Planen virtueller NetzwerkePlan virtual networks

Das Erstellen eines virtuellen Netzwerks zum Testen ist einfach. Aber die Wahrscheinlichkeit ist hoch, dass Sie im Lauf der Zeit mehrere virtuelle Netzwerke bereitstellen, um die Produktionsanforderungen Ihrer Organisation zu erfüllen.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. Mit etwas Planung können Sie beim Bereitstellen von virtuellen Netzwerken und beim Herstellen einer Verbindung mit den Ressourcen effektiver vorgehen.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. Die Informationen in diesem Artikel sind besonders hilfreich, wenn Sie bereits mit virtuellen Netzwerken vertraut sind und etwas Erfahrung mit deren Verwendung haben.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Wenn Sie nicht mit virtuellen Netzwerken vertraut sind, empfiehlt es sich, den Artikel zur Übersicht über virtuelle Netzwerke zu lesen.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

BenennungNaming

Alle Azure-Ressourcen haben einen Namen.All Azure resources have a name. Der Name muss innerhalb eines Bereichs eindeutig sein, der für jeden Ressourcentyp unterschiedlich sein kann.The name must be unique within a scope, that may vary for each resource type. Der Name eines virtuellen Netzwerks muss beispielsweise innerhalb einer Ressourcengruppe eindeutig sein, kann jedoch innerhalb eines Abonnements oder einer Azure-Region dupliziert werden.For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Das Definieren einer Namenskonvention, die Sie beim Benennen von Ressourcen konsistent verwenden können, ist hilfreich, wenn mit der Zeit mehrere Netzwerkressourcen verwaltet werden.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Empfehlungen finden Sie unter Namenskonventionen.For suggestions, see Naming conventions.

RegionsRegions

Alle Azure-Ressourcen werden in einer Azure-Region und unter einem Abonnement erstellt.All Azure resources are created in an Azure region and subscription. Eine Ressource kann nur in einem virtuellen Netzwerk erstellt werden, das in derselben Region und unter demselben Abonnement wie die Ressource vorhanden ist.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. Sie können jedoch virtuelle Netzwerke verbinden, die in unterschiedlichen Abonnements und Regionen vorhanden sind.You can however, connect virtual networks that exist in different subscriptions and regions. Weitere Informationen finden Sie unter Konnektivität.For more information, see connectivity. Bei der Festlegung, in welchen Regionen Ressourcen bereitgestellt werden, sollte berücksichtigt werden, wo sich die Nutzer der Ressourcen physisch befinden:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • Nutzer von Ressourcen erwarten normalerweise die geringstmögliche Netzwerklatenz für ihre Ressourcen.Consumers of resources typically want the lowest network latency to their resources. Informationen zum Ermitteln der relativen Latenz zwischen einem bestimmten Standort und Azure-Regionen finden Sie unter Anzeigen der relativen Latenz.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Haben Sie Anforderungen in Bezug auf Datenresidenz, Datenhoheit, Datenkonformität oder Datenresilienz festgelegt?Do you have data residency, sovereignty, compliance, or resiliency requirements? Wenn ja, ist die Auswahl der Region, die den Anforderungen entspricht, entscheidend.If so, choosing the region that aligns to the requirements is critical. Weitere Informationen finden Sie unter Azure-Geografien.For more information, see Azure geographies.
  • Ist Resilienz in den Azure-Verfügbarkeitszonen innerhalb derselben Azure-Region für die bereitgestellten Ressourcen erforderlich?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? Sie können Ressourcen, z.B. virtuelle Computer, in unterschiedlichen Verfügbarkeitszonen innerhalb desselben virtuellen Netzwerks bereitstellen.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. Verfügbarkeitszonen werden jedoch nicht in allen Azure-Regionen unterstützt.Not all Azure regions support availability zones however. Weitere Informationen zu Verfügbarkeitszonen und zu den Regionen, in denen sie unterstützt werden, finden Sie unter Verfügbarkeitszonen.To learn more about availability zones and the regions that support them, see Availability zones.

AbonnementsSubscriptions

Innerhalb jedes Abonnements können Sie bis zum geltenden Limit beliebig viele virtuelle Netzwerke bereitstellen.You can deploy as many virtual networks as required within each subscription, up to the limit. Einige Organisationen verfügen beispielsweise für unterschiedliche Abteilungen über unterschiedliche Abonnements.Some organizations have different subscriptions for different departments, for example. Weitere Informationen und Überlegungen zu Abonnements finden Sie unter Abonnementgovernance.For more information and considerations around subscriptions, see Subscription governance.

SegmentierungSegmentation

Sie können mehrere virtuelle Netzwerke pro Abonnement und pro Region erstellen.You can create multiple virtual networks per subscription and per region. Sie können in jedem virtuellen Netzwerk mehrere Subnetze erstellen.You can create multiple subnets within each virtual network. Unter Berücksichtigung der folgenden Überlegungen können Sie festlegen, wie viele virtuelle Netzwerke und Subnetze Sie benötigen:The considerations that follow help you determine how many virtual networks and subnets you require:

Virtuelle NetzwerkeVirtual networks

Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks.A virtual network is a virtual, isolated portion of the Azure public network. Jedes virtuelle Netzwerk ist Ihrem Abonnement zugeordnet.Each virtual network is dedicated to your subscription. Bei der Entscheidung, ob Sie ein virtuelles Netzwerk oder mehrere virtuelle Netzwerke unter einem Abonnement erstellen, sollten folgende Aspekte berücksichtigt werden:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Liegen Sicherheitsanforderungen der Organisation zur Isolierung von Datenverkehr in separaten virtuellen Netzwerken vor?Do any organizational security requirements exist for isolating traffic into separate virtual networks? Sie können auswählen, ob virtuelle Netzwerke verbunden oder nicht verbunden werden.You can choose to connect virtual networks or not. Wenn Sie virtuelle Netzwerke verbinden, können Sie ein virtuelles Netzwerkgerät (z.B. eine Firewall) implementieren, um den ein- und ausgehenden Datenverkehr zwischen den virtuellen Netzwerken zu steuern.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Weitere Informationen finden Sie unter Sicherheit und Konnektivität.For more information, see security and connectivity.
  • Liegen Sicherheitsanforderungen der Organisation zur Isolierung von virtuellen Netzwerken in separaten Abonnements oder Regionen vor?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Eine Netzwerkschnittstelle ermöglicht die Kommunikation zwischen einem virtuellen Computer und anderen Ressourcen.A network interface enables a VM to communicate with other resources. Jeder Netzwerkschnittstelle sind private IP-Adressen zugewiesen.Each network interface has one or more private IP addresses assigned to it. Wie viele Netzwerkschnittstellen und private IP-Adressen benötigen Sie in einem virtuellen Netzwerk?How many network interfaces and private IP addresses do you require in a virtual network? Die Anzahl der Netzwerkschnittstellen und privaten IP-Adressen, die in einem virtuellen Netzwerk festgelegt werden können, ist begrenzt.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • Möchten Sie das virtuelle Netzwerk mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden?Do you want to connect the virtual network to another virtual network or on-premises network? Sie können einige virtuelle Netzwerke untereinander oder mit lokalen Netzwerken verbinden, jedoch nicht alle.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Weitere Informationen finden Sie unter Konnektivität.For more information, see connectivity. Jedes virtuelle Netzwerk, das Sie mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden, muss einen eindeutigen Adressraum aufweisen.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Jedes virtuelle Netzwerk verfügt über einen oder mehrere dem Adressraum zugewiesene öffentliche oder private Adressbereiche.Each virtual network has one or more public or private address ranges assigned to its address space. Ein Adressbereich wird im CIDR-Format (Classless Interdomain Routing, klassenloses domänenübergreifendes Routing) angegeben, z.B. 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Weitere Informationen zu Adressbereichen für virtuelle Netzwerke finden Sie hier.Learn more about address ranges for virtual networks.
  • Liegen Verwaltungsanforderungen der Organisation in Bezug auf Ressourcen in unterschiedlichen virtuellen Netzwerken vor?Do you have any organizational administration requirements for resources in different virtual networks? Wenn ja, können Sie Ressourcen in separaten virtuellen Netzwerken trennen, um die Zuweisung von Berechtigungen zu Personen in Ihrer Organisation zu vereinfachen oder um unterschiedlichen virtuellen Netzwerken unterschiedliche Richtlinien zuzuweisen.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • Wenn Sie Azure-Dienstressourcen in einem virtuellen Netzwerk bereitstellen, wird jeweils ein zugehöriges virtuelles Netzwerk erstellt.When you deploy some Azure service resources into a virtual network, they create their own virtual network. In den jeweiligen Informationen zu jedem Azure-Dienst, der in einem virtuellen Netzwerk bereitgestellt werden kann, können Sie einsehen, ob für einen Azure-Dienst ein eigenes zugehöriges virtuelles Netzwerk erstellt wird.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

SubnetzeSubnets

Ein virtuelles Netzwerk kann bis zu den geltenden Limits in Subnetze segmentiert werden.A virtual network can be segmented into one or more subnets up to the limits. Bei der Entscheidung, ob Sie ein Subnetz oder mehrere virtuelle Netzwerke in einem Abonnement erstellen, sollten folgende Aspekte berücksichtigt werden:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Jedes Subnetz muss über einen eindeutigen im CIDR-Format angegebenen Adressbereich innerhalb des Adressraums des virtuellen Netzwerks verfügen.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. Der Adressbereich darf keine Überlappungen mit anderen Subnetzen innerhalb des virtuellen Netzwerks aufweisen.The address range cannot overlap with other subnets in the virtual network.
  • Wenn Sie Azure-Dienstressourcen in einem virtuellen Netzwerk bereitstellen möchten, ist es möglich, dass für diese ein eigenes Subnetz erforderlich ist oder erstellt wird. Dafür muss ausreichend nicht zugewiesener Speicherplatz zur Verfügung stehen.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. In den jeweiligen Informationen zu jedem Azure-Dienst, der in einem virtuellen Netzwerk bereitgestellt werden kann, können Sie einsehen, ob für einen Azure-Dienst ein eigenes zugehöriges Subnetz erstellt wird.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Wenn Sie z.B ein virtuelles Netzwerk über ein Azure VPN Gateway mit einem lokalen Netzwerk verbinden, muss das virtuelle Netzwerk über ein dediziertes Subnetz für das Gateway verfügen.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Weitere Informationen zu Gatewaysubnetzen finden Sie hier.Learn more about gateway subnets.
  • Standardmäßig leitet Azure Netzwerkdatenverkehr zwischen allen Subnetzen in einem virtuellen Netzwerk weiter.Azure routes network traffic between all subnets in a virtual network, by default. Sie können das Standardrouting in Azure außer Kraft setzen, um das Azure-Routing zwischen Subnetzen zu verhindern oder um Datenverkehr zwischen Subnetzen z.B. über ein virtuelles Netzwerkgerät weiterzuleiten.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Wenn Sie festlegen möchten, dass Datenverkehr zwischen Ressourcen im selben virtuellen Netzwerk über ein virtuelles Netzwerkgerät übermittelt wird, stellen Sie die Ressourcen in unterschiedlichen Subnetzen bereit.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Weitere Informationen finden Sie unter Sicherheit.Learn more in security.
  • Sie können den Zugriff auf Azure-Ressourcen, z. B. auf ein Azure Storage-Konto oder eine Azure SQL-Datenbank, auf bestimmte Subnetze mit einem VNET-Dienstendpunkt einschränken.You can limit access to Azure resources such as an Azure storage account or Azure SQL database, to specific subnets with a virtual network service endpoint. Zudem können Sie den Zugriff auf die Ressourcen über das Internet verweigern.Further, you can deny access to the resources from the internet. Sie können mehrere Subnetze erstellen und für bestimmte Subnetze einen Dienstendpunkt aktivieren, für andere hingegen nicht.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Erfahren Sie mehr über Dienstendpunkte und die Azure-Ressourcen, für die Sie sie aktivieren können.Learn more about service endpoints, and the Azure resources you can enable them for.
  • Sie können jedem Subnetz in einem virtuellen Netzwerk eine Netzwerksicherheitsgruppe zuordnen, dies ist jedoch nicht erforderlich.You can associate zero or one network security group to each subnet in a virtual network. Sie können jedem Subnetz dieselbe oder eine unterschiedliche Netzwerksicherheitsgruppe zuordnen.You can associate the same, or a different, network security group to each subnet. Jede Netzwerksicherheitsgruppe enthält Regeln, mit denen Datenverkehr zu und von Quellen und Zielen zugelassen oder verweigert wird.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Weitere Informationen zu Netzwerksicherheitsgruppen.Learn more about network security groups.

SicherheitSecurity

Sie können den Netzwerkdatenverkehr zu und von Ressourcen in einem virtuellen Netzwerk mithilfe von Netzwerksicherheitsgruppen und virtuellen Netzwerkgeräten filtern.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. Sie können steuern, wie in Azure Datenverkehr aus Subnetzen weitergeleitet wird.You can control how Azure routes traffic from subnets. Zudem können Sie einschränken, welche Benutzer in Ihrer Organisation Ressourcen in virtuellen Netzwerken verwenden können.You can also limit who in your organization can work with resources in virtual networks.

Filtern von DatenverkehrTraffic filtering

  • Sie können den Netzwerkdatenverkehr zwischen Ressourcen in einem virtuellen Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern oder mithilfe eines virtuellen Netzwerkgeräts, das dazu in der Lage ist.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Informationen zum Bereitstellen eines virtuellen Netzwerkgeräts (z.B. einer Firewall) zum Filtern von Netzwerkdatenverkehr finden Sie im Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. Bei Verwendung eines virtuellen Netzwerkgeräts erstellen Sie auch benutzerdefinierte Routen zur Weiterleitung des Datenverkehrs aus Subnetzen an das virtuelle Netzwerkgerät.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Weitere Informationen zu Routing von Datenverkehr.Learn more about traffic routing.
  • Eine Netzwerksicherheitsgruppe enthält mehrere Standardsicherheitsregeln, mit denen Datenverkehr zu und von Ressourcen zugelassen oder verweigert wird.A network security group contains several default security rules that allow or deny traffic to or from resources. Eine Netzwerksicherheitsgruppe kann einer Netzwerkschnittstelle oder dem Subnetz, in dem sich die Netzwerkschnittstelle befindet, zugeordnet werden.A network security group can be associated to a network interface, the subnet the network interface is in, or both. Zur vereinfachten Verwaltung von Sicherheitsregeln empfiehlt es sich, eine Netzwerksicherheitsgruppe nach Möglichkeit einzelnen Subnetzen und nicht einzelnen Netzwerkschnittstellen in einem Subnetz zuzuordnen.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Wenn auf unterschiedliche virtuelle Computer innerhalb eines Subnetzes unterschiedliche Sicherheitsregeln angewandt werden sollen, können Sie die Netzwerkschnittstelle im virtuellen Computer Anwendungssicherheitsgruppen zuordnen.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. In einer Sicherheitsregel kann eine Anwendungssicherheitsgruppe als Quelle und Ziel angegeben werden.A security rule can specify an application security group in its source, destination, or both. Diese Regel gilt dann nur für die Netzwerkschnittstellen, die Mitglieder der Anwendungssicherheitsgruppe sind.That rule then only applies to the network interfaces that are members of the application security group. Weitere Informationen zu Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.Learn more about network security groups and application security groups.
  • In Azure werden in jeder Netzwerksicherheitsgruppe mehrere Standardsicherheitsregeln erstellt.Azure creates several default security rules within each network security group. Eine Standardregel lässt die Weiterleitung des gesamten Datenverkehrs zwischen allen Ressourcen in einem virtuellen Netzwerk zu.One default rule allows all traffic to flow between all resources in a virtual network. Dieses Verhalten können Sie mithilfe von Netzwerksicherheitsgruppen oder benutzerdefiniertem Routing zum Weiterleiten von Datenverkehr an ein virtuelles Netzwerkgerät außer Kraft setzen.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Es wird empfohlen, sich mit allen Standardsicherheitsregeln von Azure sowie mit der Anwendung von Netzwerksicherheitsgruppen-Regeln auf eine Ressource vertraut zu machen.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

Sie können sich Beispielentwürfe für die Implementierung eines Umkreisnetzwerks (auch als DMZ bezeichnet) zwischen Azure und dem Internet mithilfe eines virtuellen Netzwerkgeräts ansehen.You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

Routing von DatenverkehrTraffic routing

In Azure werden mehrere Standardrouten für ausgehenden Datenverkehr aus einem Subnetz erstellt.Azure creates several default routes for outbound traffic from a subnet. Sie können das Azure-Standardrouting außer Kraft setzen, indem Sie eine Routingtabelle erstellen und einem Subnetz zuordnen.You can override Azure's default routing by creating a route table and associating it to a subnet. Häufige Gründe für das Außerkraftsetzen des Azure-Standardroutings:Common reasons for overriding Azure's default routing are:

  • Der Datenverkehr zwischen Subnetzen soll über ein virtuelles Netzwerkgerät weitergeleitet werden.Because you want traffic between subnets to flow through an NVA. Hier finden Sie weitere Informationen zum Konfigurieren von Routingtabellen zum Weiterleiten von Datenverkehr über ein virtuelles Netzwerkgerät.To learn more about how to configure route tables to force traffic through an NVA.
  • Der gesamte Internetdatenverkehr soll über ein virtuelles Netzwerkgerät oder lokal über ein Azure VPN Gateway erfolgen.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Die Erzwingung der lokalen Weiterleitung von Internetdatenverkehr zur Überprüfung und Protokollierung wird häufig als Tunnelerzwingung bezeichnet.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Weitere Informationen zum Konfigurieren der Tunnelerzwingung.Learn more about how to configure forced tunneling.

Wenn Sie das benutzerdefinierte Routing implementieren möchten, empfiehlt es sich, sich mit dem Routing in Azure vertraut zu machen.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

KonnektivitätConnectivity

Sie können ein virtuelles Netzwerk mittels VNET-Peering mit anderen virtuellen Netzwerken oder über ein Azure VPN Gateway mit dem lokalen Netzwerk verbinden.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

PeeringPeering

Bei Verwendung des Peerings virtueller Netzwerke können sich die virtuellen Netzwerke in derselben oder in unterschiedlichen unterstützten Azure-Regionen befinden.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. Die virtuellen Netzwerke können sich im selben oder in unterschiedlichen Azure-Abonnements befinden (auch in Abonnements, die zu verschiedenen Azure Active Directory-Mandanten gehören).The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). Es wird empfohlen, sich mit den Peeringanforderungen und -einschränkungen vertraut zu machen, bevor Sie ein Peering erstellen.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. Die Bandbreite zwischen Ressourcen in virtuellen Netzwerken, die mittels Peering in derselben Region miteinander verknüpft sind, ist dieselbe wie zwischen Ressourcen, die sich im selben virtuellen Netzwerk befinden.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

VPN-GatewayVPN gateway

Mit einem Azure VPN Gateway können Sie ein virtuelles Netzwerk über eine Site-to-Site-VPN-Verbindung oder über eine dedizierte Verbindung mit Azure ExpressRoute mit dem lokalen Netzwerk verbinden.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

Sie können das Peering und ein VPN-Gateway kombinieren und Hub-Spoke-Netzwerke erstellen, bei denen beispielsweise virtuelle Spoke-Netzwerke mit einem virtuellen Hub-Netzwerk verbunden werden und das virtuelle Hub-Netzwerk mit einem lokalen Netzwerk verbunden wird.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

NamensauflösungName resolution

Ressourcen in einem virtuellen Netzwerk können die Namen von Ressourcen in dem mittels Peering verknüpften virtuellen Netzwerk nicht mit dem in Azure integrierten DNS auflösen.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Zur Auflösung von Namen in einem mittels Peering verknüpften virtuellen Netzwerk müssen Sie einen eigenen DNS-Server bereitstellen oder private Azure DNS-Domänen verwenden.To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. Für die Auflösung von Namen zwischen Ressourcen in einem virtuellen Netzwerk und lokalen Netzwerken müssen Sie außerdem einen eigenen DNS-Server bereitstellen.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

BerechtigungenPermissions

In Azure wird die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Ressourcen verwendet.Azure utilizes role based access control (RBAC) to resources. Berechtigungen werden einem Bereich in der folgenden Hierarchie zugewiesen: Verwaltungsgruppe, Abonnement, Ressourcengruppe und einzelne Ressource.Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. Weitere Informationen zu dieser Hierarchie finden Sie unter Organisieren Ihrer Ressourcen.To learn more about the hierarchy, see Organize your resources. Um virtuelle Azure-Netzwerke und alle zugehörigen Funktionen, z.B. Peering, Netzwerksicherheitsgruppen, Dienstendpunkte und Routingtabellen, verwenden zu können, können Sie Mitglieder Ihrer Organisation den integrierten Rollen Besitzer, Mitwirkender oder Netzwerkmitwirkender und dann die einzelnen Rollen dem entsprechenden Bereich zuweisen.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Wenn Sie bestimmte Berechtigungen für eine Teilmenge der Funktionen des virtuellen Netzwerks zuweisen möchten, erstellen Sie eine benutzerdefinierte Rolle und weisen der Rolle diese Berechtigungen für virtuelle Netzwerke, Subnetze und Dienstendpunkte, Netzwerkschnittstellen, Peering, Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen oder Routingtabellen zu.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

RichtliniePolicy

Mit Azure Policy können Sie Richtliniendefinitionen erstellen, zuweisen und verwalten.Azure Policy enables you to create, assign, and manage policy definitions. Richtliniendefinitionen erzwingen unterschiedliche Regeln für Ihre Ressourcen, damit diese stets mit den Standards Ihrer Organisation und Vereinbarungen zum Servicelevel konform bleiben.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Azure Policy führt eine Auswertung Ihrer Ressourcen durch, um zu prüfen, welche Ressourcen nicht den festgelegten Richtliniendefinitionen entsprechen.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. Sie können beispielsweise eine Richtlinie definieren und anwenden, welche die Erstellung von virtuellen Netzwerken nur in einer bestimmten Ressourcengruppe oder Region zulässt.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. In einer anderen Richtlinie können Sie festlegen, dass jedem Subnetz eine Netzwerksicherheitsgruppe zugeordnet werden muss.Another policy can require that every subnet has a network security group associated to it. Die Richtlinien werden beim Erstellen und Aktualisieren von Ressourcen ausgewertet.The policies are then evaluated when creating and updating resources.

Richtlinien werden in der folgenden Hierarchie angewendet: Verwaltungsgruppe, Abonnement und Ressourcengruppe.Policies are applied to the following hierarchy: management group, subscription, and resource group. Erfahren Sie mehr über Azure Policy, oder stellen Sie Beispiele für Richtlinienvorlagen für virtuelle Netzwerke bereit.Learn more about Azure policy or deploy some virtual network policy template samples.

Nächste SchritteNext steps

Erfahren Sie mehr über alle Aufgaben, Einstellungen und Optionen für ein virtuelles Netzwerk, Subnetz und Dienstendpunkt, Netzwerkschnittstelle, Peering, Netzwerk- und Anwendungssicherheitsgruppe oder Routingtabelle.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.