Netwerktopologie en -connectiviteitNetwork topology and connectivity

In dit artikel worden de belangrijkste aandachtspunten en aanbevelingen voor netwerken en verbindingen met, van en binnen Microsoft Azure, besproken.This article examines key design considerations and recommendations surrounding networking and connectivity to, from, and within Microsoft Azure.

IP-adres Sering plannenPlan for IP addressing

Het is essentieel dat uw organisatie een planning maakt voor IP-adressen in azure om ervoor te zorgen dat IP-adres ruimte niet overlapt in lokale locaties en Azure-regio's.It's vital that your organization plans for IP addressing in Azure to ensure that IP address space doesn't overlap across on-premises locations and Azure regions.

Ontwerp overwegingen:Design considerations:

  • Door de overlappende IP-adres ruimten in on-premises en Azure-regio's zullen grote conflicten in conflict opleveren.Overlapping IP address spaces across on-premises and Azure regions will create major contention challenges.

  • U kunt adres ruimte toevoegen nadat u een virtueel netwerk hebt gemaakt.You can add address space after you create a virtual network. Dit proces vereist een storing als het virtuele netwerk al is verbonden met een ander virtueel netwerk via peering voor het virtuele netwerk, omdat de peering moet worden verwijderd en opnieuw gemaakt.This process requires an outage if the virtual network is already connected to another virtual network via virtual network peering because the peering must be deleted and re-created.

  • Azure reserveert vijf IP-adressen binnen elk subnet.Azure reserves five IP addresses within each subnet. De factor in deze adressen wanneer u de grootte van virtuele netwerken en gegroepeerde subnetten wijzigt.Factor in those addresses when you're sizing virtual networks and encompassed subnets.

  • Voor sommige Azure-Services zijn speciale subnettenvereist.Some Azure services require dedicated subnets. Deze services omvatten Azure Firewall en Azure VPN Gateway.These services include Azure Firewall and Azure VPN Gateway.

  • U kunt subnetten delegeren aan bepaalde services om exemplaren van een service binnen het subnet te maken.You can delegate subnets to certain services to create instances of a service within the subnet.

Ontwerp aanbevelingen:Design recommendations:

  • Plan voor niet-overlappende IP-adres ruimten in azure-regio's en on-premises locaties goed van tevoren.Plan for non-overlapping IP address spaces across Azure regions and on-premises locations well in advance.

  • Gebruik IP-adressen uit de adres toewijzing voor particuliere Internets (RFC 1918).Use IP addresses from the address allocation for private internets (RFC 1918).

  • Voor omgevingen met een beperkte Beschik baarheid van privé-IP-adressen (RFC 1918) kunt u overwegen om IPv6 te gebruiken.For environments that have limited availability of private IP addresses (RFC 1918), consider using IPv6.

  • Maak geen onnodig grote virtuele netwerken (bijvoorbeeld /16 ) om ervoor te zorgen dat de IP-adres ruimte niet wordt verspild.Don't create unnecessarily large virtual networks (for example, /16) to ensure that IP address space isn't wasted.

  • Maak geen virtuele netwerken zonder de vereiste adres ruimte vooraf te plannen.Don't create virtual networks without planning the required address space in advance. Het toevoegen van adres ruimte resulteert in een storing nadat een virtueel netwerk is verbonden via virtuele netwerk peering.Adding address space will cause an outage after a virtual network is connected via virtual network peering.

  • Gebruik geen open bare IP-adressen voor virtuele netwerken, met name als de open bare IP-adressen geen deel uitmaken van uw organisatie.Don't use public IP addresses for virtual networks, especially if the public IP addresses don't belong to your organization.

DNS-en naam omzetting configureren voor on-premises en Azure-resourcesConfigure DNS and name resolution for on-premises and Azure resources

Domain Name System (DNS) is een essentieel ontwerp onderwerp in de algehele architectuur op ondernemings niveau.Domain Name System (DNS) is a critical design topic in the overall enterprise-scale architecture. Sommige organisaties willen mogelijk hun bestaande investeringen in DNS gebruiken.Some organizations might want to use their existing investments in DNS. Andere kunnen Cloud acceptatie zien als een mogelijkheid om hun interne DNS-infra structuur te moderniseren en systeem eigen Azure-mogelijkheden te gebruiken.Others might see cloud adoption as an opportunity to modernize their internal DNS infrastructure and use native Azure capabilities.

Ontwerp overwegingen:Design considerations:

  • U kunt een DNS-resolver gebruiken in combi natie met Azure Privé-DNS voor de cross-premises naam omzetting.You can use a DNS resolver in conjunction with Azure Private DNS for cross-premises name resolution.

  • U moet mogelijk gebruikmaken van bestaande DNS-oplossingen in on-premises en Azure.You might require the use of existing DNS solutions across on-premises and Azure.

  • Het maximum aantal privé-DNS-zones waarmee een virtueel netwerk kan koppelen met automatische registratie, is één.The maximum number of private DNS zones to which a virtual network can link with auto-registration is one.

  • Het maximum aantal privé-DNS-zones waarmee een virtueel netwerk kan koppelen, is 1.000 zonder dat automatische registratie is ingeschakeld.The maximum number of private DNS zones to which a virtual network can link is 1,000 without auto-registration enabled.

Ontwerp aanbevelingen:Design recommendations:

  • Voor omgevingen waar naam omzetting in azure al is vereist, gebruikt u Azure Privé-DNS voor oplossing.For environments where name resolution in Azure is all that's required, use Azure Private DNS for resolution. Een gedelegeerde zone maken voor naam omzetting (zoals azure.contoso.com ).Create a delegated zone for name resolution (such as azure.contoso.com).

  • Voor omgevingen waar naam omzetting over Azure en on-premises vereist is, gebruikt u een bestaande DNS-infra structuur (bijvoorbeeld Active Directory Integrated DNS) die is geïmplementeerd op ten minste twee virtuele machines (Vm's).For environments where name resolution across Azure and on-premises is required, use existing DNS infrastructure (for example, Active Directory integrated DNS) deployed onto at least two virtual machines (VMs). Configureer DNS-instellingen in virtuele netwerken om deze DNS-servers te gebruiken.Configure DNS settings in virtual networks to use those DNS servers.

  • U kunt nog steeds een Azure Privé-DNS-zone koppelen aan de virtuele netwerken en DNS-servers gebruiken als hybride resolver met voorwaardelijk door sturen naar lokale DNS-namen, zoals onprem.contoso.com , met behulp van on-premises DNS-servers.You can still link an Azure Private DNS zone to the virtual networks and use DNS servers as hybrid resolvers with conditional forwarding to on-premises DNS names, such as onprem.contoso.com, by using on-premises DNS servers. U kunt on-premises servers met voorwaardelijke doorstuur server configureren om Vm's op te lossen in azure voor de Azure Privé-DNS-zone (bijvoorbeeld azure.contoso.com ).You can configure on-premises servers with conditional forwarders to resolver VMs in Azure for the Azure Private DNS zone (for example, azure.contoso.com).

  • Speciale werk belastingen waarvoor hun eigen DNS (zoals Red Hat open Shift) is vereist en geïmplementeerd, moeten gebruikmaken van de voor Keurs-DNS-oplossing.Special workloads that require and deploy their own DNS (such as Red Hat OpenShift) should use their preferred DNS solution.

  • Schakel automatische registratie in voor Azure DNS om automatisch de levens cyclus te beheren van de DNS-records voor de virtuele machines die in een virtueel netwerk zijn geïmplementeerd.Enable auto-registration for Azure DNS to automatically manage the lifecycle of the DNS records for the virtual machines deployed within a virtual network.

  • Gebruik een virtuele machine als een resolver voor cross-premises DNS-omzetting met Azure Privé-DNS.Use a virtual machine as a resolver for cross-premises DNS resolution with Azure Private DNS.

  • Maak de Azure Privé-DNS-zone binnen een globaal connectiviteits abonnement.Create the Azure Private DNS zone within a global connectivity subscription. U kunt andere Azure Privé-DNS-zones maken (bijvoorbeeld privatelink.database.windows.net of privatelink.blob.core.windows.net voor een persoonlijke Azure-koppeling).You might create other Azure Private DNS zones (for example, privatelink.database.windows.net or privatelink.blob.core.windows.net for Azure Private Link).

Een Azure-netwerk topologie definiërenDefine an Azure network topology

De netwerk topologie is een essentieel onderdeel van de architectuur voor de schaal op ondernemings niveau, omdat wordt gedefinieerd hoe toepassingen met elkaar kunnen communiceren.Network topology is a critical element of the enterprise-scale architecture because it defines how applications can communicate with each other. In deze sectie worden technologieën en topologie benaderingen voor Enter prise Azure-implementaties besproken.This section explores technologies and topology approaches for enterprise Azure deployments. Het richt zich op twee kern benaderingen: topologieën op basis van Azure Virtual WAN en traditionele topologieën.It focuses on two core approaches: topologies based on Azure Virtual WAN, and traditional topologies.

Gebruik een netwerk topologie op basis van Azure Virtual WAN als aan een van de volgende voor waarden wordt voldaan:Use a network topology based on Azure Virtual WAN if any of the following are true:

  • Uw organisatie is voornemens resources te implementeren in meerdere Azure-regio's en moet uw globale locaties verbinden met Azure en on-premises.Your organization intends to deploy resources across several Azure regions and needs to connect your global locations to both Azure and on-premises.
  • Uw organisatie wil een door software gedefinieerde WAN-implementatie (SD-WAN) gebruiken die volledig is geïntegreerd met Azure.Your organization intends to use software-defined WAN (SD-WAN) deployments fully integrated with Azure.
  • U bent van plan om Maxi maal 2.000 werk belastingen voor virtuele machines te implementeren voor alle VNets die zijn verbonden met één virtuele WAN-hub van Azure.You intend to deploy up to 2,000 virtual machine workloads across all VNets connected to a single Azure Virtual WAN hub.

Virtual WAN wordt gebruikt om te voldoen aan grootschalige interconnectiviteit-vereisten.Virtual WAN is used to meet large-scale interconnectivity requirements. Omdat het een door micro soft beheerde service is, vermindert dit ook de algehele complexiteit van het netwerk en helpt het netwerk van uw organisatie modern te worden.Because it's a Microsoft-managed service, it also reduces overall network complexity and helps to modernize your organization's network.

Gebruik een traditionele Azure-netwerk topologie als aan een van de volgende voor waarden wordt voldaan:Use a traditional Azure network topology if any of the following are true:

  • Uw organisatie is voornemens resources te implementeren in verschillende Azure-regio's.Your organization intends to deploy resources across several Azure regions.
  • U kunt wereld wijde VNet-peering gebruiken om virtuele netwerken te verbinden tussen Azure-regio's.You can use global VNet peering to connect virtual networks across Azure regions.
  • U hebt een laag aantal externe locaties of filialen per regio.You have a low number of remote or branch locations per region. Dat wil zeggen dat u minder dan 30 IP-beveiligings tunnels (IPsec) nodig hebt.That is, you need fewer than 30 IP security (IPsec) tunnels.
  • U hebt de volledige controle en granulatie nodig voor het hand matig configureren van uw Azure-netwerk.You require full control and granularity for manually configuring your Azure network.

Een traditionele netwerk topologie helpt u bij het bouwen van een veilig grootschalig netwerk in Azure.A traditional network topology helps you build a secure large-scale network in Azure.

Virtuele WAN-netwerk topologie (door micro soft beheerd)Virtual WAN network topology (Microsoft-managed)

Diagram dat een topologie van een virtueel WAN-netwerk illustreert. Afbeelding 1: virtuele WAN-netwerk topologie.Diagram that illustrates a Virtual WAN network topology. Figure 1: Virtual WAN network topology.

Ontwerp overwegingen:Design considerations:

  • Azure Virtual WAN is een door micro soft beheerde oplossing die standaard end-to-end wereld wijde doorvoer connectiviteit biedt.Azure Virtual WAN is a Microsoft-managed solution that provides end-to-end global transit connectivity by default. Door Virtual WAN-hubs hoeft de netwerkconnectiviteit niet meer handmatig te worden geconfigureerd.Virtual WAN hubs eliminate the need to manually configure network connectivity. U hoeft bijvoorbeeld geen door de gebruiker gedefinieerde route ring (UDR) of virtuele netwerk apparaten (Nva's) in te stellen om wereld wijde doorvoer connectiviteit mogelijk te maken.For example, you don't need to set up user-defined routing (UDR) or network virtual appliances (NVAs) to enable global transit connectivity.

  • Virtual WAN vereenvoudigt de end-to-end-netwerk verbinding in Azure en cross-premises door een hub-en-spoke-netwerk architectuurte maken.Virtual WAN greatly simplifies end-to-end network connectivity in Azure and cross-premises by creating a hub-and-spoke network architecture. De architectuur omvat meerdere Azure-regio's en on-premises locaties (elke-op-een-connectiviteit) uit het vak, zoals in deze afbeelding wordt weer gegeven:The architecture spans multiple Azure regions and on-premises locations (any-to-any connectivity) out of the box, as shown in this figure:

    Diagram dat een wereld wijd Transit netwerk met virtueel WAN illustreert. Afbeelding 2: wereld wijd Transit netwerk met virtueel WAN.Diagram that illustrates a global transit network with Virtual WAN. Figure 2: Global transit network with Virtual WAN.

  • Virtuele WAN-verbindingen van elke transitieve verbinding ondersteunen de volgende paden (binnen dezelfde regio en in verschillende regio's):Virtual WAN any-to-any transitive connectivity supports the following paths (within the same region and across regions):

    • Virtueel netwerk naar virtueel netwerkVirtual network to virtual network
    • Virtueel netwerk naar vertakkingVirtual network to branch
    • Vertakking naar virtueel netwerkBranch to virtual network
    • Vertakking naar vertakkingBranch to branch
  • Virtuele WAN-hubs zijn vergrendeld.Virtual WAN hubs are locked down. De enige resources die u in de sites kunt implementeren, zijn virtuele netwerk gateways (punt-naar-site-VPN, site-naar-site-VPN en Azure ExpressRoute), Azure Firewall via firewall Manager en routerings tabellen.The only resources that you can deploy within them are virtual network gateways (Point-to-Site VPN, Site-to-Site VPN, and Azure ExpressRoute), Azure Firewall via Firewall Manager, and route tables.

  • Met Virtual WAN wordt de limiet van Maxi maal 200 voor voegsels die worden geadverteerd van Azure naar on-premises via ExpressRoute private peering verhoogd tot 10.000 voor voegsels per virtuele WAN-hub.Virtual WAN increases the limit of up to 200 prefixes advertised from Azure to on-premises via ExpressRoute private peering to 10,000 prefixes per Virtual WAN hub. De limiet van 10.000 voor voegsels omvat ook site-naar-site VPN en punt-naar-site-VPN.The limit of 10,000 prefixes also includes Site-to-Site VPN and Point-to-Site VPN.

  • Transitieve netwerk verbinding (binnen een regio en tussen verschillende regio's) bevindt zich nu in algemene Beschik baarheid.Network-to-network transitive connectivity (within a region and across regions) is now in general availability.

  • Virtual WAN hub-to-hub-connectiviteit bevindt zich nu in algemene Beschik baarheid.Virtual WAN hub-to-hub connectivity is now in general availability.

  • Transit connectiviteit tussen de virtuele netwerken in het standaard virtuele WAN wordt ingeschakeld als gevolg van de aanwezigheid van een router in elke virtuele hub.Transit connectivity between the virtual networks in standard Virtual WAN is enabled due to the presence of a router in every virtual hub. Elke virtuele-hub-router ondersteunt een geaggregeerde doorvoer van maximaal 50 Gbps.Every virtual hub router supports an aggregate throughput up to 50 Gbps.

  • Er kunnen Maxi maal 2.000 VM-workloads op alle VNets worden aangesloten op één virtuele WAN-hub.A maximum of 2,000 VM workloads across all VNets can be connected to a single Virtual WAN hub.

  • Virtuele WAN is geïntegreerd met verschillende SD-WAN-providers.Virtual WAN integrates with a variety of SD-WAN providers.

  • Veel managed service providers bieden beheerde services voor virtueel WAN.Many managed service providers offer managed services for Virtual WAN.

  • VPN-gateways in virtuele WAN kunnen Maxi maal 20 Gbps-en 20.000-verbindingen per virtuele hub schalen.VPN gateways in Virtual WAN can scale up to 20 Gbps and 20,000 connections per virtual hub.

  • ExpressRoute-circuits met de Premium-invoeg toepassing zijn vereist.ExpressRoute circuits with the premium add-on are required. Ze moeten afkomstig zijn van een ExpressRoute Global Reach locatie.They should be from an ExpressRoute Global Reach location.

  • Met Azure Firewall Manager, nu in algemene Beschik baarheid, kan de implementatie van Azure Firewall in de virtuele WAN-hub worden geïmplementeerd.Azure Firewall Manager, now in general availability, allows the deployment of Azure Firewall in the Virtual WAN hub.

  • Virtual WAN hub-to-hub verkeer via Azure Firewall wordt momenteel niet ondersteund.Virtual WAN hub-to-hub traffic via Azure Firewall is currently not supported. Als alternatief gebruikt u de native hub-naar-hub-routerings mogelijkheden voor door Voer in virtuele WAN.As alternative, use the native hub-to-hub transit routing capabilities in Virtual WAN. Gebruik netwerk beveiligings groepen (Nsg's) om virtueel netwerk verkeer tussen hubs toe te staan of te blok keren.Use network security groups (NSGs) to allow or block virtual network traffic across hubs.

Ontwerp aanbevelingen:Design recommendations:

  • Wij raden Virtual WAN aan voor nieuwe grote of wereldwijde netwerkimplementaties in Azure waarbij u wereldwijde overdrachtsconnectiviteit nodig hebt voor alle Azure-regio's en on-premises locaties.We recommend Virtual WAN for new large or global network deployments in Azure where you need global transit connectivity across Azure regions and on-premises locations. Op die manier hoeft u niet handmatig transitieve routering voor het Azure-netwerk in te stellen.That way, you don't have to manually set up transitive routing for Azure networking.

    In de volgende afbeelding ziet u een voor beeld van een wereld wijde Enter prise-implementatie met data centers in Europa en het Verenigde Staten.The following figure shows a sample global enterprise deployment with datacenters spread across Europe and the United States. De implementatie heeft ook een groot aantal filialen in beide regio's.The deployment also has a large number of branch offices within both regions. De omgeving is wereld wijd verbonden via Virtual WAN en ExpressRoute Global Reach.The environment is globally connected via Virtual WAN and ExpressRoute Global Reach.

    Diagram van een voor beeld van een netwerk topologie. Afbeelding 3: voor beeld van netwerk topologie.Diagram of a sample network topology. Figure 3: Sample network topology.

  • Gebruik Virtual WAN als een algemene verbindings bron.Use Virtual WAN as a global connectivity resource. Gebruik een virtuele WAN-hub per Azure-regio om meerdere aanvoer zones samen te verbinden tussen Azure-regio's via de lokale virtuele WAN-hub.Use a Virtual WAN hub per Azure region to connect multiple landing zones together across Azure regions via the local Virtual WAN hub.

  • Verbind virtuele WAN-hubs met on-premises data centers met behulp van ExpressRoute.Connect Virtual WAN hubs to on-premises datacenters by using ExpressRoute.

  • Implementeer vereiste gedeelde services, zoals DNS-servers, in een toegewezen landings zone.Deploy required shared services, like DNS servers, in a dedicated landing zone. Vereiste gedeelde bronnen kunnen niet worden geïmplementeerd op een virtuele WAN-hub.Required shared resources can't be deployed on a Virtual WAN hub.

  • Verbind filialen en externe locaties met de dichtstbijzijnde virtuele WAN-hub via site-naar-site-VPN of schakel de vertakkings verbinding met virtuele WAN in via een SD-WAN-partner oplossing.Connect branches and remote locations to the nearest Virtual WAN hub via Site-to-Site VPN, or enable branch connectivity to Virtual WAN via an SD-WAN partner solution.

  • Verbind gebruikers met de virtuele WAN-hub via een punt-naar-site-VPN.Connect users to the Virtual WAN hub via a Point-to-Site VPN.

  • Volg het principe ' verkeer in azure blijft in azure ' zodat communicatie tussen resources in azure plaatsvindt via het micro soft-backbone-netwerk, zelfs wanneer de resources zich in verschillende regio's bevinden.Follow the principle "traffic in Azure stays in Azure" so that communication across resources in Azure occurs via the Microsoft backbone network, even when the resources are in different regions.

  • Implementeer Azure Firewall in virtuele WAN-hubs voor de beveiliging en het filteren van Zuid-en Noord-verkeer binnen een Azure-regio.Deploy Azure Firewall in Virtual WAN hubs for east/west and south/north traffic protection and filtering within an Azure region.

  • Als de partner Nva's vereist zijn voor de beveiliging en het gebruik van het Zuid-West of het South/North-verkeer, implementeert u de Nva's op een ander virtueel netwerk, zoals een NVA-virtueel netwerk.If partner NVAs are required for east/west or south/north traffic protection and filtering, deploy the NVAs to a separate virtual network such as an NVA virtual network. Verbind deze met de regionale virtuele WAN-hub en de aanvoer zones die toegang nodig hebben tot Nva's.Connect it to the regional Virtual WAN hub and to the landing zones that need access to NVAs. Zie een route tabel voor virtuele WAN-hub maken voor nva'svoor meer informatie.For more information, see Create a Virtual WAN hub route table for NVAs.

  • Wanneer u de netwerk technologieën van de partner en Nva's implementeert, volgt u de richt lijnen van de partner leverancier om te controleren of er geen conflicterende configuraties met Azure-netwerken zijn.When you're deploying partner networking technologies and NVAs, follow the partner vendor's guidance to ensure there are no conflicting configurations with Azure networking.

  • Bouw geen Transit netwerk boven op het virtuele WAN van Azure.Don't build a transit network on top of Azure Virtual WAN. Virtual WAN voldoet aan transitieve netwerk topologie vereisten, zoals de mogelijkheid om Nva's van derden te gebruiken.Virtual WAN satisfies transitive network topology requirements such as the ability to use third-party NVAs. Het bouwen van een Transit netwerk boven op Azure Virtual WAN zou redundant zijn en de complexiteit verg Roten.Building a transit network on top of Azure Virtual WAN would be redundant and increase complexity.

  • Gebruik geen bestaande on-premises netwerken zoals multi protocol label switching (MPLS) om Azure-resources te verbinden tussen Azure-regio's, omdat Azure-netwerk technologieën de interconnectie van Azure-resources in verschillende regio's via de micro soft-backbone ondersteunen.Don't use existing on-premises networks like multiprotocol label switching (MPLS) to connect Azure resources across Azure regions, as Azure networking technologies support the interconnection of Azure resources across regions through the Microsoft backbone. Dit komt door de prestatie-en uptime-kenmerken van de micro soft-backbone, evenals routerings eenvoud.This is because of the performance and uptime characteristics of the Microsoft backbone as well as routing simplicity. Dit voor stel heeft betrekking op de prestatie-en uptime-kenmerken van de micro soft-backbone.This suggestion addresses the performance and uptime characteristics of the Microsoft backbone. Het stimuleert ook routerings eenvoud.It also encourages routing simplicity.

  • Zie migreren naar Azure Virtual WANvoor brownfield-scenario's waarbij u migreert van een hub-en-spoke-netwerk topologie die niet is gebaseerd op virtuele WAN.For brownfield scenarios where you're migrating from a hub-and-spoke network topology not based on Virtual WAN, see Migrate to Azure Virtual WAN.

  • Maak Azure Virtual WAN-en Azure Firewall-resources binnen het connectiviteits abonnement.Create Azure Virtual WAN and Azure Firewall resources within the connectivity subscription.

  • Maak niet meer dan 500 virtuele netwerk verbindingen per virtuele WAN-hub.Don't create more than 500 virtual network connections per Virtual WAN virtual hub.

  • Plan uw implementatie zorgvuldig en zorg ervoor dat uw netwerk architectuur binnen de virtuele WAN-grenzen van Azureligt.Plan your deployment carefully, and ensure that your network architecture is within the Azure Virtual WAN limits.

Traditionele Azure-netwerk topologieTraditional Azure networking topology

Hoewel virtuele WAN een breed scala aan krachtige mogelijkheden biedt, is het mogelijk dat een traditionele Azure-netwerk benadering optimaal is in sommige gevallen:Although Virtual WAN offers a wide range of powerful capabilities, a traditional Azure networking approach might be optimal in some cases:

  • Als een globaal transitief netwerk over meerdere Azure-regio's of cross-premises niet is vereist.If a global transitive network across multiple Azure regions or cross-premises isn't required. Een voor beeld is een vertakking in de Verenigde Staten waarvoor een verbinding met een virtueel netwerk in Europa is vereist.An example is a branch in the United States that requires connectivity to a virtual network in Europe.

  • Als u een wereld wijd netwerk wilt implementeren in meerdere Azure-regio's, en u kunt wereld wijde VNet-peering gebruiken om virtuele netwerken te verbinden tussen regio's.If you need to deploy a global network across multiple Azure regions, and you can use global VNet peering to connect virtual networks across regions.

  • Als het niet nodig is om verbinding te maken met een groot aantal externe locaties via VPN of integratie met een SD-WAN-oplossing.If there's no need to connect to a large number of remote locations via VPN or integration with an SD-WAN solution.

  • Als de voor keur van uw organisatie een gedetailleerde controle en configuratie heeft bij het instellen van een netwerk topologie in Azure.If your organization's preference is to have granular control and configuration when setting up a network topology in Azure.

Diagram dat een traditionele Azure-netwerk topologie illustreert.

Afbeelding 4: een traditionele Azure-netwerk topologie.Figure 4: A traditional Azure network topology.

Ontwerp overwegingen:Design considerations:

  • Verschillende netwerk topologieën kunnen meerdere virtuele netwerken met een landings zone verbinden.Various network topologies can connect multiple landing zone virtual networks. Voor beelden zijn één groot, plat virtueel netwerk, meerdere virtuele netwerken die zijn verbonden met meerdere ExpressRoute-circuits of verbindingen, hub en spoke, Full-mesh en hybride.Examples are one large flat virtual network, multiple virtual networks connected with multiple ExpressRoute circuits or connections, hub and spoke, full mesh, and hybrid.

  • Virtuele netwerken passeren geen abonnements grenzen.Virtual networks don't traverse subscription boundaries. Maar u kunt wel verbinding maken tussen virtuele netwerken in verschillende abonnementen met behulp van peering voor virtuele netwerken, een ExpressRoute-circuit of VPN-gateways.But, you can achieve connectivity between virtual networks in different subscriptions by using virtual network peering, an ExpressRoute circuit, or VPN gateways.

  • U kunt de peering van het virtuele netwerk gebruiken om virtuele netwerken in dezelfde regio te verbinden, in verschillende Azure-regio's en op verschillende Azure Active Directory (Azure AD)-tenants.You can use virtual network peering to connect virtual networks in the same region, across different Azure regions, and across different Azure Active Directory (Azure AD) tenants.

  • Peering van virtuele netwerken en globale peering van virtuele netwerken zijn niet transitief.Virtual network peering and global virtual network peering aren't transitive. Udr's en Nva's zijn vereist om een doorvoer netwerk in te scha kelen.UDRs and NVAs are required to enable a transit network. Zie hub-spoke-netwerk topologie in azurevoor meer informatie.For more information, see Hub-spoke network topology in Azure.

  • U kunt ExpressRoute-circuits gebruiken om verbinding te maken tussen virtuele netwerken binnen dezelfde geopolitieke regio, of door gebruik te maken van de Premium-invoeg toepassing voor connectiviteit tussen geopolitieke regio's.You can use ExpressRoute circuits to establish connectivity across virtual networks within the same geopolitical region or by using the premium add-on for connectivity across geopolitical regions. Houd de volgende zaken in gedachten:Keep these points in mind:

    • Netwerk-naar-netwerk verkeer kan meer latentie ondervinden omdat verkeer moet hairpin op de micro soft Enter prise Edge-routers (MSEE).Network-to-network traffic might experience more latency because traffic must hairpin at the Microsoft Enterprise Edge (MSEE) routers.

    • De band breedte wordt beperkt tot de ExpressRoute gateway-SKU.Bandwidth will be constrained to the ExpressRoute gateway SKU.

    • U moet nog steeds Udr's implementeren en beheren als er inspectie of logboek registratie nodig is voor verkeer tussen virtuele netwerken.You must still deploy and manage UDRs if they require inspection or logging for traffic across virtual networks.

  • VPN-gateways met het Border Gateway Protocol (BGP) zijn transitief binnen Azure en on-premises, maar ze worden niet door Voer via ExpressRoute-gateways.VPN gateways with border gateway protocol (BGP) are transitive within Azure and on-premises, but they don't transit across ExpressRoute gateways.

  • Wanneer meerdere ExpressRoute-circuits zijn verbonden met hetzelfde virtuele netwerk, gebruikt u verbindings gewichten en BGP-technieken om een optimaal pad te garanderen voor verkeer tussen on-premises en Azure.When multiple ExpressRoute circuits are connected to the same virtual network, use connection weights and BGP techniques to ensure an optimal path for traffic between on-premises and Azure. Zie ExpressRoute-route ring optimaliserenvoor meer informatie.For more information, see Optimize ExpressRoute routing.

  • Het gebruik van BGP-technieken voor het beïnvloeden van ExpressRoute-route ring is een configuratie buiten het Azure-platform.Using BGP techniques to influence ExpressRoute routing is a configuration outside the Azure platform. Uw organisatie of uw connectiviteits provider moet de on-premises routers dienovereenkomstig configureren.Your organization or your connectivity provider must configure the on-premises routers accordingly.

  • ExpressRoute-circuits met Premium-invoeg toepassingen bieden wereld wijde connectiviteit.ExpressRoute circuits with premium add-ons provide global connectivity. Het maximum aantal ExpressRoute-verbindingen per ExpressRoute-gateway is echter vier.However, the maximum number of ExpressRoute connections per ExpressRoute gateway is four.

  • Hoewel het maximum aantal peering-verbindingen met virtuele netwerken per virtueel netwerk 500 is, is het maximum aantal routes dat kan worden geadverteerd van Azure naar on-premises via ExpressRoute private peering 200.Although the maximum number of virtual network peering connections per virtual network is 500, the maximum number of routes that can be advertised from Azure to on-premises via ExpressRoute private peering is 200.

  • De maximale geaggregeerde door Voer van een VPN-gateway is 10 Gbps.A VPN gateway's maximum aggregated throughput is 10 Gbps. Het ondersteunt Maxi maal 30 site-naar-site-of netwerk-naar-netwerk-tunnels.It supports up to 30 Site-to-Site or network-to-network tunnels.

Ontwerp aanbevelingen:Design recommendations:

  • Overweeg een netwerk ontwerp dat is gebaseerd op de hub-en-spoke-netwerk topologie met niet-virtuele WAN-technologieën voor de volgende scenario's:Consider a network design based in the hub-and-spoke network topology with non-Virtual WAN technologies for the following scenarios:

    • De grens van het verkeer in een Azure-implementatie bevindt zich binnen een Azure-regio.The traffic boundary in an Azure deployment is within an Azure region.

    • Een netwerk architectuur omvat meerdere Azure-regio's en er is geen transitieve connectiviteit tussen virtuele netwerken vereist voor de aanvoer zones tussen regio's.A network architecture spans multiple Azure regions, and there's no need for transitive connectivity between virtual networks for landing zones across regions.

    • Een netwerk architectuur omvat meerdere Azure-regio's en wereld wijde VNet-peering kan worden gebruikt om virtuele netwerken te verbinden tussen Azure-regio's.A network architecture spans multiple Azure regions, and global VNet peering can be used to connect virtual networks across Azure regions.

    • Er is geen behoefte aan transitieve connectiviteit tussen VPN-en ExpressRoute-verbindingen.There's no need for transitive connectivity between VPN and ExpressRoute connections.

    • Het hoofd-cross-premises connectiviteits kanaal is ExpressRoute en het aantal VPN-verbindingen is minder dan 30 per VPN-gateway.The main cross-premises connectivity channel is ExpressRoute, and the number of VPN connections is less than 30 per VPN gateway.

    • Er is een afhankelijkheid op gecentraliseerde Nva's en gedetailleerde route ring.There's a dependency on centralized NVAs and granular routing.

  • Gebruik voor regionale implementaties voornamelijk de hub-en-spoke-topologie.For regional deployments, primarily use the hub-and-spoke topology. Gebruik de zone voor het binnenlands verkeer van virtuele netwerken die verbinding maken met virtuele netwerk peering op een centraal hub-netwerk voor cross-premises connectiviteit via ExpressRoute, VPN voor filiaal connectiviteit, spoke-to-spoke-connectiviteit via Nva's en Udr's, en Internet-outbound Protection via NVA.Use landing-zone virtual networks that connect with virtual network peering to a central-hub virtual network for cross-premises connectivity via ExpressRoute, VPN for branch connectivity, spoke-to-spoke connectivity via NVAs and UDRs, and internet-outbound protection via NVA. In de volgende afbeelding ziet u deze topologie.The following figure shows this topology. Dit maakt het mogelijk om voldoende verkeers beheer te voldoen aan de meeste vereisten voor segmentatie en inspectie.This allows for appropriate traffic control to meet most requirements for segmentation and inspection.

    Diagram dat een hub-en-spoke-netwerk topologie illustreert. Afbeelding 5: hub en spoke-netwerk topologie.Diagram that illustrates a hub-and-spoke network topology. Figure 5: Hub-and-spoke network topology.

  • Gebruik de topologie van meerdere virtuele netwerken die zijn verbonden met meerdere ExpressRoute-circuits wanneer aan een van deze voor waarden wordt voldaan:Use the topology of multiple virtual networks connected with multiple ExpressRoute circuits when one of these conditions is true:

    • U hebt een hoog isolatie niveau nodig.You need a high level of isolation.

    • U hebt speciale ExpressRoute-band breedte nodig voor specifieke bedrijfs eenheden.You need dedicated ExpressRoute bandwidth for specific business units.

    • U hebt het maximum aantal verbindingen per ExpressRoute-gateway bereikt (Maxi maal vier).You've reached the maximum number of connections per ExpressRoute gateway (up to four).

In de volgende afbeelding ziet u deze topologie.The following figure shows this topology.

Diagram dat meerdere virtuele netwerken illustreert die zijn verbonden met meerdere ExpressRoute-circuits.Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits. Afbeelding 6: meerdere virtuele netwerken die zijn verbonden met meerdere ExpressRoute-circuits.Figure 6: Multiple virtual networks connected with multiple ExpressRoute circuits.

  • Implementeer een set van Mini maal gedeelde services, waaronder ExpressRoute-gateways, VPN-gateways (indien nodig) en Azure Firewall-of partner-Nva's (indien nodig) in het centrale hub-netwerk.Deploy a set of minimal shared services, including ExpressRoute gateways, VPN gateways (as required), and Azure Firewall or partner NVAs (as required) in the central-hub virtual network. Implementeer, indien nodig, ook Active Directory domein controllers en DNS-servers.If necessary, also deploy Active Directory domain controllers and DNS servers.

  • Implementeer Azure Firewall of partner Nva's voor de beveiliging van Oost/West of Zuid/Noord-verkeer, in het centrale virtuele netwerk.Deploy Azure Firewall or partner NVAs for east/west or south/north traffic protection and filtering, in the central-hub virtual network.

  • Wanneer u de netwerk technologieën van de partner of Nva's implementeert, volgt u de richt lijnen van de partner om ervoor te zorgen dat:When you're deploying partner networking technologies or NVAs, follow the partner vendor's guidance to ensure that:

    • De leverancier ondersteunt implementatie.The vendor supports deployment.

    • De richt lijnen zijn ontworpen voor hoge Beschik baarheid en maximale prestaties.The guidance is designed for high availability and maximal performance.

    • Er zijn geen conflicterende configuraties met Azure-netwerken.There are no conflicting configurations with Azure networking.

  • Implementeer geen inkomend Nva's als een gedeelde service in het virtuele netwerk van de centrale hub, zoals Azure-toepassing gateway.Don't deploy L7 inbound NVAs such as Azure Application Gateway as a shared service in the central-hub virtual network. Implementeer ze in plaats daarvan samen met de app in hun respectieve aanvoer zones.Instead, deploy them together with the app in their respective landing zones.

  • Gebruik uw bestaande netwerk, MPLS en SD-WAN, voor het verbinden van Branch-locaties met het hoofd kantoor.Use your existing network, MPLS and SD-WAN, for connecting branch locations with corporate headquarters. Door Voer in azure tussen ExpressRoute en VPN-gateways wordt niet ondersteund.Transit in Azure between ExpressRoute and VPN gateways isn't supported.

  • Voor netwerk architecturen met meerdere hub-en-spoke-topologieën in azure-regio's gebruikt u globale virtuele netwerk peering om verbinding te maken met de regionale zone virtuele netwerken wanneer een klein aantal aanvoer zones moet communiceren tussen regio's.For network architectures with multiple hub-and-spoke topologies across Azure regions, use global virtual network peering to connect landing-zone virtual networks when a small number of landing zones need to communicate across regions. Deze aanpak biedt voor delen zoals hoge netwerk bandbreedte met globale virtuele-netwerk peering, zoals toegestaan door de VM-SKU.This approach offers benefits like high network bandwidth with global virtual network peering, as allowed by the VM SKU. Het centrale NVA wordt echter wel overgeslagen, in het geval van verkeer inspectie of filteren is vereist.But it will bypass the central NVA, in case traffic inspection or filtering is required. Dit geldt ook voor beperkingen van globale virtuele netwerk peering.This would also be subject to limitations on global virtual network peering.

  • Wanneer u een hub-en-spoke-netwerk architectuur implementeert in twee Azure-regio's en een doorvoer verbinding tussen alle regio's is vereist, gebruikt u ExpressRoute met dubbele circuits om Transit connectiviteit te bieden voor virtuele netwerken van de landings zone tussen Azure-regio's.When you deploy a hub-and-spoke network architecture in two Azure regions and transit connectivity between all landing zones across regions is required, use ExpressRoute with dual circuits to provide transit connectivity for landing-zone virtual networks across Azure regions. In dit scenario kunnen Transit zones door Voer in een regio via NVA in het virtuele netwerk van de lokale hub en in verschillende regio's via ExpressRoute-circuit.In this scenario, landing zones can transit within a region via NVA in local-hub virtual network and across regions via ExpressRoute circuit. Verkeer moet hairpin bij de MSEE-routers.Traffic must hairpin at the MSEE routers. In de volgende afbeelding ziet u dit ontwerp.The following figure shows this design.

    Diagram dat een verbindings ontwerp voor de landings zone illustreert. Afbeelding 7: ontwerp van de landings zone-verbinding.Diagram that illustrates a landing zone connectivity design. Figure 7: Landing zone connectivity design.

  • Als uw organisatie hub-en-spoke-netwerk architecturen voor meer dan twee Azure-regio's en wereld wijde doorvoer connectiviteit tussen de aanvoer zones vereist, zijn virtuele netwerken in azure-regio's verplicht.When your organization requires hub-and-spoke network architectures across more than two Azure regions and global transit connectivity between landing zones, virtual networks across Azure regions are required. U kunt deze architectuur implementeren door centraal-hub virtuele netwerken te verbinden met globale virtuele netwerk peering en Udr's en Nva's te gebruiken om wereld wijde Transit routering in te scha kelen.You can implement this architecture by interconnecting central-hub virtual networks with global virtual network peering and using UDRs and NVAs to enable global transit routing. Omdat de complexiteits-en beheer overhead hoog zijn, raden we u aan een wereld wijde doorvoer netwerk architectuur te evalueren met Virtual WAN.Because the complexity and management overhead are high, we recommend evaluating a global transit network architecture with Virtual WAN.

  • Gebruik Azure monitor voor netwerken (preview) om de end-to-end-status van uw netwerken op Azure te controleren.Use Azure Monitor for Networks (preview) to monitor the end-to-end state of your networks on Azure.

  • Maak niet meer dan 200 peering-verbindingen per centraal hub-netwerk.Don't create more than 200 peering connections per central-hub virtual network. Hoewel virtuele netwerken ondersteuning bieden voor Maxi maal 500 peering-verbindingen, ondersteunt ExpressRoute met privé-peering alleen reclame voor Maxi maal 200 voor voegsels van Azure naar on-premises.Although virtual networks support up to 500 peering connections, ExpressRoute with private peering only supports advertising up to 200 prefixes from Azure to on-premises.

Connectiviteit met AzureConnectivity to Azure

In deze sectie wordt de netwerk topologie uitgebreid om aanbevolen modellen te overwegen voor het verbinden van on-premises locaties met Azure.This section expands on the network topology to consider recommended models for connecting on-premises locations to Azure.

Ontwerp overwegingen:Design considerations:

  • Azure ExpressRoute biedt speciale persoonlijke connectiviteit met de functionaliteit van Azure Infrastructure as a Service (IaaS) en platform as a Service (PaaS) van on-premises locaties.Azure ExpressRoute provides dedicated private connectivity to Azure infrastructure as a service (IaaS) and platform as a service (PaaS) functionality from on-premises locations.

  • U kunt een persoonlijke koppeling gebruiken om verbinding te maken met PaaS-Services via ExpressRoute met persoonlijke peering.You can use Private Link to establish connectivity to PaaS services over ExpressRoute with private peering.

  • Wanneer meerdere virtuele netwerken zijn verbonden met hetzelfde ExpressRoute-circuit, worden ze onderdeel van hetzelfde routerings domein en delen alle virtuele netwerken de band breedte.When multiple virtual networks are connected to the same ExpressRoute circuit, they'll become part of the same routing domain, and all virtual networks will share the bandwidth.

  • U kunt ExpressRoute Global Reach, waar beschikbaar, gebruiken om on-premises locaties samen te verbinden via ExpressRoute-circuits tot Transit verkeer via het micro soft backbone-netwerk.You can use ExpressRoute Global Reach, where available, to connect on-premises locations together through ExpressRoute circuits to transit traffic over the Microsoft backbone network.

  • ExpressRoute Global Reach is beschikbaar in veel ExpressRoute-peering locaties.ExpressRoute Global Reach is available in many ExpressRoute peering locations.

  • Met ExpressRoute direct kunt u meerdere ExpressRoute-circuits maken zonder extra kosten, tot aan de directe poort capaciteit van ExpressRoute (10 Gbps of 100 Gbps).ExpressRoute Direct allows creation of multiple ExpressRoute circuits at no additional cost, up to the ExpressRoute Direct port capacity (10 Gbps or 100 Gbps). Ook kunt u rechtstreeks verbinding maken met de ExpressRoute-routers van micro soft.It also allows you to connect directly to Microsoft's ExpressRoute routers. Voor de SKU van 100-Gbps is de minimale band breedte van het circuit 5 Gbps.For the 100-Gbps SKU, the minimum circuit bandwidth is 5 Gbps. Voor de SKU van 10 Gbps is de minimale band breedte van het circuit 1 Gbps.For the 10-Gbps SKU, the minimum circuit bandwidth is 1 Gbps.

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik ExpressRoute als het primaire connectiviteits kanaal voor het verbinden van een on-premises netwerk met Azure.Use ExpressRoute as the primary connectivity channel for connecting an on-premises network to Azure. U kunt Vpn's gebruiken als bron van back-upconnectiviteit om de connectiviteits tolerantie te verbeteren.You can use VPNs as a source of backup connectivity to enhance connectivity resiliency.

  • Gebruik twee ExpressRoute-circuits van verschillende peering locaties wanneer u een on-premises locatie verbindt met virtuele netwerken in Azure.Use dual ExpressRoute circuits from different peering locations when you're connecting an on-premises location to virtual networks in Azure. Deze installatie zorgt voor redundante paden naar Azure door afzonderlijke storings punten te verwijderen tussen on-premises en Azure.This setup will ensure redundant paths to Azure by removing single points of failure between on-premises and Azure.

  • Wanneer u meerdere ExpressRoute-circuits gebruikt, optimaliseert u ExpressRoute-route ring via de lokale voor keur van BGP en als pad in behandeling.When you use multiple ExpressRoute circuits, optimize ExpressRoute routing via BGP local preference and AS PATH prepending.

  • Zorg ervoor dat u de juiste SKU gebruikt voor de ExpressRoute/VPN-gateways op basis van de vereisten voor band breedte en prestaties.Ensure that you're using the right SKU for the ExpressRoute/VPN gateways based on bandwidth and performance requirements.

  • Implementeer een zone-redundante ExpressRoute-gateway in de ondersteunde Azure-regio's.Deploy a zone-redundant ExpressRoute gateway in the supported Azure regions.

  • Gebruik ExpressRoute direct voor scenario's waarvoor een band breedte van meer dan 10 Gbps of toegewezen 10/100 Gbps-poorten nodig is.For scenarios that require bandwidth higher than 10 Gbps or dedicated 10/100-Gbps ports, use ExpressRoute Direct.

  • Als lage latentie vereist is, of als de door Voer van on-premises naar Azure groter moet zijn dan 10 Gbps, schakelt u FastPath in om de ExpressRoute-gateway van het gegevenspad over te slaan.When low latency is required, or throughput from on-premises to Azure must be greater than 10 Gbps, enable FastPath to bypass the ExpressRoute gateway from the data path.

  • Gebruik VPN-gateways om filialen of externe locaties te verbinden met Azure.Use VPN gateways to connect branches or remote locations to Azure. Implementeer voor hogere tolerantie zone-redundante gateways (indien beschikbaar).For higher resilience, deploy zone-redundant gateways (where available).

  • Gebruik ExpressRoute Global Reach om verbinding te maken met grote kant oren, regionaal hoofd kantoor of Data Centers die zijn verbonden met Azure via ExpressRoute.Use ExpressRoute Global Reach to connect large offices, regional headquarters, or datacenters connected to Azure via ExpressRoute.

  • Wanneer verkeer isolatie of toegewezen band breedte vereist is, zoals voor het scheiden van productie-en niet-productspecifieke omgevingen, gebruikt u verschillende ExpressRoute-circuits.When traffic isolation or dedicated bandwidth is required, such as for separating production and nonproduction environments, use different ExpressRoute circuits. Het helpt u om geïsoleerde routerings domeinen te garanderen en ruis-Risico's te verlichten.It will help you ensure isolated routing domains and alleviate noisy-neighbor risks.

  • Proactief ExpressRoute-circuits bewaken met behulp van Netwerkprestatiemeter.Proactively monitor ExpressRoute circuits by using Network Performance Monitor.

  • Gebruik niet expliciet ExpressRoute-circuits van één peering-locatie.Don't explicitly use ExpressRoute circuits from a single peering location. Hiermee maakt u een Single Point of Failure en wordt uw organisatie vatbaar voor storingen op de locatie van de peering.This creates a single point of failure and makes your organization susceptible to peering location outages.

  • Gebruik niet hetzelfde ExpressRoute-circuit om meerdere omgevingen te verbinden waarvoor isolatie of toegewezen bandbreedte nodig is, om hinder van omliggende netwerken te voorkomen.Don't use the same ExpressRoute circuit to connect multiple environments that require isolation or dedicated bandwidth, to avoid noisy-neighbor risks.

Connectiviteit met Azure PaaS ServicesConnectivity to Azure PaaS services

In deze sectie worden de aanbevolen connectiviteits benaderingen voor het gebruik van Azure PaaS Services besproken.Building on the previous connectivity sections, this section explores recommended connectivity approaches for using Azure PaaS services.

Ontwerp overwegingen:Design considerations:

  • Azure PaaS services worden meestal gebruikt via open bare eind punten.Azure PaaS services are typically accessed over public endpoints. Het Azure-platform biedt echter mogelijkheden om dergelijke eind punten te beveiligen of ze zelfs volledig privé te maken:However, the Azure platform provides capabilities to secure such endpoints or even make them entirely private:

    • Virtuele netwerkinjectie biedt toegewezen persoonlijke implementaties voor ondersteunde services.Virtual network injection provides dedicated private deployments for supported services. Maar het beheer vlak verkeer loopt via open bare IP-adressen.But management plane traffic flows through public IP addresses.

    • Persoonlijke koppeling biedt speciale toegang met behulp van privé-IP-adressen naar Azure PaaS-exemplaren of aangepaste services achter Azure Load Balancer Standard-laag.Private Link provides dedicated access by using private IP addresses to Azure PaaS instances or custom services behind Azure Load Balancer Standard Tier.

    • Virtuele netwerk service-eind punten bieden toegang op service niveau vanaf geselecteerde subnetten voor geselecteerde PaaS Services.Virtual network service endpoints provide service-level access from selected subnets to selected PaaS services.

  • Ondernemingen hebben vaak problemen met open bare eind punten voor PaaS-services die op de juiste wijze moeten worden beperkt.Enterprises often have concerns about public endpoints for PaaS services that must be appropriately mitigated.

  • Voor ondersteunde servicesworden met persoonlijke koppelingen gegevens exfiltration die betrekking hebben op service-eind punten.For supported services, Private Link addresses data exfiltration concerns associated with service endpoints. Als alternatief kunt u uitgaande filters gebruiken via Nva's om stappen te geven voor het beperken van gegevens exfiltration.As an alternative, you can use outbound filtering via NVAs to provide steps to mitigate data exfiltration.

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik de injectie van het virtuele netwerk voor ondersteunde Azure-Services om ze beschikbaar te maken vanuit uw virtuele netwerk.Use virtual network injection for supported Azure services to make them available from within your virtual network.

  • Azure PaaS services die zijn geïnjecteerd in een virtueel netwerk, voeren nog beheer vlak bewerkingen uit met behulp van open bare IP-adressen.Azure PaaS services that have been injected into a virtual network still perform management plane operations by using public IP addresses. Zorg ervoor dat deze communicatie is vergrendeld in het virtuele netwerk met behulp van Udr's en Nsg's.Ensure that this communication is locked down within the virtual network by using UDRs and NSGs.

  • Gebruik persoonlijke koppeling, waar beschikbaar, voor gedeelde Azure PaaS-Services.Use Private Link, where available, for shared Azure PaaS services. Privé-koppeling is algemeen beschikbaar voor verschillende services en is in open bare Preview voor talrijke versies.Private Link is generally available for several services and is in public preview for numerous ones.

  • Toegang tot Azure PaaS Services via on-premises via ExpressRoute-persoonlijke peering.Access Azure PaaS services from on-premises via ExpressRoute private peering. Gebruik de injectie van het virtuele netwerk voor exclusieve Azure-Services of persoonlijke Azure-koppelingen voor beschik bare gedeelde Azure-Services.Use either virtual network injection for dedicated Azure services or Azure Private Link for available shared Azure services. Als u toegang wilt krijgen tot Azure PaaS services van on-premises wanneer het virtueel netwerk injecteren of een persoonlijke koppeling niet beschikbaar is, gebruikt u ExpressRoute met micro soft-peering.To access Azure PaaS services from on-premises when virtual network injection or Private Link isn't available, use ExpressRoute with Microsoft peering. Deze methode vermijdt de door Voer van het open bare Internet.This method avoids transiting over the public internet.

  • Gebruik service-eind punten van het virtuele netwerk om de toegang tot Azure PaaS-Services vanuit uw virtuele netwerk te beveiligen, maar alleen als er geen persoonlijke koppeling beschikbaar is en er geen gegevens exfiltration zijn.Use virtual network service endpoints to secure access to Azure PaaS services from within your virtual network, but only when Private Link isn't available and there are no data exfiltration concerns. Als u gegevens exfiltration met Service-eind punten wilt verhelpen, gebruikt u NVA filteren of gebruikt u het eindpunt beleid van het virtuele netwerk voor Azure Storage.To address data exfiltration concerns with service endpoints, use NVA filtering or use virtual network service endpoint policies for Azure Storage.

  • Schakel de service-eind punten van het virtuele netwerk niet standaard in op alle subnetten.Don't enable virtual network service endpoints by default on all subnets.

  • Gebruik geen service-eind punten voor virtuele netwerken wanneer er gegevens exfiltration zijn, tenzij u NVA-filters gebruikt.Don't use virtual network service endpoints when there are data exfiltration concerns, unless you use NVA filtering.

  • Het wordt niet aanbevolen om geforceerde tunneling te implementeren om communicatie van Azure naar Azure-resources in te scha kelen.We don't recommend that you implement forced tunneling to enable communication from Azure to Azure resources.

Plannen voor binnenkomende en uitgaande internet connectiviteitPlan for inbound and outbound internet connectivity

In deze sectie worden de aanbevolen connectiviteits modellen voor binnenkomende en uitgaande verbindingen met en van het open bare Internet beschreven.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Ontwerp overwegingen:Design considerations:

  • Systeemeigen netwerkbeveiligingsservices van Azure, zoals Azure Firewall, Azure Web Application Firewall (WAF) op Azure Application Gateway en Azure Front Door zijn volledig beheerde services.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. Zodat u geen operationele en beheerkosten die zijn gekoppeld aan de implementaties van de infrastructuur oploopt, die op grote schaal complex kunnen worden.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • De architectuur van de Enter prise-Scale is volledig compatibel met partner Nva's, als uw organisatie de voor keur geeft aan Nva's of voor situaties waarbij systeem eigen services niet voldoen aan de specifieke vereisten van uw organisatie.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik Azure Firewall om te bepalen:Use Azure Firewall to govern:

    • Uitgaand verkeer naar Internet van Azure.Azure outbound traffic to the internet.

    • Niet-HTTP/S binnenkomende verbindingen.Non-HTTP/S inbound connections.

    • Filteren van Oost-West-verkeer (als uw organisatie dat vereist).East/west traffic filtering (if your organization requires it).

  • Gebruik firewall beheer met Virtual WAN voor het implementeren en beheren van Azure-firewalls in virtuele WAN-hubs of in hub virtuele netwerken.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. Firewall-beheer is nu algemene Beschik baarheid voor zowel virtuele WAN-netwerken als vaste Virtual Networks.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • Maak een globaal Azure Firewall beleid voor het beheren van de beveiligings postuur in de wereld wijde netwerk omgeving en wijs deze toe aan alle Azure Firewall exemplaren.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Nauw keurig beleid toestaan om te voldoen aan de vereisten van specifieke regio's door incrementeel firewall beleid te delegeren aan lokale beveiligings teams via op rollen gebaseerd toegangs beheer.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via role-based access control.

  • Configureer ondersteunde partner SaaS-beveiligings providers in Firewall beheer als uw organisatie dergelijke oplossingen wil gebruiken om uitgaande verbindingen te beveiligen.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Gebruik WAF binnen een virtueel netwerk voor de landings zone voor het beveiligen van het binnenkomende HTTP/S-verkeer van het internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Gebruik Azure front-deur-en WAF-beleid om wereld wijde beveiliging te bieden tussen Azure-regio's voor inkomende HTTP/S-verbindingen met een aanvoer zone.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Wanneer u Azure front deur en Azure-toepassing gateway gebruikt om HTTP/S-apps te beveiligen, gebruikt u WAF-beleid in azure front-deur.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S apps, use WAF policies in Azure Front Door. Vergrendel Azure-toepassing gateway zodat alleen verkeer wordt ontvangen van Azure front deur.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • Als de partner Nva's vereist zijn voor de beveiliging van Oost/West of Zuid/Noord-verkeer en filteren:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • Voor virtuele WAN-netwerk topologieën implementeert u de Nva's in een afzonderlijk virtueel netwerk (bijvoorbeeld NVA virtueel netwerk).For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). Verbind het vervolgens met de regionale virtuele WAN-hub en de aanvoer zones die toegang moeten hebben tot Nva's.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. In dit artikel wordt het proces beschreven.This article describes the process.
    • Voor niet-virtuele WAN-netwerk topologieën implementeert u de partner Nva's in het virtuele netwerk van de centrale hub.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Als partner Nva's vereist zijn voor inkomende HTTP/S-verbindingen, implementeert u deze in een virtueel netwerk in de lands zone en samen met de apps die ze beveiligen en bloot stellen aan Internet.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the apps that they're protecting and exposing to the internet.

  • Gebruik Azure DDoS Protection standaard beveiligings plannen om alle open bare eind punten die in uw virtuele netwerken worden gehost, te beveiligen.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • Repliceer geen on-premises perimeternetwerkconcepten en -architecturen in Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. Vergelijkbare beveiligingsmogelijkheden zijn beschikbaar in Azure, maar de implementatie en architectuur moeten worden aangepast aan de cloud.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.

App-levering plannenPlan for app delivery

In deze sectie worden de belangrijkste aanbevelingen besproken voor het leveren van interne en externe apps op een veilige, zeer schaal bare en Maxi maal beschik bare manier.This section explores key recommendations to deliver internal-facing and external-facing apps in a secure, highly scalable, and highly available way.

Ontwerp overwegingen:Design considerations:

  • Azure Load Balancer (intern en openbaar) biedt hoge Beschik baarheid voor het leveren van apps op een regionaal niveau.Azure Load Balancer (internal and public) provides high availability for app delivery at a regional level.

  • Met Azure-toepassing gateway kunt u op een regionaal niveau beveiligde levering van HTTP/S-apps.Azure Application Gateway allows the secure delivery of HTTP/S apps at a regional level.

  • Met de voor deur kunt u de veilige levering van Maxi maal beschik bare HTTP/S-apps over Azure-regio's.Front Door allows the secure delivery of highly available HTTP/S apps across Azure regions.

  • Met Azure Traffic Manager kunnen globale apps worden geleverd.Azure Traffic Manager allows the delivery of global apps.

Ontwerp aanbevelingen:Design recommendations:

  • Voer een app-levering uit binnen de aanvoer zones voor zowel interne als externe apps.Perform app delivery within landing zones for both internal-facing and external-facing apps.

  • Gebruik Application Gateway v2 voor beveiligde levering van HTTP/S-apps en zorg ervoor dat WAF-beveiliging en-beleid zijn ingeschakeld.For secure delivery of HTTP/S apps, use Application Gateway v2 and ensure that WAF protection and policies are enabled.

  • Gebruik een partner NVA als u Application Gateway v2 niet kunt gebruiken voor de beveiliging van HTTP/S-apps.Use a partner NVA if you can't use Application Gateway v2 for the security of HTTP/S apps.

  • Implementeer Azure-toepassing gateway v2 of partner Nva's die wordt gebruikt voor binnenkomende HTTP/S-verbindingen binnen het virtuele netwerk van de aanvoer zone en met de apps die ze beveiligen.Deploy Azure Application Gateway v2 or partner NVAs used for inbound HTTP/S connections within the landing-zone virtual network and with the apps that they're securing.

  • Gebruik een DDoS-standaard beveiligings plan voor alle open bare IP-adressen in een landings zone.Use a DDoS standard protection plan for all public IP addresses in a landing zone.

  • Gebruik Azure front-deur met WAF-beleid om wereld wijde HTTP/S-apps te leveren en te beveiligen die Azure-regio's omvatten.Use Azure Front Door with WAF policies to deliver and help protect global HTTP/S apps that span Azure regions.

  • Gebruik WAF-beleid in de voor deur wanneer u de voor deur gebruikt en Application Gateway om HTTP/S-apps te beveiligen.When you're using Front Door and Application Gateway to help protect HTTP/S apps, use WAF policies in Front Door. Vergrendel Application Gateway om alleen verkeer van de voor deur te ontvangen.Lock down Application Gateway to receive traffic only from Front Door.

  • Gebruik Traffic Manager voor het leveren van globale apps die andere protocollen dan HTTP/S omvatten.Use Traffic Manager to deliver global apps that span protocols other than HTTP/S.

De aanvoer zone netwerk segmentatie plannenPlan for landing zone network segmentation

In deze sectie worden de belangrijkste aanbevelingen besproken voor het leveren van zeer veilige interne netwerk segmentatie binnen een aanvoer zone voor het uitvoeren van een netwerk installatie op nul vertrouwen.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

Ontwerp overwegingen:Design considerations:

  • Het vertrouwens model met nul veronderstelt een schending van de status en verifieert elke aanvraag, alsof deze afkomstig is van een niet-beheerd netwerk.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • Een geavanceerde netwerk implementatie met een vertrouw baarheid van nul maakt gebruik van volledig gedistribueerde inkomend/uitgaand verkeer in de Cloud en diepere micro segmentatie.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • Netwerk beveiligings groepen kunnen Azure-service tags gebruiken om de connectiviteit met Azure PaaS services te vergemakkelijken.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • Toepassings beveiligings groepen beslaan of bieden geen beveiliging over virtuele netwerken.Application security groups don't span or provide protection across virtual networks.

  • NSG-stroom logboeken worden nu ondersteund via Azure Resource Manager sjablonen.NSG flow logs are now supported through Azure Resource Manager templates.

Ontwerp aanbevelingen:Design recommendations:

  • Delegeer het maken van subnetten naar de eigenaar van de landingszone.Delegate subnet creation to the landing zone owner. Hierdoor kunnen ze bepalen hoe werk belastingen worden gesegmenteerd in subnetten (bijvoorbeeld één grote subnet, toepassing met meerdere lagen of door het netwerk geïnjecteerde toepassing).This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier application, or network-injected application). Het platform team kan Azure Policy gebruiken om ervoor te zorgen dat een NSG met specifieke regels (zoals het weigeren van binnenkomende SSH of RDP van Internet of het toestaan/blok keren van verkeer tussen de aanvoer zones) altijd is gekoppeld aan subnetten die alleen beleid voor weigeren hebben.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • Gebruik Nsg's om verkeer tussen subnetten te beveiligen, evenals het Oost-West verkeer over het platform (verkeer tussen de aanvoer zones).Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • Het toepassings team moet toepassings beveiligings groepen op subnetniveau Nsg's gebruiken voor het beveiligen van virtuele machines met meerdere lagen in de landings zone.The application team should use application security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • Gebruik Nsg's-en toepassings beveiligings groepen voor het micro segmenteren van verkeer binnen de landings zone en Vermijd het gebruik van een centrale NVA voor het filteren van verkeers stromen.Use NSGs and application security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • Schakel logboeken voor NSG-stroom in en voer ze in Traffic Analytics in om inzicht te krijgen in interne en externe verkeers stromen.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • Gebruik Nsg's om de connectiviteit tussen de aanvoer zones selectief te maken.Use NSGs to selectively allow connectivity between landing zones.

  • Voor virtuele WAN-topologieën routeert u verkeer over de aanvoer zones via Azure Firewall als uw organisatie filters en logboek registratie mogelijkheden vereist voor verkeer dat over de aanvoer zones loopt.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.

Vereisten voor netwerk versleuteling definiërenDefine network encryption requirements

In deze sectie worden de belangrijkste aanbevelingen besproken voor het bezorgen van netwerk versleuteling tussen on-premises en Azure, evenals in azure-regio's.This section explores key recommendations to achieve network encryption between on-premises and Azure as well as across Azure regions.

Ontwerp overwegingen:Design considerations:

  • De kosten en beschik bare band breedte zijn omgekeerd evenredig met de lengte van de versleutelings tunnel tussen eind punten.Cost and available bandwidth are inversely proportional to the length of the encryption tunnel between endpoints.

  • Wanneer u een VPN gebruikt om verbinding te maken met Azure, wordt verkeer versleuteld via internet via IPsec-tunnels.When you're using a VPN to connect to Azure, traffic is encrypted over the internet via IPsec tunnels.

  • Wanneer u ExpressRoute gebruikt met persoonlijke peering, wordt verkeer momenteel niet versleuteld.When you're using ExpressRoute with private peering, traffic isn't currently encrypted.

  • Het configureren van een site-naar-site-VPN-verbinding via ExpressRoute persoonlijke peering is nu beschikbaar als Preview-versie.Configuring a Site-to-Site VPN connection over ExpressRoute private peering is now in preview.

  • U kunt MACsec-versleuteling (Media Access Control Security) Toep assen op ExpressRoute direct om netwerk versleuteling te verkrijgen.You can apply media access control security (MACsec) encryption to ExpressRoute Direct to achieve network encryption.

  • Als Azure-verkeer wordt verplaatst tussen Data Centers (buiten fysieke grenzen die niet worden beheerd door micro soft of voor derden), wordt MACsec Data Link Layer encryption gebruikt op de onderliggende netwerkhardware.When Azure traffic moves between datacenters (outside physical boundaries not controlled by Microsoft or on behalf of Microsoft), MACsec data-link layer encryption is used on the underlying network hardware. Dit is van toepassing op VNet-peering verkeer.This is applicable to VNet peering traffic.

Ontwerp aanbevelingen:Design recommendations:

Diagram met versleutelingsstromen.

Afbeelding 8: versleutelings stromen.Figure 8: Encryption flows.

  • Wanneer u VPN-verbindingen van on-premises tot Azure tot stand brengt met behulp van VPN-gateways, wordt verkeer versleuteld op protocol niveau via IPsec-tunnels.When you're establishing VPN connections from on-premises to Azure by using VPN gateways, traffic is encrypted at a protocol level through IPsec tunnels. In het voor gaande diagram ziet u deze versleuteling in de stroom A .The preceding diagram shows this encryption in flow A.

  • Wanneer u ExpressRoute direct gebruikt, configureert u MACsec om verkeer te versleutelen op laag-twee niveau tussen de routers en MSEE van uw organisatie.When you're using ExpressRoute Direct, configure MACsec in order to encrypt traffic at the layer-two level between your organization's routers and MSEE. In het diagram wordt deze versleuteling in de stroom weer gegeven B .The diagram shows this encryption in flow B.

  • Voor virtuele WAN-scenario's waarbij MACsec geen optie is (bijvoorbeeld niet met behulp van ExpressRoute direct), gebruikt u een virtuele WAN-gateway om IPSec-tunnels te maken via ExpressRoute-persoonlijke peering.For Virtual WAN scenarios where MACsec isn't an option (for example, not using ExpressRoute Direct), use a Virtual WAN VPN gateway to establish IPsec tunnels over ExpressRoute private peering. In het diagram wordt deze versleuteling in de stroom weer gegeven C .The diagram shows this encryption in flow C.

  • Voor niet-virtuele WAN-scenario's en waarbij MACsec geen optie is (bijvoorbeeld niet met ExpressRoute direct), zijn de enige opties:For non-Virtual WAN scenarios, and where MACsec isn't an option (for example, not using ExpressRoute Direct), the only options are:

    • Gebruik partner Nva's om IPsec-tunnels te maken voor ExpressRoute-persoonlijke peering.Use partner NVAs to establish IPsec tunnels over ExpressRoute private peering.
    • Stel een VPN-tunnel in via ExpressRoute met micro soft-peering.Establish a VPN tunnel over ExpressRoute with Microsoft peering.
    • Evalueer de mogelijkheid om een site-naar-site-VPN-verbinding te configureren via ExpressRoute private peering (in Preview).Evaluate the capability to configure a Site-to-Site VPN connection over ExpressRoute private peering (in preview).
  • Als verkeer tussen Azure-regio's moet worden versleuteld, gebruikt u wereld wijde VNet-peering om virtuele netwerken te verbinden tussen regio's.If traffic between Azure regions must be encrypted, use global VNet peering to connect virtual networks across regions.

  • Als systeem eigen Azure-oplossingen (zoals weer gegeven in stromen B en C in het diagram) niet voldoen aan uw vereisten, gebruikt u partner Nva's in azure voor het versleutelen van verkeer via ExpressRoute-persoonlijke peering.If native Azure solutions (as shown in flows B and C in the diagram) don't meet your requirements, use partner NVAs in Azure to encrypt traffic over ExpressRoute private peering.

Plan voor verkeers inspectiePlan for traffic inspection

In veel branches vereisen organisaties dat verkeer in azure wordt gespiegeld naar een netwerk pakket verzamelaar voor diepe inspectie en analyse.In many industries, organizations require that traffic in Azure is mirrored to a network packet collector for deep inspection and analysis. Deze vereiste is doorgaans gericht op binnenkomend en uitgaand Internet verkeer.This requirement typically focuses on inbound and outbound internet traffic. In deze sectie worden de belangrijkste overwegingen en aanbevolen benaderingen besproken voor het spie gelen of tikken van verkeer binnen Azure Virtual Network.This section explores key considerations and recommended approaches for mirroring or tapping traffic within Azure Virtual Network.

Ontwerp overwegingen:Design considerations:

  • De preview-versie van Azure Virtual Network Terminal Access Point (tik) is beschikbaar.Azure Virtual Network terminal access point (TAP) is in preview. Neem contact op met de azurevnettap@microsoft.com beschikbaarheids gegevens.Contact azurevnettap@microsoft.com for availability details.

  • Pakket opname in azure Network Watcher is algemeen beschikbaar, maar vastleggen is beperkt tot een maximum periode van vijf uur.Packet capture in Azure Network Watcher is generally available, but captures are limited to a maximum period of five hours.

Ontwerp aanbevelingen:Design recommendations:

Als alternatief voor Azure Virtual Network tikken, evalueert u de volgende opties:As an alternative to Azure Virtual Network TAP, evaluate the following options:

  • Gebruik Network Watcher pakketten om op te nemen ondanks het venster voor het vastleggen van beperkte rechten.Use Network Watcher packets to capture despite the limited capture window.

  • Controleer of de meest recente versie van NSG-stroom Logboeken het detail niveau biedt dat u nodig hebt.Evaluate whether the latest version of NSG flow logs provides the level of detail that you need.

  • Gebruik partner oplossingen voor scenario's waarvoor grondige pakket inspectie is vereist.Use partner solutions for scenarios that require deep packet inspection.

  • Ontwikkel geen aangepaste oplossing om verkeer te spie gelen.Don't develop a custom solution to mirror traffic. Hoewel deze benadering aanvaardbaar kan zijn voor kleinschalige scenario's, raden we deze niet op schaal aan vanwege complexiteit en de ondersteunings problemen die zich kunnen voordoen.Although this approach might be acceptable for small-scale scenarios, we don't encourage it at scale because of complexity and the supportability issues that might arise.