Wat is Azure Virtual Network?What is Azure Virtual Network?

Azure Virtual Network (VNet) is de basisbouwsteen voor uw privénetwerk in Azure.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. Via VNet kunnen veel soorten Azure-resources, zoals virtuele Azure-machines, veilig communiceren met elkaar, internet en on-premises netwerken.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. VNet is vergelijkbaar met een traditioneel netwerk dat u in uw eigen datacentrum zou uitvoeren, maar biedt daarnaast de voordelen van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

VNet-conceptenVNet concepts

  • Adresruimte: Wanneer u een VNet maakt, moet u een aangepaste persoonlijke IP-adresruimte opgeven met behulp van openbare en persoonlijke adressen (RFC 1918).Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure wijst resources in een virtueel netwerk een persoonlijk IP-adres toe op basis van de adresruimte die u toewijst.Azure assigns resources in a virtual network a private IP address from the address space that you assign. Als u bijvoorbeeld een VM in een VNet implementeert met adresruimte 10.0.0.0/16, wordt aan de VMe een privé-IP-adres, zoals 10.0.0.4, toegewezen.For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • Subnetten: Met subnetten kunt u het virtuele netwerk in een of meer subnetwerken segmenteren en een deel van de adresruimte van het virtuele netwerk aan elk subnet toewijzen.Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. Vervolgens kunt u Azure-resources implementeren in een specifiek subnet.You can then deploy Azure resources in a specific subnet. Net als in een traditioneel netwerk kunt u met subnetten uw VNet-adresruimte segmenteren in segmenten die geschikt zijn voor het interne netwerk van de organisatie.Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. Dit verbetert ook de efficiëntie van de adrestoewijzing.This also improves address allocation efficiency. U kunt resources binnen subnetten beveiligen met behulp van netwerkbeveiligingsgroepen.You can secure resources within subnets using Network Security Groups. Zie Netwerkbeveiligingsgroepen voor meer informatie.For more information, see Network security groups.
  • Regio's: Een VNet is afgebakend tot één regio/locatie, maar meerdere virtuele netwerken in verschillende regio's kunnen worden verbonden samen met behulp van peering van virtuele netwerken.Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • Abonnement: Het VNet bevindt zich in een abonnement.Subscription: VNet is scoped to a subscription. U kunt meerdere virtuele netwerken binnen elk Azure-abonnement en elke Azure-regio implementeren.You can implement multiple virtual networks within each Azure subscription and Azure region.

Aanbevolen proceduresBest practices

Wanneer u uw netwerk in Azure bouwt, is het belangrijk om de volgende universele principes te onthouden bij het ontwerpen:As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • Zorg ervoor dat de adresruimten niet overlappen.Ensure non-overlapping address spaces. Zorg ervoor dat uw VNet-adresruimte (CIDR-blok) niet overlapt met de andere netwerkbereiken van uw organisatie.Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • Uw subnetten mogen niet de gehele adresruimte van het VNet beslaan.Your subnets should not cover the entire address space of the VNet. Plan vooruit en reserveer wat adresruimte voor de toekomst.Plan ahead and reserve some address space for the future.
  • Het is beter om een klein aantal grote VNets te hebben dan een groot aantal kleine VNets.It is recommended you have fewer large VNets than multiple small VNets. Dit voor komt beheeroverhead.This will prevent management overhead.
  • Beveilig uw VNet door netwerkbeveiligingsgroepen (NSG's) toe te wijzen aan de onderliggende subnetten.Secure your VNet's by assigning Network Security Groups (NSGs) to the subnets beneath them.

Communiceren met internetCommunicate with the internet

Alle resources in een VNet kunnen standaard uitgaand communiceren met internet.All resources in a VNet can communicate outbound to the internet, by default. U kunt binnenkomend communiceren met een resource door er een openbaar IP-adres of een openbare Load Balancer aan toe te wijzen.You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. U kunt ook een openbaar IP-adres of een openbare Load Balancer gebruiken voor het beheren van uw uitgaande verbindingen.You can also use public IP or public Load Balancer to manage your outbound connections. Zie Uitgaande verbindingen, Openbare IP-adressen en Load Balancer voor meer informatie over uitgaande verbindingen in Azure.To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

Notitie

Wanneer u alleen een interne Standard Load Balancer gebruikt, is uitgaande connectiviteit niet beschikbaar totdat u definieert hoe u wilt dat uitgaande verbindingen werken met een op exemplaarniveau openbaar IP-adres of een openbare Load Balancer.When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Communicatie tussen Azure-resourcesCommunicate between Azure resources

Azure-resources communiceren veilig met elkaar op een van de volgende manieren:Azure resources communicate securely with each other in one of the following ways:

  • Via een virtueel netwerk: U kunt virtuele machines en diverse andere soorten Azure-resources implementeren op een virtueel netwerk, zoals Azure App Service-omgevingen, de Azure Kubernetes Service (AKS) en Azure Virtual Machine Scale Sets.Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. Zie Integratie van virtuele netwerkservices voor een volledige lijst met Azure-resources die u in een virtueel netwerk kunt implementeren.To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • Via een service-eindpunt voor een virtueel netwerk: Breid de openbare adresruimte van uw virtuele netwerk en de identiteit van uw virtuele netwerk uit naar Azure-serviceresources, zoals Azure Storage-accounts en Azure SQL Database, via een directe verbinding.Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL Database, over a direct connection. Met service-eindpunten kunt u uw kritieke Azure-serviceresources alleen beveiligen naar een virtueel netwerk.Service endpoints allow you to secure your critical Azure service resources to only a virtual network. Zie Overzicht van service-eindpunten voor virtuele netwerken voor meer informatie.To learn more, see Virtual network service endpoints overview.
  • Via VNet-peering: U kunt virtuele netwerken met elkaar verbinden, zodat resources in beide virtuele netwerken met elkaar kunnen communiceren, met behulp van peering voor virtuele netwerken.Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. De virtuele netwerken die u met elkaar verbindt, kunnen zich in dezelfde of verschillende Azure-regio's bevinden.The virtual networks you connect can be in the same, or different, Azure regions. Zie Peering van virtuele netwerken voor meer informatie.To learn more, see Virtual network peering.

Communiceren met on-premises resourcesCommunicate with on-premises resources

U kunt uw on-premises computers en netwerken verbinden met een virtueel netwerk via een combinatie van de volgende opties:You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • Punt-naar-site virtueel particulier netwerk (VPN): Wordt tot stand gebracht tussen een virtueel netwerk en een enkele computer in uw netwerk.Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. Elke computer die verbinding wil met een virtueel netwerk moet de verbinding hiervoor configureren.Each computer that wants to establish connectivity with a virtual network must configure its connection. Dit verbindingstype is handig als u net aan de slag gaat met Azure of voor ontwikkelaars, omdat hiervoor weinig of geen wijzigingen in uw bestaande netwerk nodig zijn.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. De communicatie tussen uw computer en een virtueel netwerk wordt verzonden via een gecodeerde tunnel via internet.The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. Zie Point-to-site VPN voor meer informatie.To learn more, see Point-to-site VPN.
  • Site-to-site VPN: Wordt tot stand gebracht tussen uw on-premises VPN-apparaat en een Azure VPN Gateway die is geïmplementeerd in een virtueel netwerk.Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. Met dit verbindingstype krijgen alle on-premises resource die u toestemming geeft toegang tot een virtueel netwerk.This connection type enables any on-premises resource that you authorize to access a virtual network. De communicatie tussen uw on-premises VPN-apparaat en een Azure VPN Gateway wordt verzonden via een gecodeerde tunnel via internet.The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. Zie Site-to-site VPN voor meer informatie.To learn more, see Site-to-site VPN.
  • Azure ExpressRoute: Wordt tot stand gebracht tussen uw netwerk en Azure, via een ExpressRoute-partner.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. Deze verbinding is een privéverbinding.This connection is private. Verkeer gaat niet via internet.Traffic does not go over the internet. Zie ExpressRoute voor meer informatie.To learn more, see ExpressRoute.

Netwerkverkeer filterenFilter network traffic

U kunt netwerkverkeer filteren tussen subnetten met behulp van een of beide van de volgende opties:You can filter network traffic between subnets using either or both of the following options:

  • Netwerkbeveiligingsgroepen: Netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen kunnen meerdere binnenkomende en uitgaande beveiligingsregels bevatten waarmee u verkeer van en naar resources kunt filteren op bron- en doel-IP-adres, poort en protocol.Network security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. Zie Netwerkbeveiligingsgroepen of Toepassingsbeveiligingsgroepen voor meer informatie.To learn more, see Network security groups or Application security groups.
  • Virtuele netwerkapparaten: Een virtueel netwerkapparaat is een virtuele machine die een netwerkfunctie uitvoert, zoals een firewall, WAN-optimalisatie of een andere netwerkfunctie.Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Zie Azure Marketplace voor meer informatie over het bekijken van een lijst met beschikbare virtuele netwerkapparaten die u in een virtueel netwerk kunt implementeren.To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

Netwerkverkeer routerenRoute network traffic

Azure routeert verkeer standaard tussen subnetten, verbonden virtuele netwerken, on-premises netwerken en internet.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. U kunt een of beide van de volgende opties implementeren om de standaardroutes die Azure maakt te onderdrukken:You can implement either or both of the following options to override the default routes Azure creates:

  • Routetabellen: U kunt aangepaste routetabellen maken met routes die bepalen waar verkeer naartoe wordt doorgestuurd voor elk subnet.Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. Meer informatie over routetabellen.Learn more about route tables.
  • BGP-routes (Border Gateway Protocol): Als u uw virtuele netwerk verbindt met uw on-premises netwerk via een Azure VPN Gateway- of ExpressRoute-verbinding, kunt u uw lokale BGP-routes doorgegeven aan uw virtuele netwerken.Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Lees meer over het gebruik van BGP met Azure VPN Gateway en ExpressRoute.Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Integratie van virtuele netwerken voor Azure-servicesVirtual network integration for Azure services

Door Azure-services te integreren in een virtueel Azure-netwerk, kunt u persoonlijke toegang tot de service krijgen via virtuele machines of rekenresources in het virtuele netwerk.Integrating Azure services to an Azure virtual network enables private access to the service from virtual machines or compute resources in the virtual network. U kunt Azure-services in uw virtuele netwerk integreren met de volgende opties:You can integrate Azure services in your virtual network with the following options:

  • Implementatie van toegewezen exemplaren van de service in een virtueel netwerk.Deploying dedicated instances of the service into a virtual network. De services kunnen vervolgens worden geopend in het virtuele netwerk en vanuit on-premises netwerken.The services can then be privately accessed within the virtual network and from on-premises networks.
  • Gebruik Private Link om toegang te krijgen tot een specifiek exemplaar van de service vanuit uw virtuele netwerk en vanuit on-premises netwerken.Using Private Link to access privately a specific instance of the service from your virtual network and from on-premises networks.
  • U kunt de service ook openen met behulp van openbare eindpunten door een virtueel netwerk uit te breiden naar de service via service-eindpunten.You can also access the service using public endpoints by extending a virtual network to the service, through service endpoints. Met service-eindpunten kunnen serviceresources worden beveiligd naar het virtuele netwerk.Service endpoints allow service resources to be secured to the virtual network.

Limieten voor Azure VNetAzure VNet limits

Er zijn bepaalde limieten voor het aantal Azure-resources dat u kunt implementeren.There are certain limits around the number of Azure resources you can deploy. De meeste Azure-netwerklimieten zijn de maximumwaarden.Most Azure networking limits are at the maximum values. U kunt echter bepaalde netwerklimieten verhogen zoals opgegeven op de pagina VNet-limieten.However, you can increase certain networking limits as specified on the VNet limits page.

PrijzenPricing

Er worden geen kosten in rekening gebracht voor het gebruik van Azure VNet. Het is gratis.There is no charge for using Azure VNet, it is free of cost. Er zijn standaardkosten van toepassing op resources, zoals virtuele machines (VM's) en andere producten.Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. Zie VNet-prijzen en de prijscalculator van Azure voor meer informatie.To learn more, see VNet pricing and the Azure pricing calculator.

Volgende stappenNext steps

Als u aan de slag wilt gaan met een virtueel netwerk, maakt u een virtueel netwerk, implementeert u een paar VM's en laat u de virtuele machines met elkaar communiceren.To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. Zie de snelstart Een virtueel netwerk maken voor meer informatie.To learn how, see the Create a virtual network quickstart.