Virtuele netwerken plannenPlan virtual networks

Het maken van een virtueel netwerk om te experimenteren met is eenvoudig genoeg, maar waarschijnlijk is het dat u meerdere virtuele netwerken gedurende een periode implementeert om de productie behoeften van uw organisatie te ondersteunen.Creating a virtual network to experiment with is easy enough, but chances are, you will deploy multiple virtual networks over time to support the production needs of your organization. Met sommige planningen kunt u virtuele netwerken implementeren en de bronnen die u nodig hebt, aansluiten.With some planning, you will be able to deploy virtual networks and connect the resources you need more effectively. De informatie in dit artikel is het handigst als u al bekend bent met virtuele netwerken en een aantal ervaring hebt met het werken.The information in this article is most helpful if you're already familiar with virtual networks and have some experience working with them. Als u niet bekend bent met virtuele netwerken, is het raadzaam om het overzicht van het virtuele netwerkte lezen.If you are not familiar with virtual networks, it's recommended that you read Virtual network overview.

NaamgevingNaming

Alle Azure-resources hebben een naam.All Azure resources have a name. De naam moet uniek zijn binnen een bereik en kan variëren voor elk resource type.The name must be unique within a scope, that may vary for each resource type. De naam van een virtueel netwerk moet bijvoorbeeld uniek zijn binnen een resource groep, maar kan worden gedupliceerd binnen een abonnement of Azure- regio.For example, the name of a virtual network must be unique within a resource group, but can be duplicated within a subscription or Azure region. Het definiëren van een naamgevings Conventie die u consistent kunt gebruiken bij het benoemen van resources is handig bij het beheren van verschillende netwerk bronnen gedurende een bepaalde periode.Defining a naming convention that you can use consistently when naming resources is helpful when managing several network resources over time. Zie naamgevings conventiesvoor suggesties.For suggestions, see Naming conventions.

Regio'sRegions

Alle Azure-resources worden gemaakt in een Azure-regio en-abonnement.All Azure resources are created in an Azure region and subscription. Een resource kan alleen worden gemaakt in een virtueel netwerk dat zich in dezelfde regio en hetzelfde abonnement als de resource bevindt.A resource can only be created in a virtual network that exists in the same region and subscription as the resource. U kunt echter virtuele netwerken koppelen die zich in verschillende abonnementen en regio's bevinden.You can however, connect virtual networks that exist in different subscriptions and regions. Zie connectiviteitvoor meer informatie.For more information, see connectivity. Houd bij het bepalen van de regio ('s) voor het implementeren van resources in rekening met de fysieke locatie van de consumenten van de resources:When deciding which region(s) to deploy resources in, consider where consumers of the resources are physically located:

  • Consumenten van resources willen doorgaans de laagste netwerk latentie voor hun resources.Consumers of resources typically want the lowest network latency to their resources. Zie relatieve wacht tijden weer gevenom relatieve wacht tijden te bepalen tussen een opgegeven locatie en Azure-regio's.To determine relative latencies between a specified location and Azure regions, see View relative latencies.
  • Hebt u de vereisten voor gegevens locatie, soevereiniteit, naleving of tolerantie?Do you have data residency, sovereignty, compliance, or resiliency requirements? Als dit het geval is, kiest u de regio die aan de vereisten voldoet.If so, choosing the region that aligns to the requirements is critical. Zie Azure-geografi(Engelstalig) voor meer informatie.For more information, see Azure geographies.
  • Hebt u tolerantie nodig over Azure-beschikbaarheidszones in dezelfde Azure-regio voor de resources die u implementeert?Do you require resiliency across Azure Availability Zones within the same Azure region for the resources you deploy? U kunt resources, zoals virtuele machines (VM), implementeren in verschillende beschikbaarheids zones binnen hetzelfde virtuele netwerk.You can deploy resources, such as virtual machines (VM) to different availability zones within the same virtual network. Niet alle Azure-regio's ondersteunen echter beschikbaarheids zones.Not all Azure regions support availability zones however. Zie beschikbaarheids zonesvoor meer informatie over beschikbaarheids zones en de regio's die deze ondersteunen.To learn more about availability zones and the regions that support them, see Availability zones.

AbonnementenSubscriptions

U kunt zoveel virtuele netwerken implementeren als vereist in elk abonnement, tot aan de limiet.You can deploy as many virtual networks as required within each subscription, up to the limit. Sommige organisaties hebben bijvoorbeeld verschillende abonnementen voor verschillende afdelingen.Some organizations have different subscriptions for different departments, for example. Zie voor meer informatie en overwegingen met betrekking tot abonnementen het beheer van abonnementen.For more information and considerations around subscriptions, see Subscription governance.

SegmentatieSegmentation

U kunt meerdere virtuele netwerken per abonnement en per regio maken.You can create multiple virtual networks per subscription and per region. U kunt meerdere subnetten binnen elk virtueel netwerk maken.You can create multiple subnets within each virtual network. De volgende overwegingen helpen u bij het bepalen van het aantal virtuele netwerken en subnetten dat u nodig hebt:The considerations that follow help you determine how many virtual networks and subnets you require:

Virtuele netwerkenVirtual networks

Een virtueel netwerk is een virtueel, geïsoleerd deel van het open bare Azure-netwerk.A virtual network is a virtual, isolated portion of the Azure public network. Elk virtueel netwerk is toegewezen aan uw abonnement.Each virtual network is dedicated to your subscription. Denk aan het volgende om te bepalen of u één virtueel netwerk of meerdere virtuele netwerken wilt maken in een abonnement:Things to consider when deciding whether to create one virtual network, or multiple virtual networks in a subscription:

  • Bestaan er beveiligings vereisten voor de organisatie voor het isoleren van verkeer in afzonderlijke virtuele netwerken?Do any organizational security requirements exist for isolating traffic into separate virtual networks? U kunt ervoor kiezen om virtuele netwerken te verbinden.You can choose to connect virtual networks or not. Als u virtuele netwerken koppelt, kunt u een virtueel netwerk apparaat, zoals een firewall, implementeren om de stroom van verkeer tussen de virtuele netwerken te beheren.If you connect virtual networks, you can implement a network virtual appliance, such as a firewall, to control the flow of traffic between the virtual networks. Zie beveiliging en connectiviteitvoor meer informatie.For more information, see security and connectivity.
  • Bestaan er organisatorische vereisten voor het isoleren van virtuele netwerken in afzonderlijke abonnementen of regio's?Do any organizational requirements exist for isolating virtual networks into separate subscriptions or regions?
  • Met een netwerk interface kan een virtuele machine communiceren met andere resources.A network interface enables a VM to communicate with other resources. Aan elke netwerk interface zijn een of meer privé-IP-adressen toegewezen.Each network interface has one or more private IP addresses assigned to it. Hoeveel netwerk interfaces en privé-IP-adressen hebt u nodig in een virtueel netwerk?How many network interfaces and private IP addresses do you require in a virtual network? Er gelden limieten voor het aantal netwerk interfaces en privé-IP-adressen dat u binnen een virtueel netwerk kunt hebben.There are limits to the number of network interfaces and private IP addresses that you can have within a virtual network.
  • Wilt u het virtuele netwerk verbinden met een ander virtueel netwerk of een on-premises netwerk?Do you want to connect the virtual network to another virtual network or on-premises network? U kunt ervoor kiezen om een aantal virtuele netwerken te koppelen aan elke andere of on-premises netwerken, maar niet op andere.You may choose to connect some virtual networks to each other or on-premises networks, but not others. Zie connectiviteitvoor meer informatie.For more information, see connectivity. Elk virtueel netwerk waarmee u verbinding maakt met een ander virtueel netwerk of een on-premises netwerk, moet een unieke adres ruimte hebben.Each virtual network that you connect to another virtual network, or on-premises network, must have a unique address space. Elk virtueel netwerk heeft een of meer open bare of privé adresbereiken toegewezen aan de adres ruimte.Each virtual network has one or more public or private address ranges assigned to its address space. Een adres bereik is opgegeven in CIDR-indeling (Classless Internet Domain Routing), zoals 10.0.0.0/16.An address range is specified in classless internet domain routing (CIDR) format, such as 10.0.0.0/16. Meer informatie over adresbereiken voor virtuele netwerken.Learn more about address ranges for virtual networks.
  • Hebt u bedrijfs beheer vereisten voor bronnen in verschillende virtuele netwerken?Do you have any organizational administration requirements for resources in different virtual networks? Als dat het geval is, kunt u resources scheiden in afzonderlijke virtuele netwerken om de machtigings toewijzing te vereenvoudigen voor personen in uw organisatie of om verschillende beleids regels toe te wijzen aan verschillende virtuele netwerken.If so, you might separate resources into separate virtual network to simplify permission assignment to individuals in your organization or to assign different policies to different virtual networks.
  • Wanneer u een aantal Azure-service resources in een virtueel netwerk implementeert, maken ze hun eigen virtuele netwerk.When you deploy some Azure service resources into a virtual network, they create their own virtual network. Als u wilt bepalen of een Azure-service een eigen virtueel netwerk maakt, raadpleegt u de informatie voor elke Azure-service die in een virtueel netwerk kan worden geïmplementeerd.To determine whether an Azure service creates its own virtual network, see information for each Azure service that can be deployed into a virtual network.

SubnettenSubnets

Een virtueel netwerk kan worden gesegmenteerd in een of meer subnetten tot aan de limieten.A virtual network can be segmented into one or more subnets up to the limits. Denk aan het volgende om te bepalen of u één subnet of meerdere virtuele netwerken wilt maken in een abonnement:Things to consider when deciding whether to create one subnet, or multiple virtual networks in a subscription:

  • Elk subnet moet een uniek adres bereik hebben, opgegeven in CIDR-notatie, binnen de adres ruimte van het virtuele netwerk.Each subnet must have a unique address range, specified in CIDR format, within the address space of the virtual network. Het adres bereik mag niet overlappen met andere subnetten in het virtuele netwerk.The address range cannot overlap with other subnets in the virtual network.
  • Als u van plan bent om bepaalde Azure-service resources te implementeren in een virtueel netwerk, kunnen ze een eigen subnet vereisen of maken, zodat er voldoende niet-toegewezen ruimte is.If you plan to deploy some Azure service resources into a virtual network, they may require, or create, their own subnet, so there must be enough unallocated space for them to do so. Als u wilt bepalen of een Azure-service een eigen subnet maakt, raadpleegt u de informatie voor elke Azure-service die in een virtueel netwerk kan worden geïmplementeerd.To determine whether an Azure service creates its own subnet, see information for each Azure service that can be deployed into a virtual network. Als u bijvoorbeeld een virtueel netwerk verbindt met een on-premises netwerk met behulp van een Azure-VPN Gateway, moet het virtuele netwerk een specifiek subnet voor de gateway hebben.For example, if you connect a virtual network to an on-premises network using an Azure VPN Gateway, the virtual network must have a dedicated subnet for the gateway. Meer informatie over Gateway-subnetten.Learn more about gateway subnets.
  • Azure routeert netwerk verkeer tussen alle subnetten in een virtueel netwerk standaard.Azure routes network traffic between all subnets in a virtual network, by default. U kunt de standaard routering van Azure onderdrukken om Azure-route ring tussen subnetten te voor komen of om verkeer tussen subnetten te routeren via een virtueel netwerk apparaat, bijvoorbeeld.You can override Azure's default routing to prevent Azure routing between subnets, or to route traffic between subnets through a network virtual appliance, for example. Als u wilt dat verkeer tussen bronnen in dezelfde virtuele netwerk stroom via een virtueel netwerk apparaat (NVA) wordt vereist, implementeert u de bronnen op verschillende subnetten.If you require that traffic between resources in the same virtual network flow through a network virtual appliance (NVA), deploy the resources to different subnets. Meer informatie vindt u in beveiliging.Learn more in security.
  • U kunt de toegang tot Azure-resources, zoals een Azure-opslag account of Azure SQL Database, beperken tot specifieke subnetten met een service-eind punt voor een virtueel netwerk.You can limit access to Azure resources such as an Azure storage account or Azure SQL Database, to specific subnets with a virtual network service endpoint. Verder kunt u de toegang tot de bronnen van Internet weigeren.Further, you can deny access to the resources from the internet. U kunt meerdere subnetten maken en een service-eind punt inschakelen voor sommige subnetten, maar niet voor anderen.You may create multiple subnets, and enable a service endpoint for some subnets, but not others. Meer informatie over service-eind puntenen de Azure-resources die u kunt inschakelen voor.Learn more about service endpoints, and the Azure resources you can enable them for.
  • U kunt nul of één netwerk beveiligings groep koppelen aan elk subnet in een virtueel netwerk.You can associate zero or one network security group to each subnet in a virtual network. U kunt dezelfde of een andere netwerk beveiligings groep koppelen aan elk subnet.You can associate the same, or a different, network security group to each subnet. Elke netwerk beveiligings groep bevat regels die verkeer naar en van bronnen en bestemmingen toestaan of weigeren.Each network security group contains rules, which allow or deny traffic to and from sources and destinations. Meer informatie over netwerk beveiligings groepen.Learn more about network security groups.

BeveiligingSecurity

U kunt netwerk verkeer van en naar resources in een virtueel netwerk filteren met behulp van netwerk beveiligings groepen en virtuele netwerk apparaten.You can filter network traffic to and from resources in a virtual network using network security groups and network virtual appliances. U kunt bepalen hoe Azure verkeer routeert van subnetten.You can control how Azure routes traffic from subnets. U kunt ook beperken wie in uw organisatie kan werken met resources in virtuele netwerken.You can also limit who in your organization can work with resources in virtual networks.

Verkeer filterenTraffic filtering

  • U kunt netwerk verkeer tussen bronnen in een virtueel netwerk filteren met behulp van een netwerk beveiligings groep, een NVA die netwerk verkeer filtert of beide.You can filter network traffic between resources in a virtual network using a network security group, an NVA that filters network traffic, or both. Als u een NVA, zoals een firewall, wilt implementeren om netwerk verkeer te filteren, raadpleegt u de Azure Marketplace.To deploy an NVA, such as a firewall, to filter network traffic, see the Azure Marketplace. Wanneer u een NVA gebruikt, maakt u ook aangepaste routes voor het routeren van verkeer van subnetten naar de NVA.When using an NVA, you also create custom routes to route traffic from subnets to the NVA. Meer informatie over verkeers routering.Learn more about traffic routing.
  • Een netwerk beveiligings groep bevat verschillende standaard beveiligings regels die verkeer naar of van resources toestaan of weigeren.A network security group contains several default security rules that allow or deny traffic to or from resources. Een netwerk beveiligings groep kan worden gekoppeld aan een netwerk interface, het subnet waarin de netwerk interface zich bevindt of beide.A network security group can be associated to a network interface, the subnet the network interface is in, or both. Om het beheer van beveiligings regels te vereenvoudigen, is het raadzaam om, indien mogelijk, een netwerk beveiligings groep te koppelen aan afzonderlijke subnetten, in plaats van afzonderlijke netwerk interfaces binnen het subnet.To simplify management of security rules, it's recommended that you associate a network security group to individual subnets, rather than individual network interfaces within the subnet, whenever possible.
  • Als voor verschillende Vm's in een subnet verschillende beveiligings regels moeten worden toegepast, kunt u de netwerk interface in de virtuele machine koppelen aan een of meer toepassings beveiligings groepen.If different VMs within a subnet need different security rules applied to them, you can associate the network interface in the VM to one or more application security groups. Met een beveiligings regel kan een toepassings beveiligings groep worden opgegeven in de bron, het doel of beide.A security rule can specify an application security group in its source, destination, or both. Deze regel geldt vervolgens alleen voor de netwerk interfaces die lid zijn van de toepassings beveiligings groep.That rule then only applies to the network interfaces that are members of the application security group. Meer informatie over netwerk beveiligings groepen en toepassings beveiligings groepen.Learn more about network security groups and application security groups.
  • Azure maakt diverse standaard beveiligings regels in elke netwerk beveiligings groep.Azure creates several default security rules within each network security group. Met één standaard regel kan al het verkeer tussen alle resources in een virtueel netwerk stromen.One default rule allows all traffic to flow between all resources in a virtual network. U kunt dit gedrag negeren door netwerk beveiligings groepen, aangepaste route ring te gebruiken om verkeer door te sturen naar een NVA of beide.To override this behavior, use network security groups, custom routing to route traffic to an NVA, or both. Het is raadzaam om vertrouwd te raken met alle standaard beveiligings regels van Azure en inzicht te krijgen in de manier waarop de regels voor netwerk beveiligings groepen worden toegepast op een bron.It's recommended that you familiarize yourself with all of Azure's default security rules and understand how network security group rules are applied to a resource.

U kunt voorbeeld ontwerpen weer geven voor het implementeren van een perimeter netwerk (ook wel DMZ genoemd) tussen Azure en Internet met behulp van een NVA.You can view sample designs for implementing a perimeter network (also known as a DMZ) between Azure and the internet using an NVA.

Verkeers routeringTraffic routing

Azure maakt verschillende standaard routes voor uitgaand verkeer van een subnet.Azure creates several default routes for outbound traffic from a subnet. U kunt de standaard routering van Azure onderdrukken door een route tabel te maken en deze te koppelen aan een subnet.You can override Azure's default routing by creating a route table and associating it to a subnet. Veelvoorkomende redenen voor het overschrijven van de standaard routering van Azure:Common reasons for overriding Azure's default routing are:

  • Omdat u verkeer tussen subnetten wilt laten lopen via een NVA.Because you want traffic between subnets to flow through an NVA. Voor meer informatie over het configureren van route tabellen om verkeer af te dwingen via een NVA.To learn more about how to configure route tables to force traffic through an NVA.
  • Omdat u alle met Internet gebonden verkeer via een NVA of on-premises via een Azure VPN-gateway wilt afdwingen.Because you want to force all internet-bound traffic through an NVA, or on-premises, through an Azure VPN gateway. Het afdwingen van Internet verkeer voor inspectie en logboek registratie wordt vaak geforceerde tunneling genoemd.Forcing internet traffic on-premises for inspection and logging is often referred to as forced tunneling. Meer informatie over het configureren van geforceerde tunneling.Learn more about how to configure forced tunneling.

Als u een aangepaste route ring moet implementeren, is het raadzaam om de route ring in azurete verkennen.If you need to implement custom routing, it's recommended that you familiarize yourself with routing in Azure.

ConnectiviteitConnectivity

U kunt een virtueel netwerk verbinden met andere virtuele netwerken met behulp van virtuele netwerk peering of met uw on-premises netwerk met behulp van een Azure VPN-gateway.You can connect a virtual network to other virtual networks using virtual network peering, or to your on-premises network, using an Azure VPN gateway.

PeeringPeering

Wanneer u virtuele netwerk peeringgebruikt, kunnen de virtuele netwerken zich in dezelfde of verschillende ondersteunde Azure-regio's bevinden.When using virtual network peering, the virtual networks can be in the same, or different, supported Azure regions. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-abonnementen behoren (zelfs abonnementen die tot verschillende Azure Active Directory tenants behoren).The virtual networks can be in the same or different Azure subscriptions (even subscriptions belonging to different Azure Active Directory tenants). Voordat u een peering maakt, is het raadzaam om vertrouwd te raken met alle vereisten en beperkingenvan de peering.Before creating a peering, it's recommended that you familiarize yourself with all of the peering requirements and constraints. De band breedte tussen resources in virtuele netwerken die zijn gekoppeld aan dezelfde regio is hetzelfde als die van de resources in hetzelfde virtuele netwerk.Bandwidth between resources in virtual networks peered in the same region is the same as if the resources were in the same virtual network.

VPN-gatewayVPN gateway

U kunt een Azure- VPN gateway gebruiken om een virtueel netwerk te verbinden met uw on-premises netwerk met behulp van een site-naar-site-VPNof door gebruik te maken van een speciale verbinding met Azure ExpressRoute.You can use an Azure VPN Gateway to connect a virtual network to your on-premises network using a site-to-site VPN, or using a dedicated connection with Azure ExpressRoute.

U kunt peering en een VPN-gateway combi neren om hub-en spoke-netwerkente maken, waarbij spoke-virtuele netwerken verbinding maken met een hub virtueel netwerk en de hub verbinding maakt met een on-premises netwerk.You can combine peering and a VPN gateway to create hub and spoke networks, where spoke virtual networks connect to a hub virtual network, and the hub connects to an on-premises network, for example.

NaamomzettingName resolution

Resources in één virtueel netwerk kunnen de namen van resources in een gekoppeld virtueel netwerk niet omzetten met behulp van de ingebouwde DNSvan Azure.Resources in one virtual network cannot resolve the names of resources in a peered virtual network using Azure's built-in DNS. Als u namen in een gekoppeld virtueel netwerk wilt omzetten, implementeert u uw eigen DNS-serverof gebruikt u Azure DNS particuliere domeinen.To resolve names in a peered virtual network, deploy your own DNS server, or use Azure DNS private domains. Voor het omzetten van namen tussen bronnen in een virtueel netwerk en on-premises netwerken moet u ook uw eigen DNS-server implementeren.Resolving names between resources in a virtual network and on-premises networks also requires you to deploy your own DNS server.

MachtigingenPermissions

Azure maakt gebruik van op rollen gebaseerd toegangs beheer (RBAC) naar bronnen.Azure utilizes role based access control (RBAC) to resources. Machtigingen worden toegewezen aan een bereik in de volgende hiërarchie: beheer groep, abonnement, resource groep en afzonderlijke resource.Permissions are assigned to a scope in the following hierarchy: management group, subscription, resource group, and individual resource. Zie uw resources organiserenvoor meer informatie over de hiërarchie.To learn more about the hierarchy, see Organize your resources. Als u wilt werken met virtuele netwerken van Azure en alle bijbehorende mogelijkheden, zoals peering, netwerk beveiligings groepen, service-eind punten en route tabellen, kunt u leden van uw organisatie toewijzen aan de ingebouwde rol van eigenaar, Inzenderof netwerk Inzender en vervolgens de rol toewijzen aan het juiste bereik.To work with Azure virtual networks and all of their related capabilities such as peering, network security groups, service endpoints, and route tables, you can assign members of your organization to the built-in Owner, Contributor, or Network contributor roles, and then assign the role to the appropriate scope. Als u specifieke machtigingen wilt toewijzen voor een subset van virtuele netwerk mogelijkheden, maakt u een aangepaste rol en wijst u de specifieke machtigingen toe die vereist zijn voor virtuele netwerken, subnetten en service-eind punten, netwerk interfaces, peering, netwerk-en toepassings beveiligings groepenof routerings tabellen naar de rol.If you want to assign specific permissions for a subset of virtual network capabilities, create a custom role and assign the specific permissions required for virtual networks, subnets and service endpoints, network interfaces, peering, network and application security groups, or route tables to the role.

BeleidPolicy

Met Azure Policy kunt u beleids definities maken, toewijzen en beheren.Azure Policy enables you to create, assign, and manage policy definitions. Met beleids definities worden verschillende regels voor uw resources afgedwongen, zodat de resources niet blijven voldoen aan de standaarden van uw organisatie en service overeenkomsten.Policy definitions enforce different rules over your resources, so the resources stay compliant with your organizational standards and service level agreements. Azure Policy voert een evaluatie uit van uw resources, waarbij wordt gescand op resources die niet compatibel zijn met de beleids definities die u hebt.Azure Policy runs an evaluation of your resources, scanning for resources that are not compliant with the policy definitions you have. U kunt bijvoorbeeld een beleid definiëren en Toep assen waarmee u alleen virtuele netwerken in een specifieke resource groep of regio kunt maken.For example, you can define and apply a policy that allows creation of virtual networks in only a specific resource group or region. Een ander beleid kan vereisen dat aan elk subnet een netwerk beveiligings groep is gekoppeld.Another policy can require that every subnet has a network security group associated to it. De beleids regels worden vervolgens geëvalueerd wanneer u resources maakt en bijwerkt.The policies are then evaluated when creating and updating resources.

Beleids regels worden toegepast op de volgende hiërarchie: beheer groep, abonnement en resource groep.Policies are applied to the following hierarchy: management group, subscription, and resource group. Meer informatie over Azure Policy of het implementeren van een of meer virtuele netwerk Azure Policy definities.Learn more about Azure Policy or deploy some virtual network Azure Policy definitions.

Volgende stappenNext steps

Meer informatie over alle taken, instellingen en opties voor een virtueel netwerk, subnet-en service-eind punt, netwerk interface, peering, netwerk-en toepassings beveiligings groepof route tabel.Learn about all tasks, settings, and options for a virtual network, subnet and service endpoint, network interface, peering, network and application security group, or route table.