Azure'de merkez-uç ağ topolojisi

Azure Bastion

Azure Güvenlik Duvarı

Azure Ağ İzleyicisi

Azure Sanal Ağ

Azure VPN Gateway

Bu başvuru mimarisi, müşteri tarafından yönetilen merkez altyapısı bileşenleriyle merkez-uç ağ deseni uygular. hub ve uç olarak da bilinen merkez-uç ağ düzeni, Azure için Bulut Benimseme Çerçevesi tarafından önerilen ağ topolojisidir. Bkz. Bu topolojinin neden birçok kuruluş için en iyi uygulama olarak kabul edildiğini anlamak için Azure ağ topolojisi tanımlama.

Microsoft tarafından yönetilen bir merkez altyapı çözümü için bkz. Azure Sanal WAN ile Hub-spoke ağ topolojisi.

Architecture

Azure'da merkez-uç ağ düzenini gösteren diyagram. Azure Sanal Ağ Yöneticisi etiketli büyük bir dış çerçeve, merkezi bir merkez sanal ağı ve etrafında dört uç sanal ağı içerir. Sol tarafta, merkezin dışında, tesisler arası bir ağ iki sanal makine ve bir ağ geçidi simgesi içerir. Ortada, merkez sanal ağı üç hizmet içerir: en üstte Azure Bastion, ortada Azure Güvenlik Duvarı ve altta Azure VPN Gateway veya Azure ExpressRoute. Azure İzleyici hub'ın sağ tarafında, Hub hizmetlerine Tanılama etiketli kesikli çizgilerle bağlanmış olarak görünür. Sağ tarafta biri diğerinin üzerinde iki üretim uçlu sanal ağ görünür. Her üretim çatalı, üç sanal makine içeren bir kaynak alt ağına sahiptir. Zorlamalı Tünel etiketli kesikli çizgiler her iki üretim kolundan merkez güvenlik duvarı alanına doğru uzanır. Alt kısımda, her biri bir kaynak alt ağı ve üç sanal makine içeren iki üretim dışı uç sanal ağı vardır. Alt uçlar arasındaki noktalı oklar bunların eşlenebileceğini veya doğrudan bağlanabileceğini gösterir. Diğer noktalı oklar, merkez üzerinden bağlanan veya eşlenmiş uç sanal ağlarını gösterir. Üst kısımda, sanal ağ eşlemesi etiketli noktalı çift yönlü bir ok, hub'ı üst üretim uçlarına bağlar.

Bu mimariye ait bir Visio dosyasını indirin.

Merkez-uç kavramları

Merkez-uç ağ topolojileri genellikle aşağıdaki mimari kavramların çoğunu içerir:

• Hub sanal ağı: Hub sanal ağı paylaşılan Azure ağ hizmetlerini barındırıyor. Konuşan sanal ağlarda barındırılan iş yükleri bu hizmetlerden faydalanabilir. Merkez sanal ağı, şirket içi ağlar için merkezi bağlantı noktasıdır. Merkez, birincil çıkış noktanızı içerir ve gerektiğinde sanal ağlar arası trafik için bir uçla diğerine bağlanmanın bir yolunu sağlar.

  Merkez, bölgesel bir kaynaktır. İş yükleriniz birden çok bölgede bulunuyorsa her bölgeye bir hub yerleştirin. Hub aşağıdaki özellikleri ve seçenekleri sağlar:

  • Şirket içi ağ geçidi: Farklı ağ ortamlarına bağlanma ve tümleştirme olanağı. Bu ağ geçidi genellikle bir VPN veya Azure ExpressRoute bağlantı hattıdır.

  • Çıkış denetimi: Eşlenmiş uç sanal ağlarından kaynaklanan giden trafiğin yönetimi ve düzenlenmesi.

  • Giriş denetimi: Eşlenmiş uç sanal ağlarda bulunan uç noktalara gelen trafiğin isteğe bağlı yönetimi ve düzenlenmesi.

  • Uzaktan erişim: Konuş ağlarındaki tek tek iş yüklerine, konuş ağının kendi ağı dışındaki ağ konumlarından erişme yöntemi. Bu erişim, iş yükünün verilerini veya denetim düzlemini hedef alabilir.

  • Sanal makineler (VM'ler) için uzaktan uç erişimi: uç ağlarına dağıtılmış VM'lere Uzak Masaüstü Protokolü (RDP) ve Secure Shell Protokolü (SSH) erişimi için kuruluşlar arası bir uzaktan bağlantı çözümü.

  • Yönlendirme: Merkez ile bağlı uçlar arasındaki trafiğin yönetimi. Yönlendirme, güvenli ve verimli iletişimi destekler.

• Spoke sanal ağlar: Spoke sanal ağlar, iş yüklerini her spoke içinde ayrı ayrı yalıtarak ve yöneterek izole eder. Her iş yükü, Azure yük dengeleyiciler aracılığıyla bağlanan birden çok alt ağa sahip birden çok katman içerebilir. Farklı aboneliklerde yer alan konuşmalar, üretim ve test gibi farklı ortamları temsil edebilir. Bir iş yükü birden çok uçta yayılabilir.

  Çoğu senaryoda, her bir uç ağı aynı bölgedeki tek bir merkez ağıyla eşleşmelidir.

  Uç ağları , varsayılan giden erişim kurallarını izler. Merkez-uç ağ topolojisinin temel amacı, merkezdeki denetim mekanizmaları aracılığıyla giden İnternet trafiğini yönlendirmektir.

• Sanal ağ çapraz bağlantısı: Sanal ağ bağlantısı, yalıtılmış sanal ağlar arasındaki iletişimi kolaylaştırır. Denetim mekanizması izinleri zorlar ve ağlar arasındaki iletişimin izin verilen yönünü belirler. Hub, merkezi ağ üzerinden akacak belirli ağlar arası bağlantıları desteklemeye yönelik bir seçenek sağlar.

• DNS: Merkez-uç çözümleri genellikle, özellikle yerleşkeler arası yönlendirme ve özel uç nokta DNS kayıtları için tüm eşlenen uçların kullandığı bir Etki Alanı Adı Sistemi (DNS) çözümü sağlar.

Components

• Azure Sanal Ağ Azure'daki özel ağlar için temel yapı taşıdır. Sanal Ağ VM'ler ve şirket içi ağlar, İnternet ve birbirleri gibi Azure kaynaklar arasında güvenli iletişim sağlar.

  Bu mimaride sanal ağlar, sanal ağlar arasındaki aktarımsız ve düşük gecikme süreli bağlantılar olan Sanal Ağ peering bağlantıları kullanarak hub'a bağlanır. Eşlenmiş sanal ağlar, yönlendirici olmadan Azure omurgası üzerinden trafik alışverişi yapabilir. Merkez-uç mimarisinde sanal ağlar arasında doğrudan eşlemeyi yalnızca özel durumlarda kullanın.

• Azure Bastion, genel IP adreslerini göstermeden VM'lere RDP ve SSH erişimi sağlayan tam olarak yönetilen bir hizmettir. Bu mimaride Azure Bastion, bağlı uçlar arasında doğrudan VM erişimini desteklemek için yönetilen bir teklif olarak kullanılır.

• Azure Güvenlik Duvarı Sanal Ağ kaynaklarını koruyan yönetilen bir bulut tabanlı ağ güvenlik hizmetidir. Durum bilgisine sahip olan bu güvenlik duvarı hizmeti, yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile abonelikler ve sanal ağlar arasında uygulama ve ağ bağlantısı ilkeleri oluşturmanıza, uygulamanıza ve kaydetmenize yardımcı olur.

  Bu mimaride, Azure Güvenlik Duvarı birden çok olası rolü vardır. Güvenlik duvarı, eşlenmiş uç sanal ağlarından İnternet'e gelen trafiğin birincil çıkış noktasıdır. Güvenlik duvarı, ağ yetkisiz erişim algılama ve önleme sistemi (IDPS) kurallarını kullanarak gelen trafiği de inceleyebilir. Güvenlik duvarı, tam etki alanı adı (FQDN) trafik kurallarını desteklemek için bir DNS proxy sunucusu olarak da işlev görebilir.

• Azure VPN Gateway Azure üzerindeki bir sanal ağ ile genel İnternet üzerinden farklı ağlar arasında şifrelenmiş trafik gönderen bir sanal ağ geçididir. Microsoft ağı üzerinden diğer sanal ağlar arasında şifrelenmiş trafik göndermek için de VPN Gateway kullanabilirsiniz.

  Bu mimaride VPN Gateway uçları uzak ağa bağlayabilir. Uçlar genellikle kendi VPN ağ geçidini dağıtmaz. Hub'ın sağladığı merkezi çözümü kullanırlar. Bu bağlantıyı yönetmek için yönlendirme yapılandırması oluşturmanız gerekir.

• ExpressRoute ağ geçidi IP yollarını değiştirir ve ağ trafiğini şirket içi ağınızla Azure sanal ağınız arasında yönlendirir. Bu mimaride ExpressRoute, uçları uzak ağa bağlamak için VPN Gateway alternatif olarak hizmet verebilir. Uçlar kendi ExpressRoute ağ geçidini dağıtmaz. Hub'ın sağladığı merkezi çözümü kullanırlar. Bu bağlantıyı yönetmek için yönlendirme yapılandırması oluşturmanız gerekir.

• Azure İzleyici Azure ve şirket içi gibi şirket içi ortamlardan telemetri verilerini toplayabilir, analiz edebilir ve üzerinde işlem yapabilir. Azure İzleyici, uygulamalarınızın performansını ve kullanılabilirliğini en üst düzeye çıkarmanıza ve sorunları hızla belirlemenize yardımcı olur. Bu mimaride, Azure İzleyici, hub kaynakları ve ağ ölçümleri için günlük ve ölçüm toplama noktasıdır. Azure İzleyici uç ağlarındaki kaynaklar için günlük havuzu olarak da işlev görebilir. Her bir uç iş yükü kendi günlük yapılandırmasını belirler ve bu mimari Azure İzleyici'da uç günlük kaydı gerektirmez.

Alternatives

Bu mimari, virtualNetworkPeerings, routeTables ve subnets nin oluşturulması, yapılandırılması ve bakımı ile ilgilenir. Azure Sanal Ağ Yöneticisi Azure abonelikleri, bölgeleri ve Microsoft Entra dizinleri genelinde büyük ölçekte sanal ağları gruplandırmanıza, yapılandırmanıza, dağıtmanıza ve yönetmenize yardımcı olan bir yönetim hizmetidir.

Sanal Ağ Yöneticisi ile sanal ağlarınızı tanımlamak ve mantıksal olarak segmentlere ayırmak için network grupları tanımlayabilirsiniz. Ayrıca , sanal ağ grupları arasında el ile bağlanmış gibi iletişim sağlamak için bağlı grupları da kullanabilirsiniz. Bu yaklaşım, uygulamasını değiştirmeden istediğiniz ağ topolojisini açıklamak için bir soyutlama katmanı ekler.

Ağ yönetimi işlemlerinizi iyileştirmek için Sanal Ağ Yöneticisi kullanmanız gerekip gerekmediğini değerlendirmenizi öneririz. Sanal Ağ Yöneticisi ağınızın boyutu ve karmaşıklığı için net değer sağlayıp sağlamadığını belirlemek için hizmet maliyetini zaman tasarrufu ve operasyonel avantajlarla karşılaştırın.

Azure Sanal WAN

Bu mimari, müşteri tarafından yönetilen merkez altyapısı bileşenlerini içeren bir ağ deseni açıklar. Microsoft tarafından yönetilen merkez altyapısı çözümü için bkz. Azure Sanal WAN kullanan Hub-spoke ağ topolojisi.

Müşteri tarafından yönetilen merkez-uç yapılandırması kullanmanın avantajları şunlardır:

• Maliyet tasarrufları
• Abonelik sınırlarını aşma
• İş yükü yalıtımı
• Flexibility
  • NIC sayısı, örnek sayısı veya işlem boyutu gibi ağ sanal gereçlerinin (NVA) nasıl dağıtılacağı üzerinde daha fazla denetim
  • Sanal WAN tarafından desteklenmeyen NVA'ların kullanımı

Senaryo ayrıntıları

Bu başvuru mimarisi, merkez sanal ağının, çok sayıda uç sanal ağına merkezi bir bağlantı noktası olarak hizmet ettiği merkez-çevre ağ desenini uygular. Uç sanal ağları hub'a bağlanır ve iş yüklerini yalıtabilir. Şirket içi ağlara bağlanmak için hub'ı kullanarak şirket içi senaryoları da destekleyebilirsiniz.

Daha fazla bilgi için bkz. Merkez-uç ağ topolojisi.

Gelişmiş senaryolar

Mimariniz, bu makalede açıklanan basit merkez-uç mimarisinden farklı olabilir. Aşağıdaki listede gelişmiş senaryolara yönelik yönergeler açıklanmaktadır:

• Daha fazla bölge eklemek veya tek bir bölgedeki toplu aktarım hızını tek bir ExpressRoute ağ geçidi ve güvenlik duvarının ötesine ölçeklendirmek için çok merkez-uç topolojisi yönlendirmek ve ilkeyi Azure Güvenlik Duvarı Yöneticisi ile merkezileştirmek için Azure Güvenlik Duvarı kullanın.

• Gelişmiş uçtan uca desenlerini kullanmak için Uçtan uca ağ bağlantısını kullanın.

• Azure Güvenlik Duvarı'ı özel bir NVA ile değiştirmek amacıyla yüksek kullanılabilirlikte NVAları konumlandırın.

• Sanal ağ geçidini özel yazılım tanımlı WAN (SD-WAN) NVA ile değiştirmek için Azure hub-spoke ağ topolojileri ile SD-WAN tümleştirmesi bölümüne bakınız.

• ExpressRoute ile VPN veya SDWAN arasında geçiş sağlamak veya Azure sanal ağ geçitlerinde Sınır Ağ Geçidi Protokolü (BGP) üzerinden tanıtılan ön ekleri özelleştirmek için bkz. ExpressRoute ve Azure VPN için Route Server desteği.

• Özel çözümleyici veya DNS sunucuları eklemek için bkz. Özel çözümleyici mimarisi.

Olası kullanım örnekleri

Hub-spoke mimarisinin tipik kullanımları şunlardır:

• Paylaşılan hizmetler gerektiren çeşitli ortamlara sahip olun. Örneğin, bir iş yükünün geliştirme, test ve üretim ortamları olabilir. Paylaşılan hizmetler DNS kimlikleri, Ağ Süresi Protokolü (NTP) veya Active Directory Domain Services (AD DS) içerebilir. Paylaşılan hizmetler merkez sanal ağına yerleştirilir ve her ortam yalıtımı korumak için farklı bir uçta dağıtılır.

• Birbiriyle bağlantı gerektirmez, ancak paylaşılan hizmetlere erişim gerektirir.

• Güvenlik üzerinde merkezi denetim, merkeze yerleştirilmiş bir çevre ağı (aynı zamanda DMZ, askerden arındırılmış bölge ve ekranlı alt ağ olarak da bilinir) güvenlik duvarı ve her bir dalda/kolda ayrılmış iş yükü yönetimi gibi sistemler gerektirir.

• Belirli ortamların veya iş yüklerinin uçları arasında seçmeli bağlantı veya yalıtım gibi bağlantı üzerinde merkezi denetim gerektirir.

Recommendations

Aşağıdaki önerileri çoğu senaryoya uygulayabilirsiniz. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Kaynak grupları, abonelikler ve bölgeler

Bu örnek çözüm tek bir Azure kaynak grubu kullanır. Hub'ı ve her uçları farklı kaynak gruplarında ve aboneliklerde de uygulayabilirsiniz.

Farklı aboneliklerdeki sanal ağları eşlerken, abonelikleri aynı veya farklı Microsoft Entra kiracılarıyla ilişkilendirebilirsiniz. Bu esneklik, her iş yükünün merkezi olmayan yönetimini sağlar ve paylaşılan hizmetleri hub'da tutar. Daha fazla bilgi için bkz. Farklı aboneliklerde ve Microsoft Entra kiracıları arasında sanal ağlar arası eşleştirme oluşturma.

Azure iniş bölgeleri

Azure giriş bölgesi mimarisi merkez-uç topolojisini temel alır. Bu mimaride merkezi bir platform ekibi hub'ın paylaşılan kaynaklarını ve ağını yönetirken, bağlayıcı parçalar ise platform ekibiyle ve bağlayıcı parçalar ağını kullanan iş yükü ekibiyle ortak sahiplik modelini paylaşır. Tüm hub'lar merkezi yönetim için bir Bağlantı aboneliğinde bulunur. Birçok bireysel iş yükü aboneliği arasında, uygulama giriş bölgesi abonelikleri olarak adlandırılan merkez dışı sanal ağları bulunur.

Sanal ağ alt ağları

Aşağıdaki önerilerde, sanal ağda alt ağların nasıl yapılandır yapılacağı açıklanmaktadır.

GatewaySubnet

Sanal ağ geçidi bu alt ağı gerektirir. Ayrıca, şirket içi ağ bağlantısına ihtiyacınız yoksa ağ geçidi olmadan merkez-uç topolojisi de kullanabilirsiniz.

Ip adresi aralığı en az /26 veya daha büyük olan GatewaySubnet adlı bir ağ geçidi alt ağı oluşturun. /26 adres aralığı, ağ geçidi boyutu sınırlamalarını önlemek ve gelecekte ek ExpressRoute bağlantı hatlarını barındırmak için yeterli ölçeklenebilirlik sağlar. Ağ geçidi kurulumu hakkında daha fazla bilgi için bkz. PowerShell kullanarak ExpressRoute ve siteden siteye birlikte var olan bağlantıları yapılandırma.

AzureFirewallSubnet

En az adres aralığına sahip /26 adlı bir alt ağ oluşturun. Gelecekteki boyut sınırlamalarını kapsayacak en düşük boyut olarak öneririz /26 . Bu alt ağ, ağ güvenlik gruplarını (NSG) desteklemez.

Azure Güvenlik Duvarı bu alt ağı gerektirir. İş ortağı NVA kullanıyorsanız ağ gereksinimlerini takip edin.

Uç ağ bağlantısı

Sanal ağ eşlemesi veya bağlı gruplar, sanal ağlar arasında geçişsiz ilişkilerdir. Birbirine bağlanmak için uç sanal ağlarına ihtiyacınız varsa, bu uçlar arasına bir eşleme bağlantısı ekleyin veya bunları aynı ağ grubuna yerleştirin.

Azure Güvenlik Duvarı veya NVA aracılığıyla uç bağlantıları

Sanal ağ başına sanal ağ eşlemelerinin sayısı sınırlıdır. Birbiriyle bağlanması gereken çok sayıda ağ ucu varsa, yeterli ağ eşleştirme bağlantınız olmayabilir. Bağlı grupların da sınırlamaları vardır. Daha fazla bilgi için bkz . Ağ sınırları ve Bağlı gruplar sınırları.

Bu senaryoda, uç trafiğinin Azure Güvenlik Duvarı veya hub'da yönlendirici işlevi gören başka bir NVA'ya gönderilmesini zorlamak için kullanıcı tanımlı yolları (UDR) kullanmayı göz önünde bulundurun. Bu değişiklik sayesinde uçlar birbiriyle bağlantı kurabilir. Bu yapılandırmayı desteklemek için, zorlamalı tünel yapılandırması açıkken Azure Güvenlik Duvarı'ı uygulayın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı zorunlu tünelleme.

Bu mimari tasarımdaki topoloji çıkış akışlarını kolaylaştırır. Azure Güvenlik Duvarı öncelikle çıkış güvenliği için olsa da, bir giriş noktası da olabilir. Hub NVA giriş yönlendirmesi hakkında daha fazla bilgi için bkz. sanal ağlar için Azure Güvenlik Duvarı ve Azure Application Gateway.

Azure Güvenlik Duvarı aracılığıyla ağ adresi çevirisi

Merkezdeki Azure Güvenlik Duvarı her uç ve İnternet, şirket içi ağlar ve bu ağ üzerinden yönlendiren diğer uçlar arasında yer alır. Ağ adresi çevirilerinin iş yükü tasarımını nasıl etkileyeceğini planlayın:

• Giden akışlar, güvenlik duvarının genel IP adreslerinden birinden kaynaklanan bir çıkış noktası oluşturur. Bu, kaynak ağ adresi çevirisidir (SNAT). Azure Güvenlik Duvarı her giden akış için ekli genel IP'lerden birini kullandığından, iş ortağı izin listeleri ve denetim günlüklerinin güvenlik duvarına eklenen IP adreslerinin tamamını kapsaması gerekir. Bu kümeyi bitişik aralık olarak ifade etmek için genel IP adresi ön eki kullanın.

  Ekli genel IP adreslerinin sayısı, SNAT bağlantı noktası bütçesini ve dolayısıyla güvenlik duvarı üzerinden dışa yönelen her ağ ucu için eşzamanlı giden bağlantı tavanını da ayarlar. Yalnızca ekli genel IP'lerin sağladığının ötesine ölçeklendirmek için AzureFirewallSubnet bir Azure NAT Gateway ekleyin. NAT Gateway, güvenlik duvarının dışa giden yolu olur, aşağı akış sistemlerinin izin listesine eklemesi gereken 16 genel IP sağlar ve kullanılabilir SNAT bağlantı noktası havuzunu önemli ölçüde artırır. Dönüş trafiği hala güvenlik duvarından geri akar ve akış simetrisini korur.

• Yayımlanan iş yüklerine güvenlik duvarının genel IP adresinden erişilebilir. Güvenlik duvarının genel uç noktasından iş yükünün özel IP'sine ve bağlantı noktasına hedef IP'yi ve bağlantı noktasını yeniden yazan hedef ağ adresi çevirisi (DNAT) kuralıyla bir arka uç yayımlarsınız. Azure Güvenlik Duvarı aynı güvenlik duvarı örneğinden trafik akışının geri döndürülmesini sağlamak için DNAT ile eşleşen paketlere de SNAT uygular. Sonuç olarak arka uç, özgün istemcinin IP adresi yerine kaynak olarak güvenlik duvarı örneğinin IP adresini gözlemler.

  Uygulamanız istemcinin IP adresini gerektiriyorsa, istemci bağlantısını Azure Application Gateway veya Azure Front Door gibi ters bir proxy'de sonlandırın, X-Forwarded-For HTTP üst bilgisinde istemcinin IP adresini iletin ve arka uçta istemcinin ana bilgisayar adını gözlemlemeye devam etmesi için Orijinal HTTP ana bilgisayar adını koruyun. Güvenlik duvarının önündeki DNAT, SNAT ve ters ara sunucu etkileşimlerinin çalışan bir örneği için bkz. sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway.

Merkez ağ geçidi aracılığıyla uzak ağlara bağlantı sağlayan konuş bağlantıları

Uçları merkez ağ geçidi üzerinden uzak ağlarla iletişim kuracak şekilde yapılandırmak için sanal ağ eşlemelerini veya bağlı ağ gruplarını kullanabilirsiniz. Sanal ağ eşlemelerini kullanmak için sanal ağ Eşleme kurulumunu açın ve aşağıdaki eylemleri tamamlayın:

• Hub'daki eşleme bağlantısını Ağ geçidi aktarımına izin ver olarak yapılandırın.
• Her bir dilimdeki eş bağlantıyı Uzak sanal ağın ağ geçidini kullan olarak yapılandırın.
• tüm eşleme bağlantılarını İletilen trafiğe izin ver olarak yapılandırın.

Daha fazla bilgi için bkz. Sanal ağ eşlemesi oluşturma.

Bağlı ağ gruplarını kullanmak için:

1. Sanal Ağ Yöneticisi bir ağ grubu oluşturun ve üye sanal ağları ekleyin.
2. Merkez-uç bağlantı yapılandırması oluşturun.
3. Uç ağ grupları için Ağ geçidi olarak Hub'ı seçin.

Daha fazla bilgi için bkz. Sanal Ağ Yöneticisi kullanarak merkez-uç topolojisi oluşturma.

Uç ağ iletişimleri

Uç sanal ağları birbiriyle iki ana yolla iletişim kurabilir:

• Güvenlik duvarı ve yönlendirici gibi bir NVA üzerinden iletişim. Bu yöntem iki uç arasına bir atlama ekler.

• Uçlar arasında sanal ağ eşlemesi veya Sanal Ağ Yöneticisi ile doğrudan bağlantı kullanarak iletişim. Bu yaklaşım iki uç arasına atlama eklemez ve gecikme süresini en aza indirmek için önerilir.

Azure Özel Bağlantı tek tek kaynakları seçerek diğer sanal ağlara kullanıma açabilir. Örneğin, Özel Bağlantı kullanarak eşleme veya yönlendirme ilişkilerini oluşturmaya veya sürdürmeye gerek kalmadan iç yük dengeleyiciyi farklı bir sanal ağda kullanıma sunun.

Uç-uç ağ desenleri hakkında daha fazla bilgi için bkz. Sanal ağ bağlantısı seçenekleri ve uçlar arası iletişim.

NVA aracılığıyla iletişim

Uçlar arasında bağlantıya ihtiyacınız varsa hub'da Azure Güvenlik Duvarı veya başka bir NVA dağıtmayı göz önünde bulundurun. Ardından, trafiği bir uç bağlantısndan güvenlik duvarına veya NVA'ya iletmek için yollar oluşturun; bu, daha sonra ikinci uç bağlantısına yönlendirilebilir. Bu senaryoda, iletilen trafiği kabul etmek için eşleme bağlantılarını yapılandırmanız gerekir.

Üç büyük kesik çizgili kutunun bir satırda düzenlendiğini gösteren diyagram. Uç sanal ağı solda, merkez sanal ağı ortada ve başka bir uç sanal ağı sağdadır. Her uç sanal ağının içinde, üç sanal makine simgesi içeren Kaynak alt ağı etiketli noktalı bir kutu bulunur. Merkez sanal ağının içinde Azure Güvenlik Duvarı simgesi içeren noktalı bir kutu bulunur. Sol uç ile merkez arasında ve merkez ile sağ uç arasındaki Eşleme etiketli noktalı çift başlı oklar ağ bağlantılarını gösterir. Alttaki kesik çizgili oklar, her bir konuşmacıdan merkeze doğru yatay olarak Azure Güvenlik Duvarına ilerler, bu da her iki konuşmacıdan gelen trafiğin doğrudan iki konuşmacı arasında akmak yerine ortadaki güvenlik duvarına yönlendirildiğini gösterir. Genel düzen, iki uç ağı arasındaki iletişimin yönlendirildiği merkezi nokta olarak hub'ı vurgular.

Bu seçenek gecikme süresini ve aktarım hızını etkilese de uçlar arasındaki trafiği yönlendirmek için bir VPN ağ geçidi de kullanabilirsiniz. Daha fazla bilgi için bkz . Sanal ağ eşlemesi için VPN ağ geçidi aktarımını yapılandırma.

Hub'ın daha fazla sayıda uç için ölçeklendirildiğinden emin olmak için hub'da paylaştığınız hizmetleri değerlendirin. Örneğin, hub'ınız güvenlik duvarı hizmetleri sağlıyorsa, birden çok uç eklediğinizde güvenlik duvarı çözümünüzün bant genişliği sınırlarını göz önünde bulundurun. Bu paylaşılan hizmetlerden bazılarını ikinci bir hub düzeyine taşıyabilirsiniz.

Uç ağları arasında doğrudan iletişim

Merkez sanal ağı üzerinden trafiği yönlendirmeden uç sanal ağları arasında doğrudan bağlantı kurmak için, uçlar arasında eşleme bağlantıları oluşturabilir veya ağ grubu için doğrudan bağlantıyı açabilirsiniz. Aynı ortamın ve iş yükünün parçası olan uç sanal ağlarına eşlemeyi veya doğrudan bağlantıyı sınırlamanızı öneririz.

Sanal Ağ Yöneticisi kullandığınızda, ağ gruplarına el ile uç sanal ağları ekleyebilir veya tanımladığınız koşullara göre ağları otomatik olarak ekleyebilirsiniz.

Aşağıdaki diyagramda, uçlar arasında doğrudan bağlantı için Sanal Ağ Yöneticisi nasıl kullanılacağı gösterilmektedir.

Azure Sanal Ağ Yöneticisi etiketli büyük dikdörtgen bir çerçeveyi ve üst kısmında Ağ grubu etiketi bulunan bir diyagramı gösteren. Çerçevenin içinde soldan sağa yerleştirilmiş üç kesikli kutu vardır: uç sanal ağı, merkez sanal ağı ve başka bir uç sanal ağı. İki "spoke" kutusunun her biri, üzerinde "Kaynak alt ağı" yazılı noktalı bir iç kutu ve üç sanal makine simgesi içerir. Orta hub kutusu, Azure Güvenlik Duvarı simgesine sahip noktalı bir iç kutu içerir. Sol uç ile merkez arasındaki ve merkez ile sağ uç arasındaki noktalı çift başlı oklar Bağlı sanal ağlar olarak etiketlenir. Alt kısım boyunca, "Doğrudan bağlı sanal ağlar" olarak etiketlenmiş kesikli bir çizgi, iki uç ağı arasında uzanır ve her uçta yukarı bakan ok başları bulunur; bu, merkez bağlantılarından ayrı ve altında konumlanan doğrudan bir uçtan uca yolu gösterir.

Considerations

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke kümesi olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.

Reliability

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesine yardımcı olur. Daha fazla bilgi için bkz. Güvenilirlik için Tasarım inceleme kontrol listesi.

availability zones kullanarak bunları destekleyen hub'daki Azure hizmetleri kullanın.

Bölge başına en az bir hub kullanmanızı ve yalnızca aynı bölgedeki uçları bu merkezlere bağlamanızı öneririz. Bu yapılandırma, bölme bölgelerinin, bir bölge düğümündeki hataların ilişkisiz bölgelerde yaygın ağ yönlendirme hatalarına neden olmasını önlemesine yardımcı olur.

Daha yüksek kullanılabilirlik için ExpressRoute ve yük devretme için VPN kullanabilirsiniz. Daha fazla bilgi için bkz. ExpressRoute yük devretmeli VPN kullanarak şirket içi bir ağı Azure'a bağlama ve ExpressRoute'un dayanıklılığı için tasarımı ve mimarisi.

Azure Güvenlik Duvarı FQDN uygulama kurallarını nasıl uyguladığından dolayı, güvenlik duvarından çıkan tüm kaynakların güvenlik duvarının kendisiyle aynı DNS sağlayıcısını kullandığından emin olun. Aksi takdirde, Azure Güvenlik Duvarı, güvenlik duvarının bir FQDN'yi IP adresine çözümlemesi, trafik kaynağının aynı FQDN'nin IP çözümlemesinden farklı olduğu için geçerli trafiği engelleyebilir. FQDN'leri trafik kaynağıyla ve Azure Güvenlik Duvarı ile eşitlenmiş durumda tutmak için uç DNS çözümlemesine Azure Güvenlik Duvarı ara sunucu ekleyebilirsiniz.

Security

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlik için tasarım gözden geçirme denetim listesi.

DDoS saldırılarına karşı koruma sağlamak için herhangi bir çevre sanal ağında Azure DDoS Koruması açın. Genel IP'ye sahip tüm kaynaklar DDoS saldırısına açıktır. İş yükleriniz genel kullanıma sunulmasa bile aşağıdaki genel IP'lerin korunması gerekir:

• Azure Güvenlik Duvarı genel IP adresleri
• VPN ağ geçidi genel IP adresleri
• ExpressRoute denetim düzlemi genel IP adresi

Yetkisiz erişim riskini en aza indirmek ve katı güvenlik ilkeleri uygulamak için NSG'lerde her zaman açık deny kurallar ayarlayın.

Aktarım Katmanı Güvenliği (TLS) incelemesini, IDPS'yi ve URL filtrelemeyi açmak için Azure Güvenlik Duvarı Premium sürümünü kullanın.

Sanal Ağ Yöneticisi güvenliği

Temel bir güvenlik kuralları kümesi sağlamak için , güvenlik yöneticisi kurallarını ağ gruplarındaki sanal ağlarla ilişkilendirin. Güvenlik yöneticisi kuralları önceliklidir ve NSG kuralları öncesinde değerlendirilir. Güvenlik yöneticisi kuralları öncelik belirlemeyi, hizmet etiketlerini ve ağ katmanı (L3) ile aktarım katmanı (L4) protokollerini destekler.

Ağ grubu güvenlik kurallarında hataya neden olabilecek değişikliklerin denetimli dağıtımını kolaylaştırmak için Sanal Ağ Yöneticisi deployments kullanın.

Maliyet İyileştirme

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarına odaklanır. Daha fazla bilgi için bkz . Maliyet İyileştirme için tasarım gözden geçirme denetim listesi.

Bu mimarideki merkez ağı bileşenlerinin maliyetine ilişkin bir tahmin elde etmek için Azure fiyatlandırma hesaplayıcısındaki bu önceden yapılandırılmış tahmini kullanın. Değerleri, beklenen trafik hacimlerinize ve ek uçlarınıza uyacak şekilde ayarlayın.

Merkez-uç ağlarını dağıtırken ve yönetirken aşağıdaki maliyetle ilgili faktörleri göz önünde bulundurun. Daha fazla bilgi için bkz. Sanal ağ fiyatlandırması.

Azure Güvenlik Duvarı maliyetleri

Bu mimari hub ağında bir Azure Güvenlik Duvarı örneği dağıtır. Birden çok iş yükü tarafından kullanılan paylaşılan bir çözüm olarak Azure Güvenlik Duvarı dağıtımı kullanmak, diğer NVA'lara kıyasla bulut maliyetlerinden önemli ölçüde tasarruf edebilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı ve NVA'lar.

Dağıtılan kaynaklarınızı etkili bir şekilde kullanmak için doğru Azure Güvenlik Duvarı boyutunu seçin. İhtiyacınız olan özelliklere ve geçerli iş yükleri kümenize en uygun katmana karar verin. Kullanılabilir Azure Güvenlik Duvarı SKU'ları hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı nedir?

Doğrudan eşdüzey bağlantı

Azure Güvenlik Duvarı işleme maliyetlerini azaltmak veya ortadan kaldırmak için, doğrudan eşlemeyi veya hub'ı atlayan diğer uçlar arası iletişimi seçmeli olarak kullanın. Veritabanı eşitlemesi veya büyük dosya kopyalama işlemleri gibi uçlar arasında yüksek aktarım hızına, düşük riskli iletişime sahip iş yüklerine sahip ağlarda tasarruf önemli olabilir.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için Operasyonel Mükemmellik için Tasarım Gözden Geçirme Denetim Listesi bölümüne bakın.

Azure Bastion, Azure Güvenlik Duvarı ve şirket içi ağ geçidiniz gibi tüm hizmetler için tanılama ayarlarını etkinleştirin. Maliyetleri azaltmak için, işlemlerinizle ilgili olmayan ayarları kapatın. Azure Güvenlik Duvarı gibi kaynaklar büyük günlük hacimleri oluşturabilir ve yüksek izleme maliyetlerine neden olabilir.

Anomalileri algılamak ve ağ sorunlarını belirlemek ve gidermek için uçtan uca izleme için Bağlantı izleyicisini kullanın.

Azure Ağ İzleyicisi kullanarak ağ bileşenlerini izleyin ve sorunları giderin; ayrıca, sanal ağlarınızdaki en fazla trafiği oluşturan sistemleri göstermek için trafik analitiği kullanın. Olası performans sorunlarını belirlemek için trafik analizini kullanabilirsiniz.

ExpressRoute kullanıyorsanız Azure Trafik Toplayıcısı kullanarak ExpressRoute bağlantı hatlarınız üzerinden gönderilen ağ akışları için akış günlüklerini analiz edin. Trafik Toplayıcı, Microsoft kurumsal uç yönlendiricileri üzerinden akan trafiğe görünürlük sağlar.

HTTP veya HTTPS olmayan protokoller veya SQL Server yapılandırması sırasında, Azure Güvenlik Duvarı'da FQDN tabanlı kuralları kullanın. FQDN'lerin kullanılması, tek tek IP adresi yönetimine kıyasla yönetim yükünü azaltır.

Eşleme gereksinimlerinize göre IP adreslemini planlayın. Adres alanının şirket içi konumlar ve Azure konumlar arasında çakışmadığından emin olun.

Sanal Ağ Yöneticisi ile otomasyon

Bağlantı ve güvenlik denetimlerini merkezi olarak yönetmek için Sanal Ağ Yöneticisi kullanarak yeni merkez-uç sanal ağ topolojileri oluşturun veya mevcut topolojileri ekleyin. Merkez-uç ağ topolojilerinizi birden çok abonelik, yönetim grubu ve bölgede gelecekteki büyük ölçekli büyümeye hazırlamak için Sanal Ağ Yöneticisi kullanın.

Örnek Sanal Ağ Yöneticisi kullanım örneği senaryoları şunlardır:

• Uç sanal ağ yönetiminin iş birimleri veya uygulama ekipleri gibi gruplara demokratikleştirilmesi. Demokratikleştirme, çok sayıda sanal ağdan sanal ağa bağlantı ve ağ güvenlik kuralları gereksinimlerine neden olabilir.

• Uygulamalar için küresel çapta bir erişim sağlamak amacıyla birden çok Azure bölgesinde birden çok replika mimarisinin standartlaştırılması.

Tekdüzen bağlantı ve ağ güvenlik kuralları sağlamak için network groups kullanarak herhangi bir abonelik, yönetim grubu veya bölgedeki sanal ağları aynı Microsoft Entra kiracı altında gruplandırabilirsiniz. Dinamik veya statik üyelik atamaları aracılığıyla sanal ağları otomatik olarak veya el ile ağ gruplarına ekleyebilirsiniz.

scopes kullanarak Sanal Ağ Yöneticisi sanal ağ bulunabilirliğini tanımlayın. Kapsamlar, yönetim sorumluluklarını sanal ağ grupları arasında dağıtabilmeniz için ağ yöneticisi örneklerini esnek hale getirir.

Aynı ağ grubundaki uç sanal ağlarını birbirine bağlamak için Sanal Ağ Yöneticisi kullanarak sanal ağ eşlemesi veya direct connectivity uygulayın. Farklı bölgelerdeki konuşlanmış ağlara doğrudan ağ bağlantısını genişletmek için genel mesh seçeneğini kullanın. Aşağıdaki diyagramda bölgeler arasındaki genel ağ bağlantısı gösterilmektedir.

Solda Azure bölge 1 ve sağda Azure bölge 2 olarak adlandırılmış iki büyük kesikli dikdörtgeni yan yana gösteren diyagram. Her bölge, etrafı birkaç küçük noktalı kutuyla çevrili olan "Hub sanal ağı" etiketli merkezi bir kutu içerir; bu küçük kutular, "spoke ağlarını" temsil eder. Kısa kesikli çizgiler, her iki bölgede de yıldız benzeri merkez-uç deseni oluşturan çevresindeki uçlara kadar her merkezden gelir. Tek bir kesikli çizgi, Azure bölge 1'deki hub'ı iki bölge dikdörtgeni arasındaki boşluk boyunca Azure bölge 2'deki hub'a bağlar. İki taraf birbirini görsel olarak yansıtır: her merkez, bölgesinin merkezine yakın bir yerde bulunur, her birinin çevresinde birden çok uç vardır ve her uç kendi yerel hub'ına içe doğru bağlanır. Diyagram, iki merkez arasında tek bir doğrudan bölgeler arası bağlantıya sahip iki ayrı bölgesel merkez-uç düzenini vurgular.

Bir ağ grubu içindeki sanal ağları temel bir güvenlik yöneticisi kuralları kümesiyle ilişkilendirebilirsiniz. Ağ grubu güvenlik yöneticisi kuralları uç sanal ağ sahiplerinin temel güvenlik kurallarının üzerine yazmasını engeller, ancak kendi güvenlik kurallarını ve NSG'lerini ekleyebilirler. Merkez-uç topolojilerinde güvenlik yöneticisi kurallarının nasıl kullanılacağına ilişkin bir örnek için bkz. Güvenli merkez-uç ağı oluşturma.

Ağ gruplarının, bağlantının ve güvenlik kurallarının denetimli bir şekilde dağıtılmasını kolaylaştırmak için Sanal Ağ Yöneticisi yapılandırma dağıtımları, yapılandırma değişikliklerini merkez-uç ortamlarında güvenli bir şekilde yayınlamanıza yardımcı olur.

UDR'lerin otomatik yönetimini Sanal Ağ Yöneticisi'da kullanarak yol yapılandırmaları oluşturma ve sürdürme sürecini basitleştirebilirsiniz.

IP adreslerinin yönetimini merkezileştirmek için Sanal Ağ Yöneticisi içinde IP adres yönetimini (IPAM) kullanabilirsiniz. IPAM, şirket içi ve bulut sanal ağlarında IP adresi alanı çakışmalarını önler.

Sanal Ağ Yöneticisi kullanmaya başlamak için bkz. Sanal Ağ Yöneticisi kullanarak merkez-uç topolojisi oluşturma.

Performans Verimliliği

Performans Verimliliği, iş yükünüzün kullanıcı taleplerini verimli bir şekilde karşılayacak şekilde ölçeklendirebilmesini ifade eder. Daha fazla bilgi için bkz. Performans Verimliliğiiçin Tasarım gözden geçirme denetim listesi.

Düşük gecikme süresi gerektiren uç-uç iletişimleri için, uç-uç ağı ayarlayabilirsiniz.

Noktadan siteye veya siteden siteye bağlantı sayısı, gerekli saniye başına paket sayısı, bant genişliği gereksinimleri veya TCP akışları gibi gereksinimlerinizi karşılayan bir ağ geçidi SKU'su seçin.

SAP veya depolamaya erişim gibi gecikme süresine duyarlı akışlar için Azure Güvenlik Duvarı veya hub yönlendirmesini atlayabilirsiniz. En iyi yaklaşıma karar vermenize yardımcı olmak için Azure Güvenlik Duvarı tarafından sunulan gecikme süresini test edebilirsiniz. İki veya daha fazla ağı bağlayan virtual ağ eşleme gibi özellikleri kullanabilir veya sanal ağınızdaki özel bir uç nokta üzerinden bir hizmete bağlanmak için Özel Bağlantı kullanabilirsiniz.

IDPS gibi Azure Güvenlik Duvarı özellikleri kullanarak aktarım hızınızı azaltabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı performance.

Tek bir hub'ın aktarım hızının ötesine ölçeklendirme

Tek bir ExpressRoute sanal ağ geçidi, şirket içinden sanal ağa gelen trafiği ağ geçidi SKU'sunun toplam aktarım hızı sınırıyla sınırlar, herhangi bir tek TCP akışının aktarım hızını sınırlar ve ne kadar devre bant genişliği bağlı olursa olsun eşzamanlı akışları sınırlar.

Şirket içi ortamdan Azure’daki sanal makinelere veya özel uç noktalara yüksek bant genişlikli trafik gönderen iş yükleri için, bu yönde ağ geçidini atlamak amacıyla ExpressRoute FastPath kullanın. FastPath, ağ geçidi tavanını aşan bağlantı hattı bant genişliğini kullanmanın standart yoludur ve akış başına aktarım hızını ve eşzamanlı akış sınırlarını da hafifletir.

Merkez-uç ağlarında FastPath desteği önemli tasarım kısıtlamalarıyla birlikte gelir:

• Denetim aletlerini merkezde tutun. FastPath, Azure Güvenlik Duvarı ve iç yük dengeleyicileri yalnızca merkez sanal ağında olduklarında destekler. Eşlenmiş (uç) bir sanal ağda bulunuyorlarsa, onlara yönelik trafik ağ geçidi üzerinden geri yönlendirilir ve FastPath’i devre dışı bırakır.

• Sanal ağ eşlemesi, kullanıcı tanımlı yollar ve Özel Bağlantı üzerinden FastPath için ExpressRoute Direct gereklidir. ExpressRoute sağlayıcı devrelerinde, şirket içi ortamdan eşlenen spoke sanal ağlara giden trafik sanal ağ geçidi üzerinden yönlendirilir; bu nedenle FastPath yalnızca geçidin kendi sanal ağı için geçerlidir.

• Genel eşleme yok. Sanal ağ eşlemesi üzerinden FastPath için tüm sanal ağların aynı bölgede olması gerekir.

• IP adresi üst sınırı. FastPath, bağlantı hattı başına sabit sayıda IP programlar; aşıldığında trafik ağ geçidinden geri döner. Azure İzleyici'de FastPath rota sayısı uyarısı.

Kısıtlama FastPath'i engelliyorsa, bunun yerine yatay olarak ölçeklendirin. Her biri kendi ExpressRoute ağ geçidi, güvenlik duvarı ve bağlantı hattı bağlantılarına sahip olan birden çok hub'ı aynı bölgede dağıtın. Her hub güvenlik duvarında paylaşılan bir Firewall Policy uygulamak için Azure Güvenlik Duvarı Yöneticisi kullanın ve yönlendirme ile IP adresi planlaması aracılığıyla her spoke’un trafiğini belirli bir hub’a yönlendirin.

Bu senaryoyu dağıtın

Bu dağıtım, bir merkez sanal ağı ve iki bağlı uç içerir ve bir Azure Güvenlik Duvarı örneği ile Azure Bastion konağı dağıtır. İsteğe bağlı olarak, dağıtım ilk uç ağındaki VM'leri ve bir VPN ağ geçidini içerebilir. Ağ bağlantıları oluşturmak için sanal ağ eşleştirmesi veya Sanal Ağ Yöneticisi ile bağlı gruplar arasında seçim yapabilirsiniz. Her yöntemin çeşitli dağıtım seçenekleri vardır.

• Sanal ağ eşleme ile merkez-çevre dağıtımı
• bağlı Sanal Ağ Yöneticisi grup dağıtımıyla Hub-spoke

Contributors

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazarlar:

• Jose Moreno | Çözüm Mühendisi
• Alejandra Palacios | Kıdemli Müşteri Mühendisi
• Adem Torkar | Kıdemli Müşteri Deneyimi Mühendisi

Diğer katkıda bulunanlar:

• Matthew Bratschun | Müşteri Mühendisi
• Jay Li | Kıdemli Ürün Yöneticisi
• Telmo Sampaio | Baş Hizmet Mühendisliği Yöneticisi

Gizli LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• Güvenli sanal hub nedir?
• Azure ağ topolojisi tanımlama

İlgili kaynaklar

• Sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway
• Karma VPN bağlantısı sorunlarını giderme
• Merkezden merkeze ağ iletişimi
• Azure Kubernetes Service (AKS) kümesi için Baseline mimarisi

Bu başvuru mimarisi, müşteri tarafından yönetilen merkez altyapısı bileşenleriyle merkez-uç ağ deseni uygular. hub ve uç olarak da bilinen merkez-uç ağ düzeni, Azure için Bulut Benimseme Çerçevesi tarafından önerilen ağ topolojisidir. Bkz. Bu topolojinin neden birçok kuruluş için en iyi uygulama olarak kabul edildiğini anlamak için Azure ağ topolojisi tanımlama.

Microsoft tarafından yönetilen bir merkez altyapı çözümü için bkz. Azure Sanal WAN ile Hub-spoke ağ topolojisi.

Architecture

Azure'da merkez-uç ağ düzenini gösteren diyagram. Azure Sanal Ağ Yöneticisi etiketli büyük bir dış çerçeve, merkezi bir merkez sanal ağı ve etrafında dört uç sanal ağı içerir. Sol tarafta, merkezin dışında, tesisler arası bir ağ iki sanal makine ve bir ağ geçidi simgesi içerir. Ortada, merkez sanal ağı üç hizmet içerir: en üstte Azure Bastion, ortada Azure Güvenlik Duvarı ve altta Azure VPN Gateway veya Azure ExpressRoute. Azure İzleyici hub'ın sağ tarafında, Hub hizmetlerine Tanılama etiketli kesikli çizgilerle bağlanmış olarak görünür. Sağ tarafta biri diğerinin üzerinde iki üretim uçlu sanal ağ görünür. Her üretim çatalı, üç sanal makine içeren bir kaynak alt ağına sahiptir. Zorlamalı Tünel etiketli kesikli çizgiler her iki üretim kolundan merkez güvenlik duvarı alanına doğru uzanır. Alt kısımda, her biri bir kaynak alt ağı ve üç sanal makine içeren iki üretim dışı uç sanal ağı vardır. Alt uçlar arasındaki noktalı oklar bunların eşlenebileceğini veya doğrudan bağlanabileceğini gösterir. Diğer noktalı oklar, merkez üzerinden bağlanan veya eşlenmiş uç sanal ağlarını gösterir. Üst kısımda, sanal ağ eşlemesi etiketli noktalı çift yönlü bir ok, hub'ı üst üretim uçlarına bağlar.

Bu mimariye ait bir Visio dosyasını indirin.

Merkez-uç kavramları

Merkez-uç ağ topolojileri genellikle aşağıdaki mimari kavramların çoğunu içerir:

• Hub sanal ağı: Hub sanal ağı paylaşılan Azure ağ hizmetlerini barındırıyor. Konuşan sanal ağlarda barındırılan iş yükleri bu hizmetlerden faydalanabilir. Merkez sanal ağı, şirket içi ağlar için merkezi bağlantı noktasıdır. Merkez, birincil çıkış noktanızı içerir ve gerektiğinde sanal ağlar arası trafik için bir uçla diğerine bağlanmanın bir yolunu sağlar.

  Merkez, bölgesel bir kaynaktır. İş yükleriniz birden çok bölgede bulunuyorsa her bölgeye bir hub yerleştirin. Hub aşağıdaki özellikleri ve seçenekleri sağlar:

  • Şirket içi ağ geçidi: Farklı ağ ortamlarına bağlanma ve tümleştirme olanağı. Bu ağ geçidi genellikle bir VPN veya Azure ExpressRoute bağlantı hattıdır.

  • Çıkış denetimi: Eşlenmiş uç sanal ağlarından kaynaklanan giden trafiğin yönetimi ve düzenlenmesi.

  • Giriş denetimi: Eşlenmiş uç sanal ağlarda bulunan uç noktalara gelen trafiğin isteğe bağlı yönetimi ve düzenlenmesi.

  • Uzaktan erişim: Konuş ağlarındaki tek tek iş yüklerine, konuş ağının kendi ağı dışındaki ağ konumlarından erişme yöntemi. Bu erişim, iş yükünün verilerini veya denetim düzlemini hedef alabilir.

  • Sanal makineler (VM'ler) için uzaktan uç erişimi: uç ağlarına dağıtılmış VM'lere Uzak Masaüstü Protokolü (RDP) ve Secure Shell Protokolü (SSH) erişimi için kuruluşlar arası bir uzaktan bağlantı çözümü.

  • Yönlendirme: Merkez ile bağlı uçlar arasındaki trafiğin yönetimi. Yönlendirme, güvenli ve verimli iletişimi destekler.

• Spoke sanal ağlar: Spoke sanal ağlar, iş yüklerini her spoke içinde ayrı ayrı yalıtarak ve yöneterek izole eder. Her iş yükü, Azure yük dengeleyiciler aracılığıyla bağlanan birden çok alt ağa sahip birden çok katman içerebilir. Farklı aboneliklerde yer alan konuşmalar, üretim ve test gibi farklı ortamları temsil edebilir. Bir iş yükü birden çok uçta yayılabilir.

  Çoğu senaryoda, her bir uç ağı aynı bölgedeki tek bir merkez ağıyla eşleşmelidir.

  Uç ağları , varsayılan giden erişim kurallarını izler. Merkez-uç ağ topolojisinin temel amacı, merkezdeki denetim mekanizmaları aracılığıyla giden İnternet trafiğini yönlendirmektir.

• Sanal ağ çapraz bağlantısı: Sanal ağ bağlantısı, yalıtılmış sanal ağlar arasındaki iletişimi kolaylaştırır. Denetim mekanizması izinleri zorlar ve ağlar arasındaki iletişimin izin verilen yönünü belirler. Hub, merkezi ağ üzerinden akacak belirli ağlar arası bağlantıları desteklemeye yönelik bir seçenek sağlar.

• DNS: Merkez-uç çözümleri genellikle, özellikle yerleşkeler arası yönlendirme ve özel uç nokta DNS kayıtları için tüm eşlenen uçların kullandığı bir Etki Alanı Adı Sistemi (DNS) çözümü sağlar.

Components

• Azure Sanal Ağ Azure'daki özel ağlar için temel yapı taşıdır. Sanal Ağ VM'ler ve şirket içi ağlar, İnternet ve birbirleri gibi Azure kaynaklar arasında güvenli iletişim sağlar.

  Bu mimaride sanal ağlar, sanal ağlar arasındaki aktarımsız ve düşük gecikme süreli bağlantılar olan Sanal Ağ peering bağlantıları kullanarak hub'a bağlanır. Eşlenmiş sanal ağlar, yönlendirici olmadan Azure omurgası üzerinden trafik alışverişi yapabilir. Merkez-uç mimarisinde sanal ağlar arasında doğrudan eşlemeyi yalnızca özel durumlarda kullanın.

• Azure Bastion, genel IP adreslerini göstermeden VM'lere RDP ve SSH erişimi sağlayan tam olarak yönetilen bir hizmettir. Bu mimaride Azure Bastion, bağlı uçlar arasında doğrudan VM erişimini desteklemek için yönetilen bir teklif olarak kullanılır.

• Azure Güvenlik Duvarı Sanal Ağ kaynaklarını koruyan yönetilen bir bulut tabanlı ağ güvenlik hizmetidir. Durum bilgisine sahip olan bu güvenlik duvarı hizmeti, yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile abonelikler ve sanal ağlar arasında uygulama ve ağ bağlantısı ilkeleri oluşturmanıza, uygulamanıza ve kaydetmenize yardımcı olur.

  Bu mimaride, Azure Güvenlik Duvarı birden çok olası rolü vardır. Güvenlik duvarı, eşlenmiş uç sanal ağlarından İnternet'e gelen trafiğin birincil çıkış noktasıdır. Güvenlik duvarı, ağ yetkisiz erişim algılama ve önleme sistemi (IDPS) kurallarını kullanarak gelen trafiği de inceleyebilir. Güvenlik duvarı, tam etki alanı adı (FQDN) trafik kurallarını desteklemek için bir DNS proxy sunucusu olarak da işlev görebilir.

• Azure VPN Gateway Azure üzerindeki bir sanal ağ ile genel İnternet üzerinden farklı ağlar arasında şifrelenmiş trafik gönderen bir sanal ağ geçididir. Microsoft ağı üzerinden diğer sanal ağlar arasında şifrelenmiş trafik göndermek için de VPN Gateway kullanabilirsiniz.

  Bu mimaride VPN Gateway uçları uzak ağa bağlayabilir. Uçlar genellikle kendi VPN ağ geçidini dağıtmaz. Hub'ın sağladığı merkezi çözümü kullanırlar. Bu bağlantıyı yönetmek için yönlendirme yapılandırması oluşturmanız gerekir.

• ExpressRoute ağ geçidi IP yollarını değiştirir ve ağ trafiğini şirket içi ağınızla Azure sanal ağınız arasında yönlendirir. Bu mimaride ExpressRoute, uçları uzak ağa bağlamak için VPN Gateway alternatif olarak hizmet verebilir. Uçlar kendi ExpressRoute ağ geçidini dağıtmaz. Hub'ın sağladığı merkezi çözümü kullanırlar. Bu bağlantıyı yönetmek için yönlendirme yapılandırması oluşturmanız gerekir.

• Azure İzleyici Azure ve şirket içi gibi şirket içi ortamlardan telemetri verilerini toplayabilir, analiz edebilir ve üzerinde işlem yapabilir. Azure İzleyici, uygulamalarınızın performansını ve kullanılabilirliğini en üst düzeye çıkarmanıza ve sorunları hızla belirlemenize yardımcı olur. Bu mimaride, Azure İzleyici, hub kaynakları ve ağ ölçümleri için günlük ve ölçüm toplama noktasıdır. Azure İzleyici uç ağlarındaki kaynaklar için günlük havuzu olarak da işlev görebilir. Her bir uç iş yükü kendi günlük yapılandırmasını belirler ve bu mimari Azure İzleyici'da uç günlük kaydı gerektirmez.

Alternatives

Bu mimari, virtualNetworkPeerings, routeTables ve subnets nin oluşturulması, yapılandırılması ve bakımı ile ilgilenir. Azure Sanal Ağ Yöneticisi Azure abonelikleri, bölgeleri ve Microsoft Entra dizinleri genelinde büyük ölçekte sanal ağları gruplandırmanıza, yapılandırmanıza, dağıtmanıza ve yönetmenize yardımcı olan bir yönetim hizmetidir.

Sanal Ağ Yöneticisi ile sanal ağlarınızı tanımlamak ve mantıksal olarak segmentlere ayırmak için network grupları tanımlayabilirsiniz. Ayrıca , sanal ağ grupları arasında el ile bağlanmış gibi iletişim sağlamak için bağlı grupları da kullanabilirsiniz. Bu yaklaşım, uygulamasını değiştirmeden istediğiniz ağ topolojisini açıklamak için bir soyutlama katmanı ekler.

Ağ yönetimi işlemlerinizi iyileştirmek için Sanal Ağ Yöneticisi kullanmanız gerekip gerekmediğini değerlendirmenizi öneririz. Sanal Ağ Yöneticisi ağınızın boyutu ve karmaşıklığı için net değer sağlayıp sağlamadığını belirlemek için hizmet maliyetini zaman tasarrufu ve operasyonel avantajlarla karşılaştırın.

Azure Sanal WAN

Bu mimari, müşteri tarafından yönetilen merkez altyapısı bileşenlerini içeren bir ağ deseni açıklar. Microsoft tarafından yönetilen merkez altyapısı çözümü için bkz. Azure Sanal WAN kullanan Hub-spoke ağ topolojisi.

Müşteri tarafından yönetilen merkez-uç yapılandırması kullanmanın avantajları şunlardır:

• Maliyet tasarrufları
• Abonelik sınırlarını aşma
• İş yükü yalıtımı
• Flexibility
  • NIC sayısı, örnek sayısı veya işlem boyutu gibi ağ sanal gereçlerinin (NVA) nasıl dağıtılacağı üzerinde daha fazla denetim
  • Sanal WAN tarafından desteklenmeyen NVA'ların kullanımı

Senaryo ayrıntıları

Bu başvuru mimarisi, merkez sanal ağının, çok sayıda uç sanal ağına merkezi bir bağlantı noktası olarak hizmet ettiği merkez-çevre ağ desenini uygular. Uç sanal ağları hub'a bağlanır ve iş yüklerini yalıtabilir. Şirket içi ağlara bağlanmak için hub'ı kullanarak şirket içi senaryoları da destekleyebilirsiniz.

Daha fazla bilgi için bkz. Merkez-uç ağ topolojisi.

Gelişmiş senaryolar

Mimariniz, bu makalede açıklanan basit merkez-uç mimarisinden farklı olabilir. Aşağıdaki listede gelişmiş senaryolara yönelik yönergeler açıklanmaktadır:

• Daha fazla bölge eklemek veya tek bir bölgedeki toplu aktarım hızını tek bir ExpressRoute ağ geçidi ve güvenlik duvarının ötesine ölçeklendirmek için çok merkez-uç topolojisi yönlendirmek ve ilkeyi Azure Güvenlik Duvarı Yöneticisi ile merkezileştirmek için Azure Güvenlik Duvarı kullanın.

• Gelişmiş uçtan uca desenlerini kullanmak için Uçtan uca ağ bağlantısını kullanın.

• Azure Güvenlik Duvarı'ı özel bir NVA ile değiştirmek amacıyla yüksek kullanılabilirlikte NVAları konumlandırın.

• Sanal ağ geçidini özel yazılım tanımlı WAN (SD-WAN) NVA ile değiştirmek için Azure hub-spoke ağ topolojileri ile SD-WAN tümleştirmesi bölümüne bakınız.

• ExpressRoute ile VPN veya SDWAN arasında geçiş sağlamak veya Azure sanal ağ geçitlerinde Sınır Ağ Geçidi Protokolü (BGP) üzerinden tanıtılan ön ekleri özelleştirmek için bkz. ExpressRoute ve Azure VPN için Route Server desteği.

• Özel çözümleyici veya DNS sunucuları eklemek için bkz. Özel çözümleyici mimarisi.

Olası kullanım örnekleri

Hub-spoke mimarisinin tipik kullanımları şunlardır:

• Paylaşılan hizmetler gerektiren çeşitli ortamlara sahip olun. Örneğin, bir iş yükünün geliştirme, test ve üretim ortamları olabilir. Paylaşılan hizmetler DNS kimlikleri, Ağ Süresi Protokolü (NTP) veya Active Directory Domain Services (AD DS) içerebilir. Paylaşılan hizmetler merkez sanal ağına yerleştirilir ve her ortam yalıtımı korumak için farklı bir uçta dağıtılır.

• Birbiriyle bağlantı gerektirmez, ancak paylaşılan hizmetlere erişim gerektirir.

• Güvenlik üzerinde merkezi denetim, merkeze yerleştirilmiş bir çevre ağı (aynı zamanda DMZ, askerden arındırılmış bölge ve ekranlı alt ağ olarak da bilinir) güvenlik duvarı ve her bir dalda/kolda ayrılmış iş yükü yönetimi gibi sistemler gerektirir.

• Belirli ortamların veya iş yüklerinin uçları arasında seçmeli bağlantı veya yalıtım gibi bağlantı üzerinde merkezi denetim gerektirir.

Recommendations

Aşağıdaki önerileri çoğu senaryoya uygulayabilirsiniz. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Kaynak grupları, abonelikler ve bölgeler

Bu örnek çözüm tek bir Azure kaynak grubu kullanır. Hub'ı ve her uçları farklı kaynak gruplarında ve aboneliklerde de uygulayabilirsiniz.

Farklı aboneliklerdeki sanal ağları eşlerken, abonelikleri aynı veya farklı Microsoft Entra kiracılarıyla ilişkilendirebilirsiniz. Bu esneklik, her iş yükünün merkezi olmayan yönetimini sağlar ve paylaşılan hizmetleri hub'da tutar. Daha fazla bilgi için bkz. Farklı aboneliklerde ve Microsoft Entra kiracıları arasında sanal ağlar arası eşleştirme oluşturma.

Azure iniş bölgeleri

Azure giriş bölgesi mimarisi merkez-uç topolojisini temel alır. Bu mimaride merkezi bir platform ekibi hub'ın paylaşılan kaynaklarını ve ağını yönetirken, bağlayıcı parçalar ise platform ekibiyle ve bağlayıcı parçalar ağını kullanan iş yükü ekibiyle ortak sahiplik modelini paylaşır. Tüm hub'lar merkezi yönetim için bir Bağlantı aboneliğinde bulunur. Birçok bireysel iş yükü aboneliği arasında, uygulama giriş bölgesi abonelikleri olarak adlandırılan merkez dışı sanal ağları bulunur.

Sanal ağ alt ağları

Aşağıdaki önerilerde, sanal ağda alt ağların nasıl yapılandır yapılacağı açıklanmaktadır.

GatewaySubnet

Sanal ağ geçidi bu alt ağı gerektirir. Ayrıca, şirket içi ağ bağlantısına ihtiyacınız yoksa ağ geçidi olmadan merkez-uç topolojisi de kullanabilirsiniz.

Ip adresi aralığı en az /26 veya daha büyük olan GatewaySubnet adlı bir ağ geçidi alt ağı oluşturun. /26 adres aralığı, ağ geçidi boyutu sınırlamalarını önlemek ve gelecekte ek ExpressRoute bağlantı hatlarını barındırmak için yeterli ölçeklenebilirlik sağlar. Ağ geçidi kurulumu hakkında daha fazla bilgi için bkz. PowerShell kullanarak ExpressRoute ve siteden siteye birlikte var olan bağlantıları yapılandırma.

AzureFirewallSubnet

En az adres aralığına sahip /26 adlı bir alt ağ oluşturun. Gelecekteki boyut sınırlamalarını kapsayacak en düşük boyut olarak öneririz /26 . Bu alt ağ, ağ güvenlik gruplarını (NSG) desteklemez.

Azure Güvenlik Duvarı bu alt ağı gerektirir. İş ortağı NVA kullanıyorsanız ağ gereksinimlerini takip edin.

Uç ağ bağlantısı

Sanal ağ eşlemesi veya bağlı gruplar, sanal ağlar arasında geçişsiz ilişkilerdir. Birbirine bağlanmak için uç sanal ağlarına ihtiyacınız varsa, bu uçlar arasına bir eşleme bağlantısı ekleyin veya bunları aynı ağ grubuna yerleştirin.

Azure Güvenlik Duvarı veya NVA aracılığıyla uç bağlantıları

Sanal ağ başına sanal ağ eşlemelerinin sayısı sınırlıdır. Birbiriyle bağlanması gereken çok sayıda ağ ucu varsa, yeterli ağ eşleştirme bağlantınız olmayabilir. Bağlı grupların da sınırlamaları vardır. Daha fazla bilgi için bkz . Ağ sınırları ve Bağlı gruplar sınırları.

Bu senaryoda, uç trafiğinin Azure Güvenlik Duvarı veya hub'da yönlendirici işlevi gören başka bir NVA'ya gönderilmesini zorlamak için kullanıcı tanımlı yolları (UDR) kullanmayı göz önünde bulundurun. Bu değişiklik sayesinde uçlar birbiriyle bağlantı kurabilir. Bu yapılandırmayı desteklemek için, zorlamalı tünel yapılandırması açıkken Azure Güvenlik Duvarı'ı uygulayın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı zorunlu tünelleme.

Bu mimari tasarımdaki topoloji çıkış akışlarını kolaylaştırır. Azure Güvenlik Duvarı öncelikle çıkış güvenliği için olsa da, bir giriş noktası da olabilir. Hub NVA giriş yönlendirmesi hakkında daha fazla bilgi için bkz. sanal ağlar için Azure Güvenlik Duvarı ve Azure Application Gateway.

Azure Güvenlik Duvarı aracılığıyla ağ adresi çevirisi

Merkezdeki Azure Güvenlik Duvarı her uç ve İnternet, şirket içi ağlar ve bu ağ üzerinden yönlendiren diğer uçlar arasında yer alır. Ağ adresi çevirilerinin iş yükü tasarımını nasıl etkileyeceğini planlayın:

• Giden akışlar, güvenlik duvarının genel IP adreslerinden birinden kaynaklanan bir çıkış noktası oluşturur. Bu, kaynak ağ adresi çevirisidir (SNAT). Azure Güvenlik Duvarı her giden akış için ekli genel IP'lerden birini kullandığından, iş ortağı izin listeleri ve denetim günlüklerinin güvenlik duvarına eklenen IP adreslerinin tamamını kapsaması gerekir. Bu kümeyi bitişik aralık olarak ifade etmek için genel IP adresi ön eki kullanın.

  Ekli genel IP adreslerinin sayısı, SNAT bağlantı noktası bütçesini ve dolayısıyla güvenlik duvarı üzerinden dışa yönelen her ağ ucu için eşzamanlı giden bağlantı tavanını da ayarlar. Yalnızca ekli genel IP'lerin sağladığının ötesine ölçeklendirmek için AzureFirewallSubnet bir Azure NAT Gateway ekleyin. NAT Gateway, güvenlik duvarının dışa giden yolu olur, aşağı akış sistemlerinin izin listesine eklemesi gereken 16 genel IP sağlar ve kullanılabilir SNAT bağlantı noktası havuzunu önemli ölçüde artırır. Dönüş trafiği hala güvenlik duvarından geri akar ve akış simetrisini korur.

• Yayımlanan iş yüklerine güvenlik duvarının genel IP adresinden erişilebilir. Güvenlik duvarının genel uç noktasından iş yükünün özel IP'sine ve bağlantı noktasına hedef IP'yi ve bağlantı noktasını yeniden yazan hedef ağ adresi çevirisi (DNAT) kuralıyla bir arka uç yayımlarsınız. Azure Güvenlik Duvarı aynı güvenlik duvarı örneğinden trafik akışının geri döndürülmesini sağlamak için DNAT ile eşleşen paketlere de SNAT uygular. Sonuç olarak arka uç, özgün istemcinin IP adresi yerine kaynak olarak güvenlik duvarı örneğinin IP adresini gözlemler.

  Uygulamanız istemcinin IP adresini gerektiriyorsa, istemci bağlantısını Azure Application Gateway veya Azure Front Door gibi ters bir proxy'de sonlandırın, X-Forwarded-For HTTP üst bilgisinde istemcinin IP adresini iletin ve arka uçta istemcinin ana bilgisayar adını gözlemlemeye devam etmesi için Orijinal HTTP ana bilgisayar adını koruyun. Güvenlik duvarının önündeki DNAT, SNAT ve ters ara sunucu etkileşimlerinin çalışan bir örneği için bkz. sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway.

Merkez ağ geçidi aracılığıyla uzak ağlara bağlantı sağlayan konuş bağlantıları

Uçları merkez ağ geçidi üzerinden uzak ağlarla iletişim kuracak şekilde yapılandırmak için sanal ağ eşlemelerini veya bağlı ağ gruplarını kullanabilirsiniz. Sanal ağ eşlemelerini kullanmak için sanal ağ Eşleme kurulumunu açın ve aşağıdaki eylemleri tamamlayın:

• Hub'daki eşleme bağlantısını Ağ geçidi aktarımına izin ver olarak yapılandırın.
• Her bir dilimdeki eş bağlantıyı Uzak sanal ağın ağ geçidini kullan olarak yapılandırın.
• tüm eşleme bağlantılarını İletilen trafiğe izin ver olarak yapılandırın.

Daha fazla bilgi için bkz. Sanal ağ eşlemesi oluşturma.

Bağlı ağ gruplarını kullanmak için:

1. Sanal Ağ Yöneticisi bir ağ grubu oluşturun ve üye sanal ağları ekleyin.
2. Merkez-uç bağlantı yapılandırması oluşturun.
3. Uç ağ grupları için Ağ geçidi olarak Hub'ı seçin.

Daha fazla bilgi için bkz. Sanal Ağ Yöneticisi kullanarak merkez-uç topolojisi oluşturma.

Uç ağ iletişimleri

Uç sanal ağları birbiriyle iki ana yolla iletişim kurabilir:

• Güvenlik duvarı ve yönlendirici gibi bir NVA üzerinden iletişim. Bu yöntem iki uç arasına bir atlama ekler.

• Uçlar arasında sanal ağ eşlemesi veya Sanal Ağ Yöneticisi ile doğrudan bağlantı kullanarak iletişim. Bu yaklaşım iki uç arasına atlama eklemez ve gecikme süresini en aza indirmek için önerilir.

Azure Özel Bağlantı tek tek kaynakları seçerek diğer sanal ağlara kullanıma açabilir. Örneğin, Özel Bağlantı kullanarak eşleme veya yönlendirme ilişkilerini oluşturmaya veya sürdürmeye gerek kalmadan iç yük dengeleyiciyi farklı bir sanal ağda kullanıma sunun.

Uç-uç ağ desenleri hakkında daha fazla bilgi için bkz. Sanal ağ bağlantısı seçenekleri ve uçlar arası iletişim.

NVA aracılığıyla iletişim

Uçlar arasında bağlantıya ihtiyacınız varsa hub'da Azure Güvenlik Duvarı veya başka bir NVA dağıtmayı göz önünde bulundurun. Ardından, trafiği bir uç bağlantısndan güvenlik duvarına veya NVA'ya iletmek için yollar oluşturun; bu, daha sonra ikinci uç bağlantısına yönlendirilebilir. Bu senaryoda, iletilen trafiği kabul etmek için eşleme bağlantılarını yapılandırmanız gerekir.

Üç büyük kesik çizgili kutunun bir satırda düzenlendiğini gösteren diyagram. Uç sanal ağı solda, merkez sanal ağı ortada ve başka bir uç sanal ağı sağdadır. Her uç sanal ağının içinde, üç sanal makine simgesi içeren Kaynak alt ağı etiketli noktalı bir kutu bulunur. Merkez sanal ağının içinde Azure Güvenlik Duvarı simgesi içeren noktalı bir kutu bulunur. Sol uç ile merkez arasında ve merkez ile sağ uç arasındaki Eşleme etiketli noktalı çift başlı oklar ağ bağlantılarını gösterir. Alttaki kesik çizgili oklar, her bir konuşmacıdan merkeze doğru yatay olarak Azure Güvenlik Duvarına ilerler, bu da her iki konuşmacıdan gelen trafiğin doğrudan iki konuşmacı arasında akmak yerine ortadaki güvenlik duvarına yönlendirildiğini gösterir. Genel düzen, iki uç ağı arasındaki iletişimin yönlendirildiği merkezi nokta olarak hub'ı vurgular.

Bu seçenek gecikme süresini ve aktarım hızını etkilese de uçlar arasındaki trafiği yönlendirmek için bir VPN ağ geçidi de kullanabilirsiniz. Daha fazla bilgi için bkz . Sanal ağ eşlemesi için VPN ağ geçidi aktarımını yapılandırma.

Hub'ın daha fazla sayıda uç için ölçeklendirildiğinden emin olmak için hub'da paylaştığınız hizmetleri değerlendirin. Örneğin, hub'ınız güvenlik duvarı hizmetleri sağlıyorsa, birden çok uç eklediğinizde güvenlik duvarı çözümünüzün bant genişliği sınırlarını göz önünde bulundurun. Bu paylaşılan hizmetlerden bazılarını ikinci bir hub düzeyine taşıyabilirsiniz.

Uç ağları arasında doğrudan iletişim

Merkez sanal ağı üzerinden trafiği yönlendirmeden uç sanal ağları arasında doğrudan bağlantı kurmak için, uçlar arasında eşleme bağlantıları oluşturabilir veya ağ grubu için doğrudan bağlantıyı açabilirsiniz. Aynı ortamın ve iş yükünün parçası olan uç sanal ağlarına eşlemeyi veya doğrudan bağlantıyı sınırlamanızı öneririz.

Sanal Ağ Yöneticisi kullandığınızda, ağ gruplarına el ile uç sanal ağları ekleyebilir veya tanımladığınız koşullara göre ağları otomatik olarak ekleyebilirsiniz.

Aşağıdaki diyagramda, uçlar arasında doğrudan bağlantı için Sanal Ağ Yöneticisi nasıl kullanılacağı gösterilmektedir.

Azure Sanal Ağ Yöneticisi etiketli büyük dikdörtgen bir çerçeveyi ve üst kısmında Ağ grubu etiketi bulunan bir diyagramı gösteren. Çerçevenin içinde soldan sağa yerleştirilmiş üç kesikli kutu vardır: uç sanal ağı, merkez sanal ağı ve başka bir uç sanal ağı. İki "spoke" kutusunun her biri, üzerinde "Kaynak alt ağı" yazılı noktalı bir iç kutu ve üç sanal makine simgesi içerir. Orta hub kutusu, Azure Güvenlik Duvarı simgesine sahip noktalı bir iç kutu içerir. Sol uç ile merkez arasındaki ve merkez ile sağ uç arasındaki noktalı çift başlı oklar Bağlı sanal ağlar olarak etiketlenir. Alt kısım boyunca, "Doğrudan bağlı sanal ağlar" olarak etiketlenmiş kesikli bir çizgi, iki uç ağı arasında uzanır ve her uçta yukarı bakan ok başları bulunur; bu, merkez bağlantılarından ayrı ve altında konumlanan doğrudan bir uçtan uca yolu gösterir.

Considerations

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke kümesi olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.

Reliability

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesine yardımcı olur. Daha fazla bilgi için bkz. Güvenilirlik için Tasarım inceleme kontrol listesi.

availability zones kullanarak bunları destekleyen hub'daki Azure hizmetleri kullanın.

Bölge başına en az bir hub kullanmanızı ve yalnızca aynı bölgedeki uçları bu merkezlere bağlamanızı öneririz. Bu yapılandırma, bölme bölgelerinin, bir bölge düğümündeki hataların ilişkisiz bölgelerde yaygın ağ yönlendirme hatalarına neden olmasını önlemesine yardımcı olur.

Daha yüksek kullanılabilirlik için ExpressRoute ve yük devretme için VPN kullanabilirsiniz. Daha fazla bilgi için bkz. ExpressRoute yük devretmeli VPN kullanarak şirket içi bir ağı Azure'a bağlama ve ExpressRoute'un dayanıklılığı için tasarımı ve mimarisi.

Azure Güvenlik Duvarı FQDN uygulama kurallarını nasıl uyguladığından dolayı, güvenlik duvarından çıkan tüm kaynakların güvenlik duvarının kendisiyle aynı DNS sağlayıcısını kullandığından emin olun. Aksi takdirde, Azure Güvenlik Duvarı, güvenlik duvarının bir FQDN'yi IP adresine çözümlemesi, trafik kaynağının aynı FQDN'nin IP çözümlemesinden farklı olduğu için geçerli trafiği engelleyebilir. FQDN'leri trafik kaynağıyla ve Azure Güvenlik Duvarı ile eşitlenmiş durumda tutmak için uç DNS çözümlemesine Azure Güvenlik Duvarı ara sunucu ekleyebilirsiniz.

Security

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlik için tasarım gözden geçirme denetim listesi.

DDoS saldırılarına karşı koruma sağlamak için herhangi bir çevre sanal ağında Azure DDoS Koruması açın. Genel IP'ye sahip tüm kaynaklar DDoS saldırısına açıktır. İş yükleriniz genel kullanıma sunulmasa bile aşağıdaki genel IP'lerin korunması gerekir:

• Azure Güvenlik Duvarı genel IP adresleri
• VPN ağ geçidi genel IP adresleri
• ExpressRoute denetim düzlemi genel IP adresi

Yetkisiz erişim riskini en aza indirmek ve katı güvenlik ilkeleri uygulamak için NSG'lerde her zaman açık deny kurallar ayarlayın.

Aktarım Katmanı Güvenliği (TLS) incelemesini, IDPS'yi ve URL filtrelemeyi açmak için Azure Güvenlik Duvarı Premium sürümünü kullanın.

Sanal Ağ Yöneticisi güvenliği

Temel bir güvenlik kuralları kümesi sağlamak için , güvenlik yöneticisi kurallarını ağ gruplarındaki sanal ağlarla ilişkilendirin. Güvenlik yöneticisi kuralları önceliklidir ve NSG kuralları öncesinde değerlendirilir. Güvenlik yöneticisi kuralları öncelik belirlemeyi, hizmet etiketlerini ve ağ katmanı (L3) ile aktarım katmanı (L4) protokollerini destekler.

Ağ grubu güvenlik kurallarında hataya neden olabilecek değişikliklerin denetimli dağıtımını kolaylaştırmak için Sanal Ağ Yöneticisi deployments kullanın.

Maliyet İyileştirme

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarına odaklanır. Daha fazla bilgi için bkz . Maliyet İyileştirme için tasarım gözden geçirme denetim listesi.

Bu mimarideki merkez ağı bileşenlerinin maliyetine ilişkin bir tahmin elde etmek için Azure fiyatlandırma hesaplayıcısındaki bu önceden yapılandırılmış tahmini kullanın. Değerleri, beklenen trafik hacimlerinize ve ek uçlarınıza uyacak şekilde ayarlayın.

Merkez-uç ağlarını dağıtırken ve yönetirken aşağıdaki maliyetle ilgili faktörleri göz önünde bulundurun. Daha fazla bilgi için bkz. Sanal ağ fiyatlandırması.

Azure Güvenlik Duvarı maliyetleri

Bu mimari hub ağında bir Azure Güvenlik Duvarı örneği dağıtır. Birden çok iş yükü tarafından kullanılan paylaşılan bir çözüm olarak Azure Güvenlik Duvarı dağıtımı kullanmak, diğer NVA'lara kıyasla bulut maliyetlerinden önemli ölçüde tasarruf edebilir. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı ve NVA'lar.

Dağıtılan kaynaklarınızı etkili bir şekilde kullanmak için doğru Azure Güvenlik Duvarı boyutunu seçin. İhtiyacınız olan özelliklere ve geçerli iş yükleri kümenize en uygun katmana karar verin. Kullanılabilir Azure Güvenlik Duvarı SKU'ları hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı nedir?

Doğrudan eşdüzey bağlantı

Azure Güvenlik Duvarı işleme maliyetlerini azaltmak veya ortadan kaldırmak için, doğrudan eşlemeyi veya hub'ı atlayan diğer uçlar arası iletişimi seçmeli olarak kullanın. Veritabanı eşitlemesi veya büyük dosya kopyalama işlemleri gibi uçlar arasında yüksek aktarım hızına, düşük riskli iletişime sahip iş yüklerine sahip ağlarda tasarruf önemli olabilir.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için Operasyonel Mükemmellik için Tasarım Gözden Geçirme Denetim Listesi bölümüne bakın.

Azure Bastion, Azure Güvenlik Duvarı ve şirket içi ağ geçidiniz gibi tüm hizmetler için tanılama ayarlarını etkinleştirin. Maliyetleri azaltmak için, işlemlerinizle ilgili olmayan ayarları kapatın. Azure Güvenlik Duvarı gibi kaynaklar büyük günlük hacimleri oluşturabilir ve yüksek izleme maliyetlerine neden olabilir.

Anomalileri algılamak ve ağ sorunlarını belirlemek ve gidermek için uçtan uca izleme için Bağlantı izleyicisini kullanın.

Azure Ağ İzleyicisi kullanarak ağ bileşenlerini izleyin ve sorunları giderin; ayrıca, sanal ağlarınızdaki en fazla trafiği oluşturan sistemleri göstermek için trafik analitiği kullanın. Olası performans sorunlarını belirlemek için trafik analizini kullanabilirsiniz.

ExpressRoute kullanıyorsanız Azure Trafik Toplayıcısı kullanarak ExpressRoute bağlantı hatlarınız üzerinden gönderilen ağ akışları için akış günlüklerini analiz edin. Trafik Toplayıcı, Microsoft kurumsal uç yönlendiricileri üzerinden akan trafiğe görünürlük sağlar.

HTTP veya HTTPS olmayan protokoller veya SQL Server yapılandırması sırasında, Azure Güvenlik Duvarı'da FQDN tabanlı kuralları kullanın. FQDN'lerin kullanılması, tek tek IP adresi yönetimine kıyasla yönetim yükünü azaltır.

Eşleme gereksinimlerinize göre IP adreslemini planlayın. Adres alanının şirket içi konumlar ve Azure konumlar arasında çakışmadığından emin olun.

Sanal Ağ Yöneticisi ile otomasyon

Bağlantı ve güvenlik denetimlerini merkezi olarak yönetmek için Sanal Ağ Yöneticisi kullanarak yeni merkez-uç sanal ağ topolojileri oluşturun veya mevcut topolojileri ekleyin. Merkez-uç ağ topolojilerinizi birden çok abonelik, yönetim grubu ve bölgede gelecekteki büyük ölçekli büyümeye hazırlamak için Sanal Ağ Yöneticisi kullanın.

Örnek Sanal Ağ Yöneticisi kullanım örneği senaryoları şunlardır:

• Uç sanal ağ yönetiminin iş birimleri veya uygulama ekipleri gibi gruplara demokratikleştirilmesi. Demokratikleştirme, çok sayıda sanal ağdan sanal ağa bağlantı ve ağ güvenlik kuralları gereksinimlerine neden olabilir.

• Uygulamalar için küresel çapta bir erişim sağlamak amacıyla birden çok Azure bölgesinde birden çok replika mimarisinin standartlaştırılması.

Tekdüzen bağlantı ve ağ güvenlik kuralları sağlamak için network groups kullanarak herhangi bir abonelik, yönetim grubu veya bölgedeki sanal ağları aynı Microsoft Entra kiracı altında gruplandırabilirsiniz. Dinamik veya statik üyelik atamaları aracılığıyla sanal ağları otomatik olarak veya el ile ağ gruplarına ekleyebilirsiniz.

scopes kullanarak Sanal Ağ Yöneticisi sanal ağ bulunabilirliğini tanımlayın. Kapsamlar, yönetim sorumluluklarını sanal ağ grupları arasında dağıtabilmeniz için ağ yöneticisi örneklerini esnek hale getirir.

Aynı ağ grubundaki uç sanal ağlarını birbirine bağlamak için Sanal Ağ Yöneticisi kullanarak sanal ağ eşlemesi veya direct connectivity uygulayın. Farklı bölgelerdeki konuşlanmış ağlara doğrudan ağ bağlantısını genişletmek için genel mesh seçeneğini kullanın. Aşağıdaki diyagramda bölgeler arasındaki genel ağ bağlantısı gösterilmektedir.

Solda Azure bölge 1 ve sağda Azure bölge 2 olarak adlandırılmış iki büyük kesikli dikdörtgeni yan yana gösteren diyagram. Her bölge, etrafı birkaç küçük noktalı kutuyla çevrili olan "Hub sanal ağı" etiketli merkezi bir kutu içerir; bu küçük kutular, "spoke ağlarını" temsil eder. Kısa kesikli çizgiler, her iki bölgede de yıldız benzeri merkez-uç deseni oluşturan çevresindeki uçlara kadar her merkezden gelir. Tek bir kesikli çizgi, Azure bölge 1'deki hub'ı iki bölge dikdörtgeni arasındaki boşluk boyunca Azure bölge 2'deki hub'a bağlar. İki taraf birbirini görsel olarak yansıtır: her merkez, bölgesinin merkezine yakın bir yerde bulunur, her birinin çevresinde birden çok uç vardır ve her uç kendi yerel hub'ına içe doğru bağlanır. Diyagram, iki merkez arasında tek bir doğrudan bölgeler arası bağlantıya sahip iki ayrı bölgesel merkez-uç düzenini vurgular.

Bir ağ grubu içindeki sanal ağları temel bir güvenlik yöneticisi kuralları kümesiyle ilişkilendirebilirsiniz. Ağ grubu güvenlik yöneticisi kuralları uç sanal ağ sahiplerinin temel güvenlik kurallarının üzerine yazmasını engeller, ancak kendi güvenlik kurallarını ve NSG'lerini ekleyebilirler. Merkez-uç topolojilerinde güvenlik yöneticisi kurallarının nasıl kullanılacağına ilişkin bir örnek için bkz. Güvenli merkez-uç ağı oluşturma.

Ağ gruplarının, bağlantının ve güvenlik kurallarının denetimli bir şekilde dağıtılmasını kolaylaştırmak için Sanal Ağ Yöneticisi yapılandırma dağıtımları, yapılandırma değişikliklerini merkez-uç ortamlarında güvenli bir şekilde yayınlamanıza yardımcı olur.

UDR'lerin otomatik yönetimini Sanal Ağ Yöneticisi'da kullanarak yol yapılandırmaları oluşturma ve sürdürme sürecini basitleştirebilirsiniz.

IP adreslerinin yönetimini merkezileştirmek için Sanal Ağ Yöneticisi içinde IP adres yönetimini (IPAM) kullanabilirsiniz. IPAM, şirket içi ve bulut sanal ağlarında IP adresi alanı çakışmalarını önler.

Sanal Ağ Yöneticisi kullanmaya başlamak için bkz. Sanal Ağ Yöneticisi kullanarak merkez-uç topolojisi oluşturma.

Performans Verimliliği

Performans Verimliliği, iş yükünüzün kullanıcı taleplerini verimli bir şekilde karşılayacak şekilde ölçeklendirebilmesini ifade eder. Daha fazla bilgi için bkz. Performans Verimliliğiiçin Tasarım gözden geçirme denetim listesi.

Düşük gecikme süresi gerektiren uç-uç iletişimleri için, uç-uç ağı ayarlayabilirsiniz.

Noktadan siteye veya siteden siteye bağlantı sayısı, gerekli saniye başına paket sayısı, bant genişliği gereksinimleri veya TCP akışları gibi gereksinimlerinizi karşılayan bir ağ geçidi SKU'su seçin.

SAP veya depolamaya erişim gibi gecikme süresine duyarlı akışlar için Azure Güvenlik Duvarı veya hub yönlendirmesini atlayabilirsiniz. En iyi yaklaşıma karar vermenize yardımcı olmak için Azure Güvenlik Duvarı tarafından sunulan gecikme süresini test edebilirsiniz. İki veya daha fazla ağı bağlayan virtual ağ eşleme gibi özellikleri kullanabilir veya sanal ağınızdaki özel bir uç nokta üzerinden bir hizmete bağlanmak için Özel Bağlantı kullanabilirsiniz.

IDPS gibi Azure Güvenlik Duvarı özellikleri kullanarak aktarım hızınızı azaltabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı performance.

Tek bir hub'ın aktarım hızının ötesine ölçeklendirme

Tek bir ExpressRoute sanal ağ geçidi, şirket içinden sanal ağa gelen trafiği ağ geçidi SKU'sunun toplam aktarım hızı sınırıyla sınırlar, herhangi bir tek TCP akışının aktarım hızını sınırlar ve ne kadar devre bant genişliği bağlı olursa olsun eşzamanlı akışları sınırlar.

Şirket içi ortamdan Azure’daki sanal makinelere veya özel uç noktalara yüksek bant genişlikli trafik gönderen iş yükleri için, bu yönde ağ geçidini atlamak amacıyla ExpressRoute FastPath kullanın. FastPath, ağ geçidi tavanını aşan bağlantı hattı bant genişliğini kullanmanın standart yoludur ve akış başına aktarım hızını ve eşzamanlı akış sınırlarını da hafifletir.

Merkez-uç ağlarında FastPath desteği önemli tasarım kısıtlamalarıyla birlikte gelir:

• Denetim aletlerini merkezde tutun. FastPath, Azure Güvenlik Duvarı ve iç yük dengeleyicileri yalnızca merkez sanal ağında olduklarında destekler. Eşlenmiş (uç) bir sanal ağda bulunuyorlarsa, onlara yönelik trafik ağ geçidi üzerinden geri yönlendirilir ve FastPath’i devre dışı bırakır.

• Sanal ağ eşlemesi, kullanıcı tanımlı yollar ve Özel Bağlantı üzerinden FastPath için ExpressRoute Direct gereklidir. ExpressRoute sağlayıcı devrelerinde, şirket içi ortamdan eşlenen spoke sanal ağlara giden trafik sanal ağ geçidi üzerinden yönlendirilir; bu nedenle FastPath yalnızca geçidin kendi sanal ağı için geçerlidir.

• Genel eşleme yok. Sanal ağ eşlemesi üzerinden FastPath için tüm sanal ağların aynı bölgede olması gerekir.

• IP adresi üst sınırı. FastPath, bağlantı hattı başına sabit sayıda IP programlar; aşıldığında trafik ağ geçidinden geri döner. Azure İzleyici'de FastPath rota sayısı uyarısı.

Kısıtlama FastPath'i engelliyorsa, bunun yerine yatay olarak ölçeklendirin. Her biri kendi ExpressRoute ağ geçidi, güvenlik duvarı ve bağlantı hattı bağlantılarına sahip olan birden çok hub'ı aynı bölgede dağıtın. Her hub güvenlik duvarında paylaşılan bir Firewall Policy uygulamak için Azure Güvenlik Duvarı Yöneticisi kullanın ve yönlendirme ile IP adresi planlaması aracılığıyla her spoke’un trafiğini belirli bir hub’a yönlendirin.

Bu senaryoyu dağıtın

Bu dağıtım, bir merkez sanal ağı ve iki bağlı uç içerir ve bir Azure Güvenlik Duvarı örneği ile Azure Bastion konağı dağıtır. İsteğe bağlı olarak, dağıtım ilk uç ağındaki VM'leri ve bir VPN ağ geçidini içerebilir. Ağ bağlantıları oluşturmak için sanal ağ eşleştirmesi veya Sanal Ağ Yöneticisi ile bağlı gruplar arasında seçim yapabilirsiniz. Her yöntemin çeşitli dağıtım seçenekleri vardır.

• Sanal ağ eşleme ile merkez-çevre dağıtımı
• bağlı Sanal Ağ Yöneticisi grup dağıtımıyla Hub-spoke

Contributors

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazarlar:

• Jose Moreno | Çözüm Mühendisi
• Alejandra Palacios | Kıdemli Müşteri Mühendisi
• Adem Torkar | Kıdemli Müşteri Deneyimi Mühendisi

Diğer katkıda bulunanlar:

• Matthew Bratschun | Müşteri Mühendisi
• Jay Li | Kıdemli Ürün Yöneticisi
• Telmo Sampaio | Baş Hizmet Mühendisliği Yöneticisi

Gizli LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• Güvenli sanal hub nedir?
• Azure ağ topolojisi tanımlama

İlgili kaynaklar

• Sanal ağlar için Azure Güvenlik Duvarı ve Application Gateway
• Karma VPN bağlantısı sorunlarını giderme
• Merkezden merkeze ağ iletişimi
• Azure Kubernetes Service (AKS) kümesi için Baseline mimarisi