Planen virtueller Netzwerke

Das Erstellen eines virtuellen Netzwerks für Experimente ist einfach. Aber die Wahrscheinlichkeit ist hoch, dass Sie im Lauf der Zeit mehrere virtuelle Netzwerke bereitstellen, um die Produktionsanforderungen Ihrer Organisation zu erfüllen. Mit etwas Planung können Sie beim Bereitstellen von virtuellen Netzwerken und beim Herstellen einer Verbindung mit den Ressourcen effektiver vorgehen. Die Informationen in diesem Artikel sind besonders hilfreich, wenn Sie bereits mit virtuellen Netzwerken vertraut sind und etwas Erfahrung mit deren Verwendung haben. Wenn Sie nicht mit virtuellen Netzwerken vertraut sind, empfiehlt es sich, den Artikel mit der Übersicht über virtuelle Netzwerke zu lesen.

Benennung

Alle Azure-Ressourcen haben einen Namen. Der Name muss innerhalb des Geltungsbereichs eindeutig sein, der für jeden Ressourcentyp unterschiedlich sein kann. Der Name eines virtuellen Netzwerks muss beispielsweise innerhalb einer Ressourcengruppe eindeutig sein, kann jedoch innerhalb eines Abonnements oder einer Azure-Region dupliziert werden. Das Definieren einer Namenskonvention, die Sie beim Benennen von Ressourcen konsistent verwenden können, ist hilfreich, wenn mit der Zeit mehrere Netzwerkressourcen verwaltet werden. Empfehlungen finden Sie unter Namenskonventionen.

Regions

Alle Azure-Ressourcen werden in einer Azure-Region und unter einem Abonnement erstellt. Eine Ressource kann nur in einem virtuellen Netzwerk in derselben Region und unter demselben Abonnement wie die Ressource erstellt werden. Sie können jedoch virtuelle Netzwerke aus unterschiedlichen Abonnements und Regionen verbinden. Weitere Informationen finden Sie unter Konnektivität. Berücksichtigen Sie bei Ihrer Entscheidung, in welchen Regionen Ressourcen bereitgestellt werden sollen, wo sich die Benutzenden der Ressourcen physisch befinden:

• Ist Ihre Netzwerklatenz niedrig? Nutzer von Ressourcen erwarten normalerweise die geringstmögliche Netzwerklatenz für ihre Ressourcen. Informationen zum Ermitteln der relativen Latenz zwischen einem bestimmten Standort und Azure-Regionen finden Sie unter Anzeigen der relativen Latenz.
• Haben Sie Anforderungen in Bezug auf Datenresidenz, Datenhoheit, Datenkonformität oder Datenresilienz festgelegt? Wenn ja, ist die Auswahl der Region, die den Anforderungen entspricht, entscheidend. Weitere Informationen finden Sie unter Azure-Geografien.
• Ist Resilienz in den Azure-Verfügbarkeitszonen innerhalb derselben Azure-Region für die bereitgestellten Ressourcen erforderlich? Sie können Ressourcen, z. B. VMs, in unterschiedlichen Verfügbarkeitszonen innerhalb desselben virtuellen Netzwerks bereitstellen. Verfügbarkeitszonen werden nicht in allen Azure-Regionen unterstützt. Weitere Informationen zu Verfügbarkeitszonen und zu den Regionen, in denen sie unterstützt werden, finden Sie unter Verfügbarkeitszonen.

Abonnements

Innerhalb jedes Abonnements können Sie bis zum geltenden Limit beliebig viele virtuelle Netzwerke bereitstellen. Einige Organisationen verfügen beispielsweise für unterschiedliche Abteilungen über unterschiedliche Abonnements. Weitere Informationen und Überlegungen zu Abonnements finden Sie unter Abonnementgovernance.

Segmentierung

Sie können mehrere virtuelle Netzwerke pro Abonnement und pro Region erstellen. Sie können in jedem virtuellen Netzwerk mehrere Subnetze erstellen. Unter Berücksichtigung der folgenden Überlegungen können Sie festlegen, wie viele virtuelle Netzwerke und Subnetze Sie benötigen.

Virtuelle Netzwerke

Ein virtuelles Netzwerk ist ein virtueller und isolierter Bereich des öffentlichen Azure-Netzwerks. Jedes virtuelle Netzwerk ist Ihrem Abonnement zugeordnet. Bei der Sie Entscheidung, ob Sie ein virtuelles Netzwerk oder mehrere virtuelle Netzwerke in einem Abonnement erstellen möchten, sollten Sie die folgenden Punkte berücksichtigen:

• Liegen Sicherheitsanforderungen der Organisation zur Isolierung von Datenverkehr in separaten virtuellen Netzwerken vor? Sie können auswählen, ob virtuelle Netzwerke verbunden oder nicht verbunden werden. Wenn Sie virtuelle Netzwerke verbinden, können Sie ein virtuelles Netzwerkgerät (z.B. eine Firewall) implementieren, um den ein- und ausgehenden Datenverkehr zwischen den virtuellen Netzwerken zu steuern. Weitere Informationen finden Sie unter Sicherheit und Konnektivität.
• Liegen Sicherheitsanforderungen der Organisation zur Isolierung von virtuellen Netzwerken in separaten Abonnements oder Regionen vor?
• Gibt es besondere Anforderungen an die Netzwerkschnittstelle? Eine Netzwerkschnittstelle ermöglicht die Kommunikation zwischen einem virtuellen Computer und anderen Ressourcen. Jeder Netzwerkschnittstelle sind private IP-Adressen zugewiesen. Wie viele Netzwerkschnittstellen und private IP-Adressen benötigen Sie in einem virtuellen Netzwerk? Die Anzahl der Netzwerkschnittstellen und privaten IP-Adressen, die in einem virtuellen Netzwerk festgelegt werden können, ist begrenzt.
• Möchten Sie das virtuelle Netzwerk mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden? Sie können einige virtuelle Netzwerke untereinander oder mit lokalen Netzwerken verbinden, jedoch nicht alle. Weitere Informationen finden Sie unter Konnektivität. Jedes virtuelle Netzwerk, das Sie mit einem anderen virtuellen Netzwerk oder einem lokalen Netzwerk verbinden, muss über einen eindeutigen Adressraum verfügen. Jedes virtuelle Netzwerk verfügt über einen oder mehrere dem Adressraum zugewiesene öffentliche oder private Adressbereiche. Ein Adressbereich wird im CIDR-Format (Classless Interdomain Routing, klassenloses domänenübergreifendes Routing) angegeben, z.B. 10.0.0.0/16. Weitere Informationen zu Adressbereichen für virtuelle Netzwerke finden Sie hier.
• Liegen Verwaltungsanforderungen der Organisation in Bezug auf Ressourcen in unterschiedlichen virtuellen Netzwerken vor? In diesem Fall können Sie Ressourcen auf separate virtuelle Netzwerken verteilen, um die Zuweisung von Berechtigungen zu Personen in Ihrer Organisation zu vereinfachen oder um unterschiedlichen virtuellen Netzwerken verschiedene Richtlinien zuzuweisen.
• Verfügen Sie über Anforderungen für Ressourcen, die ein eigenes virtuelles Netzwerk erstellen können? Wenn Sie Azure-Dienstressourcen in einem virtuellen Netzwerk bereitstellen, wird jeweils ein zugehöriges virtuelles Netzwerk erstellt. In den zugehörigen Informationen zu jedem Azure-Dienst, der in einem virtuellen Netzwerk bereitgestellt werden kann, können Sie einsehen, ob für einen Azure-Dienst ein eigenes virtuelles Netzwerk erstellt wird.

Subnetze

Sie können virtuelles Netzwerk bis zu den geltenden Grenzwerten in Subnetze segmentieren. Bei der Sie Entscheidung, ob Sie ein Subnetz oder mehrere virtuelle Netzwerke in einem Abonnement erstellen möchten, sollten Sie die folgenden Punkte berücksichtigen:

• Jedes Subnetz muss über einen eindeutigen im CIDR-Format angegebenen Adressbereich innerhalb des Adressraums des virtuellen Netzwerks verfügen. Der Adressbereich darf sich nicht mit anderen Subnetzen im virtuellen Netzwerk überlappen.
• Wenn Sie einige Azure-Dienstressourcen in einem virtuellen Netzwerk bereitstellen möchten, ist es möglich, dass für diese ein eigenes Subnetz erforderlich ist oder erstellt werden muss. Dafür muss ausreichend nicht verfügbarer Speicher zur Verfügung stehen. In den jeweiligen Informationen zu jedem Azure-Dienst, der in einem virtuellen Netzwerk bereitgestellt werden kann, können Sie einsehen, ob für einen Azure-Dienst ein eigenes zugehöriges Subnetz erstellt wird. Wenn Sie z. B. ein virtuelles Netzwerk über eine Azure VPN Gateway-Instanz mit einem lokalen Netzwerk verbinden, muss das virtuelle Netzwerk über ein dediziertes Subnetz für das Gateway verfügen. Weitere Informationen zu Gatewaysubnetzen finden Sie hier.
• Setzen Sie das Standardrouting für den Netzwerkdatenverkehr zwischen allen Subnetzen in einem virtuellen Netzwerk außer Kraft. Sie verhindern damit das Azure-Routing zwischen Subnetzen oder die Weiterleitung von Datenverkehr zwischen Subnetzen z. B. über ein virtuelles Netzwerkgerät. Wenn Sie festlegen möchten, dass Datenverkehr zwischen Ressourcen im selben virtuellen Netzwerk über ein virtuelles Netzwerkgerät übermittelt wird, stellen Sie die Ressourcen in unterschiedlichen Subnetzen bereit. Weitere Informationen finden Sie unter Sicherheit.
• Sie können den Zugriff auf Azure-Ressourcen, z. B. auf ein Azure Storage-Konto oder eine Azure SQL-Datenbank-Instanz, auf bestimmte Subnetze mit einem VNET-Dienstendpunkt einschränken. Außerdem können Sie den Zugriff auf die Ressourcen über das Internet verweigern. Sie können mehrere Subnetze erstellen und für bestimmte Subnetze einen Dienstendpunkt aktivieren, für andere hingegen nicht. Erfahren Sie mehr über Dienstendpunkte und die Azure-Ressourcen, für die Sie sie aktivieren können.
• Sie können jedem Subnetz in einem virtuellen Netzwerk eine Netzwerksicherheitsgruppe zuordnen, dies ist jedoch nicht erforderlich. Sie können jedem Subnetz dieselbe oder eine unterschiedliche Netzwerksicherheitsgruppe zuordnen. Jede Netzwerksicherheitsgruppe enthält Regeln, mit denen Datenverkehr zu und von Quellen und Zielen zugelassen oder verweigert wird. Weitere Informationen zu Netzwerksicherheitsgruppen.

Sicherheit

Sie können den Netzwerkdatenverkehr zu und von Ressourcen in einem virtuellen Netzwerk mithilfe von Netzwerksicherheitsgruppen und virtuellen Netzwerkgeräten filtern. Sie können steuern, wie in Azure Datenverkehr aus Subnetzen weitergeleitet wird. Zudem können Sie einschränken, welche Benutzer in Ihrer Organisation Ressourcen in virtuellen Netzwerken verwenden können.

Filtern von Datenverkehr

• Sie können den Netzwerkdatenverkehr zwischen Ressourcen in einem virtuellen Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern und/oder mithilfe eines virtuellen Netzwerkgeräts, das dazu in der Lage ist. Weitere Informationen zum Bereitstellen eines virtuellen Netzwerkgeräts (z. B. einer Firewall) zum Filtern von Netzwerkdatenverkehr finden Sie im Azure Marketplace. Bei Verwendung eines virtuellen Netzwerkgeräts erstellen Sie auch benutzerdefinierte Routen zur Weiterleitung des Datenverkehrs aus Subnetzen an das virtuelle Netzwerkgerät. Weitere Informationen zu Routing von Datenverkehr.
• Eine Netzwerksicherheitsgruppe enthält mehrere Standardsicherheitsregeln, mit denen Datenverkehr zu und von Ressourcen zugelassen oder verweigert wird. Sie können Netzwerksicherheitsgruppe einer Netzwerkschnittstelle oder dem Subnetz zuordnen, in dem sich die Netzwerkschnittstelle befindet. Zur vereinfachten Verwaltung von Sicherheitsregeln empfiehlt es sich, eine Netzwerksicherheitsgruppe nach Möglichkeit einzelnen Subnetzen und nicht einzelnen Netzwerkschnittstellen in einem Subnetz zuzuordnen.
• Wenn auf unterschiedliche virtuelle Computer innerhalb eines Subnetzes unterschiedliche Sicherheitsregeln angewandt werden sollen, können Sie die Netzwerkschnittstelle im virtuellen Computer Anwendungssicherheitsgruppen zuordnen. In einer Sicherheitsregel kann eine Anwendungssicherheitsgruppe als Quelle und Ziel angegeben werden. Diese Regel gilt dann nur für die Netzwerkschnittstellen, die Mitglieder der Anwendungssicherheitsgruppe sind. Weitere Informationen zu Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen.
• Wenn eine Netzwerksicherheitsgruppe auf Subnetzebene zugeordnet ist, gilt sie für alle Netzwerkschnittstellencontroller im Subnetz, nicht nur für den Datenverkehr, der von außerhalb des Subnetzes kommt. Der Datenverkehr zwischen den VMs im Subnetz kann ebenfalls betroffen sein.
• In Azure werden in jeder Netzwerksicherheitsgruppe mehrere Standardsicherheitsregeln erstellt. Eine Standardregel lässt die Weiterleitung des gesamten Datenverkehrs zwischen allen Ressourcen in einem virtuellen Netzwerk zu. Dieses Verhalten können Sie mithilfe von Netzwerksicherheitsgruppen oder benutzerdefiniertem Routing zum Weiterleiten von Datenverkehr an ein virtuelles Netzwerkgerät außer Kraft setzen. Es wird empfohlen, sich mit allen Standardsicherheitsregeln von Azure sowie mit der Anwendung von Netzwerksicherheitsgruppen-Regeln auf eine Ressource vertraut zu machen.

Sie können sich Beispielentwürfe für die Implementierung eines Umkreisnetzwerks (auch als DMZ bezeichnet) zwischen Azure und dem Internet unter Verwendung eines virtuellen Netzwerkgeräts ansehen.

Routing von Datenverkehr

In Azure werden mehrere Standardrouten für ausgehenden Datenverkehr aus einem Subnetz erstellt. Sie können das Azure-Standardrouting außer Kraft setzen, indem Sie eine Routingtabelle erstellen und einem Subnetz zuordnen. Häufige Gründe für das Außerkraftsetzen des Azure-Standardroutings:

• Sie möchten, dass Datenverkehr zwischen Subnetzen über ein NVA fließt. Weitere Informationen finden Sie unter Konfigurieren von Routingtabellen zum Weiterleiten von Datenverkehr über ein virtuelles Netzwerkgerät.
• Der gesamte Internetdatenverkehr soll über ein virtuelles Netzwerkgerät oder lokal über eine Azure VPN Gateway-Instanz erfolgen. Die Erzwingung der lokalen Weiterleitung von Internetdatenverkehr zur Überprüfung und Protokollierung wird häufig als Tunnelerzwingung bezeichnet. Weitere Informationen zum Konfigurieren der Tunnelerzwingung.

Wenn Sie das benutzerdefinierte Routing implementieren möchten, sollten Sie sich mit dem Routing in Azure vertraut machen.

Konnektivität

Sie können ein virtuelles Netzwerk mittels VNet-Peering mit anderen virtuellen Netzwerken oder über eine Azure VPN Gateway-Instanz mit dem lokalen Netzwerk verbinden.

Peering

Wenn Sie das Peering virtueller Netzwerke verwenden, können Sie virtuelle Netzwerke in derselben Region oder anderen unterstützten Azure-Regionen verwenden. Die virtuellen Netzwerke können sich im selben oder in unterschiedlichen Azure-Abonnements befinden (auch in Abonnements, die zu verschiedenen Microsoft Entra-Mandanten gehören).

Bevor Sie ein Peering erstellen, sollten Sie sich mit allen Anforderungen und Einschränkungen für das Peering vertraut machen. Die Bandbreite zwischen Ressourcen in virtuellen Netzwerken, die mittels Peering in derselben Region miteinander verknüpft sind, ist dieselbe wie zwischen Ressourcen, die sich im selben virtuellen Netzwerk befinden.

VPN-Gateway

Mit einer Instanz von Azure VPN Gateway können Sie ein virtuelles Netzwerk über eine Site-to-Site-VPN-Verbindung oder über eine Standleitung mit Azure ExpressRoute mit dem lokalen Netzwerk verbinden.

Sie können das Peering und ein VPN-Gateway kombinieren und Hub-and-Spoke-Netzwerke erstellen, bei denen beispielsweise Spoke-VNets mit einem Hub-VNet verbunden werden und das Hub-VNet mit einem lokalen Netzwerk verbunden wird.

Namensauflösung

Ressourcen in einem virtuellen Netzwerk können die Namen von Ressourcen in einem virtuellen Peernetzwerk nicht mithilfe des integrierten Azure DNS (Domain Name System) auflösen. Zur Auflösung von Namen in einem mittels Peering verknüpften virtuellen Netzwerk müssen Sie einen eigenen DNS-Server bereitstellen oder private Azure DNS-Domänen verwenden. Für die Auflösung von Namen zwischen Ressourcen in einem virtuellen Netzwerk und lokalen Netzwerken müssen Sie außerdem einen eigenen DNS-Server bereitstellen.

Berechtigungen

In Azure wird die rollenbasierte Zugriffssteuerung in Azure verwendet. Berechtigungen werden einem Geltungsbereich in der folgenden Hierarchie zugewiesen: Verwaltungsgruppe, Abonnement, Ressourcengruppe und einzelne Ressource. Weitere Informationen zu dieser Hierarchie finden Sie unter Organisieren Ihrer Ressourcen.

Um virtuelle Azure-Netzwerke und alle zugehörigen Funktionen, z. B. Peering, Netzwerksicherheitsgruppen, Dienstendpunkte und Routingtabellen, verwenden zu können, weisen Sie Mitgliedern Ihrer Organisation die integrierten Rollen Besitzer, Mitwirkender oder Netzwerkmitwirkender zu. Weisen Sie anschließend die Rolle dem entsprechenden Geltungsbereich zu. Wenn Sie bestimmte Berechtigungen für eine Teilmenge der Funktionen des virtuellen Netzwerks zuweisen möchten, erstellen Sie eine benutzerdefinierte Rolle und weisen ihr die erforderlichen Berechtigungen für Folgendes zu:

• Virtuelle Netzwerke
• Subnetze und Dienstendpunkte
• Netzwerkschnittstellen
• Peering
• Netzwerk- und Anwendungssicherheitsgruppen
• Routingtabellen

Policy

Mit Azure Policy können Sie Richtliniendefinitionen erstellen, zuweisen und verwalten. Richtliniendefinitionen erzwingen unterschiedliche Regeln für Ihre Ressourcen, damit diese stets mit den Standards Ihrer Organisation und Vereinbarungen zum Servicelevel konform bleiben. Azure Policy führt eine Bewertung Ihrer Ressourcen aus. Dabei wird nach Ressourcen gesucht, die nicht Ihren geltenden Richtliniendefinitionen entsprechen.

Sie können beispielsweise eine Richtlinie definieren und anwenden, welche die Erstellung von virtuellen Netzwerken nur in einer bestimmten Ressourcengruppe oder Region zulässt. In einer anderen Richtlinie können Sie festlegen, dass jedem Subnetz eine Netzwerksicherheitsgruppe zugeordnet werden muss. Die Richtlinien werden dann ausgewertet, wenn Sie Ressourcen erstellen und aktualisieren.

Richtlinien werden in der folgenden Hierarchie angewendet: Verwaltungsgruppe, Abonnement und Ressourcengruppe. Erfahren Sie mehr über Azure Policy, oder stellen Sie einige Azure Policy-Definitionen für virtuelle Netzwerke bereit.

Zugehöriger Inhalt

Erfahren Sie mehr über alle Aufgaben, Einstellungen und Optionen für:

• Virtuelles Netzwerk
• Subnetz und Dienstendpunkt
• Netzwerkschnittstelle
• Peering
• Netzwerk- und Anwendungssicherheitsgruppe
• Routingtabelle