Bereitstellen von dedizierten Azure-Diensten in virtuellen Netzwerken

Wenn Sie dedizierte Azure-Dienste in einem virtuellen Netzwerk bereitstellen, können Sie über private IP-Adressen privat mit den Dienstressourcen kommunizieren.

In einem virtuellen Netzwerk bereitgestellte Dienste

Das Bereitstellen von Diensten in einem virtuellen Netzwerk bietet die folgenden Fähigkeiten:

  • Ressourcen im virtuellen Netzwerk können über private IP-Adressen privat miteinander kommunizieren. Beispiel: Direktes Übertragen von Daten zwischen HDInsight und SQL Server auf einem virtuellen Computer im virtuellen Netzwerk.
  • Lokale Ressourcen können mit privaten IP-Adressen über Site-to-Site-VPN (VPN Gateway) oder ExpressRoute auf Ressourcen in einem virtuellen Netzwerk zugreifen.
  • Für virtuelle Netzwerke kann Peering eingerichtet werden, damit Ressourcen in den virtuellen Netzwerken mithilfe privater IP-Adressen miteinander kommunizieren können.
  • Dienstinstanzen in einem virtuellen Netzwerk werden in der Regel vollständig vom Azure-Dienst verwaltet. Dies schließt Überwachung der Integrität der Ressourcen und Skalieren mit Last ein.
  • Dienstinstanzen werden in einem Subnetz in einem virtuellen Netzwerk bereitgestellt. Eingehender und ausgehender Netzwerkzugriff auf das Subnetz muss gemäß der Anleitung durch den Dienst über Netzwerksicherheitsgruppen geöffnet sein.
  • Bestimmte Dienste verhängen auch Einschränkungen über dem Subnetz, in dem sie bereitgestellt werden, wobei die Anwendung von Richtlinien, Routen oder die Kombination von virtuellen Computern und Dienstressourcen im selben Subnetz eingeschränkt werden. Überprüfen Sie für jeden Dienst die spezifischen Einschränkungen, da sie sich im Laufe der Zeit ändern können. Beispiele für solche Dienste sind Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
  • Optional ist für Dienste möglicherweise ein delegiertes Subnetz als expliziter Bezeichner erforderlich, damit ein Subnetz einen bestimmten Diensts hosten kann. Durch Delegieren erhalten Dienste explizite Berechtigungen zum Erstellen dienstspezifischer Ressourcen im delegierten Subnetz.
  • Betrachten Sie ein Beispiel für eine REST-API-Antwort in einem virtuellen Netzwerk mit einem delegierten Subnetz. Eine umfassende Liste der Dienste, die das Modell des delegierten Subnetzes verwenden, erhalten Sie über die API für verfügbare Delegierungen.

Dienste, die in einem virtuellen Netzwerk bereitgestellt werden können

Category Dienst Dediziertes1 Subnetz
Compute Virtuelle Computer: Linux oder Windows
Skalierungsgruppen für virtuelle Computer
Clouddienst: Nur virtuelles Netzwerk (klassisch)
Azure Batch
Nein
Nein
Nein
Nein2
Netzwerk Application Gateway – WAF
VPN Gateway
Azure Firewall
Azure Bastion
Virtuelle Netzwerkgeräte:
Ja
Ja
Ja
Ja
Nein
Daten RedisCache
Verwaltete Azure SQL-Datenbank-Instanz
Ja
Ja
Analytics Azure HDInsight
Azure Databricks
Nein2
Nein2
Identity Azure Active Directory-Domänendienste Nein
Container Azure Kubernetes Service (AKS)
Azure Container Instances (ACI)
Azure Container Service-Engine mit Azure Virtual Network-CNI-Plug-In
Azure-Funktionen
Nein2
Ja
Nein
Ja
Web API Management
Web-Apps
App Service-Umgebung
Azure Logic Apps
Ja
Ja
Ja
Ja
Gehostet Dediziertes HSM von Azure
Azure NetApp Files
Ja
Ja
Azure Spring Cloud Bereitstellen in einem virtuellen Azure-Netzwerk (VNET-Einschleusung)
Ja

1 „Dediziert“ beinhaltet, dass nur dienstspezifische Ressourcen in diesem Subnetz bereitgestellt und nicht mit VM/VMSSs von Kunden kombiniert werden können.
2 Es wird als bewährte Methode empfohlen, diese Dienste in einem dedizierten Subnetz auszuführen, dies ist jedoch keine zwingende Vorgabe des Diensts.