Was ist Azure Virtual Network?

Azure Virtual Network (VNET) ist der grundlegende Baustein für Ihr privates Netzwerk in Azure. Mit VNET können zahlreiche Arten von Azure-Ressourcen (beispielsweise virtuelle Azure-Computer) sicher untereinander sowie mit dem Internet und mit lokalen Netzwerken kommunizieren. VNET ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem Rechenzentrum betreiben, bietet jedoch zusätzliche Vorteile der Infrastruktur von Azure, z. B. Skalierbarkeit, Verfügbarkeit und Isolation.

Gründe für die Verwendung eines virtuellen Azure-Netzwerks

Mit virtuellen Azure-Netzwerken können Azure-Ressourcen sicher untereinander sowie mit dem Internet und mit lokalen Netzwerken kommunizieren. Zu den wichtigsten Szenarien, die Sie mit einem virtuellen Netzwerk realisieren können, gehören die Kommunikation von Azure-Ressourcen mit dem Internet, die Kommunikation zwischen Azure-Ressourcen, die Kommunikation mit lokalen Ressourcen, das Filtern von Netzwerkdatenverkehr, das Routing von Netzwerkdatenverkehr und die Integration mit Azure-Diensten.

Kommunikation mit dem Internet

Alle Ressourcen in einem VNET können standardmäßig in ausgehender Richtung mit dem Internet kommunizieren. Zur Kommunikation in eingehender Richtung muss der entsprechenden Ressource eine öffentliche IP-Adresse oder eine öffentliche Load Balancer-Instanz zugewiesen werden. Die öffentliche IP-Adresse bzw. die öffentliche Load Balancer-Instanz kann auch zum Verwalten der ausgehenden Verbindungen verwendet werden. Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Ausgehende Verbindungen in Azure, Erstellen, Ändern oder Löschen einer öffentlichen IP-Adresse und Was versteht man unter Azure Load Balancer?.

Hinweis

Wenn Sie nur eine interne Instanz von Load Balancer Standard verwenden, ist ausgehende Konnektivität erst verfügbar, wenn Sie definieren, wie ausgehende Verbindungen mit einer öffentlichen IP auf Instanzebene oder einer öffentlichen Load Balancer-Instanz verwendet werden sollen.

Kommunikation zwischen Azure-Ressourcen

Azure-Ressourcen können auf eine der folgenden Arten sicher miteinander kommunizieren:

  • Über ein virtuelles Netzwerk: Sie können virtuelle Computer und verschiedene andere Arten von Azure-Ressourcen in einem virtuellen Netzwerk bereitstellen, wie beispielsweise Azure App Service-Umgebungen, den Azure Kubernetes Service (AKS) und Azure Virtual Machine Scale Sets. Eine vollständige Liste mit Azure-Ressourcen, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie unter Integration virtueller Netzwerke für Azure-Dienste.
  • Über einen VNET-Dienstendpunkt: Erweitern Sie den Bereich privater Adressen und die Identität Ihres virtuellen Netzwerks über eine direkte Verbindung auf Azure-Dienstressourcen wie Azure Storage-Konten und Azure SQL-Datenbank. Mithilfe von Dienstendpunkten können Sie Ihre kritischen Azure-Dienstressourcen auf ein virtuelles Netzwerk beschränken und so schützen. Weitere Informationen finden Sie in der Übersicht über VNET-Dienstendpunkte.
  • Über VNET-Peering: Sie können virtuelle Netzwerke mittels VNet-Peering miteinander verbinden und so die Kommunikation zwischen Ressourcen in beiden virtuellen Netzwerken ermöglichen. Die verbundenen virtuellen Netzwerke können sich in der gleichen Azure-Region oder in verschiedenen Azure-Regionen befinden. Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

Kommunikation mit lokalen Ressourcen

Sie können Ihre lokalen Computer und Netzwerke unter Verwendung einer beliebigen Kombination der folgenden Optionen mit einem virtuellen Netzwerk verbinden:

  • Point-to-Site-VPN (virtuelles privates Netzwerk) : Wird zwischen einem virtuellen Netzwerk und einem einzelnen Computer in Ihrem Netzwerk eingerichtet. Jeder Computer, der eine Verbindung mit einem virtuellen Netzwerk herstellen möchte, muss eine eigene Verbindung konfigurieren. Dieser Verbindungstyp ist gut geeignet, wenn Azure noch neu für Sie ist, oder wenn Sie ein Entwickler sind, da keine oder nur sehr geringe Änderungen Ihres vorhandenen Netzwerks erforderlich sind. Die Kommunikation zwischen Ihrem Computer und einem virtuellen Netzwerk wird durch einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Point-to-Site (VPN über IKEv2 oder SSTP).
  • Site-to-Site-VPN: Wird zwischen Ihrem lokalen VPN-Gerät und einem Azure-VPN-Gateway eingerichtet, das in einem virtuellen Netzwerk bereitgestellt ist. Bei diesem Verbindungstyp können alle lokalen Ressourcen, die von Ihnen autorisiert werden, auf ein virtuelles Netzwerk zugreifen. Die Kommunikation zwischen Ihrem lokalen VPN-Gerät und einem Azure-VPN-Gateway wird durch einen verschlüsselten Tunnel über das Internet gesendet. Weitere Informationen finden Sie unter Site-to-Site und Multi-Site (IPsec-/IKE-VPN-Tunnel).
  • Azure ExpressRoute: Wird zwischen Ihrem Netzwerk und Azure über einen ExpressRoute-Partner eingerichtet. Diese Verbindung ist privat. Der Datenverkehr wird nicht über das Internet übertragen. Weitere Informationen finden Sie unter ExpressRoute (private Verbindung).

Filtern des Netzwerkdatenverkehrs

Sie können den Netzwerkdatenverkehr zwischen Subnetzen filtern, indem Sie eine oder beide folgenden Optionen verwenden:

  • Netzwerksicherheitsgruppen: Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen können mehrere Sicherheitsregeln für die eingehende und ausgehende Richtung enthalten, mit denen Sie den Datenverkehr in beiden Richtungen nach Quell- und Ziel-IP-Adresse, Port und Protokoll filtern können. Weitere Informationen siehe Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.
  • Virtuelle Netzwerkgeräte: Ein virtuelles Netzwerkgerät ist ein virtueller Computer, der eine Netzwerkfunktion (Firewall, WAN-Optimierung oder Ähnliches) übernimmt. Eine Liste mit verfügbaren virtuellen Netzwerkgeräten, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie im Azure Marketplace.

Weiterleiten von Netzwerkdatenverkehr

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen, verbundenen virtuellen Netzwerken, lokalen Netzwerken und dem Internet weiter. Sie können eine oder beide der folgenden Optionen implementieren, um die von Azure erstellten Standardrouten außer Kraft zu setzen:

  • Routingtabellen: Sie können benutzerdefinierte Routingtabellen mit Routen erstellen, über die gesteuert wird, wohin der Datenverkehr für die einzelnen Subnetze geleitet wird. Weitere Informationen zu Routingtabellen finden Sie hier.
  • BGP-Routen (Border Gateway Protocol) : Wenn Sie Ihr virtuelles Netzwerk mit Ihrem lokalen Netzwerk über ein Azure-VPN-Gateway oder eine ExpressRoute-Verbindung verbinden, können Sie Ihren virtuellen Netzwerken Ihre lokalen BGP-Routen weitergeben. Weitere Informationen zur Verwendung von BGP mit dem Azure-VPN-Gateway finden Sie hier. Informationen zur Verwendung mit ExpressRoute finden Sie hier.

Integration virtueller Netzwerke für Azure-Dienste

Wenn Sie Azure-Dienste in ein virtuelles Azure-Netzwerk integrieren, ermöglichen Sie damit den privaten Zugriff auf den Dienst über virtuelle Computer oder Computeressourcen im virtuellen Netzwerk. Sie können Azure-Dienste mit den folgenden Optionen in Ihr virtuelles Netzwerk integrieren:

  • Stellen Sie dedizierte Instanzen des Diensts in einem virtuellen Netzwerk bereit. Auf die Dienste kann dann innerhalb des virtuellen Netzwerks und von lokalen Netzwerken aus privat zugegriffen werden.
  • Verwenden Sie Private Link, um von Ihrem virtuellen Netzwerk sowie von lokalen Netzwerken aus privat auf eine bestimmte Instanz des Diensts zuzugreifen.
  • Sie können auf den Dienst auch unter Verwendung öffentlicher Endpunkte zugreifen, indem Sie ein virtuelles Netzwerk mithilfe von Dienstendpunkten auf den Dienst erweitern. Durch Dienstendpunkte können Dienstressourcen an das virtuelle Netzwerk gebunden werden.

Einschränkungen von Azure VNET

Es gibt bestimmte Grenzwerte für die Anzahl der Azure-Ressourcen, die Sie bereitstellen können. Die meisten Grenzwerte für Azure-Netzwerke sind auf die Maximalwerte festgelegt. Sie können jedoch bestimmte Grenzwerte für Netzwerke erhöhen, wie unter Grenzwerte für Netzwerke angegeben.

Virtuelle Netzwerke und Verfügbarkeitszonen

Virtuelle Netzwerke und Subnetze umfassen alle Verfügbarkeitszonen in einer Region. Sie müssen sie nicht durch Verfügbarkeitszonen unterteilen, um zonale Ressourcen aufnehmen zu können. Wenn Sie beispielsweise eine zonale VM konfigurieren, müssen Sie das virtuelle Netzwerk bei der Auswahl der Verfügbarkeitszone für den virtuellen Computer nicht berücksichtigen. Dasselbe gilt für andere zonale Ressourcen.

Preise

Die Verwendung von Azure VNET ist kostenlos, es fallen keine Gebühren an. Für Ressourcen wie virtuelle Computer (VMs) und andere Produkte gelten Standardgebühren. Weitere Informationen finden Sie unter Virtual Network – Preise und im Azure-Preisrechner.

Nächste Schritte