Integratie van virtueel netwerk voor Azure-ServicesVirtual network integration for Azure services

Door Azure-Services te integreren in een virtueel Azure-netwerk, kunt u persoonlijke toegang tot de service krijgen via virtuele machines of reken resources in het virtuele netwerk.Integrating Azure services to an Azure virtual network enables private access to the service from virtual machines or compute resources in the virtual network. U kunt Azure-Services in uw virtuele netwerk integreren met de volgende opties:You can integrate Azure services in your virtual network with the following options:

  • Implementatie van toegewezen exemplaren van de service in een virtueel netwerk.Deploying dedicated instances of the service into a virtual network. De services kunnen vervolgens worden geopend in het virtuele netwerk en vanuit on-premises netwerken.The services can then be privately accessed within the virtual network and from on-premises networks.
  • Het uitbreiden van een virtueel netwerk naar de service via service-eind punten.Extending a virtual network to the service, through service endpoints. Met Service-eind punten kunnen afzonderlijke service bronnen worden beveiligd met het virtuele netwerk.Service endpoints allow individual service resources to be secured to the virtual network.

Als u meerdere Azure-Services wilt integreren in uw virtuele netwerk, kunt u een of meer van de bovenstaande patronen combi neren.To integrate multiple Azure services to your virtual network, you can combine one or more of the above patterns. U kunt bijvoorbeeld HDInsight implementeren in uw virtuele netwerk en een opslag account beveiligen met het HDInsight-subnet via service-eind punten.For example, you can deploy HDInsight into your virtual network and secure a storage account to the HDInsight subnet through Service endpoints.

Azure-Services implementeren in virtuele netwerkenDeploy Azure services into virtual networks

Wanneer u toegewezen Azure-Services in een virtueel netwerkimplementeert, kunt u met de service bronnen privé communiceren via privé-IP-adressen.When you deploy dedicated Azure services in a virtual network, you can communicate with the service resources privately, through private IP addresses.

Services die zijn geïmplementeerd in een virtueel netwerk

Het implementeren van services binnen een virtueel netwerk biedt de volgende mogelijkheden:Deploying services within a virtual network provides the following capabilities:

  • Resources binnen het virtuele netwerk kunnen met elkaar communiceren via privé-IP-adressen.Resources within the virtual network can communicate with each other privately, through private IP addresses. Zo kunt u gegevens rechtstreeks overbrengen tussen HDInsight en SQL Server die worden uitgevoerd op een virtuele machine, in het virtuele netwerk.Example, directly transferring data between HDInsight and SQL Server running on a virtual machine, in the virtual network.
  • On-premises resources hebben toegang tot bronnen in een virtueel netwerk met behulp van privé-IP-adressen via een site-to-site VPN (VPN gateway) of ExpressRoute.On-premises resources can access resources in a virtual network using private IP addresses over a Site-to-Site VPN (VPN Gateway) or ExpressRoute.
  • Virtuele netwerken kunnen worden gekoppeld om resources in de virtuele netwerken met elkaar te laten communiceren met behulp van privé-IP-adressen.Virtual networks can be peered to enable resources in the virtual networks to communicate with each other, using private IP addresses.
  • Service-exemplaren in een virtueel netwerk worden doorgaans volledig beheerd door de Azure-service.Service instances in a virtual network are typically fully managed by the Azure service. Dit omvat het controleren van de status van de resources en schalen met laden.This includes monitoring the health of the resources and scaling with load.
  • Service-exemplaren worden geïmplementeerd in een subnet in een virtueel netwerk.Service instances are deployed into a subnet in a virtual network. Binnenkomende en uitgaande netwerk toegang voor het subnet moet worden geopend via netwerk beveiligings groepen, volgens de richt lijnen van de service.Inbound and outbound network access for the subnet must be opened through network security groups, per guidance provided by the service.
  • Bepaalde services leggen ook beperkingen op het subnet waarin ze worden geïmplementeerd, waardoor de toepassing van beleids regels wordt beperkt, de virtuele machines en service bronnen binnen hetzelfde subnet worden gedistribueerd of gecombineerd.Certain services also impose restrictions on the subnet they are deployed in, limiting the application of policies, routes or combining VMs and service resources within the same subnet. Controleer bij elke service op de specifieke beperkingen, aangezien deze na verloop van tijd kunnen veranderen.Check with each service on the specific restrictions as they may change over time. Voor beelden van dergelijke services zijn Azure NetApp Files, toegewezen HSM, Azure Container Instances App Service.Examples of such services are Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
  • Services kunnen eventueel een gedelegeerd subnet vereisen als een expliciete id die een subnet kan hosten voor een bepaalde service.Optionally, services might require a delegated subnet as an explicit identifier that a subnet can host a particular service. Door het delegeren van Services krijgen expliciete machtigingen voor het maken van servicespecifieke bronnen in het gedelegeerde subnet.By delegating, services get explicit permissions to create service-specific resources in the delegated subnet.
  • Bekijk een voor beeld van een REST API antwoord op een virtueel netwerk met een overgedragen subnet.See an example of a REST API response on a virtual network with a delegated subnet. Een uitgebreide lijst met services die gebruikmaken van het gedelegeerde subnet model kan worden verkregen via de beschik bare delegaties -API.A comprehensive list of services that are using the delegated subnet model can be obtained via the Available Delegations API.

Services die kunnen worden geïmplementeerd in een virtueel netwerkServices that can be deployed into a virtual network

CategorieCategory ServiceService Toegewezen ¹-subnetDedicated¹ Subnet
ComputeCompute Virtuele machines: Linux of WindowsVirtual machines: Linux or Windows
Schaal sets voor virtuele machinesVirtual machine scale sets
Cloud service: Alleen virtueel netwerk (klassiek)Cloud Service: Virtual network (classic) only
Azure BatchAzure Batch
NeeNo
NeeNo
NeeNo
Nee ²No²
NetwerkNetwork Application Gateway-WAFApplication Gateway - WAF
VPN GatewayVPN Gateway
Azure FirewallAzure Firewall
Virtuele netwerk apparatenNetwork Virtual Appliances
JaYes
JaYes
JaYes
NeeNo
DataData RedisCacheRedisCache
Beheerd exemplaar voor Azure SQL DatabaseAzure SQL Database Managed Instance
JaYes
JaYes
AnalyseAnalytics Azure HDInsightAzure HDInsight
Azure DatabricksAzure Databricks
Nee ²No²
Nee ²No²
IdentiteitIdentity Azure Active Directory Domain ServicesAzure Active Directory Domain Services NeeNo
ContainersContainers Azure Kubernetes Service (AKS)Azure Kubernetes Service (AKS)
Azure container instance (ACI)Azure Container Instance (ACI)
Azure container service-engine met Azure Virtual Network cni -invoeg toepassingAzure Container Service Engine with Azure Virtual Network CNI plug-in
Nee ²No²
JaYes

NeeNo
WebWeb API ManagementAPI Management
App Service-omgevingApp Service Environment
Azure Logic AppsAzure Logic Apps
JaYes
JaYes
JaYes
ZoneHosted Specifieke HSM van AzureAzure Dedicated HSM
Azure NetApp FilesAzure NetApp Files
JaYes
JaYes

¹ ' dedicated ' impliceert dat alleen servicespecifieke bronnen kunnen worden geïmplementeerd in dit subnet en niet kunnen worden gecombineerd met de VM-VMSSs van de klant¹ 'Dedicated' implies that only service specific resources can be deployed in this subnet and cannot be combined with customer VM/VMSSs
² aanbevolen, maar geen verplichte vereiste die door de service is opgelegd.² Recommended, but not a mandatory requirement imposed by the service.

Service-eind punten voor Azure-ServicesService endpoints for Azure services

Sommige Azure-Services kunnen niet worden geïmplementeerd in virtuele netwerken.Some Azure services can't be deployed in virtual networks. U kunt de toegang tot bepaalde service bronnen beperken tot alleen specifieke subnetten van het virtuele netwerk, als u dat doet door een service-eind punt van een virtueel netwerk in te scha kelen.You can restrict access to some of the service resources to only specific virtual network subnets, if you choose, by enabling a virtual network service endpoint. Meer informatie over service-eind punten voor virtuele netwerkenen de services waarvoor eind punten kunnen worden ingeschakeld.Learn more about virtual network service endpoints, and the services that endpoints can be enabled for.