Şirket içi bir ağı ExpressRoute kullanarak Azure’a bağlama

Azure ExpressRoute

Azure Sanal Ağ

Azure VPN Gateway

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile Azure ExpressRoute kullanarak bir şirket içi ağı Azure sanal ağına bağlamayı gösterir.

Architecture

Bu mimarinin bir Visio dosyasını indirin.

Workflow

Mimari aşağıdaki bileşenlerden oluşur.

• Şirket içi ağı. Bir kuruluşun içinde çalışan özel bir yerel ağ.

• Azure sanal ağları. Her sanal ağ tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir. Her sanal ağdaki alt ağları kullanarak uygulama katmanlarını segmentlere ayırabilirsiniz.

  • Ağ geçidi alt ağı. Sanal ağ geçitleri aynı alt ağda bulunur.

• VPN gereci. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet. VPN gereci bir donanım cihazı veya Windows Server 2012'deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir. Desteklenen VPN gereçlerinin listesini görmek ve Azure'a bağlanmak için belirli VPN gereçlerini yapılandırma hakkında bilgi edinmek istiyorsanız bkz. Siteden siteye VPN Gateway bağlantıları için VPN cihazları hakkında.

• ExpressRoute bağlantı hattı. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.

  • Yerel uç yönlendiricileri. Şirket içi ağı sağlayıcı tarafından yönetilen bağlantı hattına bağlayan yönlendiriciler. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

  • Microsoft uç yönlendiricileri. Etkin-etkin, yüksek oranda kullanılabilir bir yapılandırmada iki yönlendirici. Bu yönlendiriciler, bağlantı sağlayıcılarının bağlantı hatlarını doğrudan veri merkezlerine bağlamasına olanak sağlar. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

• ExpressRoute sanal ağ geçidi. ExpressRoute sanal ağ geçidi, Azure sanal ağının şirket içi ağınızla bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasını sağlar.

• VPN sanal ağ geçidi. VPN sanal ağ geçidi, Azure sanal ağının şirket içi ağdaki VPN aletine bağlanmasına olanak tanır. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.

• VPN bağlantısı. Bağlantı, trafiği şifrelemek için bağlantı türünü (IPsec) ve şirket içi VPN gereci ile paylaşılan anahtarı belirten özelliklere sahiptir.

• Azure genel hizmetleri. Hibrit bir uygulama içinde kullanılabilen Azure hizmetleri. Bu hizmetler İnternet üzerinden de kullanılabilir, ancak expressRoute bağlantı hattı kullanarak bunlara erişmek düşük gecikme süresi ve daha öngörülebilir performans sağlar, çünkü trafik İnternet üzerinden gitmez.

• Microsoft 365 hizmetleri. Microsoft'un sağladığı genel kullanıma açık Microsoft 365 uygulamaları ve hizmetleri. Bağlantılar, kuruluşunuza ait olan veya bağlantı sağlayıcınız tarafından sağlanan Microsoft eşlemesini ve adreslerini kullanır. Microsoft eşlemesini kullanarak doğrudan Microsoft CRM Online'a da bağlanabilirsiniz.

• Bağlantı sağlayıcıları (gösterilmez). Veri merkezinizle Azure veri merkezi arasında katman 2 veya katman 3 bağlantısını kullanarak bağlantı sağlayan şirketler.

Components

• Azure ExpressRoute. ExpressRoute'u kullanarak şirket içi ağlarınızı bir bağlantı sağlayıcısının yardımıyla özel bir bağlantı üzerinden Microsoft bulutuna genişletebilirsiniz. ExpressRoute ile Azure ve Microsoft 365 gibi Microsoft bulut hizmetlerine bağlantı kurabilirsiniz.

• Azure Sanal Ağı. Azure Sanal Ağ, Azure'da özel ağınız için temel yapı taşıdır. Sanal Ağ, Azure sanal makineleri gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla gelişmiş güvenlikle iletişim kurmasını sağlar.

• Azure VPN Gateway. VPN Gateway, siteden siteye sanal özel ağ (VPN) bağlantısı kullanarak şirket içi ağınızı bir Azure sanal ağına bağlamanızı sağlayan bir sanal ağ geçididir.

Senaryo ayrıntıları

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile ExpressRoute kullanarak bir şirket içi ağı azure sanal ağına bağlamayı gösterir. ExpressRoute bağlantısı üzerinden şirket içi ağ ile Azure sanal ağı arasındaki trafik akışları. ExpressRoute bağlantı hattında bağlantı kaybı varsa trafik bir IPsec VPN tüneli üzerinden yönlendirilir. Bu çözümü dağıtın.

ExpressRoute bağlantı hattı kullanılamıyorsa, VPN yolu yalnızca özel eşleme bağlantılarını işler. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçer.

Recommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Bağlantı sağlayıcıları

Konumunuz için uygun bir ExpressRoute bağlantı sağlayıcısı seçin. Bulunduğunuz konumda bulunan bağlantı sağlayıcılarının listesini almak için aşağıdaki PowerShell komutunu kullanın:

Get-AzExpressRouteServiceProvider

ExpressRoute bağlantı sağlayıcıları, veri merkezinizi Microsoft'a bağlamak için aşağıdaki yolları kullanır:

• Bulut değişiminde ortak yerleşim. Bulut değişimi olan bir tesiste birlikte bulunuyorsanız, ortak konum sağlayıcısının Ethernet değişimi aracılığıyla Azure'a sanal çapraz bağlantılar sipariş edebilirsiniz. Ortak konum sağlayıcıları, ortak konum tesisi ile Azure'daki altyapınız arasında katman 2 çapraz bağlantıları veya yönetilen katman 3 çapraz bağlantıları sunabilir.

• Noktadan noktaya Ethernet bağlantıları. Noktadan noktaya Ethernet bağlantılarını kullanarak şirket içi veri merkezlerinizi/ofislerinizi Azure'a bağlayabilirsiniz. Noktadan noktaya Ethernet sağlayıcıları, siteniz ile Azure arasında katman 2 bağlantıları veya yönetilen katman 3 bağlantıları sağlayabilir.

• Herhangi bir ağdan herhangi bir ağa (IPVPN). Geniş alan ağınızı (WAN) Azure ile tümleştirebilirsiniz. İnternet protokolü sanal özel ağ (IPVPN) sağlayıcıları, şube ofisleriniz ve veri merkezleriniz arasında herhangi bir bağlantı sunar. (IPVPN genellikle çok protokollü bir etiket değiştirme VPN'idir.) Azure, wan'ınıza bağlanarak diğer şube ofisleri gibi görünmesini sağlayabilir. WAN sağlayıcıları genel olarak yönetilen katman 3 bağlantısı sağlar.

Bağlantı sağlayıcıları hakkında daha fazla bilgi için bkz. ExpressRoute tanıtımı.

ExpressRoute bağlantı hattı

ExpressRoute bağlantı hattı oluşturmak için aşağıdaki adımları kullanabilirsiniz.

1. Aşağıdaki PowerShell komutunu çalıştırın:

   New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>
   

2. Yeni bağlantı hattına ait ServiceKey değerini hizmet sağlayıcısına gönderin.

3. Sağlayıcının bağlantı hattını sağlamasını bekleyin. Bağlantı hattının sağlanma durumunu doğrulamak için aşağıdaki PowerShell komutunu çalıştırın:

   Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
   

   Çıkışın Provisioning stateService Provider bölümündeki alan, devre hazır olduğunda olarak değişir NotProvisionedProvisioned .

   Note

   Katman 3 bağlantısı kullanıyorsanız, sağlayıcı yönlendirmeyi sizin için yapılandırmalı ve yönetmelidir. Sağlayıcının uygun yolları uygulamasına olanak tanıyacak bilgileri sunmanız gerekir.

4. Katman 2 bağlantısı kullanıyorsanız:

   1. Uygulamak istediğiniz her eşleme türü için geçerli genel IP adreslerinden oluşan iki /30 alt ağı ayırın. Bu /30 alt ağları, bağlantı hattı için kullanılan yönlendiricilerin IP adreslerini sağlamak için kullanılır. Özel ve Microsoft eşlemesi uyguluyorsanız, geçerli genel IP adreslerine sahip dört /30 alt ağınız olmalıdır.

   2. ExpressRoute bağlantı hattı için yönlendirmeyi yapılandırın. Hem özel hem de Microsoft eşlemesi için aşağıdaki PowerShell komutlarını çalıştırın. Daha fazla bilgi için bkz. ExpressRoute bağlantı hattına ait yönlendirmeyi oluşturma ve değiştirme.

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>
      

   3. Microsoft eşlemesi için ağ adresi çevirisi (NAT) için kullanılacak başka bir genel IP adresi havuzu ayırın. Her eşleme için farklı bir havuza sahip olmanız önerilir. Bu aralıklar için Sınır Ağ Geçidi Protokolü (BGP) tanıtımlarını yapılandırabilmesi için bağlantı sağlayıcınıza havuzu belirtin.

VPN ve ExpressRoute ağ geçitleri

Azure sanal ağınızda zaten bir VPN sanal ağ geçidi varsa, mevcut sanal ağ geçidini silmenize gerek kalmadan ExpressRoute sanal ağ geçidi oluşturabilirsiniz.

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve şirket içi VPN ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

Sanal ağ geçidi bağlantılarını oluşturduktan sonra aşağıdaki adımları izleyerek ortamı test edin:

1. Şirket içi ağınızdan Azure sanal ağınıza bağlanabildiğinizden emin olun.
2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.
3. VPN sanal ağ geçidi bağlantısını kullanarak şirket içi ağınızdan Azure sanal ağınıza hala bağlanabildiğinizi doğrulayın.
4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.

Troubleshooting

Daha önce çalışan bir ExpressRoute bağlantı hattı bağlanamıyorsa ve şirket içinde veya özel sanal ağınızda yapılandırma değişikliği yoksa, sorunu düzeltmek için bağlantı sağlayıcısına başvurmanız ve onlarla çalışmanız gerekebilir. ExpressRoute bağlantı hattının doğru şekilde sağlandığını doğrulamak için aşağıdaki PowerShell komutlarını kullanın:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Bu komutun çıktısı, burada gösterildiği gibi bağlantı hattınız için , ProvisioningStateve CircuitProvisioningStategibi ServiceProviderProvisioningStateçeşitli özellikleri gösterir:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Yeni bir bağlantı hattı oluşturmaya çalıştıktan sonra olarak ayarlı ProvisioningState değilseSucceeded, aşağıdaki komutu kullanarak devreyi kaldırın ve yeniden oluşturmayı deneyin.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Sağlayıcınız bağlantı hattını zaten sağladıysa ve ProvisioningState olarak ayarlandıysa Failed veya CircuitProvisioningState değilse Enabledyardım için sağlayıcınıza başvurun.

Considerations

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Reliability

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz. Güvenilirlikiçin tasarım gözden geçirme denetim listesi .

ExpressRoute, yüksek kullanılabilirlik için Etkin Bekleme Yönlendirme Protokolü (HSRP) ve Sanal Yönlendirici Yedeklilik Protokolü (VRRP) gibi yönlendirici yedeklilik protokollerini desteklemez. Bunun yerine, eşleme başına bir çift yedekli BGP oturumu kullanır. Azure, ağınıza yüksek oranda kullanılabilir bağlantıları kolaylaştırmak için etkin-etkin bir yapılandırmada iki yönlendiricide (Microsoft edge'in bir parçası) iki yedekli bağlantı noktası sağlar.

BGP oturumları için varsayılan olarak 60 saniyelik bir boşta kalma zaman aşımı değeri kullanılır. Oturum üç kez zaman aşımına uğrarsa (toplam 180 saniye), yönlendirici kullanılamıyor olarak işaretlenir ve tüm trafik kalan yönlendiriciye yönlendirilir. Bu 180 saniyelik zaman aşımı, kritik uygulamalar açısından çok uzun olabilir. Gerekirse, şirket içi yönlendiricideki BGP zaman aşımı ayarlarınızı daha kısa bir süreye değiştirebilirsiniz. ExpressRoute, özel eşleme üzerinden çift yönlü iletme algılamasını (BFD) da destekler. ExpressRoute üzerinden BFD'yi etkinleştirerek, Microsoft Enterprise Edge (MSEE) cihazları ile ExpressRoute bağlantı hattını sonlandırdığınız yönlendiriciler arasında bağlantı hatası algılamayı hızlandırabilirsiniz. ExpressRoute'u Müşteri Uç yönlendirme cihazları veya İş Ortağı Edge yönlendirme cihazları üzerinden sonlandırabilirsiniz (yönetilen katman 3 bağlantı hizmetiniz varsa).

Kullandığınız sağlayıcı türüne ve yapılandırmak istediğiniz ExpressRoute bağlantı hatlarının ve sanal ağ geçidi bağlantılarının sayısına bağlı olarak Azure bağlantınız için yüksek kullanılabilirliği farklı şekillerde yapılandırabilirsiniz. Kullanılabilirlik seçeneklerinizin özeti aşağıdadır:

• Katman 2 bağlantısı kullanıyorsanız, şirket içi ağınızdaki yedekli yönlendiricileri etkin-etkin bir yapılandırmada dağıtın. Birincil bağlantı hattını bir yönlendiriciye, ikincil devreyi de diğerine bağlayın. Bu yapılandırma her iki uçta da yüksek oranda kullanılabilir bir bağlantı sağlar. ExpressRoute hizmet düzeyi sözleşmesine (SLA) ihtiyacınız varsa bu yapılandırma gereklidir. Daha fazla bilgi için bkz. Azure ExpressRoute için SLA.

  Aşağıdaki diyagramda, yedekli şirket içi yönlendiricilerin birincil ve ikincil bağlantı hatlarına bağlı olduğu bir yapılandırma gösterilmektedir. Her bağlantı hattı, özel eşleme için trafiği işler. (Her eşleme, önceki bölümde açıklandığı gibi bir çift /30 adres alanı olarak atanır.)

  

• Katman 3 bağlantısı kullanıyorsanız, bunun sizin için kullanılabilirliği işleyen yedekli BGP oturumları sağladığını doğrulayın.

• Maksimum dayanıklılık gerekiyorsa, farklı eşleme konumlarına birden çok bağlantı hattı oluşturun. Yüksek dayanıklılık için ExpressRoute Metro , birden çok eşleme konumuna sahip tek bir bağlantı hattı sağlar.

  • Her bağlantı hattı için, tek bir sağlayıcı kesintisi nedeniyle ağ kesintisi riskini en aza indirmek için farklı bir hizmet sağlayıcısını göz önünde bulundurun.

• ExpressRoute için bir yük devretme yolu olarak siteden siteye bir VPN yapılandırın. Bu seçenek hakkında daha fazla bilgi için bkz . VPN yük devretmesi ile ExpressRoute kullanarak şirket içi ağı Azure'a bağlama. Bu seçenek, yalnızca özel eşleme için geçerlidir. Azure ve Microsoft 365 hizmetleri için tek yük devretme yolu İnternet'tir.

Security

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlikiçin tasarım gözden geçirme denetim listesi .

Azure bağlantınıza yönelik güvenlik seçeneklerini, güvenlikle ilgili endişelerinize ve uyumluluk gereksinimlerinize bağlı olarak farklı şekillerde yapılandırabilirsiniz.

ExpressRoute katman 3’te çalışır. Trafiği meşru kaynaklarla kısıtlayan bir ağ güvenlik gereci kullanarak uygulama katmanındaki tehditlere karşı koruma sağlayabilirsiniz.

Güvenliği geliştirmek için şirket içi ağ ile sağlayıcı uç yönlendiricileri arasında ağ güvenlik gereçleri ekleyin. Bu, sanal ağdan yetkisiz trafik akışını kısıtlamaya yardımcı olur:

Denetim veya uyumluluk için sanal ağda çalışan bileşenler için doğrudan İnternet erişimini engellemeniz ve zorlamalı tünel uygulamanız gerekebilir. Bu durumda, İnternet trafiği şirket içinde çalışan ve denetlenebileceği bir ara sunucu üzerinden yeniden yönlendirilmelidir. Proxy'yi yetkisiz trafiğin dışarı akmasını engelleyecek ve kötü amaçlı olabilecek gelen trafiği filtreleyecek şekilde yapılandırabilirsiniz.

Güvenliği artırmak için VM'leriniz için genel IP adresini etkinleştirmeyin ve NSG'leri kullanarak bu VM'lerin genel olarak erişilebilir olmadığından emin olun. VM'ler yalnızca iç IP adresi aracılığıyla kullanılabilir olmalıdır. Bu adresleri ExpressRoute ağı üzerinden erişilebilir hale getirebilirsiniz. Bu sayede şirket içi DevOps personeli yapılandırma veya bakım gerçekleştirebilir.

VM'ler için yönetim uç noktalarını bir dış ağda kullanıma sunmanız gerekiyorsa, NSG'leri veya erişim denetim listelerini kullanarak bu bağlantı noktalarının görünürlüğünü IP adresleri veya ağların izin verilenler listesiyle kısıtlayın.

Note

Azure portalı aracılığıyla dağıtılan Azure VM'leri, oturum açma erişimi sağlayan bir genel IP adresi içerebilir. Ancak, bu erişimi yasaklamanın en iyi yöntemidir.

Varsayılan olarak, ExpressRoute bağlantısına geçen trafik şifrelenmez. İsteğe bağlı olarak şifrelemeyi MACsec tarafından noktadan noktaya şifreleme veya IPsec tarafından uçtan uca şifreleme olacak şekilde yapılandırabilirsiniz; MACsec yalnızca ExpressRoute Direct için kullanılabilir. Daha fazla bilgi için bkz. Azure ExpressRoute için şifreleme hakkında.

Aktarım sırasında verilerinizin üzerinde oynanmadığından emin olmak için, özel eşlemenin yapılandırması sırasında ExpressRoute bağlantı hattında bir MD5 karması yapılandırabilir veya Microsoft eşlemesi şirket içi yol ile MSEE yönlendiricileri arasındaki iletilerin güvenliğini sağlayabilirsiniz.

Güvenlikle ilgili diğer konular için bkz. ExpressRoute için Azure güvenlik temeli.

Maliyet İyileştirme

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet İyileştirmeiçin tasarım gözden geçirme denetim listesi.

ExpressRoute maliyetle ilgili dikkat edilmesi gerekenler için şu makalelere bakın:

• Azure ExpressRoute ile Karma Ağ Mimarisi yapılandırmada maliyetle ilgili dikkat edilmesi gerekenler.

ExpressRoute

Bu mimaride, uç yönlendiriciler aracılığıyla şirket içi ağı Azure ile birleştirmek için bir ExpressRoute bağlantı hattı kullanılır.

ExpressRoute iki fiyatlandırma planı sunar. Tarifeli Veri planıyla tüm gelen veri aktarımı ücretsizdir. Tüm giden veri aktarımı, önceden belirlenmiş bir ücrete göre ücretlendirilir.

Sınırsız Veri planı ile tüm gelen ve giden veri aktarımı ücretsizdir. Yüksek kullanılabilirlik çift bağlantı noktası temelinde sabit aylık bağlantı noktası ücreti alınır.

Kullanımınızı hesaplayın ve buna göre bir faturalama planı seçin. Kullanımın yaklaşık %68'ini aşarsanız Sınırsız Veri planını öneririz.

Daha fazla bilgi için bkz . Azure ExpressRoute fiyatlandırması.

Azure Sanal Ağ

Tüm uygulama katmanları tek bir sanal ağda barındırılır ve alt ağlara ayrılır.

Azure Sanal Ağ ücretsizdir. Her abonelik için tüm bölgelerde en fazla 1.000 sanal ağ oluşturabilirsiniz. Bir sanal ağın sınırları içinde gerçekleşen tüm trafik ücretsizdir, bu nedenle tek bir sanal ağdaki iki VM arasındaki iletişim ücretsizdir.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz. operasyonel mükemmellikiçin tasarım gözden geçirme denetim listesi .

• Ağ yolunda sorunun nerede olduğunu belirleyerek ve yapılandırma veya donanım hatalarını çözmenize yardımcı olarak Ağ sorunlarını algılamak için Bağlantı İzleyicisi'ni yapılandırın.
• Ağ değişikliklerine yanıt olarak tabloları yönlendirmek için en iyi yol seçimini ve otomatik güncelleştirmeleri sağlayarak daha verimli ve esnek yönlendirme sağlamak için eBGP protokolü üzerinden Dinamik Yönlendirme'yi yapılandırmayı göz önünde bulundurun.
• Neredeyse gerçek zamanlı performans ve ağ durumu ölçümleri için Ağ İçgörüleri ile ExpressRoute ve ExpressRoute İçgörüleri için Trafik Toplayıcıyı yapılandırın.

Siteden siteye VPN DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ve Şirket içi VPN ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Performans Verimliliği

Performans Verimliliği, iş yükünüzün kullanıcılar tarafından talep edilen talepleri verimli bir şekilde karşılayacak şekilde ölçeklendirilebilmesidir. Daha fazla bilgi için bkz. Performans Verimliliğiiçin Tasarım gözden geçirme denetim listesi.

ExpressRoute bağlantı hatları, ağlar arasında yüksek bant genişliğine sahip bir yol sağlar. Genel olarak bant genişliği ne kadar yüksek olursa maliyet de o kadar yüksek olur.

Note

ExpressRoute ağ geçidinin iş yükü gereksinimlerini karşıladığından emin olmak için Azure Bağlantı Araç Seti kullanın.

ExpressRoute iki fiyatlandırma planı sunar: Tarifeli Plan ve Sınırsız Veri planı. Ücretler, bağlantı hattı bant genişliğine göre değişir. Kullanılabilir bant genişliği büyük olasılıkla sağlayıcıdan sağlayıcıya farklılık gösterir. Bölgenizdeki sağlayıcıları ve sundukları bant genişliklerini görmek için Get-AzExpressRouteServiceProvider cmdlet’ini kullanın.

Tek bir ExpressRoute bağlantı hattı belirli sayıda eşlemeyi ve sanal ağ bağlantısını destekleyebilir. Daha fazla bilgi için bkz. ExpressRoute sınırları .

ExpressRoute Premium eklentisi aşağıdakileri sağlar:

• Özel eşleme için yol sınırları artırıldı.
• ExpressRoute bağlantı hattı başına artan sayıda sanal ağ bağlantısı.
• Hizmetler için genel bağlantı.

Daha fazla bilgi için bkz. ExpressRoute fiyatlandırması.

Bazı sağlayıcılar bant genişliğinizi değiştirmenize izin verse de, gereksinimlerinizi aşan ve büyüme için yer sağlayan bir başlangıç bant genişliği seçtiğinizden emin olun. Gelecekte bant genişliğini artırmanız gerekiyorsa iki seçeneğiniz vardır:

• Bant genişliğini artırın. Bu seçenekten mümkün olduğunca kaçının. Tüm sağlayıcılar bant genişliğini dinamik olarak artırmanıza izin vermez. Ancak bant genişliği artışına ihtiyacınız varsa, PowerShell komutlarını kullanarak ExpressRoute bant genişliği özelliklerinin değiştirilmesini desteklediğinden emin olmak için sağlayıcınıza başvurun. Bunu yaparlarsa aşağıdaki komutları çalıştırın:

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Bant genişliğini, bağlantı kaybı yaşamadan arttırabilirsiniz. Bağlantı hattını silmeniz ve yeni yapılandırmayla yeniden oluşturmanız gerektiğinden bant genişliğini düşürmek bağlantıyı kesintiye uğratır.

• Fiyatlandırma planınızın değiştirin ve/veya Premium’a geçiş yapın. Bunun için aşağıdaki komutları çalıştırın. Sku.Tier özelliği veya StandardolabilirPremium. Sku.Name özelliği veya MeteredDataolabilirUnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Important

  özelliğinin Sku.Name ve Sku.Tierile eşleştiğinden Sku.Family emin olun. Aileyi ve katmanı değiştirir ancak adı değiştirmezseniz, bağlantınız devre dışı bırakılır.

  SKU'yu kesinti olmadan yükseltebilirsiniz, ancak sınırsız fiyatlandırma planından tarifeli plana geçemezsiniz. SKU'yu eski sürüme düşürürseniz bant genişliği tüketiminiz Standart SKU'nun varsayılan sınırı içinde kalmalıdır.

ExpressRoute ölçeklenebilir ağ geçitleri, el ile müdahale etmek zorunda kalmadan performans gereksinimlerini karşılamak için ExpressRoute Sanal Ağ Geçidini otomatik olarak ölçeklendirme olanağı sunar.

Daha yüksek aktarım hızı için ExpressRoute FastPath'i etkinleştirerek ağ geçidini atlayabilir ve şirket içi ağınızla Azure sanal ağları arasındaki veri yolu performansını geliştirebilirsiniz.

Bu senaryoyu dağıtın

Prerequisites. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.

1. Aşağıdaki bağlantıyı seçin:

   

2. Bağlantının Azure portalında açılmasını bekleyin, ardından bu kaynakları dağıtmak veya yeni bir kaynak grubu oluşturmak istediğiniz Kaynak grubunu seçin. Bölge ve Konum, kaynak grubuyla eşleşecek şekilde otomatik olarak değişir.

3. Ortamınız için kaynak adlarını, sağlayıcıları, SKU'yu veya ağ IP adreslerini değiştirmek istiyorsanız kalan alanları güncelleştirin.

4. Bu kaynakları dağıtmak için Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

5. Dağıtımın tamamlanmasını bekleyin.

   Note

   Bu şablon dağıtımı yalnızca aşağıdaki kaynakları dağıtır:

   • Kaynak grubu (yeni oluşturursanız)
   • ExpressRoute bağlantı hattı
   • Azure sanal ağı
   • ExpressRoute sanal ağ geçidi

   Şirket içinden ExpressRoute bağlantı hattına özel eşleme bağlantısı kurmak için hizmet sağlayıcınıza devre hizmet anahtarını sağlamanız gerekir. Hizmet anahtarını ExpressRoute bağlantı hattı kaynağının genel bakış sayfasında bulabilirsiniz. ExpressRoute bağlantı hattınızı yapılandırma hakkında daha fazla bilgi için bkz . Eşleme yapılandırmasını oluşturma veya değiştirme. Özel eşlemeyi yapılandırdıktan sonra ExpressRoute sanal ağ geçidini bağlantı hattına bağlayabilirsiniz. Daha fazla bilgi için bkz . Öğretici: Azure portalını kullanarak bir sanal ağı ExpressRoute bağlantı hattına bağlama.

6. Siteden siteye VPN'in ExpressRoute'a yedek olarak dağıtımını tamamlamak için bkz . Siteden siteye VPN bağlantısı oluşturma.

7. ExpressRoute'u yapılandırdığınız aynı şirket içi ağa vpn bağlantısını başarıyla yapılandırdıktan sonra eşleme konumunda toplam hata olması durumunda ExpressRoute bağlantınızı yedekleme kurulumunu tamamlamış olursunuz.

Alternatif olarak, Microsoft Geliştirici Araçları başka dağıtılabilir senaryolar da sunar:

• Özel eşleme ve Azure VNet ile ExpressRoute bağlantı hattını
• BGP Eşleme ile ExpressRoute Bağlantı Hattı Oluşturma

Contributors

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Sarah Parkes | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

Ürün belgeleri:

• ExpressRoute Belgeleri
• ExpressRoute için Azure Güvenlik temeli
• ExpressRoute devresi oluşturma
• Azure Ağ Blogu
• PowerShell kullanarak ExpressRoute ve Siteden Siteye bağlantıları birlikte yapılandırma
• Azure Sanal Ağ nedir?
• Microsoft 365 hizmetleri

Microsoft Learn modülleri:

• ExpressRoute ve Sanal WAN yapılandırma
• Sanal ağ eşlemesini yapılandırma
• Azure ExpressRoute'u tasarlama ve uygulama
• Microsoft 365 platform hizmetlerini keşfedin

İlgili kaynaklar

• Karma mimari tasarım
• Azure hibrit seçenekleri
• Azure'da merkez-uç ağ topolojisi
• Sanal ağ bağlantı seçenekleri ve uçlar arası iletişim
• Şirket içi ağı Azure'a bağlama
• Güvenli bir karma ağ uygulama
• Azure ExpressRoute için Mimarisi en iyi yöntemleri

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile Azure ExpressRoute kullanarak bir şirket içi ağı Azure sanal ağına bağlamayı gösterir.

Architecture

Bu mimarinin bir Visio dosyasını indirin.

Workflow

Mimari aşağıdaki bileşenlerden oluşur.

• Şirket içi ağı. Bir kuruluşun içinde çalışan özel bir yerel ağ.

• Azure sanal ağları. Her sanal ağ tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir. Her sanal ağdaki alt ağları kullanarak uygulama katmanlarını segmentlere ayırabilirsiniz.

  • Ağ geçidi alt ağı. Sanal ağ geçitleri aynı alt ağda bulunur.

• VPN gereci. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet. VPN gereci bir donanım cihazı veya Windows Server 2012'deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir. Desteklenen VPN gereçlerinin listesini görmek ve Azure'a bağlanmak için belirli VPN gereçlerini yapılandırma hakkında bilgi edinmek istiyorsanız bkz. Siteden siteye VPN Gateway bağlantıları için VPN cihazları hakkında.

• ExpressRoute bağlantı hattı. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.

  • Yerel uç yönlendiricileri. Şirket içi ağı sağlayıcı tarafından yönetilen bağlantı hattına bağlayan yönlendiriciler. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

  • Microsoft uç yönlendiricileri. Etkin-etkin, yüksek oranda kullanılabilir bir yapılandırmada iki yönlendirici. Bu yönlendiriciler, bağlantı sağlayıcılarının bağlantı hatlarını doğrudan veri merkezlerine bağlamasına olanak sağlar. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

• ExpressRoute sanal ağ geçidi. ExpressRoute sanal ağ geçidi, Azure sanal ağının şirket içi ağınızla bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasını sağlar.

• VPN sanal ağ geçidi. VPN sanal ağ geçidi, Azure sanal ağının şirket içi ağdaki VPN aletine bağlanmasına olanak tanır. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.

• VPN bağlantısı. Bağlantı, trafiği şifrelemek için bağlantı türünü (IPsec) ve şirket içi VPN gereci ile paylaşılan anahtarı belirten özelliklere sahiptir.

• Azure genel hizmetleri. Hibrit bir uygulama içinde kullanılabilen Azure hizmetleri. Bu hizmetler İnternet üzerinden de kullanılabilir, ancak expressRoute bağlantı hattı kullanarak bunlara erişmek düşük gecikme süresi ve daha öngörülebilir performans sağlar, çünkü trafik İnternet üzerinden gitmez.

• Microsoft 365 hizmetleri. Microsoft'un sağladığı genel kullanıma açık Microsoft 365 uygulamaları ve hizmetleri. Bağlantılar, kuruluşunuza ait olan veya bağlantı sağlayıcınız tarafından sağlanan Microsoft eşlemesini ve adreslerini kullanır. Microsoft eşlemesini kullanarak doğrudan Microsoft CRM Online'a da bağlanabilirsiniz.

• Bağlantı sağlayıcıları (gösterilmez). Veri merkezinizle Azure veri merkezi arasında katman 2 veya katman 3 bağlantısını kullanarak bağlantı sağlayan şirketler.

Components

• Azure ExpressRoute. ExpressRoute'u kullanarak şirket içi ağlarınızı bir bağlantı sağlayıcısının yardımıyla özel bir bağlantı üzerinden Microsoft bulutuna genişletebilirsiniz. ExpressRoute ile Azure ve Microsoft 365 gibi Microsoft bulut hizmetlerine bağlantı kurabilirsiniz.

• Azure Sanal Ağı. Azure Sanal Ağ, Azure'da özel ağınız için temel yapı taşıdır. Sanal Ağ, Azure sanal makineleri gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla gelişmiş güvenlikle iletişim kurmasını sağlar.

• Azure VPN Gateway. VPN Gateway, siteden siteye sanal özel ağ (VPN) bağlantısı kullanarak şirket içi ağınızı bir Azure sanal ağına bağlamanızı sağlayan bir sanal ağ geçididir.

Senaryo ayrıntıları

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile ExpressRoute kullanarak bir şirket içi ağı azure sanal ağına bağlamayı gösterir. ExpressRoute bağlantısı üzerinden şirket içi ağ ile Azure sanal ağı arasındaki trafik akışları. ExpressRoute bağlantı hattında bağlantı kaybı varsa trafik bir IPsec VPN tüneli üzerinden yönlendirilir. Bu çözümü dağıtın.

ExpressRoute bağlantı hattı kullanılamıyorsa, VPN yolu yalnızca özel eşleme bağlantılarını işler. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçer.

Recommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Bağlantı sağlayıcıları

Konumunuz için uygun bir ExpressRoute bağlantı sağlayıcısı seçin. Bulunduğunuz konumda bulunan bağlantı sağlayıcılarının listesini almak için aşağıdaki PowerShell komutunu kullanın:

Get-AzExpressRouteServiceProvider

ExpressRoute bağlantı sağlayıcıları, veri merkezinizi Microsoft'a bağlamak için aşağıdaki yolları kullanır:

• Bulut değişiminde ortak yerleşim. Bulut değişimi olan bir tesiste birlikte bulunuyorsanız, ortak konum sağlayıcısının Ethernet değişimi aracılığıyla Azure'a sanal çapraz bağlantılar sipariş edebilirsiniz. Ortak konum sağlayıcıları, ortak konum tesisi ile Azure'daki altyapınız arasında katman 2 çapraz bağlantıları veya yönetilen katman 3 çapraz bağlantıları sunabilir.

• Noktadan noktaya Ethernet bağlantıları. Noktadan noktaya Ethernet bağlantılarını kullanarak şirket içi veri merkezlerinizi/ofislerinizi Azure'a bağlayabilirsiniz. Noktadan noktaya Ethernet sağlayıcıları, siteniz ile Azure arasında katman 2 bağlantıları veya yönetilen katman 3 bağlantıları sağlayabilir.

• Herhangi bir ağdan herhangi bir ağa (IPVPN). Geniş alan ağınızı (WAN) Azure ile tümleştirebilirsiniz. İnternet protokolü sanal özel ağ (IPVPN) sağlayıcıları, şube ofisleriniz ve veri merkezleriniz arasında herhangi bir bağlantı sunar. (IPVPN genellikle çok protokollü bir etiket değiştirme VPN'idir.) Azure, wan'ınıza bağlanarak diğer şube ofisleri gibi görünmesini sağlayabilir. WAN sağlayıcıları genel olarak yönetilen katman 3 bağlantısı sağlar.

Bağlantı sağlayıcıları hakkında daha fazla bilgi için bkz. ExpressRoute tanıtımı.

ExpressRoute bağlantı hattı

ExpressRoute bağlantı hattı oluşturmak için aşağıdaki adımları kullanabilirsiniz.

1. Aşağıdaki PowerShell komutunu çalıştırın:

   New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>
   

2. Yeni bağlantı hattına ait ServiceKey değerini hizmet sağlayıcısına gönderin.

3. Sağlayıcının bağlantı hattını sağlamasını bekleyin. Bağlantı hattının sağlanma durumunu doğrulamak için aşağıdaki PowerShell komutunu çalıştırın:

   Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
   

   Çıkışın Provisioning stateService Provider bölümündeki alan, devre hazır olduğunda olarak değişir NotProvisionedProvisioned .

   Note

   Katman 3 bağlantısı kullanıyorsanız, sağlayıcı yönlendirmeyi sizin için yapılandırmalı ve yönetmelidir. Sağlayıcının uygun yolları uygulamasına olanak tanıyacak bilgileri sunmanız gerekir.

4. Katman 2 bağlantısı kullanıyorsanız:

   1. Uygulamak istediğiniz her eşleme türü için geçerli genel IP adreslerinden oluşan iki /30 alt ağı ayırın. Bu /30 alt ağları, bağlantı hattı için kullanılan yönlendiricilerin IP adreslerini sağlamak için kullanılır. Özel ve Microsoft eşlemesi uyguluyorsanız, geçerli genel IP adreslerine sahip dört /30 alt ağınız olmalıdır.

   2. ExpressRoute bağlantı hattı için yönlendirmeyi yapılandırın. Hem özel hem de Microsoft eşlemesi için aşağıdaki PowerShell komutlarını çalıştırın. Daha fazla bilgi için bkz. ExpressRoute bağlantı hattına ait yönlendirmeyi oluşturma ve değiştirme.

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>
      

   3. Microsoft eşlemesi için ağ adresi çevirisi (NAT) için kullanılacak başka bir genel IP adresi havuzu ayırın. Her eşleme için farklı bir havuza sahip olmanız önerilir. Bu aralıklar için Sınır Ağ Geçidi Protokolü (BGP) tanıtımlarını yapılandırabilmesi için bağlantı sağlayıcınıza havuzu belirtin.

VPN ve ExpressRoute ağ geçitleri

Azure sanal ağınızda zaten bir VPN sanal ağ geçidi varsa, mevcut sanal ağ geçidini silmenize gerek kalmadan ExpressRoute sanal ağ geçidi oluşturabilirsiniz.

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve şirket içi VPN ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

Sanal ağ geçidi bağlantılarını oluşturduktan sonra aşağıdaki adımları izleyerek ortamı test edin:

1. Şirket içi ağınızdan Azure sanal ağınıza bağlanabildiğinizden emin olun.
2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.
3. VPN sanal ağ geçidi bağlantısını kullanarak şirket içi ağınızdan Azure sanal ağınıza hala bağlanabildiğinizi doğrulayın.
4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.

Troubleshooting

Daha önce çalışan bir ExpressRoute bağlantı hattı bağlanamıyorsa ve şirket içinde veya özel sanal ağınızda yapılandırma değişikliği yoksa, sorunu düzeltmek için bağlantı sağlayıcısına başvurmanız ve onlarla çalışmanız gerekebilir. ExpressRoute bağlantı hattının doğru şekilde sağlandığını doğrulamak için aşağıdaki PowerShell komutlarını kullanın:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Bu komutun çıktısı, burada gösterildiği gibi bağlantı hattınız için , ProvisioningStateve CircuitProvisioningStategibi ServiceProviderProvisioningStateçeşitli özellikleri gösterir:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Yeni bir bağlantı hattı oluşturmaya çalıştıktan sonra olarak ayarlı ProvisioningState değilseSucceeded, aşağıdaki komutu kullanarak devreyi kaldırın ve yeniden oluşturmayı deneyin.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Sağlayıcınız bağlantı hattını zaten sağladıysa ve ProvisioningState olarak ayarlandıysa Failed veya CircuitProvisioningState değilse Enabledyardım için sağlayıcınıza başvurun.

Considerations

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Reliability

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz. Güvenilirlikiçin tasarım gözden geçirme denetim listesi .

ExpressRoute, yüksek kullanılabilirlik için Etkin Bekleme Yönlendirme Protokolü (HSRP) ve Sanal Yönlendirici Yedeklilik Protokolü (VRRP) gibi yönlendirici yedeklilik protokollerini desteklemez. Bunun yerine, eşleme başına bir çift yedekli BGP oturumu kullanır. Azure, ağınıza yüksek oranda kullanılabilir bağlantıları kolaylaştırmak için etkin-etkin bir yapılandırmada iki yönlendiricide (Microsoft edge'in bir parçası) iki yedekli bağlantı noktası sağlar.

BGP oturumları için varsayılan olarak 60 saniyelik bir boşta kalma zaman aşımı değeri kullanılır. Oturum üç kez zaman aşımına uğrarsa (toplam 180 saniye), yönlendirici kullanılamıyor olarak işaretlenir ve tüm trafik kalan yönlendiriciye yönlendirilir. Bu 180 saniyelik zaman aşımı, kritik uygulamalar açısından çok uzun olabilir. Gerekirse, şirket içi yönlendiricideki BGP zaman aşımı ayarlarınızı daha kısa bir süreye değiştirebilirsiniz. ExpressRoute, özel eşleme üzerinden çift yönlü iletme algılamasını (BFD) da destekler. ExpressRoute üzerinden BFD'yi etkinleştirerek, Microsoft Enterprise Edge (MSEE) cihazları ile ExpressRoute bağlantı hattını sonlandırdığınız yönlendiriciler arasında bağlantı hatası algılamayı hızlandırabilirsiniz. ExpressRoute'u Müşteri Uç yönlendirme cihazları veya İş Ortağı Edge yönlendirme cihazları üzerinden sonlandırabilirsiniz (yönetilen katman 3 bağlantı hizmetiniz varsa).

Kullandığınız sağlayıcı türüne ve yapılandırmak istediğiniz ExpressRoute bağlantı hatlarının ve sanal ağ geçidi bağlantılarının sayısına bağlı olarak Azure bağlantınız için yüksek kullanılabilirliği farklı şekillerde yapılandırabilirsiniz. Kullanılabilirlik seçeneklerinizin özeti aşağıdadır:

• Katman 2 bağlantısı kullanıyorsanız, şirket içi ağınızdaki yedekli yönlendiricileri etkin-etkin bir yapılandırmada dağıtın. Birincil bağlantı hattını bir yönlendiriciye, ikincil devreyi de diğerine bağlayın. Bu yapılandırma her iki uçta da yüksek oranda kullanılabilir bir bağlantı sağlar. ExpressRoute hizmet düzeyi sözleşmesine (SLA) ihtiyacınız varsa bu yapılandırma gereklidir. Daha fazla bilgi için bkz. Azure ExpressRoute için SLA.

  Aşağıdaki diyagramda, yedekli şirket içi yönlendiricilerin birincil ve ikincil bağlantı hatlarına bağlı olduğu bir yapılandırma gösterilmektedir. Her bağlantı hattı, özel eşleme için trafiği işler. (Her eşleme, önceki bölümde açıklandığı gibi bir çift /30 adres alanı olarak atanır.)

  

• Katman 3 bağlantısı kullanıyorsanız, bunun sizin için kullanılabilirliği işleyen yedekli BGP oturumları sağladığını doğrulayın.

• Maksimum dayanıklılık gerekiyorsa, farklı eşleme konumlarına birden çok bağlantı hattı oluşturun. Yüksek dayanıklılık için ExpressRoute Metro , birden çok eşleme konumuna sahip tek bir bağlantı hattı sağlar.

  • Her bağlantı hattı için, tek bir sağlayıcı kesintisi nedeniyle ağ kesintisi riskini en aza indirmek için farklı bir hizmet sağlayıcısını göz önünde bulundurun.

• ExpressRoute için bir yük devretme yolu olarak siteden siteye bir VPN yapılandırın. Bu seçenek hakkında daha fazla bilgi için bkz . VPN yük devretmesi ile ExpressRoute kullanarak şirket içi ağı Azure'a bağlama. Bu seçenek, yalnızca özel eşleme için geçerlidir. Azure ve Microsoft 365 hizmetleri için tek yük devretme yolu İnternet'tir.

Security

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz. Güvenlikiçin tasarım gözden geçirme denetim listesi .

Azure bağlantınıza yönelik güvenlik seçeneklerini, güvenlikle ilgili endişelerinize ve uyumluluk gereksinimlerinize bağlı olarak farklı şekillerde yapılandırabilirsiniz.

ExpressRoute katman 3’te çalışır. Trafiği meşru kaynaklarla kısıtlayan bir ağ güvenlik gereci kullanarak uygulama katmanındaki tehditlere karşı koruma sağlayabilirsiniz.

Güvenliği geliştirmek için şirket içi ağ ile sağlayıcı uç yönlendiricileri arasında ağ güvenlik gereçleri ekleyin. Bu, sanal ağdan yetkisiz trafik akışını kısıtlamaya yardımcı olur:

Denetim veya uyumluluk için sanal ağda çalışan bileşenler için doğrudan İnternet erişimini engellemeniz ve zorlamalı tünel uygulamanız gerekebilir. Bu durumda, İnternet trafiği şirket içinde çalışan ve denetlenebileceği bir ara sunucu üzerinden yeniden yönlendirilmelidir. Proxy'yi yetkisiz trafiğin dışarı akmasını engelleyecek ve kötü amaçlı olabilecek gelen trafiği filtreleyecek şekilde yapılandırabilirsiniz.

Güvenliği artırmak için VM'leriniz için genel IP adresini etkinleştirmeyin ve NSG'leri kullanarak bu VM'lerin genel olarak erişilebilir olmadığından emin olun. VM'ler yalnızca iç IP adresi aracılığıyla kullanılabilir olmalıdır. Bu adresleri ExpressRoute ağı üzerinden erişilebilir hale getirebilirsiniz. Bu sayede şirket içi DevOps personeli yapılandırma veya bakım gerçekleştirebilir.

VM'ler için yönetim uç noktalarını bir dış ağda kullanıma sunmanız gerekiyorsa, NSG'leri veya erişim denetim listelerini kullanarak bu bağlantı noktalarının görünürlüğünü IP adresleri veya ağların izin verilenler listesiyle kısıtlayın.

Note

Azure portalı aracılığıyla dağıtılan Azure VM'leri, oturum açma erişimi sağlayan bir genel IP adresi içerebilir. Ancak, bu erişimi yasaklamanın en iyi yöntemidir.

Varsayılan olarak, ExpressRoute bağlantısına geçen trafik şifrelenmez. İsteğe bağlı olarak şifrelemeyi MACsec tarafından noktadan noktaya şifreleme veya IPsec tarafından uçtan uca şifreleme olacak şekilde yapılandırabilirsiniz; MACsec yalnızca ExpressRoute Direct için kullanılabilir. Daha fazla bilgi için bkz. Azure ExpressRoute için şifreleme hakkında.

Aktarım sırasında verilerinizin üzerinde oynanmadığından emin olmak için, özel eşlemenin yapılandırması sırasında ExpressRoute bağlantı hattında bir MD5 karması yapılandırabilir veya Microsoft eşlemesi şirket içi yol ile MSEE yönlendiricileri arasındaki iletilerin güvenliğini sağlayabilirsiniz.

Güvenlikle ilgili diğer konular için bkz. ExpressRoute için Azure güvenlik temeli.

Maliyet İyileştirme

Maliyet İyileştirme, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını gözden geçmektir. Daha fazla bilgi için bkz. Maliyet İyileştirmeiçin tasarım gözden geçirme denetim listesi.

ExpressRoute maliyetle ilgili dikkat edilmesi gerekenler için şu makalelere bakın:

• Azure ExpressRoute ile Karma Ağ Mimarisi yapılandırmada maliyetle ilgili dikkat edilmesi gerekenler.

ExpressRoute

Bu mimaride, uç yönlendiriciler aracılığıyla şirket içi ağı Azure ile birleştirmek için bir ExpressRoute bağlantı hattı kullanılır.

ExpressRoute iki fiyatlandırma planı sunar. Tarifeli Veri planıyla tüm gelen veri aktarımı ücretsizdir. Tüm giden veri aktarımı, önceden belirlenmiş bir ücrete göre ücretlendirilir.

Sınırsız Veri planı ile tüm gelen ve giden veri aktarımı ücretsizdir. Yüksek kullanılabilirlik çift bağlantı noktası temelinde sabit aylık bağlantı noktası ücreti alınır.

Kullanımınızı hesaplayın ve buna göre bir faturalama planı seçin. Kullanımın yaklaşık %68'ini aşarsanız Sınırsız Veri planını öneririz.

Daha fazla bilgi için bkz . Azure ExpressRoute fiyatlandırması.

Azure Sanal Ağ

Tüm uygulama katmanları tek bir sanal ağda barındırılır ve alt ağlara ayrılır.

Azure Sanal Ağ ücretsizdir. Her abonelik için tüm bölgelerde en fazla 1.000 sanal ağ oluşturabilirsiniz. Bir sanal ağın sınırları içinde gerçekleşen tüm trafik ücretsizdir, bu nedenle tek bir sanal ağdaki iki VM arasındaki iletişim ücretsizdir.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz. operasyonel mükemmellikiçin tasarım gözden geçirme denetim listesi .

• Ağ yolunda sorunun nerede olduğunu belirleyerek ve yapılandırma veya donanım hatalarını çözmenize yardımcı olarak Ağ sorunlarını algılamak için Bağlantı İzleyicisi'ni yapılandırın.
• Ağ değişikliklerine yanıt olarak tabloları yönlendirmek için en iyi yol seçimini ve otomatik güncelleştirmeleri sağlayarak daha verimli ve esnek yönlendirme sağlamak için eBGP protokolü üzerinden Dinamik Yönlendirme'yi yapılandırmayı göz önünde bulundurun.
• Neredeyse gerçek zamanlı performans ve ağ durumu ölçümleri için Ağ İçgörüleri ile ExpressRoute ve ExpressRoute İçgörüleri için Trafik Toplayıcıyı yapılandırın.

Siteden siteye VPN DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ve Şirket içi VPN ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Performans Verimliliği

Performans Verimliliği, iş yükünüzün kullanıcılar tarafından talep edilen talepleri verimli bir şekilde karşılayacak şekilde ölçeklendirilebilmesidir. Daha fazla bilgi için bkz. Performans Verimliliğiiçin Tasarım gözden geçirme denetim listesi.

ExpressRoute bağlantı hatları, ağlar arasında yüksek bant genişliğine sahip bir yol sağlar. Genel olarak bant genişliği ne kadar yüksek olursa maliyet de o kadar yüksek olur.

Note

ExpressRoute ağ geçidinin iş yükü gereksinimlerini karşıladığından emin olmak için Azure Bağlantı Araç Seti kullanın.

ExpressRoute iki fiyatlandırma planı sunar: Tarifeli Plan ve Sınırsız Veri planı. Ücretler, bağlantı hattı bant genişliğine göre değişir. Kullanılabilir bant genişliği büyük olasılıkla sağlayıcıdan sağlayıcıya farklılık gösterir. Bölgenizdeki sağlayıcıları ve sundukları bant genişliklerini görmek için Get-AzExpressRouteServiceProvider cmdlet’ini kullanın.

Tek bir ExpressRoute bağlantı hattı belirli sayıda eşlemeyi ve sanal ağ bağlantısını destekleyebilir. Daha fazla bilgi için bkz. ExpressRoute sınırları .

ExpressRoute Premium eklentisi aşağıdakileri sağlar:

• Özel eşleme için yol sınırları artırıldı.
• ExpressRoute bağlantı hattı başına artan sayıda sanal ağ bağlantısı.
• Hizmetler için genel bağlantı.

Daha fazla bilgi için bkz. ExpressRoute fiyatlandırması.

Bazı sağlayıcılar bant genişliğinizi değiştirmenize izin verse de, gereksinimlerinizi aşan ve büyüme için yer sağlayan bir başlangıç bant genişliği seçtiğinizden emin olun. Gelecekte bant genişliğini artırmanız gerekiyorsa iki seçeneğiniz vardır:

• Bant genişliğini artırın. Bu seçenekten mümkün olduğunca kaçının. Tüm sağlayıcılar bant genişliğini dinamik olarak artırmanıza izin vermez. Ancak bant genişliği artışına ihtiyacınız varsa, PowerShell komutlarını kullanarak ExpressRoute bant genişliği özelliklerinin değiştirilmesini desteklediğinden emin olmak için sağlayıcınıza başvurun. Bunu yaparlarsa aşağıdaki komutları çalıştırın:

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Bant genişliğini, bağlantı kaybı yaşamadan arttırabilirsiniz. Bağlantı hattını silmeniz ve yeni yapılandırmayla yeniden oluşturmanız gerektiğinden bant genişliğini düşürmek bağlantıyı kesintiye uğratır.

• Fiyatlandırma planınızın değiştirin ve/veya Premium’a geçiş yapın. Bunun için aşağıdaki komutları çalıştırın. Sku.Tier özelliği veya StandardolabilirPremium. Sku.Name özelliği veya MeteredDataolabilirUnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Important

  özelliğinin Sku.Name ve Sku.Tierile eşleştiğinden Sku.Family emin olun. Aileyi ve katmanı değiştirir ancak adı değiştirmezseniz, bağlantınız devre dışı bırakılır.

  SKU'yu kesinti olmadan yükseltebilirsiniz, ancak sınırsız fiyatlandırma planından tarifeli plana geçemezsiniz. SKU'yu eski sürüme düşürürseniz bant genişliği tüketiminiz Standart SKU'nun varsayılan sınırı içinde kalmalıdır.

ExpressRoute ölçeklenebilir ağ geçitleri, el ile müdahale etmek zorunda kalmadan performans gereksinimlerini karşılamak için ExpressRoute Sanal Ağ Geçidini otomatik olarak ölçeklendirme olanağı sunar.

Daha yüksek aktarım hızı için ExpressRoute FastPath'i etkinleştirerek ağ geçidini atlayabilir ve şirket içi ağınızla Azure sanal ağları arasındaki veri yolu performansını geliştirebilirsiniz.

Bu senaryoyu dağıtın

Prerequisites. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.

1. Aşağıdaki bağlantıyı seçin:

   

2. Bağlantının Azure portalında açılmasını bekleyin, ardından bu kaynakları dağıtmak veya yeni bir kaynak grubu oluşturmak istediğiniz Kaynak grubunu seçin. Bölge ve Konum, kaynak grubuyla eşleşecek şekilde otomatik olarak değişir.

3. Ortamınız için kaynak adlarını, sağlayıcıları, SKU'yu veya ağ IP adreslerini değiştirmek istiyorsanız kalan alanları güncelleştirin.

4. Bu kaynakları dağıtmak için Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

5. Dağıtımın tamamlanmasını bekleyin.

   Note

   Bu şablon dağıtımı yalnızca aşağıdaki kaynakları dağıtır:

   • Kaynak grubu (yeni oluşturursanız)
   • ExpressRoute bağlantı hattı
   • Azure sanal ağı
   • ExpressRoute sanal ağ geçidi

   Şirket içinden ExpressRoute bağlantı hattına özel eşleme bağlantısı kurmak için hizmet sağlayıcınıza devre hizmet anahtarını sağlamanız gerekir. Hizmet anahtarını ExpressRoute bağlantı hattı kaynağının genel bakış sayfasında bulabilirsiniz. ExpressRoute bağlantı hattınızı yapılandırma hakkında daha fazla bilgi için bkz . Eşleme yapılandırmasını oluşturma veya değiştirme. Özel eşlemeyi yapılandırdıktan sonra ExpressRoute sanal ağ geçidini bağlantı hattına bağlayabilirsiniz. Daha fazla bilgi için bkz . Öğretici: Azure portalını kullanarak bir sanal ağı ExpressRoute bağlantı hattına bağlama.

6. Siteden siteye VPN'in ExpressRoute'a yedek olarak dağıtımını tamamlamak için bkz . Siteden siteye VPN bağlantısı oluşturma.

7. ExpressRoute'u yapılandırdığınız aynı şirket içi ağa vpn bağlantısını başarıyla yapılandırdıktan sonra eşleme konumunda toplam hata olması durumunda ExpressRoute bağlantınızı yedekleme kurulumunu tamamlamış olursunuz.

Alternatif olarak, Microsoft Geliştirici Araçları başka dağıtılabilir senaryolar da sunar:

• Özel eşleme ve Azure VNet ile ExpressRoute bağlantı hattını
• BGP Eşleme ile ExpressRoute Bağlantı Hattı Oluşturma

Contributors

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Sarah Parkes | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

Ürün belgeleri:

• ExpressRoute Belgeleri
• ExpressRoute için Azure Güvenlik temeli
• ExpressRoute devresi oluşturma
• Azure Ağ Blogu
• PowerShell kullanarak ExpressRoute ve Siteden Siteye bağlantıları birlikte yapılandırma
• Azure Sanal Ağ nedir?
• Microsoft 365 hizmetleri

Microsoft Learn modülleri:

• ExpressRoute ve Sanal WAN yapılandırma
• Sanal ağ eşlemesini yapılandırma
• Azure ExpressRoute'u tasarlama ve uygulama
• Microsoft 365 platform hizmetlerini keşfedin

İlgili kaynaklar

• Karma mimari tasarım
• Azure hibrit seçenekleri
• Azure'da merkez-uç ağ topolojisi
• Sanal ağ bağlantı seçenekleri ve uçlar arası iletişim
• Şirket içi ağı Azure'a bağlama
• Güvenli bir karma ağ uygulama
• Azure ExpressRoute için Mimarisi en iyi yöntemleri