Azure Arc özellikli sunucular için ağ topolojisi ve bağlantısı

  • Makale

Azure Arc özellikli sunucular, Azure denetim düzlemini kullanarak Windows ve Linux fiziksel sunucularınızı ve sanal makinelerinizi (şirket içi ortamınızda veya üçüncü taraf bir bulut sağlayıcısı tarafından barındırılan) yönetmenize olanak tanır. Bu belge, Bulut Benimseme Çerçevesi kurumsal ölçekli giriş bölgesi kılavuzunun bir parçası olarak Azure Arc özellikli sunucular bağlantısı için önemli tasarım konuları ve en iyi yöntemler konusunda size yol gösterir.

Bu makalede kurumsal ölçekli giriş bölgesini başarıyla uyguladığınız ve karma ağ bağlantıları kurduğunuz varsayılır ve bu nedenle Azure Arc özellikli sunuculara bağlı makine aracısı bağlantısına odaklanılır. Bu önkoşul hakkında daha fazla bilgi için kurumsal ölçekli genel bakışı ve uygulama kılavuzunu gözden geçirin.

Mimari

Aşağıdaki diyagramda Azure Arc özellikli sunucuların bağlantısı için kavramsal başvuru mimarisi gösterilmektedir.

Diagram that shows Azure Arc-enabled servers connectivity options.

Tasarımla ilgili dikkat edilecek noktalar

Aşağıdaki listede Azure Arc özellikli sunucular için ağ tasarımıyla ilgili dikkat edilmesi gereken noktalara genel bir bakış sağlanmaktadır.

  • Aracının bağlantı yöntemini tanımlayın: Mevcut altyapınızı, güvenlik gereksinimlerinizi gözden geçirin ve bağlı makine aracısının şirket içi ağınızdan veya diğer bulut sağlayıcılarınızdan Azure ile nasıl iletişim kuracağını belirleyin. Bu bağlantı doğrudan İnternet üzerinden, ara sunucu üzerinden gidebilir veya özel bağlantı için Özel Bağlantı uygulayabilirsiniz.
  • Azure hizmet etiketlerine erişimi yönetme: Güvenlik duvarı ve ara sunucu ağ kurallarının Bağlan Makine aracısı ağ gereksinimlerine göre güncelleştirilmiş kalmasını sağlamak için otomatik bir işlem oluşturun.
  • Azure Arc'a ağ bağlantınızın güvenliğini sağlama: Makine işletim sistemini Aktarım Katmanı Güvenliği (TLS) sürüm 1.2'yi kullanacak şekilde yapılandırın. Bilinen güvenlik açıkları nedeniyle eski sürümler önerilmez.
  • Uzantılar bağlantı yöntemini tanımlama: Azure Arc özellikli bir sunucuda dağıtılan Azure uzantılarının genellikle diğer Azure hizmetleriyle iletişim kurması gerekir. Bu bağlantı doğrudan genel ağları kullanarak, bir güvenlik duvarı aracılığıyla veya bir ara sunucu aracılığıyla gidebilir. Tasarımınız özel bağlantı gerektiriyorsa, uzantılar tarafından erişilen her hizmet için Özel Uç Nokta bağlantısını etkinleştirmek üzere Arc aracısı için Özel Uç Noktaları yapılandırmanın ötesinde ek adımlar uygulamanız gerekir.
  • Genel bağlantı mimarinizi gözden geçirin: Azure Arc özellikli sunucuların genel bağlantınız üzerindeki etkisini değerlendirmek için Azure giriş bölgesi kurumsal ölçeğinin ağ topolojisini ve bağlantı tasarım alanını gözden geçirin.

Tasarım önerileri

Azure Arc aracısının bağlantı yöntemini tanımlama

Azure Arc özellikli sunucular, aşağıdaki yöntemleri kullanarak karma makineleri bağlamanıza olanak sağlar:

  • İsteğe bağlı olarak bir güvenlik duvarının veya ara sunucunun arkasından doğrudan bağlantı
  • Azure Özel Bağlantı

Doğrudan bağlantı

Azure Arc özellikli sunucular, Azure genel uç noktalarına doğrudan bağlantı sunar. Bu bağlantı yöntemiyle, tüm makine aracıları genel uç nokta kullanarak İnternet üzerinden bir bağlantı açar. Linux ve Windows için bağlı makine aracısı, HTTPS protokolunu (TCP/443) kullanarak Azure'a giden iletişimi güvenli bir şekilde gerçekleştirir.

Doğrudan bağlantı yöntemini kullanırken, bağlı makine aracısı için İnternet erişiminizi gözden geçirmeniz gerekir. Gerekli ağ kurallarını yapılandırmanızı öneririz.

Ara sunucu veya güvenlik duvarı bağlantısı (isteğe bağlı)

Makine İnternet üzerinden iletişim kurmak için bir güvenlik duvarı veya ara sunucu kullanıyorsa, aracı HTTPS protokolunu kullanarak gidene bağlanır.

Giden bağlantı güvenlik duvarınız veya ara sunucunuz tarafından kısıtlanmışsa, Bağlan Makine aracısı ağ gereksinimlerine göre IP aralıklarına izin verildiğinden emin olun. Aracının hizmetle iletişim kurması için yalnızca gerekli IP aralıklarına veya etki alanı adlarına izin verdiğinizde, güvenlik duvarınızı veya proxy sunucunuzu yapılandırmak için hizmet etiketlerini ve URL'leri kullanın.

Azure Arc özellikli sunucularınıza uzantı dağıtırsanız, her uzantı kendi uç noktasına veya uç noktalarına bağlanır ve güvenlik duvarı veya ara sunucudaki ilgili tüm URL'lere de izin vermelisiniz. Bu uç noktaların eklenmesi, en düşük ayrıcalık ilkesini (PoLP) karşılamak için ayrıntılı güvenli ağ trafiği sağlar.

Arc Özel Bağlantı Kapsamı ile Azure Arc özellikli sunucuyu kullanarak Arc aracılarınızdan gelen tüm trafiğin ağınızda kaldığından emin olabilirsiniz. Bu yapılandırmanın güvenlik avantajları vardır: trafik İnternet'ten geçiş yapmaz ve veri merkezi güvenlik duvarınızda çok sayıda giden özel durum açmanız gerekmez. Ancak Özel Bağlantı kullanmak, özellikle küresel kuruluşlar için genel karmaşıklığı ve maliyeti artırırken bir dizi yönetim zorluğuna neden olur. Bu zorlukların bazıları şunlardır:

  • Arc Özel Bağlantı Kapsamları'nı kullanma seçeneği, aynı DNS kapsamındaki tüm Arc istemcilerini kapsar. Bazı Arc istemcilerinin Özel Uç Noktaları, bazılarının ise DNS sunucusunu paylaşırken ortak kullanmasını (DNS İlkeleri gibi geçici çözümler olmadan) kullanamazsınız
  • Arc istemcilerinizin birincil bölgedeki veya DNS'deki tüm Özel Uç Noktaların, aynı Özel Uç Nokta adlarının farklı IP adreslerine çözümlenmesi için yapılandırılması gerekir (örneğin, Active Directory ile tümleşik DNS için seçmeli olarak çoğaltılan DNS bölümleri kullanılarak). Tüm Arc istemcileriniz için aynı Özel Uç Noktaları kullanıyorsanız, trafiği tüm ağlarınızdan Özel Uç Noktalara yönlendirebilmeniz gerekir.
  • Log Analytics çalışma alanları, Otomasyon Hesapları, Key Vault veya Azure Depolama gibi Arc kullanılarak dağıtılan Uzantılar yazılım bileşenleri tarafından erişilen tüm Azure hizmetleri için Özel Uç Noktaların da kullanıldığından emin olmak için ek adımlar gereklidir
  • Azure Entra ID'ye Bağlan üretkenliği genel uç noktayı kullandığı için istemciler hala İnternet erişimine ihtiyaç duyuyor

Bu zorluklar nedeniyle Özel Bağlantı Arc uygulamanız için bir gereksinim olup olmadığını değerlendirmenizi öneririz. Genel uç noktalarda trafiğin şifrelendiğini ve Sunucular için Arc'ın nasıl kullanılacağına bağlı olarak yönetim ve meta veri trafiğiyle sınırlı olabileceğini düşünün. Yerel aracı güvenlik denetimleri uygulanarak güvenlik endişeleri hafifletilebilir.

Daha fazla ayrıntı için Arc için Özel Bağlantı desteğiyle ilişkili kısıtlamaları ve sınırlamaları gözden geçirin.

Diagram that shows Azure Arc-enabled servers Private Link topology.

İpucu

Daha fazla bilgi için Azure Özel Bağlantı güvenliğini gözden geçirin.

Azure hizmet etiketlerine erişimi yönetme

Güvenlik duvarı ve ara sunucu ağ kurallarını Azure Arc ağ gereksinimlerine göre güncel tutmak için otomatik bir işlem uygulamanızı öneririz.

Azure Arc'a ağ bağlantınızın güvenliğini sağlama

Azure'a taşınan verilerin güvenliğini sağlamak için Aktarım Katmanı Güvenliği 1.2 protokolünün kullanılmasını öneririz. TLS/Güvenli Yuva Katmanı'nın (SSL) eski sürümlerinin savunmasız olduğu bulunmuştur ve önerilmez.

Uzantılar bağlantı yöntemini tanımlama

Azure Arc özellikli sunucuların desteklenen VM uzantılarından herhangi birini etkinleştirdiğinizde, bu uzantılar diğer Azure hizmetlerine bağlanır. Bu uzantılar için bağlantı yöntemini belirlemek önemlidir: doğrudan, ara sunucunun/güvenlik duvarının arkasında veya Azure Özel Bağlantı kullanma.

Azure Arc özellikli sunucularınız bir ara sunucu veya güvenlik duvarı kullanıyorsa, kendi uç noktalarıyla iletişim kuracakları için uzantılar için gereken tüm URL'lere de izin vermelisiniz.

Özel Bağlantı kullanıyorsanız, her hizmet için Özel Bağlantı yapılandırmanız gerekir.

Sonraki adımlar

Hibrit bulut benimseme yolculuğunuzla ilgili daha fazla rehberlik için aşağıdaki kaynakları gözden geçirin: