Azure ile hibrit bir Etki Alanı Adı Sistemi tasarlama

Bu başvuru mimarisi, şirket içinde ve Microsoft Azure'da barındırılan iş yüklerinin adlarını çözümlemek için karma bir Etki Alanı Adı Sistemi (DNS) çözümünün nasıl tasarlandığını gösterir. Bu mimari, şirket içinden ve genel İnternet'ten bağlanan kullanıcılar ve diğer sistemler için çalışır.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

İş akışı

Mimari aşağıdaki bileşenlerden oluşur:

• Şirket içi ağı. Şirket içi ağ, Azure ExpressRoute veya sanal özel ağ (VPN) bağlantısı üzerinden Azure'a bağlanan tek bir veri merkezini temsil eder. Bu senaryoda, aşağıdaki bileşenler şirket içi ağı oluşturur:
  • DNS sunucuları. Bu sunucular, çözümleyici/iletici olarak davranan DNS hizmeti yüklü iki sunucuyu temsil ediyor. Bu DNS sunucuları, şirket içi ağdaki tüm bilgisayarlar için DNS sunucuları olarak kullanılır. Azure'daki ve şirket içindeki tüm uç noktalar için bu sunucularda kayıtlar oluşturulmalıdır.
  • Ağ geçidi. Ağ geçidi, Azure'a bağlanmak için kullanılan bir VPN cihazını veya ExpressRoute bağlantısını temsil eder.
• Hub aboneliği. Hub aboneliği, Azure tarafından barındırılan birden çok iş yükü arasında paylaşılan bağlantı, yönetim ve ağ kaynaklarını barındırmak için kullanılan bir Azure aboneliğini temsil eder. Bu kaynaklar, kurumsal ölçekli mimaride açıklandığı gibi birden çok aboneliğe ayrılabilir.

  Dekont

  Merkez sanal ağının yerini bir sanal geniş alan ağı (WAN) hub'ı alabilir ve bu durumda DNS sunucularının farklı bir Azure sanal ağında (VNet) barındırılması gerekir. Kurumsal ölçekli mimaride bu sanal ağ, Kimlik aboneliği başlıklı kendi aboneliğinde tutulur.

  • Azure Bastion alt ağı. Merkez sanal ağındaki Azure Bastion hizmeti, bakım amacıyla merkez ve uç sanal ağlarındaki sanal makinelere (VM) uzaktan erişim sağlamak için kullanılır.
  • Özel uç nokta alt ağı. Özel uç nokta alt ağı, hub ile eşlenmemiş sanal ağlarda Azure tarafından barındırılan iş yükleri için özel uç noktaları barındırıyor. Bu tür bağlantısız sanal ağ ile IP adresleri, Azure'da ve şirket içinde kullanılan diğer IP adresleriyle çakıştırılabilir.
  • Ağ geçidi alt ağı. Ağ geçidi alt ağı, şirket içi veri merkezine yeniden bağlantı sağlamak için kullanılan Azure VPN veya ExpressRoute ağ geçidini barındırmaktadır.
  • Paylaşılan hizmetler alt ağı. Paylaşılan hizmetler alt ağı, birden çok Azure iş yükü arasında paylaşılan hizmetleri barındırıyor. Bu senaryoda bu alt ağ, DNS sunucusu olarak da kullanılan Windows veya Linux çalıştıran sanal makineleri barındırıyor. Bu DNS sunucuları, şirket içi sunucularla aynı DNS bölgelerini barındırmaktadır.
• Bağlan abonelik. Bağlı abonelik, sanal ağ ve şirket içi ağa yeniden bağlantı gerektiren iş yükleri koleksiyonunu temsil eder.
  • Sanal ağ eşlemesi. Bu bileşen, merkez sanal asına yönelik bir eşleme bağlantısıdır. Bu bağlantı, şirket içi ağdan uça ve merkez sanal ağı üzerinden geriye doğru bağlantıya olanak tanır.
  • Varsayılan alt ağ. Varsayılan alt ağ örnek bir iş yükü içerir.
    • web-vmss. Bu örnek sanal makine ölçek kümesi Azure'da şirket içi, Azure ve genel İnternet'ten erişilebilen bir iş yükü barındırmaktadır.
    • Yük dengeleyici. Yük dengeleyici , bir dizi VM'nin barındır olduğu bir iş yüküne erişim sağlar. İş yüküne Azure'dan ve şirket içi veri merkezinden erişmek için bu yük dengeleyicinin varsayılan alt ağındaki IP adresi kullanılmalıdır.
  • AppGateway alt ağı. Bu alt ağ, Azure Uygulaması lication Gateway hizmeti için gerekli alt ağdır.
    • AppGateway. Application Gateway, genel İnternet'ten kullanıcılara varsayılan alt ağdaki örnek iş yüküne erişim sağlar.
    • wkld1-pip. Bu adres, genel İnternet'ten örnek iş yüküne erişmek için kullanılan genel IP adresidir.
• Bağlantısı kesilmiş abonelik. Bağlantısı kesilmiş abonelik, şirket içi veri merkezine geri bağlantı gerektirmeyen ve özel bağlantı hizmetini kullanan iş yükleri koleksiyonunu temsil eder.
  • PLSSubnet. Özel bağlantı hizmeti alt ağı (PLSSubnet), Bağlan abonelikte barındırılan iş yüklerine bağlantı sağlayan bir veya daha fazla özel bağlantı hizmeti kaynağı içerir.
  • Varsayılan alt ağ. Varsayılan alt ağ örnek bir iş yükü içerir.
    • web-vmss. Bu örnek sanal makine ölçek kümesi Azure'da şirket içi, Azure ve genel İnternet'ten erişilebilen bir iş yükü barındırmaktadır.
    • Yük dengeleyici. Yük dengeleyici, bir dizi VM'nin barındır olduğu bir iş yüküne erişim sağlar. Bu yük dengeleyici, Azure'dan ve şirket içi veri merkezinden gelen kullanıcılara erişim sağlamak üzere özel bağlantı hizmetine bağlanır.
  • AppGateway alt ağı. Bu alt ağ, Application Gateway hizmeti için gerekli alt ağdır.
    • AppGateway. Application Gateway, genel İnternet'ten kullanıcılara varsayılan alt ağdaki örnek iş yüküne erişim sağlar.
    • wkld2-pip. Bu adres, genel İnternet'ten örnek iş yüküne erişmek için kullanılan genel IP adresidir.
  • Azure Bastion alt ağı. Bağlantısı kesilmiş sanal ağdaki Azure Bastion hizmeti, bakım amacıyla merkez ve uç sanal ağlarındaki vm'lere genel İnternet'ten uzaktan erişim sağlamak için kullanılır.

Components

• Sanal Ağ. Azure Sanal Ağ (VNet), Azure’daki özel ağınıza yönelik temel bir yapı taşıdır. Sanal ağ, Azure Sanal Makineler (VM) gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar.

• Azure Bastion. Azure Bastion, sanal makineler (VM’ler) için genel IP adresleri kullanılmaksızın daha güvenli ve sorunsuz Uzak Masaüstü Protokolü (RDP) ve Secure Shell Protokolü (SSH) erişimi sağlayan tam olarak yönetilen bir hizmettir.

• VPN Gateway. VPN Gateway, bir Azure sanal ağı ile şirket içi konum arasında şifrelenmiş trafiği genel İnternet üzerinden gönderir. Microsoft ağı üzerinden Azure sanal ağları arasında şifrelenmiş trafik göndermek için VPN Gateway'i de kullanabilirsiniz. VPN ağ geçidi belirli bir sanal ağ geçidi türüdür.

• Özel Bağlantı. Azure Özel Bağlantı, sanal ağdan hizmet olarak Azure platformuna (PaaS), müşteriye ait veya Microsoft iş ortağı hizmetlerine özel bağlantı sağlar. Ağ mimarisini basitleştirir ve Azure’daki uç noktalar arasındaki bağlantının güvenliğini sağlayarak verilerin genel internet üzerinden aktarılmasını engeller.

• Application Gateway. Azure Application Gateway, web uygulamalarınıza trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicisidir. Geleneksel yük dengeleyiciler aktarım katmanında (OSI katman 4 - TCP ve UDP) çalışır ve trafiği kaynak IP adresi ve bağlantı noktasına göre hedef bir IP adresi ve bağlantı noktasına yönlendirir.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

AD DS'yi Azure'a genişletme (isteğe bağlı)

Şirket içi veri merkeziniz ve Azure için DNS kayıtlarını barındırmak için AD DS'deki tümleşik DNS bölgelerini kullanın. Bu senaryoda iki AD DS DNS sunucusu kümesi vardır: biri şirket içi ve diğeri merkez sanal akında.

AD DS etki alanınızı Azure'a genişletmenizi öneririz. Ayrıca hub ve uç sanal ağlarını Azure'daki tüm VM'ler için merkez sanal ağındaki AD DS DNS sunucularını kullanacak şekilde yapılandırmanızı öneririz.

Bölünmüş beyin DNS'lerini yapılandırma

Azure sistemlerinin, şirket içi kullanıcıların ve İnternet kullanıcılarının nereden bağlandıklarına bağlı olarak iş yüklerine erişmesine izin vermek için bölünmüş beyin DNS'lerinin bulunduğundan emin olun.

Hem bağlı hem de bağlantısı kesilmiş iş yükleri için DNS çözümlemesi için aşağıdaki bileşenleri öneririz:

• İnternet kullanıcıları için Azure DNS bölgeleri .
• Şirket içi kullanıcılar ve Azure sistemleri için DNS sunucuları.
• Azure sanal ağları arasında çözüm için Azure özel DNS bölgeleri .

Bu bölünmüş beyin önerisini daha iyi anlamak için, wkld1.contoso.com tam etki alanı adını (FQDN) kullanacağımız İş Yükü 1'i göz önünde bulundurun.

Bu senaryoda, İnternet kullanıcılarının bu adı Application Gateway'in Wkld1-pip aracılığıyla kullanıma sunması için genel IP adresine çözümlemesi gerekir. Bu çözüm, bağlı abonelik için Azure DNS'de bir adres kaydı (A kaydı) oluşturularak gerçekleştirilir.

Şirket içi kullanıcıların, bağlı abonelikteki yük dengeleyicinin iç IP adresiyle aynı adı çözümlemesi gerekir. Bu çözüm, hub aboneliğindeki DNS sunucularında bir A kaydı oluşturularak gerçekleştirilir.

Azure sistemleri, hub aboneliğinde DNS sunucusunda bir A kaydı oluşturarak veya özel DNS bölgeleri kullanarak bağlı abonelikteki yük dengeleyicinin iç IP adresiyle aynı adı çözümleyebilir. Özel DNS bölgeleri kullanırken, özel DNS bölgesinde el ile bir A kaydı oluşturun veya otomatik kaydı etkinleştirin.

Özel bağlantı için özel DNS bölgelerini kullanma

Senaryomuzda İş Yükü 2 bağlantısı kesilmiş bir abonelikte barındırılır ve şirket içi kullanıcılar ve bağlı Azure sistemleri için bu iş yüküne erişim, merkez sanal ağındaki özel bir uç nokta üzerinden mümkündür. Ancak bu iş yükü için üçüncü bir bağlantı olasılığı vardır: İş Yükü 2 ile aynı sanal ağda yer alan Azure sistemleri.

İş Yükü 2 için DNS önerilerini daha iyi anlamak için wkld2.contoso.com FQDN'sini kullanacağız ve önerileri tek tek tartışacağız.

Bu senaryoda, İnternet kullanıcılarının bu adı Application Gateway'in Wkld2-pip aracılığıyla kullanıma sunması için genel IP adresine çözümlemesi gerekir. Bu çözüm, bağlı abonelik için Azure DNS'de bir A kaydı oluşturularak gerçekleştirilir.

Şirket içi kullanıcılar ve merkez sanal ağı ve uç sanal ağlarına bağlı Azure sistemleri, Hub sanal ağındaki özel uç noktanın iç IP adresiyle aynı adı çözümlemelidir. Bu çözüm, hub aboneliğindeki DNS sunucularında bir A kaydı oluşturularak gerçekleştirilir.

İş Yükü 2 ile aynı sanal ağda yer alan Azure sistemlerinin, bağlantısı kesilmiş abonelikteki yük dengeleyicinin IP adresine adını çözümlemesi gerekir. Bu çözüm, bu abonelikte Azure DNS'de özel bir DNS bölgesi kullanılarak gerçekleştirilir.

Farklı sanal ağlardaki Azure sistemleri, bu sanal ağları İş Yükü 2 için A kaydını barındıran özel DNS bölgesine bağlarsanız İş Yükü 2'nin IP adresini çözmeye devam edebilir.

Otomatik kaydı etkinleştirme

Bir sanal ağ bağlantısını özel dns bölgesiyle yapılandırdığınızda, isteğe bağlı olarak tüm sanal makineler için otomatik kayıt otomatik kaydını yapılandırabilirsiniz.

AD DS DNS sunucusu kullanıyorsanız, Windows VM'lerini yapılandırın, Ad DS DNS sunucularında kendi DNS kayıtlarınızı güncel tutmak için Windows bilgisayarlar için dinamik güncelleştirmeleri kullanabilir. Dinamik güncelleştirmeleri etkinleştirmenizi ve DNS sunucularını yalnızca güvenli güncelleştirmelere izin verecek şekilde yapılandırmanızı öneririz.

Linux VM'leri güvenli dinamik güncelleştirmeleri desteklemez. Şirket içi Linux bilgisayarlarda, DNS kayıtlarını AD DS DNS sunucularına kaydetmek için Dinamik Ana Bilgisayar Yapılandırma Protokolü'nü (DHCP) kullanın.

Azure'daki Linux VM'leri için otomatik bir işlem kullanın.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Ölçeklenebilirlik

• Azure bölgesi veya şirket içi veri merkezleri başına her biri en az iki DNS sunucusu kullanmayı göz önünde bulundurun.
• Bunun önceki senaryoda, şirket içi VE merkez sanal ağında DNS sunucularıyla nasıl yapıldığına dikkat edin.

Kullanılabilirlik

• DNS sunucularını yerleştirmeyi göz önünde bulundurun. Ölçeklenebilirlik konuları bölümünde açıklandığı gibi, DNS sunucuları bunlara erişmesi gereken kullanıcılara ve sistemlere yakın bir yere yerleştirilmelidir.
  • Azure bölgesi başına. Her Azure bölgesinin kendi hub sanal ağı veya vWAN hub'ı vardır. DNS sunucularınızın dağıtılması gereken yer burasıdır.
  • Şirket içi veri merkezi başına. Ayrıca, bu konumlardaki kullanıcılar ve sistemler için şirket içi veri merkezi başına bir çift DNS sunucusuna sahip olmanız gerekir.
  • Yalıtılmış (bağlantısız) iş yükleri için, bölünmüş beyin DNS kayıtlarını yönetmek üzere her abonelik için özel bir DNS bölgesi ve bir genel DNS bölgesi barındırabilirsiniz.

Yönetilebilirlik

• Hizmet olarak platform (PaaS) hizmetleri için DNS kayıtları gereksinimini göz önünde bulundurun.
• Ayrıca, özel uç nokta kullanan PaaS hizmetleri için DNS çözümlemesini de göz önünde bulundurmanız gerekir. Bunun için özel bir DNS bölgesi kullanın ve DNS sunucularında kayıt oluşturmak için DevOps işlem hattınızı kullanın.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

• DNSSEC kullanımına ihtiyacınız varsa Azure DNS'nin şu anda bunu desteklemediğini göz önünde bulundurun.
• DNSSEC doğrulaması için özel bir DNS sunucusu dağıtın ve DNSEC doğrulamasını etkinleştirin.
• Uygulama tasarımı en iyi yöntemleriyle birlikte Azure DDoS Koruması, DDoS saldırılarına karşı daha fazla savunma sağlamak için gelişmiş DDoS azaltma özellikleri sağlar. Herhangi bir çevre sanal ağında Azure DDOS Koruması'nı etkinleştirmeniz gerekir.

DevOps

• Tüm kaynakların yapılandırması için Azure Resource Manager şablonlarını birleştirerek bu mimarinin yapılandırmasını otomatikleştirin. Hem özel hem de genel DNS bölgeleri Azure CLI, PowerShell, .NET ve REST API'den tam yönetimi destekler.
• Azure'da ve şirket içinde iş yüklerini dağıtmak ve korumak için sürekli tümleştirme ve sürekli geliştirme (CI/CD) işlem hattı kullanıyorsanız, DNS kayıtlarının otomatik kaydını da yapılandırabilirsiniz.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

• Azure DNS bölgesi maliyetleri, Azure'da barındırılan DNS bölgelerinin sayısına ve alınan DNS sorgularının sayısına bağlıdır.
• Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. Azure DNS fiyatlandırma modelleri burada açıklanmıştır.
• Azure ExpressRoute için faturalama modeli, giden veri aktarımı için gigabayt başına ücretlendirilen tarifeli verilere veya tüm veri aktarımı dahil aylık ücretlendirilen sınırsız verilere dayanır.
• ExpressRoute yerine VPN kullanıyorsanız, maliyet sanal ağ geçidinin SKU'süne bağlıdır ve saat başına ücretlendirilir.

Sonraki adımlar

Bileşen teknolojileri hakkında daha fazla bilgi edinin:

• Azure DNS nedir?
• Azure Sanal Ağ nedir?
• Azure ExpressRoute nedir?
• Azure Bastion nedir?

İlgili kaynaklar

İlgili mimarileri keşfedin:

• Azure kurumsal bulut dosya paylaşımı
• Apache Cassandra ile N katmanlı uygulama
• Azure'da Çok Kiracılı SaaS
• ExpressRoute kullanarak şirket içi ağı genişletme