Vorbereiten der Verbindungsherstellung zwischen Azure Communications Gateway und Ihrem eigenen virtuellen Netzwerk (Vorschau)
In diesem Artikel werden die Schritte beschrieben, die erforderlich sind, um mittels VNet-Injektion für Azure Communications Gateway (Vorschau) eine Verbindung zwischen einer Azure Communications Gateway-Instanz und Ihrem eigenen virtuellen Netzwerk herzustellen. Dieses Verfahren ist erforderlich, um Azure Communications Gateway in einem von Ihnen gesteuerten Subnetz bereitzustellen. Es wird verwendet, wenn Sie Ihr lokales Netzwerk mithilfe von privatem ExpressRoute-Peering oder über eine Azure VPN Gateway-Instanz verbinden. Azure Communications Gateway verfügt über zwei Dienstregionen mit eigener Konnektivität, was bedeutet, dass Sie virtuelle Netzwerke und Subnetze in jeder dieser Regionen bereitstellen müssen.
Das folgende Diagramm zeigt eine Übersicht über die Bereitstellung von Azure Communications Gateway mit VNet-Injektion. Die Netzwerkschnittstellen in Azure Communications Gateway, die auf Ihr Netzwerk ausgerichtet sind, werden in Ihrem Subnetz bereitgestellt. Die auf Back-End-Kommunikationsdienste ausgerichteten Netzwerkschnittstellen werden dagegen weiterhin von Microsoft verwaltet.
Voraussetzungen
- Lassen Sie Ihr Azure-Abonnement für Azure Communications Gateway aktivieren.
- Informieren Sie Ihr Team für das Onboarding, dass Sie Ihre eigenen virtuellen Netzwerke verwenden möchten.
- Erstellen Sie ein virtuelles Azure-Netzwerk in jeder der Azure-Regionen, die als Dienstregionen von Azure Communications Gateway verwendet werden sollen. Informationen zum Erstellen eines virtuellen Netzwerks finden Sie hier.
- Erstellen Sie in jedem virtuellen Azure-Netzwerk ein Subnetz zur exklusiven Nutzung durch Azure Communications Gateway. Diese Subnetze müssen jeweils über mindestens 16 IP-Adressen verfügen (IPv4-Bereich von mindestens /28). Keine anderen Komponenten dürfen dieses Subnetz verwenden. Informationen zum Erstellen eines Subnetzes finden Sie hier.
- Stellen Sie sicher, dass Ihr Azure-Konto über die Rolle „Netzwerkmitwirkender“ oder über eine übergeordnete Rolle für die virtuellen Netzwerke verfügt.
- Stellen Sie Ihre ausgewählte Konnektivitätslösung (z. B. ExpressRoute) in Ihrem Azure-Abonnement bereit, und stellen Sie sicher, dass sie einsatzbereit ist.
Tipp
Labbereitstellungen verfügen nur über eine einzelne Dienstregion. Daher muss im Rahmen dieses Verfahrens nur eine einzelne Region eingerichtet werden.
Delegieren der Subnetze des virtuellen Netzwerks
Um Ihr virtuelles Netzwerk mit Azure Communications Gateway verwenden zu können, müssen Sie die Subnetze an Azure Communications Gateway delegieren. Durch die Subnetzdelegierung werden Azure Communications Gateway explizite Berechtigungen zum Erstellen dienstspezifischer Ressourcen wie Netzwerkschnittstellen (NICs) in den Subnetzen erteilt.
Führen Sie die folgenden Schritte aus, um Ihre Subnetze für die Verwendung mit Ihrer Azure Communications Gateway-Instanz zu delegieren:
Navigieren Sie zu Ihren virtuellen Netzwerken, und wählen Sie das virtuelle Netzwerk aus, das in der ersten Dienstregion für Azure Communications Gateway verwendet werden soll.
Wählen Sie Subnetze aus.
Wählen Sie ein Subnetz aus, das Sie an Azure Communications Gateway delegieren möchten.
Wichtig
Das verwendete Subnetz muss an Azure Communications Gateway delegiert werden.
Wählen Sie unter Subnetz an einen Dienst delegieren die Option Microsoft.AzureCommunicationsGateway/networkSettings und anschließend Speichern aus.
Vergewissern Sie sich, dass Microsoft.AzureCommunicationsGateway/networkSettings in der Spalte Delegiert an für Ihr Subnetz angezeigt wird.
Wiederholen Sie die obigen Schritte für das virtuelle Netzwerk und das Subnetz in der anderen Azure Communications Gateway-Dienstregion.
Konfigurieren von Netzwerksicherheitsgruppen
Wenn Sie Ihre Azure Communications Gateway-Instanz mit virtuellen Netzwerken verbinden, müssen Sie eine Netzwerksicherheitsgruppe (NSG) konfigurieren, damit Datenverkehr aus Ihrem Netzwerk Azure Communications Gateway erreichen kann. Eine NSG enthält Regeln zur Zugriffssteuerung, die den Datenverkehr auf Grundlage der Richtung des Datenverkehrs, des Protokolls, der Quelladresse und des Quellports, und der Zieladresse und des Zielports zulässt oder verweigert.
Die Regeln für eine NSG können jederzeit geändert werden, und die Änderungen werden auf alle zugeordneten Instanzen angewendet. Es kann bis zu zehn Minuten dauern, bis die NSG-Änderungen wirksam werden.
Wichtig
Wenn Sie keine Netzwerksicherheitsgruppe konfigurieren, hat Ihr Datenverkehr keinen Zugriff auf die Azure Communication Gateway-Netzwerkschnittstellen.
Die Konfiguration der Netzwerksicherheitsgruppen umfasst zwei Schritte, die in der jeweiligen Dienstregion ausgeführt werden müssen:
- Erstellen Sie eine Netzwerksicherheitsgruppe, die den gewünschten Datenverkehr zulässt.
- Ordnen Sie die Netzwerksicherheitsgruppe den Subnetzen des virtuellen Netzwerks zu.
Sie können eine Netzwerksicherheitsgruppe (NSG) verwenden, um in Ihrem virtuellen Netzwerk eingehenden Datenverkehr für virtuelle Computer, Rolleninstanzen, Netzwerkkarten (NICs) oder Subnetze zu steuern. Eine NSG enthält Regeln zur Zugriffssteuerung, die den Datenverkehr auf Grundlage der Richtung des Datenverkehrs, des Protokolls, der Quelladresse und des Quellports, und der Zieladresse und des Zielports zulässt oder verweigert. Die Regeln für eine NSG können jederzeit geändert werden, und die Änderungen werden auf alle zugeordneten Instanzen angewendet.
Weitere Informationen zu NSGs finden Sie unter Was ist eine NSG.
Erstellen der relevanten Netzwerksicherheitsgruppe
Arbeiten Sie mit Ihrem Onboardingteam zusammen, um die richtige NSG-Konfiguration für Ihre virtuellen Netzwerke zu ermitteln. Diese Konfiguration hängt von Ihrer Konnektivitätsauswahl (z. B. ExpressRoute) sowie von Ihrer VNet-Topologie ab.
Ihre NSG-Konfiguration muss Datenverkehr für die erforderlichen, von Azure Communications Gateway verwendeten Portbereiche zulassen.
Tipp
Sie können Empfehlungen für Netzwerksicherheitsgruppen verwenden, um sicherzustellen, dass Ihre Konfiguration den bewährten Methoden für Sicherheit entspricht.
Zuordnen des Subnetzes zur Netzwerksicherheitsgruppe
- Navigieren Sie zu Ihrer Netzwerksicherheitsgruppe, und wählen Sie Subnetze aus.
- Wählen Sie in der obersten Menüleiste + Zuordnen aus.
- Wählen Sie im Feld Virtuelles Netzwerk Ihr virtuelles Netzwerk aus.
- Wählen Sie unter Subnetz Ihr VNet-Subnetz aus.
- Wählen Sie OK aus, um das VNet-Subnetz der Netzwerksicherheitsgruppe zuzuordnen.
- Wiederholen Sie diese Schritte für die andere Dienstregion.