Wat is Azure Virtual Network?

Azure Virtual Network (VNet) is de basisbouwsteen voor uw privénetwerk in Azure. Via VNet kunnen veel soorten Azure-resources, zoals virtuele Azure-machines, veilig communiceren met elkaar, internet en on-premises netwerken. VNet is vergelijkbaar met een traditioneel netwerk dat u in uw eigen datacentrum zou uitvoeren, maar biedt daarnaast de voordelen van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.

Waarom een virtueel Azure-netwerk gebruiken?

Via een virtueel Azure-netwerk kunnen Azure-resources veilig communiceren met elkaar, internet, en on-premises netwerken. Belangrijke scenario's die u met een virtueel netwerk kunt uitvoeren, zijn: communicatie van Azure-resources met internet, communicatie tussen Azure-resources, communicatie met on-premises resources, netwerkverkeer filteren, netwerkverkeer routeren en integratie met Azure-services.

Communiceren met internet

Alle resources in een VNet kunnen standaard uitgaand communiceren met internet. U kunt binnenkomend communiceren met een resource door er een openbaar IP-adres of een openbare Load Balancer aan toe te wijzen. U kunt ook een openbaar IP-adres of een openbare Load Balancer gebruiken voor het beheren van uw uitgaande verbindingen. Zie Uitgaande verbindingen, Openbare IP-adressen en Load Balancer voor meer informatie over uitgaande verbindingen in Azure.

Notitie

Wanneer u alleen een interne Standard Load Balancer gebruikt, is uitgaande connectiviteit niet beschikbaar totdat u definieert hoe u wilt dat uitgaande verbindingen werken met een op exemplaarniveau openbaar IP-adres of een openbare Load Balancer.

Communicatie tussen Azure-resources

Azure-resources communiceren veilig met elkaar op een van de volgende manieren:

  • Via een virtueel netwerk: U kunt virtuele machines en diverse andere soorten Azure-resources implementeren op een virtueel netwerk, zoals Azure App Service-omgevingen, de Azure Kubernetes Service (AKS) en Azure Virtual Machine Scale Sets. Zie Integratie van virtuele netwerkservices voor een volledige lijst met Azure-resources die u in een virtueel netwerk kunt implementeren.
  • Via een service-eindpunt voor een virtueel netwerk: Breid de openbare adresruimte van uw virtuele netwerk en de identiteit van uw virtuele netwerk uit naar Azure-serviceresources, zoals Azure Storage-accounts en Azure SQL Database, via een directe verbinding. Met service-eindpunten kunt u uw kritieke Azure-serviceresources alleen beveiligen naar een virtueel netwerk. Zie Overzicht van service-eindpunten voor virtuele netwerken voor meer informatie.
  • Via VNet-peering: U kunt virtuele netwerken met elkaar verbinden, zodat resources in beide virtuele netwerken met elkaar kunnen communiceren, met behulp van peering voor virtuele netwerken. De virtuele netwerken die u met elkaar verbindt, kunnen zich in dezelfde of verschillende Azure-regio's bevinden. Zie Peering van virtuele netwerken voor meer informatie.

Communiceren met on-premises resources

U kunt uw on-premises computers en netwerken verbinden met een virtueel netwerk via een combinatie van de volgende opties:

  • Punt-naar-site virtueel particulier netwerk (VPN): Wordt tot stand gebracht tussen een virtueel netwerk en een enkele computer in uw netwerk. Elke computer die verbinding wil met een virtueel netwerk moet de verbinding hiervoor configureren. Dit verbindingstype is handig als u net aan de slag gaat met Azure of voor ontwikkelaars, omdat hiervoor weinig of geen wijzigingen in uw bestaande netwerk nodig zijn. De communicatie tussen uw computer en een virtueel netwerk wordt verzonden via een gecodeerde tunnel via internet. Zie Point-to-site VPN voor meer informatie.
  • Site-to-site VPN: Wordt tot stand gebracht tussen uw on-premises VPN-apparaat en een Azure VPN Gateway die is geïmplementeerd in een virtueel netwerk. Met dit verbindingstype krijgen alle on-premises resource die u toestemming geeft toegang tot een virtueel netwerk. De communicatie tussen uw on-premises VPN-apparaat en een Azure VPN Gateway wordt verzonden via een gecodeerde tunnel via internet. Zie Site-to-site VPN voor meer informatie.
  • Azure ExpressRoute: Wordt tot stand gebracht tussen uw netwerk en Azure, via een ExpressRoute-partner. Deze verbinding is een privéverbinding. Verkeer gaat niet via internet. Zie ExpressRoute voor meer informatie.

Netwerkverkeer filteren

U kunt netwerkverkeer filteren tussen subnetten met behulp van een of beide van de volgende opties:

  • Netwerkbeveiligingsgroepen: Netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen kunnen meerdere binnenkomende en uitgaande beveiligingsregels bevatten waarmee u verkeer van en naar resources kunt filteren op bron- en doel-IP-adres, poort en protocol. Zie Netwerkbeveiligingsgroepen of Toepassingsbeveiligingsgroepen voor meer informatie.
  • Virtuele netwerkapparaten: Een virtueel netwerkapparaat is een virtuele machine die een netwerkfunctie uitvoert, zoals een firewall, WAN-optimalisatie of een andere netwerkfunctie. Zie Azure Marketplace voor meer informatie over het bekijken van een lijst met beschikbare virtuele netwerkapparaten die u in een virtueel netwerk kunt implementeren.

Netwerkverkeer routeren

Azure routeert verkeer standaard tussen subnetten, verbonden virtuele netwerken, on-premises netwerken en internet. U kunt een of beide van de volgende opties implementeren om de standaardroutes die Azure maakt te onderdrukken:

  • Routetabellen: U kunt aangepaste routetabellen maken met routes die bepalen waar verkeer naartoe wordt doorgestuurd voor elk subnet. Meer informatie over routetabellen.
  • BGP-routes (Border Gateway Protocol): Als u uw virtuele netwerk verbindt met uw on-premises netwerk via een Azure VPN Gateway- of ExpressRoute-verbinding, kunt u uw lokale BGP-routes doorgegeven aan uw virtuele netwerken. Lees meer over het gebruik van BGP met Azure VPN Gateway en ExpressRoute.

Integratie van virtuele netwerken voor Azure-services

Door Azure-services te integreren in een virtueel Azure-netwerk, kunt u persoonlijke toegang tot de service krijgen via virtuele machines of rekenresources in het virtuele netwerk. U kunt Azure-services in uw virtuele netwerk integreren met de volgende opties:

  • Implementatie van toegewezen exemplaren van de service in een virtueel netwerk. De services kunnen vervolgens worden geopend in het virtuele netwerk en vanuit on-premises netwerken.
  • Gebruik Private Link om toegang te krijgen tot een specifiek exemplaar van de service vanuit uw virtuele netwerk en vanuit on-premises netwerken.
  • U kunt de service ook openen met behulp van openbare eindpunten door een virtueel netwerk uit te breiden naar de service via service-eindpunten. Met service-eindpunten kunnen serviceresources worden beveiligd naar het virtuele netwerk.

Limieten voor Azure VNet

Er zijn bepaalde limieten voor het aantal Azure-resources dat u kunt implementeren. De meeste Azure-netwerklimieten zijn de maximumwaarden. U kunt echter bepaalde netwerklimieten verhogen zoals opgegeven op de pagina VNet-limieten.

Virtuele netwerken en beschikbaarheidszones

Virtuele netwerken en subnetten bespannen alle beschikbaarheidszones in een regio. U hoeft ze niet te delen door beschikbaarheidszones om zonelijke resources te kunnen gebruiken. Als u bijvoorbeeld een zonelijke VM configureert, hoeft u geen rekening te houden met het virtuele netwerk wanneer u de beschikbaarheidszone voor de virtuele machine selecteert. Hetzelfde geldt voor andere zonale resources.

Prijzen

Er worden geen kosten in rekening gebracht voor het gebruik van Azure VNet. Het is gratis. Er zijn standaardkosten van toepassing op resources, zoals virtuele machines (VM's) en andere producten. Zie VNet-prijzen en de prijscalculator van Azure voor meer informatie.

Volgende stappen