the Configuration blade. Fügen Sie unter IP-Adresse die IP-Adresse aus Schritt 2 ein.Under IP address, paste in the IP address from step 2.

    Screenshot des Felds für die IP-Adresse

  5. Klicken Sie auf Speichern, und warten Sie, bis der Vorgang abgeschlossen ist.Click Save and wait for the operation to complete. Dies dauert etwa fünf Minuten.It can take about 5 minutes.

  6. Suchen Sie nach der Ressource mit dem Namen onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Kopieren Sie die auf dem Blatt Übersicht angezeigte IP-Adresse.Copy the IP address shown in the Overview blade.

  7. Suchen Sie nach der Ressource mit dem Namen ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Klicken Sie auf das Blatt Konfiguration.Click the Configuration blade. Fügen Sie unter IP-Adresse die IP-Adresse aus Schritt 6 ein.Under IP address, paste in the IP address from step 6.

  9. Klicken Sie auf Speichern, und warten Sie, bis der Vorgang abgeschlossen ist.Click Save and wait for the operation to complete.

  10. Zum Überprüfen der Verbindung rufen Sie das Blatt Verbindungen für jedes Gateway auf.To verify the connection, go to the Connections blade for each gateway. Der Status sollte Verbunden lauten.The status should be Connected.

Sicherstellen, dass Netzwerkdatenverkehr die Webebene erreichtVerify that network traffic reaches the web tier

  1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die Sie erstellt haben.In the Azure portal, navigate to the resource group that you created.

  2. Suchen Sie nach der Ressource mit dem Namen fe-config1-web, d.h. dem Lastenausgleich vor der privaten DMZ.Find the resource named fe-config1-web, which is the load balancer in front of the private DMZ. Kopieren Sie die private IP-Adresse aus dem Blatt Übersicht.Copy the private IP address from the Overview blade.

  3. Suchen Sie den virtuellen Computer mit dem Namen jb-vm1.Find the VM named jb-vm1. Klicken Sie auf Verbinden, und stellen Sie über Remotedesktop eine Verbindung zum virtuellen Computer her.Click Connect and use Remote Desktop to connect to the VM. Der Benutzername und das Kennwort sind in der Datei „onprem.json“ angegeben.The user name and password are specified in the onprem.json file.

  4. Öffnen Sie in der Remotedesktopsitzung einen Webbrowser, und navigieren Sie zur IP-Adresse aus Schritt 2.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 2. Daraufhin sollte die standardmäßige Apache2-Serverhomepage angezeigt werden.You should see the default Apache2 server home page.

Nächste SchritteNext steps