Virtuele netwerken plannen

Het maken van een virtueel netwerk om mee te experimenteren is eenvoudig genoeg, maar de kans is groot dat u meerdere virtuele netwerken in de tijd implementeert ter ondersteuning van de productiebehoeften van uw organisatie. Met enige planning kunt u virtuele netwerken implementeren en de resources die u nodig hebt effectiever verbinden. De informatie in dit artikel is het handigst als u al bekend bent met virtuele netwerken en enige ervaring hebt met het werken hiermee. Als u niet bekend bent met virtuele netwerken, is het raadzaam om Overzicht van virtuele netwerken te lezen.

Naamgeving

Alle Azure-resources hebben een naam. De naam moet uniek zijn binnen een bereik, die voor elk resourcetype kan variëren. De naam van een virtueel netwerk moet bijvoorbeeld uniek zijn binnen een resourcegroep,maar kan worden gedupliceerd binnen een abonnement of Azure-regio. Het definiëren van een naamconventie die u consistent kunt gebruiken bij het benoemen van resources is handig bij het beheren van verschillende netwerkresources gedurende een periode. Zie Naamconventies voor suggesties.

Regio's

Alle Azure-resources worden gemaakt in een Azure-regio en -abonnement. Een resource kan alleen worden gemaakt in een virtueel netwerk dat zich in dezelfde regio en hetzelfde abonnement als de resource bevindt. U kunt echter virtuele netwerken verbinden die bestaan in verschillende abonnementen en regio's. Zie connectiviteit voor meer informatie. Bij het bepalen in welke regio(s) resources moeten worden geïmplementeerd, moet u overwegen waar gebruikers van de resources zich fysiek bevinden:

  • Gebruikers van resources willen doorgaans de laagste netwerklatentie voor hun resources. Zie Relatieve latentie weergeven om relatieve latentie tussen een opgegeven locatie en Azure-regio's te bepalen.
  • Hebt u vereisten voor gegevensstatus, soevereiniteit, naleving of tolerantie? Zo ja, dan is het essentieel om de regio te kiezen die aan de vereisten voldoet. Zie Azure-geografieën voor meer informatie.
  • Hebt u tolerantie voor alle Azure-beschikbaarheidszones binnen dezelfde Azure-regio nodig voor de resources die u implementeert? U kunt resources, zoals virtuele machines (VM's) implementeren in verschillende beschikbaarheidszones binnen hetzelfde virtuele netwerk. Niet alle Azure-regio's ondersteunen echter beschikbaarheidszones. Zie Beschikbaarheidszones voor meer informatie over beschikbaarheidszones en de regio's die deze ondersteunen.

Abonnementen

U kunt zoveel virtuele netwerken implementeren als vereist is binnen elk abonnement, tot de limiet is bereikt. Sommige organisaties hebben bijvoorbeeld verschillende abonnementen voor verschillende afdelingen. Zie Abonnementsgovernance voor meer informatie en overwegingen over abonnementen.

Segmentatie

U kunt meerdere virtuele netwerken per abonnement en per regio maken. U kunt meerdere subnetten binnen elk virtueel netwerk maken. Met de volgende overwegingen kunt u bepalen hoeveel virtuele netwerken en subnetten u nodig hebt:

Virtuele netwerken

Een virtueel netwerk is een virtueel, geïsoleerd gedeelte van het openbare Azure-netwerk. Elk virtueel netwerk is toegewezen aan uw abonnement. Dingen om rekening mee te houden bij het bepalen of u één virtueel netwerk of meerdere virtuele netwerken in een abonnement wilt maken:

  • Bestaan er beveiligingsvereisten voor organisaties voor het isoleren van verkeer in afzonderlijke virtuele netwerken? U kunt ervoor kiezen om al dan niet verbinding te maken met virtuele netwerken. Als u virtuele netwerken verbindt, kunt u een virtueel netwerkapparaat implementeren, zoals een firewall, om de verkeersstroom tussen de virtuele netwerken te beheren. Zie beveiliging en connectiviteit voor meer informatie.
  • Bestaan er organisatievereisten voor het isoleren van virtuele netwerken in afzonderlijke abonnementen of regio's?
  • Met een netwerkinterface kan een VM communiceren met andere resources. Aan elke netwerkinterface zijn een of meer privé-IP-adressen toegewezen. Hoeveel netwerkinterfaces en privé-IP-adressen hebt u nodig in een virtueel netwerk? Er gelden limieten voor het aantal netwerkinterfaces en privé-IP-adressen binnen een virtueel netwerk.
  • Wilt u het virtuele netwerk verbinden met een ander virtueel netwerk of on-premises netwerk? U kunt ervoor kiezen om sommige virtuele netwerken met elkaar of on-premises netwerken te verbinden, maar niet met andere. Zie connectiviteit voor meer informatie. Elk virtueel netwerk dat u verbindt met een ander virtueel netwerk of een on-premises netwerk, moet een unieke adresruimte hebben. Aan elk virtueel netwerk zijn een of meer openbare of persoonlijke adresbereiken toegewezen aan de adresruimte. Een adresbereik wordt opgegeven in CIDR-indeling (Classless Internet Domain Routing), zoals 10.0.0.0/16. Meer informatie over adresbereiken voor virtuele netwerken.
  • Hebt u organisatiebeheervereisten voor resources in verschillende virtuele netwerken? Zo ja, dan kunt u resources onder elkaar onder brengen in een afzonderlijk virtueel netwerk om de toewijzing van machtigingen aan personen in uw organisatie te vereenvoudigen of om verschillende beleidsregels toe te wijzen aan verschillende virtuele netwerken.
  • Wanneer u een aantal Azure-servicebronnen in een virtueel netwerk implementeert, maken ze hun eigen virtuele netwerk. Zie informatie voor elke Azure-servicedie kan worden geïmplementeerd in een virtueel netwerk om te bepalen of een Azure-service een eigen virtueel netwerk maakt.

Subnetten

Een virtueel netwerk kan worden gesegmenteerd in een of meer subnetten tot de limieten . Dingen om rekening mee te houden bij het bepalen of u één subnet of meerdere virtuele netwerken in een abonnement wilt maken:

  • Elk subnet moet een uniek adresbereik hebben, opgegeven in CIDR-indeling, binnen de adresruimte van het virtuele netwerk. Het adresbereik mag niet overlappen met andere subnetten in het virtuele netwerk.
  • Als u van plan bent om een aantal Azure-servicebronnen te implementeren in een virtueel netwerk, kunnen ze hun eigen subnet nodig hebben of maken. Daarom moet er voldoende niet-toegewezen ruimte zijn om dit te doen. Zie informatie voor elke Azure-service die kan worden geïmplementeerd in een virtueel netwerk om te bepalen of een Azure-service een eigen subnet maakt. Als u bijvoorbeeld een virtueel netwerk verbindt met een on-premises netwerk met behulp van een Azure VPN Gateway, moet het virtuele netwerk een toegewezen subnet voor de gateway hebben. Meer informatie over gatewaysubnetten.
  • Azure routeer standaard netwerkverkeer tussen alle subnetten in een virtueel netwerk. U kunt de standaardroutering van Azure overschrijven om Azure-routering tussen subnetten te voorkomen of om verkeer tussen subnetten bijvoorbeeld te routeren via een virtueel netwerkapparaat. Als u wilt dat verkeer tussen resources in hetzelfde virtuele netwerk via een virtueel netwerkapparaat (NVA) stroomt, implementeert u de resources in verschillende subnetten. Meer informatie in beveiliging.
  • U kunt de toegang tot Azure-resources, zoals een Azure-opslagaccount of -Azure SQL Database, beperken tot specifieke subnetten met een service-eindpunt voor een virtueel netwerk. Verder kunt u de toegang tot de resources vanaf internet weigeren. U kunt meerdere subnetten maken en een service-eindpunt inschakelen voor sommige subnetten, maar niet voor andere. Meer informatie over service-eindpuntenen de Azure-resources waar u ze voor kunt inschakelen.
  • U kunt nul of één netwerkbeveiligingsgroep koppelen aan elk subnet in een virtueel netwerk. U kunt dezelfde of een andere netwerkbeveiligingsgroep aan elk subnet koppelen. Elke netwerkbeveiligingsgroep bevat regels die verkeer van en naar bronnen en bestemmingen toestaan of weigeren. Meer informatie over netwerkbeveiligingsgroepen.

Beveiliging

U kunt netwerkverkeer naar en van resources in een virtueel netwerk filteren met behulp van netwerkbeveiligingsgroepen en virtuele netwerkapparaten. U kunt bepalen hoe Azure verkeer routeert vanuit subnetten. U kunt ook beperken wie in uw organisatie met resources in virtuele netwerken kan werken.

Verkeer filteren

  • U kunt netwerkverkeer filteren tussen resources in een virtueel netwerk met behulp van een netwerkbeveiligingsgroep, een NVA die netwerkverkeer filtert of beide. Als u een NVA, zoals een firewall, wilt implementeren om netwerkverkeer te filteren, gaat u naar Azure Marketplace. Wanneer u een NVA gebruikt, maakt u ook aangepaste routes om verkeer van subnetten naar de NVA te leiden. Meer informatie over verkeersroutering.
  • Een netwerkbeveiligingsgroep bevat verschillende standaardbeveiligingsregels die verkeer naar of van resources toestaan of weigeren. Een netwerkbeveiligingsgroep kan worden gekoppeld aan een netwerkinterface, het subnet waarin de netwerkinterface zich of beide. Om het beheer van beveiligingsregels te vereenvoudigen, is het raadzaam om waar mogelijk een netwerkbeveiligingsgroep te koppelen aan afzonderlijke subnetten, in plaats van afzonderlijke netwerkinterfaces binnen het subnet.
  • Als op verschillende VM's binnen een subnet andere beveiligingsregels moeten worden toegepast, kunt u de netwerkinterface in de virtuele machine koppelen aan een of meer toepassingsbeveiligingsgroepen. Een beveiligingsregel kan een toepassingsbeveiligingsgroep opgeven in de bron, het doel of beide. Deze regel is vervolgens alleen van toepassing op de netwerkinterfaces die lid zijn van de toepassingsbeveiligingsgroep. Meer informatie over netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen.
  • Azure maakt verschillende standaardbeveiligingsregels binnen elke netwerkbeveiligingsgroep. Eén standaardregel staat toe dat al het verkeer tussen alle resources in een virtueel netwerk stroomt. Als u dit gedrag wilt overschrijven, gebruikt u netwerkbeveiligingsgroepen, aangepaste routering om verkeer naar een NVA of beide te routeren. Het is raadzaam om vertrouwd te raken met alle standaardbeveiligingsregels van Azure en te begrijpen hoe regels voor netwerkbeveiligingsgroep worden toegepast op een resource.

U kunt voorbeeldontwerpen bekijken voor het implementeren van een perimeternetwerk (ook wel een DMZ genoemd) tussen Azure en internet met behulp van een NVA.

Verkeersroutering

Azure maakt verschillende standaardroutes voor uitgaand verkeer van een subnet. U kunt de standaardroutering van Azure overschrijven door een routetabel te maken en deze te koppelen aan een subnet. Veelvoorkomende redenen voor het overschrijven van de standaardroutering van Azure zijn:

  • Omdat u wilt dat verkeer tussen subnetten via een NVA stroomt. Voor meer informatie over het configureren van routetabellen om verkeer via een NVA af te dwingen.
  • Omdat u al het internetverkeer via een NVA of on-premises via een Azure VPN-gateway wilt forceeren. Het afdwingen van on-premises internetverkeer voor inspectie en logboekregistratie wordt vaak geforceerd tunnelen genoemd. Meer informatie over het configureren van geforceerd tunnelen.

Als u aangepaste routering wilt implementeren, is het raadzaam om vertrouwd te raken met routering in Azure.

Connectiviteit

U kunt een virtueel netwerk verbinden met andere virtuele netwerken met behulp van peering voor virtuele netwerken of met uw on-premises netwerk met behulp van een Azure VPN-gateway.

Peering

Wanneer u peering voor virtuele netwerkengebruikt, kunnen de virtuele netwerken zich in dezelfde of verschillende ondersteunde Azure-regio's plaatsen. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-abonnementen (zelfs abonnementen die tot verschillende tenants Azure Active Directory behoren). Voordat u een peering maakt, is het raadzaam om vertrouwd te raken met alle vereisten en beperkingen voorpeering. De bandbreedte tussen resources in virtuele netwerken die in dezelfde regio zijn peerd, is hetzelfde als wanneer de resources zich in hetzelfde virtuele netwerk zouden hebben.

VPN-gateway

U kunt een Azure VPN Gateway gebruiken om een virtueel netwerk te verbinden met uw on-premises netwerk met behulp van een site-naar-site-VPNof met behulp van een toegewezen verbinding met Azure ExpressRoute.

U kunt peering en een VPN-gateway combineren om hub-en spoke-netwerken te maken, waarbij virtuele spoke-netwerken verbinding maken met een virtueel hubnetwerk en de hub bijvoorbeeld verbinding maakt met een on-premises netwerk.

Naamomzetting

Resources in één virtueel netwerk kunnen de namen van resources in een peered virtueel netwerk niet oplossen met behulp van de ingebouwde DNS van Azure. Als u namen wilt oplossen in een virtueel peernetwerk, implementeert u uw eigen DNS-serverof gebruikt u Azure DNS privédomeinen. Voor het oplossen van namen tussen resources in een virtueel netwerk en on-premises netwerken moet u ook uw eigen DNS-server implementeren.

Machtigingen

Azure maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) tot resources. Machtigingen worden toegewezen aan een bereik in de volgende hiërarchie: beheergroep, abonnement, resourcegroep en afzonderlijke resource. Zie Uw resources organiseren voor meer informatie over de hiërarchie. Als u wilt werken met virtuele Netwerken van Azure en alle bijbehorende mogelijkheden, zoals peering, netwerkbeveiligingsgroepen, service-eindpunten en routetabellen, kunt u leden van uw organisatie toewijzen aan de ingebouwderollen Eigenaar,Inzender of Inzender voor netwerken en vervolgens de rol toewijzen aan het juiste bereik. Als u specifieke machtigingen wilt toewijzen voor een subset van virtuele netwerkmogelijkheden, maakt u een aangepaste rol en wijst u de specifieke machtigingen toe die vereist zijn voor virtuele netwerken,subnetten en service-eindpunten, netwerkinterfaces, peering,netwerk- en toepassingsbeveiligingsgroepen of routeertabellen naar de rol.

Beleid

Azure Policy kunt u beleidsdefinities maken, toewijzen en beheren. Met beleidsdefinities worden verschillende regels afgedwongen voor uw resources, zodat de resources voldoen aan de standaarden en serviceovereenkomsten van uw organisatie. Azure Policy voert een evaluatie van uw resources uit en scant naar resources die niet compatibel zijn met de beleidsdefinities die u hebt. U kunt bijvoorbeeld een beleid definiëren en toepassen waarmee virtuele netwerken alleen in een specifieke resourcegroep of regio kunnen worden gemaakt. Een ander beleid kan vereisen dat aan elk subnet een netwerkbeveiligingsgroep is gekoppeld. Het beleid wordt vervolgens geëvalueerd bij het maken en bijwerken van resources.

Beleidsregels worden toegepast op de volgende hiërarchie: beheergroep, abonnement en resourcegroep. Meer informatie over het Azure Policy implementeren van een aantal virtuele netwerkdefinities Azure Policy implementeren.

Volgende stappen

Meer informatie over alle taken, instellingen en opties voor een virtueel netwerk, subneten service-eindpunt, netwerkinterface, peering, netwerk-en toepassingsbeveiligingsgroep of routetabel.