Düzenle

Aracılığıyla paylaş

Azure'da IPv4 tükenmesini önleme

Azure Firewall
Azure Virtual Network
Azure Private Link

Bu makalede, Azure'da büyük ağlar oluştururken özel adres alanı tüketiminin nasıl en aza indirilmesi açıklanır. Uygun ayırma ilkeleri oluşturulmadıysa ve Azure sanal ağlarına atamak için özel IP adresleriniz yetersizse adres alanı tüketimini en aza indirmeniz gerekebilir. Bu makalede, Azure'da doğru IP adresi yönetimi için iki yöntem srilmektedir.

Senaryo ayrıntıları

Kurumsal ağlar genellikle RFC 1918'de tanımlanan özel IPv4 adres aralıklarında bulunan adres alanlarını kullanır. Adres aralıkları 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16'dır. Şirket içi ortamlarda, bu aralıklar en büyük ağların bile gereksinimlerini karşılamak için yeterli IP adresi sağlar. Sonuç olarak, birçok kuruluş IP ayırma için basit yönlendirme yapılandırmalarını ve çevik işlemleri öncelik sırasına getiren adres yönetimi uygulamaları geliştirir. Adres alanının verimli kullanımı bir öncelik değildir.

Bulutta büyük hibrit ağların oluşturulması kolaydır ve mikro hizmetler veya kapsayıcılı hale getirme gibi bazı yaygın mimari desenler IP adresi tüketiminin artmasına neden olabilir. Bu nedenle bu adres yönetimi uygulamalarını ayarlamak önemlidir. Bulut ortamında özel IPv4 adreslerini sınırlı bir kaynak olarak değerlendirin.

Azure Sanal Ağ IP adresi aralıkları

Azure sanal ağlarınızda RFC 1918 tarafından tanımlanan adres bloklarını kullanmanızı öneririz. Bu adres blokları genel amaçlı özel ağlar içindir ve genel İnternet'te yönlendirilemez.

Diğer aralıkları kullanabilirsiniz, ancak bu aralıkları sanal ağınızda kullanmadan önce ortamınız üzerindeki olası etkileri anlamak için İnternet Atanmış Numaralar Yetkilisi (IANA) belgelerini okuyun. Aşağıdaki aralıkları kullanabilirsiniz:

  • Rfc 6598 tarafından, Azure Sanal Ağ'de özel adres alanı olarak kabul edilen taşıyıcı sınıf ağ adresi çevirisi (NAT) için tanımlanan paylaşılan adres alanı. Adres bloğu 100.64.0.0/10'dır.
  • Kuruluşunuzun sahip olmadığı genel, İnternet'e yönlendirilebilir IP adresleri. Sanal ağdaki kaynaklar genel IP adresleri üzerinden kullanıma sunulan internet uç noktalarına erişemediğinden bu uygulama önerilmez.
  • IANA tarafından tanımlanan 192.0.0.0/24, 192.0.2.0/24 gibi özel amaçlı adres blokları, 192.88.99.0/24, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24 ve 233.252.0.0/24.

Not

Sınıf E IP adresi aralığı 240.0.0.0/4, Windows tarafından bunu bir NIC'ye ataması engellenir ve Linux söz konusu olduğunda uyumluluk sorunları vardır. Bu nedenle, bir sanal ağa program aracılığıyla aralık atamak mümkün olsa da Azure sanal ağlarında kullanılması önerilmez.

Not

Önceki aralıklar, IPv4 tükenme sorunları olan kuruluşlar için uzun vadeli bir çözüm sağlamaz. Bu durumda, özel adres alanı tüketimini en aza indirmeniz gerekir.

Azure sanal ağlarında aşağıdaki IP adresi aralıklarını kullanamazsınız:

  • 224.0.0.0/4 (Çok Noktaya Yayın)
  • 255.255.255.255/32 (Yayın)
  • 127.0.0.0/8 (Geri Döngü)
  • 169.254.0.0/16 (Yerel bağlantı)
  • 168.63.129.16/32 (dahili DNS)

Azure giriş bölgesi hizalaması

Bu makaledeki öneriler, Azure giriş bölgesi mimarisini temel alan senaryolara yöneliktir. Kılavuzda şu varsayımlar yer alır:

  • Her bölgenin merkez-uç topolojisi vardır.
  • Farklı bölgelerdeki merkez-uç ağları, küresel sanal ağ eşlemesi veya aynı Azure ExpressRoute bağlantı hattına veya bağlantı hatlarına bağlantı yoluyla birbirine bağlanır.
  • Merkez-uç ağları, ExpressRoute bağlantı hatları ve siteden siteye VPN'ler ile şirket içi sitelere bağlanır.

Aşağıdaki diyagramda örnek bir mimari gösterilmektedir. Öneriler, her bölgede merkez-uç ağlarına da sahip olan Azure Sanal WAN üzerinde oluşturulan ağlar için de geçerlidir.

Bölgesel merkez-uç topolojisini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Azure giriş bölgesi mimarisini temel alan bir senaryoda, uygulamalar kendi giriş bölgelerine dağıtılır. Her giriş bölgesi, bölgesel bir merkezle eşlenmiş bir uç sanal ağı içerir. Uç sanal ağları, şirket ağının ayrılmaz bir parçasıdır ve yönlendirilebilir IPv4 adreslerine atanır. Bu adresler tüm şirket ağı genelinde benzersizdir. Bu nedenle, Azure'da dağıtılan tüm mimari bileşenler Sanal Ağ, şirket ağının tamamından ulaşılması gereken uç noktaları yalnızca birkaç bileşen kullanıma sunmasa bile şirket ağının adres alanındaki IPv4 adreslerini kullanır. Bu mimari bileşenler sanal makineler, birinci taraf veya üçüncü taraf ağ sanal gereçleri (NVA' lar) veya sanal ağ tarafından eklenen hizmet olarak platform (PaaS) hizmetleri olabilir.

Bu makalenin geri kalanında ön uç bileşeni, şirket ağının tamamından veya bileşenin giriş bölgesinin dışından erişilebilen bir uygulama bileşenini ifade eder. Arka uç bileşeni , şirket ağındaki uç noktaları kullanıma sunmayan ve yalnızca kendi giriş bölgesi içinden erişilebilir olması gereken bir uygulama bileşenine başvurur. Örneğin, uç noktayı kullanıma sunan bir web uygulaması bir ön uç bileşenidir ve uç noktayı kullanıma sunmayan bir veritabanı arka uç bileşenidir.

Aşağıdaki bölümlerde, Azure'da büyük ağlar oluştururken özel adres alanı tüketimini en aza indirmeye yönelik iki yöntem açıklanmaktadır.

Yöntem 1: Yönlendirilemez giriş bölgesi uç sanal ağları

RFC 1918 IP adresi bloklarını IPv4 32 bit adres alanından çıkarır ve bunları genel İnternet'te yönlendirilemez hale getirir, böylece iç iletişim için birden çok özel ağda yeniden kullanabilirsiniz. Bu yöntem, özel adres alanı için geçerli olan ilkeyi temel alır. Bir veya daha fazla adres aralığı, kuruluşunuz tarafından kullanılan ve kuruluşunuzun kurumsal ağı içinde yönlendirilemez olarak bildirilen özel adres alanının tamamında oylanır. Adres aralıkları birden çok giriş bölgesinde yeniden kullanılır. Sonuç olarak her giriş bölgesi:

  • Bir veya daha fazla adres aralığından oluşan yönlendirilebilir bir adres alanı atanır. Kuruluşunuz adres aralıklarını merkezi olarak yönetir ve bunları kurumsal ağ ile iletişim kurmak için bir giriş bölgesine benzersiz olarak atar. Yönlendirilebilir alan içindeki adresler ön uç bileşenlerine atanır.
  • Kuruluşunuzun şirket ağında yönlendirilemez olarak bildirdiği adres aralıkları olan yönlendirilemez adres alanını kullanabilir. Tüm giriş bölgelerinde iç iletişim için bu ayrılmış aralıkları kullanabilirsiniz. Yönlendirilemez alan içindeki adresler arka uç bileşenlerine atanır.

Müşteri tarafından yönetilen veya Sanal WAN dayalı bir Azure merkez-uç ağında iki veya daha fazla uç sanal ağında çakışan IP adresi alanları olamaz. Yönlendirilemez adres blokları giriş bölgesi uçlarına atanamaz. Sanal ağ eşlemesi geçişsizdir, bu nedenle giriş bölgesi uç sanal ağı, yönlendirilemez adres alanı olan ikinci düzeysanal ağıyla eşlenebilir. Aşağıdaki diyagramda giriş bölgeleri için çift sanal ağ topolojisi gösterilmektedir.

Giriş bölgeleri için çift sanal ağ topolojisini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Her uygulama giriş bölgesi iki eşlenmiş sanal ağ içerir. Bir sanal ağ yönlendirilebilir IP adreslerine sahiptir ve ön uç bileşenlerini barındırıyor. Diğer sanal ağda yönlendirilemez IP adresleri vardır ve arka uç bileşenleri barındırılır. Bölgesel merkez ile yönlendirilebilir giriş bölgesi uç eşleri. Yönlendirilebilir giriş bölgesi uçları ile yönlendirilebilir giriş bölgesi uç eşleri. Sanal ağ eşlemesi geçişsizdir, bu nedenle yönlendirilemez ön ekler bölgesel hub'a veya şirket ağının geri kalanına görünmez. Yönlendirilebilir sanal ağlar yönlendirilemez adres aralıklarını kullanamaz. Bazı kuruluşların yönlendirilebilir ağlara zaten atanmış parçalanmış adres alanı vardır. Kullanılmayan büyük adres bloklarını tanımlamak ve bunları yönlendirilemez olarak bildirmek zor olabilir. Bu durumda, RFC 1918 adres alanına dahil edilmeyen kullanılmayan adresleri göz önünde bulundurun. Önceki diyagramda, yönlendirilebilir olmayan uç sanal ağlarında RFC 6598 gibi taşıyıcı sınıf NAT adreslerine bir örnek verilmiştir.

Tek sanal ağ giriş bölgesi geçişi

Sanal ağ eşlemesi, eşlenmiş iki sanal ağ arasında tam katman 3 bağlantısı sağlar. IP üzerinden birbirleriyle iletişim kuran geleneksel tek sanal ağ giriş bölgelerine dağıtılan uygulama bileşenleri, giriş bölgesindeki yönlendirilebilir ve yönlendirilemez uç sanal ağları arasında serbestçe taşınabilir. Bu bölümde iki tipik geçiş deseni açıklanmaktadır.

Aşağıdaki uygulamalar katman 7 uygulama teslim denetleyicileri aracılığıyla kullanıma sunulur:

Katman 7 uygulama teslim denetleyicileri aracılığıyla kullanıma sunulan uygulamalar için geçiş desenini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Katman 7 uygulama teslim denetleyicileri aracılığıyla kullanıma sunulan uygulamalar, yönlendirilemez uça taşınabilir. Uygulama teslim denetleyicisi, yönlendirilebilir giriş bölgesi uçlarında bulunması gereken tek ön uç bileşenidir.

Aşağıdaki uygulamalar bir Azure yük dengeleyici aracılığıyla kullanıma sunulur:

Azure Load Balancer aracılığıyla kullanıma sunulan uygulamalar için geçiş desenini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Bir uygulama uç noktalarını azure yük dengeleyici aracılığıyla kullanıma sunarsa, yük dengeleyicinin arka uç havuzunun parçası olan işlem örnekleri aynı sanal ağda kalmalıdır. Azure yük dengeleyicileri yalnızca kendi sanal ağlarındaki arka uç örneklerini destekler.

Giden bağımlılıklar

Bir uygulamanın arka uç bileşenlerinin kurumsal ağdan erişilebilir olması veya gelen bağlantıları alması gerekmez, ancak genellikle giden bağımlılıkları vardır. Arka uç bileşenlerinin DNS çözümlemesi, Active Directory Etki Alanı Hizmetleri Etki Alanı Denetleyicileri, diğer giriş bölgeleri tarafından kullanıma sunulan uygulama uç noktalarına erişme veya günlüğe kaydetme veya yedekleme olanaklarına erişme gibi durumlarda giriş bölgeleri dışındaki uç noktalara bağlanması gerekebilir.

Not

NAT üzerinden Active Directory Etki Alanı Services (ADDS) Etki Alanı Denetleyicileri (DC) istemcisi iletişimi test edilmiştir ve desteklenir, DC'den DC'ye iletişim test edilmemiştir ve NAT üzerinden Active Directory için destek sınırlarının açıklaması bölümünde ayrıntılı olarak açıklandığı gibi desteklenmemektedir

Hizmetler yönlendirilemez uç sanal ağlarında bağlantı başlattığında, yönlendirilebilir bir IP adresinin arkasındaki bağlantılar için kaynak NAT (SNAT) uygulamanız gerekir. SNAT uygulamak için yönlendirilebilir uç sanal ağına NAT özellikli bir cihaz dağıtın. Her giriş bölgesi kendi ayrılmış NAT NVA'sını çalıştırır. Giriş bölgesinde SNAT uygulamak için iki seçenek vardır: Azure Güvenlik Duvarı veya üçüncü taraf NVA'lar. Her iki durumda da, yönlendirilemez uçtaki tüm alt ağların özel bir yol tablosuyla ilişkilendirilmesi gerekir. Aşağıdaki diyagramda gösterildiği gibi, rota tablosu trafiği giriş bölgesi dışındaki hedeflere SNAT cihazına iletir. Azure NAT Gateway, RFC 1918 alanı gibi özel IP adresi alanına yönelik trafik için SNAT'yi desteklemez.

Özel yönlendirme tablosunun trafiği SNAT cihazına nasıl ilettiğini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Azure Güvenlik Duvarı aracılığıyla SNAT uygulama

Azure Güvenlik Duvarı:

  • Yüksek kullanılabilirlik sağlar.
  • Yerel ölçeklenebilirlik ve üç farklı SKU sağlar. SNAT yoğun kaynak gerektiren bir görev değildir, bu nedenle önce temel SKU'yu göz önünde bulundurun. Yönlendirilemez adres alanından büyük hacimli giden trafik gerektiren giriş bölgeleri için standart SKU'yu kullanın.
  • Herhangi bir örneğinin özel IP adreslerinin arkasındaki trafik için SNAT gerçekleştirir. Her örnek, ayrıcalıksız tüm bağlantı noktalarını kullanabilir.

Aşağıdaki diyagramda, Azure Güvenlik Duvarı kullanarak merkez-uç ağ topolojisinde SNAT uygulamak için giriş bölgesi düzeni gösterilmektedir.

Azure Güvenlik Duvarı kullanarak SNAT uygulamasını gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Trafiği giriş bölgesinin dışındaki hedeflere Azure Güvenlik Duvarı göndermek için yönlendirilemez uçtaki tüm alt ağları özel bir rota tablosuyla ilişkilendirmeniz gerekir.

Aşağıdaki diyagramda, Azure Güvenlik Duvarı kullanarak Sanal WAN tabanlı merkez-uç ağında SNAT uygulamak için giriş bölgesi düzeni gösterilmektedir.

Azure Güvenlik Duvarı kullanarak Sanal WAN tabanlı bir ağda SNAT uygulamasını gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Trafiği giriş bölgesi dışındaki hedeflere Azure Güvenlik Duvarı göndermek için, yönlendirilemez uçtaki tüm alt ağları veya Sanal WAN bağlı olmayan uçları özel bir rota tablosuyla ilişkilendirmeniz gerekir.

Her iki düzende de, yönlendirilemez uçtaki kaynaklara giriş bölgesi dışındaki yönlendirilebilir IP adreslerine erişim sağlamak için, her giriş bölgesinin yönlendirilebilir uçlarında SNAT Gerçekleştir seçeneği her zaman olarak ayarlanmış Azure Güvenlik Duvarı dağıtmanız gerekir. Genel belgelerde, alınan tüm bağlantılarda SNAT uygulamak için Azure Güvenlik Duvarı yapılandırma yönergelerini bulabilirsiniz. Aşağıdaki ekran görüntüsünde, yönlendirilemez uç sanal ağlarındaki kaynaklar tarafından başlatılan bağlantılar için nat cihazı olarak Azure Güvenlik Duvarı kullanmak için gerekli yapılandırma gösterilmektedir.

Azure Güvenlik Duvarı Varsayılan SNAT Davranışı iletişim kutusunu gösteren ekran görüntüsü. SNAT Gerçekleştir seçeneği için her zaman seçilidir.

Üçüncü taraf NVA'lar aracılığıyla SNAT uygulama

NAT özelliklerine sahip üçüncü taraf NVA'lar Azure Market'de kullanılabilir. Şunları sağlar:

  • Ölçeği daraltma ve ölçeği genişletme üzerinde ayrıntılı denetim.
  • NAT havuzunun ayrıntılı denetimi.
  • Kaynak veya hedef IP adresi gibi gelen bağlantının özelliklerine bağlı olarak farklı NAT adresleri kullanma gibi özel NAT ilkeleri.

Aşağıdaki önerileri gözden geçirin:

  • Yüksek kullanılabilirlik için en az iki NVA içeren kümeleri dağıtın. Gelen bağlantıları yönlendirilemez uç sanal ağından NVA'lara dağıtmak için azure yük dengeleyici kullanın. Küme giriş bölgesinden ayrılan tüm bağlantılarda SNAT uyguladığından yüksek kullanılabilirlik bağlantı noktası yük dengeleme kuralı gereklidir. Azure Standart Load Balancer yüksek kullanılabilirlik bağlantı noktası yük dengeleme kurallarını destekler.
  • Azure SDN yığını tek kollu ve çift kollu NVA'ları destekler. Yönlendirilebilir uç sanal ağlarında adres alanı tüketimini azalttığı için tek kollu NVA'lar tercih edilir.

Aşağıdaki diyagramda, üçüncü taraf NVA'ları kullanarak merkez-uç ağ topolojisinde SNAT uygulamak için giriş bölgesi düzeni gösterilmektedir.

Üçüncü taraf NVA'ları kullanarak merkez-uç ağ topolojisinde SNAT uygulamasını gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Aşağıdaki diyagramda, üçüncü taraf NVA'ları kullanarak Sanal WAN tabanlı merkez-uç ağ topolojisinde SNAT uygulamak için giriş bölgesi düzeni gösterilmektedir.

Üçüncü taraf NVA'ları kullanarak Sanal WAN tabanlı merkez-uç ağ topolojisinde SNAT uygulamasını gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Her iki üçüncü taraf NVA düzeninde de yüksek kullanılabilirlik sağlamak için azure yük dengeleyicinin arkasında birden çok örnek dağıtmanız gerekir. Azure Load Balancer Standart SKU gereklidir.

Özel Bağlantı, sanal ağınıza bağlı olmayan bir sanal ağda dağıtılan uygulamalara erişim sağlar. Sunucu tarafı veya uygulama, sanal ağda bir Özel Bağlantı hizmeti dağıtılır ve iç Azure standart SKU yük dengeleyicisinin ön uç IP adresinde kullanıma sunulan bir uygulama uç noktasıyla ilişkilendirilir. İstemci tarafı sanal ağında özel uç nokta kaynağı dağıtılır ve Özel Bağlantı hizmetiyle ilişkilendirilir. Özel uç nokta, sanal ağlarınızda uygulama uç noktasını kullanıma sunar. Özel Bağlantı, trafiği istemci tarafı ile sunucu tarafı arasında yönlendirmek için tünel ve NAT mantığı sağlar. Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Özel Bağlantı, istemci tarafı sanal ağı ile sunucu tarafı sanal ağı arasında katman 3 bağlantısı gerektirmez. İki sanal ağda çakışan IP adresi alanları olabilir. Özel Bağlantı, uygulamaların ayrılmış, yalıtılmış sanal ağlarda dağıtılmasına olanak tanır ve bunların tümü aynı yönlendirilemez adres alanını kullanır. Uygulamalar, yönlendirilebilir adres alanı kullanan şirket ağında Özel Bağlantı hizmetleri olarak kullanıma sunulur. Azure giriş bölgesi mimarisi bağlamında, sonuçta elde edilen giriş bölgesi topolojisinde aşağıdakiler yer alır:

  • Uygulamanın uç noktalarıyla ilişkili tüm uygulamayı ve Özel Bağlantı hizmetini barındıran yalıtılmış bir sanal ağ. Uygulama ekibi sanal ağ adres alanını tanımlar.
  • Özel Bağlantı hizmetiyle ilişkili özel uç noktayı barındıran yönlendirilebilir adres alanına sahip uç sanal ağ. Uç sanal ağı, bölgesel merkezle doğrudan eşlenmiştir.

Aşağıdaki diyagramda Özel Bağlantı etkin giriş bölgesi topolojisi gösterilmektedir.

Özel Bağlantı hizmetler yalıtılmış sanal ağlarda dağıtılan uygulamaları kullanıma sunarken giriş bölgesi topolojisini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Uygulamaları yalıtılmış uç sanal ağlarına dağıtırken, giden bağımlılıklar için bir Özel Bağlantı hizmeti kullanın. Yalıtılmış uç sanal ağında özel uç noktaları tanımlayın ve yönlendirilebilir sanal ağlarda bir Özel Bağlantı hizmetiyle ilişkilendirin. Aşağıdaki diyagramda kavramsal yaklaşım gösterilmektedir.

Yalıtılmış sanal ağlarda dağıtılan uygulamalar için giden bağımlılıklar için kullanılan Özel Bağlantı hizmetlerini gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Gerçek dünyada, büyük ölçekli uygulamalarda Özel Bağlantı yöntemi geçerli olmayabilir:

  • Yalıtılmış sanal ağda dağıtılan uygulamaların birden çok giden bağımlılığı varsa. Giden bağımlılıkların her biri için bir Özel Bağlantı hizmeti ve özel uç nokta dağıttığınızda, karmaşıklık ve yönetim gereksinimleri artar.
  • Giden bağımlılık yönlendirilebilir ağda Azure Load Balancer arka uç havuzunun parçası olmayan uç noktalar içeriyorsa Özel Bağlantı geçerli değildir.

Bu iki sınırlamayı aşmak için yönlendirilebilir uçta bir proxy/NAT çözümü dağıtın ve Özel Bağlantı kullanarak yalıtılmış sanal ağdan erişilebilir hale getirin.

Giden bağımlılıklar için bir Özel Bağlantı hizmeti kullanan mimariyi gösteren diyagram.Bu mimarinin PowerPoint dosyasını indirin.

Yönlendirilebilir ağda dağıtılan bir proxy/NAT çözümünü kullanıma açmak için tek bir özel uç nokta veya Özel Bağlantı hizmeti kullanın. Bağlantı noktası çevirisi ve adres çevirisi kuralları NVA'larda tanımlanır. Bu kurallar, yönlendirilebilir ağdaki birden çok bağımlılıklara erişmek için yalıtılmış sanal ağda tek bir özel uç nokta kullanılmasına izin verir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

Diğer katkıda bulunanlar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar