Aracılığıyla paylaş


Çok kiracılı ve Azure Özel Bağlantı

Azure Özel Bağlantı, Azure platform hizmetleri ve Azure sanal makinelerinde barındırılan kendi uygulamalarınız için özel IP adresleme sağlar. kiracılarınızın Azure ortamlarından özel bağlantıyı etkinleştirmek için Özel Bağlantı kullanabilirsiniz. Kiracılar, sanal özel ağ geçitleri (VPN Gateway) veya ExpressRoute aracılığıyla bağlandıklarında çözüme şirket içi ortamlarından erişmek için de Özel Bağlantı kullanabilir.

Azure Özel Bağlantı, dahil olmak üzere birçok büyük SaaS sağlayıcısı tarafından kullanılırSnowflake, Confluent Cloud ve MongoDB Atlas.

Bu makalede, Azure'da barındırılan çok kiracılı bir çözüm için Özel Bağlantı nasıl yapılandırabileceğinizi gözden geçireceğiz.

Dikkat edilmesi gereken temel konular

Çakışan IP adresi alanları

Özel Bağlantı, kiracıların özel adres alanları aracılığıyla hizmete erişebildiği çok kiracılı çözümler için güçlü özellikler sağlar.

Farklı kiracılar genellikle aynı veya çakışan özel IP adresi alanlarını kullanır. Örneğin, çok kiracılı çözümünüz ip adresi alanını 10.1.0.0/16kullanabilir. A kiracısının aynı IP adresi alanına sahip kendi şirket içi ağını kullandığını ve tesadüfen B kiracısının da aynı IP adresi alanını kullandığını varsayalım. IP adresi aralıkları çakıştığı için ağlarınızı doğrudan bağlayamazsınız veya eşleyemezsiniz.

Her kiracıdan çok kiracılı çözüme bağlantıyı etkinleştirmek için Özel Bağlantı kullandığınızda, her kiracının trafiğinde otomatik olarak ağ adresi çevirisi (NAT) uygulanır. Her kiracı kendi ağlarında özel bir IP adresi kullanabilir ve trafik çok kiracılı çözüme saydam bir şekilde akar. Özel Bağlantı, kiracıların ve hizmet sağlayıcısının tümü çakışan IP adresi aralıkları kullandığında bile trafikte NAT gerçekleştirir:

her biri aynı IP adresi alanını kullanan iki kiracı ve çok kiracılı bir hizmet arasındaki bağlantıyı gösteren diyagram.

Trafik çok kiracılı çözüme ulaştığında, zaten çevrilmiştir. Bu, trafiğin çok kiracılı hizmetin kendi sanal ağ IP adresi alanından kaynaklandığını gösterir. Özel BağlantıTCP Proxy Protokolü v2 özelliği, çok kiracılı bir hizmetin isteği gönderen kiracıyı ve hatta kaynak ağdan özgün IP adresini bilmesini sağlar.

Hizmet seçimi

Özel Bağlantı kullandığınızda, gelen bağlantıya izin vermek istediğiniz hizmeti göz önünde bulundurmanız önemlidir.

Azure Özel Bağlantı hizmeti, standart yük dengeleyicinin arkasındaki sanal makinelerle birlikte kullanılır.

Özel Bağlantı diğer Azure hizmetleriyle de kullanabilirsiniz. Bu hizmetler Azure Uygulaması Hizmeti gibi uygulama barındırma platformlarını içerir. Bunlar ayrıca ağ ve API ağ geçitleri olan Azure Uygulaması Lication Gateway veya Azure API Management'ı da içerir.

Kullandığınız uygulama platformu, Özel Bağlantı yapılandırmanızın birçok yönünü ve geçerli sınırları belirler. Ayrıca, bazı hizmetler gelen trafik için Özel Bağlantı desteklemez. Özel Bağlantı desteğini anlamak için kullandığınız Azure hizmetlerinin belgelerini gözden geçirin.

Sınırlar

Çözümünüzün mimarisine göre oluşturabileceğiniz özel uç nokta sayısını dikkatle göz önünde bulundurun. Hizmet olarak platform (PaaS) uygulama platformu kullanıyorsanız, tek bir kaynağın destekleyebilecek en fazla özel uç nokta sayısına dikkat etmeniz önemlidir. Sanal makineleri çalıştırıyorsanız, standart bir yük dengeleyiciye (SLB) Özel Bağlantı hizmet örneği ekleyebilirsiniz. Bu yapılandırmada genel olarak daha fazla sayıda özel uç noktayı bağlayabilirsiniz, ancak sınırlar geçerli olmaya devam eder. Bu sınırlar, Özel Bağlantı kullanarak kaynaklarınıza kaç kiracı bağlayabileceğinizi belirleyebilir. Uç nokta ve bağlantı sayısı sınırlarını anlamak için Azure aboneliği ve hizmet sınırları, kotaları ve kısıtlamaları gözden geçirin.

Ayrıca, bazı hizmetlerin Özel Bağlantı kullanabilmesi için özel bir ağ yapılandırması gerekir. Örneğin, Azure Uygulaması Lication Gateway ile Özel Bağlantı kullanıyorsanız, Application Gateway kaynağı için standart alt ağa ek olarak ayrılmış bir alt ağ sağlamanız gerekir.

Özel Bağlantı yapılandırmanız etkinken dağıtım ve tanılama yapılandırmanız dahil olmak üzere çözümünüzü dikkatle test edin. Bazı Azure hizmetlerinde özel uç noktalar etkinleştirildiğinde genel İnternet trafiği engellenir. Bu davranış, dağıtım ve yönetim süreçlerinizi değiştirmenizi gerektirebilir.

Çözümünüzü hem İnternet'e yönelik hem de özel uç noktalar aracılığıyla kullanıma sunulacak şekilde dağıtmayı seçebilirsiniz. Örneğin, bazı kiracılarınız özel bağlantı gerektirirken, bazıları genel İnternet bağlantısına bağımlı olabilir. Genel ağ topolojinizi ve her kiracının trafiğinin izlediği yolları göz önünde bulundurun.

Çözümünüz standart yük dengeleyicinin arkasındaki sanal makineleri temel aldığı zaman, uç noktanızı Özel Bağlantı hizmeti aracılığıyla kullanıma sunun. Bu durumda, bir web uygulaması güvenlik duvarı ve uygulama yönlendirmesi büyük olasılıkla sanal makine tabanlı iş yükünüzün bir parçasıdır.

Birçok Azure PaaS hizmeti, farklı Azure abonelikleri ve Microsoft Entra kiracıları arasında bile gelen bağlantı için Özel Bağlantı destekler. Uç noktanızı kullanıma açmak için bu hizmetin Özel Bağlantı özelliklerini kullanabilirsiniz.

Azure Front Door gibi İnternet'e yönelik diğer hizmetleri kullandığınızda, gelen trafik için Özel Bağlantı destekleyip desteklemediklerini göz önünde bulundurmanız önemlidir. Aksi takdirde, trafiğinizin çözümünüz için her bir yolda nasıl aktığını göz önünde bulundurun.

Örneğin, sanal makine ölçek kümesinde çalışan İnternet'e yönelik bir uygulama oluşturduğunuzu varsayalım. Güvenlik ve trafik hızlandırma için web uygulaması güvenlik duvarı (WAF) dahil olmak üzere Azure Front Door'ı kullanır ve Front Door'un trafiğini arka uç (kaynak) hizmetinize özel bir uç nokta üzerinden gönderecek şekilde yapılandırırsınız. A Kiracısı genel uç nokta kullanarak çözümünüzle, B kiracısı ise özel uç nokta kullanarak bağlanır. Front Door gelen bağlantılar için Özel Bağlantı desteklemediğinden, B kiracısı trafiği Front Door'unuzu ve WAF'sini atlar:

Azure Front Door üzerinden ve front door'un atlandığı özel uç nokta aracılığıyla gelen istekleri gösteren diyagram.

Yalıtım modelleri

Özel Bağlantı, kiracılarınız gibi birden çok ayrı istemci tarafından tek bir uygulama katmanının kullanılabildiği senaryoları destekleyecek şekilde tasarlanmıştır. Özel Bağlantı için yalıtımı göz önünde bulundurduğunuzda, asıl sorun gereksinimlerinizi desteklemek için dağıtılması gereken kaynak sayısıdır. Özel Bağlantı için kullanabileceğiniz kiracı yalıtım modelleri, kullandığınız hizmete bağlıdır.

standart yük dengeleyicinin arkasındaki sanal makinelerle Özel Bağlantı hizmeti kullanıyorsanız, göz önünde bulundurabileceğiniz birkaç yalıtım modeli vardır.

Dikkat edilmesi gereken noktalar Paylaşılan Özel Bağlantı hizmeti ve paylaşılan yük dengeleyici Ayrılmış Özel Bağlantı hizmeti ve ayrılmış yük dengeleyici Ayrılmış Özel Bağlantı hizmeti ve paylaşılan yük dengeleyici
Dağıtım karmaşıklığı Düşük Kiracı sayısına bağlı olarak orta-yüksek Kiracı sayısına bağlı olarak orta-yüksek
operasyonel karmaşıklık Düşük Kaynak sayısına bağlı olarak orta-yüksek Kaynak sayısına bağlı olarak orta-yüksek
Dikkate alınacak sınırlar Aynı Özel Bağlantı hizmetindeki özel uç nokta sayısı Abonelik başına Özel Bağlantı hizmet sayısı Standart yük dengeleyici başına Özel Bağlantı hizmet sayısı
Örnek senaryo Paylaşılan uygulama katmanına sahip büyük çok kiracılı çözüm Her kiracı için ayrı dağıtım damgaları Çok sayıda kiracı içeren tek bir damgada paylaşılan uygulama katmanı

Her üç modelde de veri yalıtımı ve performans düzeyi çözümünüzün diğer öğelerine bağlıdır ve Özel Bağlantı hizmet dağıtımı bu faktörleri önemli ölçüde etkilemez.

Standart yük dengeleyiciye bağlı bir paylaşılan Özel Bağlantı hizmeti dağıtmayı düşünebilirsiniz. Kiracılarınızın her biri özel bir uç nokta oluşturabilir ve bunu kullanarak çözümünüzle bağlantı kurabilir.

Tek bir Özel Bağlantı hizmet örneği çok sayıda özel uç noktayı destekler. Sınırı tüketiyorsanız, tek bir yük dengeleyicide dağıtabileceğiniz Özel Bağlantı hizmet sayısıyla ilgili sınırlar da olsa, daha fazla Özel Bağlantı hizmet örneği dağıtabilirsiniz. Bu sınırlara yaklaşabileceğinizi düşünüyorsanız Dağıtım Damga Damgaları tabanlı bir yaklaşım kullanmayı ve paylaşılan yük dengeleyicileri dağıtmayı ve hizmet örneklerini her damgaya Özel Bağlantı.

Her kiracı için ayrılmış bir Özel Bağlantı hizmeti ve ayrılmış yük dengeleyici dağıtabilirsiniz. Bu yaklaşım, kiracılarınızın katı uyumluluk gereksinimlerine sahip olması gibi her kiracı için ayrılmış bir sanal makine kümeniz olduğunda mantıklıdır.

Ayrıca, paylaşılan standart yük dengeleyici ile her kiracı için ayrılmış Özel Bağlantı hizmet örnekleri dağıtabilirsiniz. Ancak bu modelin çok fazla fayda sağlaması pek mümkün değildir. Ayrıca, tek bir standart yük dengeleyicide dağıtabileceğiniz Özel Bağlantı hizmet sayısı sınırı olduğundan, bu modelin küçük bir çok kiracılı çözümün ötesine ölçeklendirilmesi olası değildir.

Daha yaygın olarak, birden çok paylaşılan Özel Bağlantı hizmeti dağıtabilirsiniz. Bu yaklaşım, çözümünüzün tek bir paylaşılan yük dengeleyicide destekleyebilecek özel uç nokta sayısını genişletmenize olanak tanır.

Özel uç noktalara sahip Azure PaaS hizmetleri için yalıtım modelleri

Azure hizmet olarak platform (PaaS) hizmetlerini dağıttığınızda ve kiracıların bu hizmetlere özel uç noktalarla erişmesini sağlamak istediğinizde, söz konusu hizmetin özelliklerini ve kısıtlamalarını göz önünde bulundurun. Ayrıca, uygulama katmanı kaynaklarınızın belirli bir kiracıya mı ayrılmış olduğunu yoksa kiracılar arasında paylaşılıp paylaşılmadığını da göz önünde bulundurun.

Her kiracı için ayrılmış bir uygulama katmanı kaynakları kümesi dağıtırsanız, bu kiracının kaynaklarına erişmek için kullanması için bir özel uç nokta dağıtabilirsiniz. Her kiracının kendilerine ayrılmış kendi kaynakları olduğundan, Özel Bağlantı ilgili hizmet sınırlarını tüketme olasılığınız düşüktür.

Uygulama katmanı kaynaklarını kiracılar arasında paylaştığınızda, her kiracı için özel bir uç nokta dağıtmayı düşünebilirsiniz. Tek bir kaynağa ekleyebileceğiniz özel uç nokta sayısıyla ilgili sınırlar vardır ve bu sınırlar her hizmet için farklıdır.

Özel Bağlantı, çok kiracılı bir ortamda yararlı olan çeşitli özelliklere sahiptir. Ancak, kullanabileceğiniz belirli özellikler kullandığınız hizmete bağlıdır. Sanal makineler ve yük dengeleyiciler için temel Azure Özel Bağlantı hizmeti, aşağıda açıklanan tüm özellikleri destekler. Özel Bağlantı desteği olan diğer hizmetler bu özelliklerin yalnızca bir alt kümesini sağlayabilir.

Hizmet diğer adları

Kiracı Özel Bağlantı kullanarak hizmetinize erişimi yapılandırdığında, Azure'ın bağlantıyı kurabilmesi için hizmetinizi tanımlayabilmesi gerekir.

Özel Bağlantı hizmeti ve Özel Bağlantı uyumlu bazı Azure hizmetleri, kiracılarınıza sağladığınız bir diğer adı yapılandırmanıza olanak tanır. Diğer ad kullanarak Azure abonelik kimliklerinizi ve kaynak grubu adlarını açıklamaktan kaçınabilirsiniz.

Hizmet görünürlüğü

Özel Bağlantı hizmeti, özel uç noktanızın görünürlüğünü denetlemenizi sağlar. Diğer adını veya kaynak kimliğini biliyorlarsa tüm Azure müşterilerinin hizmetinize bağlanmasına izin vekleyebilirsiniz. Alternatif olarak, erişimi yalnızca bilinen azure müşterileri kümesiyle kısıtlayabilirsiniz.

Ayrıca, özel uç noktanıza bağlanabilecek önceden onaylanmış bir Azure aboneliği kimlikleri kümesi de belirtebilirsiniz. Bu yaklaşımı kullanmayı seçerseniz abonelik kimliklerini nasıl toplayıp yetkilendirilebileceğinizi göz önünde bulundurun. Örneğin, kiracının abonelik kimliğini toplamak için uygulamanızda bir yönetim kullanıcı arabirimi sağlayabilirsiniz. Ardından, Özel Bağlantı hizmet örneğinizi dinamik olarak yeniden yapılandırarak bu abonelik kimliğini bağlantılar için önceden onaylayabilirsiniz.

Bağlantı onayları

İstemci (kiracı gibi) ile özel uç nokta arasında bağlantı istendikten sonra, Özel Bağlantı bağlantının onaylanmasını gerektirir. Bağlantı onaylanana kadar trafik özel uç nokta bağlantısı üzerinden akamaz.

Özel Bağlantı hizmeti aşağıdakiler dahil olmak üzere çeşitli onay akışlarını destekler:

  • Ekibinizin her bağlantıyı açıkça onayladığı el ile onay. Hizmetinizi Özel Bağlantı aracılığıyla kullanan yalnızca birkaç kiracınız olduğunda bu yaklaşım uygulanabilir.
  • api tabanlı onay; burada Özel Bağlantı hizmeti bağlantıyı el ile onay gerekli olarak kabul eder ve uygulamanız bağlantıyı onaylamak için Özel Uç Nokta Bağlantısını Güncelleştir API'sini, Azure CLI'yı veya Azure PowerShell'i kullanır. Bu yaklaşım, özel uç noktaları kullanma yetkisine sahip kiracıların bir listesine sahip olduğunuzda yararlı olabilir.
  • Otomatik onay, Özel Bağlantı hizmetinin kendi bağlantılarının otomatik olarak onaylanması gereken abonelik kimliklerinin listesini koruduğu yerdir.

Daha fazla bilgi için bkz . Hizmet erişimini denetleme.

Proxy Protokolü v2

Özel Bağlantı hizmetini kullandığınızda, varsayılan olarak uygulamanızın yalnızca ağ adresi çevirisi (NAT) aracılığıyla bir IP adresi görünürlüğü vardır. Bu davranış, trafiğin kendi sanal ağınızdan aktığını gösterir.

Özel Bağlantı, kiracının sanal ağında özgün istemci IP adresine erişmenizi sağlar. Bu özellik TCP Proxy Protokolü v2'yi kullanır.

Örneğin, kiracılarınızın yöneticilerinin hizmete 10.0.0.10 ana bilgisayarının erişebildiği ancak 10.0.0.20 ana bilgisayarının erişememesi gibi IP adresi tabanlı erişim kısıtlamaları eklemesi gerektiğini varsayalım. Proxy Protokolü v2'yi kullandığınızda, kiracılarınızın uygulamanızda bu tür erişim kısıtlamalarını yapılandırmasına olanak sağlayabilirsiniz. Ancak, uygulama kodunuzun istemcinin özgün IP adresini incelemesi ve kısıtlamaları zorlaması gerekir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

Diğer katkıda bulunan:

  • Sumeet Mittal | Sorumlu Ürün Yöneticisi, Azure Özel Bağlantı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

Çok kiracılılık için ağ yaklaşımlarını gözden geçirin.