Veelgestelde vragen over virtuele Azure-netwerken (FAQ)
Virtual Network basisprincipes
Wat is een Azure Virtual Network (VNet)?
Een Azure Virtual Network (VNet) is een weergave van uw eigen netwerk in de cloud. Het is een logische isolatie van de Azure-cloud die is toegewezen aan uw abonnement. U kunt VNets gebruiken voor het inrichten en beheren van virtuele particuliere netwerken (VPN's) in Azure en de VNets desgewenst koppelen aan andere VNets in Azure, of met uw on-premises IT-infrastructuur om hybride of cross-premises oplossingen te maken. Elk VNet dat u maakt, heeft een eigen CIDR-blok en kan worden gekoppeld aan andere VNets en on-premises netwerken, zolang de CIDR-blokken elkaar niet overlappen. U hebt ook controle over de DNS-serverinstellingen voor VNets en de segmentatie van het VNet in subnetten.
Gebruik VNets voor het volgende:
Maak een toegewezen VNet met alleen een privécloud. Soms hebt u geen cross-premises configuratie nodig voor uw oplossing. Wanneer u een VNet maakt, kunnen uw services en VM's binnen uw VNet rechtstreeks en veilig met elkaar communiceren in de cloud. U kunt nog steeds eindpuntverbindingen configureren voor de VM's en services waarvoor internetcommunicatie is vereist, als onderdeel van uw oplossing.
Breid uw datacenter veilig uit. Met VNets kunt u traditionele site-naar-site-VPN's (S2S) bouwen om de capaciteit van uw datacenter veilig te schalen. S2S-VPN's gebruiken IPSEC om een beveiligde verbinding te bieden tussen uw zakelijke VPN-gateway en Azure.
Scenario's voor hybride cloud inschakelen. VNets bieden u de flexibiliteit om verschillende hybride cloudscenario's te ondersteunen. U kunt cloudtoepassingen veilig verbinden met elk type on-premises systeem, zoals mainframes en Unix-systemen.
Hoe ga ik aan de slag?
Ga naar de documentatie voor virtueel netwerk om aan de slag te gaan. Deze inhoud biedt overzichts- en implementatie-informatie voor alle VNet-functies.
Kan ik VNets gebruiken zonder cross-premises connectiviteit?
Ja. U kunt een VNet gebruiken zonder verbinding te maken met uw locatie. U kunt bijvoorbeeld Microsoft-domeincontrollers Windows Server Active Directory en SharePoint-farms alleen uitvoeren in een Azure-VNet.
Kan ik WAN-optimalisatie uitvoeren tussen VNets of een VNet en mijn on-premises datacenter?
Ja. U kunt een virtueel WAN-optimalisatienetwerkapparaat van verschillende leveranciers implementeren via de Azure Marketplace.
Configuratie
Welke hulpprogramma's gebruik ik om een VNet te maken?
U kunt de volgende hulpprogramma's gebruiken om een VNet te maken of te configureren:
- Azure Portal
- PowerShell
- Azure CLI
- Een netwerkconfiguratiebestand (alleen voor klassieke VNets). Zie het artikel Configure a VNet using a network configuration file (Een VNet configureren met een netwerkconfiguratiebestand).
Welke adresbereiken kan ik gebruiken in mijn VNets?
U wordt aangeraden de adresbereiken te gebruiken die zijn geïndeereerd in RFC 1918, die door de IETF zijn gereserveerd voor privé- en niet-routeerbare adresruimten:
- 10.0.0.0 - 10.255.255.255 (voorvoegsel 10/8)
- 172.16.0.0 - 172.31.255.255 (voorvoegsel 172.16/12)
- 192.168.0.0 - 192.168.255.255 (voorvoegsel 192.168/16)
Andere adresruimten kunnen werken, maar kunnen ongewenste neveneffecten hebben.
Bovendien kunt u de volgende adresbereiken niet toevoegen:
- 224.0.0.0/4 (Multicast)
- 255.255.255.255/32 (broadcast)
- 127.0.0.0/8 (Loopback)
- 169.254.0.0/16 (link-local)
- 168.63.129.16/32 (interne DNS)
Kan ik openbare IP-adressen in mijn VNets hebben?
Ja. Zie Een virtueel netwerk maken voor meer informatie over openbare IP-adresbereiken. Openbare IP-adressen zijn niet rechtstreeks toegankelijk vanaf internet.
Is er een limiet voor het aantal subnetten in mijn VNet?
Ja. Zie Azure-limieten voor meer informatie. Subnetadresruimten mogen elkaar niet overlappen.
Zijn er beperkingen voor het gebruik van IP-adressen binnen deze subnetten?
Ja. In Azure worden vijf IP-adressen gereserveerd in elk subnet. Dit zijn x.x.x.0-x.x.x.3 en het laatste adres van het subnet. x.x.x.1-x.x.x.3 is in elk subnet gereserveerd voor Azure-services.
- x.x.x.0: Netwerkadres
- x.x.x.1: Gereserveerd door Azure voor de standaardgateway
- x.x.x.2, x.x.x.3: gereserveerd door Azure om de Azure DNS-VIP's toe te Azure DNS de VNet-ruimte
- x.x.x.255: netwerkuitzendingsadres voor subnetten met een grootte van /25 en groter. Dit is een ander adres in kleinere subnetten.
Hoe klein en hoe groot kunnen VNets en subnetten zijn?
Het kleinste ondersteunde IPv4-subnet is /29 en het grootste is /2 (met behulp van CIDR-subnetdefinities). IPv6-subnetten moeten exact /64 groot zijn.
Kan ik mijn VLAN's naar Azure brengen met behulp van VNets?
Nee. VNets zijn laag-3-overlays. Azure biedt geen ondersteuning voor Layer-2-semantiek.
Kan ik aangepast routeringsbeleid opgeven in mijn VNet's en subnetten?
Ja. U kunt een routetabel maken en deze koppelen aan een subnet. Zie Routeringsoverzicht voor meer informatie over routering in Azure.
Ondersteunen VNets multicast of broadcast?
Nee. Multicast en broadcast worden niet ondersteund.
Welke protocollen kan ik in VNets gebruiken?
U kunt TCP-, UDP- en ICMP TCP/IP-protocollen gebruiken in VNets. Unicast wordt ondersteund in VNets, met uitzondering van DHCP (Dynamic Host Configuration Protocol) via Unicast (bronpoort UDP/68 of doelpoort UDP/67) en UDP-bronpoort 65330, die is gereserveerd voor de host. Multicast-, broadcast-, IP-in-IP-ingekapselde pakketten en GRE-pakketten (General Routing Encapsulation) worden geblokkeerd in VNets.
Kan ik mijn standaardrouters binnen een VNet pingen?
Nee.
Kan ik tracert gebruiken om verbinding te diagnosticeren?
Nee.
Kan ik subnetten toevoegen nadat het VNet is gemaakt?
Ja. Subnetten kunnen op elk moment aan VNets worden toegevoegd, zolang het adresbereik van het subnet geen deel uitmaakt van een ander subnet en er ruimte overblijft in het adresbereik van het virtuele netwerk.
Kan ik de grootte van mijn subnet wijzigen nadat ik het heb gemaakt?
Ja. U kunt een subnet toevoegen, verwijderen, uitbreiden of verkleinen als hierin geen VM's of services zijn geïmplementeerd.
Kan ik VNet wijzigen nadat ik ze heb gemaakt?
Ja. U kunt de CIDR-blokken die door een VNet worden gebruikt, toevoegen, verwijderen en wijzigen.
Kan ik verbinding maken met internet als ik mijn services in een VNet gebruik?
Ja. Alle services die in een VNet zijn geïmplementeerd, kunnen uitgaand verbinding maken met internet. Zie Uitgaande verbindingen voor meer informatie over uitgaande internetverbindingen in Azure. Als u binnenkomende verbinding wilt maken met een resource die is geïmplementeerd via Resource Manager, moet aan de resource een openbaar IP-adres zijn toegewezen. Zie Openbare IP-adressen voor meer informatie over openbare IP-adressen. Aan elke Azure-cloudservice die in Azure is geïmplementeerd, is een openbaar adresseerbaar VIP toegewezen. U definieert invoer-eindpunten voor PaaS-rollen en -eindpunten voor virtuele machines zodat deze services verbindingen van internet kunnen accepteren.
Ondersteunen VNets IPv6?
Ja, VNets kunnen alleen IPv4 of dubbele stack (IPv4+IPv6) zijn. Zie Overview of IPv6 for Azure Virtual Networks (Overzicht van IPv6 voor virtuele Azure-netwerken) voor meer informatie.
Kan een VNet regio's overspannen?
Nee. Een VNet is beperkt tot één regio. Een virtueel netwerk omvat echter beschikbaarheidszones. Zie Overzicht van beschikbaarheidszones voor meer informatie over beschikbaarheidszones. U kunt virtuele netwerken in verschillende regio's verbinden met peering voor virtuele netwerken. Zie Overzicht van peering voor virtuele netwerken voor meer informatie
Kan ik een VNet verbinden met een ander VNet in Azure?
Ja. U kunt het ene VNet verbinden met een ander VNet met behulp van:
- Peering voor virtuele netwerken: zie Overzicht van VNet-peering voor meer informatie
- Een Azure VPN Gateway: zie Een VNet-naar-VNet-verbinding configurerenvoor meer informatie.
Naamresolutie (DNS)
Wat zijn mijn DNS-opties voor VNets?
Gebruik de beslissingstabel op de pagina Naamom oplossing voor VM's en rol-exemplaren om u door alle beschikbare DNS-opties te leiden.
Kan ik DNS-servers opgeven voor een VNet?
Ja. U kunt IP-adressen van de DNS-server opgeven in de VNet-instellingen. De instelling wordt toegepast als de standaard-DNS-server(s) voor alle VM's in het VNet.
Hoeveel DNS-servers kan ik opgeven?
Verwijzen naar Azure-limieten.
Kan ik mijn DNS-servers wijzigen nadat ik het netwerk heb gemaakt?
Ja. U kunt de LIJST met DNS-servers voor uw VNet op elk moment wijzigen. Als u de lijst met DNS-servers wijzigt, moet u een DHCP-leasevernieuwing uitvoeren op alle betrokken VM's in het VNet, om de nieuwe DNS-instellingen van kracht te laten worden. Voor VM's Windows besturingssysteem kunt u dit doen door rechtstreeks ipconfig /renew op de VM te typen. Raadpleeg voor andere typen besturingssystemen de documentatie over dhcp-leasevernieuwing voor het specifieke type besturingssysteem.
Wat is door Azure geleverde DNS en werkt het met VNets?
Door Azure geleverde DNS is een multi-tenant DNS-service die wordt aangeboden door Microsoft. Azure registreert al uw VM's en cloudservicerol-exemplaren in deze service. Deze service biedt naamom oplossing per hostnaam voor VM's en rolexemens in dezelfde cloudservice en door FQDN voor VM's en rolexemens in hetzelfde VNet. Zie Naamom resolutie voor VM's enCloud Services rol instances voor meer informatie over DNS.
Er geldt een beperking voor de eerste 100 cloudservices in een VNet voor naamresolutie tussen tenants met behulp van door Azure geleverde DNS. Als u uw eigen DNS-server gebruikt, is deze beperking niet van toepassing.
Kan ik mijn DNS-instellingen per VM of cloudservice overschrijven?
Ja. U kunt DNS-servers per VM of cloudservice instellen om de standaardnetwerkinstellingen te overschrijven. Het wordt echter aanbevolen om zoveel mogelijk netwerkbrede DNS te gebruiken.
Kan ik mijn eigen DNS-achtervoegsel gebruiken?
Nee. U kunt geen aangepast DNS-achtervoegsel voor uw VNets opgeven.
Virtuele machines verbinden
Kan ik VM's implementeren in een VNet?
Ja. Alle netwerkinterfaces (NIC's) die zijn gekoppeld aan een VM die is geïmplementeerd via het Resource Manager implementatiemodel, moeten zijn verbonden met een VNet. VM's die zijn geïmplementeerd via het klassieke implementatiemodel, kunnen eventueel worden verbonden met een VNet.
Wat zijn de verschillende typen IP-adressen die ik aan VM's kan toewijzen?
Privé: Toegewezen aan elke NIC binnen elke VM. Het adres wordt toegewezen met behulp van de statische of dynamische methode. Privé-IP-adressen worden toegewezen vanuit het bereik dat u hebt opgegeven in de subnetinstellingen van uw VNet. Resources die zijn geïmplementeerd via het klassieke implementatiemodel, krijgen privé-IP-adressen toegewezen, zelfs als ze niet zijn verbonden met een VNet. Het gedrag van de toewijzingsmethode is afhankelijk van of een resource is geïmplementeerd met het Resource Manager of het klassieke implementatiemodel:
- Resource Manager: een privé-IP-adres dat is toegewezen met de dynamische of statische methode blijft toegewezen aan een virtuele machine (Resource Manager) totdat de resource wordt verwijderd. Het verschil is dat u het adres selecteert dat u wilt toewijzen wanneer u statisch gebruikt, en dat Azure kiest wanneer u dynamisch gebruikt.
- Klassiek: een privé-IP-adres dat is toegewezen met de dynamische methode kan worden gewijzigd wanneer een virtuele machine (klassiek) opnieuw wordt opgestart nadat deze de status Gestopt (toewijzing is niet meer toegewezen). Als u ervoor wilt zorgen dat het privé-IP-adres voor een resource die is geïmplementeerd via het klassieke implementatiemodel nooit verandert, wijst u een privé-IP-adres toe met de statische methode.
Openbare: Optioneel toegewezen aan NIC's die zijn gekoppeld aan VM's die zijn geïmplementeerd via Azure Resource Manager implementatiemodel. Het adres kan worden toegewezen met de statische of dynamische toewijzingsmethode. Alle virtuele machines en Cloud Services die zijn geïmplementeerd via het klassieke implementatiemodel, bestaan binnen een cloudservice, waaraan een dynamisch VIP-adres (openbaar virtueel IP-adres) is toegewezen. Een openbaar statisch IP-adres, een Gereserveerd IP adres,kan eventueel worden toegewezen als VIP. U kunt openbare IP-adressen toewijzen aan afzonderlijke VM's of Cloud Services rollen die zijn geïmplementeerd via het klassieke implementatiemodel. Deze adressen worden openbare IP-adressen (ILPIP) op exemplaarniveau genoemd en kunnen dynamisch worden toegewezen.
Kan ik een privé-IP-adres reserveren voor een VM die ik op een later tijdstip maak?
Nee. U kunt geen privé-IP-adres reserveren. Als er een privé-IP-adres beschikbaar is, wordt dit door de DHCP-server toegewezen aan een VM of rol-exemplaar. De VM kan al dan niet het adres zijn aan wie u het privé-IP-adres wilt toegewezen. U kunt echter het privé-IP-adres van een al gemaakte VM wijzigen in elk beschikbaar privé-IP-adres.
Veranderen privé-IP-adressen voor VM's in een VNet?
Dat hangt ervan af. Als de VM is geïmplementeerd via Resource Manager, nee, ongeacht of het IP-adres is toegewezen met de statische of dynamische toewijzingsmethode. Als de VM is geïmplementeerd via het klassieke implementatiemodel, kunnen dynamische IP-adressen worden gewijzigd wanneer een VM wordt gestart nadat deze is gestopt (toewijzing is verwijderd). Het adres wordt vrijgegeven van een VM die via een van beide implementatiemodellen is geïmplementeerd wanneer de VM wordt verwijderd.
Kan ik handmatig IP-adressen toewijzen aan NIC's binnen het VM-besturingssysteem?
Ja, maar dit wordt niet aanbevolen, tenzij dit nodig is, bijvoorbeeld wanneer u meerdere IP-adressen toewijst aan een virtuele machine. Zie Meerdere IP-adressen toevoegenaan een virtuele machine voor meer informatie. Als het IP-adres dat is toegewezen aan een Azure-NIC die is gekoppeld aan een VM wordt gewijzigd en het IP-adres in het besturingssysteem van de VM anders is, verliest u de verbinding met de VM.
Wat gebeurt er met mijn IP-adressen als ik een cloudservice-implementatiesleuf stop of een VM afsluit vanuit het besturingssysteem?
Niets. De IP-adressen (openbaar VIP, openbaar en privé) blijven toegewezen aan de implementatiesleuf of VM van de cloudservice.
Kan ik VM's van het ene subnet naar een ander subnet in een VNet verplaatsen zonder opnieuw te worden geployed?
Ja. Meer informatie vindt u in het artikel Een VM of rol exemplaar verplaatsen naar een ander subnet.
Kan ik een statisch MAC-adres configureren voor mijn VM?
Nee. Een MAC-adres kan niet statisch worden geconfigureerd.
Blijft het MAC-adres hetzelfde voor mijn VM nadat het is gemaakt?
Ja, het MAC-adres blijft hetzelfde voor een VM die is geïmplementeerd via zowel het Resource Manager als het klassieke implementatiemodel totdat het wordt verwijderd. Voorheen werd het MAC-adres vrijgegeven als de VM was gestopt (de toewijzing werd niet toegewezen), maar nu blijft het MAC-adres behouden, zelfs wanneer de VM de status Toewijzing is van de VM is toegewezen. Het MAC-adres blijft toegewezen aan de netwerkinterface totdat de netwerkinterface wordt verwijderd of het privé-IP-adres dat is toegewezen aan de primaire IP-configuratie van de primaire netwerkinterface wordt gewijzigd.
Kan ik verbinding maken met internet vanaf een VM in een VNet?
Ja. Alle VM's en Cloud Services die in een VNet zijn geïmplementeerd, kunnen verbinding maken met internet.
Azure-services die verbinding maken met VNets
Kan ik Azure App Service Web Apps gebruiken met een VNet?
Ja. U kunt Web Apps implementeren in een VNet met behulp van een ASE (App Service Environment), de back-end van uw apps verbinden met uw VNets met VNet-integratie en het inkomende verkeer naar uw app vergrendelen met service-eindpunten. Raadpleeg voor meer informatie de volgende artikelen:
- App Service netwerkfuncties
- Een Web Apps maken in een App Service Environment
- Een app integreren met een virtueel Azure-netwerk
- App Service toegangsbeperkingen
Kan ik Cloud Services web- en werkrollen (PaaS) implementeren in een VNet?
Ja. U kunt (optioneel) Cloud Services in VNets implementeren. U doet dit door de VNet-naam en de rol-/subnettoewijzingen op te geven in de sectie Netwerkconfiguratie van uw serviceconfiguratie. U hoeft geen binaire bestanden bij te werken.
Kan ik een virtuele-machineschaalset verbinden met een VNet?
Ja. U moet een virtuele-machineschaalset verbinden met een VNet.
Is er een volledige lijst met Azure-services waar ik resources van in een VNet kan implementeren?
Ja, zie Integratie van virtueel netwerk voor Azure-services voor meer informatie.
Hoe kan ik de toegang tot Azure PaaS-resources vanuit een VNet beperken?
Resources die zijn geïmplementeerd via sommige Azure PaaS-services (zoals Azure Storage en Azure SQL Database), kunnen de netwerktoegang tot VNet beperken door gebruik te maken van service-eindpunten voor virtuele netwerken of Azure Private Link. Zie Overzicht van service-eindpunten voor virtuele netwerken enoverzicht van Azure Private Link voor meer informatie
Kan ik mijn services van en naar VNets verplaatsen?
Nee. U kunt geen services van en naar VNets verplaatsen. Als u een resource naar een ander VNet wilt verplaatsen, moet u de resource verwijderen en opnieuwployeren.
Beveiliging
Wat is het beveiligingsmodel voor VNets?
VNets zijn van elkaar geïsoleerd en andere services die worden gehost in de Azure-infrastructuur. Een VNet is een vertrouwensgrens.
Kan ik de binnenkomende of uitgaande verkeersstroom beperken tot met VNet verbonden resources?
Ja. U kunt netwerkbeveiligingsgroepen toepassen op afzonderlijke subnetten binnen een VNet, NIC's die zijn gekoppeld aan een VNet of beide.
Kan ik een firewall implementeren tussen met VNet verbonden resources?
Ja. U kunt een virtueel firewallnetwerkapparaat van verschillende leveranciers implementeren via de Azure Marketplace.
Is er informatie beschikbaar over het beveiligen van VNets?
Ja. Zie Azure Network Beveiligingsoverzicht voor meer informatie.
Slaan virtuele netwerken klantgegevens op?
Nee. Virtuele netwerken slaan geen klantgegevens op.
Kan ik de eigenschap FlowTimeoutInMinutes instellen voor een volledig abonnement?
Nee. Dit moet worden ingesteld in het virtuele netwerk. Het volgende kan helpen bij het automatiseren van het instellen van deze eigenschap voor grotere abonnementen:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API's, schema's en hulpprogramma's
Kan ik VNets beheren vanuit code?
Ja. U kunt REST API's voor VNets gebruiken in de Azure Resource Manager en klassieke implementatiemodellen.
Is er ondersteuning voor hulpprogramma's voor VNets?
Ja. Meer informatie over het gebruik van:
- De Azure Portal VNets te implementeren via de Azure Resource Manager en klassieke implementatiemodellen.
- PowerShell voor het beheren van VNets die zijn geïmplementeerd via Resource Manager en klassieke implementatiemodellen.
- De Azure-opdrachtregelinterface (CLI) voor het implementeren en beheren van VNets die zijn geïmplementeerd via de Resource Manager en klassieke implementatiemodellen.
VNet-peering
Wat is VNet-peering?
Met VNet-peering (of peering voor virtuele netwerken) kunt u virtuele netwerken verbinden. Met een VNet-peeringverbinding tussen virtuele netwerken kunt u het verkeer ertussen privé via IPv4-adressen doorverleggen. Virtuele machines in de peered VNets kunnen met elkaar communiceren alsof ze zich in hetzelfde netwerk. Deze virtuele netwerken kunnen zich in dezelfde regio of in verschillende regio's (ook wel globale VNet-peering genoemd) zijn. VNet-peeringverbindingen kunnen ook worden gemaakt in Azure-abonnementen.
Kan ik een peeringverbinding maken met een VNet in een andere regio?
Ja. Met wereldwijde VNet-peering kunt u VNets in verschillende regio's peeren. Wereldwijde VNet-peering is beschikbaar in alle openbare Azure-regio's, china-cloudregio's en overheidscloudregio's. U kunt niet wereldwijd peeren van openbare Azure-regio's naar nationale cloudregio's.
Wat zijn de beperkingen met betrekking tot wereldwijde VNet-peering en load balancers?
Als de twee virtuele netwerken in twee verschillende regio's via wereldwijde VNet-peering zijn verbonden, kunt u geen verbinding maken met resources die zich achter een Basic-Load Balancer via het front-end-IP-adres van de Load Balancer. Deze beperking bestaat niet voor een Standard Load Balancer. De volgende resources kunnen Basic Load Balancers gebruiken, wat betekent dat u ze niet kunt bereiken via het front-end-IP-adres van de Load Balancer via globale VNet-peering. U kunt echter globale VNet-peering gebruiken om de resources rechtstreeks te bereiken via hun privé-VNet-IP's, indien toegestaan.
- VM's achter Basic Load Balancers
- Virtuele-machineschaalsets met Basic Load Balancers
- Redis Cache
- Application Gateway (v1) SKU
- Service Fabric
- API Management (stv1)
- Active Directory-domein Service (ADDS)
- Logic Apps
- HDInsight
- Azure Batch
- App Service-omgeving
U kunt verbinding maken met deze resources via ExpressRoute of VNet-naar-VNet via VNet-gateways.
Kan ik VNet-peering inschakelen als mijn virtuele netwerken deel uitmaken van abonnementen binnen Azure Active Directory tenants?
Ja. Het is mogelijk om VNet-peering (lokaal of globaal) tot stand te brengen als uw abonnementen tot verschillende tenants Azure Active Directory behoren. U kunt dit doen via portal, PowerShell of CLI.
Mijn VNet-peeringverbinding heeft de status Gestart. Waarom kan ik geen verbinding maken?
Als uw peeringverbinding de status Gestart heeft, betekent dit dat u slechts één koppeling hebt gemaakt. Er moet een tweerichtingskoppeling worden gemaakt om een verbinding tot stand te brengen. Als u bijvoorbeeld VNet A wilt koppelen aan VNet B, moet er een koppeling worden gemaakt van VNetA naar VNetB en van VNetB naar VNetA. Als u beide koppelingen maakt, wordt de status gewijzigd in Verbonden.
Mijn VNet-peeringverbinding heeft de status Verbroken. Waarom kan ik geen peeringverbinding maken?
Als uw VNet-peeringverbinding de status Verbroken heeft, betekent dit dat een van de gemaakte koppelingen is verwijderd. Als u een peeringverbinding opnieuw tot stand wilt brengen, moet u de koppeling verwijderen en opnieuw maken.
Kan ik mijn VNet peeren met een VNet in een ander abonnement?
Ja. U kunt VNets peeren tussen abonnementen en tussen regio's.
Kan ik twee VNets koppelen aan overeenkomende of overlappende adresbereiken?
Nee. Adresruimten mogen niet overlappen om VNet-peering in te kunnenschakelen.
Kan ik een VNet aan twee verschillende VNets peeren met de optie Externe gateway gebruiken ingeschakeld op beide peerings?
Nee. U kunt de optie Externe gateway gebruiken alleen inschakelen voor één peering naar een van de VNets.
Wat kost VNet-peeringkoppelingen?
Er worden geen kosten in rekening brengen voor het maken van een VNet-peeringverbinding. Gegevensoverdracht tussen peeringverbindingen wordt in rekening gebracht. Kijk hier.
Is VNet-peeringverkeer versleuteld?
Wanneer Azure-verkeer wordt verplaatst tussen datacenters (buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft), wordt MACsec-gegevenskoppelingslaagversleuteling gebruikt op de onderliggende netwerkhardware. Dit is van toepassing op VNet-peeringverkeer.
Waarom heeft mijn peeringverbinding de status Verbroken?
VNet-peeringverbindingen hebben de status Verbroken wanneer één VNet-peeringkoppeling wordt verwijderd. U moet beide koppelingen verwijderen om een geslaagde peeringverbinding tot stand te brengen.
Als ik VNetA aan VNetB peer en ik VNetB peer met VNetC, betekent dit dan dat VNetA en VNetC zijn peered?
Nee. Transitieve peering wordt niet ondersteund. U moet VNetA en VNetC peeren om dit te laten plaatsvinden.
Zijn er bandbreedtebeperkingen voor peeringverbindingen?
Nee. VNet-peering, lokaal of wereldwijd, legt geen bandbreedtebeperkingen op. Bandbreedte wordt alleen beperkt door de VM of de rekenresource.
Hoe kan ik problemen met VNet-peering oplossen?
Hier vindt u een gids voor probleemoplossers die u kunt proberen.
Virtual Network TAP
Welke Azure-regio's zijn beschikbaar voor TAP voor virtuele netwerken?
Tap-preview van virtueel netwerk is beschikbaar in alle Azure-regio's. De bewaakte netwerkinterfaces, de TAP-resource van het virtuele netwerk en de collector- of analyseoplossing moeten in dezelfde regio worden geïmplementeerd.
Ondersteunt Virtual Network TAP filtermogelijkheden op de gespiegelde pakketten?
Filtermogelijkheden worden niet ondersteund met de TAP-preview van het virtuele netwerk. Wanneer een TAP-configuratie wordt toegevoegd aan een netwerkinterface, wordt een diepe kopie van al het in- en uitverkeer op de netwerkinterface gestreamd naar de TAP-bestemming.
Kunnen er meerdere TAP-configuraties worden toegevoegd aan een bewaakte netwerkinterface?
Een bewaakte netwerkinterface kan slechts één TAP-configuratie hebben. Neem contact op met de afzonderlijke partneroplossing voor de mogelijkheid om meerdere exemplaren van het TAP-verkeer te streamen naar de analysehulpprogramma's van uw keuze.
Kan hetzelfde virtuele netwerk TAP-resource verkeer van bewaakte netwerkinterfaces in meer dan één virtueel netwerk samenvoegen?
Ja. Dezelfde TAP-resource voor het virtuele netwerk kan worden gebruikt voor het samenvoegen van gespiegeld verkeer van bewaakte netwerkinterfaces in virtuele peernetwerken in hetzelfde abonnement of een ander abonnement. De TAP-resource van het virtuele netwerk en de doel-load balancer of doelnetwerkinterface moeten zich in hetzelfde abonnement. Alle abonnementen moeten onder dezelfde tenant Azure Active Directory vallen.
Zijn er prestatieoverwegingen voor productieverkeer als ik een TAP-configuratie voor een virtueel netwerk in een netwerkinterface inschakelen?
Virtual Network TAP is in preview. Tijdens de preview is er geen service level agreement. De mogelijkheid mag niet worden gebruikt voor productieworkloads. Wanneer een netwerkinterface van een virtuele machine is ingeschakeld met een TAP-configuratie, worden dezelfde resources op de Azure-host die zijn toegewezen aan de virtuele machine voor het verzenden van het productieverkeer gebruikt om de mirroring-functie uit te voeren en de gespiegelde pakketten te verzenden. Selecteer de juiste linux- of Windows virtuele machine om ervoor te zorgen dat er voldoende resources beschikbaar zijn voor de virtuele machine om het productieverkeer en het gespiegelde verkeer te verzenden.
Wordt versneld netwerken voor Linux of Windows ondersteund met VIRTUAL Network TAP?
U kunt een TAP-configuratie toevoegen op een netwerkinterface die is gekoppeld aan een virtuele machine die is ingeschakeld met versneld netwerken. Maar de prestaties en latentie op de virtuele machine worden beïnvloed door het toevoegen van TAP-configuratie, omdat de offload voor mirroring-verkeer momenteel niet wordt ondersteund door versneld netwerken van Azure.
Service-eindpunten voor virtueel netwerk
Wat is de juiste volgorde van bewerkingen voor het instellen van service-eindpunten voor een Azure-service?
Er zijn twee stappen voor het beveiligen van een Azure-serviceresource via service-eindpunten:
- Schakel service-eindpunten in voor de Azure-service.
- VNet-ACL's instellen in de Azure-service.
De eerste stap is een bewerking aan de netwerkzijde en de tweede stap is een bewerking aan de servicezijde. Beide stappen kunnen worden uitgevoerd door dezelfde beheerder of verschillende beheerders op basis van de Azure RBAC-machtigingen die aan de beheerdersrol zijn verleend. We raden u aan om eerst service-eindpunten in te stellen voor uw virtuele netwerk voordat u VNet-ACL's in de Azure-service instelt. Daarom moeten de stappen worden uitgevoerd in de hierboven vermelde volgorde om VNet-service-eindpunten in te stellen.
Notitie
Beide bewerkingen die hierboven worden beschreven, moeten worden voltooid voordat u de toegang van de Azure-service tot het toegestane VNet en subnet kunt beperken. Alleen het in-/uitschakelen van service-eindpunten voor de Azure-service aan de netwerkzijde biedt u niet de beperkte toegang. Daarnaast moet u ook VNet-ACL's instellen aan de kant van de Azure-service.
Bepaalde services (zoals SQL en CosmosDB) staan uitzonderingen op de bovenstaande reeks toe via de vlag IgnoreMissingVnetServiceEndpoint. Zodra de vlag is ingesteld op Waar, kunnen VNet-ACL's worden ingesteld aan de zijde van de Azure-service voordat de service-eindpunten aan de netwerkzijde worden ingesteld. Azure-services bieden deze vlag om klanten te helpen in gevallen waarin de specifieke IP-firewalls zijn geconfigureerd op Azure-services en het in-/uitschakelen van de service-eindpunten aan de netwerkzijde kan leiden tot een connectiviteitsuitval omdat het bron-IP-adres verandert van een openbaar IPv4-adres naar een privéadres. Het instellen van VNet-ACL's aan de kant van de Azure-service voordat u service-eindpunten aan de netwerkzijde instelt, kan helpen een connectiviteitsuitval te voorkomen.
Bevinden alle Azure-services zich in het virtuele Azure-netwerk dat door de klant wordt geleverd? Hoe werkt het VNet-service-eindpunt met Azure-services?
Nee, niet alle Azure-services bevinden zich in het virtuele netwerk van de klant. De meeste Azure-gegevensservices, zoals Azure Storage, Azure SQL en Azure Cosmos DB, zijn services met meerdere tenants die toegankelijk zijn via openbare IP-adressen. Meer informatie over integratie van virtuele netwerken voor Azure-services vindt u hier.
Wanneer u de functie VNet-service-eindpunten gebruikt (VNet-service-eindpunten aan de netwerkzijde in te stellen en de juiste VNet-ACL's in te stellen aan de Azure-servicezijde), wordt de toegang tot een Azure-service beperkt tot een toegestaan VNet en subnet.
Hoe biedt het VNet-service-eindpunt beveiliging?
De VNet-service-eindpuntfunctie (VNet-service-eindpunt in-/uitschakelen aan de netwerkzijde en het instellen van de juiste VNet-ACL's aan de Azure-servicezijde) beperkt de toegang van de Azure-service tot het toegestane VNet en subnet, waardoor het netwerkniveau wordt beveiliging en isolatie van het Azure-serviceverkeer. Al het verkeer dat gebruik maakt van VNet-service-eindpunten, loopt via de Microsoft-backbone, waardoor er een andere isolatielaag van het openbare internet mogelijk is. Bovendien kunnen klanten ervoor kiezen om de openbare internettoegang tot de Azure-serviceresources volledig te verwijderen en alleen verkeer van hun virtuele netwerk toe te staan via een combinatie van IP-firewall- en VNet-ACL's, waardoor de Azure-serviceresources worden beschermd tegen onbevoegde toegang.
Wat biedt het VNet-service-eindpunt bescherming: VNet-resources of Azure-service?
VNet-service-eindpunten helpen bij het beveiligen van Azure-service-resources. VNet-resources worden beveiligd via netwerkbeveiligingsgroepen (NSG's).
Zijn er kosten voor het gebruik van VNet-service-eindpunten?
Nee, er zijn geen extra kosten voor het gebruik van VNet-service-eindpunten.
Kan ik VNet-service-eindpunten in- en instellen als het virtuele netwerk en de Azure-servicebronnen tot verschillende abonnementen behoren?
Ja, dat is mogelijk. Virtuele netwerken en Azure-servicebronnen kunnen zich in hetzelfde abonnement of in verschillende abonnementen hebben. De enige vereiste is dat zowel het virtuele netwerk als de Azure-serviceresources onder dezelfde Active Directory-tenant (AD) moeten vallen.
Kan ik VNet-service-eindpunten in- en instellen als het virtuele netwerk en de Azure-servicebronnen tot verschillende AD-tenants behoren?
Ja, het is mogelijk bij het gebruik van service-eindpunten voor Azure Storage en Azure Key Vault. Voor de rest van de services worden VNet-service-eindpunten en VNet-ACL's niet ondersteund in AD-tenants.
Kan het IP-adres van een on-premises apparaat dat is verbonden via Azure Virtual Network-gateway (VPN) of ExpressRoute-gateway toegang krijgen tot Azure PaaS Service via VNet-service-eindpunten?
Standaard zijn Azure-serviceresources die zijn beveiligd naar virtuele netwerken, niet bereikbaar vanaf on-premises netwerken. Als u verkeer van on-premises wilt toestaan, moet u ook openbare (meestal NAT) IP-adressen van uw on-premises of ExpressRoute toestaan. Deze IP-adressen kunnen worden toegevoegd via de IP-firewallconfiguratie voor de Azure-servicebronnen.
Kan ik de functie VNet-service-eindpunt gebruiken om de Azure-service te beveiligen naar meerdere subnetten binnen een virtueel netwerk of in meerdere virtuele netwerken?
Als u Azure-services wilt beveiligen naar meerdere subnetten binnen een virtueel netwerk of in meerdere virtuele netwerken, moet u service-eindpunten aan de netwerkzijde aan elk van de subnetten onafhankelijk inschakelen en vervolgens Azure-servicebronnen beveiligen voor alle subnetten door de juiste VNet-ACL's in te stellen aan de azure-servicezijde.
Hoe kan ik uitgaand verkeer van een virtueel netwerk naar Azure-services filteren en nog steeds service-eindpunten gebruiken?
Als u het verkeer dat is bestemd voor een Azure-service vanaf het virtuele netwerk, wilt controleren of filteren, kunt u een virtueel netwerkapparaat implementeren binnen het virtuele netwerk. Vervolgens kunt u service-eindpunten toepassen op het subnet waar het virtuele netwerkapparaat is geïmplementeerd en Azure-servicebronnen alleen op dit subnet beveiligen via VNet-ACL's. Dit scenario kan ook nuttig zijn als u de toegang tot de Azure-service vanuit uw virtuele netwerk wilt beperken tot specifieke Azure-resources met behulp van filteren op virtuele apparaten op het netwerk. Zie Egress with network virtual appliances (Uitgaand verkeer met virtueel-netwerkapparaten) voor meer informatie.
Wat gebeurt er wanneer u toegang hebt tot een Azure-serviceaccount waarvoor een toegangsbeheerlijst voor virtuele netwerken (ACL) is ingeschakeld van buiten het VNet?
De HTTP 403- of HTTP 404-fout wordt geretourneerd.
Hebben subnetten van een virtueel netwerk dat is gemaakt in verschillende regio's toegang tot een Azure-serviceaccount in een andere regio?
Ja, voor de meeste Azure-services hebben virtuele netwerken die in verschillende regio's zijn gemaakt, toegang tot Azure-services in een andere regio via de VNet-service-eindpunten. Als een account Azure Cosmos DB zich bijvoorbeeld in VS - west of VS - oost en virtuele netwerken zich in meerdere regio's Azure Cosmos DB. Storage en SQL zijn uitzonderingen en zijn regionaal van aard en zowel het virtuele netwerk als de Azure-service moeten zich in dezelfde regio hebben.
Kan een Azure-service zowel een VNet-ACL als een IP-firewall hebben?
Ja, een VNet-ACL en een IP-firewall kunnen naast elkaar bestaan. Beide functies vullen elkaar aan om isolatie en beveiliging te garanderen.
Wat gebeurt er als u een virtueel netwerk of subnet verwijdert waarvoor een service-eindpunt is ingeschakeld voor de Azure-service?
Het verwijderen van VNets en subnetten zijn onafhankelijke bewerkingen en worden ondersteund, zelfs wanneer service-eindpunten zijn ingeschakeld voor Azure-services. In gevallen waarin voor de Azure-services VNet-ACL's zijn ingesteld, wordt de VNet-ACL-informatie die aan die Azure-service is gekoppeld, voor deze VNets en subnetten uitgeschakeld wanneer een VNet of subnet waarop VNet-service-eindpunt is ingeschakeld, wordt verwijderd.
Wat gebeurt er als een Azure-serviceaccount waarvoor een VNet-service-eindpunt is ingeschakeld, wordt verwijderd?
Het verwijderen van een Azure-serviceaccount is een onafhankelijke bewerking en wordt ondersteund, zelfs wanneer het service-eindpunt is ingeschakeld aan de netwerkzijde en VNet-ACL's zijn ingesteld aan de azure-servicezijde.
Wat gebeurt er met het bron-IP-adres van een resource (zoals een virtuele machine in een subnet) waarvoor VNet-service-eindpunt is ingeschakeld?
Wanneer service-eindpunten voor virtuele netwerken zijn ingeschakeld, schakelen de bron-IP-adressen van de resources in het subnet van uw virtuele netwerk over van het gebruik van openbare IPV4-adressen naar de privé-IP-adressen van het virtuele Azure-netwerk voor verkeer naar de Azure-service. Houd er rekening mee dat dit ertoe kan leiden dat specifieke IP-firewalls die eerder op de Azure-services zijn ingesteld op een openbaar IPV4-adres, mislukken.
Heeft de route van het service-eindpunt altijd prioriteit?
Service-eindpunten voegen een systeemroute toe die voorrang heeft op BGP-routes en optimale routering biedt voor het service-eindpuntverkeer. Service-eindpunten nemen serviceverkeer altijd rechtstreeks van uw virtuele netwerk naar de service op Microsoft Azure backbone-netwerk. Zie Verkeersroutering voor virtuele Azure-netwerken voor meer informatie over hoe Azure een route selecteert.
Werken service-eindpunten met ICMP?
Nee, ICMP-verkeer dat afkomstig is van een subnet met ingeschakelde service-eindpunten, neemt niet het pad van de servicetunnel naar het gewenste eindpunt. Service-eindpunten verwerken alleen TCP-verkeer. Dit betekent dat als u de latentie of connectiviteit met een eindpunt wilt testen via service-eindpunten, hulpprogramma's zoals ping en tracert niet het werkelijke pad tonen dat de resources in het subnet zullen volgen.
Hoe werkt NSG op een subnet met service-eindpunten?
Om de Azure-service te bereiken, moeten NSG's uitgaande connectiviteit toestaan. Als uw NSG's worden geopend voor al het uitgaande internetverkeer, moet het service-eindpuntverkeer werken. U kunt het uitgaande verkeer ook beperken tot service-IP's met behulp van de servicetags.
Welke machtigingen heb ik nodig om service-eindpunten in te stellen?
Service-eindpunten kunnen onafhankelijk van elkaar in een virtueel netwerk worden geconfigureerd door een gebruiker met schrijftoegang tot het virtuele netwerk. Als u Azure-servicebronnen naar een VNet wilt beveiligen, moet de gebruiker machtiging Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action hebben voor de subnetten die worden toegevoegd. Deze machtiging is standaard opgenomen in de ingebouwde servicebeheerdersrol en kan worden gewijzigd door aangepaste rollen te maken. Meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen voor aangepaste rollen.
Kan ik verkeer van virtuele netwerken naar Azure-services filteren, zodat alleen specifieke Azure-serviceresources via VNet-service-eindpunten worden toe staan?
Met beleid voor service-eindpunten voor virtuele netwerken (VNet) kunt u verkeer van virtuele netwerken naar Azure-services filteren, waardoor alleen specifieke Azure-serviceresources via de service-eindpunten worden toegestaan. Beleidsregels voor eindpunten bieden gedetailleerd toegangsbeheer van het verkeer van het virtuele netwerk naar de Azure-services. Meer informatie over het beleid voor service-eindpunten vindt u hier.
Ondersteunt Azure Active Directory (Azure AD) VNet-service-eindpunten?
Azure Active Directory (Azure AD) biedt geen native ondersteuning voor service-eindpunten. Een volledige lijst met Azure-services die ondersteuning bieden voor VNet-service-eindpunten vindt u hier. Houd er rekening mee dat de tag Microsoft.AzureActiveDirectory die wordt vermeld onder services die service-eindpunten ondersteunen, wordt gebruikt voor het ondersteunen van service-eindpunten voor ADLS Gen 1. Voor ADLS Gen 1 maakt de integratie van virtuele netwerken voor Azure Data Lake Storage Gen1 gebruik van de service-eindpuntbeveiliging voor virtuele netwerken tussen uw virtuele netwerk en Azure Active Directory (Azure AD) om aanvullende beveiligingsclaims te genereren in het toegangs token. Deze claims worden vervolgens gebruikt om het virtuele netwerk te verifiëren bij het Data Lake Storage Gen1-account en toegang toe te staan. Meer informatie over VNet-integratie Data Lake Store Azure Data Lake Store Gen 1
Zijn er limieten voor het aantal VNet-service-eindpunten dat ik vanuit mijn VNet kan instellen?
Er is geen limiet voor het totale aantal VNet-service-eindpunten in een virtueel netwerk. Voor een Azure-serviceresource (zoals een Azure Storage-account) kunnen services limieten afdwingen voor het aantal subnetten dat wordt gebruikt voor het beveiligen van de resource. In de volgende tabel ziet u enkele voorbeeldlimieten:
| Azure-service | Limieten voor VNet-regels |
|---|---|
| Azure Storage | 100 |
| Azure SQL | 128 |
| Azure Synapse Analytics | 128 |
| Azure KeyVault | 200 |
| Azure Cosmos DB | 64 |
| Azure Event Hub | 128 |
| Azure Service Bus | 128 |
| Azure Data Lake Store V1 | 100 |
Notitie
De limieten zijn afhankelijk van wijzigingen naar keuze van de Azure-service. Raadpleeg de documentatie van de desbetreffende service voor meer informatie over de services.