Implementieren der IP-Adressierung für IaaS-VMs
Die IT-Abteilung von Contoso möchte in Azure weiterhin die IPv4-Adressbereiche verwenden, die derzeit lokal verwendet werden. Für die Haupt- und Zweigniederlassungen wird der private IP-Adressbereich 10.0.0.0/8 verwendet. Für das Azure-Pilotprogramm entscheiden Sie, einige VMs zu erstellen und dann zu testen, ob diese mit den entsprechenden privaten IPv4-Adressen konfiguriert werden können. Außerdem ist es wichtig, dass auf einige Server öffentlich zugegriffen werden kann. Für diese ist also eine öffentliche IPv4-Adresse erforderlich.
Private IP-Adressierung
Private IP-Adressen werden für die Kommunikation zwischen Ressourcen in Azure verwendet. Zu diesen Ressourcen zählen:
- Azure-Dienste wie VMs, VNETs, Lastenausgleiche und Anwendungsgateways
- VMs in einem VNET
- Lokale Ressourcen, auf die über ein VPN-Gateway (Virtual Private Network) oder eine Azure ExpressRoute-Verbindung zugegriffen wird
Hinweis
Weitere Informationen zu ExpressRoute finden Sie in der Übersicht für ExpressRoute.
Standardmäßig wird jeder Netzwerkschnittstelle eine einzelne private IP-Adresse aus dem IP-Adressbereich des Subnetzes zugeordnet. Diese IP-Adresse wird Teil der primären IP-Konfiguration der Netzwerkschnittstelle. Alternativ können Sie jeder Schnittstelle eine statische IP-Adresse zuweisen. Sie können auch mehrere sekundäre Konfigurationen mit eigenen IP-Adressen erstellen, bis die von der Plattform festgelegten Grenzwerte erreicht sind.
Azure verwendet das Dynamic Host Configuration-Protokoll (DHCP), um statische und dynamische IP-Adressen zu verwalten, die den IP-Adressbereichen angehören, die bei der Erstellung des VNET-Subnetzes zugeordnet wurden, mit dem die Netzwerkschnittstelle der Azure-VM verbunden ist.
Die DHCP-Leasedauer ist unendlich. Das bedeutet, dass die IP-Adressen so lange zugeordnet bleiben, wie die Azure-VM in Verwendung ist. Wenn Sie die Azure-VM jedoch anhalten (also die Zuordnung aufheben), gibt die Plattform die dynamischen IP-Adressen frei und fügt sie wieder einem vom DHCP verwalteten Pool hinzu. Das kann zur Folge haben, dass das DHCP die IP-Adresse einer anderen Ressource im selben Subnetz zuweist. Das können Sie verhindern, indem Sie die IP-Adresse als statisch festlegen.
Tipp
Sie sollten eine statische IP-Adresse zuweisen, wenn eine Azure-VM einen DNS-Dienst hostet oder Sie den Netzwerkzugriff mithilfe von Firewallregeln kontrollieren, die auf eine Quell- oder Ziel-IP-Adresse verweist.
Sie weisen eine statische private IP-Adresse zu, wenn Sie die Azure-VMs erstellen – oder zu einem beliebigen Zeitpunkt danach. Die IP-Adresszuweisung erfolgt auf Netzwerkschnittstellenebene der Azure-VM, nicht innerhalb des Betriebssystems.
Wichtig
Ändern Sie keine IP-Konfigurationen in einem Betriebssystem, das auf einer Azure-VM ausgeführt wird, da sonst Konnektivitätsprobleme auftreten.
Sie können das Azure-Portal, Azure PowerShell, die Azure CLI oder Azure Resource Manager-Vorlagen verwenden, um eine statische, private IP-Adresse zuzuweisen.
Hinweis
Wenn Sie eine statische IP-Adresse festlegen, wird innerhalb der Azure-VM ein Neustart des Betriebssystems ausgelöst.
Zuordnungsmethode
Azure weist Ihren Ressourcen private IP-Adressen aus dem Adressbereich des VNET-Subnetzes zu, in dem sich diese befinden. Azure reserviert die ersten vier Adressen in jedem Subnetzadressbereich. Diese vier Adressen können Ihren Ressourcen nicht zugewiesen werden. Wenn der Adressbereich des Subnetzes beispielsweise 10.2.0.0/16 ist, sind die Adressen 10.2.0.0 bis 10.2.0.3 und 10.2.255.255 nicht verfügbar.
Hinweis
Azure kann IP-Adressen innerhalb des Adressbereichs des Subnetzes können jeweils nur einer Ressource zuweisen.
Azure kann private IP-Adressen auf zwei Arten zuweisen. Diese werden in der folgenden Tabelle erläutert.
| type | Erklärung |
|---|---|
| Dynamisch | Azure weist die nächste verfügbare nicht zugewiesene oder nicht reservierte IP-Adresse im Adressbereich des Subnetzes zu. Beispielsweise weist Azure die IP-Adresse 10.2.0.10 einer neuen Ressource zu, wenn die Adressen 10.2.0.4 bis 10.2.0.9 bereits anderen Ressourcen zugewiesen sind. Nach der Zuweisung werden dynamische IP-Adressen freigegeben, wenn eine Netzwerkschnittstelle gelöscht oder einem anderen Subnetz desselben virtuellen Netzwerks zugewiesen wird oder wenn Sie die Zuordnungsmethode in „Statisch“ ändern und eine andere IP-Adresse angeben. |
| statischen | Sie wählen eine beliebige nicht zugewiesene oder nicht reservierte IP-Adresse im Adressbereich des Subnetzes aus und weisen sie zu. Wenn der Adressbereich eines Subnetzes z. B. 10.2.0.0/16 lautet und die Adressen 10.2.0.4 bis 10.2.0.9 anderen Ressourcen zugewiesen sind, können Sie jede Adresse zwischen 10.2.0.10 und 10.2.255.254 zuweisen. Statische Adressen werden nur freigegeben, wenn eine Netzwerkschnittstelle gelöscht wird. |
Hinweis
„Dynamisch“ ist das Standardverfahren für die Zuteilung.
VMs
Azure weist einer oder mehreren Netzwerkschnittstellen für Ihre VMs eine oder mehrere private IP-Adressen zu. Azure konfiguriert VMs standardmäßig für die Verwendung von durch Azure verwalteten DNS-Servern. Sie können dieses Standardverhalten jedoch ändern und benutzerdefinierte DNS-Einstellungen für Ihre virtuellen Computer konfigurieren. Azure erstellt auf diesen verwalteten DNS-Servern eine Zuordnung zwischen dem VM-Hostnamen und der privaten IP-Adresse der VM, um die Namensauflösung zu ermöglichen.
Weitere Informationen zu von Azure verwalteten DNS-Servern finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken im Abschnitt „Von Azure bereitgestellte Namensauflösung“.
Interne Lastenausgleiche und Anwendungsgateways
Sie können private IP-Adressen der Front-End-Konfiguration für interne Lastenausgleiche und Anwendungsgateways zuweisen. Sie können diesen Ressourcen auch eine dynamische oder eine statische IP-Adresse zuweisen
Die zugewiesene private IP-Adresse fungiert als interner Endpunkt. Nur die Ressourcen im VNET der Ressource und die damit verbundenen Remotenetzwerke können auf diesen Endpunkt zugreifen.
Zusammenfassung
In der folgenden Tabelle wird kurz beschrieben, wie die wichtigsten Ressourcen mit privaten IP-Adressen konfiguriert werden.
| Resource | Zuordnung der IP-Adresse | Dynamisch | statischen |
|---|---|---|---|
| VM | Netzwerkschnittstelle | Ja | Ja |
| Anwendungsgateway | Front-End-Konfiguration | Ja | Ja |
| Load Balancer | Front-End-Konfiguration | Ja | Ja |
Öffentliche IP-Adressierung
Öffentliche IP-Adressen ermöglichen den Zugriff auf Azure-Ressourcen direkt über das Internet. Wenn Sie die eingehende Konnektivität über das Internet zu einer Azure-VM ermöglichen möchten, müssen Sie der Netzwerkschnittstelle dieser Azure-VM eine öffentliche IP-Adresse zuweisen. Eine öffentliche IP-Adresse kann den folgenden Komponenten zugewiesen werden:
- VM-Netzwerkschnittstellen
- Load Balancer mit Internetzugriff
- VPN-Gateways
- Anwendungsgateways
- Azure Firewall
Wenn Sie einer Ressource eine öffentliche IP-Adresse zuweisen, bleibt sie für diese Ressource reserviert, bis Sie die Zuweisung aufheben.
Hinweis
Eine Ressource ohne zugewiesene öffentliche IP-Adresse kann dennoch ausgehend kommunizieren.
Öffentliche IP-Adressen sind in zwei SKU-Einheiten (Stock Keeping Unit, SKUs) verfügbar. Dies wird in der folgenden Tabelle erläutert.
| SKU | BESCHREIBUNG |
|---|---|
| Basic | Basic-SKUs unterstützen sowohl dynamische als auch statische Zuordnungsmethoden. Sie können diese Azure-VM-Netzwerkschnittstellen, Azure Load Balancer Basic-SKUs mit Internetzugriff, Anwendungsgateways und VPN-Gateways zuweisen. Grundlegende SKUs vereinfachen die Zuweisung öffentlicher IPv6-IP-Adressen zu Azure Load Balancer Basic-Instanzen mit Internetzugriff. |
| Standard | Standard-SKUs unterstützen nur die statische Zuordnung. Sie vereinfachen die Zuweisung öffentlicher IPv6-IP-Adressen zu Azure Load Balancer Standard-Instanzen mit Internetzugriff. Sie können diese Netzwerkschnittstellen für Azure-VMs und Azure Load Balancer Standard-SKUs mit Internetzugriff zuweisen. Sie können sie als zonenredundant konfigurieren oder einer bestimmten Zone zuweisen. Sie können beide Arten von IP-Adressen derselben Azure Load Balancer Standard-SKU zuweisen. |
Hinweis
Seit Mai 2020 unterstützen Azure-VNETs die IPv6-basierte Konnektivität nicht mehr. Wie bereits erwähnt, können Sie den eingehenden Zugriff auf Azure-VMs in einem VNET auch ermöglichen, indem Sie eine dynamisch zugewiesene öffentliche IPv6-Adresse verwenden, die einer Azure Load Balancer-Instanz mit Internetzugriff zugewiesen ist.