IP-adrestypen en toewijzingsmethoden (klassiek) in Azure
U kunt IP-adressen toewijzen aan Azure-resources om te communiceren met andere Azure-resources, uw on-premises netwerk en internet. Er zijn twee typen IP-adressen die u kunt gebruiken in Azure: openbaar en privé.
Openbare IP-adressen worden gebruikt voor communicatie met internet, met inbegrip van openbare Azure-services.
Privé-IP-adressen worden gebruikt voor communicatie binnen een virtueel Azure-netwerk (VNet), een cloudservice en uw on-premises netwerk wanneer u een VPN-gateway of ExpressRoute-circuit gebruikt om uw netwerk uit te breiden naar Azure.
Belangrijk
Azure heeft twee verschillende implementatiemodellen voor het maken en werken met resources: Resource Manager en klassieke. Dit artikel gaat over het gebruik van het klassieke implementatiemodel. Microsoft raadt aan dat de meeste nieuwe implementaties Resource Manager gebruiken. Lees het IP-adressen artikel voor meer informatie over IP-adressen in Resource Manager.
Openbare IP-adressen
Met openbare IP-adressen kunnen Azure-resources communiceren met openbare internet- en openbare Azure-services, zoals Azure Cache voor Redis, Azure Event Hubs, SQL-databasesen Azure Storage-.
Een openbaar IP-adres is gekoppeld aan de volgende resourcetypen:
- Cloud services
- Virtuele IaaS-machines (VMs)
- PaaS rolinstanties
- VPN-gateways
- Toepassingsgateways
Toewijzingsmethode
Wanneer een openbaar IP-adres moet worden toegewezen aan een Azure-resource, wordt dit dynamisch toegewezen vanuit een pool met beschikbaar openbaar IP-adres op de locatie waar de resource wordt gemaakt. Dit IP-adres wordt vrijgegeven wanneer de resource wordt gestopt. Met cloudservice gebeurt dit wanneer alle rolinstanties worden gestopt. Dit kan worden vermeden door een statisch (gereserveerd) IP-adres te gebruiken (zie Cloud Services).
Notitie
De lijst met IP-bereiken waaruit openbare IP-adressen worden toegewezen aan Azure-resources, wordt gepubliceerd op IP-adresbereiken van Azure Datacenter.
DNS-hostnaamomzetting
Wanneer u een cloudservice of een IaaS-VM maakt, moet u een DNS-naam voor de cloudservice opgeven die uniek is voor alle resources in Azure. Hiermee creëert u een koppeling in de door Azure beheerde DNS-servers voor dnsnaam.cloudapp.net naar het openbare IP-adres van de resource. Wanneer u bijvoorbeeld een cloudservice maakt met een DNS-naam van een cloudservice van contoso, wordt de FQDN(Fully Qualified Domain Name) contoso.cloudapp.net omgezet in een openbaar IP-adres (VIP) van de cloudservice. U kunt deze FQDN gebruiken om een aangepaste CNAME-domeinrecord te maken die verwijst naar het openbare IP-adres in Azure.
Cloud services
Een cloudservice heeft altijd een openbaar IP-adres waarnaar wordt verwezen als een virtueel IP-adres (VIP). U kunt eindpunten maken in een cloudservice om verschillende poorten in het VIP te koppelen aan interne poorten op VM's en rolinstanties binnen de cloudservice.
Een cloudservice kan meerdere IaaS-VM's of PaaS-rolinstanties bevatten, die allemaal beschikbaar zijn via hetzelfde VIP voor de cloudservice. U kunt ook meerdere VIP's toewijzen aan een cloudservice, waardoor scenario's met meerdere VIP's, zoals een omgeving met meerdere tenants, met SSL-websites mogelijk zijn.
U kunt ervoor zorgen dat het openbare IP-adres van een cloudservice hetzelfde blijft, zelfs wanneer alle rolexemplaren worden gestopt, met behulp van een statisch openbaar IP-adres, aangeduid als gereserveerd IP-. U kunt een statische (gereserveerde) IP-resource maken op een specifieke locatie en deze toewijzen aan elke cloudservice op die locatie. U kunt het werkelijke IP-adres voor het gereserveerde IP-adres niet opgeven. Het adres wordt toegewezen vanuit de groep beschikbare IP-adressen op de locatie waar het wordt gemaakt. Dit IP-adres wordt pas vrijgegeven als u het expliciet verwijdert.
Statische (gereserveerde) openbare IP-adressen worden vaak gebruikt in de scenario's waarin een cloudservice:
- vereist dat firewallregels worden ingesteld door eindgebruikers.
- is afhankelijk van externe DNS-naamomzetting en een dynamisch IP-adres moet A-records bijwerken.
- gebruikt externe webservices die gebruikmaken van een op IP gebaseerd beveiligingsmodel.
- maakt gebruik van SSL-certificaten die zijn gekoppeld aan een IP-adres.
Notitie
Wanneer u een klassieke VM maakt, wordt een container cloudservice gemaakt door Azure, dat een virtueel IP-adres (VIP) heeft. Wanneer het maken via de portal wordt uitgevoerd, wordt een standaard-RDP- of SSH--eindpunt geconfigureerd door de portal, zodat u verbinding kunt maken met de virtuele machine via het VIP van de cloudservice. Deze VIP van de cloudservice kan worden gereserveerd, waardoor een gereserveerd IP-adres wordt geboden om verbinding te maken met de virtuele machine. U kunt extra poorten openen door meer eindpunten te configureren.
IaaS VMs en PaaS-rolinstanties
U kunt een openbaar IP-adres rechtstreeks toewijzen aan een IaaS-VM of paaS-rolinstantie in een cloudservice. Dit wordt een openbaar IP-adres op exemplaarniveau genoemd (ILPIP-). Dit openbare IP-adres kan alleen dynamisch zijn.
Notitie
Dit verschilt van het VIP van de cloudservice, een container voor IaaS-VM's of PaaS-rolinstanties, omdat een cloudservice meerdere IaaS-VM's of PaaS-rolinstanties kan bevatten, allemaal beschikbaar via hetzelfde VIP voor cloudservices.
VPN-gateways
Een VPN-gateway kan worden gebruikt om een Azure-VNet te verbinden met andere Azure-VNets of on-premises netwerken. Aan een VPN-gateway wordt een openbaar IP-adres toegewezen dynamisch, waardoor communicatie met het externe netwerk mogelijk is.
Toepassingsgateways
Een Azure Application Gateway- kan worden gebruikt voor laag7-taakverdeling om netwerkverkeer te routeren op basis van HTTP. Toepassingsgateway krijgt een openbaar IP-adres toegewezen dynamisch, dat fungeert als vip met gelijke taakverdeling.
In één oogopslag
In de onderstaande tabel ziet u elk resourcetype met de mogelijke toewijzingsmethoden (dynamisch/statisch) en de mogelijkheid om meerdere openbare IP-adressen toe te wijzen.
| Hulpbron | Dynamisch | Statisch | Meerdere IP-adressen |
|---|---|---|---|
| Cloudservice | Ja | Ja | Ja |
| IaaS VM- of PaaS-rolinstantie | Ja | Nee. | Nee. |
| VPN-gateway | Ja | Nee. | Nee. |
| Applicatiegateway | Ja | Nee. | Nee. |
Privé-IP-adressen
Met privé-IP-adressen kunnen Azure-resources communiceren met andere resources in een cloudservice of een virtueel netwerk(VNet) of naar een on-premises netwerk (via een VPN-gateway of ExpressRoute-circuit), zonder een internetbereikbaar IP-adres te gebruiken.
In het klassieke Azure-implementatiemodel kan een privé-IP-adres worden toegewezen aan de volgende Azure-resources:
- IaaS-VM's en PaaS-rolinstanties
- Interne verdeler van belastingen
- Applicatiegateway
IaaS VMs en PaaS-rolinstanties
Virtuele machines (VM's) die zijn gemaakt met het klassieke implementatiemodel, worden altijd in een cloudservice geplaatst, vergelijkbaar met PaaS-rolinstanties. Het gedrag van privé-IP-adressen is dus vergelijkbaar voor deze resources.
Het is belangrijk om te weten dat een cloudservice op twee manieren kan worden geïmplementeerd:
- Als een zelfstandige cloudservice, waar deze zich niet in een virtueel netwerk bevindt.
- Als onderdeel van een virtueel netwerk.
Toewijzingsmethode
In het geval van een zelfstandige cloudservice, krijgen resources een privé-IP-adres toegewezen dynamisch uit het privé-IP-adresbereik van het Azure-datacenter. Het kan alleen worden gebruikt voor communicatie met andere VM's binnen dezelfde cloudservice. Dit IP-adres kan veranderen wanneer de resource is gestopt en gestart.
In het geval van een cloudservice die in een virtueel netwerk is geïmplementeerd, krijgen resources privé-IP-adressen toegewezen uit het adresbereik van de gekoppelde subnetten (zoals opgegeven in de netwerkconfiguratie). Dit privé-IP-adres(en) kan worden gebruikt voor communicatie tussen alle VM's binnen het VNet.
In het geval van cloudservices binnen een VNet wordt bovendien standaard een privé-IP-adres toegewezen dynamisch (met DHCP). Het kan veranderen wanneer de resource gestopt en opnieuw gestart wordt. Om ervoor te zorgen dat het IP-adres hetzelfde blijft, moet u de toewijzingsmethode instellen op statischeen een geldig IP-adres opgeven binnen het bijbehorende adresbereik.
Statische privé-IP-adressen worden vaak gebruikt voor:
- VMs die fungeren als domeincontrollers of DNS-servers.
- VM's waarvoor firewallregels zijn vereist met behulp van IP-adressen.
- VM's die diensten aanbieden waartoe andere apps toegang hebben via een IP-adres.
Interne DNS-hostnaamomzetting
Alle Azure-VM's en PaaS-rolinstanties worden standaard geconfigureerd met door Azure beheerde DNS-servers, tenzij u expliciet aangepaste DNS-servers configureert. Deze DNS-servers bieden interne naamomzetting voor VM's en rolinstanties die zich in hetzelfde VNet of dezelfde cloudservice bevinden.
Wanneer u een virtuele machine maakt, wordt een toewijzing van de hostnaam aan het privé-IP-adres toegevoegd aan de door Azure beheerde DNS-servers. Met vm met meerdere NIC's wordt de hostnaam toegewezen aan het privé-IP-adres van de primaire NIC. Deze toewijzingsinformatie is echter beperkt tot resources binnen dezelfde cloudservice of hetzelfde VNet.
In het geval van een zelfstandige cloudservice kunt u alleen hostnamen van alle VM's/rolinstanties binnen dezelfde cloudservice oplossen. In het geval van een cloudservice binnen een VNet kunt u de hostnamen van alle VM's en rolinstanties in het VNet oplossen.
Interne lastverdelers (ILB) en toepassings-gateways
U kunt een privé-IP-adres toewijzen aan de front-end configuratie van een Azure Internal Load Balancer- (ILB) of een Azure Application Gateway-. Dit privé-IP-adres fungeert als een intern eindpunt dat alleen toegankelijk is voor de resources binnen het virtuele netwerk (VNet) en de externe netwerken die zijn verbonden met het VNet. U kunt een dynamisch of statisch privé-IP-adres toewijzen aan de front-endconfiguratie. U kunt ook meerdere privé-IP-adressen toewijzen om scenario's met meerdere VIP's in te schakelen.
In één oogopslag
In de onderstaande tabel ziet u elk resourcetype met de mogelijke toewijzingsmethoden (dynamisch/statisch) en de mogelijkheid om meerdere privé-IP-adressen toe te wijzen.
| Hulpbron | Dynamisch | Statisch | Meerdere IP-adressen |
|---|---|---|---|
| VM (in een zelfstandige cloudservice of VNet) | Ja | Ja | Ja |
| PaaS-rolinstantie (in een zelfstandige cloud-service of VNet) | Ja | Nee. | Nee. |
| De frontend van de interne load balancer | Ja | Ja | Ja |
| Front-end van de applicatie-gateway | Ja | Ja | Ja |
Grenzen
In de onderstaande tabel ziet u de limieten voor IP-adressering in Azure per abonnement. U kunt contact opnemen met ondersteuning om de standaardlimieten te verhogen tot de maximumlimieten op basis van uw bedrijfsbehoeften.
| Standaardlimiet | Bovengrens | |
|---|---|---|
| Openbare IP-adressen (dynamisch) | 5 | contact opnemen met ondersteuning |
| Gereserveerde openbare IP-adressen | 20 | contact opnemen met ondersteuning |
| Openbaar VIP per implementatie (cloudservice) | 5 | contact opnemen met ondersteuning |
| Privé-VIP (ILB) per implementatie (cloudservice) | 1 | 1 |
Zorg ervoor dat u de volledige set limieten voor netwerken in Azure leest.
Prijzen
In de meeste gevallen zijn openbare IP-adressen gratis. Er worden nominale kosten in rekening gebracht voor het gebruik van extra en/of statische openbare IP-adressen. Zorg ervoor dat u de prijsstructuur voor openbare IP-adressen begrijpt.
Verschillen tussen Resource Manager en klassieke implementaties
Hieronder ziet u een vergelijking van IP-adresseringsfuncties in Resource Manager en het klassieke implementatiemodel.
| Hulpbron | Klassiek | Resourcemanager | |
|---|---|---|---|
| Openbaar IP-adres | VM | Aangeduid als een ILPIP (alleen dynamisch) | Aangeduid als een openbaar IP-adres (dynamisch of statisch) |
| Toegewezen aan een IaaS-VM of een PaaS-rolinstantie | Gekoppeld aan de NIC van de virtuele machine | ||
| internet-kant belastingverdeler | Aangeduid als VIP (dynamisch) of gereserveerd IP-adres (statisch) | Aangeduid als een openbaar IP-adres (dynamisch of statisch) | |
| Toegewezen aan een cloudservice | Gekoppeld aan de front-end-configuratie van de load balancer | ||
| Privé IP-adres | VM | Aangeduid als een DIP | Aangeduid als een privé-IP-adres |
| Toegewezen aan een IaaS-VM of een PaaS-rolinstantie | Toegewezen aan de NIC van de virtuele machine | ||
| interne load balancer (ILB) | Toegewezen aan de ILB (dynamisch of statisch) | Toegewezen aan de front-endconfiguratie van de ILB (dynamisch of statisch) |
Volgende stappen
- Implementeer een VIRTUELE machine met een statisch privé-IP-adres met behulp van Azure Portal.