Freigeben über

Azure Virtual Network häufig gestellte Fragen (FAQ)

Grundlagen

Was ist ein virtuelles Netzwerk?

Ein virtuelles Netzwerk ist eine Darstellung Ihres eigenen Netzwerks in der Cloud, wie vom Azure Virtual Network-Dienst bereitgestellt. Ein virtuelles Netzwerk ist eine logische Isolation der Azure Cloud, die Ihrem Abonnement zugeordnet ist.

Sie können virtuelle Netzwerke verwenden, um virtuelle private Netzwerke (VPNs) in Azure bereitzustellen und zu verwalten. Optional können Sie virtuelle Netzwerke mit anderen virtuellen Netzwerken in Azure oder mit Ihrer lokalen IT-Infrastruktur verknüpfen, um Hybrid- oder standortübergreifende Lösungen zu erstellen.

Jedes virtuelle Netzwerk, das Sie erstellen, verfügt über einen eigenen CIDR-Block. Sie können ein virtuelles Netzwerk mit anderen virtuellen Netzwerken und lokalen Netzwerken verknüpfen, solange sich die CIDR-Blöcke nicht überlappen. Sie können auch die DNS-Servereinstellungen für virtuelle Netzwerke einschließlich der Segmentierung des virtuellen Netzwerks in Subnetze steuern.

Verwenden Sie virtuelle Netzwerke, um:

  • Erstellen eines dedizierten privaten virtuellen Nur-Cloud-Netzwerks. Manchmal benötigen Sie keine standortübergreifende Konfiguration für Ihre Lösung. Wenn Sie ein virtuelles Netzwerk erstellen, können die Dienste und VMs in Ihrem virtuellen Netzwerk direkt und sicher in der Cloud miteinander kommunizieren. Sie können trotzdem in Ihrer Lösung Endpunktverbindungen für die virtuellen Computer und Dienste konfigurieren, die eine Internetkommunikation erfordern.

  • Ihr Rechenzentrum sicher zu erweitern. Mit virtuellen Netzwerken können Sie herkömmliche Standort-zu-Standort-VPNs (S2S) erstellen, um die Kapazität des Rechenzentrums sicher zu skalieren. S2S VPNs verwenden IPsec, um eine sichere Verbindung zwischen Ihrem Unternehmens-VPN-Gateway und Azure bereitzustellen.

  • Unterstützung von Hybrid Cloud-Szenarien. Sie können cloudbasierte Anwendungen auf sichere Weise mit beliebigen lokalen Systemen verbinden, einschließlich Mainframes oder Unix-Systemen.

Wie fange ich an?

Besuchen Sie die dokumentation Azure Virtual Network, um zu beginnen. Hierbei handelt es sich um Übersichts- und Bereitstellungsinformationen für alle Features von virtuellen Netzwerken.

Kann ich virtuelle Netzwerke ohne standortübergreifende Konnektivität verwenden?

Ja. Sie können ein virtuelles Netzwerk verwenden, ohne es mit Ihrer lokalen Umgebung verbinden zu müssen. Sie können beispielsweise Microsoft Windows Server Active Directory Domänencontroller und SharePoint Farmen ausschließlich in einem Azure virtuellen Netzwerk ausführen.

Kann ich eine WAN-Optimierung zwischen virtuellen Netzwerken oder zwischen einem virtuellen Netzwerk und meinem lokalen Rechenzentrum durchführen?

Ja. Sie können ein virtuelles Netzwerkgerät für die WAN-Optimierung von mehreren Anbietern über Azure Marketplace bereitstellen.

Konfiguration

Welche Tools werden zum Erstellen eines virtuellen Netzwerks verwendet?

Sie können die folgenden Tools zum Erstellen oder Konfigurieren eines virtuellen Netzwerks verwenden:

Welche Adressbereiche kann ich in meinen virtuellen Netzwerken verwenden?

Es wird empfohlen, die folgenden Adressbereiche zu verwenden, die in RFC 1918 aufgelistet werden. Die IETF hat diese Bereiche für private, nicht routingfähige Adressräume reserviert.

  • 10.0.0.0 bis 10.255.255.255 (10/8 Präfix)
  • 172.16.0.0 bis 172.31.255.255 (172.16/12 Präfix)
  • 192.168.0.0 bis 192.168.255.255 (192.168/16 Präfix)

Sie können auch den freigegebenen Adressraum in RFC 6598 bereitstellen, der als privater IP-Adressraum in Azure behandelt wird:

  • 100.64.0.0 bis 100.127.255.255 (100.64/10 Präfix)

Andere Adressräume, einschließlich aller anderen von der IETF anerkannten privaten, nicht-routingfähigen Adressräume, können funktionieren, haben aber möglicherweise unerwünschte Nebeneffekte.

Die folgenden Adressbereiche können nicht hinzugefügt werden:

  • 224.0.0.0/4 (Multicast)
  • 255.255.255.255/32 (Übertragung)
  • 127.0.0.0/8 (Loopback)
  • 169.254.0.0/16 (Link lokal)
  • 168.63.129.16/32 (Internes DNS)

Kann ich öffentliche IP-Adressen in meinen virtuellen Netzwerken verwenden?

Ja. Weitere Informationen zu öffentlichen IP-Adressbereichen finden Sie unter Erstellen eines virtuellen Netzwerks. Auf öffentliche IP-Adressen kann nicht direkt über das Internet zugegriffen werden.

Ist die Anzahl der Subnetze im virtuellen Netzwerk begrenzt?

Ja. Details finden Sie unter Netzwerkgrenzwerte . Die Adressräume von Subnetzen können sich nicht überlappen.

Unterliegen die in den Subnetzen verwendeten IP-Adressen bestimmten Beschränkungen?

Ja. Azure behält sich die ersten vier Adressen und die letzte Adresse für insgesamt fünf IP-Adressen in jedem Subnetz vor.

Der IP-Adressbereich 192.168.1.0/24 weist beispielsweise die folgenden reservierten Adressen auf:

  • 192.168.1.0: Netzwerkadresse.
  • 192.168.1.1: Reserviert durch Azure für das Standardgateway.
  • 192.168.1.2, 192.168.1.3: Reserviert durch Azure, um die Azure DNS IP-Adressen dem virtuellen Netzwerkraum zuzuordnen.
  • 192.168.1.255: Netzwerkadresse für Broadcasts.

Wie ist die minimale und maximale Größe virtueller Netzwerke und Subnetze?

Das kleinste unterstützte IPv4-Subnetz ist /29, das größte Subnetz ist /2 (gemäß CIDR-Subnetzdefinitionen). IPv6-Subnetze müssen exakt /64 groß sein.

Kann ich meine VLANs mithilfe virtueller Netzwerke auf Azure übertragen?

Nein. Virtuelle Netzwerke sind Layer-3-Overlays. Azure unterstützt keine Layer 2-Semantik.

Können benutzerdefinierte Routingrichtlinien für virtuelle Netzwerke und Subnetze festgelegt werden?

Ja. Sie können eine Routingtabelle erstellen und einem Subnetz zuordnen. Weitere Informationen zum Routing in Azure finden Sie unter Custom routes.

Wie sieht das Verhalten aus, wenn ich sowohl eine Netzwerksicherheitsgruppe (NSG) als auch benutzerdefinierte Routen (UDR) im Subnetz anwende?

Für eingehenden Datenverkehr werden eingehende Regeln für Netzwerksicherheitsgruppen (NSG) verarbeitet. Für ausgehenden Datenverkehr werden NSG-Ausgangsregeln gefolgt von UDR-Regeln (User-Defined Route) verarbeitet.

Wie sieht das Verhalten aus, wenn ich eine Netzwerksicherheitsgruppe (NSG) für einen NIC und ein Subnetz für eine VM anwende?

Wenn Sie NSGs sowohl auf einem Netzwerkadapter (NIC) als auch in einem Subnetz für eine VM anwenden:

  • Eine NSG auf Subnetzebene, gefolgt von einer NSG auf NIC-Ebene, wird für eingehenden Datenverkehr verarbeitet.
  • Eine NSG auf NIC-Ebene, gefolgt von einer NSG auf Subnetzebene, wird für ausgehenden Datenverkehr verarbeitet.

Unterstützen virtuelle Netzwerke Multicasting oder Broadcasting?

Nein. Multicast und Broadcast werden nicht unterstützt.

Welche Protokolle kann ich in virtuellen Netzwerken verwenden?

Sie können die Protokolle TCP, UDP, ESP, AH und ICMP TCP/IP in virtuellen Netzwerken verwenden.

Unicast wird in virtuellen Netzwerken unterstützt. Verkapselte Multicast-, Broadcast- und IP-in-IP-Pakete sowie GRE-Pakete (Generic Routing Encapsulation) werden in virtuellen Netzwerken blockiert. Nicht möglich ist das Verwenden von DHCP (Dynamic Host Configuration Protocol) über Unicast (Quellport UDP/68, Zielport UDP/67). Die UDP-Ports 4791 und 65330 sind für den Host reserviert.

Kann ich einen DHCP-Server in einem virtuellen Netzwerk bereitstellen?

Azure virtuelle Netzwerke stellen DHCP-Dienst und DNS für Azure-VMs bereit. Sie können jedoch auch einen DHCP-Server in einer Azure VM bereitstellen, um die lokalen Clients über einen DHCP-Relay-Agent zu bedienen.

DHCP-Server in Azure wurden zuvor als nicht machbar angesehen, da der Datenverkehr zum Port UDP/67 in Azure eingeschränkt war. Die neuesten Plattformupdates haben jedoch die Ratenbegrenzung entfernt, wodurch diese Funktion aktiviert wird.

Hinweis

Der lokale Client zu DHCP Server (Quellport UDP/68, Zielport UDP/67) wird in Azure immer noch nicht unterstützt, da dieser Datenverkehr abgefangen und anders behandelt wird. Dies führt zu Timeout-Meldungen während des DHCP RENEW-Vorgangs um T1, wenn der Client direkt versucht, den DHCP-Server in Azure zu kontaktieren. DHCP RENEW wird erfolgreich ausgeführt, wenn der DHCP RENEW-Versuch über den DHCP-Relay-Agent bei T2 durchgeführt wird. Weitere Informationen zu den Timern T1 und T2 DHCP RENEW finden Sie unter RFC 2131.

Kann ich ein Standardgateway in einem virtuellen Netzwerk pingen?

Nein. Ein Azure bereitgestelltes Standardgateway antwortet nicht auf einen Ping. Sie können jedoch Ihre virtuellen Netzwerke pingen, um die Konnektivität und Problembehandlung zwischen VMs zu überprüfen.

Können Verbindungsdiagnosen mit "tracert" durchgeführt werden?

Ja.

Kann ich Subnetze hinzufügen, nachdem das virtuelle Netzwerk erstellt wurde?

Ja. Sie können jederzeit Subnetze zu virtuellen Netzwerken hinzufügen, sofern diese beiden Bedingungen erfüllt sind:

  • Der Adressbereich des Subnetzes ist nicht Teil eines anderen Subnetzes.
  • Im Adressbereich des virtuellen Netzwerks ist Speicherplatz verfügbar.

Kann die Größe des Subnetzes nach dessen Erstellung geändert werden?

Ja. Sie können ein Subnetz hinzufügen, entfernen, erweitern oder verkleinern, wenn darin keine VMs oder Dienste bereitgestellt werden.

Kann ich ein virtuelles Netzwerk ändern, nachdem ich es erstellt habe?

Ja. Sie können die CIDR-Blöcke, die von einem virtuellen Netzwerk verwendet werden, hinzufügen, entfernen und ändern.

Kann ich eine Verbindung mit dem Internet herstellen, wenn ich Dienste in einem virtuellen Netzwerk ausführe?

Ja. Alle Dienste, die innerhalb eines virtuellen Netzwerks bereitgestellt werden, können eine Verbindung mit dem Internet herstellen. Weitere Informationen zu ausgehenden Internetverbindungen in Azure finden Sie unter Use Source Network Address Translation (SNAT) für ausgehende Verbindungen.

Wenn Sie eine eingehende Verbindung mit einer über Azure Resource Manager bereitgestellten Ressource herstellen möchten, muss der Ressource eine öffentliche IP-Adresse zugewiesen sein. Weitere Informationen finden Sie unter Create, change, or delete an Azure public IP address.

Jeder in Azure bereitgestellte Clouddienst weist ihm eine öffentlich adressierbare virtuelle IP (VIP) zu. Sie müssen Eingabeendpunkte für PaaS-Rollen (Platform-as-a-Service) und Endpunkte für VMs definieren, damit diese Dienste Verbindungen über das Internet annehmen können.

Unterstützen virtuelle Netzwerke IPv6?

Ja. Virtuelle Netzwerke können nur IPv4-Stapel oder duale Stapel (IPv4- und IPv6) sein. Weitere Informationen finden Sie unter What is IPv6 for Azure Virtual Network?

Kann sich ein virtuelles Netzwerk über mehrere Regionen erstrecken?

Nein. Ein virtuelles Netzwerk ist auf eine Region beschränkt. Ein virtuelles Netzwerk erstreckt sich jedoch über Verfügbarkeitszonen. Weitere Informationen zu Verfügbarkeitszonen finden Sie unter What are Azure regions and availability zones?

Mithilfe von Peering virtueller Netzwerke können Sie Verbindungen zwischen virtuellen Netzwerken in verschiedenen Regionen herstellen. Weitere Informationen finden Sie unter Virtual Network Peering.

Kann ich in Azure ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk verbinden?

Ja. Sie können ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk wie folgt verbinden:

Namensauflösung (DNS)

Welche DNS-Optionen sind für virtuelle Netzwerke verfügbar?

Verwenden Sie die Entscheidungstabelle in Namensauflösung für Ressourcen in Azure virtuellen Netzwerken, um Ihnen die verfügbaren DNS-Optionen aufzuzeigen.

Kann ich DNS-Server für virtuelle Netzwerke angeben?

Ja. Sie können IP-Adressen für DNS-Server in den Einstellungen des virtuellen Netzwerks angeben. Die Einstellung gilt als DNS-Standardserver oder Server für alle VMs im virtuellen Netzwerk.

Wie viele DNS-Server können angegeben werden?

Siehe Netzwerkgrenzwerte.

Kann ich DNS-Server ändern, nachdem ich das Netzwerk erstellt habe?

Ja. Sie können die Liste der DNS-Server für das virtuelle Netzwerk jederzeit ändern.

Wenn Sie Ihre DNS-Serverliste ändern, müssen Sie für alle betroffenen VMs im virtuellen Netzwerk eine Verlängerung der DHCP-Leasedauer durchführen. Die neuen DNS-Einstellungen werden nach der Leasedauer-Verlängerung wirksam. Für VMs, die Windows ausführen, können Sie die Lease verlängern, indem Sie ipconfig /renew direkt auf der VM eingeben. Im Fall von anderen Betriebssystemtypen, lesen Sie bitte die Dokumentation zur DHCP-Leasedauer-Verlängerung.

Was ist das von Azure bereitgestellte DNS und funktioniert es mit virtuellen Netzwerken?

Azure bereitgestellte DNS ist ein mehrinstanzenfähiger DNS-Dienst von Microsoft. Azure registriert alle Ihre VMs und Clouddienst-Rolleninstanzen in diesem Dienst. Dieser Dienst ermöglicht die Namensauflösung:

  • Nach Hostnamen für VMs und Rolleninstanzen im selben Clouddienst.
  • Durch einen vollqualifizierten Domänennamen (FQDN) für VMs und Rolleninstanzen im selben virtuellen Netzwerk.

Weitere Informationen zu DNS finden Sie unter Name-Auflösung für Ressourcen in Azure virtuellen Netzwerken.

Die mandantenübergreifende Namensauflösung mithilfe des von Azure bereitgestellten DNS-Diensts ist auf die ersten 100 Clouddienste in einem virtuellen Netzwerk beschränkt. Diese Einschränkung gilt nicht, wenn Sie einen eigenen DNS-Server verwenden.

Kann ich DNS-Einstellungen für jede VM oder jeden Clouddienst überschreiben?

Ja. Sie können DNS-Server für jede VM oder jeden Clouddienst festlegen, um die standardmäßigen Netzwerkeinstellungen zu überschreiben. Es wird jedoch empfohlen, nach Möglichkeit den netzwerkweiten DNS-Server zu verwenden.

Können benutzerdefinierte DNS-Suffixe angegeben werden?

Nein. Sie können kein benutzerdefiniertes DNS-Suffix für virtuelle Netzwerke angeben.

Verbinden von virtuellen Computern

Kann ich VMs in einem virtuellen Netzwerk bereitstellen?

Ja. Alle Netzwerkadapter (NICs), die an einen virtuellen Computer angefügt sind, der über das Resource Manager Bereitstellungsmodell bereitgestellt wird, müssen mit einem virtuellen Netzwerk verbunden sein. Optional können Sie VMs, die über das klassische Bereitstellungsmodell bereitgestellt wurden, mit einem virtuellen Netzwerk verbinden.

Wie lauten die Typen von IP-Adressen, die ich VMs zuweisen kann?

  • Privat: Jedem NIC innerhalb jeder VM über die statische oder dynamische Methode zugewiesen. Private IP-Adressen werden aus dem Bereich zugewiesen, den Sie in den Subnetzeinstellungen Ihres virtuellen Netzwerks angegeben haben.

    Mit dem klassischen Bereitstellungsmodell bereitgestellten Ressourcen werden private IP-Adressen zugewiesen, selbst wenn keine Verbindung mit einem virtuellen Netzwerk besteht. Das Verhalten der Zuordnungsmethode unterscheidet sich je nachdem, ob Sie eine Ressource mithilfe des Resource Manager oder klassischen Bereitstellungsmodells bereitgestellt haben:

    • Resource Manager: Eine private IP-Adresse, die über die dynamische oder statische Methode zugewiesen wird, bleibt einem virtuellen Computer (Resource Manager) zugewiesen, bis die Ressource gelöscht wird. Der Unterschied besteht darin, dass Sie die Adresse auswählen, die zugewiesen werden soll, wenn Sie die statische Methode verwenden, während bei der Verwendung der dynamischen Methode Azure die Auswahl trifft.
    • Klassisch: Eine private IP-Adresse, die über die dynamische Methode zugewiesen wird, kann sich ändern, wenn ein virtueller Computer (klassisch) neu gestartet wird, nachdem er sich im Zustand "beendet" (Deallocated) befindet. Wenn Sie sicherstellen müssen, dass sich die private IP-Adresse einer Ressource, die über das klassische Bereitstellungsmodell bereitgestellt wurde, nie ändert, weisen Sie eine private IP-Adresse mit der statischen Methode zu.

  • Öffentlich: Kann optional NICs von VMs zugewiesen werden, die über das Resource Manager-Bereitstellungsmodell bereitgestellt wurden. Sie können die Adresse mithilfe der statischen oder dynamischen Zuordnungsmethode zuweisen.

    Alle virtuellen Computer und Azure Cloud Services Rolleninstanzen, die über das klassische Bereitstellungsmodell bereitgestellt werden, sind in einem Clouddienst vorhanden. Dem Clouddienst wird eine dynamische, öffentliche VIP-Adresse zugewiesen. Optional können Sie eine öffentliche statische IP-Adresse, die als reservierte IP-Adresse bezeichnet wird, als VIP zuweisen.

    Sie können öffentliche IP-Adressen einzelnen VMs oder Cloud Services-Rolleninstanzen zuweisen, die mit dem klassischen Bereitstellungsmodell bereitgestellt wurden. Diese Adressen werden als öffentliche IP-Adressen auf Instanzebene bezeichnet und können dynamisch zugewiesen werden.

Kann ich eine private IP-Adresse für eine VM reservieren, die ich zu einem späteren Zeitpunkt erstelle?

Nein. Eine private IP-Adresse kann nicht reserviert werden. Wenn eine private IP-Adresse verfügbar ist, wird sie einer VM oder einer Rolleninstanz durch den DHCP-Server zugewiesen. Die VM kann der Computer sein, dem Sie die interne IP-Adresse zuweisen möchten. Dies muss aber nicht der Fall sein. Sie können aber die private IP-Adresse einer erstellten VM in eine verfügbare private IP-Adresse ändern.

Ändern sich private IP-Adressen für VMs in einem virtuellen Netzwerk?

Das ist unterschiedlich. Wenn Sie den virtuellen Computer mithilfe von Resource Manager bereitgestellt haben, können ip-Adressen nicht geändert werden, unabhängig davon, ob Sie die Adressen mithilfe der statischen oder dynamischen Zuordnungsmethode zugewiesen haben. Wenn Sie die VM mithilfe des klassischen Bereitstellungsmodells bereitgestellt haben, können sich dynamische IP-Adressen ändern, wenn Sie eine VM starten, die sich im Zustand „Beendet“ (Zuordnung aufgehoben) befand.

Die Adresse einer VM, die über eins der beiden Bereitstellungsmodelle bereitgestellt wurde, wird freigegeben, wenn Sie die VM löschen.

Kann ich IP-Adressen den NICs im VM-Betriebssystem manuell zuordnen?

Ja, aber dies wird nur empfohlen, wenn es unbedingt notwendig ist, etwa beim Zuweisen mehrerer IP-Adressen zu einer VM. Weitere Informationen finden Sie unter Zuweisen von mehreren IP-Adressen zu virtuellen Computern.

Wenn die ip-Adresse, die einer Azure NIC zugewiesen ist, die an eine VM angefügt ist, geändert wird und die IP-Adresse innerhalb des VM-Betriebssystems anders ist, verlieren Sie die Verbindung mit dem virtuellen Computer.

Was passiert mit meinen IP-Adressen, wenn ich einen Clouddienst-Bereitstellungsslot beende oder eine VM über das Betriebssystem herunterfahre?

Nichts. Die IP-Adressen (öffentliche VIP, öffentlich und privat) bleiben dem Clouddienst-Bereitstellungsslot bzw. der VM zugewiesen.

Kann ich VMs in einem virtuellen Netzwerk aus einem Subnetz in ein anderes Subnetz verschieben, ohne erneute Bereitstellung?

Ja. Weitere Informationen finden Sie unter Verschieben einer VM oder Rolleninstanz in ein anderes Subnetz.

Kann eine statische MAC-Adresse für einen virtuellen Computer konfiguriert werden?

Nein. Sie können eine MAC-Adresse nicht statisch konfigurieren.

Bleibt die MAC-Adresse einer VM nach ihrer Erstellung unverändert?

Ja. Die MAC-Adresse bleibt für einen virtuellen Computer identisch, den Sie sowohl über die Resource Manager als auch über klassische Bereitstellungsmodelle bereitgestellt haben, bis Sie sie löschen.

Zuvor wurde die MAC-Adresse freigegeben, wenn Sie die VM auf den Status „Beendet“ (Zuordnung aufgehoben) gesetzt haben. Jetzt behält die VM jedoch die MAC-Adresse bei, wenn sie sich im Status „Zuordnung aufgehoben“ befindet. Die MAC-Adresse bleibt dem Netzwerkadapter zugewiesen, bis Sie eine der folgenden Aufgaben ausführen:

  • Löschen des Netzwerkadapters.
  • Ändern Sie die private IP-Adresse, die der primären IP-Konfiguration des primären Netzwerkadapters zugewiesen ist.

Azure Dienste, die eine Verbindung mit virtuellen Netzwerken herstellen

Kann ich Web-Apps mit einem virtuellen Netzwerk verwenden?

Ja. Sie können das Web-Apps-Feature von Azure App Service in einem virtuellen Netzwerk mithilfe eines App Service-Umgebung bereitstellen. Sie können anschließend folgende Aktionen durchführen:

  • Verbinden Sie das Back-End Ihrer Apps mit Ihren virtuellen Netzwerken mithilfe der Integration virtueller Netzwerke.
  • Sperren Sie eingehenden Datenverkehr für Ihre App mithilfe von Dienstendpunkten.

Weitere Informationen finden Sie in den folgenden Artikeln:

Können Cloud Services mit Web- und Workerrollen (PaaS) in einem virtuellen Netzwerk bereitgestellt werden?

Ja. Sie können Rolleninstanzen von Cloud Services (optional) in virtuellen Netzwerken bereitstellen. Hierfür geben Sie den Namen des virtuellen Netzwerks und die Rollen-/Subnetzzuordnungen im Netzwerkkonfigurationsabschnitt der Dienstkonfiguration an. Sie müssen keine Binärdateien aktualisieren.

Kann ich für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen?

Ja. Sie müssen für eine VM-Skalierungsgruppe eine Verbindung mit einem virtuellen Netzwerk herstellen.

Gibt es eine vollständige Liste der Azure Dienste, aus denen ich Ressourcen in einem virtuellen Netzwerk bereitstellen kann?

Ja. Ausführliche Informationen finden Sie unter Deploy dedicated Azure Services in virtual networks.

Wie kann ich den Zugriff auf Azure PaaS-Ressourcen aus einem virtuellen Netzwerk einschränken?

Ressourcen, die über einige Azure PaaS-Dienste (z. B. Azure Storage und Azure SQL-Datenbank) bereitgestellt werden, können den Netzwerkzugriff auf virtuelle Netzwerke über die Verwendung von Endpunkten des virtuellen Netzwerks oder Azure Private Link einschränken. Ausführliche Informationen finden Sie unter Virtual Network Service Endpoints und What is Azure Private Link?

Können Dienste in und aus virtuellen Netzwerken verschoben werden?

Nein. Sie können Dienste nicht in und aus virtuellen Netzwerken verschieben. Wenn Sie eine Ressource in ein anderes virtuelles Netzwerk verschieben möchten, müssen Sie die Ressource löschen und neu bereitstellen.

Sicherheit

Welches Sicherheitsmodell wird für virtuelle Netzwerke verwendet?

Virtuelle Netzwerke sind voneinander isoliert und von anderen Diensten, die in der Azure-Infrastruktur gehostet werden. Ein virtuelles Netzwerk ist eine Vertrauensstellungsgrenze.

Kann ich den eingehenden oder ausgehenden Datenverkehr auf Ressourcen beschränken, die mit einem virtuellen Netzwerk verbunden sind?

Ja. Sie können Netzwerksicherheitsgruppen auf einzelne Subnetze in einem virtuellen Netzwerk, niCs anwenden, die mit einem virtuellen Netzwerk verbunden sind, oder beides.

Kann ich eine Firewall zwischen Ressourcen implementieren, die mit einem virtuellen Netzwerk verbunden sind?

Ja. Sie können eine virtuelle firewall-Netzwerk-Appliance von mehreren Anbietern über Azure Marketplace bereitstellen.

Sind Informationen zum Schützen virtueller Netzwerke verfügbar?

Ja. Siehe Azure Netzwerksicherheitsübersicht.

Werden in virtuellen Netzwerken Kundendaten gespeichert?

Nein. In virtuellen Netzwerken werden keine Kundendaten gespeichert.

Kann ich die Eigenschaft FlowTimeoutInMinutes für ein ganzes Abonnement festlegen?

Nein. Sie müssen die FlowTimeoutInMinutes-Eigenschaft im virtuellen Netzwerk festlegen. Mit dem folgenden Code können Sie diese Eigenschaft für größere Abonnements automatisch festlegen:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be from 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

APIs, Schemas und Tools

Kann ich virtuelle Netzwerke mit Code verwalten?

Ja. Sie können REST-APIs für virtuelle Netzwerke in den Bereitstellungsmodellen Azure Resource Manager und classic verwenden.

Sind Tools zur Unterstützung virtueller Netzwerke verfügbar?

Ja. Weitere Informationen zur Verwendung von folgenden Tools:

  • Das Azure Portal zum Bereitstellen virtueller Netzwerke über die bereitstellungsmodelle Azure Resource Manager und classic.
  • PowerShell zum Verwalten virtueller Netzwerke, die über das Bereitstellungsmodell Resource Manager bereitgestellt werden.
  • Die Azure CLI oder Azure klassische CLI zum Bereitstellen und Verwalten virtueller Netzwerke, die über die Bereitstellungsmodelle Resource Manager und classic bereitgestellt werden.

Peering in virtuellen Netzwerken

Was ist Peering virtueller Netzwerke?

Peering virtueller Netzwerke ermöglicht Ihnen, virtuelle Netzwerke miteinander zu verbinden. Über eine Peeringverbindung zwischen virtuellen Netzwerken können Sie Datenverkehr privat über IPv4-Adressen weiterleiten.

VMs in den anhand von Peering verknüpften virtuellen Netzwerken können miteinander kommunizieren, als ob sie sich im gleichen Netzwerks befinden. Diese virtuellen Netzwerke können sich in der gleichen Region oder in verschiedenen Regionen befinden (auch bekannt als globales Peering virtueller Netzwerke).

Sie können auch Peeringverbindungen für virtuelle Netzwerke über Azure Abonnements hinweg erstellen.

Kann ich eine Peeringverbindung mit einem virtuellen Netzwerk in einer anderen Region herstellen?

Ja. Ein globales Peering virtueller Netzwerke ermöglicht das Peering virtueller Netzwerke in unterschiedlichen Regionen. Globales virtuelles Netzwerk-Peering ist in allen Azure öffentlichen Regionen, China-Cloudregionen und Regierungs-Cloudregionen verfügbar. Sie können nicht global von Azure öffentlichen Regionen zu nationalen Cloudregionen peeren.

Wenn die beiden virtuellen Netzwerke in zwei Regionen mittels Peering über das globale Peering virtueller Netzwerke verbunden sind, können Sie über die Front-End-IP des Lastenausgleichsmoduls keine Verbindung mit Ressourcen herstellen, die sich hinter einem Lastenausgleichsmodul im Tarif „Basic“ befinden. Diese Einschränkung gilt nicht für einen Standard-Lastenausgleich.

Die folgenden Ressourcen können Lastenausgleichsmodule im Tarif „Basic“ verwenden, d. h. Sie können sie nicht über die Front-End-IP-Adresse des Lastenausgleichsmoduls über globales Peering virtueller Netzwerke erreichen. Sie können jedoch globales Peering virtueller Netzwerke verwenden, um die Ressourcen direkt über ihre privaten virtuellen Netzwerk-IP-Adressen zu erreichen, sofern dies zulässig ist.

  • VMs hinter Basic-Lastenausgleichsmodulen
  • VM-Skalierungsgruppen mit Basic-Load Balancern
  • Azure Managed Redis
  • Azure Application Gateway v1
  • Azure Service Fabric
  • Azure API Management stv1
  • Microsoft Entra Domain Services
  • Azure Logic Apps
  • Azure HDInsight
  • Azure Batch
  • App Service-Umgebung v1 und v2

Sie können über Azure ExpressRoute oder Netzwerk-zu-Netzwerk-Verbindungen über virtuelle Netzwerkgateways eine Verbindung mit diesen Ressourcen herstellen.

Kann ich Peering für virtuelle Netzwerke aktivieren, wenn meine virtuellen Netzwerke zu Abonnements innerhalb verschiedener Microsoft Entra Mandanten gehören?

Ja. Es ist möglich, das virtuelle Netzwerk-Peering (ob lokal, oder global) einzurichten, wenn Ihre Abonnements zu unterschiedlichen Microsoft Entra-Mandanten gehören. Sie können dies über das Azure-Portal, PowerShell oder das Azure CLI tun.

Meine Verbindung für Peering virtueller Netzwerke hat den Status „Initiiert“. Warum kann ich keine Verbindung herstellen?

Wenn sich Ihre Peeringverbindung in einem Initiierten Zustand befindet, haben Sie nur einen Link erstellt. Sie müssen einen bidirektionalen Link erstellen, um eine erfolgreiche Verbindung herzustellen.

Um beispielsweise eine Peeringverbindung zwischen VNET A und VNET B herzustellen, muss ein Link von VNetA zu VNetB und von VNetB zu VNetA erstellt werden. Durch das Erstellen beider Verknüpfungen wird der Zustand in "Verbunden" geändert.

Meine Verbindung für das Peering virtueller Netzwerke hat den Status „Getrennt“. Warum kann ich keine Peeringverbindung herstellen?

Wenn sich Die Verbindung mit dem virtuellen Netzwerk-Peering im Zustand "Getrennt" befindet, wurde eine der von Ihnen erstellten Verknüpfungen gelöscht. Um eine Peeringverbindung erneut herzustellen, müssen Sie den verbleibenden Link löschen und beide neu erstellen.

Kann ich mein virtuelles Netzwerk über Peering mit einem virtuellen Netzwerk in einem anderen Abonnement verbinden?

Ja. Sie können virtuelle Netzwerke über Abonnements und Regionen hinweg über Peering miteinander verbinden.

Ist das Peering zweier virtueller Netzwerke mit übereinstimmenden oder überlappenden Adressbereichen möglich?

Nein. Sie können das Peering virtueller Netzwerke nicht aktivieren, wenn sich Adressräume überlappen.

Ist das Peering eines virtuellen Netzwerks mit zwei virtuellen Netzwerken möglich, wenn die Option Remotegateway verwenden für beide Peerings aktiviert ist?

Nein. Sie können die Option "Remotegateway verwenden " nur für ein Peering zu einem der virtuellen Netzwerke aktivieren.

Kann ich ein virtuelles Netzwerk, das eine Peering-Verbindung zu einem anderen virtuellen Netzwerk hat, verschieben?

Nein. Sie können ein virtuelles Netzwerk, das eine Peering-Verbindung nicht zu einem anderen virtuellen Netzwerk verschieben. Sie müssen die Peering-Verbindung löschen, bevor Sie das virtuelle Netzwerk verschieben.

Für das Erstellen einer Peeringverbindung für virtuelle Netzwerke fallen keine Gebühren an. Die Datenübertragung über Peeringverbindungen wird in Rechnung gestellt. Weitere Informationen finden Sie auf der Azure Virtual Network Preisseite.

Wird Datenverkehr für Peering virtueller Netzwerke verschlüsselt?

Wenn Azure Datenverkehr zwischen Rechenzentren verschoben wird (außerhalb physischer Grenzen, die nicht durch Microsoft oder im Auftrag von Microsoft gesteuert werden), verwendet die zugrunde liegende Netzwerkhardware MACsec-Datenverknüpfungsschichtverschlüsselung. Diese Verschlüsselung gilt für Peeringdatenverkehr virtueller Netzwerke.

Warum befindet sich meine Peeringverbindung in einem getrennten Zustand?

Virtuelle Netzwerk-Peeringverbindungen werden in einen getrennten Zustand versetzt, wenn eine virtuelle Netzwerk-Peeringverbindung gelöscht wird. Sie müssen beide Links löschen, um eine erfolgreiche Peeringverbindung wiederherzustellen.

Wenn ich eine Peeringverbindung zwischen VNetA und VNetB sowie VNetB und VNetC herstelle, bedeutet dies, dass eine Peeringverbindung zwischen VNetA und VNetC besteht?

Nein. Transitives Peering wird nicht unterstützt. Sie müssen VNetA manuell mit VNetC peeren.

Gibt es Bandbreiteneinschränkungen für Peeringverbindungen?

Nein. Für das Peering virtueller Netzwerke, ob lokal oder global, bestehen keine Bandbreiteneinschränkungen. Die Bandbreite wird nur durch die VM oder die Computeressource beschränkt.

Wie kann ich Probleme beim Peering virtueller Netzwerke beheben?

Probieren Sie das Handbuch zur Problembehandlung aus.

TAP eines virtuellen Netzwerks

Welche Azure Regionen sind für das virtuelle Netzwerk TAP verfügbar?

Die Vorschau des Zugriffspunkts für virtuelles Netzwerk-Terminal (TAP) ist in allen Azure-Regionen verfügbar. Sie müssen die überwachten Netzwerkadapter, die TAP-Ressource des virtuellen Netzwerks und die Collector- oder Analyselösung in der gleichen Region bereitstellen.

Unterstützt der TAP eines virtuellen Netzwerks Filterfunktionen für die gespiegelten Pakete?

Filterfunktionen werden in der Vorschauversion des TAP für ein virtuelles Netzwerk nicht unterstützt. Wenn Sie eine TAP-Konfiguration zu einem Netzweradapter hinzufügen, wird eine Tiefenkopie des gesamten eingehenden und ausgehenden Datenverkehrs an das TAP-Ziel gestreamt.

Kann ich einem überwachten Netzwerkadapter mehrere TAP-Konfigurationen hinzufügen?

Ein überwachter Netzwerkadapter kann nur über eine TAP-Konfiguration verfügen. Wenden Sie sich an die individuelle Partnerlösung , um mehrere Kopien des TAP-Datenverkehrs an die Analysetools Ihrer Wahl zu streamen.

Kann dieselbe TAP-Ressource eines virtuellen Netzwerks Datenverkehr von überwachten Netzwerkadaptern in mehr als einem virtuellen Netzwerk aggregieren?

Ja. Sie können dieselbe TAP-Ressource eines virtuellen Netzwerks zum Aggregieren von gespiegeltem Datenverkehr von überwachten Netzwerkadaptern in virtuellen Netzwerken mit Peering im gleichen Abonnement oder in einem anderen Abonnement verwenden.

Die TAP-Ressource des virtuellen Netzwerks und der Lastenausgleich oder der Zielnetzwerk-Adapter müssen sich im selben Abonnement befinden. Alle Abonnements müssen sich unter demselben Microsoft Entra Mandanten befinden.

Gibt es Überlegungen zur Leistung für Produktionsdatenverkehr, wenn ich eine TAP-Konfiguration für ein virtuelles Netzwerk an einem Netzwerkadapter aktiviere?

Der TAP für virtuelle Netzwerke befindet sich in der Vorschau. Während der Vorschau gibt es keine Vereinbarung zum Servicelevel. Sie sollten die Funktion nicht für Produktionsworkloads verwenden.

Wenn Sie einen Netzwerkadapter für virtuelle Computer mit einer TAP-Konfiguration aktivieren, werden dieselben Ressourcen auf dem Azure Host verwendet, der dem virtuellen Computer zugewiesen ist, um den Produktionsdatenverkehr zu senden, um die Spiegelungsfunktion auszuführen und die gespiegelten Pakete zu senden. Wählen Sie die richtige Linux oder Windows größe des virtuellen Computers aus, um sicherzustellen, dass genügend Ressourcen für den virtuellen Computer verfügbar sind, um den Produktionsdatenverkehr und den gespiegelten Datenverkehr zu senden.

Wird beschleunigter Netzwerkbetrieb für Linux oder Windows mit TAP eines virtuellen Netzwerks unterstützt?

Sie können eine TAP-Konfiguration auf einem an einen virtuellen Computer angeschlossenen Netzwerkadapter hinzufügen, der mit beschleunigtem Netzwerk für Linux oder Windows aktiviert ist. Das Hinzufügen der TAP-Konfiguration wirkt sich jedoch auf die Leistung und Latenz auf dem virtuellen Computer aus, da Azure Accelerated Networking derzeit keine Offload-Option für Spiegelungsverkehr unterstützt.

VNET-Dienstendpunkte

Was ist die richtige Abfolge von Vorgängen zum Einrichten von Dienstendpunkten für einen Azure Dienst?

Es gibt zwei Schritte zum Sichern einer Azure Dienstressource über Dienstendpunkte:

  1. Aktivieren Sie die Dienstendpunkte für den Azure-Dienst.
  2. Richten Sie im Azure Dienst Zugriffssteuerungslisten (Virtual Network Access Control Lists, ACLs) ein.

Der erste Schritt ist ein netzwerkseitiger Vorgang, und der zweite Schritt ist ein Vorgang auf der Seite der Dienstressource. Derselbe Administrator oder verschiedene Administratoren können die Schritte basierend auf den Azure rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) ausführen, die der Administratorrolle gewährt werden.

Es wird empfohlen, die Dienstendpunkte für Ihr virtuelles Netzwerk zu aktivieren, bevor Sie ACLs für virtuelle Netzwerke auf der Azure-Dienstseite konfigurieren. Zum Einrichten von Dienstendpunkten für virtuelle Netzwerke müssen Sie die Schritte in der vorherigen Sequenz ausführen.

Hinweis

Sie müssen beide vorherigen Vorgänge ausführen, bevor Sie den Azure Dienstzugriff auf das zulässige virtuelle Netzwerk und subnetz einschränken können. Nur das Aktivieren von Dienstendpunkten für den Azure-Dienst auf der Netzwerkseite bietet Ihnen keinen eingeschränkten Zugriff. Sie müssen auch virtuelle Netzwerk-ACLs auf der Azure-Dienstseite einrichten.

Bestimmte Dienste (z. B. Azure SQL und Azure Cosmos DB) ermöglichen Ausnahmen von der vorherigen Sequenz über das Flag IgnoreMissingVnetServiceEndpoint. Nachdem Sie die Kennzeichnung auf True festgelegt haben, können Sie virtuelle Netzwerk-ACLs auf der Azure-Dienstseite einrichten, bevor Sie die Dienstendpunkte auf der Netzwerkseite aktivieren. Azure Dienste bieten diese Kennzeichnung, um Kunden in Fällen zu helfen, in denen die spezifischen IP-Firewalls für Azure Dienste konfiguriert sind.

Das Aktivieren der Dienstendpunkte auf Netzwerkseite kann zu einem Verbindungsabbruch führen, da die Quell-IP von einer öffentlichen IPv4-Adresse zu einer privaten Adresse wechselt. Das Einrichten von ACLs für virtuelle Netzwerke auf der Azure-Dienstseite, bevor Sie Dienstendpunkte auf der Netzwerkseite aktivieren, kann dazu beitragen, einen Verbindungsabbruch zu vermeiden.

Hinweis

Wenn Sie den Dienstendpunkt für bestimmte Dienste wie "Microsoft AzureActiveDirectory" aktivieren, können Sie IPv6-Adressverbindungen in den Anmeldeprotokollen sehen. Microsoft verwendet einen internen privaten IPv6-Bereich für diesen Verbindungstyp.

Befinden sich alle Azure Dienste im Azure virtuellen Netzwerk, das der Kunde bereitstellt? Wie funktioniert ein Endpunkt für virtuelle Netzwerke mit Azure Diensten?

Nicht alle Azure Dienste befinden sich im virtuellen Netzwerk des Kunden. Die meisten Azure Datendienste (z. B. Azure Storage, Azure SQL und Azure Cosmos DB) sind mehrinstanzenfähige Dienste, auf die über öffentliche IP-Adressen zugegriffen werden kann. Weitere Informationen finden Sie unter Deploy dedicated Azure services into virtual networks.

Wenn Sie virtuelle Netzwerkdienstendpunkte auf der Netzwerkseite aktivieren und entsprechende ACLs für virtuelle Netzwerke auf der Azure-Dienstseite einrichten, ist der Zugriff auf einen Azure Dienst auf ein zulässiges virtuelles Netzwerk und ein Subnetz beschränkt.

Wie bieten Dienstendpunkte für virtuelle Netzwerke Sicherheit?

Endpunkte des virtuellen Netzwerks beschränken den Zugriff des Azure Diensts auf das zulässige virtuelle Netzwerk und subnetz. Auf diese Weise bieten sie sicherheit und Isolation auf Netzwerkebene des Azure Dienstdatenverkehrs.

Der gesamte Datenverkehr, der virtuelle Netzwerkdienstendpunkte verwendet, fließt über das Microsoft Backbone, um eine weitere Isolationsebene aus dem öffentlichen Internet bereitzustellen. Kunden können auch den öffentlichen Internetzugriff auf die Azure Dienstressourcen vollständig entfernen und den Datenverkehr nur über ein virtuelles Netzwerk über eine Kombination aus IP-Firewall und virtuellen Netzwerk-ACLs zulassen. Durch das Entfernen des Internetzugriffs können Sie die Azure Dienstressourcen vor unbefugtem Zugriff schützen.

Was schützt der Endpunkt des virtuellen Netzwerks – virtuelle Netzwerkressourcen oder Azure Dienstressourcen?

Virtuelle Netzwerkdienstendpunkte schützen Azure Dienstressourcen. Ressourcen von virtuellen Netzwerken werden über Netzwerksicherheitsgruppen geschützt.

Fallen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an?

Nein. Es fallen keine zusätzlichen Kosten für die Verwendung von Dienstendpunkten für virtuelle Netzwerke an.

Kann ich virtuelle Netzwerkdienstendpunkte aktivieren und virtuelle Netzwerk-ACLs einrichten, wenn das virtuelle Netzwerk und die Azure Dienstressourcen zu verschiedenen Abonnements gehören?

Ja, das ist möglich. Virtuelle Netzwerke und Azure Dienstressourcen können sich im selben Abonnement oder in verschiedenen Abonnements befinden. Die einzige Anforderung besteht darin, dass sich sowohl das virtuelle Netzwerk als auch die Azure Dienstressourcen unter demselben Microsoft Entra Mandanten befinden müssen.

Kann ich virtuelle Netzwerkdienstendpunkte aktivieren und virtuelle Netzwerk-ACLs einrichten, wenn das virtuelle Netzwerk und die Azure Dienstressourcen zu verschiedenen Microsoft Entra Mandanten gehören?

Ja, es ist möglich, wenn Sie Dienstendpunkte für Azure Storage und Azure Key Vault verwenden. Für andere Dienste werden virtuelle Netzwerkdienstendpunkte und ACLs für virtuelle Netzwerke nicht über Microsoft Entra Mandanten hinweg unterstützt.

Kann die IP-Adresse eines lokalen Geräts, das über ein Azure-Virtual-Network-Gateway (VPN) oder ein ExpressRoute-Gateway verbunden ist, auf Azure-PaaS-Dienste über Endpunkte des virtuellen Netzwerks zugreifen?

Standardmäßig sind Azure-Dienstressourcen, die in virtuellen Netzwerken gesichert sind, nicht über lokale Netzwerke erreichbar. Wenn Sie Datenverkehr aus der lokalen Umgebung zulassen möchten, müssen Sie auch öffentliche IP-Adressen (meist NAT) aus der lokalen Umgebung bzw. per ExpressRoute zulassen. Sie können diese IP-Adressen über die IP-Firewallkonfiguration für die Azure Dienstressourcen hinzufügen.

Alternativ können Sie private Endpunkte für unterstützte Dienste implementieren.

Kann ich virtuelle Netzwerkdienstendpunkte verwenden, um Azure Dienste für mehrere Subnetze in einem virtuellen Netzwerk oder in mehreren virtuellen Netzwerken zu sichern?

Um Azure Dienste für mehrere Subnetze innerhalb eines virtuellen Netzwerks oder über mehrere virtuelle Netzwerke zu sichern, aktivieren Sie Serviceendpunkte auf der Netzwerkseite auf jedem der Subnetze unabhängig voneinander. Sichern Sie dann Azure Dienstressourcen für alle Subnetze, indem Sie entsprechende virtuelle Netzwerk-ACLs auf der Azure-Dienstseite einrichten.

Wie kann ich ausgehenden Datenverkehr aus einem virtuellen Netzwerk auf Azure Dienste filtern und weiterhin Dienstendpunkte verwenden?

Wenn Sie den Datenverkehr prüfen oder filtern möchten, der aus einem virtuellen Netzwerk an einen Azure-Dienst gesendet wird, können Sie innerhalb des virtuellen Netzwerks eine Netzwerk-Appliance bereitstellen. Anschließend können Sie Dienstendpunkte auf das Subnetz anwenden, in dem die virtuelle Netzwerk-Appliance bereitgestellt ist, und Azure-Dienstressourcen nur über virtuelle Netzwerk-ACLs auf dieses Subnetz beschränken und sichern.

Dieses Szenario kann auch hilfreich sein, wenn Sie Azure Dienstzugriff von Ihrem virtuellen Netzwerk nur auf bestimmte Azure Ressourcen beschränken möchten, indem Sie die Filterung der virtuellen Netzwerkanwendung verwenden. Weitere Informationen finden Sie unter Bereitstellen hochverfügbarer NVAs.

Was geschieht, wenn jemand von außerhalb des virtuellen Netzwerks auf ein Azure-Dienstkonto zugreift, das über eine virtuelle Netzwerk-ACL verfügt?

Der Dienst gibt einen HTTP 403- oder HTTP 404-Fehler zurück.

Werden Subnetze eines virtuellen Netzwerks in verschiedenen Regionen erstellt, um auf ein Azure-Dienstkonto in einer anderen Region zuzugreifen?

Ja. Für die meisten der Azure-Dienste können virtuelle Netzwerke, die in verschiedenen Regionen erstellt wurden, über die Endpunkte des virtuellen Netzwerks auf Azure Dienste in einer anderen Region zugreifen. Wenn sich z. B. ein Azure Cosmos DB-Konto in der Region West-USA oder ost-US befindet und sich virtuelle Netzwerke in mehreren Regionen befinden, können die virtuellen Netzwerke auf Azure Cosmos DB zugreifen.

Azure SQL ist eine Ausnahme und ist regional. Sowohl das virtuelle Netzwerk als auch der Azure Dienst müssen sich in derselben Region befinden.

Kann ein Azure Dienst sowohl über eine ACL für virtuelle Netzwerke als auch über eine IP-Firewall verfügen?

Ja. Eine ACL für virtuelle Netzwerke und eine IP-Firewall können gleichzeitig vorhanden sein. Die Features ergänzen einander, um Isolation und Sicherheit zu gewährleisten.

Was geschieht, wenn Sie ein virtuelles Netzwerk oder Subnetz löschen, das für Azure Dienste aktiviert ist?

Das Löschen virtueller Netzwerke und das Löschen von Subnetzen sind unabhängige Vorgänge. Sie werden auch dann unterstützt, wenn Sie Dienstendpunkte für Azure Dienste aktivieren.

Wenn Sie acLs für virtuelle Netzwerke für Azure-Dienste einrichten, werden die ACL-Informationen, die diesen Azure Diensten zugeordnet sind, deaktiviert, wenn Sie ein virtuelles Netzwerk oder Subnetz löschen, das über aktivierte Endpunkte für virtuelle Netzwerke verfügt.

Was geschieht, wenn ich ein Azure Dienstkonto lösche, das einen virtuellen Netzwerkdienstendpunkt aktiviert hat?

Das Löschen eines Azure-Dienstkontos ist ein unabhängiger Vorgang. Sie wird auch dann unterstützt, wenn Sie den Dienstendpunkt auf der Netzwerkseite aktiviert und virtuelle Netzwerk-ACLs auf der Azure-Dienstseite einrichten.

Was passiert mit der IP-Quelladresse einer Ressource (z. B. einer VM in einem Subnetz), für die ein Dienstendpunkt für virtuelle Netzwerke aktiviert ist?

Wenn Sie virtuelle Netzwerkdienstendpunkte aktivieren, wechseln die Quell-IP-Adressen der Ressourcen im Subnetz Ihres virtuellen Netzwerks von öffentlichen IPv4-Adressen zu den privaten IP-Adressen des virtuellen Azure-Netzwerks, um den Datenverkehr zu Azure-Diensten abzuwickeln. Dieser Switch kann dazu führen, dass bestimmte IP-Firewalls, die zuvor in den Azure-Diensten auf eine öffentliche IPv4-Adresse festgelegt sind, fehlschlagen.

Hat die Dienstendpunktroute immer Vorrang?

Dienstendpunkte fügen eine Systemroute hinzu, die Vorrang vor BGP-Routen (Border Gateway Protocol) hat und eine optimale Weiterleitung für den Dienstendpunkt-Datenverkehr ermöglicht. Serviceendpunkte leiten den Dienstdatenverkehr stets direkt von Ihrem virtuellen Netzwerk an den Dienst im Microsoft Azure-Backbone-Netzwerk weiter.

Weitere Informationen dazu, wie Azure eine Route auswählt, finden Sie unter Virtual Network Traffic Routing.

Funktionieren Dienstendpunkte mit ICMP?

Nein. ICMP-Datenverkehr, der aus einem Subnetz mit aktivierten Dienstendpunkten stammt, fließt nicht über den Diensttunnelpfad zum gewünschten Endpunkt. Von Dienstendpunkten wird nur TCP-Datenverkehr verarbeitet. Wenn Sie die Latenz oder Konnektivität für einen Endpunkt über Dienstendpunkte testen möchten, wird mit Tools wie Ping und tracert nicht der Pfad angezeigt, der von den Ressourcen im Subnetz genutzt wird.

Wie arbeiten NSGs in einem Subnetz mit Dienstendpunkten zusammen?

Um den Azure Dienst zu erreichen, müssen NSGs ausgehende Verbindungen zulassen. Wenn Ihre NSGs für sämtlichen ausgehenden Internet-Datenverkehr geöffnet sind, sollte der Datenverkehr für den Dienstendpunkt funktionieren. Sie können den ausgehenden Datenverkehr über Diensttags auch auf Dienst-IP-Adressen beschränken.

Welche Berechtigungen benötige ich, um Dienstendpunkte einzurichten?

Sie können Dienstendpunkte in einem virtuellen Netzwerk unabhängig konfigurieren, wenn Sie Schreibzugriff auf dieses Netzwerk haben.

Um Azure-Dienstressourcen mit einem virtuellen Netzwerk zu verbinden, müssen Sie über die Berechtigung Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action für die Subnetze verfügen, die Sie hinzufügen. Diese Berechtigung ist standardmäßig in den integrierten Dienstadminrollen enthalten und kann durch Erstellen von benutzerdefinierten Rollen geändert werden.

Weitere Informationen zu integrierten Rollen und zum Zuweisen bestimmter Berechtigungen zu benutzerdefinierten Rollen finden Sie unter Azure benutzerdefinierte Rollen.

Kann ich den virtuellen Netzwerkdatenverkehr zu den Azure-Diensten über die Dienstendpunkte filtern?

Sie können Endpunktrichtlinien für virtuelle Netzwerke verwenden, um virtuellen Netzwerkdatenverkehr zu Azure Diensten zu filtern, sodass nur bestimmte Azure Dienstressourcen über die Dienstendpunkte zulässig sind. Endpunktrichtlinien bieten eine präzise Zugriffssteuerung vom virtuellen Netzwerkdatenverkehr bis zu den Azure-Diensten.

Weitere Informationen finden Sie unter Virtual Network Service Endpoint Policies for Azure Storage.

Unterstützt Microsoft Entra ID Endpunkte des virtuellen Netzwerks?

Microsoft Entra ID unterstützt nativ keine Dienstendpunkte. Eine vollständige Liste der Azure Dienste, die Virtuelle Netzwerkdienstendpunkte unterstützen, finden Sie unter Virtual Network Service Endpoints.

In dieser Liste wird das Microsoft.AzureActiveDirectory-Tag unter Diensten aufgelistet, die Dienstendpunkte unterstützen und zum Unterstützen von Dienstendpunkten für Azure Data Lake Storage Gen1 verwendet werden. Die Virtual-Netzwerkintegration für Data Lake Storage Gen1 nutzt die Sicherheit der Dienstendpunkte des virtuellen Netzwerks zwischen Ihrem virtuellen Netzwerk und Microsoft Entra ID, um zusätzliche Sicherheitsansprüche im Zugriffstoken zu erzeugen. Diese Ansprüche werden dann verwendet, um Ihr virtuelles Netzwerk für Ihr Data Lake Storage Gen1 Konto zu authentifizieren und den Zugriff zuzulassen.

Gibt es eine Grenze für die Anzahl der Dienstendpunkte für virtuelle Netzwerke, die ich in meinem virtuellen Netzwerk einrichten kann?

Für die Gesamtzahl von Dienstendpunkten in einem virtuellen Netzwerk gilt keine Beschränkung. Bei einer Azure Dienstressource (z. B. einem Azure Storage Konto) erzwingen Dienste möglicherweise Grenzwerte für die Anzahl der Subnetze, die Sie zum Sichern der Ressource verwenden. Die folgende Tabelle zeigt einige Beispielgrenzwerte:

Azure-Dienst Grenzwerte für Regeln für virtuelle Netzwerke
Azure Storage 200
Azure SQL 128
Azure Synapse Analytics 128
Azure Key Vault 200
Azure Cosmos DB 64
Azure Event Hubs 128
Azure Service Bus 128

Hinweis

Die Grenzwerte können nach Ermessen der Azure Dienste geändert werden. Details zu den einzelnen Diensten finden Sie in der jeweiligen Dokumentation.

Migration von klassischen Netzwerkressourcen zu Resource Manager

Was ist Azure Dienst-Manager und was bedeutet der Begriff "klassisch"?

Azure Dienst-Manager ist das alte Bereitstellungsmodell von Azure, das für das Erstellen, Verwalten und Löschen von Ressourcen verantwortlich war. Das Wort classic in einem Netzwerkdienst bezieht sich auf Ressourcen, die vom Azure Dienst-Manager Modell verwaltet werden. Weitere Informationen finden Sie im Vergleich der Bereitstellungsmodelle.

Was ist Azure Resource Manager?

Azure Resource Manager ist das neueste Bereitstellungs- und Verwaltungsmodell in Azure, das für das Erstellen, Verwalten und Löschen von Ressourcen in Ihrem Azure-Abonnement verantwortlich ist. Weitere Informationen finden Sie unter What is Azure Resource Manager?

Kann ich die Migration rückgängig machen, nachdem Ressourcen dem Resource Manager zugewiesen wurden?

Sie können die Migration abbrechen, solange sich die Ressourcen noch im Zustand „Vorbereitet“ befinden. Ein Rollback zum vorherigen Bereitstellungsmodell wird nicht unterstützt, nachdem Sie Ressourcen erfolgreich über den Commitvorgang migriert haben.

Kann ich die Migration rückgängig machen, wenn der Commitvorgang nicht erfolgreich war?

Sie können eine Migration nicht umkehren, wenn der Commitvorgang nicht erfolgreich war. Alle Migrationsvorgänge einschließlich Commit können nach dem Start nicht mehr geändert werden. Es wird empfohlen, den Vorgang nach einer kurzen Wartezeit zu wiederholen. Wenn der Vorgang weiterhin nicht erfolgreich ist, senden Sie eine Supportanfrage.

Kann ich mein Abonnement oder meine Ressourcen überprüfen, um zu ermitteln, ob sie für die Migration geeignet sind?

Ja. Der erste Schritt bei der Vorbereitung der Migration besteht darin, zu überprüfen, ob Ressourcen migriert werden können. Falls die Validierung fehlschlägt, erhalten Sie alle Meldungen zu den Gründen, aus denen die Migration nicht abgeschlossen werden kann.

Werden Application Gateway-Ressourcen als Teil der Migration des virtuellen Netzwerks vom klassischen Modell zu Resource Manager migriert?

Azure Application Gateway Ressourcen werden nicht automatisch im Rahmen des Migrationsprozesses des virtuellen Netzwerks migriert. Wenn eine solche Ressource im virtuellen Netzwerk vorhanden ist, ist die Migration nicht erfolgreich. Um eine Application Gateway-Ressource zu Resource Manager zu migrieren, müssen Sie die Anwendungsgateway-Instanz nach Abschluss der Migration entfernen und erneut erstellen.

Werden VPN Gateway Ressourcen als Teil der Migration des virtuellen Netzwerks von der klassischen zu Resource Manager migriert?

Azure VPN Gateway Ressourcen werden im Rahmen des Migrationsprozesses für virtuelle Netzwerke migriert. Es wird jeweils ein virtuelles Netzwerk ohne andere Anforderungen ausgeführt. Die Migrationsschritte entsprechen der Migration eines virtuellen Netzwerks ohne VPN-Gateway.

Ist eine Dienstunterbrechung mit der Migration klassischer VPN-Gateways zu Resource Manager verbunden?

Es treten keine Dienstunterbrechungen mit Ihrer VPN-Verbindung auf, wenn Sie zu Resource Manager migrieren. Vorhandene Workloads funktionieren während der Migration weiterhin vollständig ohne Verlust der Konnektivität.

Muss ich mein lokales Gerät neu konfigurieren, nachdem das VPN-Gateway zu Resource Manager migriert wurde?

Die öffentliche IP-Adresse, die dem VPN-Gateway zugeordnet ist, bleibt auch nach der Migration unverändert. Sie müssen Ihren lokalen Router nicht neu konfigurieren.

Was sind die unterstützten Szenarien für die VPN-Gatewaymigration von der klassischen zu Resource Manager?

Die Migration von klassisch zu Resource Manager deckt die meisten gängigen VPN-Konnektivitätsszenarien ab. Zu diesen Szenarios gehören –

  • Punkt-zu-Standort-Konnektivität.

  • Standort-zu-Standort-Konnektivität mit einem VPN-Gateway, der mit einem lokalen Standort verbunden ist.

  • Netzwerk-zu-Netzwerkkonnektivität zwischen zwei virtuellen Netzwerken, die VPN-Gateways verwenden.

  • Mehrere virtuelle Netzwerke, die mit demselben lokalen Standort verbunden sind.

  • Konnektivität mit mehreren Standorten.

  • Virtuelle Netzwerke mit aktivierten erzwungenen Tunneln.

Welche Szenarien werden für die VPN-Gatewaymigration von der klassischen zu Resource Manager nicht unterstützt?

Folgende Szenarien werden nicht unterstützt:

  • Ein virtuelles Netzwerk mit sowohl einem ExpressRoute-Gateway als auch einem VPN-Gateway.

  • Ein virtuelles Netzwerk mit einem ExpressRoute-Gateway, das mit einem Netzwerk in einem anderen Abonnement verbunden ist.

  • Übertragungsszenarios in denen VM-Erweiterungen mit lokalen Servern verbunden sind.

Wo finde ich weitere Informationen zur Migration von klassisch zu Resource Manager?

Siehe Häufig gestellte Fragen zur Migration von klassisch zu Azure Resource Manager.

Kann ich eine gelöschte öffentliche IP-Adresse wiederherstellen?

Nein. Sobald eine Azure öffentliche IP-Adresse gelöscht wurde, kann sie nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Anzeigen, Ändern von Einstellungen für oder Löschen einer öffentlichen IP-Adresse.

Wie kann ich ein Problem melden?

Sie können Fragen zu Migrationsproblemen auf der Microsoft Q&A Seite stellen. Wir empfehlen, alle Fragen in diesem Forum zu veröffentlichen. Wenn Sie über einen Supportvertrag verfügen, können Sie auch eine Supportanfrage stellen.

  • Last updated on