Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Sanal WAN
Azure Sanal Makine Ölçek Kümeleri
Azure ExpressRoute
Bu örnek iş yükü, bölge başına birden çok hub'a sahip bir Azure Sanal WAN dağıtımı gösterir. Kullanılabilirliği ve ölçeklenebilirliği geliştirmek için her merkez coğrafi olarak dağınık, yedekli Azure ExpressRoute bağlantı hatlarıyla eşler. Bu mimari, olağanüstü büyük ve kritik iş yüklerine yöneliktir. Uç sanal ağlarında bulunan iş birimlerini ve uygulamaları destekler. Uç sanal ağlarının genellikle internet-uç veya uç-uç bağlantısı için güvenlik gereksinimleri vardır.
Mimari
Bu mimarinin Visio dosyasını indirin.
İş Akışı
Aşağıdaki iş akışı önceki diyagrama karşılık gelir:
Uç sanal ağlarından, uçla aynı hub'a bağlı olan güvenlik sanal ağlarındaki ağ sanal gereci (NVA) güvenlik duvarları üzerinden İnternet yollarına giden trafik.
Uç kaynağı veya hedefiyle aynı hub'a bağlı NVA'lar uç sanal ağları ile şirket içi arasındaki tüm trafiği inceler. Bu yönlendirme, performansı iyileştirir ve şirket içi ile Azure arasındaki güvenli trafiği korur.
Farklı merkezlerde bulunan uçlar arasındaki trafik, uç>>> yolunu izler. Uç sahipleri daha fazla denetim istiyorsa, bunu kendi uçları içinde uygulamalıdırlar. Bu trafik ExpressRoute bağlantılarından geçmiyor ve güvenlik sanal ağ NVA'ları bunu denetlemez.
Aynı merkezdeki uç-uç trafiği, uç>> yolunu izler. Güvenlik sanal ağ NVA'ları bu trafiği denetlemez.
Bileşenler
ExpressRoute , şirket içi ortamlar ile Azure kaynakları arasında özel bağlantı sağlayan bir hizmettir. Bu mimaride ExpressRoute, kritik iş yüklerini desteklemek için yedekli devreleri kullanarak birden çok bölgede yüksek aktarım hızı ve düşük gecikme süresine sahip bağlantı sağlar.
Sanal WAN , Azure aracılığıyla iyileştirilmiş ve otomatik daldan dallara bağlantı sağlayan bir ağ hizmetidir. Bu mimaride Sanal WAN, geçiş omurgası görevi görür ve ExpressRoute aracılığıyla uçlar, merkezler ve şirket içi ortamlar arasındaki trafiği yönlendirir.
Özel yol tabloları, Sanal WAN hub'ları içinde kullanıcı tanımlı yönlendirme yapılandırmalarıdır. Bu mimaride, ağdan ağa trafiğin güvenlik duvarlarını atlamasına izin vererek trafik akışını en iyi duruma getirirken, ağlar ve şirket içi sistemler arasındaki trafiğin denetlenmesini sağlar.
Etiketler, Sanal WAN'da yol yayma işlemini basitleştiren mantıksal etiketlerdir. Bu mimaride, tek tek ağ yollarını tüm yol tablolarına el ile yayma gereğini ortadan kaldırır ve bu da yönlendirme yapılandırmasını ve kod olarak altyapı (IaC) dağıtımlarını basitleştirir.
NVA'lar, ağ trafiğinin akışını yönetmek için yönlendirmeyi denetleen sanal makinelerdir. Bu mimaride NVA'lar, uçlar arasındaki ve Azure ile şirket içi ortamlar arasındaki trafiği incelemek için her hub'a bağlı güvenlik sanal ağlarına dağıtılır. Güvenlik duvarı teknolojisine ve yönetimine yatırım yapmış büyük kuruluşlar genellikle NVA gerektirir.
Alternatifler
Alternatif olarak Azure yönlendirme sunucuları içeren merkez-uç sanal ağ modeli de kullanılabilir. Hub başına 50 Gb/sn sınırından daha iyi performansa sahip olabilirsiniz. Bu alternatif daha iyi performans sınırlarına sahiptir ancak daha karmaşıktır. Daha fazla bilgi için bkz. Azure'da merkez-uç ağ topolojisi.
Diğer bir alternatif olarak, ExpressRoute Direct ExpressRoute bağlantı hatlarını yerel ve standart bağlantı hatlarına böler. ExpressRoute Direct'i kullanmak için gerekli bant genişliği yeterliyse bu hizmet maliyeti iyileştirebilir.
Senaryo ayrıntıları
Bu dağıtım, bölge başına birden çok Sanal WAN hub kullanarak Sanal WAN ölçeklenebilirliğini en üst düzeye çıkarır. Her hub'ın destekleyebilecek sanal ağ bağlantısı sayısını bulmak için çözümünüzdeki toplam Sanal WAN hub sayısını 500'den çıkarırsınız. Dört hub içeren bu çözümde her merkez 496 sanal ağ bağlantısını destekleyebilir. Performans, hub sayısıyla doğrusal olarak ölçeklendirilir, bu nedenle bu çözüm olağanüstü performans ve sanal ağ ölçeklendirmesi sağlar.
Bu çözüm, Sanal WAN hub'ına ExpressRoute bağlantısı için açık bir bow-tie tasarımı kullanır. Her hub'ın coğrafi olarak dağınık iki ExpressRoute bağlantı hattı vardır. Bu tasarım birçok sorunu çözer ve NVA'ların kullanılmasını sağlar.
ExpressRoute, Sanal WAN için tercih edilen bir yoldur çünkü trafik farklı merkezlere bağlı iki uç arasında (örneğin, Spoke VNet1 ile Spoke VNet5) seyahat edebilir. Tasarım Region1 VWAN Hub1 ve Region2 VWAN Hub1'e bağlanan tek bir ExpressRoute bağlantı hattına sahip tam bir papyonsa uçlar arasındaki trafik Uç VNet1'de başlar ve region1 VWAN Hub1'e gider. ExpressRoute bağlantı hattının aşağısına gider ve ardından ExpressRoute yolunu Region2 VWAN Hub1'e ve ardından Spoke VNet5'e yedekler. Açık bow-tie tasarımı bu yolu ortadan kaldırır ve uç-merkez-merkez-uç yolunu etkinleştirir.
Bu çözüm farklı ExpressRoute bağlantı hatları kullandığından, tüm standart işletim trafiği için yerel ExpressRoute SKU'su kullanabilirsiniz. Olağanüstü durum kurtarma yolu nadiren kullanılır ve çözümdeki bant genişliği maliyetini optimize eden standart bir bağlantı hattı SKU'sudur.
Trafik, trafiğin kaynağının bulunduğu sanal ağ ile aynı hub'a bağlı olan güvenlik sanal ağında NVA kullanabilir. ExpressRoute hatası sırasında yedekleme yolu yerel NVA'yı kullanmaya devam eder. Yedekleme yolu yönlendirmeyi basitleştirir, birden çok bölgede denetlemeyi önleyerek performansı iyileştirir ve karmaşıklığı sınırlayarak asimetrik yol riskini en aza indirir.
Özel NVA tasarımı, Sanal WAN müşteri tanımlı rota tablolarını kullanarak yönlendirme esnekliği sağlar.
Bu dağıtım, her hub için yüksek oranda yedekli ExpressRoute bağlantısı sağlar. Yüksek oranda yedekli NVA'lar her hub'a eklenir.
Region1 Hub1 yol tabloları
Aşağıdaki tablolarda Region1 Hub1 için tanımlı yönlendirme seçenekleri gösterilmektedir.
Varsayılan (Hub1)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 10.0.0.0/16 | SecurityVNet1Connection/NVA iç IP adresi | Dallar | Dallar | varsayılan, Hub1Varsayılan |
Uçlar (Hub1)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet1Connection/NVA iç IP adresi | Spoke VNet1, Spoke VNet2 | - | Tüm İş Yükü Konuşmacıları |
| 0.0.0.0/0 | SecurityVNet1Connection/NVA iç IP adresi | Spoke VNet1, Spoke VNet2 | - | Tüm İş Yükü Konuşmacıları |
Güvenlik (Hub1)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| - | - | Güvenlik sanal ağı1 | - | Hub1SecuritySpokes, AllSecuritySpokes |
Region1 Hub2 yol tabloları
Aşağıdaki tablolarda Region1 Hub2 için tanımlı yönlendirme seçenekleri gösterilmektedir.
Varsayılan yol tablosu (Hub2)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 10.1.0.0/16 | SecurityVNet2Connection/NVA iç IP adresi | Dallar | Dallar | varsayılan, Hub2Varsayılan |
Uçlar (Hub2)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet2Connection/NVA iç IP adresi | Spoke VNet3, Spoke VNet4 | - | Tüm İş Yükü Konuşmacıları |
| 0.0.0.0/0 | SecurityVNet2Connection/NVA iç IP adresi | Spoke VNet3, Spoke VNet4 | - | Tüm İş Yükü Konuşmacıları |
Güvenlik (Hub2)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| - | - | Güvenlik sanal ağı2 | - | Hub2SecuritySpokes, AllSecuritySpokes |
Region2 Hub1 yol tabloları
Aşağıdaki tablolarda Region2 Hub1 için tanımlı yönlendirme seçenekleri gösterilmektedir.
Varsayılan (Hub3)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 10.2.0.0/16 | SecurityVNet3Connection/NVA iç IP adresi | Dallar | Dallar | varsayılan, Hub3Varsayılan |
Uçlar (Hub3)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet3Connection/NVA iç IP adresi | Bağlı Olan VNet5, Uç VNet6 | - | Tüm İş Yükü Konuşmacıları |
| 0.0.0.0/0 | SecurityVNet3Connection/NVA iç IP adresi | Bağlı Olan VNet5, Uç VNet6 | - | Tüm İş Yükü Konuşmacıları |
Güvenlik (Hub3)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| - | - | Güvenlik sanal ağı3 | - | Hub3SecuritySpokes, AllSecuritySpokes |
Region2 Hub2 yol tabloları
Aşağıdaki tablolarda Region2 Hub2 için tanımlı yönlendirme seçenekleri gösterilmektedir.
Varsayılan (Hub4)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 10.3.0.0/16 | SecurityVNet4Connection/NVA iç IP adresi | Dallar | Dallar | varsayılan, Hub4Varsayılan |
Uçlar (Hub4)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet4Connection/NVA iç IP adresi | Spoke VNet7, Spoke VNet8 | - | Tüm İş Yükü Konuşmacıları |
| 0.0.0.0/0 | SecurityVNet3Connection/NVA iç IP adresi | Spoke VNet7, Spoke VNet8 | - | Tüm İş Yükü Konuşmacıları |
Güvenlik (Hub4)
| Hedef | Sonraki atlama | İlişkili | Yayılır | Etiketler |
|---|---|---|---|---|
| - | - | Güvenlik sanal ağı4 | - | Hub4SecuritySpokes, AllSecuritySpokes |
Etiketler
| Etiket | Yayılan sanal ağ bağlantıları |
|---|---|
| Tüm İş Yükü Konuşmacıları | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet1Connection, SecurityVNet2Connection, SecurityVNet3Connection, SecurityVNet4Connection |
| Tüm Güvenlik Konuşmacıları | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection |
| Hub1Varsayılan | SecurityVNet1Connection |
| Hub2Varsayılan | GüvenlikVNet2Connection |
| Hub3Varsayılan | SecurityVNet3Connection |
| Hub4Varsayılan | GüvenlikVNet4Connection |
| Hub1GüvenlikSpokes | SpokeVNet1Connection, SpokeVNet2Connection, SecurityVNet1Connection |
| Hub2GüvenlikSpokes | SpokeVNet3Connection, SpokeVNet4Connection, SecurityVNet2Connection |
| Hub3GüvenlikSpokes | SpokeVNet5Connection, SpokeVNet6Connection, SecurityVNet3Connection |
| Hub4Güvenlik Konuşmacıları | SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet4Connection |
Bu ağ mimarisi, Sanal WAN için Bulut Benimseme Çerçevesi sorunsuz bir şekilde tümleşir. Sanal WAN hizmeti, ExpressRoute bağlantıları, güvenlik duvarları ve bu durumda güvenlik sanal ağları bağlantı aboneliğindedir. İş yükleri, ağ güvenlik grupları ve uç sanal ağları, iş yükü veya uygulama sahibinin ayrı giriş bölgesi aboneliklerinde yer alır.
Daha fazla bilgi için bkz. Sanal WAN ağ topolojisi.
Olası kullanım örnekleri
Bu tasarım, Azure'daki yeterli boyuttaki ve ayak izine sahip tüm işletmeler için geçerlidir. İşletme aşağıdakiler için bu tasarımı kullanabilir:
- Var olan çok protokollü etiket değiştirme (MPLS) veya üçüncü taraf dağıtımlarını Sanal WAN.
- Büyük ölçekli bulut ortamlarını şirket içi ortamlara bağlayın.
- Tek bir kiracıda farklı gereksinimlere ve sahipliklere sahip çeşitli iş birimlerini ve uygulamaları destekleyin.
Öneriler
ExpressRoute
- Büyük ölçekli ağlara sahip müşteriler genellikle daha önce bağlantı noktaları kurmuştur ve bağlantı hatları için yüksek bant genişliğine ihtiyaç duyar. NetBond gibi büyük ölçekli bir MPLS'den geçiş yaparsanız ve 40 Gb/sn'den fazla bağlantı hattı bağlantısı gerektiriyorsanız, ağ altyapınızdan yararlanabilir ve ExpressRoute Direct'i kurabilirsiniz. ExpressRoute Direct, yüksek güvenlikli iş yükleri için MACsec şifrelemesini destekler.
- Maliyet iyileştirme için yerel ExpressRoute bağlantılarını kullanarak birincil ExpressRoute bağlantı hattını seçtiğiniz bölgesel hub'a eşler. Yedekleme ExpressRoute bağlantı hattı standart ExpressRoute bağlantılarını kullanmalıdır.
Konuştu
- İnternet çıkışı: Çıkış İnternet trafiği, bu trafiğin kaynak sanal ağıyla aynı hub'a bağlı yerel NVA güvenlik duvarı üzerinden yönlendirilmelidir.
- İnternet giriş denetimi: Müşteriler uç iş yükleri için giriş İnternet bağlantısını denetleyebiliyor. Uçlara trafiğin WAF denetimi için Azure Uygulaması lication Gateway veya Azure Front Door kullanabilirler. Sanal WAN hub'ı tarafından tanıtılan 0.0.0.0/0 yolu ile yönlendirme çakışmalarını önlemek için kaynak ağ adresi çevirisi (SNAT) gereklidir.
- Ağ güvenlik grupları: Uç sanal ağınızda bulunan uygulamanın güvenliğini özelleştirmek için ağ güvenlik gruplarını kullanın.
NVA (NVA)
- Yedeklilik: NVA dağıtım yedekliliği için en iyi yöntem mimarisini izleyin. Ön uç ve arka uç desteği sağlamak için birden çok sanal makine veya ölçek kümesi ve yük dengeleyici kullanın.
Sanal WAN hub yönlendirmesi
- Uç sanal ağ bağlantıları, belirli yönlendirme tablolarına değil yalnızca yönlendirme tablosu etiketlerine yayılmalıdır. Bu uygulama, kod olarak altyapı kullanan yaklaşımları basitleştirir.
- Güvenlik sanal ağ yollarının yayılmasına izin vermek ve bunları yalnızca bu hub'ın varsayılan yol tablosuyla sınırlamak için her hub'ın kendi varsayılan hub etiketi olmalıdır. Yerleşik varsayılan etiketi kullanırsanız, tüm hub'lara yayılır.
- Her hub'ın güvenlik sanal ağı için bir yönlendirme tablosu etiketi olmalıdır. Sanal ağ bağlantıları belirli bir yol tablosu yerine etikete yayılacağından bu uygulama kod olarak altyapıyı kolaylaştırır.
Dikkat edilmesi gereken noktalar
Bu önemli noktalar, iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.
Güvenilirlik
Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesine yardımcı olur. Daha fazla bilgi için bkz . Güvenilirlik için tasarım gözden geçirme denetim listesi.
Bu iş yükü Sanal WAN, yedekli ExpressRoute bağlantı hatları ve NVA'lar için ölçek kümeleri ile yüksek kullanılabilirliği iyileştirir. Bu birleşim, son derece kritik iş yükleri için gerekli olan yedekliliğe neden olur.
Güvenlik
Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanımına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik için tasarım gözden geçirme denetim listesi.
Bu iş yükü, Azure ile şirket içi sistemler arasında güvenlik duvarı denetimi ve Azure'dan giden İnternet trafiği için denetim sağlar. Gelen İnternet trafiği için Azure Front Door veya Application Gateway'i göz önünde bulundurun. Yönlendirme çakışmalarını önlemek için SNAT kullanın.
Maliyet İyileştirme
Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarına odaklanır. Daha fazla bilgi için bkz . Maliyet İyileştirme için tasarım gözden geçirme denetim listesi.
Azure bileşenlerinin maliyetleri için bkz. Azure fiyatlandırma hesaplayıcısı. Bu çözümün fiyatlandırması aşağıdakiler gibi faktörlere bağlıdır:
- Kullanılan Azure hizmetleri.
- ExpressRoute boyutlandırması.
- Her hub'ın işlediği Sanal WAN boyutlandırma ve veri trafiği miktarları.
- NVA fiyatlandırması.
Bu iş yükü düşük maliyete göre performans ve kullanılabilirliğe öncelik sağlar. Ancak birincil bağlantılar için ExpressRoute Yerel'in kullanılması, bant genişliği giderlerini sınırladığı için maliyeti iyileştirir. Maliyeti iyileştirmek için performans ve güvenilirliği tehlikeye atmak istiyorsanız ExpressRoute bağlantı hatlarının ve güvenlik duvarlarının sayısını azaltabilirsiniz. Bu kaynakları azalttığınızda maliyet azalır, ancak şirket içi veya bulut hedeflerine bağlandığınızda Sanal WAN hub'ları daha az verimlilikle geçiş yapılır.
Operasyonel Mükemmellik
Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesi.
Bu tasarım Terraform ve kod olarak altyapı ile uyumludur. Özellik kullanılabilirliğindeki Sanal WAN gecikme nedeniyle dağıtım için Terraform Azure API sağlayıcısını gerektirir.
Performans Verimliliği
Performans Verimliliği, iş yükünüzün kullanıcı taleplerini verimli bir şekilde karşılayacak şekilde ölçeklendirebilmesini ifade eder. Daha fazla bilgi için bkz . Performans Verimliliği için tasarım gözden geçirme denetim listesi.
Bu ağ yüksek performanslıdır. Bağlantı başarısız olsa bile performans ve yönlendirme kullanılabilir en iyi yolu kullanır.
Bu senaryoyu dağıtın
Aşağıdaki adımlar Sanal WAN hizmeti, merkezler, uç sanal ağları ve ExpressRoute bağlantılarını oluşturur. Öğretici için bkz. Azure Sanal WAN ile ExpressRoute ilişkilendirmesi oluşturma.
- bir Sanal WAN hizmeti oluşturun.
- Her hub'a birden çok hub ve ExpressRoute ağ geçidi dağıtın.
- İş yükünüzü desteklemek ve bunları istenen hub'lara bağlamak için gerekli sayıda iş yükü uç sanal ağını dağıtın.
- ExpressRoute bağlantı hatlarınız ve hub'larınız arasında bağlantı kurun.
- Her hub için bir güvenlik sanal ağı dağıtın.
- Seçtiğiniz NVA'yi dağıtın ve güvenlik duvarını yapılandırın. Bu adım için NVA'ya özgü belgeleri kullanın. Yol tablolarını ve etiketlerini oluşturmak için Sanal hub yönlendirmesini yapılandırma: Azure portalı - Azure Sanal WAN'daki örneği kullanın.
- Yönlendirmeyi doğrulayın.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazarlar:
- Ethan Haslett | Üst Düzey Bulut Çözümü Mimarı
- John Poetzinger | Üst Düzey Bulut Çözümü Mimarı
Diğer katkıda bulunanlar:
- Jimmy Avila | Üst Düzey Bulut Çözümü Mimarı
- Andrew Delosky | Ana Bulut Çözümü Mimarı
- Robert Lightner | Üst Düzey Bulut Çözümü Mimarı
- Rodrigo Santos | Ana Bulut Çözümü Mimarı
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
- Sanal hub yönlendirme hakkında
- Özel ayarları kullanarak NVA'lar aracılığıyla trafiği yönlendirme
- Azure Sanal WAN'daki ExpressRoute bağlantıları hakkında
- Azure Sanal WAN nedir?