Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure Stack Hub'da yüksek kullanılabilirlik için bir ağ sanal gereçleri (NVA) kümesinin nasıl dağıtılacağı gösterilmektedir. NVA genellikle DMZ olarak da bilinen bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetlemek için kullanılır. Makale yalnızca giriş, yalnızca çıkış ve hem giriş hem de çıkış için örnek mimariler içerir.
Azure Stack Hub Marketplace'de farklı satıcılardan NVA'lar mevcuttur, en iyi performans için bunlardan birini kullanın.
Mimari aşağıdaki bileşenlere sahiptir.
Ağ ve yük dengeleme
Sanal ağ ve alt ağlar. Her Azure VM, alt ağlara bölünebilen bir sanal ağa dağıtılır. Her katman için ayrı bir alt ağ oluşturun.
Katman 7 Yük Dengeleyici. Application Gateway henüz Azure Stack Hub'da kullanılamadığından Azure Stack Hub Marketplace'de şu alternatifler mevcuttur: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition veya A10 vThunder ADC
Yük dengeleyiciler. Ağ trafiğini web katmanından iş katmanına ve iş katmanından SQL Server'a dağıtmak için Azure Load Balancerkullanın.
Ağ güvenlik grupları (NSG). Sanal ağ içindeki ağ trafiğini kısıtlamak için NSG'leri kullanın. Örneğin, burada gösterilen üç katmanlı mimaride veritabanı katmanı web ön ucundan gelen trafiği kabul etmez, yalnızca iş katmanından ve yönetim alt ağından gelen trafiği kabul etmez.
UDR'ler. Trafiği belirli bir yük dengeleyiciye yönlendirmek için(UDF)kullanıcı tanımlı yolları kullanın.
Bu makalede, Azure Stack Hub ağı hakkında temel bilgiler edinilmesi varsayılır.
Mimari diyagramları
NVA birçok farklı mimaride bir çevre ağına dağıtılabilir. Örneğin, aşağıdaki şekilde giriş için tek bir NVA kullanımı gösterilmektedir.
Bu mimaride NVA, tüm gelen ve giden ağ trafiğini denetleyerek ve yalnızca ağ güvenlik kurallarına uyan trafiği geçirerek güvenli bir ağ sınırı sağlar. Tüm ağ trafiğinin NVA'nın içinden geçmesi gerektiği, NVA'nın ağda tek bir hata noktası olduğu anlamına gelir. NVA başarısız olursa, ağ trafiği için başka bir yol yoktur ve tüm arka uç alt ağları kullanılamaz.
NVA'yı yüksek oranda kullanılabilir hale getirmek için bir kullanılabilirlik kümesine birden fazla NVA dağıtın.
Aşağıdaki mimarilerde, yüksek oranda kullanılabilir NVA'lar için gerekli kaynaklar ve yapılandırma açıklanmaktadır:
| Çözüm | Fayda -ları | Hususlar |
|---|---|---|
| Katman 7 NVA'larla giriş | Tüm NVA düğümleri etkindir. | Bağlantıları sonlandırabilen ve SNAT kullanabilen bir NVA gerektirir. Enterprise Network/Internet'ten ve Azure Stack Hub'dan gelen trafik için ayrı bir NVA kümesi gerektirir. Yalnızca Azure Stack Hub dışından gelen trafik için kullanılabilir. |
| Katman 7 NVAlarla çıkış | Tüm NVA düğümleri etkindir. | Bağlantıları sonlandırabilen ve kaynak ağ adresi çevirisi (SNAT) uygulayan bir NVA gerektirir. |
| Ingress-Egress, 7. katman NVA'lar ile | Tüm düğümler etkindir. Azure Stack Hub'dan kaynaklanan trafiği işleyebilir. |
Bağlantıları sonlandırabilen ve SNAT kullanabilen bir NVA gerektirir. Enterprise Network/Internet'ten ve Azure Stack Hub'dan gelen trafik için ayrı bir NVA kümesi gerektirir. |
Katman 7 NVA'larla giriş
Aşağıdaki şekilde, İnternet'e yönelik yük dengeleyicinin arkasında giriş çevre ağı uygulayan yüksek kullanılabilirlik mimarisi gösterilmektedir. Bu mimari, HTTP veya HTTPS gibi katman 7 trafiği için Azure Stack Hub iş yüklerine bağlantı sağlamak üzere tasarlanmıştır:
Bu mimarinin avantajı, tüm NVA'ların etkin olması ve biri başarısız olursa yük dengeleyicinin ağ trafiğini diğer NVA'ya yönlendirmesidir. Her iki NVA da trafiği iç yük dengeleyiciye yönlendirir, böylece bir NVA etkin olduğu sürece trafik akmaya devam eder. NVA'ların web katmanı VM'lerine yönelik SSL trafiğini sonlandırması gerekir. Kurumsal Ağ trafiği kendi ağ yollarına sahip başka bir ayrılmış NVA kümesi gerektirdiğinden, bu NVA'lar Kurumsal Ağ trafiğini işleyecek şekilde genişletilemez.
Katman 7 Ağ Sanal Aygıtları (NVA'ları) ile çıkış
Katman 7 NVA mimarisine sahip Ingress, Azure Stack Hub iş yükünden gelen istekler için bir egress çevre ağı sağlamak üzere genişletilebilir. Aşağıdaki mimari, HTTP veya HTTPS gibi katman 7 trafiği için çevre ağındaki NVA'ların yüksek kullanılabilirliğini sağlamak üzere tasarlanmıştır:
Bu mimaride, Azure Stack Hub'dan kaynaklanan tüm trafik bir iç yük dengeleyiciye yönlendirilir. Yük dengeleyici giden istekleri bir dizi NVA arasında dağıtır. Bu NVA'lar, tek tek genel IP adreslerini kullanarak trafiği İnternet'e yönlendirir.
Katman 7 Ağ Sanal Cihazları (NVA'lar) ile Giriş-Çıkış
İki giriş ve çıkış mimarisinde, giriş ve çıkış için ayrı bir çevre ağı vardı. Aşağıdaki mimaride HTTP veya HTTPS gibi katman 7 trafiği için hem giriş hem de çıkış için kullanılabilecek bir çevre ağının nasıl oluşturulacağı gösterilmektedir:
Katman 7 NVA'ları ile giriş çıkışı mimarisinde NVA'lar, 7. Katman Yük Dengeleyiciden gelen istekleri işler. NVA'lar ayrıca yük dengeleyicinin arka uç havuzundaki iş yükü VM'lerinden giden istekleri de işler. Gelen trafik bir katman 7 yük dengeleyici ile yönlendirildiğinden ve giden trafik bir SLB (Azure Stack Hub Temel Yük Dengeleyici) ile yönlendirildiğinden, NVA'lar oturum bağlılığını korumakla sorumludur. Yani, katman 7 yük dengeleyici, özgün istek sahibine doğru yanıtı iletebilmesi için gelen ve giden isteklerin eşlemesini tutar. Ancak iç yük dengeleyicinin katman 7 yük dengeleyici eşlemelerine erişimi yoktur ve NVA'lara yanıt göndermek için kendi mantığını kullanır. Yük dengeleyici, başlangıçta 7. katman yük dengeleyiciden isteği almamış olan bir NVA'ya yanıt gönderebilir. Bu durumda, doğru NVA'nın yanıtı katman 7 yük dengeleyiciye iletebilmesi için NVA'ların iletişim kurması ve yanıtı aralarında aktarması gerekir.
Not
NVA'ların gelen kaynak ağ adresi çevirisi (SNAT) gerçekleştirmesini sağlayarak asimetrik yönlendirme sorununu da çözebilirsiniz. Bu, istek sahibinin özgün kaynak IP'sini gelen akışta kullanılan NVA'nın IP adreslerinden biriyle değiştirir. Bu, yol simetrisini korurken aynı anda birden çok NVA kullanabilmenizi sağlar.
Sonraki adımlar
- Azure Stack Hub VM'leri hakkında daha fazla bilgi edinmek için bkz. Azure Stack Hub VM özellikleri.
- Azure Bulut Desenleri hakkında daha fazla bilgi edinmek için bkz. Bulut Tasarım Desenleri.