Aracılığıyla paylaş

Azure ağ hizmetlerine genel bakış

  • Makale

Azure'daki ağ hizmetleri, birlikte veya ayrı olarak kullanılabilecek çeşitli ağ özellikleri sağlar. Bunlar hakkında daha fazla bilgi edinmek için aşağıdaki ağ senaryolarının her birini seçin:

  • Ağ temeli: Azure ağ temeli hizmetleri Azure - Sanal Ağ (VNet), Özel Bağlantı, Azure DNS, Azure Sanal Ağ Manager, Azure Bastion, Route Server, NAT Gateway, Traffic Manager, Azure Ağ İzleyicisi ve Azure İzleyici'deki kaynaklarınız için temel bağlantı sağlar.
  • Yük dengeleme ve içerik teslimi: Azure yük dengeleme ve içerik teslim hizmetleri, uygulamalarınızın ve iş yüklerinizin yönetimine, dağıtımına ve iyileştirilmesine olanak tanır: Yük dengeleyici, Application Gateway ve Azure Front Door.
  • Karma bağlantı: Azure hibrit bağlantı hizmetleri, Vpn Gateway, ExpressRoute, Sanal WAN ve Eşleme Hizmeti'ndeki kaynaklarınıza güvenli iletişim sağlar.
  • Ağ güvenliği: Azure ağ güvenlik hizmetleri, web uygulamalarınızı ve IaaS hizmetlerinizi DDoS saldırılarına ve kötü amaçlı aktörlere karşı korur: Güvenlik Duvarı Yöneticisi, Güvenlik Duvarı, Web Uygulaması Güvenlik Duvarı ve DDoS Koruması.

Ağ temeli

Bu bölümde Azure - Sanal Ağ (VNet), Özel Bağlantı, Azure DNS, Azure Sanal Ağ Manager, Azure Bastion, Route Server, NAT Gateway, Traffic Manager, Azure Ağ İzleyicisi ve Azure İzleyici'de bir ağ ortamı tasarlamaya ve tasarlamaya yönelik yapı taşları sağlayan hizmetler açıklanmaktadır.

Sanal ağ

Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağları kullanarak:

  • Azure kaynakları arasında iletişim kurma: Sanal makineleri ve Azure Uygulaması Hizmet Ortamları, Azure Kubernetes Service (AKS) ve Azure Sanal Makine Ölçek Kümeleri gibi diğer çeşitli Azure kaynaklarını sanal ağa dağıtabilirsiniz. Bir sanal ağa dağıtabileceğiniz Azure kaynaklarının tam listesini görüntülemek için bkz. Sanal ağ hizmeti tümleştirmesi.
  • Birbiriyle iletişim kurma: Sanal ağları birbirine bağlayarak sanal ağ eşlemesini veya Azure Sanal Ağ Manager'ı kullanarak sanal ağdaki kaynakların birbiriyle iletişim kurmasını sağlayabilirsiniz. Bağlandığınız sanal ağlar aynı veya farklı Azure bölgelerinde bulunabilir. Daha fazla bilgi için bkz. Sanal ağ eşlemesi ve Azure Sanal Ağ Yöneticisi.
  • İnternet ile iletişim kurma: Sanal ağdaki tüm kaynaklar varsayılan olarak İnternet'e giden iletişim kurabilir. Bir kaynağa genel IP adresi veya genel Load Balancer atayarak o kaynağa gelen yönde iletişim kurabilirsiniz. Giden bağlantılarınızı yönetmek için Genel IP adreslerini veya genel Load Balancer'ı da kullanabilirsiniz.
  • Şirket içi ağlarla iletişim kurma: VPN Gateway veya ExpressRoute kullanarak şirket içi bilgisayarlarınızı ve ağlarınızı bir sanal ağa bağlayabilirsiniz.
  • Kaynaklar arasındaki trafiği şifreleme: Sanal ağ şifrelemesini kullanarak bir sanal ağdaki kaynaklar arasındaki trafiği şifreleyebilirsiniz.

Ağ güvenlik grupları

Ağ güvenlik grupları ile bir Azure sanal ağı içindeki Azure kaynaklarına gelen ve bu kaynaklardan giden ağ trafiğini filtreleyebilirsiniz. Daha fazla bilgi için bkz . Ağ güvenlik grupları.

Hizmet uç noktaları

Sanal Ağ (VNet) hizmet uç noktaları, sanal ağ özel adres alanınızı ve sanal ağınızın kimliğini doğrudan bağlantı üzerinden Azure hizmetlerine genişletir. Uç noktalar kritik Azure hizmeti kaynaklarınızı sanal ağlarınızla sınırlayarak güvenliğini sağlamanıza imkan verir. Sanal ağınızdan Azure hizmetine gelen trafik her zaman Microsoft Azure omurga ağında kalır.

Sanal ağ hizmet uç noktalarının diyagramı.

Azure Özel Bağlantı, Azure PaaS Hizmetleri'ne (örneğin, Azure Depolama ve SQL Veritabanı) ve Azure'da barındırılan müşteriye/iş ortağı hizmetlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Sanal ağınız ile hizmet arasındaki trafik Microsoft omurga ağı üzerinden gider. Hizmetinizi genel İnternet'te kullanıma açmak artık gerekli değildir. Sanal ağınızda kendi özel bağlantı hizmetinizi oluşturup müşterilerinize teslim edebilirsiniz.

Özel uç noktaya genel bakış ekran görüntüsü.

Azure DNS

Azure DNS , Microsoft Azure altyapısını kullanarak DNS barındırma ve çözümleme sağlar. Azure DNS üç hizmetlerden oluşur:

  • Azure Genel DNS , DNS etki alanları için bir barındırma hizmetidir. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz.
  • Azure Özel DNS, sanal ağlarınız için bir DNS hizmetidir. Azure Özel DNS, özel bir DNS çözümü yapılandırmaya gerek kalmadan sanal ağdaki etki alanı adlarını yönetir ve çözümler.
  • Azure DNS Özel Çözümleyicisi , VM tabanlı DNS sunucuları dağıtmadan şirket içi ortamdan Azure DNS özel bölgelerini sorgulamanızı sağlayan bir hizmettir.

Azure DNS kullanarak genel etki alanlarını barındırabilir ve çözümleyebilir, sanal ağlarınızda DNS çözümlemesini yönetebilir ve Azure ile şirket içi kaynaklarınız arasında ad çözümlemesini etkinleştirebilirsiniz.

Azure Sanal Ağ Yöneticisi

Azure Sanal Ağ Yöneticisi, sanal ağları farklı aboneliklerde gruplandırmanıza, yapılandırmanıza, dağıtmanıza ve yönetmenize olanak tanıyan bir yönetim hizmetidir. Sanal Ağ Yöneticisi ile sanal ağlarınızı tanımlamak ve mantıksal olarak segmentlere ayırmak için ağ grupları tanımlayabilirsiniz. Ardından, istediğiniz bağlantı ve güvenlik yapılandırmalarını belirleyebilir ve bunları aynı anda ağ gruplarındaki tüm seçili sanal ağlara uygulayabilirsiniz.

Azure sanal ağ yöneticisi ile bir ağ sanal ağ topolojisi için dağıtılan kaynakların diyagramı.

Azure Bastion

Azure Bastion , tarayıcınızı ve Azure portalını kullanarak bir sanal makineye bağlanmanıza olanak sağlamak için bir sanal ağa dağıtabileceğiniz bir hizmettir. Ayrıca yerel bilgisayarınızda zaten yüklü olan yerel SSH veya RDP istemcisini kullanarak da bağlanabilirsiniz. Azure Bastion hizmeti, sanal ağınıza dağıttığınız tam platform tarafından yönetilen bir PaaS hizmetidir. Doğrudan Azure portalda TLS üzerinden sanal makinelere güvenli ve sorunsuz bir şekilde RDP/SSH bağlantısı sunar. Azure Bastion aracılığıyla bağlandığınızda sanal makinelerinizin genel IP adresine, aracıya veya özel istemci yazılımına ihtiyacı olmaz. Azure Bastion için çeşitli farklı SKU/katmanlar mevcuttur. Seçtiğiniz katman kullanılabilir özellikleri etkiler. Daha fazla bilgi için bkz . Bastion yapılandırma ayarları hakkında.

Azure Bastion mimarisini gösteren diyagram.

Yönlendirme Sunucusu

Azure Route Server , ağ sanal gereciniz (NVA) ile sanal ağınız arasında dinamik yönlendirmeyi basitleştirir. Yönlendirme tablolarını el ile yapılandırmanıza veya bakımını yapmanıza gerek kalmadan, bgp yönlendirme protokollerini destekleyen herhangi bir NVA ile Azure Sanal Ağ (VNet) içindeki Azure Yazılım Tanımlı Ağ (SDN) arasında doğrudan Sınır Ağ Geçidi Protokolü (BGP) yönlendirme protokolü aracılığıyla yönlendirme bilgileri alışverişinde bulunmanıza olanak tanır.

NAT Ağ Geçidi

Sanal Ağ NAT(ağ adresi çevirisi), sanal ağlar için yalnızca giden İnternet bağlantısını basitleştirir. Bir alt ağda yapılandırıldığında, tüm giden bağlantılar belirtilen statik genel IP adreslerinizi kullanır. Doğrudan sanal makinelere bağlı yük dengeleyici veya genel IP adresleri olmadan giden bağlantı mümkündür. Daha fazla bilgi için bkz. Azure NAT ağ geçidi nedir?

Sanal ağ NAT ağ geçidi diyagramı.

Traffic Manager

Azure Traffic Manager , yüksek kullanılabilirlik ve yanıt süresi sağlarken trafiği genel Azure bölgelerindeki hizmetlere en iyi şekilde dağıtmanızı sağlayan DNS tabanlı bir trafik yük dengeleyicidir. Traffic Manager, öncelik, ağırlıklı, performans, coğrafi, çok değerli veya alt ağ gibi trafiği dağıtmak için bir dizi trafik yönlendirme yöntemi sağlar.

Aşağıdaki diyagramda Traffic Manager ile uç nokta önceliği tabanlı yönlendirme gösterilmektedir:

Azure Traffic Manager 'Öncelik' trafik yönlendirme yönteminin diyagramı.

Traffic Manager hakkında daha fazla bilgi için bkz . Azure Traffic Manager nedir?.

Azure Ağ İzleyicisi

Azure Ağ İzleyicisi, Azure sanal ağındaki kaynaklarda izleme, tanılama, ölçümleri görüntüleme ve günlükleri etkinleştirme veya devre dışı bırakma işlemleri için araçlar sağlar.

Azure İzleyici

Azure İzleyici, bulut ve şirket içi ortamlarınızdaki telemetri verilerini toplama, analiz etme ve onları kullanarak harekete geçme amacıyla kapsamlı bir çözüm sunarak uygulamalarınızın kullanılabilirliğini ve performansını en üst düzeye çıkarır. Uygulamalarınızın performansını anlamanıza ve uygulamalarla bağlı oldukları kaynakları etkileyen sorunları önceden tespit etmenize yardımcı olur.

Yük dengeleme ve içerik teslimi

Bu bölümde, Azure'da Load Balancer, Application Gateway ve Azure Front Door Service gibi uygulama ve iş yüklerinin sunulmasına yardımcı olan ağ hizmetleri açıklanmaktadır.

Load Balancer

Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli Katman 4 yük dengelemesi sağlar. Gelen ve giden bağlantıları yönetir. Genel ve iç yük dengeli uç noktaları yapılandırabilirsiniz. Hizmet kullanılabilirliğini yönetmek için TCP ve HTTP sistem durumu yoklama seçeneklerini kullanarak gelen bağlantıları arka uç havuzu hedeflerine eşlemek için kurallar tanımlayabilirsiniz.

Azure Load Balancer Standart, Bölgesel ve Ağ Geçidi SKU'larında kullanılabilir.

Aşağıdaki resimde hem dış hem de iç yük dengeleyicileri kullanan İnternet'e yönelik çok katmanlı bir uygulama gösterilmektedir:

Azure Load Balancer örneğinin ekran görüntüsü.

Application Gateway

Azure Application Gateway, web uygulamalarınıza trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicisidir. Uygulamalarınız için çeşitli katman 7 yük dengeleme özellikleri sunan bir hizmet olarak Application Delivery Controller (ADC) hizmetidir.

Aşağıdaki diyagramda Application Gateway ile url yolu tabanlı yönlendirme gösterilmektedir.

Application Gateway örneğinin görüntüsü.

Azure Front Door

Azure Front Door , yüksek kullanılabilirlik için en iyi performansı ve anlık genel yük devretmeyi iyileştirerek web trafiğiniz için genel yönlendirmeyi tanımlamanıza, yönetmenize ve izlemenize olanak tanır. Front Door ile, genel (çok bölgeli) tüketici ve kurumsal uygulamalarınızı Azure ile küresel çapta bir hedef kitleye ulaşan sağlam, yüksek performanslı, kişiselleştirilmiş modern uygulamalara, API’lere ve içeriğe dönüştürebilirsiniz.

Web Uygulaması Güvenlik Duvarı ile Azure Front Door hizmetinin diyagramı.

Karma bağlantı

Bu bölümde, şirket içi ağınızla Azure - VPN Gateway, ExpressRoute, Sanal WAN ve Eşleme Hizmeti arasında güvenli bir iletişim sağlayan ağ bağlantı hizmetleri açıklanmaktadır.

VPN Gateway

VPN Gateway , şirket içi konumlardan sanal ağınıza şifreli şirket içi bağlantılar oluşturmanıza veya sanal ağlar arasında şifrelenmiş bağlantılar oluşturmanıza yardımcı olur. VPN Gateway bağlantıları için farklı yapılandırmalar mevcuttur. Ana özelliklerden bazıları şunlardır:

  • Siteden siteye VPN bağlantısı
  • Noktadan siteye VPN bağlantısı
  • Sanal Ağdan Sanal Ağa VPN bağlantısı

Aşağıdaki diyagramda aynı sanal ağa yönelik birden çok siteden siteye VPN bağlantısı gösterilmektedir. Daha fazla bağlantı diyagramı görüntülemek için bkz . VPN Gateway - tasarım.

Birden çok siteden siteye Azure VPN Gateway bağlantısını gösteren diyagram.

ExpressRoute

ExpressRoute , bir bağlantı sağlayıcısı tarafından kolaylaştırılan özel bir bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanır. Bu bağlantı özeldir. Trafik İnternet üzerinden gitmez. ExpressRoute'u kullanarak Microsoft Azure, Microsoft 365 ve Dynamics 365 gibi Microsoft bulut hizmetleriyle bağlantı kurabilirsiniz.

Azure ExpressRoute'un ekran görüntüsü.

Sanal WAN

Azure Sanal WAN, tek bir işlem arabirimi sağlamak için birçok ağ, güvenlik ve yönlendirme işlevini bir araya getiren bir ağ hizmetidir. Sanal ağ bağlantıları kullanılarak Azure sanal ağlarına bağlantı kurulur. Ana özelliklerden bazıları şunlardır:

  • Dal bağlantısı (SD-WAN veya VPN CPE gibi Sanal WAN İş ortağı cihazlarından bağlantı otomasyonu aracılığıyla)
  • Siteden siteye VPN bağlantısı
  • Uzak kullanıcı VPN bağlantısı (noktadan siteye)
  • Özel bağlantı (ExpressRoute)
  • Bulut içi bağlantı (sanal ağlar için geçişli bağlantı)
  • İç bağlantı yönlendirme için VPN ExpressRoute
  • Özel bağlantı için yönlendirme, Azure Güvenlik Duvarı ve şifreleme

Sanal WAN diyagramı.

Eşleme Hizmeti

Azure Eşleme Hizmeti, Microsoft 365, Dynamics 365, hizmet olarak yazılım (SaaS) hizmetleri, Azure veya genel İnternet üzerinden erişilebilen herhangi bir Microsoft hizmetleri gibi Microsoft bulut hizmetlerine müşteri bağlantısını geliştirir.

Bu bölümde Azure'daki ağ kaynaklarınızın korunmasına yardımcı olan ağ hizmetleri açıklanmaktadır: Azure'da bu ağ hizmetlerini kullanarak uygulamalarınızı koruma - DDoS koruması, Özel Bağlantı, Güvenlik Duvarı, Web Uygulaması Güvenlik Duvarı, Ağ Güvenlik Grupları ve Sanal Ağ Hizmet Uç Noktaları.

Ağ güvenliği

Bu bölümde Güvenlik Duvarı Yöneticisi, Güvenlik Duvarı, Web Uygulaması Güvenlik Duvarı ve DDoS Koruması gibi ağ kaynaklarınızı koruyan ve izleyen Azure ağ hizmetleri açıklanmaktadır.

Güvenlik Duvarı Yöneticisi

Azure Güvenlik Duvarı Yöneticisi, bulut tabanlı güvenlik çevreleri için merkezi güvenlik ilkesi ve yönlendirme yönetimi sağlayan bir güvenlik yönetimi hizmetidir. Güvenlik duvarı yöneticisi iki farklı ağ mimarisi türü için güvenlik yönetimi sağlayabilir: güvenli sanal merkez ve merkez sanal ağı. Azure Güvenlik Duvarı Manager ile Azure bölgeleri ve abonelikleri arasında birden çok Azure Güvenlik Duvarı örneği dağıtabilir, DDoS koruma planları uygulayabilir, web uygulaması güvenlik duvarı ilkelerini yönetebilir ve gelişmiş güvenlik için hizmet olarak iş ortağı güvenliğiyle tümleştirebilirsiniz.

Güvenli bir sanal merkez ve merkez sanal ağında birden çok Azure Güvenlik Duvarı diyagramı.

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Azure Güvenlik Duvarı kullanarak, abonelikler ve sanal ağlar arasında uygulama ve ağ bağlantı ilkelerini merkezi olarak oluşturabilir, zorunlu kılabilir ve günlüğe kaydedebilirsiniz. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır.

Güvenlik duvarına genel bakış diyagramı.

Web Uygulaması Güvenlik Duvarı

Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınıza SQL ekleme ve siteler arası betik oluşturma gibi yaygın web açıklarından ve güvenlik açıklarından koruma sağlar. Azure WAF, yönetilen kurallar aracılığıyla OWASP ilk 10 güvenlik açığına karşı kullanıma açık koruma sağlar. Ayrıca müşteriler, kaynak IP aralığına göre ek koruma sağlamak için müşteri tarafından yönetilen kurallar olan özel kuralları ve üst bilgiler, tanımlama bilgileri, form veri alanları veya sorgu dizesi parametreleri gibi istek özniteliklerini yapılandırabilir.

Müşteriler, genel ve özel adres alanında bulunan varlıklara bölgesel koruma sağlayan Application Gateway ile Azure WAF'yi dağıtmayı seçebilir. Müşteriler, ağ uç noktasında genel uç noktalara koruma sağlayan Front Door ile Azure WAF dağıtmayı da seçebilir.

Web Uygulaması Güvenlik Duvarı ekran görüntüsü.

DDOS Koruması

Azure DDoS Koruması , en gelişmiş DDoS tehditlerine karşı önlemler sağlar. Hizmet, uygulamanız ve sanal ağlarınıza dağıtılan kaynaklar için gelişmiş DDoS azaltma özellikleri sağlar. Ayrıca Azure DDoS Koruması kullanan müşteriler, etkin bir saldırı sırasında DDoS uzmanlarıyla etkileşim kurmak için DDoS Hızlı Yanıt desteğine erişebilir.

Azure DDoS Koruması iki katmandan oluşur:

  • DDoS Ağ Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır.
  • DDoS IP Koruması korumalı bir IP modelidir. DDoS IP Koruması, DDoS Ağ Koruması ile aynı temel mühendislik özelliklerini içerir, ancak aşağıdaki katma değerli hizmetlerden farklıdır: DDoS hızlı yanıt desteği, maliyet koruması ve WAF indirimleri.

DDoS korumalı PaaS web uygulaması için başvuru mimarisinin diyagramı.

Sonraki adımlar

  • İlk sanal ağınızı oluşturma makalesindeki adımları tamamlayarak ilk sanal ağınızı oluşturun ve ona birkaç sanal makine bağlayın.
  • Noktadan siteye bağlantı yapılandırma makalesindeki adımları tamamlayarak bilgisayarınızı bir sanal ağa bağlayın.
  • İnternet'e yönelik yük dengeleyici oluşturma makalesindeki adımları tamamlayarak genel sunuculara yönelik İnternet trafiğinin yükünü dengeleme.