Modul 06 av 6 – SISTE! ★ Høy prioritet ⚡ Interaktiv

Azure
nettverkstjenester

Den siste modulen – og en av de viktigste. VNet, NSG, Hub-Spoke, Azure Firewall, VPN Gateway og en intro til AKS/ACR. Alt dette er høy prioritet på eksamen. Du er nesten i mål! 🎓

~45 minLesetid
9Seksjoner
14Øvelser
I denne modulen
  1. Virtual Network (VNet) og subnettflervalgklassifiser
  2. Network Security Groups (NSG)byggflervalg
  3. Hub-Spoke topologimatchflervalg
  4. Azure Firewallflervalg
  5. VPN Gateway – Point-to-Siteflervalg
  6. AKS og ACR – oversiktmatch
  7. FINAL BOSS – mixed challenge🔥 boss
  8. Oppsummering – alle 6 moduler
§ 01 — VNet og subnett

Virtual Network (VNet) og subnett

Et Virtual Network (VNet) er det grunnleggende nettverksbyggesteinen i Azure. Det er et isolert, privat nettverk i Azure der du plasserer ressursene dine. Ressurser i samme VNet kan kommunisere med hverandre som standard.

Tenk på VNet som et eget kontorbygg. Alle som jobber i bygget kan snakke med hverandre internt. Ingen utenfra kan komme inn uten å gå gjennom resepsjonen. Subnett er som etasjene i bygget – web-servere på 1. etasje, appservere på 2., databaser i kjelleren.

VNet og subnett i praksis

Et VNet har et adresserom – f.eks. 10.10.0.0/16. Dette deles opp i subnett:

WebSubnet
10.10.1.0/24
Webservere – eksponert mot internett
AppSubnet
10.10.2.0/24
Applikasjonsservere – intern kommunikasjon
DbSubnet
10.10.3.0/24
Databaser – strengt isolert, ingen direkte nett
GatewaySubnet
10.10.31.0/27
Reservert for VPN Gateway (må hete eksakt dette)
📌 Viktig detalj
Subnettet for VPN Gateway hete akkurat GatewaySubnet – ikke noe annet. Azure krever dette navnet for å plassere en VPN Gateway der.
🧠 Sjekk forståelsen · flervalg
Hva er et Virtual Network (VNet) i Azure?
Riktig! 🎯 VNet = privat, isolert nettverksrom i Azure. Ressurser i samme VNet kan snakke sammen. VNet-er med hverandre kommuniserer via VNet Peering.
En VNet er virtuell, ikke fysisk (A er feil). Det er ikke en Resource Group (C er feil). VPN er én måte å koble til VNet, ikke VNet selv. Svar B.
⚡ Interaktiv øvelse · plassering drag to bucket
I hvilket subnett hører ressursen hjemme?
Basert på sikkerhetsprinsippet «least exposure» – plasser ressursen i riktig subnett.
Klikk ressurs → klikk subnett
0 / 6 plassert
Azure App Service / webserver
SQL-database
Intern API-tjeneste (business logic)
Public-facing load balancer
Redis Cache (kun intern bruk)
Intern microservice
🌐 WebSubnet
⚙️ AppSubnet
🗄️ DbSubnet
Perfekt! 🏆 Segregering av nettverk etter funksjon er grunnleggende nettverkssikkerhet. Web eksponeres, App er intern, Db er strengt isolert.
§ 02 — NSG

Network Security Groups (NSG)

En NSG (Network Security Group) er brannmurregler for Azure-nettverket ditt. Den inneholder innkommende (inbound) og utgående (outbound) regler som bestemmer hvilken trafikk som tillates.

Hver regel har:

Eksempel: NSG for WebSubnet

100
Allow-HTTP
Any → Port 80
ALLOW
110
Allow-HTTPS
Any → Port 443
ALLOW
200
Allow-AppSubnet
10.10.2.0/24 → Any
ALLOW
4096
DenyAllInbound
Any → Any
DENY
📌 NSG-prioritetsregelen
Regelen med lavest prioritetsnummer behandles først. Azure stopper ved første match – laveste tall vinner. Standard Deny-all regel (4096) er alltid sist og blokkerer alt som ikke er eksplisitt tillatt.
🔗 Hvor kan NSG knyttes?
NSG kan knyttes til: (1) Subnett – gjelder for all trafikk inn/ut av subnettet, eller (2) Nettverkskort (NIC) – gjelder for én spesifikk VM. Begge kan brukes samtidig.
⚡ Interaktiv øvelse · NSG-flyt sequence builder
Sett NSG-reglene i riktig prioritetsrekkefølge
For et WebSubnet: klikk reglene slik de bør prioriteres (lavest prioritetstall = første). Hva behandles først?
0 / 4 plassert
Allow-SSH prio 200
DenyAll prio 4096
Allow-HTTPS prio 100
Allow-HTTP prio 110
Riktig! 🎯 Lavest prioritetstall behandles FØRST. 100 → 110 → 200 → 4096. Azure stopper ved første match.
🧠 Sjekk forståelsen · flervalg
Hva skjer med en nettverkspakke som ikke matcher noen av de egendefinerte NSG-reglene?
Riktig! 🎯 NSG har alltid en implisitt DenyAll-regel sist (prio 65500 for standard-regler). Alt som ikke er eksplisitt tillatt, droppes.
NSG er «default deny» – ikke «default allow». Svar C.
§ 03 — Hub-Spoke

Hub-Spoke topologi

Når bedriften vokser og får mange VNet-er, trenger du en måte å strukturere dem på. Hub-Spoke er det anbefalte mønsteret for bedriftsnettverk i Azure.

🏢 Hub VNet

  • Sentralt nettverksnav
  • Inneholder delte tjenester: Firewall, VPN Gateway, DNS
  • Alle spokes kommuniserer via hub
  • Typisk: 10.10.0.0/16

🔵 Spoke VNet-er

  • Dedikerte VNet-er per applikasjon/miljø
  • Prod-spoke, Dev-spoke, Test-spoke
  • Kommuniserer ikke direkte med hverandre
  • All trafikk går via hub
🏢 Hub VNet Firewall + VPN Gateway 10.10.0.0/16 Spoke: Prod 10.20.0.0/16 Prod-applikasjon Spoke: Dev 10.30.0.0/16 Dev-miljø Spoke: Test 10.40.0.0/16 Testmiljø On-premises via VPN Gateway VNet Peering
Hub-Spoke topologi: spokes kommuniserer aldri direkte – all trafikk rutes via hub-en med Firewall-kontroll.

Hvorfor Hub-Spoke?

⚡ Interaktiv øvelse · Hub-Spoke roller match pairs
Match komponenten til riktig plassering
Klikk komponent, deretter riktig plassering (Hub eller Spoke).
0 / 6 matchet
Komponent
Azure Firewall
Produksjons-applikasjon med VMs
VPN Gateway for on-premises
Dev/Test-miljøer for utviklere
Delt DNS-server
Isolert workload for én kunde
Plassering
Spoke VNet (applikasjon)
Hub VNet (delt tjeneste)
Spoke VNet (isolert)
Hub VNet (tilkobling)
Spoke VNet (miljø)
Hub VNet (infrastruktur)
Glimrende! 🌐 Delte og sikkerhetskritiske tjenester → Hub. Applikasjoner og miljøer → Spokes. Dette er grunnprinsippet.
🧠 Sjekk forståelsen · flervalg
Hva er den primære fordelen med Hub-Spoke topologi fremfor å ha alle ressurser i ett stort VNet?
Spot on! 🎯 Sentralisert sikkerhet og isolasjon er de to store gevinstene. All inter-spoke-trafikk inspiseres av Firewall i hub.
Hub-Spoke handler om governance og sikkerhet, ikke primært ytelse eller pris. Svar C.
§ 04 — Azure Firewall

Azure Firewall – det intelligente filteret

Azure Firewall er en administrert nettverkssikkerhetstjeneste som plasseres i Hub-VNet og inspiserer all trafikk mellom spokes, og mellom Azure og internett.

🔒 Hva Azure Firewall gjør

  • Filtrerer trafikk basert på IP, port, protokoll
  • FQDN-filtrering (blokkér *.malware.com)
  • Utgående trafikk-kontroll (hvilke nettsider kan VMs nå?)
  • Threat intelligence (kjente ondsinnede IP-er)

🆚 NSG vs Azure Firewall

  • NSG: enkel port/IP-filtrering på subnet/NIC
  • Firewall: avansert, sentralisert, full logging
  • Brukes gjerne begge – NSG på subnett, Firewall på hub
  • Firewall er en betalt, dedikert ressurs
⚡ Eksamenstips
Azure Firewall er plassert i AzureFirewallSubnet (eksakt navn) i Hub-VNet. Trafikk mellom spoke-VNet-er rutes via Firewall ved bruk av User Defined Routes (UDR). Du trenger ikke detaljene om UDR til eksamen, men vit at Firewall er «sentralt kontrollykt».
🧠 Sjekk forståelsen · flervalg
Hva er den viktigste forskjellen mellom en NSG og Azure Firewall?
Riktig! 🔥 NSG = dekentralisert, enkel. Firewall = sentralisert, avansert. Beste praksis er å bruke begge.
NSG og Firewall er komplementære, ikke eksklusive. A er feil (pris ≠ funksjon). B er feil (begge håndterer begge retninger). D er feil (begge brukes). Svar C.
§ 05 — VPN Gateway

VPN Gateway – Point-to-Site

Azure VPN Gateway kobler to nettverk sikkert via kryptert tunnel. Det finnes to varianter, men til eksamen er Point-to-Site (P2S) mest relevant:

👤 Point-to-Site (P2S)

  • Enkelt brukere kobler til Azure-nettverket
  • Hjemmekontor → Azure VNet
  • Autentisering med Entra ID (Azure AD) eller sertifikater
  • Protokoll: OpenVPN, SSTP, IKEv2

🏢 Site-to-Site (S2S)

  • Kobler hele bedriftsnettverk til Azure
  • On-premises → Azure (permanent kobling)
  • Krever hardware VPN-enhet på on-prem side
  • Bedriftsnivå, alltid-på

P2S med Entra ID-autentisering

Kurset ditt spesifiserer Point-to-Site VPN Gateway med OpenVPN og Entra ID-autentisering. Det betyr:

💡 Eksempel fra virkeligheten
NTNU bruker akkurat dette opplegget for sitt VPN. Kobler du til NTNU VPN, tunneleres trafikken til NTNUs nettverk og du når interne tjenester. P2S VPN Gateway i Azure gjør akkurat det samme, men for Azure-nettverket.
🧠 Sjekk forståelsen · flervalg
Hva er en Point-to-Site VPN Gateway i Azure, og hvem er den primært beregnet for?
Riktig! 🎯 P2S = enkelt brukere (hjemmekontor, reisende ansatte) kobler sikkert til Azure VNet. S2S = hele lokasjoner kobles sammen.
A beskriver Site-to-Site (S2S). C beskriver Firewall/NSG. D beskriver VNet Peering. Svar B.
§ 06 — AKS og ACR

AKS og ACR – containerbasert drift

Dette er lav-til-medium prioritet, men eksamen kan spørre om overordnet forståelse. Du trenger ikke detaljer – bare konseptene.

⎈ AKS

  • Azure Kubernetes Service
  • Administrert Kubernetes – Azure håndterer master-noden
  • Kjører containere i skyen
  • Skalerer automatisk etter last
  • Brukes til mikrotjenester og moderniserte applikasjoner

📦 ACR

  • Azure Container Registry
  • Privat lager for container-images (Docker)
  • AKS henter images fra ACR
  • Kontroller hvem som kan laste opp/ned images
  • Tilsvarende som DockerHub, men privat

Sammenhengen mellom AKS og VNet

AKS kan kobles til ditt eksisterende VNet, slik at containere kommuniserer sikkert med andre interne tjenester. En intern load balancer i AKS-clusteret eksponerer tjenester kun innenfor VNet – ikke mot internett. Du når disse tjenestene via VPN Gateway-tilkobling, akkurat som NTNU-eksempelet fra forrige seksjon.

⚡ Interaktiv øvelse · AKS og ACR match pairs
Match konseptet til riktig tjeneste
0 / 4 matchet
Konsept
Privat lager for Docker-images
Administrert Kubernetes-plattform
Tilsvarende DockerHub men privat i bedriften
Kjøring og skalering av containerbaserte applikasjoner
Tjeneste
AKS (Azure Kubernetes Service)
ACR (Azure Container Registry)
AKS (Azure Kubernetes Service)
ACR (Azure Container Registry)
Spot on! 🎓 ACR = opplager for images. AKS = kjøresystem for images. Flyten: developer pusher image til ACR → AKS henter fra ACR og kjører det.
🔥 § 07 — Final boss – SISTE!

Mixed challenge
– Azure-nettverk

Den aller siste boss-runden! Seks spørsmål på høy-prioritet nettverksstoff. Klarer du alle, er du eksamensklar. 💪

⚔️ Boss 1 av 6 · NSG-prioritet
En NSG har to regler: prioritet 100 (Allow-HTTP, port 80) og prioritet 200 (Deny-HTTP, port 80). Hva skjer med HTTP-trafikk?
Riktig! 🎯 Lavere prioritetstall = behandles FØRST. Prio 100 Allow-HTTP matches FØRST og trafikken tillates. Prio 200 Deny nås aldri for den pakken.
Husk: lavt tall = høy prioritet = behandles først. Prio 100 (Allow) vinner over prio 200 (Deny). Svar A.
⚔️ Boss 2 av 6 · Hub-Spoke
I en Hub-Spoke arkitektur: kan Spoke A kommunisere direkte med Spoke B via VNet Peering?
Riktig! 🌐 Spokes har kun peering til Hub, ikke til hverandre. Spoke A → Hub (Firewall) → Spoke B. Dette er poeng-et med topologien: all trafikk kontrolleres sentralt.
Spoke-to-spoke direktetrafikk finnes ikke i standard Hub-Spoke. Alt går via Hub. Svar B.
⚔️ Boss 3 av 6 · GatewaySubnet
Du skal opprette en VPN Gateway i Hub-VNet. Hva er en absolutt forutsetning?
Yes! 🎯 GatewaySubnet er det eneste kravet som er ikke-forhandlingsbart. Navn og plassering i VNet er obligatorisk – Azure finner ikke Gateway-subnettet ellers.
Azure er veldig spesifikk her: subnettet MÅ hete nøyaktig «GatewaySubnet». Hverken «GWSubnet» eller «VPN-Subnet» funker. Svar C.
⚔️ Boss 4 av 6 · P2S VPN
Bedriften ønsker at hjemmekontor-ansatte skal nå interne Azure-ressurser sikkert. Hvilken Azure-tjeneste brukes?
Spot on! 🎓 P2S VPN = individuelle brukere (hjemmekontor) kobler sikkert til Azure VNet med Entra ID-innlogging. Akkurat som kursets lab!
NSG filtrerer trafikk, ikke tunnelerer tilkoblinger. ExpressRoute er dedikert linje for bedrifter. Firewall kontrollerer trafikk. P2S VPN er løsningen. Svar C.
⚔️ Boss 5 av 6 · AKS
Hva løser Azure Kubernetes Service (AKS)?
Riktig! 🏆 AKS = administrert Kubernetes. Azure tar seg av master-noden. Du deployer containers, AKS skalerer og administrerer.
A beskriver ACR. B og D er feil. AKS = kjøresystem for containers (Kubernetes). Svar C.
⚔️ Boss 6 av 6 · Komplett scenario
NovaTech vil ha en Hub-Spoke-arkitektur med Prod- og Dev-spokes. Ansatte jobber hjemmefra. Hvilke komponenter trenger de minimum?
Mesterlig! 🎓 Hub-Spoke minimum: Hub-VNet med GatewaySubnet (VPN) + AzureFirewallSubnet (Firewall) + to spokes med peering til Hub. Hjemmekontor → P2S VPN → Hub → Spoke.
A mangler Hub og Firewall. B mangler VPN Gateway. D forveksler Resource Groups med VNet-er. Svar C har alle nødvendige komponenter.
💪 6/6? Du er EKSAMENSKLAR! 🎓
§ 08 — Oppsummering

Modul 6 – nøkkelpunkter + alle 6 moduler!

📋 Modul 6 – Cheat sheet

Du er i mål! 🎓

Alle seks moduler fullført. Du har nå et solid fundament i Active Directory, PowerShell-automatisering, Group Policy, NTFS/Share-rettigheter, Azure styringsstruktur og Azure-nettverk. Lykke til på eksamen!

⌂ DCST1005 ↑ Til toppen