Virtuele netwerken van Azure beschrijven
Met virtuele Azure-netwerken en virtuele subnetten kunnen Azure-resources, zoals VM's, web-apps en databases, met elkaar communiceren, met gebruikers op internet en met uw on-premises clientcomputers. U kunt een Azure-netwerk beschouwen als een uitbreiding van uw on-premises netwerk met resources die andere Azure-resources koppelen.
Virtuele Azure-netwerken bieden de volgende belangrijke netwerkmogelijkheden:
- Isolatie en segmentatie
- Communicatie via internet
- Communicatie tussen Azure-resources
- Communicatie met on-premises resources
- Netwerkverkeer routeren
- Netwerkverkeer filteren
- Virtuele netwerken met elkaar verbinden
Virtuele Azure-netwerken ondersteunen zowel openbare als privé-eindpunten om communicatie mogelijk te maken tussen externe of interne resources met andere interne resources.
- Openbare eindpunten hebben een openbaar IP-adres en zijn overal ter wereld toegankelijk.
- Privé-eindpunten bestaan in een virtueel netwerk en hebben een privé-IP-adres in de adresruimte van dat virtuele netwerk.
Isolatie en segmentatie
Met een virtueel Azure-netwerk kunt u meerdere geïsoleerde virtuele netwerken maken. Wanneer u een virtueel netwerk instelt, definieert u een privé-IP-adresruimte met behulp van een openbaar IP-adresbereik of een privé-IP-adresbereik. Het IP-bereik bestaat alleen binnen het virtuele netwerk en is niet routeerbaar via internet. U kunt die IP-adresruimte verdelen in subnetten en een deel van de gedefinieerde adresruimte toewijzen aan elk benoemd subnet.
Voor naamomzetting kunt u de naamomzettingsservice gebruiken die is ingebouwd in Azure. U kunt het virtuele netwerk ook configureren voor het gebruik van een interne of externe DNS-server.
Communicatie via internet
U kunt binnenkomende verbindingen van internet inschakelen door een openbaar IP-adres toe te wijzen aan een Azure-resource of door de resource achter een openbare load balancer te plaatsen.
Communicatie tussen Azure-resources
Waarschijnlijk wilt u Azure-resources veilig met elkaar laten communiceren. Dat kunt u op twee manieren doen:
- Virtuele netwerken kunnen niet alleen virtuele machines met elkaar verbinden, maar ook andere Azure-resources, zoals App Service Environment voor Power Apps, Azure Kubernetes Service en virtuele-machineschaalsets van Azure.
- Service-eindpunten kunnen verbinding maken met andere Azure-resourcetypen, zoals Azure SQL-databases en opslagaccounts. Met deze benadering kunt u meerdere Azure-resources aan virtuele netwerken koppelen om de beveiliging te verbeteren en de routering tussen resources te optimaliseren.
Communicatie met on-premises resources
Dankzij virtuele netwerken van Azure kunt u resources aan elkaar koppelen in uw on-premises omgeving en binnen uw Azure-abonnement. Zo ontstaat er eigenlijk een netwerk dat zowel uw lokale omgevingen als uw cloudomgevingen omvat. Er zijn drie methoden waarmee u deze connectiviteit kunt bereiken:
- Punt-naar-site-verbindingen voor virtueel particulier netwerk zijn van een computer buiten uw organisatie terug in uw bedrijfsnetwerk. In dit geval start de clientcomputer een versleutelde VPN-verbinding om verbinding te maken met het virtuele Azure-netwerk.
- Site-naar-site virtuele privénetwerken koppelen uw on-premises VPN-apparaat of gateway aan de Azure VPN-gateway in een virtueel netwerk. De apparaten in Azure kunnen zelfs zo worden weergegeven dat het lijkt alsof ze zich in het lokale netwerk bevinden. De verbinding is versleuteld en werkt via internet.
- Azure ExpressRoute biedt een toegewezen privéconnectiviteit met Azure die niet via internet reist. ExpressRoute is handig voor omgevingen waar u meer bandbreedte en nog hogere beveiligingsniveaus nodig hebt.
Netwerkverkeer routeren
Standaard routeert Azure verkeer tussen subnetten in alle verbonden virtuele netwerken, on-premises netwerken en internet. U kunt routering ook beheren en deze instellingen als volgt overschrijven:
- Met routetabellen kunt u regels definiëren over hoe verkeer moet worden omgeleid. U kunt aangepaste routetabellen maken die bepalen hoe pakketten tussen subnetten worden gerouteerd.
- Border Gateway Protocol (BGP) werkt met Azure VPN-gateways, Azure Route Server of Azure ExpressRoute om on-premises BGP-routes door te geven aan virtuele Azure-netwerken.
Netwerkverkeer filteren
Met virtuele netwerken van Azure kunt u het verkeer tussen subnetten filteren met behulp van de volgende methoden:
- Netwerkbeveiligingsgroepen zijn Azure-resources die meerdere binnenkomende en uitgaande beveiligingsregels kunnen bevatten. U kunt deze regels zo definiëren dat verkeer wordt toegestaan of geblokkeerd op basis van het IP-adres van bron en doel, de poort en het protocol.
- Virtuele netwerkapparaten zijn gespecialiseerde VM's die kunnen worden vergeleken met een beperkt netwerkapparaat. Een virtueel netwerkapparaat voert een bepaalde netwerkfunctie uit, zoals een firewall of WAN-optimalisatie (Wide Area Network).
Virtuele netwerken met elkaar verbinden
U kunt virtuele netwerken aan elkaar koppelen met behulp van peering voor virtuele netwerken. Met peering kunnen twee virtuele netwerken rechtstreeks met elkaar verbinding maken. Netwerkverkeer tussen gekoppelde netwerken is privé en reist op het Microsoft backbone-netwerk, en voert nooit het openbare internet in. Dankzij peering kunnen resources in ieder virtueel netwerk met elkaar communiceren. Deze virtuele netwerken kunnen zich in verschillende regio's bevinden. Hierdoor kunt u via Azure een wereldwijd verbonden netwerk maken.
Met door de gebruiker gedefinieerde routes (UDR) kunt u de routeringstabellen tussen subnetten binnen een virtueel netwerk of tussen virtuele netwerken beheren. Dit biedt meer controle over de netwerkverkeersstroom.