Giriş bölgenizi geçiş için hazırlama
Bu makalede, Azure giriş bölgenizin geçiş için nasıl hazırlandığı açıklanır. Ayrıca, geçiş projenizde yapılandırmaların yerine getirildiğinden emin olmak için gerçekleştirmeniz gereken önemli görevler de listelenir.
Hangi Azure giriş bölgesi başvuru uygulamasını kullandığınızdan bağımsız olarak, giriş bölgenizi başarılı bir geçiş projesine hazırlamak için bazı görevleri gerçekleştirmeniz gerekir.
Azure giriş bölgesi başvuru uygulaması kullanmadıysanız bu makaledeki adımları gerçekleştirmeniz gerekir. Ancak, önce gerçekleştirmeniz gereken önkoşul görevleriniz olabilir veya belirli önerileri tasarımınıza uyarlamanız gerekebilir.
Bu makalede, dağıtıldıktan sonra mevcut Azure giriş bölgeniz için gerçekleştirmeniz gereken görevler açıklanmaktadır. Bazı görevler otomatik dağıtımlara odaklanır. Bir görevin el ile dağıtılan ve yönetilen ortamlar için uygun olup olmadığı not edilir.
Karma bağlantı kurma
Azure giriş bölgesi dağıtımı sırasında merkez sanal ağı ve Azure VPN ağ geçitleri, Azure ExpressRoute ağ geçitleri veya her ikisi gibi ağ ağ geçitleri ile Bağlan ivity aboneliği dağıtabilirsiniz. Azure giriş bölgesi dağıtımınızdan sonra, mevcut veri merkezi gereçlerinize veya ExpressRoute bağlantı hattınıza bağlanmak için bu ağ geçitlerinden karma bağlantıyı yapılandırmanız gerekir.
Hazır aşamada, Azure'a bağlantınızı planladınız. Dahil etmeniz gereken bağlantıları belirlemek için bu planı kullanın. Örneğin, ExpressRoute kullanıyorsanız, ExpressRoute bağlantı hattınızı kurmak için sağlayıcınızla birlikte çalışmanız gerekir.
Belirli senaryolar için teknik rehberlik almak için bkz:
- Azure VPN ağ geçidinizden bir VPN bağlantısı oluşturun.
- ExpressRoute bağlantı hattı oluşturun.
- ExpressRoute ağ geçidinizden bağlantı hattınıza bir ExpressRoute bağlantısı oluşturun.
- Azure Sanal WAN ağ geçidi ayarlarını yönetin.
Not
Ek yönergeler için sağlayıcınıza özgü belgelere de bakın.
Sanal ağınızda dağıtılan bir üçüncü taraf ağ sanal gereci (NVA) aracılığıyla Azure'a karma bağlantınızı kurarsanız, yüksek oranda kullanılabilir NVA'lar için özel kılavuzlarımızı ve genel kılavuzumuzu gözden geçirin.
Kimlik hazırlama
Azure giriş bölgesi dağıtımınız sırasında kimlik platformunuz için bir destekleyici mimari de dağıtmanız gerekir. Ayrılmış bir kimlik aboneliğiniz veya kaynak gruplarınız ve kimlik için kullandığınız sanal makineler (VM) için bir sanal ağınız veya alt ağlarınız olabilir. Ancak, Kimlik kaynaklarını Azure giriş bölgesi dağıtımından sonra dağıtmanız gerekir.
Aşağıdaki bölümlerde Active Directory ile ilgili yönergeler sağlanır. Kimlik doğrulaması ve yetkilendirmeler için farklı bir kimlik sağlayıcısı kullanıyorsanız, kimliğinizi Azure'a genişletme konusunda onların yönergelerini izlemeniz gerekir.
Bu kılavuzu uygulamadan önce, giriş bölgenizi planlarken yaptığınız Active Directory ve karma kimlik kararlarını gözden geçirin.
Ayrıca, Microsoft Entra Kimliği'nde değişiklik yapmanız gerekip gerekmediğini belirlemek için idare aşamasından kimlik temelinizi de gözden geçirmelisiniz.
Active Directory etki alanı denetleyicilerini genişletme
Çoğu geçiş senaryosunda, Azure'a geçirdiğiniz iş yükleri zaten var olan bir Active Directory etki alanına katılır. Microsoft Entra ID, VM iş yükleri için bile kimlik yönetimini modernleştirmeye yönelik çözümler sunar, ancak geçişi kesintiye uğratabilir. İş yükleri için kimlik kullanımını yeniden oluşturma işlemi genellikle modernleştirme veya yenilik girişimleri sırasında gerçekleştirilir.
Sonuç olarak, dağıttığınız kimlik ağı alanında etki alanı denetleyicilerini Azure'a dağıtmanız gerekir. VM'leri dağıttığınızda, bunları etki alanına eklemek için normal etki alanı denetleyicisi yükseltme işleminizi izlemeniz gerekir. Bu işlem, çoğaltma topolojinizi desteklemek için ek siteler oluşturmayı içerebilir.
Bu kaynakları dağıtmaya yönelik yaygın bir mimari düzeni için bkz. Azure sanal ağında Active Directory Etki Alanı Hizmetleri (AD DS) dağıtma.
Küçük kuruluşlar için kurumsal ölçekli mimariyi uygularsanız, AD DS sunucuları genellikle hub'daki bir alt ağda yer alır. Kurumsal ölçekli merkez-uç mimarisini veya kurumsal ölçekli Sanal WAN mimarisini uygularsanız, sunucular genellikle ayrılmış sanal ağlarındadır.
Microsoft Entra Connect
Birçok kuruluş, Exchange Online gibi Microsoft 365 hizmetlerini doldurmak için Zaten Microsoft Entra Bağlan sahiptir. Kuruluşunuzda Microsoft Entra Bağlan yoksa, kimlikleri çoğaltabilmek için giriş bölgesi dağıtımınızdan sonra yüklemeniz ve dağıtmanız gerekebilir.
Karma DNS'yi etkinleştirme
Çoğu kuruluşun, mevcut ortamların bir parçası olan ad alanları için Etki Alanı Adı Sistemi (DNS) isteklerini çözümleyebilmesi gerekir. Bu ad alanları genellikle Active Directory sunucularıyla tümleştirme gerektirir. Ayrıca mevcut ortamdaki kaynakların Azure'daki kaynakları çözümleyebilmesi gerekir.
Bu işlevleri etkinleştirmek için DNS hizmetlerini ortak akışları destekleyecek şekilde yapılandırmanız gerekir. İhtiyacınız olan kaynakların çoğunu dağıtmak için Azure giriş bölgelerini kullanabilirsiniz. Gözden geçirilip hazırlanması gereken ek görevler için bkz . Azure'da DNS çözümlemesi.
Özel DNS çözümlemesi
DNS çözümleyiciniz için Active Directory kullanıyorsanız veya bir üçüncü taraf çözümü dağıtıyorsanız VM'leri dağıtmanız gerekir. Etki alanı denetleyicileriniz Kimlik aboneliğinize ve ağ uçlarınıza dağıtıldıysa, bu VM'leri DNS sunucularınız olarak kullanabilirsiniz. Aksi takdirde, vm'leri bu hizmetleri barındıracak şekilde dağıtmanız ve yapılandırmanız gerekir.
VM'leri dağıttığınızda, mevcut ad alanlarınızda arama yapabilmeleri için bunları mevcut DNS platformunuzla tümleştirmeniz gerekir. Active Directory DNS sunucuları için bu tümleştirme otomatiktir.
Azure DNS Özel Çözümleyicisi'ni de kullanabilirsiniz, ancak bu hizmet Azure giriş bölgesi dağıtımınızın bir parçası olarak dağıtılmaz.
Tasarımınız özel DNS bölgeleri kullanıyorsa uygun şekilde planlayın. Örneğin, özel uç noktalarla özel DNS bölgeleri kullanıyorsanız bkz . DNS sunucularını belirtme. Özel DNS bölgeleri giriş bölgenizin bir parçası olarak dağıtılır. Modernleştirme çalışmalarını gerçekleştirmek için özel uç noktaları da kullanıyorsanız, bunlar için ek bir yapılandırmanız olmalıdır.
DNS ara sunucusunu Azure Güvenlik Duvarı
Azure Güvenlik Duvarı bir DNS ara sunucusu olarak yapılandırabilirsiniz. Azure Güvenlik Duvarı trafik alabilir ve bir Azure çözümleyicisine veya DNS sunucularınıza iletebilir. Bu yapılandırma, aramaların şirket içinden Azure'a gerçekleştirilmesine izin verebilir, ancak koşullu olarak şirket içi DNS sunucularına geri iletilmez.
Karma DNS çözümlemesine ihtiyacınız varsa, Azure Güvenlik Duvarı DNS ara sunucusunu trafiği etki alanı denetleyicileriniz gibi özel DNS sunucularınıza iletecek şekilde yapılandırabilirsiniz.
Bu adım isteğe bağlıdır, ancak çeşitli avantajları vardır. DAHA sonra DNS hizmetlerini değiştirirseniz yapılandırma değişikliklerini azaltır ve Azure Güvenlik Duvarı tam etki alanı adı (FQDN) kurallarını etkinleştirir.
Özel sanal ağ DNS sunucularını yapılandırma
Önceki etkinlikleri tamamladıktan sonra, Azure sanal ağlarınız için DNS sunucularını kullandığınız özel sunuculara yapılandırabilirsiniz.
Daha fazla bilgi için bkz. Azure Güvenlik Duvarı DNS ayarları.
Hub güvenlik duvarını yapılandırma
Merkez ağınızda bir güvenlik duvarı dağıttıysanız, iş yüklerini geçirmeye hazır olmak için dikkate alınması gereken birkaç nokta vardır. Dağıtımınızda bu konuların başında ele alınmazsa yönlendirme ve ağ erişimi sorunlarıyla karşılaşabilirsiniz.
Bu etkinlikleri gerçekleştirmenin bir parçası olarak, ağ güvenlik kılavuzu başta olmak üzere ağ tasarımı alanını gözden geçirin.
Güvenlik duvarınız olarak üçüncü taraf bir NVA dağıtırsanız satıcının kılavuzunu ve yüksek oranda kullanılabilir NVA'lar için genel kılavuzumuzu gözden geçirin.
Standart kural kümelerini dağıtma
Azure güvenlik duvarı kullanıyorsanız, açık izin verme kuralları eklenene kadar tüm güvenlik duvarı trafiği engellenir. Diğer birçok NVA güvenlik duvarı benzer şekilde çalışır. İzin verilen trafiği belirten kurallar tanımlayana kadar trafik reddedilir.
İş yükü gereksinimlerine göre tek tek kurallar ve kural koleksiyonları eklemeniz gerekir. Ancak, etkin tüm iş yükleri için geçerli olan Active Directory'ye veya diğer kimlik ve yönetim çözümlerine erişim gibi standart kuralların da olmasını planlamanız gerekir.
Yönlendirme
Azure, ek yapılandırma olmadan aşağıdaki senaryolar için yönlendirme sağlar:
- Aynı sanal ağdaki kaynaklar arasında yönlendirme
- Eşlenmiş sanal ağlardaki kaynaklar arasında yönlendirme
- Kaynaklar ile sanal ağ geçidi arasında kendi sanal ağında veya ağ geçidini kullanmak üzere yapılandırılmış eşlenmiş bir sanal ağda yönlendirme
İki yaygın yönlendirme senaryosu için ek yapılandırma gerekir. Her iki senaryoda da alt ağlara şekil yönlendirmeye atanmış yönlendirme tabloları vardır. Azure yönlendirme ve özel yollar hakkında daha fazla bilgi için bkz . Sanal ağ trafiği yönlendirme.
Uçlar arası yönlendirme
Ağ tasarımı alanında birçok kuruluş merkez-uç ağ topolojisi kullanır.
Trafiği bir uçtan diğerine aktaran rotalara ihtiyacınız vardır. Verimlilik ve kolaylık sağlamak için güvenlik duvarınıza giden varsayılan yolu (0.0.0.0/0) kullanın. Bu yol uygulandığında, bilinmeyen herhangi bir konuma giden trafik, trafiği inceleyen ve güvenlik duvarı kurallarınızı uygulayan güvenlik duvarına gider.
İnternet çıkışına izin vermek istiyorsanız, güvenlik duvarına 10.0.0.0/8özel IP alanınız için gibi başka bir yol da atayabilirsiniz. Bu yapılandırma daha belirli yolları geçersiz kılmaz. Ancak, uçlar arası trafiğin düzgün bir şekilde yönlendirebilmesi için bunu basit bir yol olarak kullanabilirsiniz.
Uçlar arası ağ iletişimi hakkında daha fazla bilgi için bkz . Uçlar arası iletişim için desenler ve topolojiler.
Ağ geçidi alt ağından yönlendirme
Hub'ınız için sanal ağlar kullanıyorsanız ağ geçitlerinizden gelen trafiği denetlemeyi planlamanız gerekir.
Trafiği incelemek istiyorsanız iki yapılandırmaya ihtiyacınız vardır:
Bağlan ivity aboneliğinizde bir yönlendirme tablosu oluşturmanız ve bunu ağ geçidi alt asına bağlamanız gerekir. Ağ geçidi alt ağına, güvenlik duvarınızın IP adresinin bir sonraki atlamasıyla, eklemeyi planladığınız her uç ağı için bir yol gerekir.
Giriş bölgesi aboneliklerinizin her birinde bir yönlendirme tablosu oluşturmanız ve bunu her alt ağa bağlamanız gerekir. Yol tablolarında Sınır Ağ Geçidi Protokolü (BGP) yayma özelliğini devre dışı bırakın.
Özel ve Azure tanımlı yollar hakkında daha fazla bilgi için bkz . Azure sanal ağ trafiği yönlendirme.
Özel uç noktalara gelen trafiği incelemek istiyorsanız, özel uç noktaların barındırıldığı alt ağda uygun yönlendirme ağ ilkesini etkinleştirin. Daha fazla bilgi için bkz . Özel uç noktalar için ağ ilkelerini yönetme.
Trafiği incelemeyi düşünmüyorsanız herhangi bir değişiklik gerekmez. Ancak uç ağ alt ağlarınıza yönlendirme tabloları eklerseniz trafiğin ağ geçidinize geri yönlendirilebilmesi için BGP yayma özelliğini etkinleştirin.
İzleme ve yönetimi yapılandırma
Giriş bölgenizi dağıtmanın bir parçası olarak, kaynaklarınızı Azure İzleyici Günlüklerine kaydeden ilkeler sağladınız. Ancak giriş bölgesi kaynaklarınız için de uyarılar oluşturmanız gerekir.
Uyarıları uygulamak için giriş bölgeleri için Azure İzleyici temelini dağıtabilirsiniz. Bağlantı kaynakları ve hizmet durumu gibi giriş bölgesi yönetimine yönelik yaygın senaryolara dayalı uyarılar almak için bu dağıtımı kullanın.
Ayrıca, gereksinimleriniz temeldekilerden farklıysa kaynaklar için kendi özel uyarılarınızı dağıtabilirsiniz.
Giriş bölgenizi bağımsız iş yükü geçişleri için hazırlama
Egemenlik gereksinimlerini karşılamanız gerekiyorsa, Egemenlik için Microsoft Bulut'un gereksinimlerinize uygun olup olmadığını değerlendirebilirsiniz. Bağımsızlık için Microsoft Bulut, tek tek kamu sektörü ve kamu müşteri ihtiyaçlarını karşılayan ek bir ilke ve denetim özellikleri katmanı sağlar.
Bağımsız giriş bölgesini dağıtarak bu özellikleri etkinleştirebilirsiniz. Bağımsız giriş bölgesinin mimarisi, önerilen Azure giriş bölgesi tasarımlarıyla uyumlu hale gelir.
Egemenlik için Microsoft Bulut ilke portföyü
Azure ilkesini kullanarak, belirli yapılandırmaları zorunlu kılmak için Azure kaynakları genelinde merkezi denetimi etkinleştirebilirsiniz. Ülkenizdeki/bölgenizdeki yerel ilkelere ve mevzuat gereksinimlerine uydığınızdan emin olmak için giriş bölgelerinize Egemenlik için Microsoft Bulut ilkesi girişimlerini atayabilirsiniz.
Bu ilke girişimleri henüz bağımsız giriş bölgesi dağıtımınıza atanmamışsa, mevzuat gereksinimlerinize karşılık gelen girişimleri atamayı göz önünde bulundurun.
abonelik aracı etkinleştirme
Bu bölüm, abonelik sağlama sürecini otomatikleştirmek isteyen kuruluşlar için geçerlidir. Giriş bölgenizi ve abonelik oluşturma işleminizi el ile yönetiyorsanız, abonelik oluşturmak için kendi işleminizi oluşturmanız gerekir.
Geçişe başladığınızda, iş yükleriniz için abonelikler oluşturmanız gerekir. Bu işlemi otomatikleştirmek ve hızlandırmak için abonelik aracı etkinleştirin. abonelik aracı oluşturulduğunda, abonelikleri hızla oluşturabilmeniz gerekir.
Bulut için Microsoft Defender için hazırlanma
Giriş bölgenizi dağıtırken, Azure abonelikleriniz için Bulut için Defender etkinleştirmek üzere ilkeler de ayarlarsınız. Bulut için Defender, dağıtılan kaynakları Microsoft güvenlik temeline göre değerlendiren güvenli puanında güvenlik duruşu önerileri sağlar.
Ek teknik yapılandırmalar uygulamanız gerekmez, ancak kaynakları geçirirken güvenlik duruşunuzu geliştirmek için önerileri gözden geçirmeniz ve bir plan tasarlamanız gerekir. Kaynakları Azure'a geçirmeye başladığınızda, geçiş iyileştirmenizin bir parçası olarak güvenlik iyileştirmeleri uygulamaya hazır olmanız gerekir.
İlgili kaynaklar
Geçişe hazırlanmak için şu ek kaynakları göz önünde bulundurun:
- Tanımlanmış ve iyi anlaşılmış bir ilk şirket ilkesi hazırlama
- Azure faturalaması için yeterli bir plan oluşturma
- Uygun kurumsal hizalamaya ve yönetme planına sahip olduğunuzdan emin olun
- Adlandırma ve etiketleme standartları geliştirme
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin