Et subnet som man kan kople tjenester til. Da kan de la være å være koplet mot internett, men bare til en "lokal" IP-addresse. Her velger man adresse-space. Man kan bare deployt en VPN Gateway i et virtuelt nettverk.
Man kan spesifisere egne routes i et subnet ofr å styre trafikkflyten.
Hvert subnet har by default følgene system routes:
Disse kan man overstyre med sine egne custom regler og f.eks. sende all trafikk gjennom en VNVA eller en brannmyr fra en tredjepart.
Eksempel på hvordan en kan, med custom regler, rute trafikk gjennom en NVA eller en VPN Gateway
Det finnes to type custom routes:: User-defined rout eller BGP for å bli enige om routes mellom Azure og on-premises nettverk.
Kan brukes om man f.eks. ikke ønsker at all trafikk skal gå direkte fra subnet til subnet, men skal først gjennom en brannmur. For å opprette dette kan man spesifisere følgende next-hop typer:
Du kan ikke bruke "VirtualNetworkServiceendpoint" som next hop. Dette brukes internt for virtual network peering.
Om man har en express route, eller en site-to-site kopling fra on-premises til Azure kan man bruke BGP for å "exchange" rutinginfromasjon.
Azure matcher ruten med langes prefix match.
F.eks. vil melding til 10.0.0.2 der 10.0.0.0-16 og 10.0.0.0/24 er tilgjengelige routes gå mot /24 da den er mer spesifikk.
Desrom flere routes deler samme address prefix velger azure basert på denne rekkefølgen:
Felles betegnelse for middleware som opererer på nbettverksnivå. Det kan være ting som:
NVA kan installers fra Azure Marketplace.
Hvorfor det trengs, ifølge Microsoft:
"To control incoming traffic from the perimeter network and allow only traffic that meets security requirements to pass through."
F.eks. om man ønsker å filtrere all nettverk trafikk som kommer fra gateway:
Eks på NVA satt opp til å kjøre gjennom en VM