Azure Sanal WAN ile merkez-uç ağ topolojisi

Bu merkez-uç mimarisi, Azure'daki başvuru mimarileri merkez-uç ağ topolojisi için alternatif bir çözüm sağlar ve güvenli bir karma ağ uygular.

Merkez, Azure'da şirket içi ağınıza yönelik merkezi bir bağlantı noktası işlevi gören bir sanal ağdır. Uçlar, merkezle eşlenecek sanal ağlardır ve iş yüklerini yalıtmak için kullanılabilir. ExpressRoute veya VPN ağ geçidi bağlantısı üzerinden şirket içi veri merkezleriyle merkez arasındaki trafik akışları. Bu yaklaşımın ana ayırıcısı, hub'ları yönetilen hizmet olarak değiştirmek için Azure Sanal WAN (VWAN) kullanmaktır.

Bu mimari standart merkez-uç ağ topolojisinin avantajlarını içerir ve yeni avantajlar sunar:

• Mevcut hub'ları tam olarak yönetilen bir VWAN hizmetiyle değiştirerek daha az işlem yükü .

• Yönetilen bir hizmet kullanarak ve ağ sanal gereci gereksinimini kaldırarak maliyet tasarrufu .

• Yanlış yapılandırmayla ilgili güvenlik risklerini en aza indirmek için Azure Güvenlik Duvarı ve VWAN ile merkezi olarak yönetilen güvenli Hub'lar kullanıma sunarak gelişmiş güvenlik.

• İşlerin ayrılması: Merkezi BT (SecOps, InfraOps) ve iş yüklerini (DevOps) ilgilendiren konular ayrılır.

Olası kullanım örnekleri

Bu mimarinin tipik kullanımları şunlardır:

• İş yükleri arasındaki Bağlan için merkezi denetim ve paylaşılan hizmetlere erişim gerekir.

• Bir kuruluş, güvenlik duvarı gibi güvenlik yönleri üzerinde merkezi denetim gerektirir ve her uçtaki iş yükleri için ayrı yönetim gerektirir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Mimari şunlardan oluşur:

• Şirket içi ağı. Bir kuruluş içinde çalışan özel bir yerel ağ (LAN).

• VPN cihazı. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet.

• VPN sanal ağ geçidi veya ExpressRoute ağ geçidi. Sanal ağ geçidi, sanal ağın şirket içi ağınızla bağlantı için kullanılan VPN cihazına veya ExpressRoute bağlantı hattına bağlanmasını sağlar.

• Sanal WAN hub'ı. Sanal WAN merkez-uç topolojisinde merkez olarak kullanılır. Merkez, şirket içi ağınıza bağlantının merkezi noktasıdır ve uç sanal ağlarında barındırılan farklı iş yükleri tarafından kullanılabilecek hizmetleri barındırabileceğiniz bir yerdir.

• Güvenli sanal hub. Azure Güvenlik Duvarı Yöneticisi tarafından yapılandırılan ilişkili güvenlik ve yönlendirme ilkelerine sahip bir Sanal WAN hub'ı. Güvenli bir sanal hub yerleşik yönlendirmeyle birlikte gelir, bu nedenle kullanıcı tanımlı yolları yapılandırmaya gerek yoktur.

• Ağ geçidi alt ağı. Sanal ağ geçitleri aynı alt ağda tutulur.

• Uç sanal ağları. Merkez-uç topolojisinde uç olarak kullanılan bir veya daha fazla sanal ağ. Uçlar kendi sanal ağlarındaki iş yüklerini yalıtmak için kullanılabilir ve diğer uçlardan ayrı olarak yönetilir. Her iş yükü birden fazla katman içerebilir. Birden fazla alt ağ, Azure yük dengeleyicileri aracılığıyla birbirine bağlanır.

• Sanal ağ eşlemesi. sanal ağ eşleme bağlantısı kullanılarak iki sanal ağ bağlanabilir. Eşleme bağlantıları, sanal ağlar arasındaki geçişsiz, düşük gecikme süreli bağlantılardır. Eşlendikten sonra sanal ağlar, yönlendiriciye gerek kalmadan Azure omurgasını kullanarak trafik alışverişinde bulunur. Merkez-uç ağ topolojisinde, hub'ı her uça bağlamak için sanal ağ eşlemesini kullanırsınız. Azure Sanal WAN, yalnızca eşleme kullanarak mümkün olmayan merkezler arasında geçiş sağlar.

Bileşenler

• Azure Sanal Ağ
• Azure Sanal WAN
• Azure VPN Ağ Geçidi
• Azure ExpressRoute
• Azure Güvenlik Duvarı

Alternatifler

Merkez-uç mimarisine iki yolla ulaşılabilir: müşteri tarafından yönetilen merkez altyapısı veya Microsoft tarafından yönetilen merkez altyapısı. Her iki durumda da uçlar sanal ağ eşlemesi kullanılarak hub'a bağlanır.

Avantajlar

Bu mimarinin bir Visio dosyasını indirin.

Bu diyagramda, bu mimarinin sağladığı avantajlardan birkaçı gösterilmektedir:

• Azure Sanal Ağ'ler arasında tam ağlı hub
• Daldan Azure bağlantısına
• Daldan Dala bağlantı
• VPN ve Express Route'un karma kullanımı
• Kullanıcı VPN'sinin siteye karma kullanımı
• Sanal ağdan sanal ağa bağlantı

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bunları geçersiz kılan belirli bir gereksiniminiz olmadığı sürece bunları izleyin.

Kaynak grupları

Merkez ve her uç farklı kaynak gruplarında ve daha da iyisi farklı aboneliklerde uygulanabilir. Farklı aboneliklerdeki sanal ağları eşlerken, her iki abonelik de aynı veya farklı bir Microsoft Entra kiracısı ile ilişkilendirilebilir. Bu, merkezdeki hizmetleri paylaşırken her iş yükünün merkezi olmayan bir şekilde yönetilmesini sağlar.

Sanal WAN

Aşağıdakilerden herhangi biri için bir gereksiniminiz varsa Standart Sanal WAN oluşturun:

• Daha yüksek aktarım hızı için ölçeklendirme

• Özel Bağlan ivity (Global Reach konumunda Premium Devre gerektirir)

• ExpressRoute VPN Ara Bağlantısı

• Azure İzleyici ile tümleşik izleme (Ölçümler ve Kaynak Durumu)

Standart Sanal WAN varsayılan olarak tam ağ içinde bağlanır. Standart Sanal WAN, tek bir hub'da ve merkezler arasında herhangi bir bağlantı (Siteden Siteye VPN, VNet, ExpressRoute, Noktadan siteye uç noktalar) destekler. Temel sanal WAN, tek bir hub'da yalnızca Siteden Siteye VPN bağlantısını, daldan dala bağlantıyı ve daldan sanal ağa bağlantıyı destekler.

Sanal WAN Merkezi

Sanal hub, Microsoft tarafından yönetilen bir sanal ağdır. Hub, bağlantıyı etkinleştirmek için çeşitli hizmet uç noktaları içerir. Hub, bir bölgedeki ağınızın merkezidir. Azure bölgesi başına birden çok hub olabilir. Daha fazla bilgi için bkz. Sanal WAN SSS.

Azure portalını kullanarak bir hub oluşturduğunuzda, bir sanal merkez sanal ağı ve bir sanal hub VPN ağ geçidi oluşturur. Sanal WAN Hub'ı için en az /24 adres aralığı gerekir. Bu IP adresi alanı, ağ geçidi ve diğer bileşenler için bir alt ağ ayırmak için kullanılır.

Güvenli sanal merkez

Sanal hub, güvenli bir sanal hub olarak oluşturulabilir veya oluşturulduktan sonra her zaman güvenli bir sanal hub'a dönüştürülebilir. Ek bilgi için bkz. Azure Güvenlik Duvarı Manager kullanarak sanal hub'ınızın güvenliğini sağlama.

GatewaySubnet

Ağ geçidini ayarlama hakkında daha fazla bilgi için bağlantınızın türüne bağlı olarak aşağıdaki başvuru mimarilerine bakın:

• ExpressRoute kullanarak hibrit ağ

• VPN Gateway kullanan karma ağ

Daha fazla kullanılabilirlik için ExpressRoute ve yük devretme için bir VPN kullanabilirsiniz. Bkz. Şirket içi bir ağı ExpressRoute kullanarak VPN yük devretme özelliğiyle birlikte Azure’a bağlama.

Şirket içi ağınızla bağlantıya ihtiyacınız olmasa bile merkez-uç topolojisi ağ geçidi olmadan kullanılamaz.

Sanal ağ eşleme

Sanal ağ eşlemesi, iki sanal ağ arasındaki geçişsiz bir ilişkidir. Ancak Azure Sanal WAN, uçların aralarında özel bir eşleme olmadan birbirleriyle bağlantı kurmasına olanak tanır.

Bununla birlikte, birbiriyle bağlanması gereken birkaç uç varsa, sanal ağ başına sanal ağ eşlemelerinin sayısındaki sınırlama nedeniyle olası eşleme bağlantıları çok hızlı bir şekilde tükenecektir. (Daha fazla bilgi için bkz. Ağ sınırları.) Bu senaryoda Azure VWAN, kullanıma açık işlevselliğiyle bu sorunu çözecektir. Ek bilgi için bkz. Genel geçiş ağı mimarisi ve Sanal WAN.

Uçları, uzak ağlarla iletişim kurmak için merkez ağ geçidini kullanacak şekilde de yapılandırabilirsiniz. Ağ geçidi trafiğinin uçtan merkeze akıp uzak ağlara bağlanmasına olanak sağlamak için şunları yapmalısınız:

• Ağ geçidi aktarımına izin vermek için hub'daki eşleme bağlantısını yapılandırın.

• Her uçtaki eşleme bağlantısını uzak ağ geçitlerini kullanacak şekilde yapılandırın.

• İletilen trafiğe izin vermek için tüm eşleme bağlantılarını yapılandırın.

Ek bilgi için bkz . Sanal ağ eşlemesi ile VPN ağ geçitleri arasında seçim yapma.

Hub uzantıları

DNS kaynakları, özel NVA'lar, Azure Bastion ve diğerleri gibi ağ genelinde paylaşılan hizmetleri desteklemek için her hizmeti sanal hub uzantısı desenini izleyerek uygulayın. Bu modelin ardından, doğrudan bir sanal hub'a dağıtamadığınız bu iş açısından kritik, paylaşılan hizmetleri tek tek kullanıma açmak için tek sorumluluklu uzantılar oluşturabilir ve çalıştırabilirsiniz.

Dikkat edilmesi gereken noktalar

Operations

Azure VWAN, Microsoft tarafından sağlanan yönetilen bir hizmettir. Teknoloji açısından bakıldığında, müşteri tarafından yönetilen merkez altyapısından tamamen farklı değildir. Azure Sanal WAN, uçlar arasında geçişli ağ bağlantısına sahip bir ağ topolojisi sunarak genel ağ mimarisini basitleştirir. Azure VWAN izlemesi, Azure İzleyici kullanılarak yapılabilir. Siteden siteye yapılandırma ve şirket içi ağlar ile Azure arasındaki bağlantı tam olarak otomatikleştirilebilir.

Güvenilirlik

Azure Sanal WAN, uçlar arasındaki ağ gecikme süresini iyileştirmenin yanı sıra gecikme süresinin öngörülebilirliğini sağlamaya yardımcı olan yönlendirmeyi işler. Azure Sanal WAN, birden çok bölgeye yayılan iş yükleri için farklı Azure bölgeleri arasında güvenilir bağlantı da sağlar. Bu kurulumla, Azure içindeki uçtan uca akış daha görünür hale gelir.

Performans

Azure Sanal WAN yardımıyla uçlar ve bölgeler arasında daha düşük gecikme süresi elde edilebilir. Azure Sanal WAN, 20 Gb/sn toplam aktarım hızına kadar ölçeklendirmenizi sağlar.

Ölçeklenebilirlik

Azure Sanal WAN, trafiği ihtiyaçlara göre kısıtlama özelliğini koruyarak uçlar arasında tam ağ bağlantısı sağlar. Bu mimari ile büyük ölçekli siteden siteye performans elde etmek mümkündür. Ayrıca, genel olarak dağıtılmış bulut iş yükleri kümeleri arasında herhangi bir bağlantıya olanak tanıyarak genel bir geçiş ağı mimarisi oluşturabilirsiniz.

Güvenlik

Azure VWAN'daki hub'lar, Azure Güvenlik Duvarı yararlanılarak güvenli HUB'lere dönüştürülebilir. Ağ yalıtımı elde etmek için kullanıcı tanımlı yollardan (UDR) yine aynı şekilde yararlanılabilir. Azure VWAN, şirket içi ağlar ile Azure sanal ağları arasındaki trafiğin ExpressRoute üzerinden şifrelenmesini sağlar.

Uygulama tasarımı en iyi yöntemleriyle birlikte Azure DDoS Koruması, DDoS saldırılarına karşı daha fazla savunma sağlamak için gelişmiş DDoS azaltma özellikleri sağlar. Herhangi bir çevre sanal ağında Azure DDOS Koruması'nı etkinleştirmeniz gerekir.

Uç bağlantısı ve paylaşılan hizmetler

Uçlar arasındaki Bağlan, Azure Sanal WAN kullanılarak zaten elde edilir. Ancak uç trafiğinde UDR'leri kullanmak, sanal ağları yalıtmak için yararlıdır. Tüm paylaşılan hizmetler, uçla aynı Sanal WAN da barındırılabilir.

Sanal ağ eşlemesi - Hub bağlantısı

Sanal ağ eşlemesi, iki sanal ağ arasındaki geçişsiz bir ilişkidir. Azure Sanal WAN kullanılırken sanal ağ eşlemesi Microsoft tarafından yönetilir. Bir hub'a eklenen her bağlantı, sanal ağ eşlemesini de yapılandıracaktır. Sanal WAN yardımıyla tüm uçların geçişli bir ilişkisi olacaktır.

Maliyet iyileştirme

Müşteri tarafından yönetilen merkez altyapısı, temel alınan Azure kaynaklarına yönetim maliyeti sağlar. Öngörülebilir bir gecikme süresiyle geçişli bağlantı elde etmek için her hub'a bir Ağ Sanal Gereci (NVA) veya Azure Güvenlik Duvarı dağıtmış olmanız gerekir. İki seçenekten biriyle Azure Güvenlik Duvarı kullanmak, NVA'ya kıyasla maliyeti düşürür. Azure Güvenlik Duvarı maliyetleri her iki seçenek için de aynıdır. Azure Sanal WAN için ek maliyet vardır; ancak kendi hub altyapınızı yönetmekten çok daha az maliyetlidir.

Daha fazla bilgi için bkz. fiyatlandırma Sanal WAN.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Yunus Emre Alpozen | Program Mimarı Çapraz İş Yükü

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

Daha fazla bilgi edinin:

• Azure'da merkez-uç ağ topolojisi

• Azure ile karma Etki Alanı Adı Sistemi çözümü tasarlama

• Güvenli bir karma ağ uygulama

• Azure ExpressRoute nedir?

• ExpressRoute kullanarak şirket içi ağı Azure'a Bağlan

• Sanal ağlar için Güvenlik Duvarı ve Application Gateway

• VPN kullanarak şirket içi ağı genişletme

• Ağ düzeyinde segmentasyon ile iş yüklerinin güvenliğini sağlama ve yönetme

İlgili kaynaklar

• Azure ile güvenlik duruşunuzu güçlendirme

• Sanal Ağ

• Azure ExpressRoute

• VPN Gateway

• Azure Güvenlik Duvarı