Hinzufügen, Ändern oder Löschen von Subnetzen virtueller Netzwerke

Alle Azure-Ressourcen in einem virtuellen Netzwerk werden in Subnetzen innerhalb des Netzwerks bereitgestellt. In diesem Artikel wird erläutert, wie Sie Subnetze virtueller Netzwerke über das Azure-Portal, die Azure CLI oder Azure PowerShell hinzufügen, ändern oder löschen.

Voraussetzungen

Berechtigungen

Zum Durchführen von Aufgaben in Subnetzen muss Ihrem Konto die Rolle Netzwerkmitwirkender oder eine benutzerdefinierte Rolle zugewiesen sein, der die entsprechenden Aktionen in der folgenden Liste zugewiesen wurden:

Aktion Name
Microsoft.Network/virtualNetworks/subnets/read Subnetz eines virtuellen Netzwerks lesen
Microsoft.Network/virtualNetworks/subnets/write Subnetz eines virtuellen Netzwerks erstellen oder aktualisieren
Microsoft.Network/virtualNetworks/subnets/delete Subnetz eines virtuellen Netzwerks löschen
Microsoft.Network/virtualNetworks/subnets/join/action Einem virtuellen Netzwerk beitreten
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Einen Dienstendpunkt für ein Subnetz aktivieren
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read Virtuelle Computer in einem Subnetz abrufen

Hinzufügen eines Subnetzes

  1. Suchen Sie im Azure-Portal nach der Option Virtuelle Netzwerke, und wählen Sie sie aus.
  2. Wählen Sie auf der Seite Virtuelle Netzwerke das virtuelle Netzwerk aus, dem Sie ein Subnetz hinzufügen möchten.
  3. Wählen Sie auf der Seite des virtuellen Netzwerks im linken Navigationsbereich die Option Subnetze aus.
  4. Wählen Sie auf der Seite Subnetze die Option + Subnetz aus.
  5. Geben Sie auf dem Bildschirm Subnetz hinzufügen Werte für die Subnetzeinstellungen ein, oder wählen Sie entsprechende Werte aus.
  6. Wählen Sie Speichern aus.

Sie können die folgenden Einstellungen für ein Subnetz konfigurieren:

Einstellung BESCHREIBUNG
Name Der Name muss innerhalb des virtuellen Netzwerks eindeutig sein. Um maximale Kompatibilität mit anderen Azure-Diensten zu erzielen, verwenden Sie einen Buchstaben als erstes Zeichen des Namens. Azure Application Gateway kann beispielsweise keine Bereitstellung in einem Subnetz durchführen, dessen Name mit einer Ziffer beginnt.
Subnetzadressbereich Der Bereich muss innerhalb des Adressraums eindeutig sein und darf sich nicht mit anderen Subnetzadressbereichen im virtuellen Netzwerk überschneiden. Sie müssen den Adressraum mithilfe der CIDR-Notation (Classless Inter-Domain Routing, klassenloses domänenübergreifendes Routing) angeben.

In einem virtuellen Netzwerk mit dem Adressraum 10.0.0.0/16 können Sie beispielsweise für ein Subnetz den Adressraum 10.0.0.0/22 definieren. Der kleinste Bereich, den Sie angeben können, ist /29 – dieser stellt acht IP-Adressen für das Subnetz bereit. Azure reserviert die erste und letzte Adresse in jedem Subnetz für die Protokollkonformität und drei weitere Adressen für die Nutzung des Azure-Diensts. Durch Definieren eines Subnetzes mit dem Adressbereich /29 erhalten Sie also drei nutzbare IP-Adressen im Subnetz.

Wenn Sie ein virtuelles Netzwerk mit einem VPN-Gateway (Virtual Private Network, virtuelles privates Netzwerk) verbinden möchten, müssen Sie ein Gatewaysubnetz erstellen. Weitere Informationen finden Sie unter Gatewaysubnetz.
Hinzufügen des IPv6-Adressraums Sie können ein virtuelles Netzwerk mit zwei Stapeln erstellen, das IPv4 und IPv6 unterstützt, indem Sie einen vorhandenen IPv6-Adressraum hinzufügen. Derzeit wird IPv6 nicht für alle Dienste in Azure vollständig unterstützt. Weitere Informationen finden Sie unter Übersicht über IPv6 für Azure Virtual Network.
Privates Subnetz Das Festlegen eines Subnetzes als privat verhindert die Verwendung standardmäßigen ausgehenden Zugriffs für alle virtuellen Computer, die im Subnetz erstellt wurden. Dieses Feature befindet sich in der Vorschau.
NAT Gateway Um eine Netzwerkadressübersetzung (Network Address Translation, NAT) für Ressourcen in einem Subnetz bereitzustellen, können Sie ein vorhandenes NAT-Gateway einem Subnetz zuordnen. Das NAT-Gateway muss zum selben Abonnement und Standort wie das virtuelle Netzwerk gehören. Weitere Informationen finden Sie unter Was ist Virtual Network NAT? und Schnellstart: Erstellen eines NAT-Gateways mithilfe des Azure-Portals.
Netzwerksicherheitsgruppe Um ein- und ausgehenden Netzwerkdatenverkehr für das Subnetz zu filtern, können Sie einem Subnetz eine vorhandene Netzwerksicherheitsgruppe (NSG) zuordnen. Die Netzwerksicherheitsgruppe muss zum selben Abonnement und Standort wie das virtuelle Netzwerk gehören. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen und Tutorial: Filtern von Netzwerkdatenverkehr mithilfe einer Netzwerksicherheitsgruppe über das Azure-Portal.
Routingtabelle Zum Steuern der Weiterleitung von Netzwerkdatenverkehr zu anderen Netzwerken können Sie dem Subnetz optional eine vorhandene Routingtabelle zuordnen. Die Routingtabelle muss demselben Abonnement und Standort wie das virtuelle Netzwerk angehören. Weitere Informationen finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke und Tutorial: Weiterleiten von Netzwerkdatenverkehr mithilfe des Azure-Portals.
Dienstendpunkte Sie können optional einen oder mehrere Dienstendpunkte für ein Subnetz aktivieren. Um während der Einrichtung des Portalsubnetzes einen Dienstendpunkt für einen Dienst zu aktivieren, wählen Sie den Dienst, für den Sie Endpunkte erstellen möchten, aus der Popupliste unter Dienste aus. Azure konfiguriert den Standort für einen Endpunkt automatisch. Zum Entfernen eines Dienstendpunkts heben Sie die Auswahl des Diensts auf, für den der Dienstendpunkt entfernt werden soll. Weitere Informationen finden Sie unter VNET-Dienstendpunkte.

Standardmäßig konfiguriert Azure die Dienstendpunkte für die Region des virtuellen Netzwerks. Damit Azure Storage Szenarien für ein regionales Failover unterstützt werden, konfiguriert Azure Endpunkte automatisch für Azure-Regionspaare.

Nachdem Sie einen Dienstendpunkt aktiviert haben, müssen Sie auch den Subnetzzugriff für Ressourcen aktivieren, die der Dienst erstellt. Beispiel: Wenn Sie den Dienstendpunkt für Microsoft.Storage aktivieren, müssen Sie auch Netzwerkzugriff auf alle Azure Storage-Konten aktivieren, auf die Netzwerkzugriff gewährt werden soll. Informationen zum Aktivieren des Netzwerkzugriffs auf Subnetze, für die ein Dienstendpunkt aktiviert ist, finden Sie in der Dokumentation zum jeweiligen Dienst.

Um zu überprüfen, ob ein Dienstendpunkt für ein Subnetz aktiviert wurde, zeigen Sie die effektiven Routen für eine Netzwerkschnittstelle im Subnetz an. Wenn Sie einen Endpunkt konfigurieren, werden eine Standardroute mit den Adresspräfixen des Diensts und VirtualNetworkServiceEndpoint als Typ des nächsten Hops angezeigt. Weitere Informationen finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke.
Subnetzdelegierung Optional können Sie eine oder mehrere Delegierungen für ein Subnetz aktivieren. Bei der Subnetzdelegierung erhält der Dienst explizite Berechtigungen, um dienstspezifische Ressourcen im Subnetz zu erstellen, indem bei der Bereitstellung des Diensts ein eindeutiger Bezeichner verwendet wird. Um die Delegierung für einen Dienst während der Einrichtung des Portalsubnetzes zu aktivieren, wählen Sie den Dienst aus der Popupliste aus.
Netzwerkrichtlinie für private Endpunkte Um den Datenverkehr an einen privaten Endpunkt zu steuern, können Sie Netzwerksicherheitsgruppenn oder Routingtabellen verwenden. Wählen Sie während der Einrichtung des Portalsubnetzes unter Netzwerkrichtlinie für privaten Endpunkt eine oder beide Optionen aus, um diese Steuerelemente in einem Subnetz zu verwenden. Nach Aktivierung gilt die Netzwerkrichtlinie für alle privaten Endpunkte im Subnetz. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.

Ändern von Subnetzeinstellungen

  1. Suchen Sie im Azure-Portal nach der Option Virtuelle Netzwerke, und wählen Sie sie aus.
  2. Wählen Sie auf der Seite Virtuelle Netzwerke das virtuelle Netzwerk aus, dessen Subnetzeinstellungen Sie ändern möchten.
  3. Wählen Sie auf der Seite des virtuellen Netzwerks im linken Navigationsbereich die Option Subnetze aus.
  4. Wählen Sie auf der Seite Subnetze das Subnetz aus, dessen Einstellungen Sie ändern möchten.
  5. Ändern Sie auf dem Bildschirm für das Subnetz die Subnetzeinstellungen, und wählen Sie dann Speichern aus.

Sie können die folgenden Subnetzeinstellungen ändern, nachdem das Subnetz erstellt wurde:

Einstellung Beschreibung
Subnetzadressbereich Wenn innerhalb des Subnetzes keine Ressourcen bereitgestellt sind, können Sie den Adressbereich ändern. Wenn Ressourcen im Subnetz vorhanden sind, müssen Sie diese zuerst entweder in ein anderes Subnetz verschieben oder aus dem Subnetz löschen. Die Schritte zum Verschieben oder Löschen einer Ressource variieren abhängig von der Ressource. Informationen zum Verschieben oder Löschen von Ressourcen in Subnetzen finden Sie in der Dokumentation zum jeweiligen Ressourcentyp.
IPv6-Adressraum, NAT-Gateway, Netzwerksicherheitsgruppe und Routingtabelle hinzufügen Sie können Unterstützung für IPv6, ein NAT-Gateway, eine NSG oder eine Routingtabelle hinzufügen, nachdem Sie das Subnetz erstellt haben.
Dienstendpunkte Wenn Sie einen Dienstendpunkt für ein vorhandenes Subnetz aktivieren, stellen Sie sicher, dass auf keiner Ressource im Subnetz kritische Aufgaben ausgeführt werden. Dienstendpunkte ändern die Routen jeder Netzwerkschnittstelle im Subnetz. Die Dienstendpunkte wechseln von der Standardroute mit dem Adresspräfix 0.0.0.0/0 und Internet als Typ des nächsten Hops zu einer neuen Route mit dem Adresspräfix des Diensts und VirtualNetworkServiceEndpoint als Typ des nächsten Hops.

Während dieses Wechsels werden alle offenen TCP-Verbindungen geschlossen. Der Dienstendpunkt wird erst aktiviert, wenn der gesamte Datenverkehr an den Dienst in allen Netzwerkschnittstellen mit der neuen Route aktualisiert wurde. Weitere Informationen finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke.
Subnetzdelegierung Sie können die Subnetzdelegierung ändern, um gar keine oder mehrfache Delegierungen zu aktivieren. Wenn eine Ressource für einen Dienst bereits im Subnetz bereitgestellt wurde, können Sie Subnetzdelegierungen erst hinzufügen oder entfernen, nachdem Sie alle Ressourcen für den Dienst entfernt haben. Wenn Sie eine Delegierung für einen anderen Dienst im Portal einrichten möchten, wählen Sie den entsprechenden Dienst in der Popupliste aus.
Netzwerkrichtlinie für private Endpunkte Sie können die Netzwerkrichtlinie für private Endpunkte nach der Subnetzerstellung ändern.

Löschen eines Subnetzes

Sie können ein Subnetz erst löschen, wenn es keine Ressourcen mehr enthält. Falls sich noch Ressourcen im Subnetz befinden, müssen Sie diese Ressourcen zunächst löschen, damit das Subnetz gelöscht werden kann. Die Schritte zum Löschen einer Ressource variieren abhängig von der Ressource. Informationen zum Löschen der Ressourcen finden Sie in der Dokumentation zum jeweiligen Ressourcentyp.

  1. Suchen Sie im Azure-Portal nach der Option Virtuelle Netzwerke, und wählen Sie sie aus.
  2. Wählen Sie auf der Seite Virtuelle Netzwerke das virtuelle Netzwerk aus, aus dem Sie ein Subnetz löschen möchten.
  3. Wählen Sie auf der Seite des virtuellen Netzwerks im linken Navigationsbereich die Option Subnetze aus.
  4. Wählen Sie auf der Seite Subnetze das Subnetz aus, das Sie löschen möchten.
  5. Klicke Sie auf Löschen und dann im Bestätigungsdialogfeld auf Ja.

Nächste Schritte