Azure Virtual Network (VNet) und Subnets konfigurieren 2025

Azure Netzwerkarchitektur verstehen

In Azure ist das Virtual Network (VNet) der isolierte Netzwerkbereich in der Cloud. Vergleichbar mit einem eigenen Rechenzentrum-Netzwerk – nur in Azure.

Kernkonzepte

VNet erstellen

Azure Portal

1. Suche: Virtual Networks → Create
2. Subscription und Resource Group wählen
3. Name: vnet-firma-prod-gwc (Konvention: vnet-Firma-Umgebung-Region)
4. Region: Germany West Central
5. IPv4-Adressraum: 10.0.0.0/16

Subnets anlegen

Per Azure CLI

# VNet erstellen
az network vnet create \
  --name vnet-firma-prod \
  --resource-group rg-firma-prod \
  --address-prefix 10.0.0.0/16 \
  --location germanywestcentral

# Subnets hinzufügen
az network vnet subnet create \
  --vnet-name vnet-firma-prod \
  --resource-group rg-firma-prod \
  --name snet-frontend \
  --address-prefix 10.0.1.0/24

Network Security Groups (NSG)

NSGs sind zustandsbehaftete Firewall-Regeln auf Subnet- oder NIC-Ebene:

# NSG erstellen
az network nsg create \
  --name nsg-frontend \
  --resource-group rg-firma-prod

# Regel: HTTP erlauben
az network nsg rule create \
  --nsg-name nsg-frontend \
  --resource-group rg-firma-prod \
  --name Allow-HTTP \
  --priority 100 \
  --source-address-prefixes Internet \
  --destination-port-ranges 80 443 \
  --access Allow \
  --protocol Tcp

# NSG an Subnet binden
az network vnet subnet update \
  --vnet-name vnet-firma-prod \
  --name snet-frontend \
  --resource-group rg-firma-prod \
  --network-security-group nsg-frontend

NSG Best Practices

• Deny All als letzte Regel (niedrige Priorität = hohe Nummer)
• NSGs auf Subnet-Ebene (nicht auf NIC-Ebene, übersichtlicher)
• Keine Wildcard-Regeln für interne Kommunikation

VNet Peering

Zwei VNets miteinander verbinden (z. B. Prod und Dev):

# Peering von Prod zu Dev
az network vnet peering create \
  --name prod-to-dev \
  --vnet-name vnet-firma-prod \
  --resource-group rg-firma-prod \
  --remote-vnet vnet-firma-dev \
  --allow-vnet-access

# Peering von Dev zu Prod (gegenseitig!)
az network vnet peering create \
  --name dev-to-prod \
  --vnet-name vnet-firma-dev \
  --resource-group rg-firma-dev \
  --remote-vnet vnet-firma-prod \
  --allow-vnet-access

Hinweis: VNet-Peering ist nicht transitiv! A↔B und B↔C bedeutet NICHT A↔C.

VPN Gateway – On-Premises verbinden

# Öffentliche IP für Gateway
az network public-ip create \
  --name pip-vpngateway \
  --resource-group rg-firma-prod \
  --sku Standard

# VPN Gateway erstellen (dauert 30–45 Minuten!)
az network vnet-gateway create \
  --name vpngw-firma \
  --resource-group rg-firma-prod \
  --vnet vnet-firma-prod \
  --gateway-type Vpn \
  --sku VpnGw1 \
  --vpn-type RouteBased \
  --public-ip-address pip-vpngateway

Netzwerk-Diagnose

# Effektive Sicherheitsregeln für eine VM prüfen
az network nic show-effective-nsg \
  --name nic-vm01 \
  --resource-group rg-firma-prod

# Verbindungstest zwischen VMs
# Network Watcher → Connection Troubleshoot (Portal)
az network watcher test-connectivity \
  --source-resource vm-frontend-01 \
  --source-resource-group rg-firma-prod \
  --dest-address 10.0.2.10 \
  --dest-port 80

FAQ

Wie groß soll mein VNet-Adressraum sein?
Mindestens /16 (65.534 IPs) – großzügig planen! IP-Bereiche können nicht einfach nachträglich geändert werden. Nutzen Sie RFC1918: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16.

Was kostet VNet Peering?
Datenübertragung innerhalb einer Region: ~0,01 USD/GB. Zwischen Regionen: ~0,035 USD/GB.

Fazit

Eine saubere VNet-Architektur ist die Grundlage jeder sicheren Azure-Infrastruktur. Planen Sie Ihre Subnets und NSGs von Anfang an – Änderungen später sind aufwendig.

Azure-Netzwerkarchitektur für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Cloud-Beratung anfragen.