Overzicht van Azure-netwerkservices

  • Artikel

De netwerkservices in Azure bieden verschillende netwerkmogelijkheden die samen of afzonderlijk kunnen worden gebruikt. Selecteer een van de volgende belangrijke mogelijkheden voor meer informatie:

  • Verbinding maken iviteitsservices: Verbinding maken Azure-resources en on-premises resources met behulp van een of meer van deze netwerkservices in Azure : Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering Service, Azure Virtual Network Manager, Route Server en Azure Bastion.
  • Services voor toepassingsbeveiliging: beveilig uw toepassingen met behulp van een of meer van deze netwerkservices in Azure: Load Balancer, Private Link, DDoS-beveiliging, Firewall, Netwerkbeveiligingsgroepen, Web Application Firewall en eindpunten voor virtuele netwerken.
  • Services voor toepassingslevering: toepassingen leveren in het Azure-netwerk met behulp van een of een combinatie van deze netwerkservices in Azure: Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer en Load Balancer.
  • Netwerkbewaking: bewaak uw netwerkresources met behulp van een of een combinatie van deze netwerkservices in Azure: Network Watcher, ExpressRoute Monitor, Azure Monitor of VNet Terminal Access Point (TAP).

Connectiviteitsservices

In deze sectie worden services beschreven die connectiviteit bieden tussen Azure-resources, connectiviteit van een on-premises netwerk naar Azure-resources en vertakkingen naar vertakkingsconnectiviteit in Azure - Virtual Network (VNet), ExpressRoute, VPN Gateway, Virtual WAN, Virtual Network NAT Gateway, Azure DNS, Peering Service, Route Server en Azure Bastion.

Virtueel netwerk

Azure Virtual Network (VNet) is de fundamentele bouwsteen voor uw privénetwerk in Azure. U kunt VNets gebruiken voor het volgende:

  • Communiceren tussen Azure-resources: u kunt virtuele machines en verschillende andere typen Azure-resources implementeren in een virtueel netwerk, zoals Azure-app Service Environments, de Azure Kubernetes Service (AKS) en Azure Virtual Machine Scale Sets. Zie Integratie van virtuele netwerkservices voor een volledige lijst met Azure-resources die u in een virtueel netwerk kunt implementeren.
  • Communiceren tussen elkaar: u kunt virtuele netwerken met elkaar verbinden, zodat resources in beide virtuele netwerken met elkaar kunnen communiceren, met behulp van peering van virtuele netwerken of Azure Virtual Network Manager. De virtuele netwerken die u met elkaar verbindt, kunnen zich in dezelfde of verschillende Azure-regio's bevinden. Zie Peering van virtuele netwerken en Azure Virtual Network Manager voor meer informatie.
  • Communiceren met internet: alle resources in een VNet kunnen standaard uitgaand communiceren met internet. U kunt binnenkomend communiceren met een resource door er een openbaar IP-adres of een openbare Load Balancer aan toe te wijzen. U kunt ook openbare IP-adressen of openbare Load Balancer gebruiken om uw uitgaande verbindingen te beheren.
  • Communiceren met on-premises netwerken: u kunt uw on-premises computers en netwerken verbinden met een virtueel netwerk met behulp van VPN Gateway of ExpressRoute.
  • Verkeer tussen resources versleutelen: u kunt versleuteling van virtueel netwerk gebruiken om verkeer tussen resources in een virtueel netwerk te versleutelen.

Azure Virtual Network Manager

Azure Virtual Network Manager is een beheerservice waarmee u virtuele netwerken wereldwijd in abonnementen kunt groeperen, configureren, implementeren en beheren. Met Virtual Network Manager kunt u netwerkgroepen definiëren om uw virtuele netwerken te identificeren en logisch te segmenteren. Vervolgens kunt u de gewenste connectiviteits- en beveiligingsconfiguraties bepalen en deze toepassen op alle geselecteerde virtuele netwerken in netwerkgroepen tegelijk.

Diagram van resources die zijn geïmplementeerd voor een mesh virtuele netwerktopologie met Azure Virtual Network Manager.

ExpressRoute

Met ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft-cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. Deze verbinding is een privéverbinding. Verkeer gaat niet via internet. Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft Cloud-services, zoals Microsoft Azure, Microsoft 365 en Dynamics 365.

Azure ExpressRoute

VPN Gateway

VPN Gateway helpt u versleutelde cross-premises verbindingen met uw virtuele netwerk te maken vanaf on-premises locaties of versleutelde verbindingen tussen VNets te maken. Er zijn verschillende configuraties beschikbaar voor VPN Gateway-verbindingen. Enkele van de belangrijkste functies zijn:

  • Site-naar-site-VPN-connectiviteit
  • Punt-naar-site-VPN-connectiviteit
  • VNet-naar-VNet-VPN-connectiviteit

In het volgende diagram ziet u meerdere site-naar-site-VPN-verbindingen met hetzelfde virtuele netwerk. Zie VPN Gateway - ontwerp voor meer verbindingsdiagrammen.

Diagram met meerdere site-naar-site Azure VPN Gateway-verbindingen.

Virtuele WAN

Azure Virtual WAN is een netwerkservice die veel netwerk-, beveiligings- en routeringsfuncties samenbrengt om één operationele interface te bieden. Verbinding maken iviteit van Azure-VNets wordt tot stand gebracht met behulp van virtuele netwerkverbindingen. Enkele van de belangrijkste functies zijn:

  • Vertakkingsconnectiviteit (via connectiviteitsautomatisering van Virtual WAN-partnerapparaten zoals SD-WAN of VPN CPE)
  • Site-naar-site-VPN-connectiviteit
  • VPN-connectiviteit van externe gebruikers (punt-naar-site)
  • Privéconnectiviteit (ExpressRoute)
  • Connectiviteit binnen de cloud (transitieve connectiviteit voor virtuele netwerken)
  • VPN ExpressRoute-interconnectiviteit
  • Routering, Azure Firewall en versleuteling voor privéconnectiviteit

Virtual WAN-diagram.

Azure DNS

Azure DNS biedt DNS-hosting en -omzetting met behulp van de Microsoft Azure-infrastructuur. Azure DNS bestaat uit drie services:

  • Openbare DNS van Azure is een hostingservice voor DNS-domeinen. Door uw domeinen in Azure te hosten, kunt u uw DNS-records met dezelfde referenties, API's, hulpprogramma's en facturering beheren als voor uw andere Azure-services.
  • Azure Privé-DNS is een DNS-service voor uw virtuele netwerken. Azure Privé-DNS beheert en lost domeinnamen op in het virtuele netwerk zonder dat u een aangepaste DNS-oplossing hoeft te configureren.
  • Azure DNS Private Resolver is een service waarmee u query's kunt uitvoeren op privézones van Azure DNS vanuit een on-premises omgeving en omgekeerd zonder dat u OP VM's gebaseerde DNS-servers hoeft te implementeren.

Met Behulp van Azure DNS kunt u openbare domeinen hosten en omzetten, DNS-omzetting in uw virtuele netwerken beheren en naamomzetting tussen Azure en uw on-premises resources inschakelen.

Azure Bastion

Azure Bastion is een service die u kunt implementeren om verbinding te maken met een virtuele machine met behulp van uw browser en Azure Portal, of via de systeemeigen SSH- of RDP-client die al op uw lokale computer is geïnstalleerd. De Azure Bastion-service is een volledig platformbeheerde PaaS-service die u in uw virtuele netwerk implementeert. De service biedt beveiligde en naadloze RDP-/SSH-connectiviteit voor uw virtuele machine, rechtstreeks vanuit de Azure-portal via TLS. Wanneer u verbinding maakt met Azure Bastion, hebben uw virtuele machines geen openbaar IP-adres, agent of speciale clientsoftware nodig. Er zijn verschillende SKU's/lagen beschikbaar voor Azure Bastion. De laag die u selecteert, is van invloed op de functies die beschikbaar zijn. Zie Over Bastion-configuratie-instellingen voor meer informatie.

Diagram met Azure Bastion-architectuur.

NAT-gateway

Virtual Network NAT (network address translation) vereenvoudigt uitgaande internetverbinding voor virtuele netwerken. Indien geconfigureerd op een subnet, maken alle uitgaande verbindingen gebruik van uw opgegeven statische openbare IP-adressen. Uitgaande connectiviteit is mogelijk zonder load balancer of openbare IP-adressen die rechtstreeks zijn gekoppeld aan virtuele machines. Zie Wat is Azure NAT-gateway?

NAT-gateway van virtueel netwerk

Routeserver

Azure Route Server vereenvoudigt dynamische routering tussen uw virtuele netwerkapparaat (NVA) en uw virtuele netwerk. Hiermee kunt u routeringsgegevens rechtstreeks uitwisselen via het BGP-routeringsprotocol (Border Gateway Protocol) tussen elke NVA die ondersteuning biedt voor het BGP-routeringsprotocol en het SdN (Software Defined Network) in het Azure Virtual Network (VNet), zonder dat u routetabellen handmatig hoeft te configureren of te onderhouden.

Peering Service

Azure Peering Service verbetert de connectiviteit van klanten met Microsoft-cloudservices, zoals Microsoft 365, Dynamics 365, SaaS-services (Software as a Service), Azure of een Microsoft-services toegankelijk via het openbare internet.

Toepassingsbeveiligingsservices

In deze sectie worden netwerkservices in Azure beschreven waarmee u uw netwerkresources kunt beveiligen: beveilig uw toepassingen met behulp van een of meer van deze netwerkservices in Azure - DDoS-beveiliging, Private Link, Firewall, Web Application Firewall, Netwerkbeveiligingsgroepen en Service-eindpunten voor virtuele netwerken.

DDoS-beveiliging

Azure DDoS Protection biedt tegenmaatregelen tegen de meest geavanceerde DDoS-bedreigingen. De service biedt verbeterde DDoS-risicobeperkingsmogelijkheden voor uw toepassing en resources die zijn geïmplementeerd in uw virtuele netwerken. Daarnaast hebben klanten die Azure DDoS Protection gebruiken toegang tot DDoS Rapid Response-ondersteuning om DDoS-experts te betrekken tijdens een actieve aanval.

Azure DDoS Protection bestaat uit twee lagen:

  • DDoS Network Protection, gecombineerd met best practices voor het ontwerpen van toepassingen, biedt verbeterde DDoS-risicobeperkingsfuncties ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen.
  • DDoS IP Protection is een met betalen per beveiligd IP-model. DDoS IP Protection bevat dezelfde kernfuncties als DDoS-netwerkbeveiliging, maar verschilt in de volgende services met toegevoegde waarde: DDoS-ondersteuning voor snelle respons, kostenbeveiliging en kortingen op WAF.

Diagram van de referentiearchitectuur voor een met DDoS beveiligde PaaS-webtoepassing.

Met Azure Private Link hebt u toegang tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk. Verkeer tussen uw virtuele netwerk en de service gaat via het Backbone-netwerk van Microsoft. U hoeft uw service niet langer bloot te stellen aan het openbare internet. U kunt een eigen Private Link-service maken in uw virtuele netwerk en deze aanbieden bij klanten.

Overzicht Privé-eindpunt

Azure Firewall

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Met Behulp van Azure Firewall kunt u beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken. Azure Firewall maakt gebruik van een statisch openbaar IP-adres voor uw virtuele-netwerkresources zodat externe firewalls verkeer dat afkomstig is van uw virtuele netwerk kunnen identificeren.

Firewalloverzicht

Web Application Firewall

Azure Web Application Firewall (WAF) biedt bescherming voor uw webtoepassingen tegen veelvoorkomende aanvallen op internet en beveiligingsproblemen, zoals SQL-injectie en scripts op meerdere sites. Azure WAF biedt standaardbeveiliging tegen OWASP top 10 beveiligingsproblemen via beheerde regels. Daarnaast kunnen klanten ook aangepaste regels configureren, die door de klant beheerde regels zijn om extra beveiliging te bieden op basis van bron-IP-bereik en kenmerken aanvragen, zoals headers, cookies, formuliergegevensvelden of queryreeksparameters.

Klanten kunnen ervoor kiezen Om Azure WAF te implementeren met Application Gateway, dat regionale beveiliging biedt voor entiteiten in openbare en privéadresruimte. Klanten kunnen er ook voor kiezen om Azure WAF te implementeren met Front Door , dat beveiliging aan de netwerkrand biedt voor openbare eindpunten.

Web Application Firewall

Netwerkbeveiligingsgroepen

U kunt netwerkverkeer naar en van Azure-resources in een virtueel Azure-netwerk filteren met een netwerkbeveiligingsgroep. Zie Netwerkbeveiligingsgroepen voor meer informatie.

Service-eindpunten

Met service-eindpunten van Virtual Network (VNet) kunt u de privé-adresruimte van uw virtuele netwerk en de identiteit van uw VNet uitbreiden naar Azure-services, via een directe verbinding. Met eindpunten kunt u uw kritieke Azure-serviceresources alleen beveiligen naar uw virtuele netwerken. Verkeer van uw VNet naar de Azure-service blijft altijd in het Microsoft Azure-backbonenetwerk.

Service-eindpunten voor virtueel netwerk

Services voor toepassingslevering

In deze sectie worden netwerkservices in Azure beschreven waarmee u toepassingen kunt leveren: Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer en Application Gateway.

Azure Front Door

Met Azure Front Door kunt u de globale routering voor uw webverkeer definiëren, beheren en bewaken door te optimaliseren voor de beste prestaties en directe wereldwijde failover voor hoge beschikbaarheid. Met Front Door kunt u uw internationale (multiregionale) klant- en bedrijfstoepassingen transformeren in robuuste, hoogwaardige, gepersonaliseerde moderne toepassingen, API’s en inhoud die een wereldwijd bereik hebben met Azure.

Diagram van de Azure Front Door-service met Web Application Firewall.

Traffic Manager

Azure Traffic Manager. is een load balancer op basis van DNS-verkeer waarmee u verkeer optimaal kunt distribueren naar services in wereldwijde Azure-regio's, terwijl u hoge beschikbaarheid en reactiesnelheid biedt. Traffic Manager biedt een reeks verkeersrouteringsmethoden voor het distribueren van verkeer, zoals prioriteit, gewogen, prestaties, geografische, multiwaarde of subnet.

In het volgende diagram ziet u routering op basis van eindpuntprioriteit met Traffic Manager:

Verkeersrouteringsmethode 'Prioriteit' van Azure Traffic Manager

Zie Wat is Azure Traffic Manager?

Load Balancer

Azure Load Balancer biedt hoogwaardige laag 4-taakverdeling met lage latentie voor alle UDP- en TCP-protocollen. Hiermee worden binnenkomende en uitgaande verbindingen beheerd. U kunt openbare en interne eindpunten met gelijke taakverdeling configureren. U kunt regels definiëren om binnenkomende verbindingen met back-endpoolbestemmingen toe te wijzen met behulp van TCP- en HTTP-statusprobingopties om de beschikbaarheid van services te beheren.

Azure Load Balancer is beschikbaar in standard-, regionale en gateway-SKU's.

In de volgende afbeelding ziet u een internetgerichte toepassing met meerdere lagen die gebruikmaakt van zowel externe als interne load balancers:

Azure Load Balancer-voorbeeld

Application Gateway

Azure Application Gateway is een load balancer voor webverkeer waarmee u het verkeer naar uw webapps kunt beheren. Het is een ADC (Application Delivery Controller) als een service, die verschillende load balancing-mogelijkheden voor laag 7 biedt voor uw toepassingen.

In het volgende diagram ziet u routering op basis van url-paden met Application Gateway.

Voorbeeld van Application Gateway

Content Delivery Network

Azure Content Delivery Network (CDN). biedt ontwikkelaars een wereldwijde oplossing voor het snel leveren van inhoud met hoge bandbreedte aan gebruikers door hun inhoud in de cache op strategisch geplaatste fysieke knooppunten over de hele wereld te plaatsen.

Azure CDN

Netwerkbewakingsservices

In deze sectie worden netwerkservices in Azure beschreven waarmee u uw netwerkresources kunt bewaken: Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor en ExpressRoute Monitor.

Azure Network Watcher

Azure Network Watcher biedt hulpprogramma's voor controle, diagnose en metrische gegevens en het in- of uitschakelen van logboekregistratie voor resources in een virtueel Azure-netwerk. Zie [Wat is Network Watcher?

Azure Monitor

Azure Monitor maximaliseert de beschikbaarheid en prestaties van uw toepassingen door een uitgebreide oplossing te leveren voor het verzamelen, analyseren en uitvoeren van telemetrie vanuit uw cloud en on-premises omgevingen. Het helpt u begrijpen hoe uw toepassingen presteren en stelt proactief problemen vast die betrekking hebben op de toepassingen en de resources waarvan ze afhankelijk zijn. Zie [Overzicht van Azure Monitor] voor meer informatie

ExpressRoute Monitor

Zie Bewaking, metrische gegevens en waarschuwingen van ExpressRoute-circuits voor meer informatie over het weergeven van metrische gegevens, resourcelogboeken en waarschuwingen voor ExpressRoute.

Netwerkinzichten

Azure Monitor for Networks (Network Insights). biedt een uitgebreid overzicht van de status en metrische gegevens voor alle geïmplementeerde netwerkbronnen, zonder dat er configuratie is vereist.

Volgende stappen