Sanal ağları planlama

  • Makale

Deneme yapmak için bir sanal ağ oluşturmak yeterince kolaydır, ancak büyük olasılıkla kuruluşunuzun üretim gereksinimlerini desteklemek için zaman içinde birden çok sanal ağ dağıtacaksınız. Bazı planlamalarla sanal ağları dağıtabilir ve ihtiyacınız olan kaynakları daha etkili bir şekilde bağlayabilirsiniz. Bu makaledeki bilgiler, sanal ağları zaten biliyorsanız ve bunlarla çalışma konusunda biraz deneyim sahibiyseniz en yararlı olacaktır. Sanal ağları bilmiyorsanız Sanal ağa genel bakış'ı okumanız önerilir.

Adlandırma

Tüm Azure kaynaklarının bir adı vardır. Adın, her kaynak türü için farklılık gösterebilen bir kapsam içinde benzersiz olması gerekir. Örneğin, bir sanal ağın adı bir kaynak grubu içinde benzersiz olmalıdır, ancak bir abonelik veya Azure bölgesinde çoğaltılabilir. Kaynakları adlandırırken tutarlı bir şekilde kullanabileceğiniz bir adlandırma kuralı tanımlamak, zaman içinde birkaç ağ kaynağını yönetirken yararlı olur. Öneriler için bkz . Adlandırma kuralları.

Bölgeler

Tüm Azure kaynakları bir Azure bölgesinde ve aboneliğinde oluşturulur. Kaynak yalnızca kaynakla aynı bölgede ve abonelikte bulunan bir sanal ağda oluşturulabilir. Ancak, farklı aboneliklerde ve bölgelerde bulunan sanal ağları bağlayabilirsiniz. Daha fazla bilgi için bkz . bağlantı. Hangi bölgelerde kaynak dağıtılacağına karar verirken, kaynakların tüketicilerinin fiziksel olarak nerede bulunduğunu göz önünde bulundurun:

  • Kaynakların tüketicileri genellikle kaynaklarında en düşük ağ gecikme süresini ister. Belirtilen konum ile Azure bölgeleri arasındaki göreli gecikme sürelerini belirlemek için bkz . Göreli gecikme sürelerini görüntüleme.
  • Veri yerleşimi, egemenlik, uyumluluk veya dayanıklılık gereksinimleriniz var mı? Bu durumda, gereksinimlere uygun bölgeyi seçmek kritik önem taşır. Daha fazla bilgi için bkz . Azure coğrafyaları.
  • Dağıttığınız kaynaklar için aynı Azure bölgesindeki Azure Kullanılabilirlik Alanları genelinde dayanıklılık gerekiyor mu? Sanal makineler (VM) gibi kaynakları aynı sanal ağ içindeki farklı kullanılabilirlik alanlarına dağıtabilirsiniz. Ancak tüm Azure bölgeleri kullanılabilirlik alanlarını desteklemez. Kullanılabilirlik alanları ve bunları destekleyen bölgeler hakkında daha fazla bilgi edinmek için bkz . Kullanılabilirlik alanları.

Abonelikler

Her abonelikte gerektiği kadar sanal ağ dağıtabilir ve en fazla sınıra kadar dağıtabilirsiniz. Örneğin bazı kuruluşların farklı departmanlar için farklı abonelikleri vardır. Abonelikler hakkında daha fazla bilgi ve önemli noktalar için bkz . Abonelik idaresi.

Segmentlere ayırma

Abonelik başına ve bölge başına birden çok sanal ağ oluşturabilirsiniz. Her sanal ağ içinde birden çok alt ağ oluşturabilirsiniz. Aşağıdaki önemli noktalar, kaç sanal ağ ve alt ağ istediğinizi belirlemenize yardımcı olur:

Sanal ağlar

Sanal ağ, Azure ortak ağının sanal, yalıtılmış bir bölümüdür. Her sanal ağ aboneliğinize ayrılmıştır. Bir abonelikte bir sanal ağ mı yoksa birden çok sanal ağ mı oluşturacağınız konusunda dikkat edilmesi gerekenler:

  • Trafiği ayrı sanal ağlara ayırmak için herhangi bir kurumsal güvenlik gereksinimi var mı? Sanal ağları bağlamayı veya bağlamamayı seçebilirsiniz. Sanal ağları bağlarsanız, sanal ağlar arasındaki trafik akışını denetlemek için güvenlik duvarı gibi bir ağ sanal gereci uygulayabilirsiniz. Daha fazla bilgi için bkz . güvenlik ve bağlantı.
  • Sanal ağları ayrı aboneliklere veya bölgelere ayırmak için herhangi bir kuruluş gereksinimi var mı?
  • arabirimi , vm'nin diğer kaynaklarla iletişim kurmasını sağlar. Her ağ arabirimine atanmış bir veya daha fazla özel IP adresi vardır. Sanal ağda kaç ağ arabirimine ve özel IP adresine ihtiyacınız var? Sanal ağ içinde sahip olabileceğiniz ağ arabirimlerinin ve özel IP adreslerinin sayısıyla ilgili sınırlar vardır.
  • Sanal ağı başka bir sanal ağa mı yoksa şirket içi ağa mı bağlamak istiyorsunuz? Bazı sanal ağları birbirine veya şirket içi ağlara bağlamayı seçebilirsiniz, ancak diğerlerini bağlamayabilirsiniz. Daha fazla bilgi için bkz . bağlantı. Başka bir sanal ağa veya şirket içi ağa bağladığınız her sanal ağın benzersiz bir adres alanına sahip olması gerekir. Her sanal ağın adres alanına atanmış bir veya daha fazla genel veya özel adres aralığı vardır. Adres aralığı, 10.0.0.0/16 gibi sınıfsız internet etki alanı yönlendirme (CIDR) biçiminde belirtilir. Sanal ağların adres aralıkları hakkında daha fazla bilgi edinin.
  • Farklı sanal ağlardaki kaynaklar için kuruluş yönetimi gereksinimleriniz var mı? Bu durumda, kuruluşunuzdaki kişilere izin atamasını basitleştirmek veya farklı sanal ağlara farklı ilkeler atamak için kaynakları ayrı sanal ağa ayırabilirsiniz.
  • Bazı Azure hizmet kaynaklarını bir sanal ağa dağıttığınızda, kendi sanal ağlarını oluştururlar. Bir Azure hizmetinin kendi sanal ağını oluşturup oluşturmadığını belirlemek için, sanal ağa dağıtılabilir her Azure hizmetiyle ilgili bilgilere bakın.

Alt ağlar

Bir sanal ağ, sınırlara kadar bir veya daha fazla alt ağa bölünebilir. Abonelikte bir alt ağ mı yoksa birden çok sanal ağ mı oluşturacağınız konusunda dikkat edilmesi gerekenler:

  • Her alt ağın, sanal ağın adres alanında CIDR biçiminde belirtilen benzersiz bir adres aralığı olmalıdır. Adres aralığı sanal ağdaki diğer alt ağlarla çakışamaz.
  • Bazı Azure hizmet kaynaklarını bir sanal ağa dağıtmayı planlıyorsanız, bu kaynaklar kendi alt ağlarını gerektirebilir veya oluşturabilir, bu nedenle bunları yapmak için ayrılmamış yeterli alan olmalıdır. Bir Azure hizmetinin kendi alt ağını oluşturup oluşturmadığını belirlemek için, sanal ağa dağıtılabilir her Azure hizmetiyle ilgili bilgilere bakın. Örneğin, Azure VPN Gateway kullanarak bir sanal ağı şirket içi ağa bağlarsanız, sanal ağın ağ geçidi için ayrılmış bir alt ağı olmalıdır. Ağ geçidi alt ağları hakkında daha fazla bilgi edinin.
  • Azure, varsayılan olarak bir sanal ağdaki tüm alt ağlar arasındaki ağ trafiğini yönlendirir. Azure'ın varsayılan yönlendirmesini geçersiz kılarak alt ağlar arasında Azure yönlendirmesini engelleyebilir veya örneğin bir ağ sanal gereci aracılığıyla alt ağlar arasındaki trafiği yönlendirebilirsiniz. Aynı sanal ağdaki kaynaklar arasındaki trafiğin bir ağ sanal gereci (NVA) üzerinden akmasını istiyorsanız, kaynakları farklı alt ağlara dağıtın. Güvenlik hakkında daha fazla bilgi edinin.
  • Azure depolama hesabı veya Azure SQL Veritabanı gibi Azure kaynaklarına erişimi sanal ağ hizmet uç noktasına sahip belirli alt ağlarla sınırlayabilirsiniz. Ayrıca, İnternet'ten kaynaklara erişimi reddedebilirsiniz. Birden çok alt ağ oluşturabilir ve bazı alt ağlar için bir hizmet uç noktasını etkinleştirebilirsiniz, ancak diğerleri için etkinleştiremeyebilirsiniz. Hizmet uç noktaları ve bunları etkinleştirebileceğiniz Azure kaynakları hakkında daha fazla bilgi edinin.
  • Sıfır veya bir ağ güvenlik grubunu bir sanal ağdaki her alt ağ ile ilişkilendirebilirsiniz. Aynı veya farklı bir ağ güvenlik grubunu her alt ağ ile ilişkilendirebilirsiniz. Her ağ güvenlik grubu, kaynaklara ve hedeflere gelen ve giden trafiğe izin veren veya reddeden kurallar içerir. Ağ güvenlik grupları hakkında daha fazla bilgi edinin.

Güvenlik

Ağ güvenlik gruplarını ve ağ sanal gereçlerini kullanarak bir sanal ağdaki kaynaklara gelen ve bu kaynaklardan gelen ağ trafiğini filtreleyebilirsiniz. Azure'ın alt ağlardan gelen trafiği nasıl yönlendirebileceğini denetleyebilirsiniz. Ayrıca, kuruluşunuzda kimlerin sanal ağlardaki kaynaklarla çalışabileceğini de sınırlayabilirsiniz.

Trafik filtreleme

  • Bir ağ güvenlik grubu, ağ trafiğini filtreleyen bir NVA veya her ikisini birden kullanarak sanal ağdaki kaynaklar arasındaki ağ trafiğini filtreleyebilirsiniz. Ağ trafiğini filtrelemek için güvenlik duvarı gibi bir NVA dağıtmak için Azure Market bakın. NVA kullanırken, trafiği alt ağlardan NVA'ya yönlendirmek için özel yollar da oluşturursunuz. Trafik yönlendirme hakkında daha fazla bilgi edinin.
  • Ağ güvenlik grubu, kaynaklara gelen veya kaynaklardan gelen trafiğe izin veren veya trafiği reddeden birkaç varsayılan güvenlik kuralı içerir. Bir ağ güvenlik grubu bir ağ arabirimiyle, ağ arabiriminin içinde olduğu alt ağla veya her ikisiyle ilişkilendirilebilir. Güvenlik kurallarının yönetimini basitleştirmek için, mümkün olduğunca bir ağ güvenlik grubunu alt ağ içindeki tek tek ağ arabirimleri yerine tek tek alt ağlarla ilişkilendirmeniz önerilir.
  • Alt ağ içindeki farklı VM'lere farklı güvenlik kurallarının uygulanması gerekiyorsa, VM'deki ağ arabirimini bir veya daha fazla uygulama güvenlik grubuyla ilişkilendirebilirsiniz. Güvenlik kuralı kaynağında, hedefinde veya her ikisinde bir uygulama güvenlik grubu belirtebilir. Bu kural daha sonra yalnızca uygulama güvenlik grubunun üyesi olan ağ arabirimleri için geçerlidir. Ağ güvenlik grupları ve uygulama güvenlik grupları hakkında daha fazla bilgi edinin.
  • Bir ağ güvenlik grubu alt ağ düzeyinde ilişkilendirildiğinde, yalnızca alt ağ dışından gelen trafik için değil, alt ağdaki tüm NIC'ler için geçerlidir. Bu, alt ağda bulunan VM'ler arasındaki trafiğin de etkilenebileceği anlamına gelir.
  • Azure, her ağ güvenlik grubu içinde birkaç varsayılan güvenlik kuralı oluşturur. Varsayılan bir kural, tüm trafiğin bir sanal ağdaki tüm kaynaklar arasında akmasına olanak tanır. Bu davranışı geçersiz kılmak için ağ güvenlik gruplarını, trafiği NVA'ya yönlendirmek için özel yönlendirmeyi veya her ikisini birden kullanın. Azure'ın tüm varsayılan güvenlik kurallarını tanımanız ve ağ güvenlik grubu kurallarının bir kaynağa nasıl uygulandığını anlamanız önerilir.

NVA kullanarak Azure ile İnternet arasında çevre ağı (DMZ olarak da bilinir) uygulamak için örnek tasarımları görüntüleyebilirsiniz.

Trafik yönlendirme

Azure, bir alt ağdan giden trafik için birkaç varsayılan yol oluşturur. Bir yönlendirme tablosu oluşturup bunu bir alt ağ ile ilişkilendirerek Azure'ın varsayılan yönlendirmesini geçersiz kılabilirsiniz. Azure'ın varsayılan yönlendirmesini geçersiz kılmanın yaygın nedenleri şunlardır:

  • Çünkü alt ağlar arasındaki trafiğin bir NVA üzerinden akmasını istiyorsunuz. NVA üzerinden trafiği zorlamak için yönlendirme tablolarını yapılandırma hakkında daha fazla bilgi edinmek için.
  • İnternet'e bağlı tüm trafiği bir Azure VPN ağ geçidi aracılığıyla bir NVA veya şirket içinde zorlamak istediğiniz için. Şirket içi İnternet trafiğini denetlemeye ve günlüğe kaydetmeye zorlamak genellikle zorlamalı tünel olarak adlandırılır. Zorlamalı tüneli yapılandırma hakkında daha fazla bilgi edinin.

Özel yönlendirme uygulamanız gerekiyorsa Azure'da yönlendirme hakkında bilgi sahibi olmanız önerilir.

Bağlantı

Sanal ağ eşlemesini kullanarak bir sanal ağı diğer sanal ağlara veya Azure VPN ağ geçidi kullanarak şirket içi ağınıza bağlayabilirsiniz.

Eşleme

Sanal ağ eşlemesi kullanılırken, sanal ağlar aynı veya farklı desteklenen Azure bölgelerinde olabilir. Sanal ağlar aynı veya farklı Azure aboneliklerinde (farklı Microsoft Entra kiracılarına ait abonelikler bile) olabilir. Eşleme oluşturmadan önce tüm eşleme gereksinimleri ve kısıtlamaları hakkında bilgi sahibi olmanız önerilir. Aynı bölgede eşlenen sanal ağlardaki kaynaklar arasındaki bant genişliği, kaynakların aynı sanal ağda olmasıyla aynıdır.

VPN ağ geçidi

Siteden siteye VPN kullanarak veya Azure ExpressRoute ile ayrılmış bir bağlantı kullanarak bir sanal ağı şirket içi ağınıza bağlamak için Azure VPN Gateway kullanabilirsiniz.

Eşlemeyi ve VPN ağ geçidini birleştirerek uç sanal ağlarının bir merkez sanal ağına, hub'ın ise şirket içi ağa bağlandığı merkez-uç ağları oluşturabilirsiniz.

Ad çözümlemesi

Bir sanal ağdaki kaynaklar, Azure'ın yerleşik DNS'sini kullanarak eşlenmiş bir sanal ağdaki kaynakların adlarını çözümleyemez. Eşlenmiş bir sanal ağdaki adları çözümlemek için kendi DNS sunucunuzu dağıtın veya Azure DNS özel etki alanlarını kullanın. Sanal ağ ve şirket içi ağlardaki kaynaklar arasındaki adları çözümlemek için kendi DNS sunucunuzu dağıtmanız da gerekir.

İzinler

Azure, kaynaklar için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır. İzinler şu hiyerarşideki bir kapsama atanır: yönetim grubu, abonelik, kaynak grubu ve tek tek kaynak. Hiyerarşi hakkında daha fazla bilgi edinmek için bkz . Kaynaklarınızı düzenleme. Azure sanal ağlarıyla ve eşleme, ağ güvenlik grupları, hizmet uç noktaları ve yönlendirme tabloları gibi tüm ilgili özellikleriyle çalışmak için, kuruluşunuzun üyelerini yerleşik Sahip, Katkıda Bulunan veya Ağ katkıda bulunanı rollerine atayabilir ve ardından rolü uygun kapsama atayabilirsiniz. Sanal ağ özelliklerinin bir alt kümesi için belirli izinler atamak istiyorsanız, özel bir rol oluşturun ve sanal ağlar, alt ağlar ve hizmet uç noktaları, ağ arabirimleri, eşleme, ağ ve uygulama güvenlik grupları veya tabloları role yönlendirmek için gereken belirli izinleri atayın.

İlke

Azure İlkesi ilke tanımları oluşturmanızı, atamanızı ve yönetmenizi sağlar. İlke tanımları kaynaklarınız üzerinde farklı kurallar uygular, böylece kaynaklar kuruluş standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalır. Azure İlkesi, sahip olduğunuz ilke tanımlarıyla uyumlu olmayan kaynakları tarayarak kaynaklarınızın değerlendirmesini çalıştırır. Örneğin, yalnızca belirli bir kaynak grubunda veya bölgede sanal ağ oluşturulmasına izin veren bir ilke tanımlayabilir ve uygulayabilirsiniz. Başka bir ilke, her alt ağın kendisiyle ilişkilendirilmiş bir ağ güvenlik grubu olmasını gerektirebilir. Daha sonra kaynaklar oluşturulurken ve güncelleştirilirken ilkeler değerlendirilir.

İlkeler şu hiyerarşiye uygulanır: yönetim grubu, abonelik ve kaynak grubu. Azure İlkesi hakkında daha fazla bilgi edinin veya bazı sanal ağ Azure İlkesi tanımları dağıtın.

Sonraki adımlar

Sanal ağ, alt ağ ve hizmet uç noktası, ağ arabirimi, eşleme, ağ ve uygulama güvenlik grubu veya yönlendirme tablosu için tüm görevler, ayarlar ve seçenekler hakkında bilgi edinin.