Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Deneme yapmak için bir sanal ağ oluşturmak yeterince kolaydır, ancak kuruluşunuzun üretim gereksinimlerini desteklemek için zaman içinde birden çok sanal ağ dağıtma olasılığınız vardır. Bazı planlamalarla sanal ağları dağıtabilir ve ihtiyacınız olan kaynakları daha etkili bir şekilde bağlayabilirsiniz. Bu makaledeki bilgiler, sanal ağları zaten biliyorsanız ve bunlarla çalışma konusunda biraz deneyim sahibiyseniz en yararlı olacaktır. Sanal ağları bilmiyorsanız Sanal ağa genel bakış'ı okumanızı öneririz.
Adlandırma
Tüm Azure kaynaklarının bir adı vardır. Ad, her kaynak türü için farklılık gösterebilecek bir kapsam içinde benzersiz olmalıdır. Örneğin, bir sanal ağın adı bir kaynak grubu içinde benzersiz olmalıdır, ancak bir abonelikte veya Azure bölgesinde yinelenen bir ad kullanabilirsiniz. Kaynakları adlandırırken tutarlı bir şekilde kullanabileceğiniz bir adlandırma kuralı tanımlamak, zaman içinde birkaç ağ kaynağını yönetirken yararlı olur. Öneriler için bkz . Adlandırma kuralları.
Bölgeler
Tüm Azure kaynakları bir Azure bölgesinde ve aboneliğinde oluşturulur. Kaynağın oluşturulacağı sanal ağ, kaynakla aynı bölgede ve aynı abonelikte yer almalıdır. Ancak farklı aboneliklerde ve bölgelerde bulunan sanal ağları bağlayabilirsiniz. Daha fazla bilgi için bkz . Bağlantı. Hangi bölgelerin kaynak dağıtılacağına karar verdiğinizde, kaynakların tüketicilerinin fiziksel olarak nerede bulunduğunu göz önünde bulundurun:
- Ağ gecikme süreniz düşük mü? Kaynakların tüketicileri genellikle kaynaklarında en düşük ağ gecikme süresini ister. Belirtilen konum ile Azure bölgeleri arasındaki göreli gecikme sürelerini belirlemek için bkz . Göreli gecikme sürelerini görüntüleme.
- Veri yerleşimi, egemenlik, uyumluluk veya dayanıklılık gereksinimleriniz var mı? Bu durumda, gereksinimlere uygun bölgeyi seçmek kritik önem taşır. Daha fazla bilgi için bkz . Azure coğrafyaları.
- Dağıttığınız kaynaklar için aynı Azure bölgesindeki Azure kullanılabilirlik alanlarında dayanıklılık mı istiyorsunuz? Sanal makineler (VM' ler) gibi kaynakları aynı sanal ağ içindeki farklı kullanılabilirlik alanlarına dağıtabilirsiniz. Tüm Azure bölgeleri kullanılabilirlik alanlarını desteklemez. Kullanılabilirlik alanları ve bunları destekleyen bölgeler hakkında daha fazla bilgi edinmek için bkz . Kullanılabilirlik alanları.
Abonelikler
Her abonelikte, belirlenen sınıra kadar gerektiği kadar sanal ağ dağıtabilirsiniz. Örneğin bazı kuruluşların farklı departmanlar için farklı abonelikleri vardır. Abonelikler hakkında daha fazla bilgi ve önemli noktalar için bkz . Abonelik idaresi.
Segmentlere ayırma
Abonelik başına ve bölge başına birden çok sanal ağ oluşturabilirsiniz. Her sanal ağ içinde birden çok alt ağ oluşturabilirsiniz. Aşağıdaki önemli noktalar, kaç sanal ağ ve alt ağa ihtiyacınız olduğunu belirlemenize yardımcı olur.
Sanal ağlar
Sanal ağ, Azure ortak ağının sanal, yalıtılmış bir bölümüdür. Her sanal ağ aboneliğinize ayrılmıştır. Bir abonelikte bir sanal ağ mı yoksa birden çok sanal ağ mı oluşturacağınız konusunda karar verdiğinizde aşağıdaki noktaları göz önünde bulundurun:
- Trafiği ayrı sanal ağlara ayırmak için herhangi bir kurumsal güvenlik gereksinimi var mı? Sanal ağları bağlamayı veya bağlamamayı seçebilirsiniz. Sanal ağları bağlarsanız, sanal ağlar arasındaki trafik akışını denetlemek için güvenlik duvarı gibi bir ağ sanal gereci uygulayabilirsiniz. Daha fazla bilgi için bkz . Güvenlik ve Bağlantı.
- Sanal ağları ayrı aboneliklere veya bölgelere ayırmak için herhangi bir kuruluş gereksinimi var mı?
- Ağ arabirimi gereksinimleriniz var mı? Ağ arabirimi, vm'nin diğer kaynaklarla iletişim kurmasını sağlar. Her ağ arabirimine atanmış bir veya daha fazla özel IP adresi vardır. Sanal ağda kaç ağ arabirimine ve özel IP adresine ihtiyacınız var? Sanal ağ içinde sahip olabileceğiniz ağ arabirimlerinin ve özel IP adreslerinin sayısıyla ilgili sınırlar vardır.
- Sanal ağı başka bir sanal ağa mı yoksa şirket içi ağa mı bağlamak istiyorsunuz? Bazı sanal ağları birbirine veya şirket içi ağlara bağlamaya karar verebilir, ancak başkalarına bağlamayabilirsiniz. Daha fazla bilgi için bkz . Bağlantı. Başka bir sanal ağa veya şirket içi ağa bağladığınız her sanal ağın benzersiz bir adres alanına sahip olması gerekir. Her sanal ağın adres alanına atanmış bir veya daha fazla genel veya özel adres aralığı vardır. Adres aralığı, 10.0.0.0/16 gibi sınıfsız internet etki alanı yönlendirme (CIDR) biçiminde belirtilir. Sanal ağların adres aralıkları hakkında daha fazla bilgi edinin.
- Farklı sanal ağlardaki kaynaklar için kuruluş yönetimi gereksinimleriniz var mı? Bu durumda, kuruluşunuzdaki kişilere izin atamasını basitleştirmek veya farklı sanal ağlara farklı ilkeler atamak için kaynakları ayrı sanal ağlara ayırabilirsiniz.
- Kendi sanal ağını oluşturabilecek kaynaklar için gereksinimleriniz var mı? Bazı Azure hizmet kaynaklarını bir sanal ağa dağıttığınızda, kendi sanal ağlarını oluştururlar. Bir Azure hizmetinin kendi sanal ağını oluşturup oluşturmadığını belirlemek için, sanal ağa dağıtabileceğiniz her Bir Azure hizmetinin bilgilerine bakın.
Alt ağlar
Bir sanal ağı sınırlara kadar bir veya daha fazla alt ağa bölebilirsiniz. Bir abonelikte bir alt ağ mı yoksa birden çok sanal ağ mı oluşturacağınız konusunda karar verdiğinizde aşağıdaki noktaları göz önünde bulundurun:
- Sanal ağın adres alanında her alt ağ için CIDR biçiminde belirtilen benzersiz bir adres aralığına sahip olun. Adres aralığı sanal ağdaki diğer alt ağlarla çakışamaz.
- Bazı Azure hizmet kaynaklarını bir sanal ağa dağıtmayı planlıyorsanız, kendi alt ağlarını gerektirebilir veya oluşturabilirler. Bunu yapmak için yeterli ayrılmamış alan olmalıdır. Bir Azure hizmetinin kendi alt ağını oluşturup oluşturmadığını belirlemek için, sanal ağa dağıtabileceğiniz her Azure hizmetiyle ilgili bilgilere bakın. Örneğin, azure VPN ağ geçidi kullanarak bir sanal ağı şirket içi ağa bağlarsanız, sanal ağın ağ geçidi için ayrılmış bir alt ağı olmalıdır. Ağ geçidi alt ağları hakkında daha fazla bilgi edinin.
- Bir sanal ağdaki tüm alt ağlar arasındaki ağ trafiği için varsayılan yönlendirmeyi geçersiz kılın. Örneğin, alt ağlar arasında Azure yönlendirmesini engellemek veya alt ağlar arasındaki trafiği bir ağ sanal gereci aracılığıyla yönlendirmek istiyorsunuz. Aynı sanal ağdaki kaynaklar arasındaki trafiğin bir ağ sanal gereci (NVA) üzerinden akmasını istiyorsanız, kaynakları farklı alt ağlara dağıtın. Güvenlik bölümünden daha fazla bilgi edinin.
- Azure Depolama hesabı veya Azure SQL Veritabanı gibi Azure kaynaklarına erişimi sanal ağ hizmet uç noktası olan belirli alt ağlarla sınırlayın. Ayrıca, İnternet'ten kaynaklara erişimi reddedebilirsiniz. Birden çok alt ağ oluşturabilir ve bazı alt ağlar için bir hizmet uç noktasını etkinleştirebilirsiniz, ancak diğerleri için etkinleştiremezsiniz. Hizmet uç noktaları ve bunları etkinleştirebileceğiniz Azure kaynakları hakkında daha fazla bilgi edinin.
- Sıfır veya bir ağ güvenlik grubunu bir sanal ağdaki her alt ağ ile ilişkilendirin. Aynı veya farklı bir ağ güvenlik grubunu her alt ağ ile ilişkilendirebilirsiniz. Her ağ güvenlik grubu, kaynaklara ve hedeflere gelen ve giden trafiğe izin veren veya reddeden kurallar içerir. Ağ güvenlik grupları hakkında daha fazla bilgi edinin.
Güvenlik
Ağ güvenlik gruplarını ve ağ sanal gereçlerini kullanarak bir sanal ağdaki kaynaklara gelen ve bu kaynaklardan gelen ağ trafiğini filtreleyebilirsiniz. Azure'ın alt ağlardan gelen trafiği nasıl yönlendirebileceğini denetleyebilirsiniz. Ayrıca, kuruluşunuzda kimlerin sanal ağlardaki kaynaklarla çalışabileceğini de sınırlayabilirsiniz.
Trafik filtreleme
- Sanal ağdaki kaynaklar arasındaki ağ trafiğini filtrelemek için bir ağ güvenlik grubu, ağ trafiğini filtreleyen bir NVA veya her ikisini de kullanın. Ağ trafiğini filtrelemek için güvenlik duvarı gibi bir NVA dağıtmak için Azure Marketplace'e bakın. NVA kullandığınızda, trafiği alt ağlardan NVA'ya yönlendirmek için özel yollar da oluşturursunuz. Trafik yönlendirme hakkında daha fazla bilgi edinin.
- Ağ güvenlik grubu, kaynaklara gelen veya kaynaklardan gelen trafiğe izin veren veya trafiği reddeden birkaç varsayılan güvenlik kuralı içerir. Bir ağ güvenlik grubunu bir ağ arabirimiyle, ağ arabiriminin içinde olduğu alt ağla veya her ikisiyle ilişkilendirebilirsiniz. Güvenlik kurallarının yönetimini basitleştirmek için, mümkün olduğunda bir ağ güvenlik grubunu alt ağ içindeki tek tek ağ arabirimleri yerine tek tek alt ağlarla ilişkilendirmenizi öneririz.
- Alt ağ içindeki farklı VM'lere farklı güvenlik kurallarının uygulanması gerekiyorsa, VM'deki ağ arabirimini bir veya daha fazla uygulama güvenlik grubuyla ilişkilendirebilirsiniz. Güvenlik kuralı kaynağında, hedefinde veya her ikisinde bir uygulama güvenlik grubu belirtebilir. Bu kural daha sonra yalnızca uygulama güvenlik grubunun üyesi olan ağ arabirimleri için geçerlidir. Ağ güvenlik grupları ve uygulama güvenlik grupları hakkında daha fazla bilgi edinin.
- Bir ağ güvenlik grubu alt ağ düzeyinde ilişkilendirildiğinde, yalnızca alt ağ dışından gelen trafik için değil, alt ağdaki tüm ağ arabirimi denetleyicileri için geçerlidir. Alt ağda bulunan VM'ler arasındaki trafik de etkilenebilir.
- Azure, her ağ güvenlik grubu içinde birkaç varsayılan güvenlik kuralı oluşturur. Varsayılan bir kural, tüm trafiğin bir sanal ağdaki tüm kaynaklar arasında akmasına olanak tanır. Bu davranışı geçersiz kılmak için ağ güvenlik gruplarını, trafiği NVA'ya yönlendirmek için özel yönlendirmeyi veya her ikisini birden kullanın. Tüm Azure varsayılan güvenlik kuralları hakkında bilgi edinmenizi ve ağ güvenlik grubu kurallarının bir kaynağa nasıl uygulandığını anlamanız önerilir.
NVA kullanarak Azure ile İnternet arasında çevre ağı (DMZ olarak da bilinir) uygulamak için örnek tasarımları görüntüleyebilirsiniz.
Trafik yönlendirme
Azure, bir alt ağdan giden trafik için birkaç varsayılan yol oluşturur. Bir yönlendirme tablosu oluşturup bunu bir alt ağ ile ilişkilendirerek Azure varsayılan yönlendirmesini geçersiz kılabilirsiniz. Azure varsayılan yönlendirmesini geçersiz kılmanın yaygın nedenleri şunlardır:
- Alt ağlar arasındaki trafiğin bir NVA üzerinden akmasını istiyorsunuz. NVA üzerinden trafiği yönlendirmek için yönlendirme tablolarını nasıl yapılandıracağınızı öğrenin.
- İnternete giden tüm trafiği bir NVA üzerinden veya şirket içi bir Azure VPN ağ geçidi aracılığıyla yönlendirmek istiyorsunuz. Şirket içindeki internet trafiğini denetleme ve günlüğe kaydetme amacıyla zorunlu hale getirmek genellikle zorunlu tünelleme olarak adlandırılır. Zorlamalı tüneli yapılandırma hakkında daha fazla bilgi edinin.
Özel yönlendirme uygulamanız gerekiyorsa Azure'da yönlendirme hakkında bilgi sahibi olmanız önerilir.
Bağlantı
Sanal ağ eşlemesini kullanarak sanal ağı diğer sanal ağlara veya Azure VPN ağ geçidi kullanarak şirket içi ağınıza bağlayabilirsiniz.
Eşleme
Sanal ağ eşlemesini kullandığınızda, sanal ağlarınız aynı veya desteklenen farklı Azure bölgelerinde olabilir. Aynı veya farklı Azure aboneliklerinde (hatta farklı Microsoft Entra kiracılarına ait abonelikler) sanal ağlara sahip olabilirsiniz.
Eşleme oluşturmadan önce tüm eşleme gereksinimlerini ve kısıtlamalarını tanımanızı öneririz. Aynı bölgede eşlenen sanal ağlardaki kaynaklar arasındaki bant genişliği, kaynakların aynı sanal ağda olmasıyla aynıdır.
VPN ağ geçidi
Siteden siteye VPN veya Azure ExpressRoute ile ayrılmış bir bağlantı kullanarak bir sanal ağı şirket içi ağınıza bağlamak için Azure VPN ağ geçidi kullanabilirsiniz.
Eşleştirme ve VPN ağ geçidini birleştirerek, uç sanal ağlarının bir merkez sanal ağına bağlandığı ve merkez ağın yerel bir ağa bağlandığı merkez-uç ağları oluşturabilirsiniz.
Ad çözümlemesi
Bir sanal ağdaki kaynaklar, Azure yerleşik Etki Alanı Adı Sistemi 'ni (DNS) kullanarak eşlenmiş bir sanal ağdaki kaynakların adlarını çözümleyemez. Eşlenmiş bir sanal ağdaki adları çözümlemek için kendi DNS sunucunuzu dağıtın veya Azure DNS özel etki alanlarını kullanın. Sanal ağ ve şirket içi ağlardaki kaynaklar arasındaki adları çözümlemek için kendi DNS sunucunuzu dağıtmanız da gerekir.
İzinler
Azure, Azure rol tabanlı erişim denetimini kullanır. İzinler, yönetim grubu, abonelik, kaynak grubu ve bireysel kaynaklardan oluşan hiyerarşide bir kapsama atanır. Hiyerarşi hakkında daha fazla bilgi edinmek için bkz . Kaynaklarınızı düzenleme.
Azure sanal ağlarıyla ve eşleme, ağ güvenlik grupları, hizmet uç noktaları ve yönlendirme tabloları gibi tüm ilgili özellikleriyle çalışmak için, kuruluşunuzun üyelerini yerleşik Sahip, Katkıda Bulunan veya Ağ katkıda bulunanı rollerine atayın. Ardından rolü uygun bir kapsama atayın. Sanal ağ özelliklerinin bir alt kümesi için belirli izinler atamak istiyorsanız, özel bir rol oluşturun ve aşağıdakiler için gereken belirli izinleri atayın:
- Sanal ağlar
- Alt ağlar ve hizmet uç noktaları
- Ağ arabirimleri
- Eşleşme
- Ağ ve uygulama güvenlik grupları
- Yol tabloları
İlke
Azure İlkesi ile ilke tanımları oluşturabilir, atayabilir ve yönetebilirsiniz. İlke tanımları kaynaklarınız üzerinde farklı kurallar uygular, böylece kaynaklar kuruluş standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalır. Azure İlkesi kaynaklarınızın değerlendirmesini çalıştırır. Sahip olduğunuz ilke tanımlarıyla uyumlu olmayan kaynakları tarar.
Örneğin, yalnızca belirli bir kaynak grubunda veya bölgede sanal ağ oluşturulmasına izin veren bir ilke tanımlayabilir ve uygulayabilirsiniz. Başka bir ilke, her alt ağın kendisiyle ilişkilendirilmiş bir ağ güvenlik grubu olmasını gerektirebilir. Daha sonra kaynakları oluşturup güncelleştirdiğinizde ilkeler değerlendirilir.
İlkeler şu hiyerarşiye uygulanır: yönetim grubu, abonelik ve kaynak grubu. Azure İlkesi hakkında daha fazla bilgi edinin veya bazı sanal ağ Azure İlkesi tanımları dağıtın.
İlgili içerik
Aşağıdaki makalelerde sanal ağ kaynakları ve özelliklerine yönelik tüm görevler, ayarlar ve seçenekler hakkında bilgi edinin: