Toegewezen Azure-services implementeren in virtuele netwerken
Wanneer u toegewezen Azure-services in een virtueel netwerkimplementeert, kunt u privé communiceren met de servicebronnen via privé-IP-adressen.
Het implementeren van services in een virtueel netwerk biedt de volgende mogelijkheden:
- Resources in het virtuele netwerk kunnen privé met elkaar communiceren via privé-IP-adressen. Bijvoorbeeld: gegevens rechtstreeks overdragen tussen HDInsight en SQL Server uitgevoerd op een virtuele machine, in het virtuele netwerk.
- On-premises resources hebben toegang tot resources in een virtueel netwerk met behulp van privé-IP-adressen via een site-naar-site-VPN (VPN Gateway) of ExpressRoute.
- Virtuele netwerken kunnen worden ge peerd zodat resources in de virtuele netwerken met elkaar kunnen communiceren met behulp van privé-IP-adressen.
- Service-exemplaren in een virtueel netwerk worden doorgaans volledig beheerd door de Azure-service. Dit omvat het bewaken van de status van de resources en schalen met belasting.
- Service-exemplaren worden geïmplementeerd in een subnet in een virtueel netwerk. Binnenkomende en uitgaande netwerktoegang voor het subnet moet worden geopend via netwerkbeveiligingsgroepenvolgens de richtlijnen van de service.
- Bepaalde services leggen ook beperkingen op voor het subnet waarin ze zijn geïmplementeerd, waardoor de toepassing van beleidsregels, routes of het combineren van VM's en servicebronnen binnen hetzelfde subnet wordt beperkt. Neem contact op met elke service over de specifieke beperkingen, aangezien deze na een bepaalde periode kunnen veranderen. Voorbeelden van dergelijke services zijn Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
- Services kunnen eventueel een gedelegeerd subnet als expliciete id vereisen dat een subnet een bepaalde service kan hosten. Door services te delegeren, krijgen ze expliciete machtigingen voor het maken van servicespecifieke resources in het gedelegeerde subnet.
- Bekijk een voorbeeld van een REST API antwoord in een virtueel netwerk met een gedelegeerd subnet. Een uitgebreide lijst met services die gebruikmaken van het gedelegeerde subnetmodel kan worden verkregen via de API Beschikbare delegaties.
Services die kunnen worden geïmplementeerd in een virtueel netwerk
| Categorie | Service | Toegewezen1 subnet |
|---|---|---|
| Compute | Virtuele machines: Linux of Windows Virtuele-machineschaalsets Cloudservice:alleen virtueel netwerk (klassiek) Azure Batch |
Nee Nee Nee Nr.2 |
| Netwerk | Application Gateway - WAF VPN Gateway Azure Firewall Azure Bastion Virtuele netwerkapparaten |
Ja Ja Ja Ja Nee |
| Gegevens | RedisCache Azure SQL Managed Instance |
Ja Ja |
| Analyse | Azure HDInsight Azure Databricks |
Nr.2 Nr.2 |
| Identiteit | Azure Active Directory Domain Services | Nee |
| Containers | Azure Kubernetes Service (AKS) Azure Container Instance (ACI) Azure Container Service Engine met Azure Virtual Network CNI-in plug-in Azure Functions |
Nr.2 Ja Nee Ja |
| Web | API Management Web-apps App Service-omgeving Azure Logic Apps |
Ja Ja Ja Ja |
| Gehost | Azure Dedicated HSM Azure NetApp Files |
Ja Ja |
| Azure Spring Cloud | Implementeren in een virtueel Azure-netwerk (VNet-injectie) |
Ja |
1 Toegewezen impliceert dat alleen servicespecifieke resources in dit subnet kunnen worden geïmplementeerd en niet kunnen worden gecombineerd met klant-VM's/VMSS's
2 Het wordt aanbevolen om best practice services in een toegewezen subnet te hebben, maar geen verplichte vereiste die door de service is opgelegd.