So erstellen Sie ein Azure Virtual Network

Active Directory

Abbildung eines Computermonitors und eines Schlosses

Sind Sie bereit, Ihr Rechenzentrum in die Cloud zu verlagern? Möglicherweise haben Sie Aspekte wie Identität, Governance und Sicherheit bereits berücksichtigt, aber ein wichtiges Thema ist die Vernetzung. Wie werden Sie sich mit den Ressourcen in der Cloud verbinden? Dafür benötigen Sie Azure Virtual Networks!

Die Vernetzung ist ein grundlegendes Konzept bei der Verlagerung von Computing-Workloads in die Cloud. Ihre Ressourcen müssen miteinander kommunizieren, aber auch gegen Bedrohungen von außen geschützt sein.

In diesem Artikel lernen Sie die Grundlagen von Azure Virtual Networks kennen, gefolgt von der Erstellung von Virtual Networks mit drei Methoden: dem Azure Portal, Azure PowerShell und Azure CLI.

Kurzer Überblick: Was sind Azure Virtual Networks?

Illustration einer Wolke und eines Schlosses

Azure Virtual Network ist Ihr privates Netzwerk innerhalb von Azure. Azure Virtual Network wird üblicherweise als „vnet“ abgekürzt. Wie lokale Server benötigen auch virtuelle Azure-Maschinen ein Netzwerk für die Kommunikation mit anderen Ressourcen, z. B. mit anderen virtuellen Maschinen oder Speicherkonten.

Während Sie VNets in der Azure-Cloud definieren, können VNets auch mit dem Internet und lokalen Ressourcen kommunizieren. Standardmäßig können alle VNet-Ressourcen ausgehend mit dem Internet kommunizieren. Um eingehende Kommunikation aus dem Internet zuzulassen, können Sie Regeln erstellen, die Internetverkehr zulassen, bzw. eine öffentliche IP oder einen Load Balancer hinzufügen.

Sie können ein Point-to-Site-VPN erstellen, bei dem sich Ihr einzelner Computer mit dem Netzwerk verbinden kann. Wenn Sie eine Verbindung zu Ihrem lokalen Netzwerk konfigurieren müssen, können Sie einen Site-to-Site-VPN verwenden, und das Azure VNet wird zu einer Erweiterung Ihres lokalen Rechenzentrums. Wenn Sie eine privatere Verbindung zur Azure-Cloud benötigen, sollten Sie die Implementierung von ExpressRoute in Betracht ziehen, damit Ihr Datenverkehr nicht das Internet durchqueren muss.

Bestandteile von Azure Virtual Networks

Azure VNets bieten mehrere Dienste und Funktionen zur Verbindung von Azure-Ressourcen. Microsoft entwickelt diese Services, damit Unternehmen alle Tools zur Erfüllung ihrer Cloud-Bereitstellungsanforderungen haben. In den folgenden Abschnitten werden einige der wichtigsten Konzepte für die Bereitstellung von Azure Virtual Networks beschrieben.

Adressraum

Wenn Sie ein VNet erstellen, müssen Sie zunächst einen privaten IP-Adressraum im Bereich RFC 1918 angeben. Dieser IP-Adressraum enthält bekannte IP-Adressen wie z. B. 10.0.0.0, 192.168.0.0 und 172.16.0.0. Ein virtuelles Netzwerk enthält einen oder mehrere dieser Adressräume, in denen Sie zusätzliche Subnetze erstellen.

Adressräume von Azure Virtual Networks dürfen sich nicht überschneiden. Azure zeigt eine Warnmeldung an, wenn Sie versuchen, ein virtuelles Netzwerk mit einem vorhandenen Adressraum zu erstellen. Sie können diese Warnung ignorieren, wenn Sie nicht vorhaben, die beiden virtuellen Netzwerke zu peeren. Als Best Practice sollten Sie keine überlappenden Netzwerkräume mit Ihrem lokalen Rechenzentrum verwenden, wenn Sie beabsichtigen, ein hybrides Netzwerk zu erstellen.

Subnetze

Subnetze sind kleinere Segmentierungen eines virtuellen Netzwerks. Mithilfe von Subnetzen können Sie einen kleineren Teil des Adressraums des VNets bestimmten Ressourcen zuweisen. Subnetze verbessern die IP-Adresszuweisung, indem weniger IP-Adressen im nutzbaren Bereich des virtuellen Netzwerks definiert werden.

Netzwerksicherheitsgruppen

Innerhalb eines virtuellen Netzwerks schützen Netzwerksicherheitsgruppen (NSG) jedes Subnetz. NSGs werden verwendet, um den Verkehr in und aus einem virtuellen Netzwerks zu filtern. Für jede Regel werden die Quelle und das Ziel, der Port und das Protokoll definiert, um den Datenverkehr zu identifizieren. Eine NSG enthält Standardsicherheitsregeln, die automatisch Ressourcen schützen, indem sie den Internetverkehr blockieren, aber den Verkehr aus anderen virtuellen Netzwerken zulassen.

Routing und Peering

Azure erstellt automatisch Routen zwischen Subnetzen, virtuellen Netzwerken, lokalen Netzwerken und dem Internet. Sie können jedoch Routentabellen implementieren, um zu steuern, wohin Azure den Datenverkehr für jedes Subnetz leitet. Sie können z. B. ein Hub-and-Spoke-Netzwerk bereitstellen und erzwingen, dass der gesamte Subnetzverkehr zuerst an einen zentralen Hub geleitet wird.

Sie können auch Ihre lokalen BGP-Routen für Ihre virtuellen Netzwerke in Azure verwenden. Diese können Sie verwenden, wenn Sie Ihr lokales Rechenzentrum mit der Azure-Cloud über einen Azure VPN Gateway oder eine ExpressRoute-Verbindung verbinden.

Während Azure Subnetze im gleichen virtuellen Netzwerk automatisch miteinander verbindet, erfordert das Routing zwischen verschiedenen virtuellen Netzwerken den Einsatz von Netzwerk-Peering. Das Peering virtueller Netzwerke verbindet mehrere VNets miteinander, und die virtuellen Netzwerke erscheinen zu Konnektivitätszwecken als ein einziges Netzwerk. Der Datenverkehr zwischen den Virtual Networks durchläuft die Microsoft-Backbone-Infrastruktur und nicht das Internet.

Erstellen von Azure Virtual Networks

Microsoft bietet mehrere Möglichkeiten, Azure Virtual Networks zu erstellen. In diesem Tutorial wollen wir uns drei Optionen anschauen:

In diesem Tutorial wird eine Ressourcengruppe namens virtualNetworks-rg verwendet, um jedes virtuelle Netzwerk zu hosten. Sie werden jedes virtuelle Netzwerk in einer anderen Region erstellen. Für dieses Tutorial gibt es die folgenden Voraussetzungen:

Azure Portal

So erstellen Sie ein Azure Virtual Network mit dem Azure-Portal:

  1. Navigieren Sie zum Azure-Portal und melden Sie sich an.
  2. Wählen Sie auf der Azure-Portal-Startseite Ressource erstellen aus.
  3. Suchen Sie auf der Seite Ressource erstellen im Marketplace nach Virtual Network und wählen Sie es aus den Ergebnissen aus.
  4. Wählen Sie auf der Seite Virtual Network die Option Erstellen.
  5. Konfigurieren Sie auf der Seite Virtuelles Netzwerk erstellen die Informationen auf der Registerkarte Grundlagen.
  • Abonnement: Wählen Sie das Abonnement aus, über das die Ressource abgerechnet werden soll.
  • Ressourcengruppe: Erstellen Sie eine neue Ressourcengruppe oder wählen Sie eine bestehende aus.
  • Name: Geben Sie vnet-westus-001 ein.
  • Region: Wählen Sie die Region USA, Westen.

  1. Wählen Sie Weiter: IP-Adressen am unteren Rand der Seite.
  2. Im Abschnitt IPv4-Adressraum hat Azure den Adressraum 10.1.0.0/16 vorausgefüllt. Wählen Sie diesen vorhandenen Adressraum aus und ändern Sie ihn in 10.100.0.0/16.
  3. Wenn Sie jetzt Subnetze hinzufügen möchten, wählen Sie + Subnetz hinzufügen, geben Sie den Namen des Subnetzes snet-subnet1 und einen Adressbereich von 10.50.25.0/24 ein.

 

 

  1. Überprüfen Sie den Adressbereich und die Subnetze, wählen Sie Überprüfen + erstellen und anschließend Erstellen, nachdem das Portal die Konfiguration validiert hat.

Azure PowerShell

So erstellen Sie ein virtuelles Netzwerk und Subnetze mit Azure PowerShell:

  1. Erstellen Sie ein virtuelles Netzwerk mit dem Befehl New-AzVirtualNetwork und geben Sie Folgendes ein:
  • den Namen des virtuellen Netzwerks (vnet-eastus-001)
  • Ressourcengruppe (virtualNetworks-rg)
  • Standort (eastus)
  • Adresspräfix (172.16.0.0/16).

Speichern Sie das neue virtuelle Netzwerk in einer Variablen namens $vnet.

  1. $vnet = New-AzVirtualNetwork `
  2. -Name ‘vnet-eastus-001’ `
  3. -AddressPrefix 172.16.0.0/16 `
  4. -Location eastus `
  5. -ResourceGroupName ‘virtualNetworks-rg’
  1. Erstellen Sie ein Subnetz für das neue virtuelle Netzwerk mit Add-AzVirtualNetworkSubnetConfig. Sie müssen Folgendes angeben:
  • Subnetzname (subnet1)
  • Subnetzadresspräfix (172.16.20.0/24)
  • das Virtual Network unter Verwendung der Variablen $vnet

Speichern Sie das neue Subnetz in einer Variable namens $subnet1.

  1. $subnet1 = Add-AzVirtualNetworkSubnetConfig `
  2. -Name ‘subnet1’ `
  3. -AddressPrefix 172.16.20.0/24 `
  4. -VirtualNetwork $vnet
  1. Ordnen Sie das neue Subnetz dem virtuellen Netzwerk zu, indem Sie die Variable $subnet1 an den Befehl Set-AzVirtualNetwork übergeben. PowerShell gibt das aktualisierte Netzwerkobjekt mit den Subnetzinformationen aus.
  1. $subnet1 | Set-AzVirtualNetwork

Wenn Sie ein virtuelles Netzwerk und Subnetze gleichzeitig erstellen möchten, müssen Sie zuerst das Subnetz-Objekt erstellen. Wenn Sie das virtuelle Netzwerk erstellen, geben Sie die Subnetzobjekte an.

  1. Erstellen Sie eine neue Subnetz-Konfiguration mit New-AzVirtualNetworkSubnetConfig, mit folgenden Angaben:
  • dem Subnetznamen (subnet1)
  • dem Adresspräfix (172.16.20.0/24)
  1. $subnet1 = New-AzVirtualNetworkSubnetConfig `
  2. -Name ‘subnet1’ `
  3. -AddressPrefix 172.16.20.0/24
  1. Wiederholen Sie Schritt 1 mit einem neuen Variablennamen, Subnetznamen und Adresspräfix für jedes Subnetz, das dem virtuellen Netzwerk hinzugefügt werden soll.
  2. Verwenden Sie den Befehl New-AzVirtualNetwork zum Erstellen eines virtuellen Netzwerks. Verwenden Sie den Parameter -Subnet, um jede gespeicherte Subnetzvariable durch Kommas getrennt anzugeben. In diesem Beispiel werden drei Subnetze verwendet.
  1. $vnet = New-AzVirtualNetwork `
  2. -Name ‘vnet-eastus-001’ `
  3. -ResourceGroupName ‘virtualNetworks-rg’ `
  4. -Location ‘eastus’ `
  5. -AddressPrefix 172.16.0.0/16 `
  6. -Subnet $subnet1,$subnet2,$subnet3
Azure CLI

So erstellen Sie ein virtuelles Netzwerk und Subnetze mit Azure CLI:

  1. Verwenden Sie den Befehl az network vnet create und geben Sie die Eigenschaften des virtuellen Netzwerk an, einschließlich eines Subnetzes:
  • Name (vnet-centralus-001)
  • Ressourcengruppe (virtualNetworks-rg)
  • Standort (centralus)
  • Adresspräfix (192.168.0.0/16)
  • Subnetzname (subnet1)
  • Subnetzadresspräfix (192.168.10.0/24)
  1. az network vnet create \
  2. –name ‘vnet-centralus-001’ \
  3. –resource-group ‘virtualNetworks-rg’ \
  4. –location ‘centralus’ \
  5. –address-prefixes 192.168.0.0/16 \
  6. –subnet-name ‘subnet1’ \
  7. –subnet-prefixes 192.168.10.0/24
  1. Um dem virtuellen Netzwerk weitere Subnetze hinzuzufügen, verwenden Sie den Befehl az network vnet subnet create mit den folgenden Angaben:
  • Adresspräfix (192.168.20.0/24)
  • Subnetzname (subnet2)
  • Ressourcengruppe (virtualNetworks-rg)
  • VNet-Name (vnet-centralus-001)
  1. az network vnet subnet create \
  2. –address-prefixes 192.168.20.0/24 \
  3. –name ‘subnet2’ \
  4. –resource-group ‘virtualNetworks-rg’ \
  5. –vnet-name ‘vnet-centralus-001’

Weitere Informationen zu Azure Virtual Network

Nachdem Sie jetzt Ihre ersten Azure Virtual Networks erstellt haben, sind hier einige zusätzliche Azure-Netzwerkinformationen. Azure Virtual Networks bietet viele fortschrittlichere Funktionen außerhalb der Kernnetzwerkdienste.

Preise

Im Gegensatz zu einer virtuellen Maschine oder anderen Azure-Ressourcen ist das Erstellen von virtuellen Netzwerken kostenlos. Durch das Erstellen eines virtuellen Netzwerks entstehen keine Kosten für die Ressource, und Sie können bis zu 50 virtuelle Netzwerke pro Abonnement erstellen. Wenn Sie jedoch eine Peering-Verbindung zwischen verschiedenen virtuellen Netzwerken erstellen, erhebt Azure Gebühren für die eingehenden und ausgehenden Datenübertragungen.

Beim Peering zwischen zwei virtuellen Netzwerken in der Region USA, Osten werden beispielsweise 0,01 US-Dollar pro GB für ein- und ausgehende Datenübertragungen berechnet. Für das Herstellen einer Peering-Verbindung zwischen Netzwerken in unterschiedlichen Regionen fallen zusätzliche Gebühren an. Weitere Preisinformationen für Ihre spezifischen Regionen finden Sie hier auf der Seite Preise für virtuelle Netzwerke.

Schutz von Ressourcen

Azure bietet auch mehrere Funktionen zum Schutz Ihrer Netzwerkressourcen. Eine davon ist Azure Firewall, ein cloudbasierter Netzwerksicherheitsdienst. Azure Firewall schützt Ressourcen durch die Durchsetzung von Anwendungs- und Netzwerkverbindungsrichtlinien. Azure Firewall verfügt über integrierte Hochverfügbarkeit und uneingeschränkte Cloud-Skalierbarkeit.

Zusätzlich zur Azure Firewall wurde die Azure Web Application Firewall (WAF) speziell für den Schutz von Webanwendungen entwickelt. Die WAF schützt vor gängigen Exploits und Schwachstellen, die in Webanwendungen zu finden sind, darunter auch diejenigen in der OWASP-Top-Ten-Liste.

Azure bietet zudem einfachen Schutz vor DDoS-Angriffen (Distributed Denial of Service) ohne zusätzliche Kosten. Der Basisschutz bietet Datenverkehrsüberwachung und automatische Angriffsabwehr. Sie können auch auf den Standardschutz hochskalieren und erhalten dadurch Support mit schneller Reaktion, Bekämpfungsrichtlinien sowie Metriken und Warnmeldungen.

FAQs zum Azure Virtual Network

Was ist ein virtuelles Netzwerk in Azure?

Ein Azure Virtual Network ist ein privater IP-Adressraum, in dem Sie Ressourcen bereitstellen können, beispielsweise virtuelle Maschinen. Er verwendet IP-Bereiche im Bereich von RFC 1918.

Was ist der Unterschied zwischen einem VNet und einem Subnetz?

Ein virtuelles Netzwerk (Vnet) umfasst einen größeren IP-Adressraum, beispielsweise 10.10.0.0/16. Ein Subnetz stellt eine kleinere Teilmenge dieses IP-Adressraums dar, z. B. 10.10.5.0/24. Subnetze ermöglichen es, Ressourcen im Netzwerk in logische Gruppierungen aufzuteilen, z. B. eine Gruppe von Web- oder Datenbankservern.

Wie kann ich ein Azure Virtual Network erstellen?

Sie können Azure Virtual Networks über das Azure-Portal, Azure PowerShell oder Azure CLI erstellen. Viele Infrastructure-as-Code-Sprachen können virtuelle Netzwerke erstellen, z. B. ARM-Vorlagen, Ansible, Terraform und Azure Bicep.

Wie viel kosten Azure Virtual Networks?

Die Erstellung von Azure Virtual Networks ist kostenlos. Wenn Sie jedoch virtuelle Netzwerke peeren, werden Ihnen die Gebühren basierend auf dem Datenverkehr berechnet, der in das und aus dem Netzwerk geht. Zusätzliche Optionen wie Gateways und Firewalls für virtuelle Netzwerke sind kostenpflichtig.

Fazit

Nachdem Sie jetzt Ihr erstes Azure Virtual Network erstellt haben, sollten Sie anfangen, zu planen, wie Sie Ressourcen in den Netzwerken sichern und schützen können. Unabhängig davon, ob es sich um einen reinen Cloud-Ansatz oder einen hybriden Ansatz mit einem lokalen Rechenzentrum handelt, gelten immer noch die gleichen Netzwerkkonzepte. Sie müssen ermitteln und sichern, welche Ressourcen auf andere Ressourcen zugreifen können, und vor externen Bedrohungen schützen.

Um mehr darüber zu erfahren, wie man Virtual Networks überwacht und Fehler behebt, lesen Sie Erstellen und Verwalten der Ressource „Azure Network Watcher“.

Jeff Brown

Jeff Brown

Jeff Brown is a cloud engineer specializing in Microsoft technologies such as Office 365, Teams, Azure, and PowerShell.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990