Çok kiracılı ve Azure Özel Bağlantı
Azure Özel Bağlantı, Azure platform hizmetleri ve Azure sanal makinelerinde barındırılan kendi uygulamalarınız için özel IP adresleme sağlar. kiracılarınızın Azure ortamlarından özel bağlantıyı etkinleştirmek için Özel Bağlantı kullanabilirsiniz. Kiracılar, sanal özel ağ geçitleri (VPN Gateway) veya ExpressRoute aracılığıyla bağlandıklarında çözüme şirket içi ortamlarından erişmek için de Özel Bağlantı kullanabilir.
Azure Özel Bağlantı, dahil olmak üzere birçok büyük SaaS sağlayıcısı tarafından kullanılırSnowflake, Confluent Cloud ve MongoDB Atlas.
Bu makalede, Azure'da barındırılan çok kiracılı bir çözüm için Özel Bağlantı nasıl yapılandırabileceğinizi gözden geçireceğiz.
Dikkat edilmesi gereken temel konular
Çakışan IP adresi alanları
Özel Bağlantı, kiracıların özel adres alanları aracılığıyla hizmete erişebildiği çok kiracılı çözümler için güçlü özellikler sağlar.
Farklı kiracılar genellikle aynı veya çakışan özel IP adresi alanlarını kullanır. Örneğin, çok kiracılı çözümünüz ip adresi alanını 10.1.0.0/16
kullanabilir. A kiracısının aynı IP adresi alanına sahip kendi şirket içi ağını kullandığını ve tesadüfen B kiracısının da aynı IP adresi alanını kullandığını varsayalım. IP adresi aralıkları çakıştığı için ağlarınızı doğrudan bağlayamazsınız veya eşleyemezsiniz.
Her kiracıdan çok kiracılı çözüme bağlantıyı etkinleştirmek için Özel Bağlantı kullandığınızda, her kiracının trafiğinde otomatik olarak ağ adresi çevirisi (NAT) uygulanır. Her kiracı kendi ağlarında özel bir IP adresi kullanabilir ve trafik çok kiracılı çözüme saydam bir şekilde akar. Özel Bağlantı, kiracıların ve hizmet sağlayıcısının tümü çakışan IP adresi aralıkları kullandığında bile trafikte NAT gerçekleştirir:
Trafik çok kiracılı çözüme ulaştığında, zaten çevrilmiştir. Bu, trafiğin çok kiracılı hizmetin kendi sanal ağ IP adresi alanından kaynaklandığını gösterir. Özel BağlantıTCP Proxy Protokolü v2 özelliği, çok kiracılı bir hizmetin isteği gönderen kiracıyı ve hatta kaynak ağdan özgün IP adresini bilmesini sağlar.
Hizmet seçimi
Özel Bağlantı kullandığınızda, gelen bağlantıya izin vermek istediğiniz hizmeti göz önünde bulundurmanız önemlidir.
Azure Özel Bağlantı hizmeti, standart yük dengeleyicinin arkasındaki sanal makinelerle birlikte kullanılır.
Özel Bağlantı diğer Azure hizmetleriyle de kullanabilirsiniz. Bu hizmetler Azure Uygulaması Hizmeti gibi uygulama barındırma platformlarını içerir. Bunlar ayrıca ağ ve API ağ geçitleri olan Azure Uygulaması Lication Gateway veya Azure API Management'ı da içerir.
Kullandığınız uygulama platformu, Özel Bağlantı yapılandırmanızın birçok yönünü ve geçerli sınırları belirler. Ayrıca, bazı hizmetler gelen trafik için Özel Bağlantı desteklemez. Özel Bağlantı desteğini anlamak için kullandığınız Azure hizmetlerinin belgelerini gözden geçirin.
Sınırlar
Çözümünüzün mimarisine göre oluşturabileceğiniz özel uç nokta sayısını dikkatle göz önünde bulundurun. Hizmet olarak platform (PaaS) uygulama platformu kullanıyorsanız, tek bir kaynağın destekleyebilecek en fazla özel uç nokta sayısına dikkat etmeniz önemlidir. Sanal makineleri çalıştırıyorsanız, standart bir yük dengeleyiciye (SLB) Özel Bağlantı hizmet örneği ekleyebilirsiniz. Bu yapılandırmada genel olarak daha fazla sayıda özel uç noktayı bağlayabilirsiniz, ancak sınırlar geçerli olmaya devam eder. Bu sınırlar, Özel Bağlantı kullanarak kaynaklarınıza kaç kiracı bağlayabileceğinizi belirleyebilir. Uç nokta ve bağlantı sayısı sınırlarını anlamak için Azure aboneliği ve hizmet sınırları, kotaları ve kısıtlamaları gözden geçirin.
Ayrıca, bazı hizmetlerin Özel Bağlantı kullanabilmesi için özel bir ağ yapılandırması gerekir. Örneğin, Azure Uygulaması Lication Gateway ile Özel Bağlantı kullanıyorsanız, Application Gateway kaynağı için standart alt ağa ek olarak ayrılmış bir alt ağ sağlamanız gerekir.
Özel Bağlantı yapılandırmanız etkinken dağıtım ve tanılama yapılandırmanız dahil olmak üzere çözümünüzü dikkatle test edin. Bazı Azure hizmetlerinde özel uç noktalar etkinleştirildiğinde genel İnternet trafiği engellenir. Bu davranış, dağıtım ve yönetim süreçlerinizi değiştirmenizi gerektirebilir.
Genel kullanıma yönelik hizmetlerle birlikte Özel Bağlantı
Çözümünüzü hem İnternet'e yönelik hem de özel uç noktalar aracılığıyla kullanıma sunulacak şekilde dağıtmayı seçebilirsiniz. Örneğin, bazı kiracılarınız özel bağlantı gerektirirken, bazıları genel İnternet bağlantısına bağımlı olabilir. Genel ağ topolojinizi ve her kiracının trafiğinin izlediği yolları göz önünde bulundurun.
Çözümünüz standart yük dengeleyicinin arkasındaki sanal makineleri temel aldığı zaman, uç noktanızı Özel Bağlantı hizmeti aracılığıyla kullanıma sunun. Bu durumda, bir web uygulaması güvenlik duvarı ve uygulama yönlendirmesi büyük olasılıkla sanal makine tabanlı iş yükünüzün bir parçasıdır.
Birçok Azure PaaS hizmeti, farklı Azure abonelikleri ve Microsoft Entra kiracıları arasında bile gelen bağlantı için Özel Bağlantı destekler. Uç noktanızı kullanıma açmak için bu hizmetin Özel Bağlantı özelliklerini kullanabilirsiniz.
Azure Front Door gibi İnternet'e yönelik diğer hizmetleri kullandığınızda, gelen trafik için Özel Bağlantı destekleyip desteklemediklerini göz önünde bulundurmanız önemlidir. Aksi takdirde, trafiğinizin çözümünüz için her bir yolda nasıl aktığını göz önünde bulundurun.
Örneğin, sanal makine ölçek kümesinde çalışan İnternet'e yönelik bir uygulama oluşturduğunuzu varsayalım. Güvenlik ve trafik hızlandırma için web uygulaması güvenlik duvarı (WAF) dahil olmak üzere Azure Front Door'ı kullanır ve Front Door'un trafiğini arka uç (kaynak) hizmetinize özel bir uç nokta üzerinden gönderecek şekilde yapılandırırsınız. A Kiracısı genel uç nokta kullanarak çözümünüzle, B kiracısı ise özel uç nokta kullanarak bağlanır. Front Door gelen bağlantılar için Özel Bağlantı desteklemediğinden, B kiracısı trafiği Front Door'unuzu ve WAF'sini atlar:
Yalıtım modelleri
Özel Bağlantı, kiracılarınız gibi birden çok ayrı istemci tarafından tek bir uygulama katmanının kullanılabildiği senaryoları destekleyecek şekilde tasarlanmıştır. Özel Bağlantı için yalıtımı göz önünde bulundurduğunuzda, asıl sorun gereksinimlerinizi desteklemek için dağıtılması gereken kaynak sayısıdır. Özel Bağlantı için kullanabileceğiniz kiracı yalıtım modelleri, kullandığınız hizmete bağlıdır.
Özel Bağlantı hizmeti için yalıtım modelleri
standart yük dengeleyicinin arkasındaki sanal makinelerle Özel Bağlantı hizmeti kullanıyorsanız, göz önünde bulundurabileceğiniz birkaç yalıtım modeli vardır.
Dikkat edilmesi gereken noktalar | Paylaşılan Özel Bağlantı hizmeti ve paylaşılan yük dengeleyici | Ayrılmış Özel Bağlantı hizmeti ve ayrılmış yük dengeleyici | Ayrılmış Özel Bağlantı hizmeti ve paylaşılan yük dengeleyici |
---|---|---|---|
Dağıtım karmaşıklığı | Düşük | Kiracı sayısına bağlı olarak orta-yüksek | Kiracı sayısına bağlı olarak orta-yüksek |
operasyonel karmaşıklık | Düşük | Kaynak sayısına bağlı olarak orta-yüksek | Kaynak sayısına bağlı olarak orta-yüksek |
Dikkate alınacak sınırlar | Aynı Özel Bağlantı hizmetindeki özel uç nokta sayısı | Abonelik başına Özel Bağlantı hizmet sayısı | Standart yük dengeleyici başına Özel Bağlantı hizmet sayısı |
Örnek senaryo | Paylaşılan uygulama katmanına sahip büyük çok kiracılı çözüm | Her kiracı için ayrı dağıtım damgaları | Çok sayıda kiracı içeren tek bir damgada paylaşılan uygulama katmanı |
Her üç modelde de veri yalıtımı ve performans düzeyi çözümünüzün diğer öğelerine bağlıdır ve Özel Bağlantı hizmet dağıtımı bu faktörleri önemli ölçüde etkilemez.
Paylaşılan Özel Bağlantı hizmeti ve paylaşılan standart yük dengeleyici
Standart yük dengeleyiciye bağlı bir paylaşılan Özel Bağlantı hizmeti dağıtmayı düşünebilirsiniz. Kiracılarınızın her biri özel bir uç nokta oluşturabilir ve bunu kullanarak çözümünüzle bağlantı kurabilir.
Tek bir Özel Bağlantı hizmet örneği çok sayıda özel uç noktayı destekler. Sınırı tüketiyorsanız, tek bir yük dengeleyicide dağıtabileceğiniz Özel Bağlantı hizmet sayısıyla ilgili sınırlar da olsa, daha fazla Özel Bağlantı hizmet örneği dağıtabilirsiniz. Bu sınırlara yaklaşabileceğinizi düşünüyorsanız Dağıtım Damga Damgaları tabanlı bir yaklaşım kullanmayı ve paylaşılan yük dengeleyicileri dağıtmayı ve hizmet örneklerini her damgaya Özel Bağlantı.
Ayrılmış Özel Bağlantı hizmeti ve kiracı başına ayrılmış standart yük dengeleyici
Her kiracı için ayrılmış bir Özel Bağlantı hizmeti ve ayrılmış yük dengeleyici dağıtabilirsiniz. Bu yaklaşım, kiracılarınızın katı uyumluluk gereksinimlerine sahip olması gibi her kiracı için ayrılmış bir sanal makine kümeniz olduğunda mantıklıdır.
Kiracı başına ayrılmış Özel Bağlantı hizmeti ve paylaşılan standart yük dengeleyici
Ayrıca, paylaşılan standart yük dengeleyici ile her kiracı için ayrılmış Özel Bağlantı hizmet örnekleri dağıtabilirsiniz. Ancak bu modelin çok fazla fayda sağlaması pek mümkün değildir. Ayrıca, tek bir standart yük dengeleyicide dağıtabileceğiniz Özel Bağlantı hizmet sayısı sınırı olduğundan, bu modelin küçük bir çok kiracılı çözümün ötesine ölçeklendirilmesi olası değildir.
Daha yaygın olarak, birden çok paylaşılan Özel Bağlantı hizmeti dağıtabilirsiniz. Bu yaklaşım, çözümünüzün tek bir paylaşılan yük dengeleyicide destekleyebilecek özel uç nokta sayısını genişletmenize olanak tanır.
Özel uç noktalara sahip Azure PaaS hizmetleri için yalıtım modelleri
Azure hizmet olarak platform (PaaS) hizmetlerini dağıttığınızda ve kiracıların bu hizmetlere özel uç noktalarla erişmesini sağlamak istediğinizde, söz konusu hizmetin özelliklerini ve kısıtlamalarını göz önünde bulundurun. Ayrıca, uygulama katmanı kaynaklarınızın belirli bir kiracıya mı ayrılmış olduğunu yoksa kiracılar arasında paylaşılıp paylaşılmadığını da göz önünde bulundurun.
Her kiracı için ayrılmış bir uygulama katmanı kaynakları kümesi dağıtırsanız, bu kiracının kaynaklarına erişmek için kullanması için bir özel uç nokta dağıtabilirsiniz. Her kiracının kendilerine ayrılmış kendi kaynakları olduğundan, Özel Bağlantı ilgili hizmet sınırlarını tüketme olasılığınız düşüktür.
Uygulama katmanı kaynaklarını kiracılar arasında paylaştığınızda, her kiracı için özel bir uç nokta dağıtmayı düşünebilirsiniz. Tek bir kaynağa ekleyebileceğiniz özel uç nokta sayısıyla ilgili sınırlar vardır ve bu sınırlar her hizmet için farklıdır.
Çok kiracılılığı destekleyen Azure Özel Bağlantı özellikleri
Özel Bağlantı, çok kiracılı bir ortamda yararlı olan çeşitli özelliklere sahiptir. Ancak, kullanabileceğiniz belirli özellikler kullandığınız hizmete bağlıdır. Sanal makineler ve yük dengeleyiciler için temel Azure Özel Bağlantı hizmeti, aşağıda açıklanan tüm özellikleri destekler. Özel Bağlantı desteği olan diğer hizmetler bu özelliklerin yalnızca bir alt kümesini sağlayabilir.
Hizmet diğer adları
Kiracı Özel Bağlantı kullanarak hizmetinize erişimi yapılandırdığında, Azure'ın bağlantıyı kurabilmesi için hizmetinizi tanımlayabilmesi gerekir.
Özel Bağlantı hizmeti ve Özel Bağlantı uyumlu bazı Azure hizmetleri, kiracılarınıza sağladığınız bir diğer adı yapılandırmanıza olanak tanır. Diğer ad kullanarak Azure abonelik kimliklerinizi ve kaynak grubu adlarını açıklamaktan kaçınabilirsiniz.
Hizmet görünürlüğü
Özel Bağlantı hizmeti, özel uç noktanızın görünürlüğünü denetlemenizi sağlar. Diğer adını veya kaynak kimliğini biliyorlarsa tüm Azure müşterilerinin hizmetinize bağlanmasına izin vekleyebilirsiniz. Alternatif olarak, erişimi yalnızca bilinen azure müşterileri kümesiyle kısıtlayabilirsiniz.
Ayrıca, özel uç noktanıza bağlanabilecek önceden onaylanmış bir Azure aboneliği kimlikleri kümesi de belirtebilirsiniz. Bu yaklaşımı kullanmayı seçerseniz abonelik kimliklerini nasıl toplayıp yetkilendirilebileceğinizi göz önünde bulundurun. Örneğin, kiracının abonelik kimliğini toplamak için uygulamanızda bir yönetim kullanıcı arabirimi sağlayabilirsiniz. Ardından, Özel Bağlantı hizmet örneğinizi dinamik olarak yeniden yapılandırarak bu abonelik kimliğini bağlantılar için önceden onaylayabilirsiniz.
Bağlantı onayları
İstemci (kiracı gibi) ile özel uç nokta arasında bağlantı istendikten sonra, Özel Bağlantı bağlantının onaylanmasını gerektirir. Bağlantı onaylanana kadar trafik özel uç nokta bağlantısı üzerinden akamaz.
Özel Bağlantı hizmeti aşağıdakiler dahil olmak üzere çeşitli onay akışlarını destekler:
- Ekibinizin her bağlantıyı açıkça onayladığı el ile onay. Hizmetinizi Özel Bağlantı aracılığıyla kullanan yalnızca birkaç kiracınız olduğunda bu yaklaşım uygulanabilir.
- api tabanlı onay; burada Özel Bağlantı hizmeti bağlantıyı el ile onay gerekli olarak kabul eder ve uygulamanız bağlantıyı onaylamak için Özel Uç Nokta Bağlantısını Güncelleştir API'sini, Azure CLI'yı veya Azure PowerShell'i kullanır. Bu yaklaşım, özel uç noktaları kullanma yetkisine sahip kiracıların bir listesine sahip olduğunuzda yararlı olabilir.
- Otomatik onay, Özel Bağlantı hizmetinin kendi bağlantılarının otomatik olarak onaylanması gereken abonelik kimliklerinin listesini koruduğu yerdir.
Daha fazla bilgi için bkz . Hizmet erişimini denetleme.
Proxy Protokolü v2
Özel Bağlantı hizmetini kullandığınızda, varsayılan olarak uygulamanızın yalnızca ağ adresi çevirisi (NAT) aracılığıyla bir IP adresi görünürlüğü vardır. Bu davranış, trafiğin kendi sanal ağınızdan aktığını gösterir.
Özel Bağlantı, kiracının sanal ağında özgün istemci IP adresine erişmenizi sağlar. Bu özellik TCP Proxy Protokolü v2'yi kullanır.
Örneğin, kiracılarınızın yöneticilerinin hizmete 10.0.0.10 ana bilgisayarının erişebildiği ancak 10.0.0.20 ana bilgisayarının erişememesi gibi IP adresi tabanlı erişim kısıtlamaları eklemesi gerektiğini varsayalım. Proxy Protokolü v2'yi kullandığınızda, kiracılarınızın uygulamanızda bu tür erişim kısıtlamalarını yapılandırmasına olanak sağlayabilirsiniz. Ancak, uygulama kodunuzun istemcinin özgün IP adresini incelemesi ve kısıtlamaları zorlaması gerekir.
İlgili kaynaklar
- Azure Özel Bağlantı Hizmet açıklaması ve sağlayıcı (SaaS ISV) ve tüketici perspektiflerinden tanıtımlar: Çok kiracılı hizmet sağlayıcılarına (SaaS ürünleri oluşturan bağımsız yazılım satıcıları gibi) olanak tanıyan Azure Özel Bağlantı hizmet özelliğine bakan bir video. Bu çözüm, tüketicilerin kendi Azure sanal ağlarından özel IP adreslerini kullanarak sağlayıcının hizmetine erişmesini sağlar.
- Azure Özel Bağlantı Hizmeti ile TCP Proxy Protokolü v2—Ayrıntılı Bakış: Azure Özel Bağlantı hizmetinin gelişmiş bir özelliği olan TCP Proxy Protokolü v2'ye ayrıntılı bir bakış sunan bir video. Çok kiracılı ve SaaS senaryolarında kullanışlıdır. Videoda, Azure Özel Bağlantı hizmetinde Proxy Protokolü v2'nin nasıl etkinleştirileceği gösterilir. Ayrıca, bir NGINX hizmetinin özel uç nokta üzerinden hizmete erişmek için NAT IP yerine özgün istemcinin kaynak özel IP adresini okuyacak şekilde nasıl yapılandırabileceğinizi de gösterir.
- Azure Özel Bağlantı hizmetinden Ara Sunucu Protokolü TLV
linkIdentifier
kodunu çözmek için NGINX Plus kullanma: Azure Özel Bağlantı hizmetinden TCP Proxy Protokolü v2 TLV'yi almak için NGINX Plus'ın nasıl kullanılacağını gösteren bir video. Videoda, özel uç nokta bağlantısının sayısallinkIdentifier
(olarak da adlandırılır)LINKID
ayıklanıp kodunu nasıl çözebileceğiniz gösterilir. Bu çözüm, bağlantının yapıldığı belirli tüketici kiracısını tanımlaması gereken çok kiracılı sağlayıcılar için kullanışlıdır. - SaaS Özel Bağlantı düzeni: Azure Yönetilen Uygulamaları kullanarak özel uç nokta bağlantılarının onayını otomatikleştirmeye yönelik bir yaklaşımı gösteren örnek bir çözüm.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazarlar:
- John Downs | Baş Yazılım Mühendisi
- Arsen Vladimirskiy | Baş Müşteri Mühendisi, Azure için FastTrack
Diğer katkıda bulunan:
- Sumeet Mittal | Sorumlu Ürün Yöneticisi, Azure Özel Bağlantı
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.