Sind Sie bereit, Ihr Rechenzentrum in die Cloud zu verlagern? Möglicherweise haben Sie Aspekte wie Identität, Governance und Sicherheit bereits berücksichtigt, aber ein wichtiges Thema ist die Vernetzung. Wie werden Sie sich mit den Ressourcen in der Cloud verbinden? Dafür benötigen Sie Azure Virtual Networks!
Die Vernetzung ist ein grundlegendes Konzept bei der Verlagerung von Computing-Workloads in die Cloud. Ihre Ressourcen müssen miteinander kommunizieren, aber auch gegen Bedrohungen von außen geschützt sein.
In diesem Artikel lernen Sie die Grundlagen von Azure Virtual Networks kennen, gefolgt von der Erstellung von Virtual Networks mit drei Methoden: dem Azure Portal, Azure PowerShell und Azure CLI.
Azure Virtual Network ist Ihr privates Netzwerk innerhalb von Azure. Azure Virtual Network wird üblicherweise als „vnet“ abgekürzt. Wie lokale Server benötigen auch virtuelle Azure-Maschinen ein Netzwerk für die Kommunikation mit anderen Ressourcen, z. B. mit anderen virtuellen Maschinen oder Speicherkonten.
Während Sie VNets in der Azure-Cloud definieren, können VNets auch mit dem Internet und lokalen Ressourcen kommunizieren. Standardmäßig können alle VNet-Ressourcen ausgehend mit dem Internet kommunizieren. Um eingehende Kommunikation aus dem Internet zuzulassen, können Sie Regeln erstellen, die Internetverkehr zulassen, bzw. eine öffentliche IP oder einen Load Balancer hinzufügen.
Sie können ein Point-to-Site-VPN erstellen, bei dem sich Ihr einzelner Computer mit dem Netzwerk verbinden kann. Wenn Sie eine Verbindung zu Ihrem lokalen Netzwerk konfigurieren müssen, können Sie einen Site-to-Site-VPN verwenden, und das Azure VNet wird zu einer Erweiterung Ihres lokalen Rechenzentrums. Wenn Sie eine privatere Verbindung zur Azure-Cloud benötigen, sollten Sie die Implementierung von ExpressRoute in Betracht ziehen, damit Ihr Datenverkehr nicht das Internet durchqueren muss.
Azure VNets bieten mehrere Dienste und Funktionen zur Verbindung von Azure-Ressourcen. Microsoft entwickelt diese Services, damit Unternehmen alle Tools zur Erfüllung ihrer Cloud-Bereitstellungsanforderungen haben. In den folgenden Abschnitten werden einige der wichtigsten Konzepte für die Bereitstellung von Azure Virtual Networks beschrieben.
Wenn Sie ein VNet erstellen, müssen Sie zunächst einen privaten IP-Adressraum im Bereich RFC 1918 angeben. Dieser IP-Adressraum enthält bekannte IP-Adressen wie z. B. 10.0.0.0, 192.168.0.0 und 172.16.0.0. Ein virtuelles Netzwerk enthält einen oder mehrere dieser Adressräume, in denen Sie zusätzliche Subnetze erstellen.
Adressräume von Azure Virtual Networks dürfen sich nicht überschneiden. Azure zeigt eine Warnmeldung an, wenn Sie versuchen, ein virtuelles Netzwerk mit einem vorhandenen Adressraum zu erstellen. Sie können diese Warnung ignorieren, wenn Sie nicht vorhaben, die beiden virtuellen Netzwerke zu peeren. Als Best Practice sollten Sie keine überlappenden Netzwerkräume mit Ihrem lokalen Rechenzentrum verwenden, wenn Sie beabsichtigen, ein hybrides Netzwerk zu erstellen.
Subnetze sind kleinere Segmentierungen eines virtuellen Netzwerks. Mithilfe von Subnetzen können Sie einen kleineren Teil des Adressraums des VNets bestimmten Ressourcen zuweisen. Subnetze verbessern die IP-Adresszuweisung, indem weniger IP-Adressen im nutzbaren Bereich des virtuellen Netzwerks definiert werden.
Innerhalb eines virtuellen Netzwerks schützen Netzwerksicherheitsgruppen (NSG) jedes Subnetz. NSGs werden verwendet, um den Verkehr in und aus einem virtuellen Netzwerks zu filtern. Für jede Regel werden die Quelle und das Ziel, der Port und das Protokoll definiert, um den Datenverkehr zu identifizieren. Eine NSG enthält Standardsicherheitsregeln, die automatisch Ressourcen schützen, indem sie den Internetverkehr blockieren, aber den Verkehr aus anderen virtuellen Netzwerken zulassen.
Azure erstellt automatisch Routen zwischen Subnetzen, virtuellen Netzwerken, lokalen Netzwerken und dem Internet. Sie können jedoch Routentabellen implementieren, um zu steuern, wohin Azure den Datenverkehr für jedes Subnetz leitet. Sie können z. B. ein Hub-and-Spoke-Netzwerk bereitstellen und erzwingen, dass der gesamte Subnetzverkehr zuerst an einen zentralen Hub geleitet wird.
Sie können auch Ihre lokalen BGP-Routen für Ihre virtuellen Netzwerke in Azure verwenden. Diese können Sie verwenden, wenn Sie Ihr lokales Rechenzentrum mit der Azure-Cloud über einen Azure VPN Gateway oder eine ExpressRoute-Verbindung verbinden.
Während Azure Subnetze im gleichen virtuellen Netzwerk automatisch miteinander verbindet, erfordert das Routing zwischen verschiedenen virtuellen Netzwerken den Einsatz von Netzwerk-Peering. Das Peering virtueller Netzwerke verbindet mehrere VNets miteinander, und die virtuellen Netzwerke erscheinen zu Konnektivitätszwecken als ein einziges Netzwerk. Der Datenverkehr zwischen den Virtual Networks durchläuft die Microsoft-Backbone-Infrastruktur und nicht das Internet.
Microsoft bietet mehrere Möglichkeiten, Azure Virtual Networks zu erstellen. In diesem Tutorial wollen wir uns drei Optionen anschauen:
In diesem Tutorial wird eine Ressourcengruppe namens virtualNetworks-rg verwendet, um jedes virtuelle Netzwerk zu hosten. Sie werden jedes virtuelle Netzwerk in einer anderen Region erstellen. Für dieses Tutorial gibt es die folgenden Voraussetzungen:
So erstellen Sie ein Azure Virtual Network mit dem Azure-Portal:
So erstellen Sie ein virtuelles Netzwerk und Subnetze mit Azure PowerShell:
Speichern Sie das neue virtuelle Netzwerk in einer Variablen namens $vnet.
Speichern Sie das neue Subnetz in einer Variable namens $subnet1.
Wenn Sie ein virtuelles Netzwerk und Subnetze gleichzeitig erstellen möchten, müssen Sie zuerst das Subnetz-Objekt erstellen. Wenn Sie das virtuelle Netzwerk erstellen, geben Sie die Subnetzobjekte an.
So erstellen Sie ein virtuelles Netzwerk und Subnetze mit Azure CLI:
Nachdem Sie jetzt Ihre ersten Azure Virtual Networks erstellt haben, sind hier einige zusätzliche Azure-Netzwerkinformationen. Azure Virtual Networks bietet viele fortschrittlichere Funktionen außerhalb der Kernnetzwerkdienste.
Im Gegensatz zu einer virtuellen Maschine oder anderen Azure-Ressourcen ist das Erstellen von virtuellen Netzwerken kostenlos. Durch das Erstellen eines virtuellen Netzwerks entstehen keine Kosten für die Ressource, und Sie können bis zu 50 virtuelle Netzwerke pro Abonnement erstellen. Wenn Sie jedoch eine Peering-Verbindung zwischen verschiedenen virtuellen Netzwerken erstellen, erhebt Azure Gebühren für die eingehenden und ausgehenden Datenübertragungen.
Beim Peering zwischen zwei virtuellen Netzwerken in der Region USA, Osten werden beispielsweise 0,01 US-Dollar pro GB für ein- und ausgehende Datenübertragungen berechnet. Für das Herstellen einer Peering-Verbindung zwischen Netzwerken in unterschiedlichen Regionen fallen zusätzliche Gebühren an. Weitere Preisinformationen für Ihre spezifischen Regionen finden Sie hier auf der Seite Preise für virtuelle Netzwerke.
Azure bietet auch mehrere Funktionen zum Schutz Ihrer Netzwerkressourcen. Eine davon ist Azure Firewall, ein cloudbasierter Netzwerksicherheitsdienst. Azure Firewall schützt Ressourcen durch die Durchsetzung von Anwendungs- und Netzwerkverbindungsrichtlinien. Azure Firewall verfügt über integrierte Hochverfügbarkeit und uneingeschränkte Cloud-Skalierbarkeit.
Zusätzlich zur Azure Firewall wurde die Azure Web Application Firewall (WAF) speziell für den Schutz von Webanwendungen entwickelt. Die WAF schützt vor gängigen Exploits und Schwachstellen, die in Webanwendungen zu finden sind, darunter auch diejenigen in der OWASP-Top-Ten-Liste.
Azure bietet zudem einfachen Schutz vor DDoS-Angriffen (Distributed Denial of Service) ohne zusätzliche Kosten. Der Basisschutz bietet Datenverkehrsüberwachung und automatische Angriffsabwehr. Sie können auch auf den Standardschutz hochskalieren und erhalten dadurch Support mit schneller Reaktion, Bekämpfungsrichtlinien sowie Metriken und Warnmeldungen.
Ein Azure Virtual Network ist ein privater IP-Adressraum, in dem Sie Ressourcen bereitstellen können, beispielsweise virtuelle Maschinen. Er verwendet IP-Bereiche im Bereich von RFC 1918.
Ein virtuelles Netzwerk (Vnet) umfasst einen größeren IP-Adressraum, beispielsweise 10.10.0.0/16. Ein Subnetz stellt eine kleinere Teilmenge dieses IP-Adressraums dar, z. B. 10.10.5.0/24. Subnetze ermöglichen es, Ressourcen im Netzwerk in logische Gruppierungen aufzuteilen, z. B. eine Gruppe von Web- oder Datenbankservern.
Sie können Azure Virtual Networks über das Azure-Portal, Azure PowerShell oder Azure CLI erstellen. Viele Infrastructure-as-Code-Sprachen können virtuelle Netzwerke erstellen, z. B. ARM-Vorlagen, Ansible, Terraform und Azure Bicep.
Die Erstellung von Azure Virtual Networks ist kostenlos. Wenn Sie jedoch virtuelle Netzwerke peeren, werden Ihnen die Gebühren basierend auf dem Datenverkehr berechnet, der in das und aus dem Netzwerk geht. Zusätzliche Optionen wie Gateways und Firewalls für virtuelle Netzwerke sind kostenpflichtig.
Nachdem Sie jetzt Ihr erstes Azure Virtual Network erstellt haben, sollten Sie anfangen, zu planen, wie Sie Ressourcen in den Netzwerken sichern und schützen können. Unabhängig davon, ob es sich um einen reinen Cloud-Ansatz oder einen hybriden Ansatz mit einem lokalen Rechenzentrum handelt, gelten immer noch die gleichen Netzwerkkonzepte. Sie müssen ermitteln und sichern, welche Ressourcen auf andere Ressourcen zugreifen können, und vor externen Bedrohungen schützen.
Um mehr darüber zu erfahren, wie man Virtual Networks überwacht und Fehler behebt, lesen Sie Erstellen und Verwalten der Ressource „Azure Network Watcher“.