Über ein VPN-Gateway mit Azure verbundenes lokales NetzwerkOn-premises network connected to Azure using a VPN gateway

Diese Referenzarchitektur zeigt, wie Sie ein lokales Netzwerk oder ein Netzwerk in Azure Stack mit einem Site-to-Site-VPN (virtuelles privates Netzwerk) auf ein virtuelles Azure-Netzwerk erweitern.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). Datenverkehr zwischen dem lokalen Netzwerk und Azure wird durch einen IPsec-VPN-Tunnel oder über das mehrinstanzenfähige VPN-Gateway von Azure Stack übertragen.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Stellen Sie diese Lösung bereit.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

Diagramm der VPN-Gatewayarchitektur.A diagram of the VPN gateway architecture. Ein lokales Netzwerk stellt eine Verbindung mit einem virtuellen Azure-Netzwerk über ein VPN-Gateway her.An on-premises network connects to an Azure virtual network through a VPN gateway. Ein virtuelles Netzwerk in Azure Stack stellt mithilfe von öffentlichen VIPs ebenfalls eine Verbindung mit dem VPN-Gateway her.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

AufbauArchitecture

Die Architektur umfasst die folgenden Komponenten.The architecture consists of the following components.

  • Lokales Netzwerk.On-premises network. Ein in einer Organisation betriebenes privates lokales Netzwerk.A private local-area network running within an organization.

  • Azure Stack:Azure Stack. Eine Netzwerkumgebung in einem Azure Stack-Mandantenabonnement, die innerhalb einer Organisation ausgeführt wird.A network environment on an Azure Stack tenant subscription, running within an organization. Das Azure Stack-VPN-Gateway sendet verschlüsselten Datenverkehr über eine öffentliche Verbindung an virtuelle IP-Adressen (VIP). Es umfasst die folgenden Komponenten:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Gatewaysubnetz:Gateway subnet. Ein spezielles Subnetz, das für die Bereitstellung des VPN-Gateways in Azure Stack erforderlich ist.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Lokales Netzwerkgateway:Local network gateway. Gibt die Ziel-IP-Adresse des VPN-Gateways in Azure sowie den Adressraum des virtuellen Azure-Netzwerks an.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Site-to-Site-VPN-Tunnel:Site-to-site VPN tunnel. Der Verbindungstyp (IPsec) und der Schlüssel, der mit dem Azure-VPN-Gateway geteilt wird, um den Datenverkehr zu verschlüsseln.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN-Gerät.VPN appliance. Ein Gerät oder ein Dienst, das bzw. der externe Konnektivität mit dem lokalen Netzwerk bereitstellt.A device or service that provides external connectivity to the on-premises network. Bei dem VPN-Gerät kann es sich um ein Hardwaregerät oder eine Softwarelösung, z.B. den Routing- und RAS-Dienst unter Windows Server 2012, handeln.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Eine Liste unterstützter VPN-Geräte und Informationen zu ihrer Konfiguration für die Verbindung mit einem Azure-VPN-Gateway finden Sie in den Anweisungen für das ausgewählte Gerät unter Informationen zu VPN-Geräten für VPN Gateway-Verbindungen zwischen Standorten.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Virtuelles Netzwerk.Virtual network. Die Cloudanwendung und die Komponenten für das Azure-VPN-Gateway befinden sich im selben virtuellen Netzwerk.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure-VPN-Gateway.Azure VPN gateway. Der VPN Gateway-Dienst ermöglicht es Ihnen, das virtuelle Netzwerk über eine VPN-Appliance mit dem lokalen Netzwerk zu verbinden oder über einen Site-to-Site-VPN-Tunnel eine Verbindung mit Azure Stack herzustellen.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem Microsoft Azure Virtual Network.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. Das VPN-Gateway enthält die folgenden Elemente:The VPN gateway includes the following elements:

    • Gateway des virtuellen Netzwerks.Virtual network gateway. Eine Ressource, die eine virtuelle VPN-Appliance für das virtuelle Netzwerk bereitstellt.A resource that provides a virtual VPN appliance for the virtual network. Diese Ressource ist für die Weiterleitung des Datenverkehrs vom lokalen Netzwerk zum virtuellen Netzwerk zuständig.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Gateway des lokalen Netzwerks.Local network gateway. Eine Abstraktion des lokalen VPN-Geräts.An abstraction of the on-premises VPN appliance. Netzwerkdatenverkehr aus der Cloudanwendung zum lokalen Netzwerk wird durch dieses Gateway geleitet.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Verbindung.Connection. Die Verbindung verfügt über Eigenschaften, die den Verbindungstyp (IPSec) und den Schlüssel angeben, der für das lokale VPN-Gerät freigegeben wird, um Datenverkehr zu verschlüsseln.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Gatewaysubnetz.Gateway subnet. Das virtuelle Netzwerkgateway befindet sich in einem eigenen Subnetz, das verschiedenen Anforderungen unterliegt, die im Abschnitt „Empfehlungen“ weiter unten beschrieben werden.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Cloudanwendung.Cloud application. Die in Azure gehostete Anwendung.The application hosted in Azure. Sie kann mehrere Schichten umfassen, wobei mehrere Subnetze über Azure Load Balancer verbunden sind.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Weitere Informationen zur Anwendungsinfrastruktur finden Sie unter Ausführen von Windows-VM-Workloads und Ausführen von Linux-VM-Workloads.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Interner Load Balancer.Internal load balancer. Netzwerkverkehr aus dem VPN-Gateway wird über einen internen Load Balancer an die Cloudanwendung weitergeleitet.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. Der Load Balancer befindet sich im Front-End-Subnetz der Anwendung.The load balancer is located in the front-end subnet of the application.

  • Bastion.Bastion. Azure Bastion ermöglicht Ihnen, sich über SSH oder RDP (Remotedesktopprotokoll) bei den VMs im virtuellen Netzwerk anzumelden, ohne die VMs direkt im Internet verfügbar zu machen.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. Wenn die Verbindung über das VPN unterbrochen wird, können Sie die VMs im virtuellen Netzwerk weiterhin mit Bastion verwalten.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

Virtuelles Netzwerk und GatewaysubnetzVirtual network and gateway subnet

Erstellen Sie ein virtuelles Azure-Netzwerk mit einem Adressraum, der ausreichend groß für alle erforderlichen Ressourcen ist.Create an Azure virtual network with an address space large enough for all of your required resources. Stellen Sie sicher, dass der Adressraum des virtuellen Netzwerks genügend Platz für Wachstum bietet, falls in Zukunft voraussichtlich weitere VMs benötigt werden.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. Der Adressraum des virtuellen Netzwerks darf sich nicht mit dem des lokalen Netzwerks überschneiden.The address space of the virtual network must not overlap with the on-premises network. Im obigen Diagramm wird beispielsweise der Adressraum 10.20.0.0/16 für das virtuelle Netzwerk verwendet.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Erstellen Sie ein Subnetz mit dem Namen GatewaySubnet mit dem Adressbereich „/27“.Create a subnet named GatewaySubnet, with an address range of /27. Dieses Subnetz ist für das Gateway für virtuelle Netzwerke erforderlich.This subnet is required by the virtual network gateway. Durch Zuweisung von 32 Adressen zu diesem Subnetz wird eine künftige Überschreitung von Beschränkungen der Gatewaygröße verhindert.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Vermeiden Sie außerdem, dieses Subnetz in der Mitte des Adressraums zu platzieren.Also, avoid placing this subnet in the middle of the address space. Es empfiehlt sich, den Adressraum für das Gatewaysubnetz am oberen Ende des Adressraums des virtuellen Netzwerks festzulegen.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. In dem im Diagramm gezeigten Beispiel wird „10.20.255.224/27“ verwendet.The example shown in the diagram uses 10.20.255.224/27. Es folgt eine schnelle Methode zur CIDR-Berechnung:Here is a quick procedure to calculate the CIDR:

  1. Legen Sie die variablen Bits im Adressraum des virtuellen Netzwerks bis zu den Bits, die vom Gatewaysubnetz verwendet werden, auf 1 und die restlichen Bits auf 0 fest.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Konvertieren Sie die resultierenden Bits in Dezimalzahlen, und drücken Sie sie als Adressraum aus, wobei die Präfixlänge auf die Größe des Subnetzes des Gateways festgelegt wird.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Beispielsweise ändert sich der IP-Adressbereich „10.20.0.0.0/16“ eines virtuellen Netzwerks nach Anwenden von Schritt 1 oben in „10.20.0b11111111.0b11100000“.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Nach der Konvertierung in Dezimalzahlen und deren Ausdruck als Adressraum ergibt sich „10.20.255.255.224/27“.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Warnung

Stellen Sie im Gatewaysubnetz keine VMs bereit.Do not deploy any VMs to the gateway subnet. Weisen Sie außerdem diesem Subnetz keine Netzwerksicherheitsgruppe (NSG) zu, da das Gateway sonst nicht mehr funktioniert.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Gateway des virtuellen NetzwerksVirtual network gateway

Ordnen Sie dem Gateway für virtuelle Netzwerke eine öffentliche IP-Adresse zu.Allocate a public IP address for the virtual network gateway.

Erstellen Sie das Gateway für virtuelle Netzwerke im Gatewaysubnetz, und weisen Sie ihm die neu zugeordnete öffentliche IP-Adresse zu.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Verwenden Sie den Gatewaytyp, der Ihren Anforderungen am ehesten entspricht und der von Ihrem VPN-Gerät unterstützt wird:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Erstellen Sie ein richtlinienbasiertes Gateway , wenn Sie die Weiterleitung von Anforderungen anhand von Richtlinienkriterien wie Adresspräfixen genau steuern müssen.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Richtlinienbasierte Gateways arbeiten mit statischem Routing und funktionieren nur mit Verbindungen zwischen Standorten.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Erstellen Sie in den folgenden Fällen ein routenbasiertes Gateway:Create a route-based gateway

    • Sie stellen mithilfe von RRAS eine Verbindung mit dem lokalen Netzwerk her.You connect to the on-premises network using RRAS,
    • Sie unterstützen standort- oder regionsübergreifende Verbindungen.You support multi-site or cross-region connections, or
    • Sie haben Verbindungen zwischen virtuellen Netzwerken, einschließlich Routen durch mehrere virtuelle Netzwerke.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Routenbasierte Gateways verwenden dynamisches Routing, um den Datenverkehr zwischen Netzwerken zu lenken.Route-based gateways use dynamic routing to direct traffic between networks. Sie können Ausfälle im Netzwerkpfad besser verkraften als statische Routen, weil sie alternative Routen ausprobieren können.They can tolerate failures in the network path better than static routes because they can try alternative routes. Routenbasierte Gateways können auch den Verwaltungsaufwand reduzieren, da Routen nicht manuell aktualisiert werden müssen, wenn sich Netzwerkadressen ändern.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Eine Liste der unterstützten VPN-Geräte finden Sie unter Informationen zu VPN-Geräten für VPN Gateway-Verbindungen zwischen Standorten.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Hinweis

Wenn Sie nach Erstellung des Gateways die Gatewaytypen ändern möchten, müssen Sie das Gateway löschen und neu erstellen.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Wählen Sie die Azure VPN Gateway SKU, die Ihren Durchsatzanforderungen am ehesten entspricht.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Weitere Informationen finden Sie unter Gateway-SKUs.For more information, see Gateway SKUs

Hinweis

Die SKU „Basic“ ist nicht mit Azure ExpressRoute kompatibel.The Basic SKU is not compatible with Azure ExpressRoute. Sie können die SKU ändern, nachdem das Gateway erstellt wurde.You can change the SKU after the gateway has been created.

Erstellen Sie Routingregeln für das Gatewaysubnetz, die eingehenden Anwendungsdatenverkehr vom Gateway zum internen Load Balancer leiten, anstatt Anforderungen direkt an die Anwendungs-VMs weiterleiten zu lassen.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Lokale NetzwerkverbindungOn-premises network connection

Erstellen Sie ein Gateway für das lokale Netzwerk.Create a local network gateway. Geben Sie die öffentliche IP-Adresse des lokalen VPN-Geräts und den Adressraum des lokalen Netzwerks an.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Beachten Sie, dass das lokale VPN-Gerät über eine öffentliche IP-Adresse verfügen muss, auf die das lokale Netzwerkgateway in Azure VPN Gateway zugreifen kann.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. Das VPN-Gerät darf sich nicht hinter einem Gerät für Netzwerkadressenübersetzung (Network Address Translation, NAT) befinden.The VPN device cannot be located behind a network address translation (NAT) device.

Richten Sie für das virtuelle und das lokale Netzwerkgateway eine Verbindung zwischen Standorten ein.Create a site-to-site connection for the virtual network gateway and the local network gateway. Wählen Sie den Typ der Verbindung zwischen Standorten (IPSec) aus, und geben Sie den gemeinsam verwendeten Schlüssel an.Select the site-to-site (IPSec) connection type, and specify the shared key. Die Verschlüsselung zwischen Standorten mit dem Azure-VPN-Gateway basiert auf dem IPSec-Protokoll, wobei zur Authentifizierung vorinstallierte Schlüssel verwendet werden.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Sie können den Schlüssel angeben, wenn Sie das Azure-VPN-Gateway erstellen.You specify the key when you create the Azure VPN gateway. Sie müssen das VPN-Gerät, das lokal ausgeführt wird, mit demselben Schlüssel konfigurieren.You must configure the VPN appliance running on-premises with the same key. Andere Authentifizierungsmechanismen werden derzeit nicht unterstützt.Other authentication mechanisms are not currently supported.

Stellen Sie sicher, dass die lokale Routinginfrastruktur so konfiguriert ist, dass Anforderungen für Adressen im virtuellen Azure-Netzwerk an das VPN-Gerät weitergeleitet werden.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Öffnen Sie im lokalen Netzwerk alle Ports, die von der Cloudanwendung benötigt werden.Open any ports required by the cloud application in the on-premises network.

Testen Sie die Verbindung, um zu überprüfen, ob:Test the connection to verify that:

  • Das lokale VPN-Gerät den Datenverkehr über das Azure-VPN-Gateway ordnungsgemäß an die Cloudanwendung weiterleitet.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • Das virtuelle Netzwerk den Datenverkehr korrekt zum lokalen Netzwerk zurückleitet.The virtual network correctly routes traffic back to the on-premises network.
  • Unzulässiger Datenverkehr in beide Richtungen ordnungsgemäß blockiert wird.Prohibited traffic in both directions is blocked correctly.

Azure Stack-NetzwerkverbindungAzure Stack network connection

Diese Referenzarchitektur veranschaulicht, wie Sie ein virtuelles Netzwerk in Ihrer Azure Stack-Bereitstellung über das mehrinstanzenfähige Azure Stack-VPN-Gateway mit einem virtuellen Netzwerk in Azure verbinden.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Ein häufiges Szenario besteht darin, wichtige Vorgänge und vertrauliche Daten in Azure Stack zu isolieren und Azure für öffentliche Transaktionen und vorübergehende, nicht sensible Vorgänge zu nutzen.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

In dieser Architektur fließt der Netzwerkdatenverkehr über einen VPN-Tunnel, der das mehrinstanzenfähige Gateway in Azure Stack verwendet.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Alternativ kann der Datenverkehr über das Internet zwischen Azure Stack und Azure über Mandanten-VIPs, Azure ExpressRoute oder ein virtuelles Netzwerkgerät übertragen werden, das als VPN-Endpunkt fungiert.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Kapazität des Gateways für virtuelle Azure Stack-NetzwerkeAzure Stack virtual network gateway capacity

Sowohl das Azure-VPN-Gateway als auch das Azure Stack-VPN-Gateway unterstützen das Border Gateway Protocol (BGP) für das Austauschen von Routinginformationen zwischen Azure und Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack unterstützt kein statisches Routing für das mehrinstanzenfähige Gateway.Azure Stack does not support static routing for the multitenant gateway.

Erstellen Sie ein virtuelles Azure Stack-Netzwerk mit einem zugewiesenen IP-Adressraum, der für alle erforderlichen Ressourcen ausreichend groß ist.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. Der Adressraum des virtuellen Netzwerks darf sich nicht mit einem anderen Netzwerk überlappen, das mit diesem virtuellen Netzwerk verbunden werden soll.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Beim Bereitstellen von Azure Stack wird dem mehrinstanzenfähigen Gateway eine öffentliche IP-Adresse zugewiesen.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Diese wird aus dem öffentlichen VIP-Pool entnommen.It is taken from the public VIP pool. Der Azure Stack-Verantwortliche hat keine Kontrolle darüber, welche IP-Adresse verwendet wird, er kann aber die Zuweisung festlegen.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Achtung

Workload-VMs können nicht im Subnetz des Azure Stack-Gateways bereitgestellt werden.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Weisen Sie außerdem diesem Subnetz keine Netzwerksicherheitsgruppe (NSG) zu, da das Gateway sonst nicht mehr funktioniert.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Überlegungen zur SkalierbarkeitScalability considerations

Sie können eine begrenzte vertikale Skalierbarkeit erreichen, indem Sie von den VPN Gateway SKUs „Basic“ oder „Standard“ zur VPN SKU „High Performance“ wechseln.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Für virtuelle Netzwerke mit einem voraussichtlich hohen Volumen an VPN-Datenverkehr sollten Sie ggf. die verschiedenen Workloads auf separate kleinere virtuelle Netzwerke verteilen und für jedes dieser Netzwerke ein VPN-Gateway konfigurieren.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

Das virtuelle Netzwerk kann entweder horizontal oder vertikal partitioniert werden.You can partition the virtual network either horizontally or vertically. Verschieben Sie zum horizontalen Partitionieren einige VM-Instanzen von jeder Ebene in Subnetze des neuen virtuellen Netzwerks.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. Dadurch hat jedes virtuelle Netzwerk die gleiche Struktur und Funktionalität.The result is that each virtual network has the same structure and functionality. Um eine vertikale Partitionierung vorzunehmen, müssen Sie jede Ebene neu gestalten, um die Funktionalität in verschiedene logische Bereiche zu unterteilen (z.B. Auftragsbearbeitung, Fakturierung, Kundenbetreuung usw.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Jeder Funktionsbereich kann dann in einem eigenen virtuellen Netzwerk platziert werden.Each functional area can then be placed in its own virtual network.

Die Replikation eines lokalen Active Directory-Domänencontrollers im virtuellen Netzwerk und die Implementierung von DNS im virtuellen Netzwerk können dazu beitragen, einen Teil des sicherheitsrelevanten und administrativen Datenverkehrs von den lokalen Systemen in die Cloud zu reduzieren.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Weitere Informationen finden Sie unter Erweitern von Active Directory Domain Services (AD DS) auf Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Überlegungen zur VerfügbarkeitAvailability considerations

Wenn Sie sicherstellen müssen, dass das lokale Netzwerk für das Azure-VPN-Gateway verfügbar bleibt, implementieren Sie für das lokale VPN-Gateway einen Failovercluster.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Wenn Ihre Organisation über mehrere lokale Standorte verfügt, richten Sie Multi-Site-Verbindungen mit einem oder mehreren virtuellen Azure-Netzwerken ein.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Dieser Ansatz erfordert dynamisches (routenbasiertes) Routing. Stellen Sie daher sicher, dass das lokale VPN-Gateway dies unterstützt.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Weitere Informationen zu Vereinbarungen zum Servicelevel finden Sie unter SLA für VPN Gateway.For details about service level agreements, see SLA for VPN Gateway.

Sie können die VPN-Gateways in Azure Stack erweitern, um Schnittstellen für mehrere Azure Stack-Stempel und Azure-Bereitstellungen hinzuzufügen.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Überlegungen zu DevOpsDevOps considerations

Verwenden Sie den IaC-Prozess (Infrastructure-as-Code) für die Infrastrukturbereitstellung.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. In dieser Architektur wurde eine Reihe benutzerdefinierter Vorlagen vom Typ Azure-Bausteine verwendet, die über das Azure-Portal bereitgestellt wurden.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Zum Automatisieren der Infrastrukturbereitstellung eignen sich Azure DevOps Services oder andere CI/CD-Lösungen.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Der Bereitstellungsprozess ist außerdem idempotent.The deployment process is also idempotent.

Vor dem Bereitstellen einer bestimmten Ressource kann es erforderlich sein, dass bereits andere Ressourcen vorhanden sind.For a given resource, there can be other resources that must exist before the resource is deployed. Vorlagen vom Typ „Azure-Bausteine“ eignen sich auch gut zur Nachverfolgung von Abhängigkeiten, da mit ihnen Abhängigkeiten für Ressourcen definiert werden können, die in der gleichen Vorlage bereitgestellt werden.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Alle Hauptressourcen (VM-Skalierungsgruppe, VPN-Gateway, Azure Bastion) befinden sich im gleichen virtuellen Netzwerk und sind somit in der gleichen grundlegenden Workload isoliert.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Das macht es leichter, die spezifischen Ressourcen einer Workload einem Team zuzuordnen, damit das Team unabhängig alle Aspekte dieser Ressourcen verwalten kann.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Diese Isolation ermöglicht DevOps die Durchführung von Continuous Integration und Continuous Delivery (CI/CD).This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

ÜberwachungMonitoring

Überwachen Sie von lokalen VPN-Geräten stammende Diagnoseinformationen.Monitor diagnostic information from on-premises VPN appliances. Dieser Vorgang hängt von den Funktionen ab, die das VPN-Gerät bietet.This process depends on the features provided by the VPN appliance. Wenn Sie z.B. den Routing- und RAS-Dienst unter Windows Server 2012 verwenden, wählen Sie die RRAS-Protokollierung.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Verwenden Sie die Azure VPN Gateway-Diagnose zum Erfassen von Informationen zu Verbindungsproblemen.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Diese Protokolle können verwendet werden, um Informationen wie Quelle und Ziele von Verbindungsanforderungen nachzuverfolgen, welches Protokoll verwendet wurde und wie die Verbindung aufgebaut wurde (oder warum der Versuch fehlgeschlagen ist).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Überwachen Sie die Betriebsprotokolle des Azure-VPN-Gateways mithilfe der Überwachungsprotokolle, die im Azure-Portal verfügbar sind.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Für das lokale Netzwerkgateway, das Azure-Netzwerkgateway und die Verbindung sind separate Protokolle verfügbar.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Diese Informationen können verwendet werden, um jegliche Änderungen am Gateway nachzuverfolgen, und sind ggf. nützlich, wenn ein zuvor funktionierendes Gateway aus irgendeinem Grund nicht mehr funktioniert.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Screenshot des Azure-Portals, der die Ereignisse im Überwachungsprotokoll nach Datum gefiltert zeigt.A screenshot of the Azure portal, showing audit log events filtered by date.

Überwachen Sie Verbindungen, und verfolgen Sie Verbindungsfehlerereignisse nach.Monitor connectivity, and track connectivity failure events. Sie können ein Überwachungspaket wie Nagios verwenden, um diese Informationen zu erfassen und zu melden.You can use a monitoring package such as Nagios to capture and report this information.

Informationen zum Behandeln von Verbindungsproblemen finden Sie unter Behandeln von Problemen mit einer VPN-Hybridverbindung.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Wenn die Gatewaykonnektivität zwischen Ihrem lokalen Netzwerk und Azure unterbrochen ist, können Sie die VMs im virtuellen Azure-Netzwerk weiterhin über Azure Bastion erreichen.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

SicherheitshinweiseSecurity considerations

Generieren Sie für jedes VPN-Gateway einen anderen gemeinsam verwendeten Schlüssel.Generate a different shared key for each VPN gateway. Wählen Sie einen sicheren gemeinsam verwendeten Schlüssel, um Brute-Force-Angriffe abzuwehren.Use a strong shared key to help resist brute-force attacks.

Generieren Sie bei Azure Stack-Verbindungen für jeden VPN-Tunnel einen anderen gemeinsam genutzten Schlüssel.For Azure Stack connections, generate a different shared key for each VPN tunnel. Wählen Sie einen sicheren gemeinsam verwendeten Schlüssel, um Brute-Force-Angriffe abzuwehren.Use a strong shared key to help resist brute-force attacks.

Hinweis

Derzeit können Sie Azure Key Vault nicht für das Vorinstallieren von Schlüsseln für das Azure-VPN-Gateway nutzen.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Stellen Sie sicher, dass das lokale VPN-Gerät eine Verschlüsselungsmethode verwendet, die mit dem Azure-VPN-Gateway kompatibel ist.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Für richtlinienbasiertes Routing unterstützt das Azure-VPN-Gateway die Verschlüsselungsalgorithmen AES256, AES128 und 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Routenbasierte Gateways unterstützen AES256 und 3DES.Route-based gateways support AES256 and 3DES.

Wenn sich Ihr lokales VPN-Gerät in einem Umkreisnetzwerk (DMZ) befindet, das eine Firewall zwischen dem Umkreisnetzwerk und dem Internet aufweist, müssen Sie möglicherweise zusätzliche Firewallregeln konfigurieren, um die Site-to-Site-VPN-Verbindung zuzulassen.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Wenn die Anwendung im virtuellen Netzwerk Daten an das Internet sendet, erwägen Sie die Implementierung einer Tunnelerzwingung, um den gesamten internetgebundenen Datenverkehr durch das lokale Netzwerk zu leiten.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Auf diese Weise können Sie aus der lokalen Infrastruktur ausgehende Anforderungen der Anwendung überprüfen.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Hinweis

Die Tunnelerzwingung kann die Konnektivität mit Azure-Diensten (z.B. Azure Storage) und dem Windows-Lizenz-Manager beeinträchtigen.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

KostenbetrachtungCost considerations

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.Use the Azure pricing calculator to estimate costs. Allgemeine Überlegungen finden Sie im Microsoft Azure Well-Architected Framework unter Grundsätze der Kostenoptimierung.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Die in dieser Architektur verwendeten Dienste werden wie folgt berechnet:The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

Die Hauptkomponente dieser Architektur ist der VPN Gateway-Dienst.The main component of this architecture is the VPN gateway service. Gebühren fallen basierend auf der Bereitstellungs- und Verfügbarkeitsdauer des Gateways an.You are charged based on the amount of time that the gateway is provisioned and available.

Der gesamte eingehende Datenverkehr ist kostenlos, und für den gesamten ausgehenden Datenverkehr fallen Gebühren an.All inbound traffic is free, all outbound traffic is charged. Für ausgehenden VPN-Datenverkehr gelten Internetbandbreitenkosten.Internet bandwidth costs are applied to VPN outbound traffic.

Weitere Informationen finden Sie unter VPN-Gateway: Preise.For more information, see VPN Gateway Pricing.

Virtuelles Azure-NetzwerkAzure Virtual Network

Azure Virtual Network ist kostenlos.Azure Virtual Network is free. Mit jedem Abonnement können bis zu 50 virtuelle Netzwerke in allen Regionen erstellt werden.Every subscription is allowed to create up to 50 virtual networks across all regions.

Der gesamte Datenverkehr, der innerhalb der Grenzen einer Virtual Network-Instanz entsteht, ist kostenlos.All traffic that occurs within the boundaries of a virtual network is free. Die Kommunikation zwischen zwei virtuellen Computern in demselben virtuellen Netzwerk ist also kostenlos.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Mit Azure Bastion wird per RDP und SSH eine sichere Verbindung mit Ihrem virtuellen Computer im virtuellen Netzwerk hergestellt, ohne dass auf dem virtuellen Computer eine öffentliche IP-Adresse konfiguriert werden muss.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Sie benötigen Bastion in jedem virtuellen Netzwerk mit virtuellen Computern, mit denen Sie eine Verbindung herstellen möchten.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Diese Lösung ist wirtschaftlicher und sicherer als die Verwendung von Jumpboxes.This solution is more economical and secure than using jump boxes.

Beispiele hierzu finden Sie unter Azure Bastion – Preise.For examples, see Azure Bastion Pricing.

Virtuelle Computer und interne LastenausgleichsmoduleVirtual machine and internal load balancers

Bei dieser Architektur werden interne Lastenausgleichsmodule verwendet, um einen Lastenausgleich für Datenverkehr innerhalb eines virtuellen Netzwerks vorzunehmen.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Der grundlegende Lastenausgleich zwischen virtuellen Computern in demselben virtuellen Netzwerk ist kostenlos.Basic load balancing between virtual machines that reside in the same virtual network is free.

VM-Skalierungsgruppen sind für alle Größen von Linux- und Windows-VMs verfügbar.Virtual machine scale sets are available on all Linux and windows VM sizes. Ihnen werden nur die Azure-VMs in Rechnung gestellt, die Sie bereitstellen, sowie die von Ihnen genutzten zugrunde liegenden Infrastrukturressourcen, z. B. Speicher und Netzwerk.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Für den VM-Skalierungsgruppendienst fallen keine inkrementellen Gebühren an.There are no incremental charges for the virtual machine scale sets service.

Weitere Informationen finden Sie auf der Preisseite für virtuelle Azure-Computer.For more information, see Azure VM pricing.

Bereitstellen der LösungDeploy the solution

Details zum Bereitstellen dieser Referenzarchitektur finden Sie in der GitHub-Infodatei.To deploy this reference architecture, see the GitHub readme.

Nächste SchritteNext steps

Obwohl VPNs zum Verbinden von virtuellen Netzwerken in Azure verwendet werden können, ist dies nicht immer die optimale Lösung.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Weitere Informationen finden Sie unter Wählen zwischen Peering virtueller Netzwerke und VPN-Gateways in Azure.For more information, see Choose between virtual network peering and VPN gateways in Azure.