Azure ağ topolojisi tanımlama

  • Makale

Ağ topolojisi, uygulamaların birbirleriyle nasıl iletişim kurabileceğini tanımladığından giriş bölgesi mimarisinin kritik bir öğesidir. Bu bölümde Azure dağıtımları için teknolojiler ve topoloji yaklaşımları incelanmaktadır. İki temel yaklaşıma odaklanır: Azure Sanal WAN temel alan topolojiler ve geleneksel topolojiler.

Sanal WAN, büyük ölçekli bağlantı gereksinimlerini karşılamak için kullanılır. Microsoft tarafından yönetilen bir hizmet olduğundan, genel ağ karmaşıklığını azaltır ve kuruluşunuzun ağını modernleştirmeye yardımcı olur. Kuruluşunuz için aşağıdaki gereksinimlerden herhangi biri geçerliyse Sanal WAN topolojisi en uygun olabilir:

  • Kuruluşunuz çeşitli Azure bölgelerine kaynak dağıtmayı planlıyor ve bu Azure bölgelerindeki sanal ağlar ile birden çok şirket içi konum arasında genel bağlantı gerektiriyor.
  • Kuruluşunuz, büyük ölçekli bir dal ağını yazılım tanımlı WAN (SD-WAN) dağıtımı aracılığıyla doğrudan Azure'a tümleştirmeyi amaçlıyor veya yerel IPSec sonlandırması için 30'dan fazla dal sitesi gerektiriyor.
  • Sanal özel ağ (VPN) ile Azure ExpressRoute arasında geçişli yönlendirmeye ihtiyacınız vardır. Örneğin, siteden siteye VPN aracılığıyla bağlanan uzak dallar veya noktadan siteye VPN aracılığıyla bağlanan uzak kullanıcılar, Azure üzerinden ExpressRoute'a bağlı bir DC'ye bağlantı gerektirir.

Geleneksel merkez-uç ağ topolojisi , Azure'da özelleştirilmiş, gelişmiş güvenlikli, büyük ölçekli ağlar oluşturmanıza yardımcı olur. Bu topoloji ile yönlendirmeyi ve güvenliği yönetirsiniz. Kuruluşunuz için aşağıdaki gereksinimlerden herhangi biri geçerliyse, geleneksel bir topoloji en uygun olabilir:

  • Kuruluşunuz kaynakları bir veya birden çok Azure bölgesine dağıtmayı planlıyor ve Azure bölgeleri genelinde bazı trafiğin (örneğin, iki farklı Azure bölgesinde iki sanal ağ arasındaki trafik) olması beklenirken, tüm Azure bölgelerinde tam ağ ağı gerekmez.
  • Bölge başına uzak veya dal konumlarının sayısı azdır. Başka bir ifadeyle, 30'dan az IPSec siteden siteye tünele ihtiyacınız vardır.
  • Azure ağ yönlendirme ilkenizi el ile yapılandırmak için tam denetime ve ayrıntı düzeyine ihtiyacınız vardır.

Sanal WAN ağ topolojisi (Microsoft tarafından yönetilen)

Diagram that illustrates a Virtual WAN network topology.

Geleneksel Azure ağ topolojisi

Diagram that illustrates a traditional Azure network topology.

Azure giriş bölgelerinde Azure Sanal Ağ Yöneticisi

Azure giriş bölgeleri kavramsal mimarisi iki ağ topolojilerinden birini önerir: Sanal WAN tabanlı bir ağ topolojisi veya geleneksel merkez-uç mimarisini temel alan bir ağ topolojisi. İş gereksinimleriniz zaman içinde değiştikçe (örneğin, karma bağlantı gerektiren şirket içi uygulamaların Azure'a geçişi), ağ değişikliklerini genişletmek ve uygulamak için Sanal Ağ Yöneticisi'ni kullanabilirsiniz. Çoğu durumda, Azure'da zaten dağıtılanları kesintiye uğratmadan bunu yapabilirsiniz.

hem mevcut hem de yeni sanal ağlar için abonelikler arasında üç tür topoloji oluşturmak için Sanal Ağ Yöneticisi'ni kullanabilirsiniz:

  • Merkez-uç topolojisi
  • Uçlar arasında doğrudan bağlantı içeren merkez-uç topolojisi
  • Mesh topolojisi (önizlemede)

Diagram that shows Azure virtual network topologies.

Dekont

Sanal Ağ Yöneticisi, Sanal WAN hub'ları bir ağ grubunun parçası veya topolojideki merkez olarak desteklemez. Daha fazla bilgi için bkz. Azure Sanal Ağ Manager hakkında SSS.

Sanal Ağ Manager'da, uçların doğrudan birbirine bağlandığı doğrudan bağlantıya sahip bir merkez-uç topolojisi oluşturduğunuzda, Bağlan grup özelliği aracılığıyla aynı ağ grubundaki uç sanal ağları arasındaki doğrudan bağlantı otomatik olarak çift yönlü olarak etkinleştirilir.

Sanal ağları belirli ağ gruplarına statik veya dinamik olarak eklemek için Sanal Ağ Yöneticisi'ni kullanabilirsiniz. Bunu yapmak, Sanal Ağ Manager'daki bağlantı yapılandırmanıza bağlı olarak istenen topolojiyi tanımlar ve oluşturur.

Sanal ağ gruplarını doğrudan bağlantıdan yalıtmak için birden çok ağ grubu oluşturabilirsiniz. Her ağ grubu, uç-uç bağlantısı için aynı bölgeyi ve çok bölgeli desteği sağlar. Azure Sanal Ağ Manager SSS bölümünde açıklanan Sanal Ağ Yöneticisi için tanımlanan sınırların içinde olduğunuzdan emin olun.

Güvenlik açısından bakıldığında Sanal Ağ Manager, NSG'lerde tanımlananlardan bağımsız olarak trafik akışlarını reddetmek veya trafik akışlarına merkezi olarak izin vermek için güvenlik yöneticisi kurallarını uygulamanın verimli bir yolunu sağlar. Bu özellik, ağ güvenlik yöneticilerinin erişim denetimlerini zorunlu kılmasına ve uygulama sahiplerinin NSG'lerde kendi alt düzey kurallarını yönetmesine olanak tanır.

Sanal ağları gruplandırmak için Sanal Ağ Yöneticisi'ni kullanabilirsiniz. Ardından yapılandırmaları tek tek sanal ağlar yerine gruplara uygulayabilirsiniz. Bu işlevsellik, ayrıntılı denetimi kaybetmeden bir veya daha fazla bölgeye aynı anda daha verimli bağlantı, yapılandırma ve topoloji, güvenlik kuralları ve dağıtım yönetimi sağlar.

Ağları ortamlara, ekiplere, konumlara, iş koluna veya ihtiyaçlarınıza uygun başka bir işleve göre segmentlere ayırmanız gerekir. Grup üyeliğini yöneten bir koşul kümesi oluşturarak ağ gruplarını statik veya dinamik olarak tanımlayabilirsiniz.

Sanal Ağ Yöneticisi'ni kullanarak azure giriş bölgesi tasarım ilkelerini uygulayarak tüm uygulama geçişi, modernleştirme ve yenilikleri uygun ölçekte kullanabilirsiniz.

Tasarımla ilgili dikkat edilecek noktalar

  • Geleneksel merkez-uç dağıtımında sanal ağ eşleme bağlantıları el ile oluşturulur ve korunur. Sanal Ağ Yöneticisi, ağ gibi büyük ve karmaşık ağ topolojilerinin büyük ölçekte yönetilmesini kolaylaştıran sanal ağ eşlemesi için bir otomasyon katmanı sunar. Daha fazla bilgi için bkz . Ağ grubuna genel bakış.
  • Çeşitli iş işlevlerinin güvenlik gereksinimleri, ağ grupları oluşturma gereksinimini belirler. Ağ grubu, bu belgenin önceki bölümlerinde açıklandığı gibi el ile veya koşullu deyimler aracılığıyla seçilen bir sanal ağ kümesidir. Bir ağ grubu oluşturduğunuzda, bir ilke belirtmeniz gerekir veya açıkça izin verirseniz Sanal Ağ Yöneticisi bir ilke oluşturabilir. Bu ilke, Sanal Ağ Yöneticisi'ne değişiklikler hakkında bildirim verilmesini sağlar. Mevcut Azure ilkesi girişimlerini güncelleştirmek için, değişiklikleri Sanal Ağ Manager kaynağındaki ağ grubuna dağıtmanız gerekir.
  • Uygun ağ gruplarını tasarlamak için ağınızın hangi bölümlerinin ortak güvenlik özelliklerini paylaştığını değerlendirmeniz gerekir. Örneğin, şirket ve çevrimiçi için ağ grupları oluşturarak bunların bağlantı ve güvenlik kurallarını büyük ölçekte yönetebilirsiniz.
  • Kuruluşunuzun abonelikleri genelinde birden çok sanal ağ aynı güvenlik özniteliklerini paylaştığında, bunları verimli bir şekilde uygulamak için Sanal Ağ Yöneticisi'ni kullanabilirsiniz. Örneğin, İk veya Finans gibi bir iş birimi tarafından kullanılan tüm sistemleri ayrı bir ağ grubuna yerleştirmeniz gerekir çünkü bunlara farklı yönetici kuralları uygulamanız gerekir.
  • Sanal Ağ Yöneticisi, alt ağ düzeyinde uygulanan NSG kurallarından daha yüksek önceliğe sahip olan güvenlik yöneticisi kurallarını merkezi olarak uygulayabilir. (Bu özellik önizleme aşamasındadır.) Bu özellik, ağ ve güvenlik ekiplerinin şirket ilkelerini etkili bir şekilde zorunlu tutmasına ve uygun ölçekte güvenlik korumaları oluşturmasına olanak tanır, ancak ürün ekiplerinin giriş bölgesi abonelikleri içindeki NSG'lerin denetimini aynı anda korumasını sağlar.
  • Alt ağ veya ağ arabirimi düzeylerindeki NSG yapılandırmalarına bakılmaksızın belirli ağ akışlarına açıkça izin vermek veya reddetmek için Sanal Ağ Yöneticisi güvenlik yöneticisi kuralları özelliğini kullanabilirsiniz. Örneğin, yönetim hizmetleri ağ akışlarına her zaman izin vermek için bu özelliği kullanabilirsiniz. Uygulama ekipleri tarafından denetlenen NSG'ler bu kuralları geçersiz kılamaz.
  • Sanal ağ, en fazla iki bağlı grubun parçası olabilir.

Tasarım önerileri

  • Sanal Ağ Yöneticisi'nin kapsamını tanımlayın. Kök yönetim grubunda (kiracı) kuruluş düzeyinde kuralları zorunlu kılan güvenlik yöneticisi kurallarını uygulayın. Bunu yapmak, kuralları mevcut ve yeni kaynaklara ve ilişkili tüm yönetim gruplarına otomatik olarak uygular.
  • Bağlan ivity aboneliğinde ara kök yönetim grubunun kapsamına (örneğin Contoso) sahip bir Sanal Ağ Yöneticisi örneği oluşturun. Bu örnekte güvenlik yöneticisi özelliğini etkinleştirin. Bu yapılandırma, Azure giriş bölgesi hiyerarşinizdeki tüm sanal ağlar ve alt ağlar için geçerli olan güvenlik yöneticisi kurallarını tanımlamanıza olanak tanır ve NSG'leri uygulama giriş bölgesi sahiplerine ve ekiplerine demokratikleştirmenize yardımcı olur.
  • Sanal ağları statik (el ile) veya dinamik olarak (ilke tabanlı) gruplandırarak ağları segmentlere ayırma.
  • Merkezdeki ortak hizmetlere veya NVA'lara erişmenin yanı sıra, seçili uçların birbirleriyle sık sık iletişim kurması gerektiğinde, düşük gecikme süresi ve yüksek aktarım hızıyla uçlar arasında doğrudan bağlantıyı etkinleştirin.
  • Bölgeler genelindeki tüm sanal ağların birbiriyle iletişim kurması gerektiğinde genel ağı etkinleştirin.
  • Kural koleksiyonlarınızdaki her güvenlik yöneticisi kuralına bir öncelik değeri atayın. Değer ne kadar düşükse kuralın önceliği o kadar yüksektir.
  • Uygulama ekipleri tarafından denetlenen NSG yapılandırmalarına bakılmaksızın ağ akışlarına açıkça izin vermek veya bunları reddetmek için güvenlik yöneticisi kurallarını kullanın. Bunu yapmak, NSG'lerin ve kurallarının denetimini uygulama ekiplerine tam olarak devretmenizi de sağlar.