İngilizce dilinde oku

Aracılığıyla paylaş


Geleneksel Azure ağ topolojisi

Önemli

Envanter yönetimi ve izleme ağını büyük ölçekte kolaylaştırmak için Azure kaynaklarının görselleştirmesini sunan topoloji deneyimini deneyin. Kaynakları ve bunların abonelikler, bölgeler ve konumlar arasındaki bağımlılıklarını görselleştirmek için topoloji özelliğini kullanın.

Bu makalede, Microsoft Azure'daki ağ topolojileri için önemli tasarım konuları ve önerileri açıklanmaktadır. Aşağıdaki diyagramda geleneksel bir Azure ağ topolojisi gösterilmektedir:

Geleneksel bir Azure ağ topolojisi gösteren diyagram.

Tasarımla ilgili dikkat edilecek noktalar

  • Çeşitli ağ topolojileri birden çok giriş bölgesi sanal ağına bağlanabilir. Ağ topolojilerine örnek olarak merkez-uç, tam ağ ve karma topolojiler verilebilir. Ayrıca, birden çok Azure ExpressRoute bağlantı hattı veya bağlantısı aracılığıyla bağlanan birden çok sanal ağınız da olabilir.

  • Sanal ağlar abonelik sınırlarını geçemez. Ancak, farklı aboneliklerde sanal ağlar arasında bağlantı elde etmek için sanal ağ eşleme, ExpressRoute bağlantı hattı veya VPN ağ geçitleri kullanabilirsiniz.

  • Sanal ağ eşlemesi, Azure'daki sanal ağları bağlamak için tercih edilen yöntemdir. Aynı bölgedeki, farklı Azure bölgelerindeki ve farklı Microsoft Entra kiracılarındaki sanal ağları bağlamak için sanal ağ eşlemesini kullanabilirsiniz.

  • Sanal ağ eşlemesi ve genel sanal ağ eşlemesi geçişli değildir. Geçiş ağını etkinleştirmek için kullanıcı tanımlı yollar (UDF) ve ağ sanal gereçleri (NVA) gerekir. Daha fazla bilgi için bkz . Azure'da merkez-uç ağ topolojisi.

  • Kaynakları genel IP adresleriyle korumak için tek bir Microsoft Entra kiracısında bir Azure DDoS Koruması planını tüm sanal ağlarda paylaşabilirsiniz. Daha fazla bilgi için bkz . DDoS Koruması.

    • DDoS Koruması planları yalnızca genel IP adresleri olan kaynakları kapsar.

    • DDoS Koruması planının maliyeti, DDoS Koruması planıyla ilişkili korumalı sanal ağlar genelinde 100 genel IP adresi içerir. Daha fazla kaynak için koruma maliyeti daha fazladır. Daha fazla bilgi için bkz . DDoS Koruması fiyatlandırması veya SSS.

    • DDoS Koruması planlarının desteklenen kaynaklarını gözden geçirin.

  • ExpressRoute bağlantı hatlarını kullanarak aynı jeopolitik bölgedeki sanal ağlar arasında bağlantı kurabilir veya jeopolitik bölgeler arasında bağlantı için premium eklentiyi kullanabilirsiniz. Aşağıdaki noktaları göz önünde bulundurun:

    • Microsoft Enterprise Edge (MSEE) yönlendiricilerinde trafiğin kuymak yapması gerektiğinden ağdan ağa trafik daha fazla gecikmeyle karşılaşabilir.

    • ExpressRoute ağ geçidi SKU'su bant genişliğini kısıtlar.

    • Sanal ağlar arasındaki trafik için UDR'leri incelemeniz veya günlüğe kaydetmeniz gerekiyorsa UDR'leri dağıtın ve yönetin.

  • Sınır Ağ Geçidi Protokolü 'ne (BGP) sahip VPN ağ geçitleri Azure ve şirket içi ağlarda geçişlidir, ancak varsayılan olarak ExpressRoute üzerinden bağlanan ağlara geçişli erişim sağlamaz. ExpressRoute aracılığıyla bağlanan ağlara geçişli erişime ihtiyacınız varsa Azure Route Server'ı göz önünde bulundurun.

  • Birden çok ExpressRoute bağlantı hattını aynı sanal ağa bağladığınızda, şirket içi ağlar ile Azure arasındaki trafik için en uygun yolu sağlamak için bağlantı ağırlıklarını ve BGP tekniklerini kullanın. Daha fazla bilgi için bkz . ExpressRoute yönlendirmesini iyileştirme.

ExpressRoute yönlendirmesini etkilemek için BGP ölçümlerini kullanıyorsanız yapılandırmayı Azure platformunun dışında değiştirmeniz gerekir. Kuruluşunuzun veya bağlantı sağlayıcınızın şirket içi yönlendiricileri uygun şekilde yapılandırması gerekir.

  • Premium eklentilere sahip ExpressRoute bağlantı hatları genel bağlantı sağlar.

  • ExpressRoute'un, her ExpressRoute ağ geçidi için en fazla ExpressRoute bağlantısı sayısı dahil olmak üzere belirli sınırları vardır. ExpressRoute özel eşlemesi, Azure'dan şirket içine tanımlayabildiği yol sayısı için en yüksek sınıra sahiptir. Daha fazla bilgi için bkz . ExpressRoute sınırları.

  • VPN ağ geçidinin maksimum toplam aktarım hızı saniyede 10 gigabittir. VPN ağ geçidi en fazla 100 siteden siteye veya ağdan ağa tünelleri destekler.

  • NVA mimarinin bir parçasıysa, NVA'nız ile sanal ağınız arasındaki dinamik yönlendirmeyi basitleştirmek için Yönlendirme Sunucusu'nu göz önünde bulundurun. Yönlendirme bilgilerini BGP'yi destekleyen herhangi bir NVA ile Azure sanal ağındaki Azure yazılım tanımlı ağ (SDN) arasında doğrudan BGP aracılığıyla değiştirmek için Route Server'ı kullanın. Bu yaklaşımla yol tablolarını el ile yapılandırmanız veya bakımını yapmanız gerekmez.

Tasarım önerileri

  • Aşağıdaki senaryolar için geleneksel merkez-uç ağ topolojisini temel alan bir ağ tasarımı düşünün:

    • Tek bir Azure bölgesinde dağıtılan bir ağ mimarisi.

    • Bölgeler arasında giriş bölgeleri için sanal ağlar arasında geçişli bağlantıya gerek duymadan birden çok Azure bölgesine yayılan bir ağ mimarisi.

    • Birden çok Azure bölgesine yayılan bir ağ mimarisi ve Azure bölgeleri arasında sanal ağlara bağlanabilen genel sanal ağ eşlemesi.

    • VPN ve ExpressRoute bağlantıları arasında geçişli bağlantıya gerek yoktur.

    • Ana karma bağlantı yöntemi ExpressRoute'tır ve VPN bağlantısı sayısı VPN ağ geçidi başına 100'den azdır.

    • Merkezi NVA'lara ve ayrıntılı yönlendirmeye bağımlılık vardır.

  • Bölgesel dağıtımlar için öncelikle merkez-uç topolojisini her uç Azure bölgesi için bölgesel merkez ile kullanın. Aşağıdaki senaryolar için bölgesel bir merkezi merkez sanal ağına bağlanmak için sanal ağ eşlemesi kullanan uygulama giriş bölgesi sanal ağlarını kullanın:

    • İki farklı eşleme konumunda etkinleştirilen ExpressRoute aracılığıyla şirket içi bağlantılar. Daha fazla bilgi için bkz . Dayanıklılık için ExpressRoute'u tasarlama ve tasarlama.

    • Dal bağlantısı için VPN.

    • NVA'lar ve UDR'ler aracılığıyla uç-uç bağlantısı.

    • Azure Güvenlik Duvarı veya Microsoft dışı başka bir NVA aracılığıyla İnternet'e giden koruma.

  • Aşağıdaki diyagramda merkez-uç topolojisi gösterilmektedir. Uygun trafik denetimini sağlamak ve segmentasyon ve denetim gereksinimlerinin çoğunu karşılamak için bu yapılandırmayı kullanın.

    Merkez-uç ağ topolojisini gösteren diyagram.

  • Farklı eşleme konumlarında birden çok ExpressRoute bağlantı hattı aracılığıyla bağlanan birden çok sanal ağın bulunduğu topolojiyi kullanın:

    • Yüksek düzeyde yalıtıma ihtiyacınız var. Daha fazla bilgi için bkz . Dayanıklılık için ExpressRoute'u tasarlama ve tasarlama.

    • Belirli iş birimleri için ayrılmış ExpressRoute bant genişliğine ihtiyacınız vardır.

    • Her ExpressRoute ağ geçidi için maksimum bağlantı sayısına ulaşırsınız. Maksimum sayıyı belirlemek için bkz . ExpressRoute sınırları.

  • Aşağıdaki diyagramda bu topoloji gösterilmektedir.

    Birden çok ExpressRoute bağlantı hattına bağlı birden çok sanal ağı gösteren diyagram.

  • Aynı şehir içinde çift girişli eşleme için ExpressRoute Metro'ya göz atabilirsiniz.

  • Doğu/batı veya güney/kuzey trafik koruması ve filtreleme için merkezi merkez sanal ağına Azure Güvenlik Duvarı veya iş ortağı NVA'ları dağıtın.

  • Merkezi merkez sanal ağında ExpressRoute ağ geçitleri, VPN ağ geçitleri (gerektiği gibi) ve Azure Güvenlik Duvarı veya iş ortağı NVA'ları (gerektiği gibi) dahil olmak üzere en düşük düzeyde paylaşılan hizmetler kümesi dağıtın. Gerekirse, Active Directory etki alanı denetleyicilerini ve DNS sunucularını da dağıtın.

  • Bağlantı aboneliğinde tek bir DDoS Koruması standart planı dağıtın. Bu planı tüm giriş bölgesi ve platform sanal ağları için kullanın.

  • Şube konumlarını şirket genel merkezlerine bağlamak için mevcut ağınızı, çok protokollü etiket geçişinizi (MPLS) ve SD-WAN'ı kullanın. Route Server kullanmıyorsanız ExpressRoute bağlantıları ve VPN ağ geçitleri arasında Azure'da aktarım desteğine sahip değilsiniz demektir.

  • Merkezi merkez sanal ağında doğu/batı veya güney/kuzey trafik koruması ve filtreleme için Azure Güvenlik Duvarı veya iş ortağı NVA'ları dağıtın.

  • İş ortağı ağ teknolojilerini veya NVA'ları dağıtırken aşağıdakilerden emin olmak için iş ortağı satıcısının yönergelerini izleyin:

    • Satıcı dağıtımı destekler.

    • Bu kılavuz yüksek kullanılabilirliği ve en yüksek performansı destekler.

    • Azure ağıyla çakışan yapılandırma yoktur.

  • Azure Uygulaması lication Gateway gibi 7. Katman gelen NVA'ları merkezi merkez sanal ağında paylaşılan bir hizmet olarak dağıtmayın. Bunun yerine, bunları ilgili giriş bölgelerinde uygulamayla birlikte dağıtın.

  • Bağlantı aboneliğinde tek bir DDoS standart koruma planı dağıtın.

    • Tüm giriş bölgesi ve platform sanal ağları bu planı kullanmalıdır.
  • Şube konumlarını şirket genel merkezlerine bağlamak için mevcut ağınızı, çok protokollü etiket geçişinizi ve SD-WAN'ınızı kullanın. Route Server'ı kullanmıyorsanız Azure'da ExpressRoute ile VPN ağ geçitleri arasında geçiş desteği yoktur.

  • Merkez-uç senaryosunda ExpressRoute ile VPN ağ geçitleri arasında geçişe ihtiyacınız varsa Rota Sunucusu'nu kullanın. Daha fazla bilgi için bkz . ExpressRoute ve Azure VPN için Yönlendirme Sunucusu desteği.

    Rota Sunucusu ile ER ve VPN ağ geçitleri arasındaki geçişi gösteren diyagram.

  • Birden çok Azure bölgesinde merkez-uç ağlarınız varsa ve bölgeler arasında birkaç giriş bölgesi bağlamanız gerekiyorsa, genel sanal ağ eşlemesini kullanın. Trafiği birbirine yönlendirmesi gereken giriş bölgesi sanal ağlarını doğrudan bağlayabilirsiniz. İletişime geçen sanal makinenin SKU'sunun bağlı olarak, genel sanal ağ eşlemesi yüksek ağ aktarım hızı sağlayabilir. Doğrudan eşlenen giriş bölgesi sanal ağları arasında giden trafik, merkez sanal ağları içindeki NVA'ları atlar. Genel sanal ağ eşlemesi sınırlamaları trafik için geçerlidir.

  • Birden çok Azure bölgesinde merkez-uç ağlarınız varsa ve çoğu giriş bölgesini bölgeler arasında bağlamanız gerekiyorsa, her bölgedeki merkez sanal ağlarını birbirine bağlamak ve trafiği bölgeler arasında yönlendirmek için hub NVA'larını kullanın. Güvenlik gereksinimlerinizle uyumsuzluk nedeniyle merkez NVA'larını atlamak için doğrudan eşleme kullanamıyorsanız da bu yaklaşımı kullanabilirsiniz. Genel sanal ağ eşlemesi veya ExpressRoute bağlantı hatları, hub sanal ağlarını aşağıdaki yollarla bağlamaya yardımcı olabilir:

    • Genel sanal ağ eşlemesi düşük gecikme süresi ve yüksek aktarım hızı bağlantısı sağlar, ancak trafik ücretleri oluşturur.

    • ExpressRoute üzerinden yönlendirirseniz, MSEE saç tokası nedeniyle gecikme süresini artırabilirsiniz. Seçilen ExpressRoute ağ geçidi SKU'su aktarım hızını sınırlar.

Aşağıdaki diyagramda hub'dan hub'a bağlantı seçenekleri gösterilmektedir:

Hub'dan hub'a bağlantı seçeneklerini gösteren diyagram.

  • İki Azure bölgesini bağlamanız gerektiğinde, her bölgedeki merkez sanal ağlarını bağlamak için genel sanal ağ eşlemesini kullanın.

  • Kuruluşunuzda Sanal WAN Azure'ı temel alan yönetilen bir genel geçiş ağı mimarisi kullanın:

    • İkiden fazla Azure bölgesinde merkez-uç ağ mimarileri gerektirir.

    • Azure bölgeleri genelinde giriş bölgeleri sanal ağları arasında genel geçiş bağlantısı gerektirir.

    • Ağ yönetimi ek yükünü en aza indirmek istiyor.

  • İkiden fazla Azure bölgesi bağlamanız gerektiğinde, her bölgedeki merkez sanal ağlarının aynı ExpressRoute bağlantı hatlarına bağlanmasını öneririz. Genel sanal ağ eşlemesi, birden çok sanal ağda çok sayıda eşleme ilişkisi ve karmaşık bir UDR kümesi yönetmenizi gerektirir. Aşağıdaki diyagramda üç bölgede merkez-uç ağlarının nasıl bağlanacakları gösterilmektedir:

    ExpressRoute'un birden çok bölge arasında hub'dan hub'a bağlantı sağladığını gösteren diyagram.

  • Bölgeler arası bağlantı için ExpressRoute bağlantı hatlarını kullandığınızda, farklı bölgelerdeki uçlar doğrudan iletişim kurar ve uzak hub'ın uçlarına giden BGP yolları aracılığıyla öğrendiklerinden güvenlik duvarını atlar. Uçlar arasındaki trafiği incelemek için merkez sanal ağlarındaki güvenlik duvarı NVA'larına ihtiyacınız varsa şu seçeneklerden birini uygulamanız gerekir:

    • Trafiği merkezler arasında yeniden yönlendirmek için yerel merkez sanal ağındaki güvenlik duvarı için uç UDR'lerinde daha belirli yol girişleri oluşturun.

    • Rota yapılandırmasını basitleştirmek için uç rota tablolarında BGP yayma özelliğini devre dışı bırakın.

  • Kuruluşunuz ikiden fazla Azure bölgesinde merkez-uç ağ mimarileri ve Azure bölgeleri genelinde giriş bölgeleri sanal ağları arasında genel geçiş bağlantısı gerektirdiğinde ve ağ yönetimi yükünü en aza indirmek istediğinizde, Sanal WAN temel alan yönetilen bir genel geçiş ağı mimarisi önerilir.

  • Her bölgenin hub ağ kaynaklarını ayrı kaynak gruplarına dağıtın ve dağıtılan her bölgede sıralayın.

  • Azure Sanal Ağ Yöneticisi'ni kullanarak abonelikler genelinde sanal ağların bağlantısını ve güvenlik yapılandırmasını yönetin.

  • Azure'da ağlarınızın uçtan uca durumunu izlemek için Azure İzleyici ağ içgörülerini kullanın.

  • Uç sanal ağlarını merkezi merkez sanal ağına bağlarken aşağıdaki iki sınırı dikkate almanız gerekir:

    • Sanal ağ başına en fazla sanal ağ eşleme bağlantısı sayısı.

    • Özel eşlemeye sahip ExpressRoute'un Azure'dan şirket içine tanıttığını önek sayısı üst sınırı.

    • Merkez sanal ağına bağlı uç sanal ağlarının sayısının bu sınırları aşmadığından emin olun.

Sonraki adım