IP-adrestypen en toewijzingsmethoden (klassiek) in Azure
U kunt IP-adressen toewijzen aan Azure-resources om te communiceren met andere Azure-resources, uw on-premises netwerk en internet. Er zijn twee typen IP-adressen die u in Azure kunt gebruiken: openbaar en privé.
Openbare IP-adressen worden gebruikt voor communicatie met internet, met inbegrip van openbare Azure-services.
Privé-IP-adressen worden gebruikt voor communicatie binnen een virtueel Azure-netwerk (VNet), een cloudservice en uw on-premises netwerk wanneer u een VPN-gateway of ExpressRoute-circuit gebruikt om uw netwerk uit te breiden naar Azure.
Belangrijk
Azure heeft twee verschillende implementatiemodellen voor het maken van en werken met resources: Resource Manager en klassiek. Dit artikel gaat over het gebruik van het klassieke implementatiemodel. Microsoft raadt aan dat de meeste nieuwe implementaties Resource Manager gebruiken. Meer informatie over IP-adressen in Resource Manager vindt u in het artikel IP-adressen.
Openbare IP-adressen
Met openbare IP-adressen kunnen Azure-resources communiceren met internet- en openbare Azure-services, zoals Azure Cache voor Redis, Azure Event Hubs, SQL-databases en Azure Storage.
Een openbaar IP-adres is gekoppeld aan de volgende resourcetypen:
- Cloud services
- IaaS Virtual Machines (VM's)
- PaaS-rolinstanties
- VPN-gateways
- Toepassingsgateways
Toewijzingsmethode
Wanneer een openbaar IP-adres moet worden toegewezen aan een Azure-resource, wordt het dynamisch toegewezen vanuit een groep beschikbare openbare IP-adressen binnen de locatie waar de resource is gemaakt. Dit IP-adres wordt vrijgegeven wanneer de resource wordt gestopt. Met een cloudservice gebeurt dit wanneer alle rolinstanties worden gestopt, wat kan worden vermeden door een statisch (gereserveerd) IP-adres te gebruiken (zie Cloud Services).
Notitie
De lijst met IP-bereiken van waaruit openbare IP-adressen worden toegewezen aan Azure-resources, wordt gepubliceerd in IP-bereiken van Azure Datacenter.
DNS-hostnaamomzetting
Wanneer u een cloudservice of een IaaS-VM maakt, moet u een DNS-naam voor de cloudservice opgeven die uniek is voor alle resources in Azure. Hiermee maakt u een toewijzing op de door Azure beheerde DNS-servers voor dnsname.cloudapp.net aan het openbare IP-adres van de resource. Wanneer u bijvoorbeeld een cloudservice maakt met de DNS-naam van de cloudservice contoso, wordt de FQDN-contoso.cloudapp.net (Fully Qualified Domain Name) omgezet in een openbaar IP-adres (VIP) van de cloudservice. U kunt deze FDQN gebruiken voor het maken van een aangepaste domein-CNAME-record die verwijst naar het openbare IP-adres in Azure.
Cloud services
Een cloudservice heeft altijd een openbaar IP-adres dat een virtueel IP-adres (VIP) wordt genoemd. U kunt eindpunten maken in een cloudservice om verschillende poorten in het VIP te koppelen aan interne poorten op VM's en rolinstanties in de cloudservice.
Een cloudservice kan meerdere IaaS-VM's of PaaS-rolinstanties bevatten, die allemaal beschikbaar zijn via dezelfde cloudservice-VIP. U kunt ook meerdere VIP's toewijzen aan een cloudservice, waardoor multi-VIP-scenario's mogelijk zijn, zoals een omgeving met meerdere tenants met websites op basis van SSL.
U kunt ervoor zorgen dat het openbare IP-adres van een cloudservice hetzelfde blijft, zelfs wanneer alle rolinstanties zijn gestopt, met behulp van een statisch openbaar IP-adres, ook wel gereserveerd IP-adres genoemd. U kunt een statische (gereserveerde) IP-resource maken op een specifieke locatie en deze toewijzen aan elke cloudservice op die locatie. U kunt het werkelijke IP-adres voor het gereserveerde IP-adres niet opgeven. Het wordt toegewezen vanuit de groep beschikbare IP-adressen op de locatie waar het is gemaakt. Dit IP-adres wordt pas vrijgegeven als u het expliciet verwijdert.
Statische (gereserveerde) openbare IP-adressen worden vaak gebruikt in de scenario's waarin een cloudservice:
- vereist dat firewallregels worden ingesteld door eindgebruikers.
- is afhankelijk van externe DNS-naamomzetting en een dynamisch IP-adres vereist het bijwerken van A-records.
- gebruikt externe webservices die gebruikmaken van een op IP gebaseerd beveiligingsmodel.
- maakt gebruik van SSL-certificaten die zijn gekoppeld aan een IP-adres.
Notitie
Wanneer u een klassieke VM maakt, wordt er een containercloudservice gemaakt door Azure, die een virtueel IP-adres (VIP) heeft. Wanneer het maken via de portal wordt uitgevoerd, wordt een standaard RDP- of SSH-eindpunt geconfigureerd door de portal, zodat u verbinding kunt maken met de VIRTUELE machine via het VIP van de cloudservice. Deze CLOUDservice-VIP kan worden gereserveerd, wat in feite een gereserveerd IP-adres biedt om verbinding te maken met de VM. U kunt extra poorten openen door meer eindpunten te configureren.
IaaS-VM's en PaaS-rolinstanties
U kunt een openbaar IP-adres rechtstreeks toewijzen aan een IaaS-VM of PaaS-rolinstantie binnen een cloudservice. Dit wordt een openbaar IP-adres (ILPIP) op exemplaarniveau genoemd. Dit openbare IP-adres kan alleen dynamisch zijn.
Notitie
Dit verschilt van het VIP van de cloudservice. Dit is een container voor IaaS-VM's of PaaS-rolinstanties, omdat een cloudservice meerdere IaaS-VM's of PaaS-rolinstanties kan bevatten, die allemaal beschikbaar zijn via hetzelfde VIP voor de cloudservice.
VPN-gateways
Een VPN-gateway kan worden gebruikt om een Azure-VNet te verbinden met andere Azure VNets of on-premises netwerken. Aan een VPN-gateway wordt dynamisch een openbaar IP-adres toegewezen, waardoor communicatie met het externe netwerk mogelijk is.
Toepassingsgateways
Een Azure-toepassingsgateway kan worden gebruikt voor laag7-taakverdeling om netwerkverkeer te routeren op basis van HTTP. Aan de toepassingsgateway wordt dynamisch een openbaar IP-adres toegewezen, dat fungeert als vip met gelijke taakverdeling.
In een oogopslag
In de onderstaande tabel ziet u elk resourcetype met de mogelijke toewijzingsmethoden (dynamisch/statisch) en de mogelijkheid om meerdere openbare IP-adressen toe te wijzen.
| Resource | Dynamisch | Statisch | Meerdere IP-adressen |
|---|---|---|---|
| Cloudservice | Ja | Ja | Ja |
| IaaS-VM of PaaS-rolinstantie | Ja | Nee | Nee |
| VPN-gateway | Ja | Nee | Nee |
| Toepassingsgateway | Ja | Nee | Nee |
Privé-IP-adressen
Met privé-IP-adressen kunnen Azure-resources communiceren met andere resources in een cloudservice of een virtueel netwerk (VNet) of met een on-premises netwerk (via een VPN-gateway of ExpressRoute-circuit), zonder een ip-adres te gebruiken dat via internet bereikbaar is.
In het klassieke Azure-implementatiemodel kan een privé-IP-adres worden toegewezen aan de volgende Azure-resources:
- IaaS-VM's en PaaS-rolinstanties
- Interne load balancer
- Toepassingsgateway
IaaS-VM's en PaaS-rolinstanties
Virtuele machines (VM's) die zijn gemaakt met het klassieke implementatiemodel, worden altijd in een cloudservice geplaatst, vergelijkbaar met PaaS-rolinstanties. Het gedrag van privé-IP-adressen is dus vergelijkbaar voor deze resources.
Het is belangrijk te weten dat een cloudservice op twee manieren kan worden geïmplementeerd:
- Als zelfstandige cloudservice, waar deze zich niet binnen een virtueel netwerk bevindt.
- Als onderdeel van een virtueel netwerk.
Toewijzingsmethode
In het geval van een zelfstandige cloudservice krijgen resources een privé-IP-adres dat dynamisch wordt toegewezen uit het privé-IP-adresbereik van het Azure-datacenter. Het kan alleen worden gebruikt voor communicatie met andere VM's binnen dezelfde cloudservice. Dit IP-adres kan worden gewijzigd wanneer de resource wordt gestopt en gestart.
In het geval van een cloudservice die is geïmplementeerd in een virtueel netwerk, krijgen resources privé-IP-adressen toegewezen uit het adresbereik van de gekoppelde subnetten (zoals opgegeven in de netwerkconfiguratie). Deze privé-IP-adressen kunnen worden gebruikt voor communicatie tussen alle VM's binnen het VNet.
Bovendien wordt in het geval van cloudservices binnen een VNet standaard een privé-IP-adres dynamisch toegewezen (met behulp van DHCP). Het kan veranderen wanneer de resource wordt gestopt en gestart. Om ervoor te zorgen dat het IP-adres hetzelfde blijft, moet u de toewijzingsmethode instellen op statisch en een geldig IP-adres opgeven binnen het bijbehorende adresbereik.
Statische privé-IP-adressen worden vaak gebruikt voor:
- Virtuele machines die fungeren als domeincontrollers of DNS-servers.
- VM's waarvoor firewallregels met IP-adressen zijn vereist.
- VM's waarop services worden uitgevoerd die toegankelijk zijn voor andere apps via een IP-adres.
Interne DNS-hostnaamomzetting
Alle Azure-VM's en PaaS-rolinstanties worden standaard geconfigureerd met door Azure beheerde DNS-servers , tenzij u expliciet aangepaste DNS-servers configureert. Deze DNS-servers bieden interne naamomzetting voor VM's en rolinstanties die zich in hetzelfde VNet of dezelfde cloudservice bevinden.
Wanneer u een virtuele machine maakt, wordt er een toewijzing van de hostnaam aan het bijbehorende privé-IP-adres toegevoegd aan de via Azure beheerde DNS-servers. Bij vm's met meerdere NIC's wordt de hostnaam toegewezen aan het privé-IP-adres van de primaire NIC. Deze toewijzingsgegevens zijn echter beperkt tot resources binnen dezelfde cloudservice of hetzelfde VNet.
In het geval van een zelfstandige cloudservice kunt u alleen hostnamen van alle VM's/rolinstanties binnen dezelfde cloudservice oplossen. In het geval van een cloudservice binnen een VNet, kunt u hostnamen van alle VM's/rolinstanties in het VNet omzetten.
Interne load balancers (ILB) en toepassingsgateways
U kunt een privé-IP-adres toewijzen aan de front-end-configuratie van een interne Azure Load Balancer (ILB) of een Azure Application Gateway. Dit privé-IP-adres fungeert als een intern eindpunt dat alleen toegankelijk is voor de resources binnen het virtuele netwerk (VNet) en de externe netwerken die met het VNet zijn verbonden. U kunt een dynamisch of statisch privé-IP-adres toewijzen aan de front-end-configuratie. U kunt ook meerdere privé-IP-adressen toewijzen om multi-VIP-scenario's mogelijk te maken.
In een oogopslag
In de onderstaande tabel ziet u elk resourcetype met de mogelijke toewijzingsmethoden (dynamisch/statisch) en de mogelijkheid om meerdere privé-IP-adressen toe te wijzen.
| Resource | Dynamisch | Statisch | Meerdere IP-adressen |
|---|---|---|---|
| VM (in een zelfstandige cloudservice of VNet) | Ja | Ja | Ja |
| PaaS-rolinstantie (in een zelfstandige cloudservice of VNet) | Ja | Nee | Nee |
| Front-end interne load balancer | Ja | Ja | Ja |
| Front-end van application gateway | Ja | Ja | Ja |
Limieten
In de onderstaande tabel ziet u de limieten voor IP-adressering in Azure per abonnement. U kunt contact opnemen met ondersteuning als u op basis van uw bedrijfsbehoeften de standaardlimieten wilt verhogen tot de maximumlimieten.
| Standaardlimiet | Maximumaantal | |
|---|---|---|
| Openbare IP-adressen (dynamisch) | 5 | contact met ondersteuning |
| Gereserveerde openbare IP-adressen | 20 | contact met ondersteuning |
| Openbaar VIP per implementatie (cloudservice) | 5 | contact met ondersteuning |
| Privé-VIP (ILB) per implementatie (cloudservice) | 1 | 1 |
Zorg ervoor dat u de volledige set limieten voor netwerken in Azure leest.
Prijzen
In de meeste gevallen zijn openbare IP-adressen gratis. Er worden nominale kosten in rekening gebracht voor het gebruik van extra en/of statische openbare IP-adressen. Zorg ervoor dat u de prijsstructuur voor openbare IP-adressen begrijpt.
Verschillen tussen Resource Manager en klassieke implementaties
Hieronder ziet u een vergelijking van IP-adresseringsfuncties in Resource Manager en het klassieke implementatiemodel.
| Resource | Klassiek | Resource Manager | |
|---|---|---|---|
| Openbaar IP-adres | VM | Aangeduid als een ILPIP (alleen dynamisch) | Aangeduid als een openbaar IP-adres (dynamisch of statisch) |
| Toegewezen aan een IaaS-VM of een PaaS-rolinstantie | Gekoppeld aan de NIC van de VM | ||
| Internetgerichte load balancer | Aangeduid als VIP (dynamisch) of gereserveerd IP-adres (statisch) | Aangeduid als een openbaar IP-adres (dynamisch of statisch) | |
| Toegewezen aan een cloudservice | Gekoppeld aan de front-endconfiguratie van de load balancer | ||
| Privé IP-adres | VM | Aangeduid als een DIP | Aangeduid als een privé-IP-adres |
| Toegewezen aan een IaaS-VM of een PaaS-rolinstantie | Toegewezen aan de NIC van de virtuele machine | ||
| Interne load balancer (ILB) | Toegewezen aan de ILB (dynamisch of statisch) | Toegewezen aan de front-endconfiguratie van de ILB (dynamisch of statisch) |
Volgende stappen
- Implementeer een VIRTUELE machine met een statisch privé-IP-adres met behulp van de Azure Portal.