Netzwerk für Azure Virtual Machine Scale Sets

Wenn Sie eine Azure Virtual Machine Scale Sets-Instanz über das Portal bereitstellen, werden bestimmte Standardnetzwerkeigenschaften verwendet (beispielsweise ein Azure Load Balancer mit NAT-Regeln für eingehenden Datenverkehr). Dieser Artikel beschreibt die Verwendung einiger der erweiterten Netzwerkfeatures, die Sie mit Skalierungsgruppen konfigurieren können.

Alle in diesem Artikel behandelten Features können mithilfe von Azure Resource Manager-Vorlagen konfiguriert werden. Für einige Features stehen auch Beispiele für die Azure-Befehlszeilenschnittstelle und PowerShell zur Verfügung.

Beschleunigter Netzwerkbetrieb

Der beschleunigte Netzwerkbetrieb von Azure ermöglicht die E/A-Virtualisierung mit Einzelstamm (Single Root I/O Virtualization, SR-IOV) für einen virtuellen Computer und somit die Verbesserung der Netzwerkleistung. Weitere Informationen zur Verwendung des beschleunigten Netzwerkbetriebs finden Sie unter den entsprechenden Abschnitten für virtuelle Windows- oder Linux-Computer. Wenn Sie den beschleunigten Netzwerkbetrieb mit Skalierungsgruppen verwenden möchten, legen Sie in den networkInterfaceConfigurations-Einstellungen Ihrer Skalierungsgruppe die Option „EnableAcceleratedNetworking“ auf true fest. Beispiel:

"networkProfile": {
    "networkInterfaceConfigurations": [
    {
      "name": "niconfig1",
      "properties": {
        "primary": true,
        "enableAcceleratedNetworking" : true,
        "ipConfigurations": [
          ...
        ]
      }
    }
   ]
}

Azure Virtual Machine Scale Sets mit Azure Load Balancer

Weitere Informationen zum Konfigurieren von Load Balancer Standard mit VM-Skalierungsgruppen basierend auf Ihrem Szenario finden Sie unter Azure Load Balancer mit Azure-VM-Skalierungsgruppen.

Hinzufügen einer VM-Skalierungsgruppe zu einem Application Gateway

Um dem Back-End-Pool eines Application Gateways eine Skalierungsgruppe hinzuzufügen, verweisen Sie im Netzwerkprofil Ihrer Skalierungsgruppe auf den Application Gateway-Back-End-Pool. Dies kann entweder beim Erstellen der Skalierungsgruppe (siehe ARM-Vorlage unten) oder für eine vorhandene Skalierungsgruppe erfolgen.

Hinzufügen von VM-Skalierungsgruppen der einheitlichen Orchestrierung zu einem Application Gateway

Beim Hinzufügen von einheitlichen VM-Skalierungsgruppen zum Back-End-Pool eines Application Gateway unterscheidet sich der Vorgang bei neuen gegenüber vorhandenen Skalierungsgruppen:

• Verweisen Sie für neue Skalierungsgruppen unter einer oder mehreren IP-Konfigurationen der Netzwerkschnittstelle auf die Back-End-Pool-ID des Application Gateway im Netzwerkprofil Ihres Skalierungsgruppenmodells. Bei der Bereitstellung werden Instanzen, die Ihrer Skalierungsgruppe hinzugefügt wurden, im Back-End-Pool des Application Gateway platziert.
• Fügen Sie für vorhandene Skalierungsgruppen zunächst die Back-End-Pool-ID des Application Gateway im Netzwerkprofil Ihres Skalierungsgruppenmodells hinzu, und wenden Sie dann das Modell Ihrer vorhandenen Instanzen durch ein Upgrade an. Wenn die Upgraderichtlinie der Skalierungsgruppe Automatic oder Rolling lautet, werden Instanzen für Sie aktualisiert. Wenn sie auf Manual festgelegt ist, müssen Sie die Instanzen manuell aktualisieren.

Portal

1. Erstellen Sie einen Application Gateway- und Back-End-Pool in derselben Region wie Ihre Skalierungsgruppe, sofern Sie noch keinen haben
2. Navigieren Sie im Portal zur VM-Skalierungsgruppe
3. Öffnen Sie unter Einstellungen den Bereich Netzwerk
4. Wählen Sie im Bereich „Netzwerk“ die Registerkarte Lastenausgleich und anschließend die Option Lastenausgleich hinzufügen aus
5. Wählen Sie Application Gateway aus der Dropdownliste „Optionen für den Lastenausgleich“ aus, und wählen Sie ein vorhandenes Application Gateway aus
6. Wählen Sie den Back-End-Zielpool aus, und klicken Sie auf Speichern
7. Wenn die Upgraderichtlinie Ihrer Skalierungsgruppe „Manuell“ lautet, navigieren Sie zum Bereich Einstellungen>Instanzen, um jede Ihrer Instanzen auszuwählen und zu aktualisieren

PowerShell

    $appGW = Get-AzApplicationGateway -Name <appGWName> -ResourceGroup <AppGWResourceGroupName>
    $backendPool = Get-AzApplicationGatewayBackendAddressPool -Name <backendAddressPoolName> -ApplicationGateway $appGW
    $vmss = Get-AzVMSS -Name <VMSSName> -ResourceGroup <VMSSResourceGroupName>

    $backendPoolMembership = New-Object System.Collections.Generic.List[Microsoft.Azure.Management.Compute.Models.SubResource]

    # add existing backend pool membership to new pool membership of first NIC and ip config
    If ($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools) {
        $backendPoolMembership.AddRange($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools)
    }

    # add new backend pool to pool membership
    $backendPoolMembership.Add($backendPool.id)

    # set VMSS model to use to backend pool membership 
    $vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools = $backendPoolMembership

    # update the VMSS model
    $vmss | Update-AzVMSS

    # update VMSS instances, if necessary
    If ($vmss.UpgradePolicy.Mode -eq 'Manual') {
        $vmss | Get-AzVmssVM | Foreach-Object { $_ | Update-AzVMSSInstance -InstanceId $_.instanceId}
    }

BEFEHLSZEILENSCHNITTSTELLE (CLI)

appGWName=<appGwName>
appGWResourceGroup=<appGWRGName> 
backendPoolName=<backendPoolName>
backendPoolId=$(az network application-gateway address-pool show --gateway-name $appGWName -g $appGWResourceGroup -n $backendPoolName --query id -otsv)

vmssName=<vmssName>
vmssResourceGroup=<vmssRGName>

# add app gw backend pool to first nic's first ip config
az vmss update -n $vmssName -g $vmssResourceGroup --add "virtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].ipConfigurations[0].applicationGatewayBackendAddressPools" "id=$backendPoolId"

# update instances
az vmss update-instances --instance-ids * --name $vmssName --resource-group $vmssResourceGroup

ARM-Vorlage

"ipConfigurations": [{
  "name": "{config-name}",
  "properties": {
  "subnet": {
    "id": "{subnet-id}"
  },
  "ApplicationGatewayBackendAddressPools": [{
    "id": "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/applicationGateways/{gateway-name}/backendAddressPools/{pool-name}"
  }]
}]

Hinzufügen von VM-Skalierungsgruppen der flexiblen Orchestrierung zu einem Application Gateway

Beim Hinzufügen einer flexiblen Skalierungsgruppe zu einem Application Gateway ist der Prozess der gleiche wie beim Hinzufügen eigenständiger VMs zum Back-End-Pool eines Application Gateway. Sie aktualisieren die IP-Konfiguration der Netzwerkschnittstelle des virtuellen Computers so, dass sie Teil des Back-End-Pools ist. Dies kann entweder über die Konfiguration des Application Gateway oder durch Konfigurieren der Netzwerkschnittstellenkonfiguration des virtuellen Computers erfolgen.

Hinweis

Beachten Sie, dass sich das Application Gateway im gleichen virtuellen Netzwerk wie die Skalierungsgruppe, jedoch in einem anderen Subnetz befinden muss.

Konfigurierbare DNS-Einstellungen

Standardmäßig werden für Skalierungsgruppen die spezifischen DNS-Einstellungen des VNETs und des Subnetzes verwendet, in dem sie erstellt wurden. Sie können die DNS-Einstellungen für eine Skalierungsgruppe allerdings direkt konfigurieren.

Erstellen einer Skalierungsgruppe mit konfigurierbaren DNS-Servern

Um mithilfe der Azure CLI eine Skalierungsgruppe mit einer benutzerdefinierten DNS-Konfiguration zu erstellen, fügen Sie dem Befehl vmss create das Argument --dns-servers und eine durch Leerzeichen getrennte Liste mit Server-IP-Adressen hinzu. Beispiel:

--dns-servers 10.0.0.6 10.0.0.5

Um benutzerdefinierte DNS-Server in einer Azure-Vorlage zu konfigurieren, fügen Sie dem Abschnitt „networkInterfaceConfigurations“ der Skalierungsgruppe eine Eigenschaft vom Typ „dnsSettings“ hinzu. Beispiel:

"dnsSettings":{
    "dnsServers":["10.0.0.6", "10.0.0.5"]
}

Erstellen einer Skalierungsgruppe mit konfigurierbaren Domänennamen für virtuelle Computer

Um mithilfe der CLI eine Skalierungsgruppe mit einem benutzerdefinierten DNS-Namen für VMs zu erstellen, fügen Sie dem Befehl Virtual Machine Scale Set create das Argument --vm-domain-name mit dem Domänennamen als Zeichenfolge hinzu.

Um den Domänennamen in einer Azure-Vorlage zu konfigurieren, fügen Sie dem Abschnitt networkInterfaceConfigurations der Skalierungsgruppe eine Eigenschaft vom Typ dnsSettings hinzu. Beispiel:

"networkProfile": {
  "networkInterfaceConfigurations": [
    {
    "name": "nic1",
    "properties": {
      "primary": true,
      "ipConfigurations": [
      {
        "name": "ip1",
        "properties": {
          "subnet": {
            "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
          },
          "publicIPAddressconfiguration": {
            "name": "publicip",
            "properties": {
            "idleTimeoutInMinutes": 10,
              "dnsSettings": {
                "domainNameLabel": "[parameters('vmssDnsName')]"
              }
            }
          }
        }
      }
    ]
    }
}

Die Ausgabe für einen bestimmten VM-DNS-Namen hat das folgende Format:

<vm><vmindex>.<specifiedVmssDomainNameLabel>

Öffentliche IPv4-Adresse pro virtuellem Computer

Virtuelle Computer in Azure-Skalierungsgruppen benötigen im Allgemeinen keine eigene IP-Adresse. In den meisten Szenarien ist es wirtschaftlicher und sicherer, eine öffentliche IP-Adresse einem Load Balancer oder einem einzelnen virtuellen Computer (auch als Jumpbox bezeichnet) zuzuweisen, der dann eingehende Verbindungen nach Bedarf an virtuelle Computer in der Skalierungsgruppe weiterleitet (beispielsweise über NAT-Eingangsregeln).

In einigen Szenarien müssen virtuelle Computer in Skalierungsgruppen jedoch über eine eigene öffentliche IP-Adresse verfügen. Ein Beispiel sind etwa Spiele, bei denen eine Konsole eine direkte Verbindung mit einem virtuellen Cloudcomputer herstellen muss, der die Spielphysik verarbeitet. Ein weiteres Beispiel, bei dem virtuelle Computer regionsübergreifend gegenseitige externe Verbindungen herstellen müssen, sind verteilte Datenbanken.

Erstellen einer Skalierungsgruppe mit öffentlicher IP-Adresse pro virtuellem Computer

Um mithilfe der CLI eine Skalierungsgruppe zu erstellen, die jedem virtuellen Computer eine öffentliche IP-Adresse zuweist, fügen Sie dem Befehl vmss create den Parameter --public-ip-per-vm hinzu.

Wenn Sie eine Skalierungsgruppe mithilfe einer Azure-Vorlage erstellen möchten, sollten Sie sich vergewissern, dass die API-Version der Ressource „Microsoft.Compute/virtualMachineScaleSets“ mindestens 2017-03-30 lautet. Fügen Sie dem Abschnitt „ipConfigurations“ für die Skalierungsgruppe dann eine JSON-Eigenschaft vom Typ publicIpAddressConfiguration hinzu. Beispiel:

"publicIpAddressConfiguration": {
    "name": "pub1",
    "sku": {
      "name": "Standard"
    },
    "properties": {
      "idleTimeoutInMinutes": 15
    }
}

Beachten Sie, dass beim Erstellen von Virtual Machine Scale Sets-Instanzen mit öffentlichen IP-Adressen pro Instanz mit einem vorangestellten Lastenausgleich die Anzahl der Instanz-IPs durch die SKU des Load Balancer (d. h. Basic oder Standard) bestimmt wird. Wenn die VM-Skalierungsgruppe ohne Lastenausgleich erstellt wird, kann die SKU der Instanz-IPs direkt mithilfe des SKU-Abschnitts der Vorlage wie oben gezeigt festgelegt werden.

Beispielvorlage mit einem Load Balancer Basic: vmss-public-ip-linux

Alternativ kann ein Präfix für öffentliche IP-Adressen (ein zusammenhängender Block öffentlicher IPs der Standard-SKU) verwendet werden, um IPs auf Instanzebene in einer VM-Skalierungsgruppe zu generieren. Die zonalen Eigenschaften des Präfix werden an die Instanz-IPs übergeben, obwohl sie nicht in der Ausgabe angezeigt werden.

Beispielvorlage mit einem öffentlichen IP-Präfix: vmms-with-public-ip-prefix

Abfragen der öffentlichen IP-Adressen der virtuellen Computer in einer Skalierungsgruppe

Um mithilfe der CLI die öffentlichen IP-Adressen aufzulisten, die den virtuellen Computern in einer Skalierungsgruppe zugewiesen sind, verwenden Sie den Befehl az vmss list-instance-public-ips.

Verwenden Sie den Befehl Get-AzPublicIpAddress, um mit PowerShell öffentliche IP-Adressen für Skalierungsgruppen aufzulisten. Beispiel:

Get-AzPublicIpAddress -ResourceGroupName myrg -VirtualMachineScaleSetName myvmss

Sie können die öffentlichen IP-Adressen auch abfragen, indem Sie direkt auf die Ressourcen-ID der Konfiguration der öffentlichen IP-Adresse verweisen. Beispiel:

Get-AzPublicIpAddress -ResourceGroupName myrg -Name myvmsspip

Die öffentlichen IP-Adressen, die virtuellen Computern in einer Skalierungsgruppe zugewiesen sind, können auch durch Abfragen des Azure-Ressourcen-Explorers oder der Azure-REST-API (ab Version 2017-03-30) angezeigt werden.

So fragen Sie den Azure-Ressourcen-Explorer ab:

1. Öffnen Sie den Azure-Ressourcen-Explorer in einem Webbrowser.
2. Erweitern Sie Abonnements auf der linken Seite, indem Sie daneben auf den + klicken. Falls sich unter Abonnements nur ein einzelnes Element befindet, ist der Bereich möglicherweise bereits erweitert.
3. Erweitern Sie Ihr Abonnement.
4. Erweitern Sie Ihre Ressourcengruppe.
5. Erweitern Sie Anbieter.
6. Erweitern Sie Microsoft.Compute.
7. Erweitern Sie virtualMachineScaleSets.
8. Erweitern Sie Ihre Skalierungsgruppe.
9. Klicken Sie auf publicipaddresses.

So fragen Sie die Azure-REST-API ab:

GET https://management.azure.com/subscriptions/{your sub ID}/resourceGroups/{RG name}/providers/Microsoft.Compute/virtualMachineScaleSets/{scale set name}/publicipaddresses?api-version=2017-03-30

Beispielausgabe des Azure-Ressourcen-Explorers und der Azure-REST-API:

{
  "value": [
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/pipvmss/virtualMachines/0/networkInterfaces/pipvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"a64060d5-4dea-4379-a11d-b23cd49a3c8d\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "ee8cb20f-af8e-4cd6-892f-441ae2bf701f",
        "ipAddress": "13.84.190.11",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/0/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    },
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"5f6ff30c-a24c-4818-883c-61ebd5f9eee8\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "036ce266-403f-41bd-8578-d446d7397c2f",
        "ipAddress": "13.84.159.176",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    }

Mehrere IP-Adressen pro NIC

Jeder NIC, die an einen virtuellen Computer in einer Skalierungsgruppe angefügt ist, kann mindestens eine IP-Konfiguration zugeordnet sein. Jeder Konfiguration wird eine private IP-Adresse zugewiesen. Außerdem kann jeder Konfiguration eine öffentliche IP-Adressressource zugeordnet sein. Informationen dazu, wie viele IP-Adressen einer NIC zugewiesen werden und wie viele öffentliche IP-Adressen Sie in einem Azure-Abonnement verwenden können, finden Sie unter Netzwerkgrenzwerte – Azure Resource Manager.

Mehrere NICs vor virtuellem Computer

Ein virtueller Computer kann je nach Größe über bis zu acht NICs verfügen. Informationen zur maximalen Anzahl von NICs pro Computer finden Sie im Artikel Größen für virtuelle Windows-Computer in Azure. Alle mit einer VM-Instanz verbundenen NICs müssen eine Verbindung mit dem gleichen virtuellen Netzwerk herstellen. Die NICs können eine Verbindung mit verschiedenen Subnetzen herstellen, aber alle Subnetze müssen Teil des gleichen virtuellen Netzwerks sein.

Das folgende Beispiel ist ein Skalierungsgruppen-Netzwerkprofil mit mehreren NIC-Einträgen und mehreren öffentlichen IP-Adressen pro virtuellem Computer:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
        "name": "nic1",
        "properties": {
            "primary": true,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        },
        {
        "name": "nic2",
        "properties": {
            "primary": false,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        }
    ]
}

Netzwerksicherheitsgruppe und Anwendungssicherheitsgruppen pro Skalierungsgruppe

Mithilfe von Netzwerksicherheitsgruppen können Sie ein- und ausgehenden Datenverkehr von Azure-Ressourcen in einem virtuellen Azure-Netzwerk unter Verwendung von Sicherheitsregeln filtern. Mithilfe von Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit von Azure-Ressourcen steuern und sie als Erweiterung Ihrer Anwendungsstruktur gruppieren.

Netzwerksicherheitsgruppen können direkt auf eine Skalierungsgruppe angewendet werden. Hierzu muss dem Abschnitt mit den Netzwerkschnittstellenkonfigurationen der Skalierungsgruppen-VM-Eigenschaften ein Verweis hinzugefügt werden.

Anwendungssicherheitsgruppen (ASGs) können auch direkt für eine Skalierungsgruppe angegeben werden. Hierzu muss dem Abschnitt mit den IP-Konfigurationen der Netzwerkschnittstelle in den VM-Eigenschaften der Skalierungsgruppe ein Verweis hinzugefügt werden.

Beispiel:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
            "name": "nic1",
            "properties": {
                "primary": true,
                "ipConfigurations": [
                    {
                        "name": "ip1",
                        "properties": {
                            "subnet": {
                                "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                            },
                            "applicationSecurityGroups": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/applicationSecurityGroups/', variables('asgName'))]"
                                }
                            ],
                "loadBalancerInboundNatPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                                }
                            ],
                            "loadBalancerBackendAddressPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                                }
                            ]
                        }
                    }
                ],
                "networkSecurityGroup": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/networkSecurityGroups/', variables('nsgName'))]"
                }
            }
        }
    ]
}

Verwenden Sie den Befehl az vmss show, um zu überprüfen, ob Ihre Netzwerksicherheitsgruppe Ihrer Skalierungsgruppe zugeordnet ist. Im folgenden Beispiel wird --query verwendet, um die Ergebnisse zu filtern und in der Ausgabe nur den relevanten Abschnitt anzuzeigen.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].networkSecurityGroup

[
  {
    "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/nsgName",
    "resourceGroup": "myResourceGroup"
  }
]

Verwenden Sie den Befehl az vmss show, um zu überprüfen, ob Ihre Anwendungssicherheitsgruppe Ihrer Skalierungsgruppe zugeordnet ist. Im folgenden Beispiel wird --query verwendet, um die Ergebnisse zu filtern und in der Ausgabe nur den relevanten Abschnitt anzuzeigen.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].ipConfigurations[].applicationSecurityGroups

[
  [
    {
      "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationSecurityGroups/asgName",
      "resourceGroup": "myResourceGroup"
    }
  ]
]

Erstellen von Netzwerkupdates für bestimmte Instanzen

Sie können Netzwerkupdates für bestimmte Instanzen von VM-Skalierungsgruppen vornehmen.

Mit einem PUT für die Instanz können Sie die Netzwerkkonfiguration aktualisieren. Dies kann beispielsweise zum Hinzufügen oder Entfernen von Netzwerkschnittstellenkarten (NICs) oder zum Entfernen einer Instanz aus einem Back-End-Pool verwendet werden.

PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01

Im folgenden Beispiel wird gezeigt, wie Sie Ihrer NIC eine zweite IP-Konfiguration hinzufügen.

1. Rufen Sie mit GET die Details einer bestimmten VM-Skalierungsgruppeninstanz ab.

   GET https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   Der folgende Code wurde vereinfacht, sodass nur die Netzwerkparameter für dieses Beispiel angezeigt werden.

   {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

2. Aktualisieren Sie die Instanz mit PUT, um die zusätzliche IP-Konfiguration hinzuzufügen. Dies ähnelt dem Hinzufügen weiterer networkInterfaceConfiguration.

   PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   Der folgende Code wurde vereinfacht, sodass nur die Netzwerkparameter für dieses Beispiel angezeigt werden.

     {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 },
                 {
                   "name": "my-second-config",
                   "properties": {
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

Explizite ausgehende Netzwerkkonnektivität für flexible Skalierungsgruppen

Um die Standardnetzwerksicherheit zu verbessern, erfordert Virtual Machine Scale Sets mit der Orchestrierung „Flexibel“, dass implizit über das Profil für die automatische Skalierung erstellte Instanzen über ausgehende Konnektivität verfügen, die explizit durch eine der folgenden Methoden definiert wird:

• Für die meisten Szenarien wird empfohlen, ein NAT Gateway an das Subnetz anzufügen.
• Im Fall von Szenarien mit hohen Sicherheitsanforderungen oder bei Verwendung von Azure Firewall oder virtuellen Netzwerkappliances (Network Virtual Appliance, NVA) können Sie eine benutzerdefinierte Route als nächsten Hop durch die Firewall festlegen.
• Instanzen befinden sich im Back-End-Pool einer Azure Load Balancer-Instanz der Standard-SKU.
• Sie fügen eine öffentliche IP-Adresse an die Netzwerkschnittstelle der Instanz an.

Bei Einzelinstanz-VMs und Virtual Machine Scale Sets-Instanzen mit der Orchestrierung „Einheitlich“ wird ausgehende Konnektivität automatisch bereitgestellt.

Dies sind häufige Szenarios, die explizite ausgehende Konnektivität erfordern:

• Die Aktivierung einer Windows-VM erfordert, dass Sie ausgehende Konnektivität zwischen der VM-Instanz mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) definiert haben. Weitere Informationen finden Sie unter Behandlung von Problemen bei der VM-Aktivierung.
• Zugriff auf Speicherkonten oder Key Vault. Die Verbindung mit Azure-Diensten kann auch über Private Link hergestellt werden.

Weitere Details zum Definieren von sicheren ausgehenden Verbindungen finden Sie unter Ausgehender Standardzugriff in Azure.

Nächste Schritte

Weitere Informationen zu virtuellen Azure-Netzwerken erhalten Sie unter Azure Virtual Network.