Veelgestelde vragen over virtuele Azure-netwerken (FAQ)Azure Virtual Network frequently asked questions (FAQ)

Basis beginselen van Virtual NetworkVirtual Network basics

Wat is een Azure-Virtual Network (VNet)?What is an Azure Virtual Network (VNet)?

Een Azure Virtual Network (VNet) is een weer gave van uw eigen netwerk in de Cloud.An Azure Virtual Network (VNet) is a representation of your own network in the cloud. Het is een logische isolatie van de Azure-cloud die is toegewezen aan uw abonnement.It is a logical isolation of the Azure cloud dedicated to your subscription. U kunt VNets gebruiken voor het inrichten en beheren van virtuele particuliere netwerken (Vpn's) in Azure en, optioneel, koppel de VNets met andere VNets in azure of met uw on-premises IT-infra structuur voor het maken van hybride of cross-premises oplossingen.You can use VNets to provision and manage virtual private networks (VPNs) in Azure and, optionally, link the VNets with other VNets in Azure, or with your on-premises IT infrastructure to create hybrid or cross-premises solutions. Elk VNet dat u maakt, heeft een eigen CIDR-blok en kan worden gekoppeld aan andere VNets-en on-premises netwerken, zolang de CIDR-blokken elkaar niet overlappen.Each VNet you create has its own CIDR block and can be linked to other VNets and on-premises networks as long as the CIDR blocks do not overlap. U hebt ook de controle over de DNS-server instellingen voor VNets en segmentatie van het VNet in subnetten.You also have control of DNS server settings for VNets, and segmentation of the VNet into subnets.

Gebruik VNets voor het volgende:Use VNets to:

  • Maak een speciaal VNet voor de privécloud.Create a dedicated private cloud-only VNet. Soms hebt u geen cross-premises configuratie nodig voor uw oplossing.Sometimes you don't require a cross-premises configuration for your solution. Wanneer u een VNet maakt, kunnen uw services en virtuele machines binnen uw VNet rechtstreeks en veilig met elkaar communiceren in de Cloud.When you create a VNet, your services and VMs within your VNet can communicate directly and securely with each other in the cloud. U kunt nog steeds eindpunt verbindingen configureren voor de Vm's en services waarvoor Internet communicatie is vereist, als onderdeel van uw oplossing.You can still configure endpoint connections for the VMs and services that require Internet communication, as part of your solution.

  • Breid uw Data Center veilig uit.Securely extend your data center. Met VNets kunt u traditionele site-naar-site-Vpn's (S2S) bouwen om de capaciteit van uw Data Center veilig te schalen.With VNets, you can build traditional site-to-site (S2S) VPNs to securely scale your datacenter capacity. S2S-Vpn's gebruiken IPSEC om een beveiligde verbinding te bieden tussen uw bedrijfs-VPN-gateway en Azure.S2S VPNs use IPSEC to provide a secure connection between your corporate VPN gateway and Azure.

  • Schakel hybride Cloud scenario's in.Enable hybrid cloud scenarios. VNets biedt u de flexibiliteit om een reeks hybride Cloud scenario's te ondersteunen.VNets give you the flexibility to support a range of hybrid cloud scenarios. U kunt op een veilige manier Cloud toepassingen verbinden met elk type on-premises systeem, zoals mainframes en UNIX-systemen.You can securely connect cloud-based applications to any type of on-premises system such as mainframes and Unix systems.

Hoe ga ik aan de slag?How do I get started?

Ga naar de documentatie van het virtuele netwerk om aan de slag te gaan.Visit the Virtual network documentation to get started. Deze inhoud bevat overzichts-en implementatie-informatie voor alle VNet-functies.This content provides overview and deployment information for all of the VNet features.

Kan ik VNets gebruiken zonder cross-premises-connectiviteit?Can I use VNets without cross-premises connectivity?

Ja.Yes. U kunt een VNet gebruiken zonder het aan uw locatie te koppelen.You can use a VNet without connecting it to your premises. U kunt bijvoorbeeld micro soft Windows Server Active Directory domein controllers en share point-Farms alleen uitvoeren in een Azure-VNet.For example, you could run Microsoft Windows Server Active Directory domain controllers and SharePoint farms solely in an Azure VNet.

Kan ik WAN-optimalisatie uitvoeren tussen VNets of een VNet en mijn on-premises Data Center?Can I perform WAN optimization between VNets or a VNet and my on-premises data center?

Ja.Yes. U kunt een WAN-optimalisatie netwerk virtueel apparaat van verschillende leveranciers implementeren via Azure Marketplace.You can deploy a WAN optimization network virtual appliance from several vendors through the Azure Marketplace.

ConfiguratieConfiguration

Welke hulpprogram ma's kan ik gebruiken om een VNet te maken?What tools do I use to create a VNet?

U kunt de volgende hulpprogram ma's gebruiken om een VNet te maken of configureren:You can use the following tools to create or configure a VNet:

Welke adresbereiken kan ik gebruiken in mijn VNets?What address ranges can I use in my VNets?

We raden u aan de adresbereiken te gebruiken die zijn geïnventariseerd in RFC 1918, die zijn gereserveerd door de IETF voor persoonlijke, niet-Routeer bare adres ruimten:We recommend that you use the address ranges enumerated in RFC 1918, which have been set aside by the IETF for private, non-routable address spaces:

  • 10.0.0.0-10.255.255.255 (10/8-voor voegsel)10.0.0.0 - 10.255.255.255 (10/8 prefix)
  • 172.16.0.0-172.31.255.255 (172.16/12-voor voegsel)172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
  • 192.168.0.0-192.168.255.255 (192.168/16-voor voegsel)192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Andere adres ruimten werken mogelijk wel, maar kunnen ongewenste neven effecten hebben.Other address spaces may work but may have undesirable side effects.

Daarnaast kunt u de volgende adresbereiken niet toevoegen:In addition, you cannot add the following address ranges:

  • 224.0.0.0/4 (multi cast)224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (broadcast)255.255.255.255/32 (Broadcast)
  • 127.0.0.0/8 (loop back)127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (link-local)169.254.0.0/16 (Link-local)
  • 168.63.129.16/32 (interne DNS)168.63.129.16/32 (Internal DNS)

Kan ik open bare IP-adressen hebben in mijn VNets?Can I have public IP addresses in my VNets?

Ja.Yes. Zie een virtueel netwerk makenvoor meer informatie over open bare IP-adresbereiken.For more information about public IP address ranges, see Create a virtual network. Open bare IP-adressen zijn niet rechtstreeks toegankelijk via internet.Public IP addresses are not directly accessible from the internet.

Geldt er een limiet voor het aantal subnetten in mijn VNet?Is there a limit to the number of subnets in my VNet?

Ja.Yes. Zie Azure-limieten voor meer informatie.See Azure limits for details. De adres ruimten van het subnet mogen elkaar niet overlappen.Subnet address spaces cannot overlap one another.

Zijn er beperkingen voor het gebruik van IP-adressen in deze subnetten?Are there any restrictions on using IP addresses within these subnets?

Ja.Yes. In Azure worden vijf IP-adressen gereserveerd in elk subnet.Azure reserves 5 IP addresses within each subnet. Dit zijn x. x. x. 0-x. x. x. 3 en het laatste adres van het subnet.These are x.x.x.0-x.x.x.3 and the last address of the subnet. x. x. x. 1-x. x. x. 3 is gereserveerd in elk subnet voor Azure-Services.x.x.x.1-x.x.x.3 is reserved in each subnet for Azure services.

  • x. x. x. 0: netwerk adresx.x.x.0: Network address
  • x. x. x. 1: gereserveerd door Azure voor de standaard gatewayx.x.x.1: Reserved by Azure for the default gateway
  • x. x. x. 2, x. x. x. 3: gereserveerd door Azure om de Azure DNS IP-adressen toe te wijzen aan de VNet-ruimtex.x.x.2, x.x.x.3: Reserved by Azure to map the Azure DNS IPs to the VNet space
  • x. x. x. 255: netwerk broadcast adresx.x.x.255: Network broadcast address

Hoe klein en hoe groot kan VNets en subnetten?How small and how large can VNets and subnets be?

Het kleinste ondersteunde IPv4-subnet is/29 en de grootste is/8 (met behulp van CIDR-subnet-definities).The smallest supported IPv4 subnet is /29, and the largest is /8 (using CIDR subnet definitions). IPv6-subnetten moeten exact/64 groot zijn.IPv6 subnets must be exactly /64 in size.

Kan ik mijn VLAN'S naar Azure brengen met behulp van VNets?Can I bring my VLANs to Azure using VNets?

Nee.No. VNets zijn laag-3-overlays.VNets are Layer-3 overlays. Azure biedt geen ondersteuning voor laag-2-semantiek.Azure does not support any Layer-2 semantics.

Kan ik aangepaste routerings beleidsregels opgeven voor mijn VNets en subnetten?Can I specify custom routing policies on my VNets and subnets?

Ja.Yes. U kunt een route tabel maken en deze koppelen aan een subnet.You can create a route table and associate it to a subnet. Zie route ring Overview(Engelstalig) voor meer informatie over route ring in Azure.For more information about routing in Azure, see Routing overview.

Biedt VNets ondersteuning voor multi cast of broadcast?Do VNets support multicast or broadcast?

Nee.No. Multi cast en broadcast worden niet ondersteund.Multicast and broadcast are not supported.

Welke protocollen kan ik gebruiken in VNets?What protocols can I use within VNets?

U kunt TCP-, UDP-en ICMP TCP/IP-protocollen gebruiken in VNets.You can use TCP, UDP, and ICMP TCP/IP protocols within VNets. Unicast wordt ondersteund in VNets, met uitzonde ring van Dynamic Host Configuration Protocol (DHCP) via unicast (bron poort UDP/68/doel poort UDP/67) en UDP-bron poort 65330 die is gereserveerd voor de host.Unicast is supported within VNets, with the exception of Dynamic Host Configuration Protocol (DHCP) via Unicast (source port UDP/68 / destination port UDP/67) and UDP source port 65330 which is reserved for the host. Multi cast-, broadcast-, IP-in-IP Inge kapselde pakketten en pakketten met algemene Routing Encapsulation (GRE) worden geblokkeerd in VNets.Multicast, broadcast, IP-in-IP encapsulated packets, and Generic Routing Encapsulation (GRE) packets are blocked within VNets.

Kan ik mijn standaard routers in een VNet pingen?Can I ping my default routers within a VNet?

Nee.No.

Kan ik tracert gebruiken voor het vaststellen van de connectiviteit?Can I use tracert to diagnose connectivity?

Nee.No.

Kan ik subnetten toevoegen nadat het VNet is gemaakt?Can I add subnets after the VNet is created?

Ja.Yes. Subnetten kunnen op elk gewenst moment worden toegevoegd aan VNets, zolang het adres bereik van het subnet geen deel uitmaakt van een ander subnet en er ruimte beschikbaar is in het adres bereik van het virtuele netwerk.Subnets can be added to VNets at any time as long as the subnet address range is not part of another subnet and there is available space left in the virtual network's address range.

Kan ik de grootte van mijn subnet wijzigen nadat ik het heb gemaakt?Can I modify the size of my subnet after I create it?

Ja.Yes. U kunt een subnet toevoegen, verwijderen, uitbreiden of verkleinen als hierin geen VM's of services zijn geïmplementeerd.You can add, remove, expand, or shrink a subnet if there are no VMs or services deployed within it.

Kan ik Vnet wijzigen nadat ik deze heb gemaakt?Can I modify Vnet after I created them?

Ja.Yes. U kunt de CIDR-blokken die door een VNet worden gebruikt, toevoegen, verwijderen en wijzigen.You can add, remove, and modify the CIDR blocks used by a VNet.

Kan ik verbinding maken met internet als ik mijn Services in een VNet uitvoer?If I am running my services in a VNet, can I connect to the internet?

Ja.Yes. Alle services die binnen een VNet zijn geïmplementeerd, kunnen uitgaande verbindingen met internet maken.All services deployed within a VNet can connect outbound to the internet. Zie uitgaande verbindingenvoor meer informatie over uitgaande Internet verbindingen in Azure.To learn more about outbound internet connections in Azure, see Outbound connections. Als u inkomend wilt verbinden met een resource die via Resource Manager is geïmplementeerd, moet aan de resource een openbaar IP-adres zijn toegewezen.If you want to connect inbound to a resource deployed through Resource Manager, the resource must have a public IP address assigned to it. Zie open bare IP-adressenvoor meer informatie over open bare IP-adressen.To learn more about public IP addresses, see Public IP addresses. Voor elke Azure-Cloud service die in Azure is geïmplementeerd, is een openbaar adresseerbaar VIP toegewezen.Every Azure Cloud Service deployed in Azure has a publicly addressable VIP assigned to it. U definieert invoer eindpunten voor PaaS-rollen en-eind punten voor virtuele machines om deze services in staat te stellen verbindingen van Internet te accepteren.You define input endpoints for PaaS roles and endpoints for virtual machines to enable these services to accept connections from the internet.

Bieden VNets ondersteuning voor IPv6?Do VNets support IPv6?

Ja, VNets kan alleen IPv4 of dual stack (IPv4 + IPv6) zijn.Yes, VNets can be IPv4-only or dual stack (IPv4+IPv6). Zie overzicht van IPv6 voor Azure Virtual Networksvoor meer informatie.For details, see Overview of IPv6 for Azure Virtual Networks.

Kunt u een VNet-bereik regio's?Can a VNet span regions?

Nee.No. Een VNet is beperkt tot één regio.A VNet is limited to a single region. Een virtueel netwerk omvat echter beschikbaarheids zones.A virtual network does, however, span availability zones. Zie Overzicht van beschikbaarheidszones voor meer informatie over beschikbaarheidszones.To learn more about availability zones, see Availability zones overview. U kunt virtuele netwerken in verschillende regio's verbinden met de peering van het virtuele netwerk.You can connect virtual networks in different regions with virtual network peering. Zie overzicht van virtuele netwerk peering voor meer informatieFor details, see Virtual network peering overview

Kan ik een VNet verbinden met een ander VNet in azure?Can I connect a VNet to another VNet in Azure?

Ja.Yes. U kunt verbinding maken met een VNet met een ander VNet met behulp van:You can connect one VNet to another VNet using either:

Naam omzetting (DNS)Name Resolution (DNS)

Wat zijn mijn DNS-opties voor VNets?What are my DNS options for VNets?

Gebruik de tabel beslissing op de pagina naam omzetting voor vm's en rolinstanties om u te helpen bij alle beschik bare DNS-opties.Use the decision table on the Name Resolution for VMs and Role Instances page to guide you through all the DNS options available.

Kan ik DNS-servers voor een VNet opgeven?Can I specify DNS servers for a VNet?

Ja.Yes. U kunt IP-adressen van de DNS-server opgeven in de VNet-instellingen.You can specify DNS server IP addresses in the VNet settings. De instelling wordt toegepast als de standaard DNS-server (s) voor alle virtuele machines in het VNet.The setting is applied as the default DNS server(s) for all VMs in the VNet.

Hoeveel DNS-servers kan ik opgeven?How many DNS servers can I specify?

Referentie Azure-limieten.Reference Azure limits.

Kan ik mijn DNS-servers wijzigen nadat ik het netwerk heb gemaakt?Can I modify my DNS servers after I have created the network?

Ja.Yes. U kunt de DNS-server lijst voor uw VNet op elk gewenst moment wijzigen.You can change the DNS server list for your VNet at any time. Als u de lijst met DNS-servers wijzigt, moet u een DHCP-lease vernieuwing uitvoeren op alle betrokken Vm's in het VNet, zodat de nieuwe DNS-instellingen van kracht worden.If you change your DNS server list, you need to perform a DHCP lease renewal on all affected VMs in the VNet, for the new DNS settings to take effect. Voor Vm's met Windows OS kunt u dit doen door ipconfig /renew rechtstreeks op de virtuele machine te typen.For VMs running Windows OS you can do this by typing ipconfig /renew directly on the VM. Raadpleeg de documentatie over het verlengen van DHCP-leases voor het specifieke type besturings systeem voor andere typen besturings systemen.For other OS types, refer to the DHCP lease renewal documentation for the specific OS type.

Wat is Azure DNS en werkt samen met VNets?What is Azure-provided DNS and does it work with VNets?

Door Azure geleverde DNS is een DNS-service voor meerdere tenants die door micro soft wordt aangeboden.Azure-provided DNS is a multi-tenant DNS service offered by Microsoft. Azure registreert al uw Vm's en Cloud service-rolinstanties in deze service.Azure registers all of your VMs and cloud service role instances in this service. Deze service biedt naam omzetting per hostnaam voor Vm's en rolinstanties die zich in dezelfde Cloud service bevinden, en op FQDN voor Vm's en rolinstanties in hetzelfde VNet.This service provides name resolution by hostname for VMs and role instances contained within the same cloud service, and by FQDN for VMs and role instances in the same VNet. Zie naam omzetting voor vm's en Cloud Services rolinstanties voormeer informatie over DNS.To learn more about DNS, see Name Resolution for VMs and Cloud Services role instances.

Er geldt een beperking voor de eerste 100-Cloud Services in een VNet voor het omzetten van cross-Tenant namen met behulp van Azure DNS.There is a limitation to the first 100 cloud services in a VNet for cross-tenant name resolution using Azure-provided DNS. Als u uw eigen DNS-server gebruikt, is deze beperking niet van toepassing.If you are using your own DNS server, this limitation does not apply.

Kan ik mijn DNS-instellingen overschrijven op basis van per VM of Cloud service?Can I override my DNS settings on a per-VM or cloud service basis?

Ja.Yes. U kunt DNS-servers per VM of Cloud service zo instellen dat de standaard netwerk instellingen worden overschreven.You can set DNS servers per VM or cloud service to override the default network settings. Het is echter raadzaam om zo veel mogelijk netwerk-DNS te gebruiken.However, it's recommended that you use network-wide DNS as much as possible.

Kan ik mijn eigen DNS-achtervoegsel plaatsen?Can I bring my own DNS suffix?

Nee.No. U kunt geen aangepast DNS-achtervoegsel opgeven voor uw VNets.You cannot specify a custom DNS suffix for your VNets.

Virtuele machines verbindenConnecting virtual machines

Kan ik Vm's implementeren in een VNet?Can I deploy VMs to a VNet?

Ja.Yes. Alle netwerk interfaces (NIC) die zijn gekoppeld aan een virtuele machine die is geïmplementeerd via het Resource Manager-implementatie model, moeten zijn verbonden met een VNet.All network interfaces (NIC) attached to a VM deployed through the Resource Manager deployment model must be connected to a VNet. Vm's die via het klassieke implementatie model worden geïmplementeerd, kunnen eventueel worden verbonden met een VNet.VMs deployed through the classic deployment model can optionally be connected to a VNet.

Wat zijn de verschillende typen IP-adressen die ik aan Vm's kan toewijzen?What are the different types of IP addresses I can assign to VMs?

  • Privé: Toegewezen aan elke NIC binnen elke VM.Private: Assigned to each NIC within each VM. Het adres wordt toegewezen met behulp van de statische of dynamische methode.The address is assigned using either the static or dynamic method. Privé-IP-adressen worden toegewezen uit het bereik dat u hebt opgegeven in de instellingen van het subnet van uw VNet.Private IP addresses are assigned from the range that you specified in the subnet settings of your VNet. Voor resources die zijn geïmplementeerd via het klassieke implementatie model, worden privé IP-adressen toegewezen, zelfs als ze niet zijn verbonden met een VNet.Resources deployed through the classic deployment model are assigned private IP addresses, even if they're not connected to a VNet. Het gedrag van de toewijzings methode verschilt, afhankelijk van het feit of een resource is geïmplementeerd met de Resource Manager of het klassieke implementatie model:The behavior of the allocation method is different depending on whether a resource was deployed with the Resource Manager or classic deployment model:

    • Resource Manager: een privé-IP-adres dat is toegewezen aan de dynamische of statische methode blijft toegewezen aan een virtuele machine (Resource Manager) totdat de resource wordt verwijderd.Resource Manager: A private IP address assigned with the dynamic or static method remains assigned to a virtual machine (Resource Manager) until the resource is deleted. Het verschil is dat u het adres selecteert dat u wilt toewijzen wanneer u statische gebruikt en Azure kiest wanneer u dynamische gebruikt.The difference is that you select the address to assign when using static, and Azure chooses when using dynamic.
    • Klassiek: een privé-IP-adres dat is toegewezen aan de dynamische methode kan worden gewijzigd wanneer een virtuele machine (klassieke) VM opnieuw wordt opgestart nadat de status gestopt (toewijzing ongedaan gemaakt) is bereikt.Classic: A private IP address assigned with the dynamic method may change when a virtual machine (classic) VM is restarted after having been in the stopped (deallocated) state. Als u er zeker van wilt zijn dat het privé-IP-adres voor een bron die via het klassieke implementatie model wordt geïmplementeerd, nooit wordt gewijzigd, wijst u een privé-IP-adres toe met de statische methode.If you need to ensure that the private IP address for a resource deployed through the classic deployment model never changes, assign a private IP address with the static method.
  • Openbaar: Optioneel toegewezen aan Nic's die zijn gekoppeld aan virtuele machines die zijn geïmplementeerd via het Azure Resource Manager-implementatie model.Public: Optionally assigned to NICs attached to VMs deployed through the Azure Resource Manager deployment model. Het adres kan worden toegewezen met de statische of dynamische toewijzings methode.The address can be assigned with the static or dynamic allocation method. Alle Vm's en Cloud Services rolinstanties die via het klassieke implementatie model zijn geïmplementeerd, bestaan in een Cloud service, waaraan een dynamisch, openbaar virtueel IP-adres (VIP) is toegewezen.All VMs and Cloud Services role instances deployed through the classic deployment model exist within a cloud service, which is assigned a dynamic, public virtual IP (VIP) address. Een openbaar statisch IP-adres, een gereserveerd IP adresgenoemd, kan optioneel als VIP worden toegewezen.A public static IP address, called a Reserved IP address, can optionally be assigned as a VIP. U kunt open bare IP-adressen toewijzen aan afzonderlijke Vm's of Cloud Services rolinstanties die worden geïmplementeerd via het klassieke implementatie model.You can assign public IP addresses to individual VMs or Cloud Services role instances deployed through the classic deployment model. Deze adressen worden een openbaar IP-adres op exemplaar niveau genoemd en kunnen dynamisch worden toegewezen.These addresses are called Instance level public IP (ILPIP addresses and can be assigned dynamically.

Kan ik een persoonlijk IP-adres reserveren voor een virtuele machine die ik op een later tijdstip moet maken?Can I reserve a private IP address for a VM that I will create at a later time?

Nee.No. U kunt geen privé-IP-adres reserveren.You cannot reserve a private IP address. Als er een privé-IP-adres beschikbaar is, wordt het toegewezen aan een virtuele machine of rolinstantie door de DHCP-server.If a private IP address is available, it is assigned to a VM or role instance by the DHCP server. De virtuele machine kan al dan niet de VM zijn waaraan u het privé-IP-adres wilt toewijzen.The VM may or may not be the one that you want the private IP address assigned to. U kunt echter het privé-IP-adres van een al gemaakte virtuele machine wijzigen in elk beschikbaar privé-IP-adres.You can, however, change the private IP address of an already created VM, to any available private IP address.

Worden privé-IP-adressen gewijzigd voor Vm's in een VNet?Do private IP addresses change for VMs in a VNet?

Dat hangt ervan af.It depends. Als de virtuele machine is geïmplementeerd via Resource Manager, Nee, ongeacht of het IP-adres is toegewezen met de statische of dynamische toewijzings methode.If the VM was deployed through Resource Manager, no, regardless of whether the IP address was assigned with the static or dynamic allocation method. Als de virtuele machine via het klassieke implementatie model is geïmplementeerd, kunnen dynamische IP-adressen worden gewijzigd wanneer een virtuele machine wordt gestart nadat de status gestopt (toewijzing ongedaan gemaakt) is bereikt.If the VM was deployed through the classic deployment model, dynamic IP addresses can change when a VM is started after having been in the stopped (deallocated) state. Het adres wordt vrijgegeven van een virtuele machine die is geïmplementeerd via een van beide implementatie modellen wanneer de virtuele machine wordt verwijderd.The address is released from a VM deployed through either deployment model when the VM is deleted.

Kan ik hand matig IP-adressen toewijzen aan Nic's in het VM-besturings systeem?Can I manually assign IP addresses to NICs within the VM operating system?

Ja, maar dit wordt niet aanbevolen, tenzij nodig, zoals bij het toewijzen van meerdere IP-adressen aan een virtuele machine.Yes, but it's not recommended unless necessary, such as when assigning multiple IP addresses to a virtual machine. Zie meerdere IP-adressen toevoegen aan een virtuele machinevoor meer informatie.For details, see Adding multiple IP addresses to a virtual machine. Als het IP-adres dat is toegewezen aan een Azure-NIC dat is gekoppeld aan een VM wordt gewijzigd en het IP-adres in het VM-besturings systeem verschilt, verliest u de verbinding met de virtuele machine.If the IP address assigned to an Azure NIC attached to a VM changes, and the IP address within the VM operating system is different, you lose connectivity to the VM.

Wat gebeurt er met mijn IP-adressen als ik een implementatie site voor de Cloud service stop of een virtuele machine afsluit vanuit het besturings systeem?If I stop a Cloud Service deployment slot or shutdown a VM from within the operating system, what happens to my IP addresses?

Niets.Nothing. De IP-adressen (openbaar VIP, openbaar en privé) blijven toegewezen aan de implementatie site van de Cloud service of virtuele machine.The IP addresses (public VIP, public, and private) remain assigned to the cloud service deployment slot or VM.

Kan ik Vm's van het ene subnet verplaatsen naar een ander subnet in een VNet zonder opnieuw te implementeren?Can I move VMs from one subnet to another subnet in a VNet without redeploying?

Ja.Yes. Meer informatie kunt u vinden in het artikel een VM of rolinstantie verplaatsen naar een ander subnet .You can find more information in the How to move a VM or role instance to a different subnet article.

Kan ik een statisch MAC-adres voor mijn virtuele machine configureren?Can I configure a static MAC address for my VM?

Nee.No. Een MAC-adres kan niet statisch worden geconfigureerd.A MAC address cannot be statically configured.

Blijft het MAC-adres hetzelfde voor mijn virtuele machine wanneer het wordt gemaakt?Will the MAC address remain the same for my VM once it's created?

Ja, het MAC-adres blijft hetzelfde voor een virtuele machine die is geïmplementeerd via de Resource Manager en de klassieke implementatie modellen totdat deze wordt verwijderd.Yes, the MAC address remains the same for a VM deployed through both the Resource Manager and classic deployment models until it's deleted. Voorheen werd het MAC-adres vrijgegeven als de virtuele machine is gestopt (toewijzing ongedaan gemaakt), maar nu wordt het MAC-adres bewaard, zelfs wanneer de virtuele machine de status disallocated heeft.Previously, the MAC address was released if the VM was stopped (deallocated), but now the MAC address is retained even when the VM is in the deallocated state. Het MAC-adres blijft toegewezen aan de netwerk interface totdat de netwerk interface is verwijderd of het privé-IP-adres dat is toegewezen aan de primaire IP-configuratie van de primaire netwerk interface, wordt gewijzigd.The MAC address remains assigned to the network interface until the network interface is deleted or the private IP address assigned to the primary IP configuration of the primary network interface is changed.

Kan ik verbinding maken met Internet vanaf een virtuele machine in een VNet?Can I connect to the internet from a VM in a VNet?

Ja.Yes. Alle Vm's en Cloud Services rolinstanties die in een VNet zijn geïmplementeerd, kunnen verbinding maken met internet.All VMs and Cloud Services role instances deployed within a VNet can connect to the Internet.

Azure-Services die verbinding maken met VNetsAzure services that connect to VNets

Kan ik Azure App Service Web Apps met een VNet gebruiken?Can I use Azure App Service Web Apps with a VNet?

Ja.Yes. U kunt Web Apps implementeren in een VNet met behulp van een ASE (App Service Environment), de back-end van uw apps verbinden met uw VNets met VNet-integratie en het inkomende verkeer naar uw app vergren delen met Service-eind punten.You can deploy Web Apps inside a VNet using an ASE (App Service Environment), connect the backend of your apps to your VNets with VNet Integration, and lock down inbound traffic to your app with service endpoints. Raadpleeg voor meer informatie de volgende artikelen:For more information, see the following articles:

Kan ik Cloud Services implementeren met web-en werk rollen (PaaS) in een VNet?Can I deploy Cloud Services with web and worker roles (PaaS) in a VNet?

Ja.Yes. U kunt ook Cloud Services rolinstanties implementeren in VNets.You can (optionally) deploy Cloud Services role instances within VNets. Hiervoor geeft u de VNet-naam en de rol/subnet toewijzingen op in de sectie netwerk configuratie van uw service configuratie.To do so, you specify the VNet name and the role/subnet mappings in the network configuration section of your service configuration. U hoeft uw binaire bestanden niet bij te werken.You do not need to update any of your binaries.

Kan ik een schaalset voor een virtuele machine verbinden met een VNet?Can I connect a virtual machine scale set to a VNet?

Ja.Yes. U moet een schaalset voor een virtuele machine verbinden met een VNet.You must connect a virtual machine scale set to a VNet.

Is er een volledige lijst met Azure-Services waarmee u resources kunt implementeren in een VNet?Is there a complete list of Azure services that can I deploy resources from into a VNet?

Ja, Zie virtuele netwerk integratie voor Azure-Servicesvoor meer informatie.Yes, For details, see Virtual network integration for Azure services.

Hoe kan ik de toegang tot Azure PaaS-resources beperken vanuit een VNet?How can I restrict access to Azure PaaS resources from a VNet?

Resources die via sommige Azure PaaS-Services (zoals Azure Storage en Azure SQL Database) zijn geïmplementeerd, kunnen de netwerk toegang tot VNet beperken via het gebruik van de service-eind punten voor virtuele netwerken of met een persoonlijke Azure-koppeling.Resources deployed through some Azure PaaS services (such as Azure Storage and Azure SQL Database), can restrict network access to VNet through the use of virtual network service endpoints or Azure Private Link. Zie overzicht van virtuele netwerk service-eind punten, overzicht van Azure private link voor meer informatieFor details, see Virtual network service endpoints overview, Azure Private Link overview

Kan ik mijn Services in en uit VNets verplaatsen?Can I move my services in and out of VNets?

Nee.No. U kunt Services in en uit VNets niet verplaatsen.You cannot move services in and out of VNets. Als u een resource wilt verplaatsen naar een ander VNet, moet u de resource verwijderen en opnieuw implementeren.To move a resource to another VNet, you have to delete and redeploy the resource.

BeveiligingSecurity

Wat is het beveiligings model voor VNets?What is the security model for VNets?

VNets zijn geïsoleerd van elkaar en andere services die in de Azure-infra structuur worden gehost.VNets are isolated from one another, and other services hosted in the Azure infrastructure. Een VNet is een grens van een vertrouwens relatie.A VNet is a trust boundary.

Kan ik de binnenkomende of uitgaande verkeers stroom beperken tot resources die zijn verbonden met het VNet?Can I restrict inbound or outbound traffic flow to VNet-connected resources?

Ja.Yes. U kunt netwerk beveiligings groepen Toep assen op afzonderlijke subnetten binnen een Vnet, nic's die zijn gekoppeld aan een vnet of beide.You can apply Network Security Groups to individual subnets within a VNet, NICs attached to a VNet, or both.

Kan ik een firewall implementeren tussen bronnen die zijn verbonden met VNet?Can I implement a firewall between VNet-connected resources?

Ja.Yes. U kunt via Azure Marketplace een virtueel netwerk van een firewall van verschillende leveranciers implementeren.You can deploy a firewall network virtual appliance from several vendors through the Azure Marketplace.

Is er informatie beschikbaar over het beveiligen van VNets?Is there information available about securing VNets?

Ja.Yes. Zie overzicht van Azure-netwerk beveiligingvoor meer informatie.For details, see Azure Network Security Overview.

Slaan virtuele netwerken klant gegevens op?Do Virtual Networks store customer data?

Nee.No. Virtuele netwerken slaan geen klant gegevens op.Virtual Networks doesn't store any customer data.

Api's, schema's en hulpprogram ma'sAPIs, schemas, and tools

Kan ik VNets beheren vanuit code?Can I manage VNets from code?

Ja.Yes. U kunt REST-Api's gebruiken voor VNets in de Azure Resource Manager en klassieke implementatie modellen.You can use REST APIs for VNets in the Azure Resource Manager and classic deployment models.

Is er hulp programma beschikbaar voor VNets?Is there tooling support for VNets?

Ja.Yes. Meer informatie over het gebruik van:Learn more about using:

VNet-peeringVNet peering

Wat is VNet-peering?What is VNet peering?

Met VNet-peering (of peering op virtueel netwerk) kunt u verbinding maken met virtuele netwerken.VNet peering (or virtual network peering) enables you to connect virtual networks. Met een VNet-peering-verbinding tussen virtuele netwerken kunt u verkeer via IPv4-adressen routeren tussen hun eigen gegevens.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Virtuele machines in de peered VNets kunnen met elkaar communiceren alsof ze zich in hetzelfde netwerk bevinden.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Deze virtuele netwerken kunnen zich in dezelfde regio bevinden of in verschillende regio's (ook bekend als Global VNet-peering).These virtual networks can be in the same region or in different regions (also known as Global VNet Peering). VNet-peering verbindingen kunnen ook worden gemaakt in azure-abonnementen.VNet peering connections can also be created across Azure subscriptions.

Kan ik een peering-verbinding maken met een VNet in een andere regio?Can I create a peering connection to a VNet in a different region?

Ja.Yes. Met wereld wijde VNet-peering kunt u VNets in verschillende regio's.Global VNet peering enables you to peer VNets in different regions. Wereld wijde VNet-peering is beschikbaar in alle open bare Azure-regio's, China-Cloud regio's en overheids Cloud regio's.Global VNet peering is available in all Azure public regions, China cloud regions, and Government cloud regions. U kunt geen wereld wijde peer van open bare Azure-regio's naar nationale Cloud regio's.You cannot globally peer from Azure public regions to national cloud regions.

Als de twee virtuele netwerken in twee verschillende regio's worden gekoppeld via globale VNet-peering, kunt u geen verbinding maken met bronnen die zich achter een basis Load Balancer bevinden via het front-end-IP-adres van de Load Balancer.If the two virtual networks in two different regions are peered over Global VNet Peering, you cannot connect to resources that are behind a Basic Load Balancer through the Front End IP of the Load Balancer. Deze beperking bestaat niet voor een Standard Load Balancer.This restriction does not exist for a Standard Load Balancer. De volgende resources kunnen Basic load balancers gebruiken. Dit betekent dat u deze niet kunt bereiken via het front-end-IP-adres van de Load Balancer via globale VNet-peering.The following resources can use Basic Load Balancers which means you cannot reach them through the Load Balancer's Front End IP over Global VNet Peering. U kunt ook globale VNet-peering gebruiken om de bronnen rechtstreeks te bereiken via hun eigen VNet-Ip's, indien toegestaan.You can however use Global VNet peering to reach the resources directly through their private VNet IPs, if permitted.

  • Vm's achter Basic load balancersVMs behind Basic Load Balancers
  • Schaal sets voor virtuele machines met Basic load balancersVirtual machine scale sets with Basic Load Balancers
  • Redis CacheRedis Cache
  • Application Gateway (v1) SKUApplication Gateway (v1) SKU
  • Service FabricService Fabric
  • API ManagementAPI Management
  • Active Directory-domein-service (toevoegen)Active Directory Domain Service (ADDS)
  • Logic AppsLogic Apps
  • HDInsightHDInsight
  • Azure BatchAzure Batch
  • App Service-omgevingApp Service Environment

U kunt via VNet-gateways verbinding maken met deze resources via ExpressRoute of VNet-naar-VNet.You can connect to these resources via ExpressRoute or VNet-to-VNet through VNet Gateways.

Kan ik VNet-peering inschakelen als mijn virtuele netwerken deel uitmaken van abonnementen binnen verschillende Azure Active Directory tenants?Can I enable VNet Peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Ja.Yes. Het is mogelijk om VNet-peering (lokaal of globaal) tot stand te brengen als uw abonnementen deel uitmaken van verschillende Azure Active Directory tenants.It is possible to establish VNet Peering (whether local or global) if your subscriptions belong to different Azure Active Directory tenants. U kunt dit doen via Portal, Power shell of CLI.You can do this via Portal, PowerShell or CLI.

Mijn VNet-peering-verbinding heeft de status gestart , waarom kan ik geen verbinding maken?My VNet peering connection is in Initiated state, why can't I connect?

Als uw peering-verbinding een geïnitieerde status heeft, betekent dit dat u slechts één koppeling hebt gemaakt.If your peering connection is in an Initiated state, this means you have created only one link. Er moet een bidirectionele koppeling worden gemaakt om een geslaagde verbinding te kunnen maken.A bidirectional link must be created in order to establish a successful connection. Voor bijvoorbeeld een peer VNet A naar VNet B, moet er een koppeling worden gemaakt van VNetA naar VNetB en van VNetB naar VNetA.For example, to peer VNet A to VNet B, a link must be created from VNetA to VNetB and from VNetB to VNetA. Als u beide koppelingen maakt, wordt de status gewijzigd in verbonden.Creating both links will change the state to Connected.

Mijn VNet-peering-verbinding heeft de status niet verbonden , waarom kan ik geen peering-verbinding maken?My VNet peering connection is in Disconnected state, why can't I create a peering connection?

Als uw VNet-peering-verbinding de status verbroken heeft, betekent dit dat een van de gemaakte koppelingen is verwijderd.If your VNet peering connection is in a Disconnected state, it means one of the links created was deleted. Als u een peering-verbinding wilt herstellen, moet u de koppeling verwijderen en opnieuw maken.In order to re-establish a peering connection, you will need to delete the link and recreate it.

Kan ik mijn VNet koppelen aan een VNet in een ander abonnement?Can I peer my VNet with a VNet in a different subscription?

Ja.Yes. U kunt VNets op verschillende abonnementen en in verschillende regio's.You can peer VNets across subscriptions and across regions.

Kan ik twee VNets met overeenkomende of overlappende adresbereiken?Can I peer two VNets with matching or overlapping address ranges?

Nee.No. Adres ruimten mogen niet overlappen om VNet-peering in te scha kelen.Address spaces must not overlap to enable VNet Peering.

Kan ik een VNet met twee verschillende VNets gelijkwaardig met de optie externe gateway gebruiken ingeschakeld op beide peerings?Can I peer a VNet to two different VNets with the the 'Use Remote Gateway' option enabled on both the peerings?

Nee.No. U kunt de optie externe gateway gebruiken alleen inschakelen voor één peering op een van de VNets.You can only enable the 'Use Remote Gateway' option on one peering to one of the VNets.

Er worden geen kosten in rekening gebracht voor het maken van een VNet-peering-verbinding.There is no charge for creating a VNet peering connection. Gegevens overdracht tussen peering-verbindingen wordt in rekening gebracht.Data transfer across peering connections is charged. Hier weer geven.See here.

Is het VNet-peering verkeer versleuteld?Is VNet peering traffic encrypted?

Als Azure-verkeer wordt verplaatst tussen Data Centers (buiten fysieke grenzen die niet worden beheerd door micro soft of namens micro soft), wordt MACsec Data Link Layer encryption gebruikt op de onderliggende netwerkhardware.When Azure traffic moves between datacenters (outside physical boundaries not controlled by Microsoft or on behalf of Microsoft), MACsec data-link layer encryption is utilized on the underlying network hardware. Dit is van toepassing op VNet-peering verkeer.This is applicable to VNet peering traffic.

Waarom is mijn peering-verbinding met een verbroken status?Why is my peering connection in a Disconnected state?

VNet-peering-verbindingen gaan in de status verbroken wanneer één VNet-peering koppeling wordt verwijderd.VNet peering connections go into Disconnected state when one VNet peering link is deleted. U moet beide koppelingen verwijderen om een succes volle peering-verbinding tot stand te brengen.You must delete both links in order to reestablish a successful peering connection.

Als ik VNetA naar VNetB en ik VNetB aan VNetC, betekent dat VNetA en VNetC dan ook gelijkwaardig?If I peer VNetA to VNetB and I peer VNetB to VNetC, does that mean VNetA and VNetC are peered?

Nee.No. Transitieve peering wordt niet ondersteund.Transitive peering is not supported. U moet peer-VNetA en VNetC om dit te kunnen doen.You must peer VNetA and VNetC for this to take place.

Zijn er bandbreedte beperkingen voor peering-verbindingen?Are there any bandwidth limitations for peering connections?

Nee.No. VNet-peering, lokaal of globaal, houdt geen beperkingen voor de band breedte op.VNet peering, whether local or global, does not impose any bandwidth restrictions. Band breedte wordt alleen beperkt door de virtuele machine of de compute-resource.Bandwidth is only limited by the VM or the compute resource.

Hoe kan ik problemen met VNet-peering oplossen?How can I troubleshoot VNet Peering issues?

Hier volgt een gids voor probleem oplossing die u kunt proberen.Here is a troubleshooter guide you can try.

Virtual Network TAPVirtual network TAP

Welke Azure-regio's zijn beschikbaar voor virtuele netwerk tikken?Which Azure regions are available for virtual network TAP?

Het voor beeld van een virtueel netwerk Tik is beschikbaar in alle Azure-regio's.Virtual network TAP preview is available in all Azure regions. De bewaakte netwerk interfaces, het virtuele netwerk Tik op resource en de collector-of analyse oplossing moeten in dezelfde regio worden geïmplementeerd.The monitored network interfaces, the virtual network TAP resource, and the collector or analytics solution must be deployed in the same region.

Ondersteunt Virtual Network op het ondersteunen van filter mogelijkheden voor gespiegelde pakketten?Does Virtual Network TAP support any filtering capabilities on the mirrored packets?

Filter functies worden niet ondersteund met het virtuele netwerk Tik op Preview.Filtering capabilities are not supported with the virtual network TAP preview. Wanneer een tik-configuratie wordt toegevoegd aan een netwerk interface, wordt een diepe kopie van alle binnenkomend en uitgaand verkeer op de netwerk interface gestreamd naar het kraan doel.When a TAP configuration is added to a network interface a deep copy of all the ingress and egress traffic on the network interface is streamed to the TAP destination.

Kunnen meerdere tikken configuraties worden toegevoegd aan een bewaakte netwerk interface?Can multiple TAP configurations be added to a monitored network interface?

Een bewaakte netwerk interface kan slechts één tik-configuratie hebben.A monitored network interface can have only one TAP configuration. Neem contact op met de individuele partner oplossing voor de mogelijkheid om meerdere exemplaren van het tikte verkeer naar de analyse hulpprogramma's van uw keuze te streamen.Check with the individual partner solution for the capability to stream multiple copies of the TAP traffic to the analytics tools of your choice.

Kan hetzelfde virtuele netwerk het aggregatie verkeer van de resource van bewaakte netwerk interfaces in meer dan één virtueel netwerk hebben?Can the same virtual network TAP resource aggregate traffic from monitored network interfaces in more than one virtual network?

Ja.Yes. U kunt hetzelfde virtuele netwerk op Resource gebruiken om gespiegeld verkeer van bewaakte netwerk interfaces in gekoppelde virtuele netwerken in hetzelfde abonnement of een ander abonnement samen te voegen.The same virtual network TAP resource can be used to aggregate mirrored traffic from monitored network interfaces in peered virtual networks in the same subscription or a different subscription. Het virtuele netwerk Tik op resource en de doel-load balancer of de doelnet-netwerk interface moeten zich in hetzelfde abonnement bevallen.The virtual network TAP resource and the destination load balancer or destination network interface must be in the same subscription. Alle abonnementen moeten onder hetzelfde Azure Active Directory Tenant staan.All subscriptions must be under the same Azure Active Directory tenant.

Zijn er prestatie overwegingen voor het productie verkeer als ik een virtueel netwerk Tik op een netwerk interface inschakel?Are there any performance considerations on production traffic if I enable a virtual network TAP configuration on a network interface?

Virtual Network TIKT is in preview.Virtual network TAP is in preview. Tijdens de preview-periode is er geen service level agreement.During preview, there is no service level agreement. De mogelijkheid mag niet worden gebruikt voor werk belastingen voor de productie.The capability should not be used for production workloads. Wanneer de netwerk interface van een virtuele machine is ingeschakeld met een tik-configuratie, worden dezelfde resources op de Azure-host die is toegewezen aan de virtuele machine voor het verzenden van het productie verkeer, gebruikt om de mirroring-functie uit te voeren en de gespiegelde pakketten te verzenden.When a virtual machine network interface is enabled with a TAP configuration, the same resources on the Azure host allocated to the virtual machine to send the production traffic is used to perform the mirroring function and send the mirrored packets. Selecteer de juiste grootte voor de virtuele Linux -of Windows -machine om ervoor te zorgen dat er voldoende bronnen beschikbaar zijn voor de virtuele machine om het productie verkeer en het gespiegelde verkeer te verzenden.Select the correct Linux or Windows virtual machine size to ensure that sufficient resources are available for the virtual machine to send the production traffic and the mirrored traffic.

Wordt versneld netwerken ondersteund voor Linux -of Windows -ondersteuning met een virtueel netwerk tikken?Is accelerated networking for Linux or Windows supported with virtual network TAP?

U kunt een tik-configuratie toevoegen op een netwerk interface die is gekoppeld aan een virtuele machine die is ingeschakeld met versneld netwerken.You will be able to add a TAP configuration on a network interface attached to a virtual machine that is enabled with accelerated networking. Maar de prestaties en latentie van de virtuele machine worden beïnvloed door het toevoegen van TIKT configuratie, omdat de offload van mirroring verkeer momenteel niet wordt ondersteund door Azure versneld netwerken.But the performance and latency on the virtual machine will be affected by adding TAP configuration since the offload for mirroring traffic is currently not supported by Azure accelerated networking.

Service-eindpunten voor virtueel netwerkVirtual network service endpoints

Wat is de juiste volg orde van bewerkingen voor het instellen van service-eind punten voor een Azure-service?What is the right sequence of operations to set up service endpoints to an Azure service?

Er zijn twee stappen voor het beveiligen van een Azure-Service Resource via service-eind punten:There are two steps to secure an Azure service resource through service endpoints:

  1. Schakel service-eind punten voor de Azure-service in.Turn on service endpoints for the Azure service.
  2. VNet-Acl's instellen voor de Azure-service.Set up VNet ACLs on the Azure service.

De eerste stap is een bewerking aan het netwerk en de tweede stap is een bewerking aan de service bron naast elkaar.The first step is a network side operation and the second step is a service resource side operation. Beide stappen kunnen door dezelfde beheerder of verschillende beheerders worden uitgevoerd op basis van de Azure RBAC-machtigingen die zijn verleend aan de beheerdersrol.Both steps can be performed either by the same administrator or different administrators based on the Azure RBAC permissions granted to the administrator role. We raden u aan eerst Service-eind punten voor uw virtuele netwerk in te scha kelen voordat u VNet-Acl's op de Azure-service kant instelt.We recommend that you first turn on service endpoints for your virtual network prior to setting up VNet ACLs on Azure service side. Daarom moeten de stappen in de bovenstaande volg orde worden uitgevoerd om de VNet-service-eind punten in te stellen.Hence, the steps must be performed in the sequence listed above to set up VNet service endpoints.

Notitie

Beide bewerkingen die hierboven worden beschreven, moeten worden voltooid voordat u de toegang tot de Azure-service kunt beperken tot het toegestane VNet en subnet.Both the operations described above must be completed before you can limit the Azure service access to the allowed VNet and subnet. Alleen het inschakelen van service-eind punten voor de Azure-service aan de kant van het netwerk biedt geen beperkte toegang.Only turning on service endpoints for the Azure service on the network side does not provide you the limited access. Daarnaast moet u ook VNet-Acl's instellen op de service kant van Azure.In addition, you must also set up VNet ACLs on the Azure service side.

Bepaalde services (zoals SQL en CosmosDB) maken uitzonde ringen op de bovenstaande volg orde mogelijk via de vlag IgnoreMissingVnetServiceEndpoint .Certain services (such as SQL and CosmosDB) allow exceptions to the above sequence through the IgnoreMissingVnetServiceEndpoint flag. Zodra de vlag is ingesteld op True, kunnen VNet-acl's worden ingesteld op de Azure-service naast het instellen van de service-eind punten aan de kant van het netwerk.Once the flag is set to True, VNet ACLs can be set on the Azure service side prior to setting up the service endpoints on the network side. Azure-Services bieden deze vlag om klanten te helpen in gevallen waarin de specifieke IP-firewalls zijn geconfigureerd in Azure-Services en de service-eind punten aan de kant van het netwerk in te scha kelen, kunnen leiden tot een connectiviteits vertraging sinds de bron-IP van een openbaar IPv4-adres naar een particulier adres wordt gewijzigd.Azure services provide this flag to help customers in cases where the specific IP firewalls are configured on Azure services and turning on the service endpoints on the network side can lead to a connectivity drop since the source IP changes from a public IPv4 address to a private address. Het instellen van VNet-Acl's op de service kant van Azure voordat u service-eind punten instelt op de netwerk zijde, kunt u helpen om een verbinding te verbreken.Setting up VNet ACLs on the Azure service side before setting service endpoints on the network side can help avoid a connectivity drop.

Bevinden alle Azure-Services zich in het virtuele Azure-netwerk van de klant?Do all Azure services reside in the Azure virtual network provided by the customer? Hoe werkt het VNet-service-eind punt met Azure-Services?How does VNet service endpoint work with Azure services?

Nee, niet alle Azure-Services bevinden zich in het virtuele netwerk van de klant.No, not all Azure services reside in the customer's virtual network. Het meren deel van Azure Data Services, zoals Azure Storage, Azure SQL en Azure Cosmos DB, zijn multi tenant-services die toegankelijk zijn via open bare IP-adressen.The majority of Azure data services such as Azure Storage, Azure SQL, and Azure Cosmos DB, are multi-tenant services that can be accessed over public IP addresses. Hiervindt u meer informatie over de integratie van virtuele netwerken voor Azure-Services.You can learn more about virtual network integration for Azure services here.

Wanneer u de functie voor de VNet-service-eind punten gebruikt (het VNet-service-eind punt op de netwerk zijde inschakelt en de juiste VNet-Acl's instelt op de Azure-service kant), is toegang tot een Azure-service beperkt van een toegestaan VNet en subnet.When you use the VNet service endpoints feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side), access to an Azure service is restricted from an allowed VNet and subnet.

Hoe biedt VNet-service-eind punten beveiliging?How does VNet service endpoint provide security?

De functie van het VNet-service-eind punt (door het VNet-service-eind punt in te scha kelen op de netwerk zijde en de juiste VNet-Acl's in te stellen op de Azure-service zijde) beperkt de toegang tot de Azure-service tot het toegestane VNet en subnet, waardoor het Azure-service verkeer kan worden beveiligd en geïsoleerd.The VNet service endpoint feature (turning on VNet service endpoint on the network side and setting up appropriate VNet ACLs on the Azure service side) limits the Azure service access to the allowed VNet and subnet, thus providing a network level security and isolation of the Azure service traffic. Al het verkeer met behulp van VNet-service-eind punten stromen over micro soft-backbone, waardoor een andere laag van isolatie van het open bare Internet wordt geboden.All traffic using VNet service endpoints flows over Microsoft backbone, thus providing another layer of isolation from the public internet. Daarnaast kunnen klanten de open bare Internet toegang tot de Azure-service bronnen volledig verwijderen en alleen verkeer vanaf hun virtuele netwerk toestaan via een combi natie van IP-firewall-en VNet-Acl's, waardoor de Azure-service bronnen worden beschermd tegen onbevoegde toegang.Moreover, customers can choose to fully remove public Internet access to the Azure service resources and allow traffic only from their virtual network through a combination of IP firewall and VNet ACLs, thus protecting the Azure service resources from unauthorized access.

Wat is de VNet-service Endpoint beveiligen-VNet-bronnen of Azure-service?What does the VNet service endpoint protect - VNet resources or Azure service?

Met de VNet-service-eind punten kunt u Azure-service resources beveiligen.VNet service endpoints help protect Azure service resources. VNet-bronnen worden beveiligd door netwerk beveiligings groepen (Nsg's).VNet resources are protected through Network Security Groups (NSGs).

Zijn er kosten verbonden aan het gebruik van VNet-service-eind punten?Is there any cost for using VNet service endpoints?

Nee, er zijn geen extra kosten verbonden aan het gebruik van VNet-service-eind punten.No, there is no additional cost for using VNet service endpoints.

Kan ik VNet-service-eind punten inschakelen en VNet-Acl's instellen als het virtuele netwerk en de Azure-service resources deel uitmaken van verschillende abonnementen?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different subscriptions?

Ja, dat is mogelijk.Yes, it is possible. Virtuele netwerken en Azure-service resources kunnen zich in dezelfde of een andere abonnementen bevindt.Virtual networks and Azure service resources can be either in the same or different subscriptions. De enige vereiste is dat zowel het virtuele netwerk als de Azure-service resources onder dezelfde Active Directory (AD)-Tenant moeten zijn.The only requirement is that both the virtual network and Azure service resources must be under the same Active Directory (AD) tenant.

Kan ik VNet-service-eind punten inschakelen en VNet-Acl's instellen als het virtuele netwerk en de Azure-service bronnen deel uitmaken van verschillende AD-tenants?Can I turn on VNet service endpoints and set up VNet ACLs if the virtual network and the Azure service resources belong to different AD tenants?

Ja, het is mogelijk bij het gebruik van service-eind punten voor Azure Storage en Azure Key Vault.Yes, it is possible when using service endpoints for Azure Storage and Azure Key Vault. Voor rest van services worden VNet-service-eind punten en VNet-Acl's niet ondersteund in AD-tenants.For rest of services, VNet service endpoints and VNet ACLs are not supported across AD tenants.

Kan een on-premises IP-adres van het apparaat zijn dat is verbonden via Azure Virtual Network gateway (VPN) of ExpressRoute gateway toegang Azure PaaS service via VNet-service-eind punten?Can an on-premises device’s IP address that is connected through Azure Virtual Network gateway (VPN) or ExpressRoute gateway access Azure PaaS Service over VNet service endpoints?

Standaard zijn Azure-serviceresources die zijn beveiligd naar virtuele netwerken, niet bereikbaar vanaf on-premises netwerken.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Als u verkeer van on-premises wilt toestaan, moet u ook open bare (doorgaans NAT) IP-adressen van uw on-premises of ExpressRoute toestaan.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Deze IP-adressen kunnen worden toegevoegd via de IP-firewall configuratie voor de Azure-service resources.These IP addresses can be added through the IP firewall configuration for the Azure service resources.

Kan ik de functie van het VNet-service-eind punt gebruiken om de Azure-service te beveiligen voor meerdere subnetten binnen een virtueel netwerk of over meerdere virtuele netwerken?Can I use VNet Service Endpoint feature to secure Azure service to multiple subnets within a virtual network or across multiple virtual networks?

Als u Azure-Services wilt beveiligen voor meerdere subnetten binnen een virtueel netwerk of meerdere virtuele netwerken, schakelt u service-eind punten in op het netwerk onafhankelijk van elkaar en vervolgens de Azure-service resources naar alle subnetten door de juiste VNet-Acl's in te stellen op de Azure-service kant.To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, enable service endpoints on the network side on each of the subnets independently and then secure Azure service resources to all of the subnets by setting up appropriate VNet ACLs on the Azure service side.

Hoe kan ik uitgaand verkeer van een virtueel netwerk filteren naar Azure-Services en nog steeds service-eind punten gebruiken?How can I filter outbound traffic from a virtual network to Azure services and still use service endpoints?

Als u het verkeer dat is bestemd voor een Azure-service vanaf het virtuele netwerk, wilt controleren of filteren, kunt u een virtueel netwerkapparaat implementeren binnen het virtuele netwerk.If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. U kunt vervolgens service-eind punten Toep assen op het subnet waar het virtuele netwerk apparaat wordt geïmplementeerd en Azure-service resources alleen naar dit subnet worden gedistribueerd via VNet-Acl's.You can then apply service endpoints to the subnet where the network virtual appliance is deployed and secure Azure service resources only to this subnet through VNet ACLs. Dit scenario kan ook nuttig zijn als u de toegang tot Azure-Services vanuit uw virtuele netwerk wilt beperken tot specifieke Azure-resources met behulp van het filteren van virtuele netwerk apparaten.This scenario might also be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources using network virtual appliance filtering. Zie Egress with network virtual appliances (Uitgaand verkeer met virtueel-netwerkapparaten) voor meer informatie.For more information, see egress with network virtual appliances.

Wat gebeurt er wanneer u toegang hebt tot een Azure-service account met een toegangs beheer lijst (ACL) voor virtuele netwerken die buiten het VNet is ingeschakeld?What happens when you access an Azure service account that has a virtual network access control list (ACL) enabled from outside the VNet?

De HTTP-fout 403 of HTTP 404 wordt geretourneerd.The HTTP 403 or HTTP 404 error is returned.

Zijn er subnetten van een virtueel netwerk die in verschillende regio's zijn gemaakt, toegang tot een Azure-service account in een andere regio toegestaan?Are subnets of a virtual network created in different regions allowed to access an Azure service account in another region?

Ja, voor de meeste Azure-Services hebben virtuele netwerken die in verschillende regio's zijn gemaakt toegang tot Azure-Services in een andere regio via de VNet-service-eind punten.Yes, for most of the Azure services, virtual networks created in different regions can access Azure services in another region through the VNet service endpoints. Als een Azure Cosmos DB-account bijvoorbeeld staat vs-West of VS-Oost en virtuele netwerken zich in meerdere regio's bevinden, heeft het virtuele netwerk toegang tot Azure Cosmos DB.For example, if an Azure Cosmos DB account is in West US or East US and virtual networks are in multiple regions, the virtual network can access Azure Cosmos DB. Opslag en SQL zijn uitzonde ringen en zijn in de regionale aard en zowel het virtuele netwerk als de Azure-service moeten zich in dezelfde regio bevinden.Storage and SQL are exceptions and are regional in nature and both the virtual network and the Azure service need to be in the same region.

Kan een Azure-service een VNet-ACL en een IP-firewall hebben?Can an Azure service have both a VNet ACL and an IP firewall?

Ja, een VNet-ACL en een IP-firewall kunnen naast elkaar bestaan.Yes, a VNet ACL and an IP firewall can co-exist. Beide functies vormen een aanvulling op elkaar om te zorgen voor isolatie en beveiliging.Both features complement each other to ensure isolation and security.

Wat gebeurt er als u een virtueel netwerk of subnet verwijdert waarvoor service-eind punt is ingeschakeld voor de Azure-service?What happens if you delete a virtual network or subnet that has service endpoint turned on for Azure service?

Het verwijderen van VNets en subnetten zijn onafhankelijke bewerkingen en worden ondersteund, zelfs wanneer service-eind punten zijn ingeschakeld voor Azure-Services.Deletion of VNets and subnets are independent operations and are supported even when service endpoints are turned on for Azure services. In gevallen waarin de Azure-Services VNet-Acl's hebben ingesteld voor die VNets en subnetten, wordt de VNet-ACL-informatie die is gekoppeld aan die Azure-service uitgeschakeld wanneer een VNet of subnet waarvoor VNet-service-eind punt is ingeschakeld, wordt verwijderd.In cases where the Azure services have VNet ACLs set up, for those VNets and subnets, the VNet ACL information associated with that Azure service is disabled when a VNet or subnet that has VNet service endpoint turned on is deleted.

Wat gebeurt er als een Azure-service account waarvoor een VNet-service-eind punt is ingeschakeld, is verwijderd?What happens if an Azure service account that has a VNet Service endpoint enabled is deleted?

Het verwijderen van een Azure-service account is een onafhankelijke bewerking en wordt ondersteund, zelfs wanneer het service-eind punt is ingeschakeld op de netwerk-en VNet-Acl's worden ingesteld op de service kant van Azure.The deletion of an Azure service account is an independent operation and is supported even when the service endpoint is enabled on the network side and VNet ACLs are set up on Azure service side.

Wat gebeurt er met het bron-IP-adres van een bron (zoals een virtuele machine in een subnet) waarvoor het VNet-service-eind punt is ingeschakeld?What happens to the source IP address of a resource (like a VM in a subnet) that has VNet service endpoint enabled?

Wanneer service-eind punten van het virtuele netwerk zijn ingeschakeld, worden de bron-IP-adressen van de resources in het subnet van het virtuele netwerk gewijzigd van het gebruik van open bare IPV4-adressen naar de privé-IP-adressen van het virtuele Azure-netwerk voor verkeer naar de Azure-service.When virtual network service endpoints are enabled, the source IP addresses of the resources in your virtual network's subnet switches from using public IPV4 addresses to the Azure virtual network's private IP addresses for traffic to Azure service. Houd er rekening mee dat dit kan leiden tot specifieke IP-firewalls die eerder op de Azure-Services zijn ingesteld op openbaar IPV4-adres.Note that this can cause specific IP firewalls that are set to public IPV4 address earlier on the Azure services to fail.

Heeft de route van het service-eind punt altijd voor rang?Does the service endpoint route always take precedence?

Service-eind punten voegen een systeem route toe die voor rang heeft boven BGP-routes en een optimale route ring biedt voor het verkeer van service-eind punten.Service endpoints add a system route which takes precedence over BGP routes and provides optimum routing for the service endpoint traffic. Service-eind punten nemen altijd direct service verkeer van uw virtuele netwerk naar de service in het backbone-netwerk Microsoft Azure.Service endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Voor meer informatie over hoe Azure een route selecteert, Zie route ring van virtueel netwerk verkeer van Azure.For more information about how Azure selects a route, see Azure Virtual network traffic routing.

Hoe werkt NSG op een subnet met Service-eind punten?How does NSG on a subnet work with service endpoints?

Voor het bereiken van de Azure-service moet Nsg's de uitgaande connectiviteit toestaan.To reach the Azure service, NSGs need to allow outbound connectivity. Als uw Nsg's zijn geopend voor al het uitgaande verkeer van Internet, zou het service-eindpunt verkeer moeten werken.If your NSGs are opened to all Internet outbound traffic, then the service endpoint traffic should work. U kunt het uitgaande verkeer ook beperken tot service-Ip's alleen met behulp van de service tags.You can also limit the outbound traffic to service IPs only using the Service tags.

Welke machtigingen heb ik nodig om service-eind punten in te stellen?What permissions do I need to set up service endpoints?

Service-eind punten kunnen worden geconfigureerd op een virtueel netwerk onafhankelijk van een gebruiker met schrijf toegang tot het virtuele netwerk.Service endpoints can be configured on a virtual network independently by a user with write access to the virtual network. Als u Azure-service resources wilt beveiligen met een VNet, moet de gebruiker beschikken over de machtiging micro soft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action voor de subnetten die worden toegevoegd.To secure Azure service resources to a VNet, the user must have permission Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Deze machtiging is standaard opgenomen in de ingebouwde rol service beheerder en kan worden gewijzigd door aangepaste rollen te maken.This permission is included in the built-in service administrator role by default and can be modified by creating custom roles. Meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen voor aangepaste rollen.Learn more about built-in roles and assigning specific permissions to custom roles.

Kan ik virtueel netwerk verkeer filteren op Azure-Services, zodat er alleen specifieke Azure-service resources meer zijn dan VNet-service-eind punten?Can I filter virtual network traffic to Azure services, allowing only specific azure service resources, over VNet service endpoints?

Met de beleids regels voor het beheer van virtuele netwerken (VNet) kunt u virtueel netwerk verkeer filteren op Azure-Services, zodat alleen specifieke Azure-service resources via de service-eind punten worden toegestaan.Virtual network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources over the service endpoints. Endpoint-beleids regels bieden gedetailleerd toegangs beheer van het virtuele netwerk verkeer naar de Azure-Services.Endpoint policies provide granular access control from the virtual network traffic to the Azure services. Hiervindt u meer informatie over de service-eindpunt beleidsregels.You can learn more about the service endpoint policies here.

Ondersteunt Azure Active Directory (Azure AD) VNet-service-eind punten?Does Azure Active Directory (Azure AD) support VNet service endpoints?

Azure Active Directory (Azure AD) biedt geen ondersteuning voor service-eind punten systeem eigen.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Volledige lijst met Azure-Services die de VNet-service-eind punten ondersteunen, is hierte zien.Complete list of Azure Services supporting VNet service endpoints can be seen here. Houd er rekening mee dat de tag ' micro soft. AzureActiveDirectory ' onder Services die service-eind punten ondersteunen wordt gebruikt voor het ondersteunen van service-eind punten voor ADLS gen 1.Note that the "Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used for supporting service endpoints to ADLS Gen 1. Voor ADLS gen 1 maakt de integratie van virtuele netwerken voor Azure Data Lake Storage Gen1 gebruik van de eindpunt beveiliging van het virtuele netwerk tussen uw virtuele netwerk en Azure Active Directory (Azure AD) voor het genereren van extra beveiligings claims in het toegangs token.For ADLS Gen 1, virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Deze claims worden vervolgens gebruikt om het virtuele netwerk te verifiëren bij het Data Lake Storage Gen1-account en toegang toe te staan.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Meer informatie over de integratie van Azure data Lake Store gen 1-VNetLearn more about Azure Data Lake Store Gen 1 VNet Integration

Gelden er limieten voor het aantal VNet-service-eind punten dat ik kan instellen vanuit mijn VNet?Are there any limits on how many VNet service endpoints I can set up from my VNet?

Er is geen limiet voor het totale aantal VNet-service-eind punten in een virtueel netwerk.There is no limit on the total number of VNet service endpoints in a virtual network. Voor een Azure-service resource (zoals een Azure Storage account) kunnen services beperkingen afdwingen voor het aantal subnetten dat wordt gebruikt voor het beveiligen van de bron.For an Azure service resource (such as an Azure Storage account), services may enforce limits on the number of subnets used for securing the resource. In de volgende tabel ziet u enkele voor beelden van limieten:The following table shows some example limits:

Azure-serviceAzure service Limieten voor VNet-regelsLimits on VNet rules
Azure StorageAzure Storage 100100
Azure SQLAzure SQL 128128
Azure Synapse AnalyticsAzure Synapse Analytics 128128
Azure KeyVaultAzure KeyVault 127127
Azure Cosmos DBAzure Cosmos DB 6464
Azure Event HubAzure Event Hub 128128
Azure Service BusAzure Service Bus 128128
Azure Data Lake Store v1Azure Data Lake Store V1 100100

Notitie

De limieten worden onderhevig aan wijzigingen in de keuze van de Azure-service.The limits are subjected to changes at the discretion of the Azure service. Raadpleeg de relevante service documentatie voor meer informatie over services.Refer to the respective service documentation for services details.