Azure Networking Azure Networking

Referenz für virtuelle Netzwerke, Private Connectivity, Hybridanbindung, Perimeterschutz, Lastverteilung, DNS, DDoS und Network Watcher. Reference for virtual networks, private connectivity, hybrid connectivity, perimeter protection, load distribution, DNS, DDoS, and Network Watcher.

VNet VNet

Adressraum Address space

L4/L7 L4/L7

Traffic-Steuerung Traffic control

Hybrid Hybrid

On-Prem-Anbindung On-prem connectivity

Private Private

PaaS-Zugriff PaaS access

Azure Networking ist das Rückgrat fast jeder Landing Zone Azure networking is the backbone of almost every landing zone

Adressierung, Segmentierung, Namensauflösung, Transportpfade und Sicherheitsgrenzen entscheiden darüber, ob Workloads später sauber skalieren, privat erreichbar bleiben und ohne Seiteneffekte überwacht oder erweitert werden können. Addressing, segmentation, name resolution, transport paths, and security boundaries determine whether workloads can later scale cleanly, stay privately reachable, and be monitored or extended without side effects.

Viele Fehler entstehen an der Kombination mehrerer Features Many failures emerge at the combination of multiple features

Private Endpoints, benutzerdefinierte Routen, Firewalls, DNS-Forwarding und Peering funktionieren jeweils für sich. Komplexität entsteht, wenn alle zusammenwirken. Azure-Netzwerke müssen deshalb end-to-end und nicht featureweise entworfen werden. Private endpoints, custom routes, firewalls, DNS forwarding, and peering each work on their own. Complexity emerges when all of them interact. Azure networks therefore have to be designed end to end, not feature by feature.

Grundlagen Foundations

VNet, Subnet, NSG, ASG und UDR als Basisbausteine. VNet, subnet, NSG, ASG, and UDR as foundational building blocks.

Private Connectivity Private connectivity

Peering, Service Endpoints, Private Endpoints und Private Link. Peering, service endpoints, private endpoints, and Private Link.

Hybrid Hybrid

VPN Gateway, ExpressRoute und Routing zwischen Welten. VPN Gateway, ExpressRoute, and routing between worlds.

Perimeter Perimeter

Azure Firewall, Bastion, DDoS und Sicherheitsgrenzen. Azure Firewall, Bastion, DDoS, and security boundaries.

Lastverteilung Load distribution

Load Balancer, Application Gateway und Front Door im Vergleich. Load Balancer, Application Gateway, and Front Door compared.

DNS DNS

Öffentliche und private Namensauflösung, Resolver und Split-Horizon. Public and private name resolution, resolvers, and split horizon.

Troubleshooting Troubleshooting

Network Watcher, Flow-Analysen und Architekturprüfungen. Network Watcher, flow analysis, and architecture validation.

Virtuelle Netzwerke, Segmentierung und Routen Virtual networks, segmentation, and routes

Ein Azure Virtual Network ist die logische L3-Basis für Workloads, PaaS-Private-Connectivity und Hybridpfade. Adressraum, Subnetzgrenzen und Routing sollten bereits mit Blick auf spätere Expansion, Private Endpoints, Firewall-Transparenz und DNS-Architektur festgelegt werden. An Azure Virtual Network is the logical L3 foundation for workloads, PaaS private connectivity, and hybrid paths. Address space, subnet boundaries, and routing should be defined with later expansion, private endpoints, firewall transparency, and DNS architecture in mind.

Baustein Building block	Rolle Role	Designhinweis Design note
Virtual Network Virtual Network	Enthält Adressraum, Subnetze und VNet-bezogene Konfigurationen Contains address space, subnets, and VNet-scoped configuration	Adressüberlappungen verhindern späteres Peering, vWAN-Design oder Private-Link-Skalierung. Address overlap blocks future peering, vWAN design, or private link scaling.
Subnetz Subnet	Segmentiert Workload-Klassen, Dienste und Sicherheitsgrenzen Segments workload classes, services, and security boundaries	Subnetzgröße sollte Wachstum, Private Endpoints und reservierte IPs berücksichtigen. Subnet sizing should account for growth, private endpoints, and reserved IPs.
Network Security Group Network Security Group	Stateful Filterregeln auf Subnetz- oder NIC-Ebene Stateful filtering rules at subnet or NIC scope	NSGs sind stark für Segmentierung, aber keine Layer-7-Firewall und kein vollständiger Egress-Proxy. NSGs are strong for segmentation, but they are not a layer-7 firewall or a full egress proxy.
Application Security Group Application Security Group	Abstrakte Gruppierung von NICs für regelbasierte Segmentierung Abstract grouping of NICs for rule-based segmentation	Hilft besonders in dynamischen Farmen, in denen IP-Listen zu Drift führen würden. Especially helpful in dynamic farms where IP lists would drift.
User Defined Route User Defined Route	Erzwingt benutzerdefinierte Next-Hops und Pfadsteuerung Forces custom next hops and path control	Falsch gesetzte UDRs erzeugen leicht Blackholes oder asymmetrische Rückwege. Incorrect UDRs easily create black holes or asymmetric return paths.
Service Tags Service tags	Abstrakte Zielmengen für NSGs und Firewalls Abstract destination sets for NSGs and firewalls	Vereinfachen Regelpflege, ersetzen aber keine Architekturprüfung der tatsächlichen Datenpfade. They simplify rule maintenance, but do not replace architecture review of the actual data paths.

Subnetzdesign für Plattformdienste Subnet design for platform services

Subnetztyp Subnet type	Typische Nutzung Typical usage	Besonderheit Special consideration
GatewaySubnet GatewaySubnet	VPN Gateway oder ExpressRoute Gateway VPN Gateway or ExpressRoute Gateway	Reservierte Namenskonvention und Größenempfehlungen beachten. Follow reserved naming conventions and sizing recommendations.
AzureFirewallSubnet AzureFirewallSubnet	Dediziertes Subnetz für Azure Firewall Dedicated subnet for Azure Firewall	Muss exklusiv für den Dienst reserviert bleiben. Must remain reserved exclusively for the service.
AzureBastionSubnet AzureBastionSubnet	Subnetz für Azure Bastion Subnet for Azure Bastion	Erfordert definierte Mindestgröße und sollte nicht mit Workloads geteilt werden. Requires a defined minimum size and should not be shared with workloads.
Workload-Subnetz Workload subnet	Applikations- oder Datenbankinstanzen Application or database instances	NSGs, UDRs und Private Endpoints müssen zum Lebenszyklus der Workload passen. NSGs, UDRs, and private endpoints must match the workload lifecycle.
Private-Endpoint-Subnetz Private endpoint subnet	Zentrale Bündelung vieler privater PaaS-Endpunkte Central grouping of many private PaaS endpoints	Braucht saubere DNS- und Sicherheitsstrategie; Netzwerkrichtlinien werden häufig angepasst. Requires a clean DNS and security strategy; network policies are often tuned.

Beginnen Sie mit einem globalen Adressplan statt regionenweisen Einzellösungen. Start with a global address plan rather than isolated regional solutions.
Trennen Sie Plattformsubnetze für Gateways, Bastion und Firewalls klar von Workload-Subnetzen. Separate platform subnets for gateways, Bastion, and firewalls clearly from workload subnets.
Verwenden Sie ASGs, wenn sich Workloads dynamisch ändern und IP-basierte Regeln unübersichtlich würden. Use ASGs when workloads change dynamically and IP-based rules would become unmanageable.
Dokumentieren Sie UDR-Zweck und erwarteten Rückpfad für jedes erzwungene Next-Hop-Szenario. Document the purpose of each UDR and the expected return path for every forced next-hop scenario.

Peering, Service Endpoints, Private Endpoints und Private Link Peering, service endpoints, private endpoints, and Private Link

Private Connectivity in Azure ist keine einzelne Funktion, sondern ein Set unterschiedlicher Mechanismen mit sehr verschiedenen Sicherheits- und Betriebsmodellen. Besonders wichtig ist die Unterscheidung zwischen Routing über die Microsoft-Backbone-Infrastruktur und echter privater IP-Präsenz innerhalb des eigenen Adressraums. Private connectivity in Azure is not a single feature, but a set of different mechanisms with very different security and operational models. The crucial distinction is between routing over the Microsoft backbone and actual private IP presence inside your own address space.

Service Endpoint und Private Endpoint lösen verschiedene Probleme Service endpoints and private endpoints solve different problems

Service Endpoints erweitern die VNet-Identität zu einem PaaS-Dienst, der Dienst bleibt aber logisch öffentlich erreichbar. Private Endpoints bringen eine private NIC in Ihr Subnetz und erfordern deshalb fast immer bewusstes DNS-Design. Service endpoints extend VNet identity to a PaaS service, but the service remains logically public. Private endpoints inject a private NIC into your subnet and therefore almost always require deliberate DNS design.

Mechanismus Mechanism	Stärke Strength	Wichtige Einschränkung Important limitation
VNet Peering VNet peering	Private Verbindung zwischen VNets mit Backbone-Transport und geringer Latenz Private connectivity between VNets with backbone transport and low latency	Peering ist nicht transitiv; zentrale Hub-Routingmuster brauchen zusätzliche Steuerung. Peering is not transitive; central hub routing patterns need additional control.
Global VNet Peering Global VNet peering	Regionenübergreifende Verbindung über Microsoft-Backbone Cross-region connectivity over the Microsoft backbone	Latenz und Kosten unterscheiden sich von regionalem Peering; Compliance und Datenpfade prüfen. Latency and cost differ from regional peering; review compliance and data paths.
Service Endpoints Service endpoints	Einfacher privater Zugriff auf unterstützte PaaS-Dienste ohne private NIC Simple private access to supported PaaS services without a private NIC	DNS bleibt beim öffentlichen Dienstnamen; nicht alle Sicherheitsanforderungen sind damit gelöst. DNS keeps using the public service name; not every security requirement is solved.
Private Endpoints Private endpoints	Private IP-Adressen für PaaS-Ressourcen direkt im VNet Private IP addresses for PaaS resources directly inside the VNet	DNS, Routing und NSG-/Firewall-Prüfung müssen bewusst abgestimmt werden. DNS, routing, and NSG/firewall review must be aligned deliberately.
Private Link Service Private Link Service	Bereitstellung eigener Dienste per Private Link für andere VNets oder Tenants Exposing your own services over Private Link to other VNets or tenants	Lastverteilung, Freigabemodell und DNS-Verantwortung verlagern sich auf den Anbieter. Load distribution, sharing model, and DNS responsibility shift to the provider.
Private DNS Zones Private DNS Zones	Namensauflösung für Private Endpoints und interne Dienste Name resolution for private endpoints and internal services	Falsche Zone-Links oder A-Records führen schnell zu schwer auffindbaren Fehlpfaden. Incorrect zone links or A records quickly create hard-to-diagnose failures.
DNS Private Resolver DNS Private Resolver	Managed Inbound- und Outbound-Resolver für Hybrid-Forwarding Managed inbound and outbound resolver for hybrid forwarding	Ersetzt nicht automatisch alle Alt-DNS-Konzepte; Forwarding- und Split-Horizon-Design bleiben wichtig. Does not automatically replace every legacy DNS concept; forwarding and split-horizon design still matter.

Azure CLI Azure CLI


az network vnet peering create \
  --resource-group rg-hub-weu \
  --name hub-to-spoke-app \
  --vnet-name vnet-hub-weu \
  --remote-vnet /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-app-weu/providers/Microsoft.Network/virtualNetworks/vnet-app-weu \
  --allow-vnet-access \
  --allow-forwarded-traffic

Behandeln Sie DNS als Teil jedes Private-Endpoint-Designs, nicht als nachgelagertes Detail. Treat DNS as part of every private endpoint design, not as a downstream detail.
Vermeiden Sie transitive Annahmen bei Peering; Azure routet Peering nicht automatisch über Zwischen-VNets. Avoid transitive assumptions with peering; Azure does not automatically route peering through intermediate VNets.
Service Endpoints sind schnell eingeführt, aber oft nicht ausreichend für strikte Exfiltrations- oder Isolationsziele. Service endpoints are easy to introduce, but often insufficient for strict exfiltration or isolation goals.
Private Link vereinfacht Konsum privater Dienste, erhöht aber den Anspruch an DNS-Hygiene und Lebenszyklusmanagement. Private Link simplifies consuming private services, but increases the need for DNS hygiene and lifecycle management.

VPN Gateway, ExpressRoute und hybrides Routing VPN Gateway, ExpressRoute, and hybrid routing

Hybridanbindung in Azure umfasst nicht nur die Frage, ob ein Tunnel existiert. Entscheidend sind Bandbreite, Latenz, BGP-Topologie, HA-Muster, Routingprioritäten, Transitvorgaben und die Frage, welche Dienste privat statt öffentlich konsumiert werden sollen. Hybrid connectivity in Azure is not just about whether a tunnel exists. What matters are bandwidth, latency, BGP topology, HA patterns, routing priorities, transit rules, and which services should be consumed privately rather than publicly.

Option Option	Typische Stärke Typical strength	Wichtiger Trade-off Important trade-off
Point-to-Site VPN Point-to-Site VPN	Admin- oder Entwicklerzugriff auf private Ressourcen Admin or developer access to private resources	Kein Ersatz für produktiven Standortverkehr; Client- und Zertifikatsverwaltung gehören dazu. Not a replacement for production site traffic; client and certificate management are part of the model.
Site-to-Site VPN Site-to-Site VPN	Schnelle Hybridverbindung über das Internet Fast hybrid connectivity over the internet	Abhängig von Internetpfadqualität und meist nicht ideal für sehr hohe Durchsatz- oder Latenzanforderungen. Depends on internet path quality and is often not ideal for very high throughput or latency demands.
VNet-to-VNet VPN VNet-to-VNet VPN	Verbindung zwischen VNets ohne Peering-Szenario Connectivity between VNets without a peering scenario	Meist weniger elegant als Peering, aber in Sonderarchitekturen sinnvoll. Usually less elegant than peering, but useful in certain architectures.
ExpressRoute ExpressRoute	Vorhersehbarere Hybridanbindung mit privaterem Transport und höheren Bandbreiten More predictable hybrid connectivity with more private transport and higher bandwidth	Provisionierung, Provider-Abstimmung und Routingdesign sind komplexer als bei VPN. Provisioning, provider coordination, and routing design are more complex than with VPN.
ExpressRoute FastPath ExpressRoute FastPath	Niedrigere Latenz und Umgehung bestimmter Gateway-Pfade in passenden Designs Lower latency and bypass of certain gateway paths in suitable designs	Nicht universell nötig; Architektur und unterstützte Szenarien gezielt prüfen. Not universally required; review architecture and supported scenarios deliberately.

Routenverteilung und Steuerung Route distribution and control

Thema Topic	Worauf es ankommt What matters	Häufiger Fehler Frequent mistake
BGP BGP	Dynamische Routenverteilung mit sauberem ASN- und Präfixdesign Dynamic route exchange with clean ASN and prefix design	Überlappende Präfixe oder unklare Präferenzregeln machen Fehlerbilder schwer nachvollziehbar. Overlapping prefixes or unclear preference rules make incidents difficult to understand.
Forced Tunneling Forced tunneling	Bewusste Steuerung des Egress über zentrale Inspektionspunkte Deliberate steering of egress through central inspection points	Nicht jeder Azure-Dienst reagiert gleich auf erzwungenen Rückweg; Ausnahmen und DNS müssen abgestimmt sein. Not every Azure service behaves the same under forced return paths; exceptions and DNS must be aligned.
Gateway Route Propagation Gateway route propagation	Automatischer Eintrag gelernter Routen in Route Tables Automatic insertion of learned routes into route tables	Unerwartete Prioritäten zwischen systemeigenen und benutzerdefinierten Routen werden oft übersehen. Unexpected priorities between system routes and user-defined routes are often overlooked.
Asymmetrische Pfade Asymmetric paths	Rückwege müssen zu Firewalls, NAT und Session-State passen Return paths must align with firewalls, NAT, and session state	Inspektions- oder UDR-Designs brechen häufig an fehlender Rückwegsymmetrie. Inspection or UDR designs often fail because return-path symmetry is not preserved.

Wählen Sie ExpressRoute für stabile, volumenstarke oder regulierte Hybridpfade, nicht nur wegen eines Gefühlsvorteils. Choose ExpressRoute for stable, high-volume, or regulated hybrid paths, not only for perceived prestige.
Nutzen Sie VPN gezielt für Übergänge, kleinere Standorte oder Backup-Szenarien. Use VPN intentionally for transitions, smaller sites, or backup scenarios.
Planen Sie BGP und UDR gemeinsam, sonst erzeugen Sie schwer erkennbare Präferenzkonflikte. Plan BGP and UDR together or you will create hard-to-see preference conflicts.
Dokumentieren Sie für jedes Hybridziel, ob Name Resolution on-premises, in Azure oder beidseitig autoritativ ist. Document for every hybrid target whether name resolution is authoritative on premises, in Azure, or on both sides.

Azure Firewall, Bastion und DDoS Protection Azure Firewall, Bastion, and DDoS Protection

Perimeterschutz in Azure ist heute deutlich feiner als nur ein virtuelles Edge-Segment. Plattformteams kombinieren NSGs, Azure Firewall, Private Connectivity, Bastion und DDoS-Schutz, um Angriffsoberflächen zu reduzieren und gleichzeitig administrativen Zugriff kontrolliert zu ermöglichen. Perimeter protection in Azure is now more nuanced than a single virtual edge segment. Platform teams combine NSGs, Azure Firewall, private connectivity, Bastion, and DDoS protection to reduce attack surface while still enabling controlled administration.

Bastion ersetzt keine Netzsegmentierung Bastion does not replace network segmentation

Azure Bastion reduziert die Notwendigkeit öffentlicher RDP- und SSH-Endpunkte. Es ist aber kein Ersatz für sauber definierte NSGs, Privileged-Access-Modelle oder eine Egress- und East-West-Sicherheitsarchitektur. Azure Bastion reduces the need for public RDP and SSH endpoints. It is not a replacement for well-defined NSGs, privileged access models, or an egress and east-west security architecture.

Dienst Service	Leistung Capability	Planungspunkt Planning point
Azure Firewall Standard Azure Firewall Standard	Zentralisierte L3-L7-Regeln, DNAT/SNAT und FQDN-basierte Steuerung Centralized L3-L7 rules, DNAT/SNAT, and FQDN-based controls	Benötigt sauberes UDR- und Logging-Design, damit Datenpfade nachvollziehbar bleiben. Requires clean UDR and logging design so traffic paths remain understandable.
Azure Firewall Premium Azure Firewall Premium	Erweiterte Threat-Protection und TLS-Inspection-Szenarien Advanced threat protection and TLS inspection scenarios	Zertifikats- und Datenschutzimplikationen müssen mit Security- und App-Teams abgestimmt werden. Certificate and privacy implications must be aligned with security and application teams.
DDoS Network Protection DDoS Network Protection	Schutz öffentlicher IPs gegen volumetrische Angriffe auf VNet-gebundene Ressourcen Protection of public IPs against volumetric attacks on VNet-bound resources	Sinnvoll vor allem für internetexponierte, geschäftskritische Dienste mit klaren Runbooks. Most valuable for internet-exposed, business-critical services with clear runbooks.
Azure Bastion Azure Bastion	Browserbasierter RDP/SSH-Zugriff ohne öffentliche IP auf Ziel-VMs Browser-based RDP/SSH access without public IPs on target VMs	Subnetz, SKU und Session-Design beeinflussen Kosten und Nutzererlebnis. Subnet size, SKU, and session design influence cost and user experience.
Network Security Groups Network Security Groups	Feingranulare Segmentierung direkt am Workloadpfad Fine-grained segmentation directly in the workload path	NSGs bleiben auch mit zentraler Firewall ein Pflichtbaustein. NSGs remain a required building block even with a central firewall.

Inspektionspfade und Egress-Design Inspection paths and egress design

Muster Pattern	Vorteil Advantage	Risiko bei schlechter Umsetzung Risk when poorly implemented
Zentraler Egress über Azure Firewall Central egress through Azure Firewall	Einheitliche Regelpflege und zentrale Beobachtbarkeit Consistent rule management and central observability	SNAT, Rückwege und Dienst-Ausnahmen werden schnell komplex. SNAT, return paths, and service exceptions quickly become complex.
Direkter Internetzugang pro Workload Direct internet access per workload	Einfaches Routing und wenig zentrale Abhängigkeiten Simple routing and fewer central dependencies	Höhere Angriffsfläche und schwächere zentrale Governance. Higher attack surface and weaker central governance.
Private Endpoints plus restriktiver Egress Private endpoints plus restrictive egress	Reduzierte Exfiltration und klarere Datenpfade zu PaaS-Diensten Reduced exfiltration and clearer data paths to PaaS services	DNS- und UDR-Fehler können ganze Anwendungsketten blockieren. DNS and UDR mistakes can block entire application chains.

Nutzen Sie Bastion überall dort, wo öffentliche Admin-Endpunkte ansonsten als Bequemlichkeitslösung entstehen würden. Use Bastion wherever public admin endpoints would otherwise appear as a convenience shortcut.
DDoS Network Protection sollte an klar definierte internetexponierte Geschäftsservices gekoppelt werden. DDoS Network Protection should be tied to clearly defined internet-exposed business services.
Firewall-Regeln brauchen Ownership, Change-Prozess und Log-Auswertung; sonst wird die Plattform schnell intransparent. Firewall rules need ownership, a change process, and log review; otherwise the platform quickly becomes opaque.
NSGs und zentrale Firewall ergänzen sich: eine ersetzt die andere nicht. NSGs and a central firewall complement each other; one does not replace the other.

Load Balancer, Application Gateway und Front Door Load Balancer, Application Gateway, and Front Door

Azure bietet mehrere Ebenen der Traffic-Steuerung: regionales Layer-4-Balancing, regionales Layer-7-Routing mit WAF und globales Edge-Routing. Die richtige Wahl ergibt sich aus Protokoll, Standortverteilung, TLS-Terminierung, Session-Affinität und dem gewünschten Fehlerdomänenmodell. Azure offers multiple layers of traffic control: regional layer-4 balancing, regional layer-7 routing with WAF, and global edge routing. The right choice depends on protocol, geographic distribution, TLS termination, session affinity, and the desired failure domain model.

Dienst Service	Starke Eignung Strong fit	Wichtige Grenze Important limit
Azure Load Balancer Azure Load Balancer	Regionales L4-Balancing für TCP/UDP, interne und externe Endpunkte Regional L4 balancing for TCP/UDP, internal and external endpoints	Keine Layer-7-Logik, kein natives URL-Routing und keine WAF-Funktion. No layer-7 logic, no native URL routing, and no WAF capability.
Application Gateway v2 Application Gateway v2	Regionales L7-Routing, TLS-Offload, WAF, Host- und Pfadregeln Regional L7 routing, TLS offload, WAF, host and path rules	Regionaler Dienst; globale Multi-Region-Strategien brauchen ergänzende Steuerung. Regional service; global multi-region strategies need additional steering.
Azure Front Door Standard/Premium Azure Front Door Standard or Premium	Globales Anycast-Edge, CDN-nahe Beschleunigung, WAF und Multi-Region-Failover Global anycast edge, CDN-adjacent acceleration, WAF, and multi-region failover	Kein Ersatz für regionale Ost-West-Segmentierung oder interne L4-Balancer. Not a replacement for regional east-west segmentation or internal L4 balancers.
Traffic Manager Traffic Manager	DNS-basiertes globales Steering für bestimmte Legacy- oder Spezialmuster DNS-based global steering for certain legacy or specialized patterns	DNS-Caching begrenzt Reaktionsgeschwindigkeit und Granularität. DNS caching limits reaction speed and granularity.

Designfragen für Traffic-Steuerung Design questions for traffic steering

Frage Question	Auswirkung Impact	Bevorzugte Richtung Preferred direction
Brauchen Sie TLS-Offload und WAF? Do you need TLS offload and WAF?	Erfordert Layer-7-Ingress statt reinem L4-Balancer. Requires layer-7 ingress rather than a pure L4 balancer.	Application Gateway oder Front Door. Application Gateway or Front Door.
Ist der Dienst global aktiv/aktiv? Is the service global active/active?	Regionales Ingress allein reicht nicht für Edge-nahes Routing. Regional ingress alone is insufficient for edge-near routing.	Front Door plus regionale Backends. Front Door plus regional back ends.
Geht es um internes Ost-West-L4-Balancing? Is this about internal east-west L4 balancing?	Private Endpunkte und VM-/PaaS-Backends sollen nur intern erreichbar sein. Private endpoints and VM or PaaS back ends should be reachable only privately.	Internal Load Balancer oder private Application Gateway-Bereitstellung. Internal Load Balancer or private Application Gateway deployment.
Benötigen Sie Session-Affinität oder Websocket-Verhalten? Do you need session affinity or websocket behavior?	Beeinflusst Gateway-Wahl, Timeout-Modelle und Probe-Strategie. Influences gateway choice, timeout behavior, and probe strategy.	Früh im Ingress-Design klären. Clarify early in ingress design.

Layer 4 und Layer 7 bewusst trennen: Protokollsteuerung und Anwendungsschutz sind unterschiedliche Aufgaben. Separate layer 4 and layer 7 intentionally: protocol steering and application protection are different jobs.
Planen Sie Health Probes so, dass sie echte Funktionsfähigkeit und nicht nur TCP-Erreichbarkeit widerspiegeln. Design health probes so they reflect real service health rather than mere TCP reachability.
Front Door ist global und edge-nah, löst aber keine regionale Netzsegmentierung. Front Door is global and edge-near, but it does not solve regional network segmentation.
Application Gateway ist besonders stark bei regionalen Web-Plattformen mit WAF- und Routingbedarf. Application Gateway is especially strong for regional web platforms that need WAF and routing.

Azure DNS, Private DNS und Namensauflösung Azure DNS, private DNS, and name resolution

DNS ist in Azure häufig der wahre Kontrollpfad für Anwendungen. Private Endpoints, hybride Resolver, Bastion, Firewalls, Containerplattformen und Plattformdienste funktionieren nur dann stabil zusammen, wenn Autorität, Forwarding, Split-Horizon und Zonenverknüpfungen klar dokumentiert sind. DNS is often the real control path in Azure applications. Private endpoints, hybrid resolvers, Bastion, firewalls, container platforms, and platform services work together reliably only when authority, forwarding, split horizon, and zone linking are clearly documented.

Dienst oder Muster Service or pattern	Rolle Role	Worauf zu achten ist What to watch for
Azure DNS Public Azure DNS public	Autoritative öffentliche Zonen für Internet-Namen Authoritative public zones for internet names	Governance für Delegation, TTLs und Änderungsfrequenz ist wesentlich. Governance for delegation, TTLs, and change cadence is essential.
Azure Private DNS Zones Azure Private DNS zones	Private Namensauflösung innerhalb verknüpfter VNets Private name resolution inside linked VNets	Zonenlinks und Record-Lifecycle müssen mit Private Endpoint Provisioning zusammenspielen. Zone links and record lifecycle must work with private endpoint provisioning.
DNS Private Resolver DNS Private Resolver	Managed Forwarding zwischen Azure und On-Premises Managed forwarding between Azure and on premises	Inbound- und outbound-Endpunkte brauchen klares Netz- und Zuständigkeitsmodell. Inbound and outbound endpoints need a clear network and ownership model.
Custom DNS auf IaaS Custom DNS on IaaS	Spezialfälle mit AD DS, Legacy-Zonen oder Sonderlogik Special cases with AD DS, legacy zones, or custom logic	Erhöht Betriebsaufwand und verlangt Patch- sowie Hochverfügbarkeitsdesign. Increases operational effort and requires patching and HA design.
Split-Horizon DNS Split-horizon DNS	Unterschiedliche Antworten je nach Quellnetz oder Zweck Different answers depending on source network or purpose	Hilfreich, aber fehleranfällig, wenn öffentliche und private Namen unsauber vermischt werden. Helpful, but error-prone when public and private names are mixed carelessly.

Azure CLI Azure CLI


az network private-dns zone create \
  --resource-group rg-platform-dns \
  --name privatelink.blob.core.windows.net

az network private-dns link vnet create \
  --resource-group rg-platform-dns \
  --zone-name privatelink.blob.core.windows.net \
  --name weu-hub-link \
  --virtual-network /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-hub-weu/providers/Microsoft.Network/virtualNetworks/vnet-hub-weu \
  --registration-enabled false

Definieren Sie für jede Zone klar, wer autoritativ ist und wer nur weiterleitet. Define clearly for every zone who is authoritative and who only forwards.
Private Endpoints ohne passende DNS-Zuordnung wirken oft wie Netzwerkfehler, obwohl Routing korrekt ist. Private endpoints without matching DNS records often look like network failures even when routing is correct.
Dokumentieren Sie Forwarding-Ketten, sonst werden Incident-Analysen unnötig lang. Document forwarding chains or incident analysis will take far longer than necessary.
Bewerten Sie TTLs bewusst, besonders für Failover- und Migrationsszenarien. Review TTLs deliberately, especially for failover and migration scenarios.

Network Watcher, Troubleshooting und Referenzmuster Network Watcher, troubleshooting, and reference patterns

Netzwerkbetrieb in Azure braucht andere Werkzeuge als reine On-Premises-Routerwelten. Statt Paketmitschnitten auf jeder Appliance helfen Ihnen in Azure häufig Effektivregeln, Next-Hop-Analysen, Topologieansichten, Verbindungsdiagnosen und Flow-basierte Telemetrie über die Plattform. Operating networks in Azure requires different tooling than pure on-premises router worlds. Instead of packet captures on every appliance, effective rules, next-hop analysis, topology views, connectivity diagnostics, and flow-based telemetry often provide the fastest answers in Azure.

Werkzeug Tool	Nutzen Benefit	Typischer Anwendungsfall Typical use case
Connection Troubleshoot Connection troubleshoot	End-to-end-Prüfung zwischen Quelle und Ziel End-to-end validation between source and destination	Verbindungsprobleme zwischen VM, Private Endpoint, PaaS oder Hybridziel eingrenzen. Narrow down connectivity issues between a VM, private endpoint, PaaS service, or hybrid target.
IP Flow Verify IP flow verify	Prüft, ob eine konkrete NSG-Entscheidung Traffic zulässt oder blockiert Checks whether a concrete NSG decision allows or blocks traffic	Schnelltest für Segmentierungs- oder Security-Regelkonflikte. Fast test for segmentation or security rule conflicts.
Next Hop Next hop	Zeigt den tatsächlich wirksamen nächsten Sprung Shows the actually effective next hop	Besonders wichtig bei UDRs, Firewalls und Hybridrouten. Especially important with UDRs, firewalls, and hybrid routes.
Effective Security Rules Effective security rules	Konsolidierte Sicht auf aktive NSG-Regeln Consolidated view of active NSG rules	Hilft bei Konflikten zwischen Subnetz- und NIC-ebenen Regeln. Helps with conflicts between subnet- and NIC-level rules.
Packet Capture Packet capture	Gezielte Erfassung bei tieferen Protokollproblemen Targeted capture for deeper protocol problems	Wertvoll bei schwierigen Transport- oder Handshake-Fehlern. Valuable for difficult transport or handshake failures.
Topologie Topology	Visualisierung von Ressourcen- und Verbindungsbeziehungen Visualization of resource and connectivity relationships	Schneller Überblick in größeren Landing Zones. Fast overview in larger landing zones.

Azure CLI Azure CLI


az network watcher test-connectivity \
  --resource-group rg-ops-weu \
  --source-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rg-app-weu/providers/Microsoft.Compute/virtualMachines/app01-weu \
  --dest-address sql01.privatelink.database.windows.net \
  --dest-port 1433

Architekturmuster für Azure-Netzwerke Reference patterns for Azure networks

Muster Pattern	Nutzen Benefit	Warnhinweis Caution
Hub-and-Spoke Hub and spoke	Zentrale Sicherheits- und Shared-Service-Ebene bei dezentralen Workloads Central security and shared services layer with decentralized workloads	Transitivität und zentrale Engpässe müssen bewusst gemanagt werden. Transitivity and central bottlenecks must be managed deliberately.
Multi-Region mit regionalen Hubs Multi-region with regional hubs	Regionale Nähe und getrennte Fehlerdomänen Regional proximity and separated failure domains	DNS, Global Routing und Betriebsmodell werden anspruchsvoller. DNS, global routing, and the operational model become more demanding.
Private-PaaS-first Private PaaS first	Minimierte Exfiltration und klare Datenpfade zu Plattformdiensten Minimized exfiltration and clear data paths to platform services	DNS-, PE- und UDR-Komplexität steigt deutlich. DNS, PE, and UDR complexity rise significantly.

Nutzen Sie Network Watcher aktiv in Runbooks, statt nur im Störungsfall danach zu suchen. Use Network Watcher actively in runbooks rather than discovering it only during outages.
Jede UDR- oder Firewalländerung sollte gegen Next-Hop- und Verbindungsdiagnosen validiert werden. Every UDR or firewall change should be validated with next-hop and connectivity diagnostics.
Dokumentieren Sie Standardpfade für private PaaS-Zugriffe inklusive DNS und Rückweg. Document standard paths for private PaaS access including DNS and return path.
In Multi-Region-Designs sind DNS- und Global-Routing-Entscheidungen genauso wichtig wie reine IP-Konnektivität. In multi-region designs, DNS and global routing decisions matter just as much as raw IP connectivity.

Begriffe und Merkhilfen Terms and quick reminders

Diese Kurzbegriffe tauchen in fast jeder Azure-Netzwerkdiskussion auf und helfen bei der schnellen Einordnung von Designs. These short terms appear in almost every Azure networking discussion and help classify designs quickly.

Begriff Term	Bedeutung Meaning
VNet VNet	Logisches Azure-Netz mit Adressraum, Subnetzen und netzbezogener Konfiguration. Logical Azure network with address space, subnets, and network-scoped configuration.
NSG NSG	Stateful Paketfilterregeln auf Subnetz- oder NIC-Ebene. Stateful packet-filter rules at subnet or NIC scope.
UDR UDR	Benutzerdefinierte Route zur Steuerung des nächsten Hops. User-defined route that steers the next hop.
Private Endpoint Private endpoint	Private NIC für einen PaaS-Dienst im eigenen VNet. Private NIC for a PaaS service inside your own VNet.
Private Link Private Link	Technologie, die private Endpunkte und private Dienstbereitstellung ermöglicht. Technology that enables private endpoints and private service exposure.
BGP BGP	Routingprotokoll für dynamischen Präfixaustausch, besonders in Hybridarchitekturen. Routing protocol for dynamic prefix exchange, especially in hybrid architectures.
Azure Firewall Azure Firewall	Verwaltete Firewall für zentrale Netzinspektion und Egress-Steuerung. Managed firewall for central network inspection and egress control.
Front Door Front Door	Globaler Edge-Ingress- und Beschleunigungsdienst mit WAF-Optionen. Global edge ingress and acceleration service with WAF capabilities.
DNS Private Resolver DNS Private Resolver	Verwalteter DNS-Resolver für Inbound- und Outbound-Forwarding in Azure. Managed DNS resolver for inbound and outbound forwarding in Azure.
Network Watcher Network Watcher	Analyse- und Troubleshooting-Werkzeugsammlung für Azure-Netzwerke. Set of analysis and troubleshooting tools for Azure networking.

In Azure sind DNS, Routing und Security-Regeln untrennbar miteinander verbunden. In Azure, DNS, routing, and security rules are tightly connected.
Private Connectivity ist nur dann vollständig, wenn Name Resolution und Rückweg stimmen. Private connectivity is complete only when name resolution and the return path are correct.
Hub-and-Spoke ist ein Muster, kein Automatismus: Ownership und Transitregeln müssen bewusst definiert werden. Hub and spoke is a pattern, not an automatism: ownership and transit rules must be defined deliberately.