Openbare en privé IP-adressering in Azure

  • 8 minuten

U werkt voor een productiebedrijf en u verplaatst resources naar Azure. De databaseserver moet toegankelijk zijn voor clients in uw on-premises netwerk. Openbare resources, zoals webservers, moeten toegankelijk zijn vanaf internet. U wilt ervoor zorgen dat u IP-adressen plant die beide vereisten ondersteunen.

In deze les verkent u de beperkingen en beperkingen voor openbare en privé-IP-adressen in Azure. U bekijkt ook de mogelijkheden die beschikbaar zijn in Azure om IP-adressen in uw netwerk opnieuw toe te voegen.

Typen IP-adressen

In Azure kunt u twee typen IP-adressen gebruiken:

  • Openbare IP-adressen
  • Privé-IP-adressen

U kunt beide typen IP-adressen op twee manieren toewijzen:

  • Dynamisch
  • Static

We gaan nader bekijken hoe deze typen IP-adressen samenwerken.

Openbare IP-adressen

Gebruik een openbaar IP-adres voor openbare services. Een openbaar adres kan statisch of dynamisch zijn. Een openbaar IP-adres kan worden toegewezen aan een virtuele machine (VM), een internetgerichte load balancer, een VPN-gateway of een toepassingsgateway.

  • Dynamische openbare IP-adressen zijn toegewezen adressen die gedurende de levensduur van de Azure-resource kunnen worden gewijzigd. Het dynamische IP-adres wordt toegewezen wanneer u een VM maakt of start. Het IP-adres wordt weer vrijgegeven wanneer u de virtuele machine stopt of verwijdert. In elke Azure-regio worden openbare IP-adressen toegewezen vanuit een unieke groep adressen. De standaardmethode voor toewijzing is dynamisch.

  • Statische openbare IP-adressen zijn toegewezen adressen die niet veranderen gedurende de levensduur van de Azure-resource. Om ervoor te zorgen dat het IP-adres voor de resource hetzelfde blijft, kunt u de toewijzingsmethode instellen op statisch. In dit geval wordt er onmiddellijk een IP-adres toegewezen en wordt dit alleen vrijgegeven wanneer u de resource verwijdert of de IP-toewijzingsmethode wijzigt in dynamisch.

SKU's voor openbare IP-adressen

Voor openbare IP-adressen zijn er twee SKU's waaruit u kunt kiezen: Basic en Standard. Alle openbare IP-adressen die zijn gemaakt vóór de introductie van SKU's zijn openbare IP-adressen van de basis-SKU. Met de introductie van SKU's kunt u de schaal, functies en prijzen kiezen voor taakverdeling van internetverkeer.

Zowel Basic- als Standard-SKU's hebben standaard:

  • Een time-out voor inactiviteit van een inkomende stroom van vier minuten, die kan worden ingesteld op maximaal 30 minuten.
  • Een vaste time-out voor inactiviteit van uitgaande stroom van vier minuten.

Basis-SKU

U kunt openbare IP-adressen van basic toewijzen met behulp van statische of dynamische toewijzingsmethoden. U kunt openbare IP-adressen van Basic toewijzen aan elke Azure-resource waaraan een openbaar IP-adres kan worden toegewezen. Inclusief netwerkinterfaces, VPN-gateways, toepassingsgateways en internetgerichte load balancers.

Standaard is het IP-adres van de Basic-SKU:

  • Zijn open. Netwerkbeveiligingsgroepen worden aanbevolen, maar optioneel, voor het beperken van inkomend of uitgaand verkeer.
  • Zijn alleen beschikbaar voor inkomend verkeer.
  • Zijn beschikbaar bij het gebruik van de exemplaarmetagegevensservice (IMDS).
  • Geen ondersteuning voor Beschikbaarheidszones.
  • Biedt geen ondersteuning voor routeringsvoorkeuren.

Standaard SKU

Standaard: STANDAARD-SKU-IP-adressen:

  • Gebruik altijd statische toewijzing.
  • Zijn veilig en dus gesloten voor binnenkomend verkeer. U moet binnenkomend verkeer inschakelen met behulp van een netwerkbeveiligingsgroep.
  • Zone-redundant en optioneel zonegebonden zijn (ze kunnen worden gemaakt als zonegebonden en gegarandeerd in een specifieke beschikbaarheidszone).
  • Kan worden toegewezen aan netwerkinterfaces, standaard openbare load balancers, toepassingsgateways of VPN-gateways.
  • Kan worden gebruikt met de routeringsvoorkeur om meer gedetailleerde controle over hoe verkeer wordt gerouteerd tussen Azure en internet mogelijk te maken.
  • Kan worden gebruikt als anycast-front-end-IP-adressen voor load balancers tussen regio's.

Zie SKU-vergelijking, Overzicht van Load Balancer en onderdelen voor meer informatie.

Voorvoegsel van openbaar IP-adres

In Azure is een voorvoegsel voor een openbaar IP-adres een gereserveerd, statisch bereik van openbare IP-adressen. Azure wijst een IP-adres toe uit een groep beschikbare adressen die uniek zijn voor elke regio in elke Azure-cloud. Wanneer u een voorvoegsel voor een openbaar IP-adres definieert, worden gekoppelde openbare IP-adressen toegewezen vanuit een groep voor een Azure-regio.

In een regio met Beschikbaarheidszones kunnen openbare IP-adresvoorvoegsels worden gemaakt als zone-redundant of gekoppeld aan een specifieke beschikbaarheidszone.

Het voordeel van een openbaar IP-adresvoorvoegsel is dat u firewallregels kunt opgeven voor een bekend bereik van IP-adressen. Als uw bedrijf datacenters in verschillende regio's moet hebben, hebt u een ander openbaar IP-adresbereik nodig voor elke regio. U kunt de adressen van een openbaar IP-adresvoorvoegsel toewijzen aan elke Azure-resource die openbare IP-adressen ondersteunt.

U kunt een openbaar IP-adresvoorvoegsel maken door een naam en voorvoegselgrootte op te geven. De grootte van het voorvoegsel is het aantal gereserveerde adressen dat beschikbaar is voor gebruik.

  • Openbare IP-adresvoorvoegsels bestaan uit IPv4- of IPv6-adressen.
  • U kunt technologie zoals Azure Traffic Manager gebruiken om regiospecifieke exemplaren te verdelen.
  • U kunt alleen uw eigen openbare IP-adressen uit on-premises netwerken in Azure meenemen met behulp van een aangepast IP-adresvoorvoegsel.
  • U kunt geen adressen opgeven wanneer u een voorvoegsel maakt; Azure wijst ze toe. Nadat een voorvoegsel is gemaakt, worden de IP-adressen in een aaneengesloten bereik opgelost.
  • Openbare IP-adressen kunnen niet worden verplaatst tussen regio's; alle adressen zijn specifiek voor een regio.

Privé-IP-adressen

Privé-IP-adressen worden gebruikt voor communicatie binnen een virtueel Azure-netwerk, met inbegrip van virtuele netwerken en uw on-premises netwerken. U kunt privé-IP-adressen instellen op dynamische (DHCP-lease) of statisch (DHCP-reservering).

Dynamische privé IP-adressen worden via een DHCP-lease toegewezen en kunnen gedurende de levensduur van de Azure-resource worden gewijzigd.

Statische privé-IP-adressen worden toegewezen via een DHCP-reservering en worden niet gewijzigd gedurende de levensduur van de Azure-resource. Statische privé IP-adressen blijven behouden als een resource wordt gestopt of de toewijzing ervan ongedaan wordt gemaakt.

IP-adressering voor virtuele netwerken van Azure

In Azure is een virtueel netwerk een fundamenteel onderdeel dat fungeert als het netwerk van een organisatie. De beheerder heeft volledige controle over ip-adrestoewijzing, beveiligingsinstellingen en beveiligingsregels. Wanneer u een virtueel netwerk maakt, definieert u een bereik van IP-adressen. Privé-IP-adressering werkt op dezelfde manier als in een on-premises netwerk. U kiest de privé-IP-adressen die door de Internet Assigned Numbers Authority (IANA) worden gereserveerd op basis van uw netwerkvereisten:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Een subnet is een bereik van IP-adressen binnen het virtuele netwerk. U kunt een virtueel netwerk verdelen in meerdere subnetten. Elk subnet moet een uniek adresbereik hebben, dat is opgegeven in cidr-indeling (classless interdomain routing). CIDR is een manier om een blok netwerk-IP-adressen te vertegenwoordigen. Een IPv4 CIDR, opgegeven als onderdeel van het IP-adres, toont de lengte van het voorvoegsel van het netwerk.

Denk bijvoorbeeld aan CIDR 192.168.10.0/24. "192.168.10.0" is het netwerkadres en "24" geeft aan dat de eerste 24 bits deel uitmaken van het netwerkadres, waardoor de laatste 8 bits voor specifieke hostadressen blijven bestaan. Het adresbereik van een subnet kan niet overlappen met andere subnetten in het virtuele netwerk of met het on-premises netwerk.

Voor alle subnetten in Azure zijn de eerste drie IP-adressen standaard gereserveerd. Voor protocolconformiteit zijn het eerste en laatste IP-adres van alle subnetten ook gereserveerd. In Azure wijst een interne DHCP-service de lease van IP-adressen toe en onderhoudt deze. De .1, .2en .3laatste IP-adressen zijn niet zichtbaar of configureerbaar door de Azure-klant. Deze adressen zijn gereserveerd en worden gebruikt door interne Azure-services.

In virtuele netwerken van Azure kunnen IP-adressen worden toegewezen aan de volgende typen resources:

  • Netwerkinterfaces van virtuele machines
  • Load balancers
  • Toepassingsgateways