Übersicht über Azure-Netzwerkdienste

Die Azure-Netzwerkdienste bieten eine Vielzahl von Netzwerkfunktionen, die einzeln oder zusammen verwendet werden können. Wählen Sie eine der folgenden Schlüsselfunktionen aus, um weitere Informationen zu erhalten:

  • Konnektivitätsdienste: Vernetzen Sie Azure-Ressourcen und lokale Ressourcen mithilfe einer Kombination folgender Netzwerkdienste in Azure: Virtual Network (VNET), Virtual WAN, ExpressRoute, VPN Gateway, Virtual Network NAT Gateway, Azure DNS, Peering Service, Azure Virtual Network Manager, Route Server und Azure Bastion.
  • Anwendungsschutzdienste: Schützen Sie Ihre Anwendungen mithilfe eines dieser Netzwerkdienste oder einer Kombination davon in Azure: Load Balancer, Private Link, DDoS-Schutz, Firewall, Netzwerksicherheitsgruppen, Web Application Firewall und Virtual Network-Endpunkte.
  • Dienste zur Anwendungsbereitstellung: Stellen Sie Anwendungen im Azure-Netzwerk mithilfe einer Kombination aus folgenden Netzwerkdiensten in Azure bereit: Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer und Load Balancer.
  • Netzwerküberwachung: Überwachen Sie Ihre Netzwerkressourcen mithilfe einer Kombination folgender Netzwerkdienste in Azure: Network Watcher, ExpressRoute-Monitor, Azure Monitor oder Terminalzugangspunkte für virtuelle Netzwerke.

Konnektivitätsdienste

In diesem Abschnitt werden Dienste beschrieben, die Konnektivität zwischen Azure-Ressourcen, einem lokalen Netzwerk und Azure-Ressourcen sowie Konnektivität zwischen Filialen in Azure ermöglichen: Virtual Network (VNet), ExpressRoute, VPN Gateway, Virtual WAN, Virtual Network NAT Gateway, Azure DNS, Peering Service, Route Server und Azure Bastion.

Virtuelles Netzwerk

Azure Virtual Network (VNET) ist der grundlegende Baustein für Ihr privates Netzwerk in Azure. Ein VNet kann für folgende Zwecke verwendet werden:

  • Kommunikation zwischen Azure-Ressourcen: Sie können virtuelle Computer und verschiedene andere Arten von Azure-Ressourcen in einem virtuellen Netzwerk bereitstellen, wie beispielsweise Azure App Service-Umgebungen, den Azure Kubernetes Service (AKS) und Azure Virtual Machine Scale Sets. Eine vollständige Liste mit Azure-Ressourcen, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie unter Integration virtueller Netzwerke für Azure-Dienste.
  • Gegenseitige Kommunikation: Sie können virtuelle Netzwerke mittels VNet-Peering oder Azure Virtual Network Manager miteinander verbinden und so die Kommunikation zwischen Ressourcen in beiden virtuellen Netzwerken ermöglichen. Die verbundenen virtuellen Netzwerke können sich in der gleichen Azure-Region oder in verschiedenen Azure-Regionen befinden. Weitere Informationen finden Sie unter Peering virtueller Netzwerke und Azure Virtual Network Manager.
  • Kommunikation mit dem Internet: Alle Ressourcen in einem VNET können standardmäßig in ausgehender Richtung mit dem Internet kommunizieren. Zur Kommunikation in eingehender Richtung muss der entsprechenden Ressource eine öffentliche IP-Adresse oder eine öffentliche Load Balancer-Instanz zugewiesen werden. Die öffentlichen IP-Adressen und die öffentliche Load Balancer-Instanz können auch zum Verwalten der ausgehenden Verbindungen verwendet werden.
  • Kommunikation mit lokalen Netzwerken: Sie können Ihre lokalen Computer und Netzwerke mithilfe von VPN Gateway oder ExpressRoute mit einem virtuellen Netzwerk vernetzen.

Azure Virtual Network Manager

Azure Virtual Network Manager ist ein Verwaltungsdienst, mit dem Sie virtuelle Netzwerke global und abonnementübergreifend gruppieren, konfigurieren, bereitstellen und verwalten können. Mit Virtual Network Manager können Sie Netzwerkgruppen definieren, um Ihre virtuellen Netzwerke zu identifizieren und logisch zu segmentieren. Anschließend können Sie die gewünschten Konnektivitäts- und Sicherheitskonfigurationen ermitteln und auf alle ausgewählten virtuellen Netzwerke in Netzwerkgruppen gleichzeitig anwenden.

Diagram of resources deployed for a mesh virtual network topology with Azure virtual network manager.

ExpressRoute

Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Microsoft-Cloud erweitern. Diese Verbindung ist privat. Der Datenverkehr wird nicht über das Internet übertragen. Mit ExpressRoute können Sie Verbindungen zu Microsoft Cloud Services wie Microsoft Azure, Microsoft 365 und Dynamics 365 herstellen.

Azure ExpressRoute

VPN Gateway

VPN Gateway unterstützt Sie beim Herstellen verschlüsselter standortübergreifender Verbindungen mit Ihrem virtuellen Netzwerk von lokalen Standorten aus. Sie können auch verschlüsselte Verbindungen zwischen VNets herstellen. Für VPN-Gatewayverbindungen sind verschiedene Konfigurationen verfügbar. Die Hauptfeatures umfassen Folgendes:

  • Site-to-Site-VPN-Konnektivität
  • Point-to-Site-VPN-Konnektivität
  • VNet-to-VNet-VPN-Konnektivität

Das folgende Diagramm veranschaulicht mehrere Site-to-Site-VPN-Verbindungen mit demselben virtuellen Netzwerk. Weitere Verbindungsdiagramme finden Sie unter VPN Gateway – Entwurf.

Diagram showing multiple site-to-site Azure VPN Gateway connections.

Virtuelles WAN

Azure Virtual WAN ist ein Netzwerkdienst, der viele Netzwerk-, Sicherheits- und Routingfunktionen auf einer einzigen Bedienoberfläche vereint. Die Konnektivität mit Azure-VNets wird mithilfe virtueller Netzwerkverbindungen hergestellt. Die Hauptfeatures umfassen Folgendes:

  • Branchkonnektivität (über Konnektivitätsautomatisierung aus Virtual WAN-Partnergeräten wie SD-WAN oder VPN CPE)
  • Site-to-Site-VPN-Konnektivität
  • VPN-Konnektivität (Point-to-Site) für Remotebenutzer
  • Private Verbindung (ExpressRoute)
  • Konnektivität innerhalb der Cloud (transitive Konnektivität für virtuelle Netzwerke)
  • ExpressRoute-Konnektivität zwischen VPNs
  • Routing, Azure Firewall und Verschlüsselung für private Verbindungen

Virtual WAN diagram.

Azure DNS

Azure DNS bietet DNS-Hosting und -Namensauflösung mit der Microsoft Azure-Infrastruktur. Azure DNS besteht aus drei Diensten:

  • Öffentliches Azure-DNS ist ein Hostingdienst für DNS-Domänen. Indem Sie Ihre Domänen in Azure hosten, können Sie Ihre DNS-Einträge unter Verwendung der gleichen Anmeldeinformationen, APIs, Tools und Abrechnungsabläufe wie bei Ihren anderen Azure-Diensten verwalten.
  • Privates Azure-DNS ist ein DNS-Dienst für virtuelle Netzwerke. Privates Azure-DNS verwaltet Domänennamen im virtuellen Netzwerk und löst diese auf, ohne dass eine benutzerdefinierte DNS-Lösung konfiguriert werden muss.
  • Azure DNS Private Resolver ist ein Dienst, mit dem Sie private Zonen in Azure DNS von einer lokalen Umgebung aus abfragen können (und umgekehrt), ohne VM-basierte DNS-Server bereitstellen zu müssen.

Mit Azure DNS können Sie öffentliche Domänen hosten und auflösen, die DNS-Auflösung in Ihren virtuellen Netzwerken verwalten und die Namensauflösung zwischen Azure und Ihren lokalen Ressourcen aktivieren.

Azure Bastion

Azure Bastion ist ein Dienst, den Sie bereitstellen können, um eine Verbindung mit einer VM mittels Browser und dem Azure-Portal oder über den nativen SSH- oder RDP-Client herzustellen, der bereits auf Ihrem lokalen Computer installiert ist. Bei Azure Bastion handelt es sich um einen vollständig verwalteten PaaS-Dienst, den Sie in Ihrem virtuellen Netzwerk bereitstellen können. Dieser Dienst ermöglicht sichere und nahtlose RDP- und SSH-Verbindungen mit Ihren virtuellen Computern über TLS direkt im Azure-Portal. Beim Herstellen einer Verbindung über Azure Bastion benötigen Ihre VMs keine öffentliche IP-Adresse, keinen Agent und keine spezielle Clientsoftware.

Diagram showing Azure Bastion architecture.

Virtual Network NAT Gateway

Virtual Network NAT (Network Address Translation, Netzwerkadressenübersetzung) vereinfacht für virtuelle Netzwerke die Einrichtung von ausschließlich ausgehenden Internetverbindungen. Bei der Konfiguration in einem Subnetz werden für die gesamte Konnektivität in ausgehender Richtung die von Ihnen angegebenen statischen öffentlichen IP-Adressen verwendet. Die ausgehende Konnektivität ist möglich, ohne dass ein Lastenausgleich oder öffentliche IP-Adressen direkt virtuellen Computern zugeordnet werden. Weitere Informationen finden Sie unter Was ist das Virtual Network NAT Gateway?.

Virtual network NAT gateway

Route Server

Azure Route Server vereinfacht das dynamische Routing zwischen Ihrem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) und Ihrem virtuellen Netzwerk. Sie können Routinginformationen direkt über das Border Gateway Protocol-Routingprotokoll (BGP-Routingprotokoll) zwischen jedem NVA, das das BGP-Routingprotokoll unterstützt, und dem softwaredefinierten Azure-Netzwerk (Software Defined Network, SDN) in Azure Virtual Network (VNet) austauschen, ohne Routingtabellen manuell konfigurieren oder verwalten zu müssen.

Peering Service

Azure Peering Service verbessert die Kundenkonnektivität mit Microsoft Cloud Services wie Microsoft 365, Dynamics 365, SaaS-Diensten, Azure oder sämtlichen anderen Microsoft-Diensten, auf die über das öffentliche Internet zugegriffen werden kann.

Anwendungsschutzdienste

In diesem Abschnitt werden Netzwerkdienste in Azure beschrieben, die zum Schutz Ihrer Netzwerkressourcen beitragen: Schützen Sie Ihre Anwendungen mithilfe eines oder einer Kombination dieser Netzwerkdienste in Azure – DDoS-Schutz, Private Link, Firewall, Web Application Firewall, Netzwerksicherheitsgruppen und VNET-Dienstendpunkte.

DDoS Protection

Azure DDoS Protection bietet Gegenmaßnahmen gegen die komplexesten DDoS-Bedrohungen. Der Dienst bietet erweiterte DDoS-Risikominderungsfunktionen für die Anwendungen und Ressourcen, die in Ihren virtuellen Netzwerken bereitgestellt werden. Außerdem haben Kunden, die Azure DDoS Protection verwenden, Zugriff auf DDoS Rapid Response-Support, durch den sich DDoS-Experten bei einem aktiven Angriff einschalten können.

Azure DDoS Protection besteht aus zwei Ebenen:

  • DDoS-Netzwerkschutz bietet in Kombination mit bewährten Methoden für den Anwendungsentwurfs erweiterte Features zur DDoS-Entschärfung für den Schutz vor DDoS-Angriffen. Er wird automatisch optimiert, um Ihre spezifischen Azure-Ressourcen in einem virtuellen Netzwerk zu schützen.
  • DDoS-IP-Schutz ist ein Modell mit Bezahlung pro geschützter IP-Adresse. DDoS-IP-Schutz umfasst dieselben wichtigen Engineeringfeatures wie DDoS-Netzwerkschutz, unterscheidet sich jedoch in den folgenden Mehrwertdiensten: DDoS Rapid Response-Unterstützung, Kostenschutz und Rabatte auf WAF.

Diagram of the reference architecture for a DDoS protected PaaS web application.

Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst verläuft über das Microsoft-Backbone-Netzwerk. Es ist nicht mehr erforderlich, dass Sie Ihren Dienst über das öffentliche Internet verfügbar machen. Sie können Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen und Ihren Kunden zur Verfügung stellen.

Private endpoint overview

Azure Firewall

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Mit Azure Firewall können Sie Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren. Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ihre virtuellen Netzwerkressourcen, die es außenstehenden Firewalls ermöglicht, Datenverkehr aus Ihrem virtuellen Netzwerk zu identifizieren.

Firewall overview

Web Application Firewall

Azure Web Application Firewall (WAF) schützt Ihre Webanwendungen vor gängigen Webexploits und Sicherheitsrisiken wie die Einschleusung von SQL-Befehlen und Cross-Site Scripting. WAF bietet über verwaltete Regeln integrierten Schutz vor den zehn häufigsten Websicherheitslücken (laut OWASP). Darüber hinaus können Kunden benutzerdefinierte Regeln konfigurieren, bei denen es sich um vom Kunden verwaltete Regeln handelt, um zusätzlichen Schutz anhand des Quell-IP-Adressbereichs und der Anforderungsattribute wie Header, Cookies, Formulardatenfelder oder Abfragezeichenfolgenparameter zu bieten.

Kunden können Azure WAF mit Application Gateway einsetzen, um Entitäten im öffentlichen und privaten Adressraum regional zu schützen. Kunden können auch Azure WAF mit Front Door einsetzen, um öffentliche Endpunkte am Netzwerkedge zu schützen.

Web Application Firewall

Netzwerksicherheitsgruppen

Sie können Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Dienstendpunkte

Mit Dienstendpunkten von virtuellen Netzwerken (VNETs) werden der Bereich privater Adressen Ihres virtuellen Netzwerks und die Identität Ihres VNET über eine direkte Verbindung auf die Azure-Dienste erweitert. Endpunkte ermöglichen es Ihnen, Ihre kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Der Datenverkehr aus Ihrem VNET an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.

Virtual network service endpoints

Anwendungsbereitstellungsdienste

In diesem Abschnitt werden die Netzwerkdienste in Azure beschrieben, die bei der Bereitstellung von Anwendungen helfen – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer und Application Gateway.

Azure Front Door

Über Azure Front Door können Sie das globale Routing für Ihren Webdatenverkehr definieren, verwalten und überwachen, indem Sie die Optimierung auf die bestmögliche Leistung und sofortige globale Failover durchführen, um die Hochverfügbarkeit sicherzustellen. Mit Front Door können Sie Ihre globalen (mehrere Regionen) Consumer- und Unternehmensanwendungen in stabile und hochleistungsfähige personalisierte moderne Anwendungen, APIs und Inhalte transformieren, die eine globale Zielgruppe mit Azure erreichen.

Diagram of Azure Front Door service with Web Application Firewall.

Traffic Manager

Azure Traffic Manager. ist ein DNS-basierter Lastenausgleich für Datenverkehr, der Ihnen ermöglicht, den Datenverkehr optimal auf Dienste in den globalen Azure-Regionen zu verteilen, und der gleichzeitig Hochverfügbarkeit und Reaktionsfähigkeit sicherstellt. Traffic Manager bietet verschiedene Methoden für das Datenverkehrsrouting, um den Datenverkehr zu verteilen, z. B. nach Priorität, Gewichtung, Leistung, geografischen Daten, mehr Mehrwert oder Subnetz.

Das folgende Diagramm veranschaulicht das auf Endpunktpriorität basierende Routing mit Traffic Manager:

Azure Traffic Manager 'Priority' traffic-routing method

Weitere Informationen zu Azure-Traffic Manager finden Sie unter Was ist Azure Traffic Manager?.

Load Balancer

Azure Load Balancer ist äußerst leistungsfähig und bietet Lastenausgleich der Ebene 4 mit niedriger Latenz für alle UDP- und TCP-Protokolle. Der Dienst verwaltet eingehende und ausgehende Verbindungen. Sie können öffentliche und interne Endpunkte mit Lastenausgleich konfigurieren. Sie können Regeln definieren, um eingehende Verbindungen anhand von TCP- und HTTP-Integritätstestoptionen zu Back-End-Pool-Zielen zuzuordnen, um die Dienstverfügbarkeit zu verwalten.

Azure Load Balancer ist in Standard-, Regional- und Gateway-SKUs verfügbar.

Die folgende Abbildung zeigt eine Multi-Tier-Anwendung mit Internetzugriff, die sowohl externen als auch internen Lastenausgleich nutzt:

Azure Load Balancer example

Application Gateway

Azure Application Gateway ist ein Lastenausgleich für Webdatenverkehr, mit dem Sie eingehenden Datenverkehr für Ihre Webanwendungen verwalten können. Es handelt sich um ein ADC-as-a-Service-Angebot (Application Delivery Controller), das verschiedene Schicht-7-Lastenausgleichsfunktionen für Ihre Anwendung bietet.

Im folgenden Diagramm wird das auf URL-Pfaden basierende Routing mit Application Gateway veranschaulicht.

Application Gateway example

Content Delivery Network

Azure Content Delivery Network (CDN) bietet Entwickler*innen eine globale Lösung zur schnellen Übermittlung von Inhalten mit hoher Bandbreite an Benutzer*innen. Hierzu werden Inhalte auf physischen Knoten zwischengespeichert, die strategisch auf der ganzen Welt verteilt sind.

Azure CDN

Netzwerküberwachungsdienste

In diesem Abschnitt werden die Azure-Netzwerkdienste beschrieben, mit denen Sie Ihre Netzwerkressourcen überwachen können: Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor und ExpressRoute Monitor.

Azure Network Watcher

Azure Network Watcher bietet Tools für die Überwachung, Diagnose, Metrikanzeige und Aktivierung/Deaktivierung von Protokollen für Ressourcen in einem virtuellen Azure-Netzwerk. Weitere Informationen finden Sie unter [Was ist Network Watcher?

Azure Monitor

Azure Monitor maximiert die Verfügbarkeit und Leistung Ihrer Anwendungen durch die Bereitstellung einer umfassenden Lösung für das Sammeln, Analysieren und Reagieren auf Telemetriedaten aus Ihren cloudbasierten und lokalen Umgebungen. Diese Lösung hilft Ihnen, die Leistung Ihrer Anwendungen zu verstehen. Es werden proaktiv Probleme erkannt, die sich auf die Anwendungen auswirken, sowie die Ressourcen, von denen sie abhängen. Weitere Informationen finden Sie unter [Übersicht über Azure Monitor

ExpressRoute-Monitor

Weitere Informationen zum Anzeigen von ExpressRoute-Verbindungsmetriken, -Ressourcenprotokollen und -Warnungen finden Sie unter ExpressRoute-Überwachung, -Metriken und -Warnungen.

Netzwerkerkenntnisse

Azure Monitor für Netzwerke (Netzwerkerkenntnisse). bieten eine umfassende Ansicht der Integrität und Metriken für alle bereitgestellten Netzwerkressourcen, ohne dass eine Konfiguration erforderlich ist.

Nächste Schritte