Delen via

Azure voor netwerktechnici

  • Artikel

Als conventionele netwerktechnicus hebt u fysieke assets behandeld, zoals routers, switches, kabels, firewalls om infrastructuur te bouwen. Op een logische laag hebt u virtual LAN (VLAN), Spanning Tree Protocol (STP), routeringsprotocollen (RIP, OSPF, BGP) geconfigureerd. U hebt uw netwerk beheerd met behulp van beheerhulpprogramma's en CLI. Netwerken in de cloud verschillen waar netwerkeindpunten logisch zijn en het gebruik van routeringsprotocollen minimaal is. U werkt met de Azure Resource Manager-API, Azure CLI en PowerShell voor het configureren en beheren van assets in Azure. U begint uw netwerktraject in de cloud door inzicht te krijgen in basistenants van Azure-netwerken.

Virtueel netwerk

Wanneer u een netwerk vanaf beneden ontwerpt, verzamelt u enkele basisinformatie. Deze informatie kan bestaan uit het aantal hosts, netwerkapparaten, het aantal subnetten, routering tussen subnetten, isolatiedomeinen zoals VLAN's. Deze informatie helpt bij het aanpassen van de grootte van het netwerk- en beveiligingsapparaat en het maken van de architectuur ter ondersteuning van toepassingen en services.

Wanneer u van plan bent om uw toepassingen en services in Azure te implementeren, begint u met het maken van een logische grens in Azure. Dit wordt een virtueel netwerk genoemd. Dit virtuele netwerk is vergelijkbaar met een fysieke netwerkgrens. Omdat het een virtueel netwerk is, hebt u geen fysiek tandwiel nodig, maar moet u nog steeds plannen voor de logische entiteiten, zoals IP-adressen, IP-subnetten, routering en beleid.

Wanneer u een virtueel netwerk in Azure maakt, wordt het vooraf geconfigureerd met een IP-bereik (10.0.0.0/16). Dit bereik is niet opgelost. U kunt uw eigen IP-bereik definiëren. U kunt zowel IPv4- als IPv6-adresbereiken definiëren. IP-bereiken die zijn gedefinieerd voor het virtuele netwerk, worden niet aangekondigd op internet. U kunt meerdere subnetten maken op basis van uw IP-bereik. Deze subnetten worden gebruikt om IP-adressen toe te wijzen aan virtuele netwerkinterfaces (vNIC's). De eerste vier IP-adressen van elk subnet zijn gereserveerd en kunnen niet worden gebruikt voor IP-toewijzing. Er is geen concept van VLAN's in een openbare cloud. U kunt echter isolatie binnen een virtueel netwerk maken op basis van uw gedefinieerde subnetten.

U kunt één groot subnet maken dat alle adresruimte van het virtuele netwerk omvat of ervoor kiezen om meerdere subnetten te maken. Als u echter een gateway voor een virtueel netwerk gebruikt, moet u in Azure een subnet maken met de naam 'gatewaysubnet'. Azure gebruikt dit subnet om IP-adressen toe te wijzen aan virtuele netwerkgateways.

IP-toewijzing

Wanneer u een IP-adres toewijst aan een host, wijst u daadwerkelijk IP toe aan een netwerkinterfacekaart (NIC). U kunt twee typen IP-adressen toewijzen aan een NIC in Azure:

  • Openbare IP-adressen: wordt gebruikt om inkomend en uitgaand te communiceren (zonder NAT (network address translation)) met internet en andere Azure-resources die niet zijn verbonden met een virtueel netwerk. Het toewijzen van een openbaar IP-adres aan een NIC is optioneel. Openbare IP-adressen behoren tot de Ip-adresruimte van Microsoft.
  • Privé-IP-adressen: wordt gebruikt voor communicatie binnen een virtueel netwerk, uw on-premises netwerk en internet (met NAT). IP-adresruimte die u in het virtuele netwerk definieert, wordt beschouwd als privé, zelfs als u uw openbare IP-adresruimte configureert. Microsoft kondigt deze ruimte niet aan op internet. U moet ten minste één privé IP-adres toewijzen aan een virtuele machine.

Net als bij fysieke hosts of apparaten zijn er twee manieren om een IP-adres toe te wijzen aan een resource: dynamisch of statisch. In Azure is de standaardtoewijzingsmethode dynamisch, waarbij een IP-adres wordt toegewezen wanneer u een virtuele machine (VM) maakt of een gestopte VM start. Het IP-adres wordt weer vrijgegeven wanneer u de virtuele machine stopt of verwijdert. Als u wilt dat het IP-adres voor de virtuele machine hetzelfde blijft, kunt u de toewijzingsmethode expliciet instellen op statisch. In dat geval wordt er onmiddellijk een IP-adres toegewezen. Het IP-adres wordt alleen vrijgegeven wanneer u de virtuele machine verwijdert of de toewijzingsmethode wijzigt in dynamisch.

Privé-IP-adressen worden toegewezen vanuit de subnetten die u in een virtueel netwerk hebt gedefinieerd. Voor een VIRTUELE machine kiest u een subnet voor de IP-toewijzing. Als een VIRTUELE machine meerdere NIC's bevat, kunt u voor elke NIC een ander subnet kiezen.

Routering

Wanneer u een virtueel netwerk maakt, maakt Azure een routeringstabel voor uw netwerk. Deze routeringstabel bevat de volgende typen routes.

  • Systeemroutes
  • Standaardroutes voor subnet
  • Routes van andere virtuele netwerken
  • BGP-routes
  • Service-eindpuntroutes
  • Door de gebruiker gedefinieerde routes (UDR)

Wanneer u voor het eerst een virtueel netwerk maakt zonder subnetten te definiëren, maakt Azure routeringsvermeldingen in de routeringstabel. Deze routes worden systeemroutes genoemd. Systeemroutes worden op deze locatie gedefinieerd. U kunt deze routes niet wijzigen. U kunt systeemroutes echter overschrijven door UDR's te configureren.

Wanneer u een of meerdere subnetten in een virtueel netwerk maakt, worden in Azure standaardvermeldingen in de routeringstabel gemaakt om communicatie tussen deze subnetten binnen een virtueel netwerk mogelijk te maken. Deze routes kunnen worden gewijzigd met behulp van statische routes, die UDR (User Defined Routes) zijn in Azure.

Wanneer u een VNet-peering maakt tussen twee virtuele netwerken, wordt er een route toegevoegd voor elk adresbereik in de adresruimte van elk virtueel netwerk waarvoor een peering wordt gemaakt.

Als de gateway van uw on-premises netwerk BGP-routes (Border Gateway Protocol) met een gateway van een virtueel Azure-netwerk uitwisselt, wordt er een route toegevoegd voor elke route die wordt doorgegeven vanaf de gateway van het on-premises netwerk. Deze routes worden weergegeven in de routeringstabel als BGP-routes.

De openbare IP-adressen voor bepaalde services worden met Azure aan de routetabel toegevoegd wanneer u een service-eindpunt voor de service inschakelt. Service-eindpunten zijn ingeschakeld voor afzonderlijke subnetten binnen een virtueel netwerk. Wanneer u een service-eindpunt inschakelt, wordt de route alleen toegevoegd aan de routetabel van het subnet dat deel uitmaakt van deze service. Azure beheert de adressen in de routetabel automatisch als de adressen worden gewijzigd.

Door de gebruiker gedefinieerde routes worden ook wel aangepaste routes genoemd. U maakt UDR in Azure om de standaardsysteemroutes van Azure te overschrijven of om extra routes toe te voegen aan de routetabel van een subnet. In Azure maakt u een routetabel en koppelt u de routetabel aan subnetten van het virtuele netwerk.

Wanneer u concurrerende vermeldingen in een routeringstabel hebt, selecteert Azure de volgende hop op basis van het langste voorvoegsel dat vergelijkbaar is met traditionele routers. Als er echter meerdere volgende hopvermeldingen met hetzelfde adresvoorvoegsel zijn, selecteert Azure de routes in de volgende volgorde.

  1. Door gebruikers gedefinieerde routes (UDR)
  2. BGP-routes
  3. Systeemroutes

Beveiliging

U kunt netwerkverkeer naar en van resources in een virtueel netwerk filteren met behulp van netwerkbeveiligingsgroepen. U kunt ook virtuele netwerkapparaten (NVA) gebruiken, zoals Azure Firewall of firewalls van andere leveranciers. U kunt bepalen hoe Verkeer van subnetten wordt gerouteerd in Azure. U kunt ook beperken wie in uw organisatie kan werken met resources in virtuele netwerken.

Een netwerkbeveiligingsgroep (NSG) bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer naar subnetten, NIC’s of beide wordt toegestaan of geweigerd. NSG's kunnen worden gekoppeld aan subnetten of afzonderlijke NIC’s die zijn verbonden met een subnet. Als een NSG is gekoppeld aan een subnet, zijn de ACL-regels van toepassing op alle virtuele machines in dat subnet. Daarnaast kan verkeer naar een afzonderlijke NIC worden beperkt door een NSG rechtstreeks aan een NIC te koppelen.

NSG's bevatten twee sets met regels: een set met regels voor binnenkomend verkeer en een set met regels voor uitgaand verkeer. De prioriteit voor een regel moet uniek zijn binnen elke set. Elke regel heeft eigenschappen voor protocol, bron- en doelpoortbereik, adresvoorvoegsels, richting van verkeer, prioriteit en toegangstype. Alle NSG's bevatten een set met standaardregels. De standaardregels kunnen niet worden verwijderd, maar omdat ze de laagste prioriteit hebben, kunnen ze worden overschreven door de regels die u maakt.

Verificatie

Routes in virtueel netwerk

De combinatie van routes die u maakt, de standaardroutes van Azure en alle routes die worden doorgegeven vanuit uw on-premises netwerk via een Azure VPN-gateway (als uw virtuele netwerk is verbonden met uw on-premises netwerk) via het border gatewayprotocol (BGP), zijn de effectieve routes voor alle netwerkinterfaces in een subnet. U kunt deze effectieve routes zien door te navigeren naar NIC via portal, PowerShell of CLI. Zie Get-AzEffectiveRouteTable voor meer informatie over effectieve routes op een NIC.

Netwerkbeveiligingsgroepen

De effectieve beveiligingsregels die worden toegepast op een netwerkinterface zijn een aggregatie van de regels die bestaan in de NSG die zijn gekoppeld aan een netwerkinterface en het subnet waarin de netwerkinterface zich bevindt. U kunt alle effectieve beveiligingsregels van NSG's bekijken die zijn toegepast op de netwerkinterfaces van uw VIRTUELE machine door te navigeren naar de NIC via portal, PowerShell of CLI.

Volgende stappen

Meer informatie over het virtuele netwerk.

Meer informatie over routering van virtuele netwerken.

Meer informatie over de netwerkbeveiligingsgroepen.