Azure Sanal Ağ hakkında sık sorulan sorular (SSS)
Temel bilgiler
Sanal ağ nedir?
Sanal ağ, Azure Sanal Ağ hizmeti tarafından sağlanan buluttaki kendi ağınızın bir gösterimidir. Sanal ağ, azure bulutunun aboneliğinize ayrılmış mantıksal bir yalıtımıdır.
Azure'da sanal özel ağları (VPN) sağlamak ve yönetmek için sanal ağları kullanabilirsiniz. İsteğe bağlı olarak, karma veya şirket içi çözümler oluşturmak için sanal ağları Azure'daki diğer sanal ağlara veya şirket içi BT altyapınıza bağlayabilirsiniz.
Oluşturduğunuz her sanal ağın kendi CIDR bloğu vardır. CIDR blokları örtüşmediği sürece bir sanal ağı diğer sanal ağlara ve şirket içi ağlara bağlayabilirsiniz. Ayrıca, sanal ağın alt ağlara segmentasyonuyla birlikte sanal ağlar için DNS sunucusu ayarlarını da denetleyebilirsiniz.
Sanal ağları kullanarak:
Ayrılmış, özel, yalnızca buluta özel bir sanal ağ oluşturun. Bazen çözümünüz için şirket içi şirket içi yapılandırma gerekmez. Bir sanal ağ oluşturduğunuzda, sanal ağınızdaki hizmetleriniz ve sanal makineleriniz (VM'ler) bulutta birbirleriyle doğrudan ve güvenli bir şekilde iletişim kurabilir. Çözümünüzün bir parçası olarak İnternet iletişimi gerektiren VM'ler ve hizmetler için uç nokta bağlantılarını yapılandırmaya devam edebilirsiniz.
Veri merkezinizi güvenli bir şekilde genişletin. Sanal ağlarla, veri merkezi kapasitenizi güvenli bir şekilde ölçeklendirmek için geleneksel siteden siteye (S2S) VPN'ler oluşturabilirsiniz. S2S VPN'leri, kurumsal VPN ağ geçidinizle Azure arasında güvenli bir bağlantı sağlamak için IPsec kullanır.
Hibrit bulut senaryolarını etkinleştirin. Bulut tabanlı uygulamaları, ana bilgisayarlar ve Unix sistemleri de dahil olmak üzere her tür şirket içi sisteme güvenli bir şekilde bağlayabilirsiniz.
Nasıl kullanmaya başlayabilirim?
Başlamak için Azure Sanal Ağ belgelerini ziyaret edin. Bu içerik, tüm sanal ağ özellikleri için genel bakış ve dağıtım bilgileri sağlar.
Şirket içi ağlar arası bağlantı olmadan sanal ağları kullanabilir miyim?
Evet. Bir sanal ağı şirket içi ortamınıza bağlamadan kullanabilirsiniz. Örneğin, Microsoft Windows Server Active Directory etki alanı denetleyicilerini ve SharePoint gruplarını yalnızca bir Azure sanal ağında çalıştırabilirsiniz.
Sanal ağlar arasında veya bir sanal ağ ile şirket içi veri merkezim arasında WAN iyileştirmesi yapabilir miyim?
Evet. Azure Market aracılığıyla çeşitli satıcılardan WAN iyileştirmesi için bir ağ sanal gereci dağıtabilirsiniz.
Yapılandırma
Sanal ağ oluşturmak için hangi araçları kullanabilirim?
Sanal ağ oluşturmak veya yapılandırmak için aşağıdaki araçları kullanabilirsiniz:
- Azure portal
- PowerShell
- Azure CLI
- Ağ yapılandırma dosyası (
netcfg
yalnızca klasik sanal ağlar için)
Sanal ağlarımda hangi adres aralıklarını kullanabilirim?
RFC 1918'de numaralandırılmış aşağıdaki adres aralıklarını kullanmanızı öneririz. IETF bu aralıkları özel, yönlendirilemeyen adres alanları için ayırmıştır.
- 10.0.0.0 - 10.255.255.255 (10/8 ön eki)
- 172.16.0.0 - 172.31.255.255 (172.16/12 ön eki)
- 192.168.0.0 - 192.168.255.255 (192.168/16 ön eki)
Ayrıca, Rfc 6598'de ayrılmış olan ve Azure'da özel IP adresi alanı olarak ele alınan paylaşılan adres alanını da dağıtabilirsiniz:
- 100.64.0.0 - 100.127.255.255 (100.64/10 ön eki)
Diğer tüm IETF tarafından tanınan özel, yönlendirilebilir olmayan adres alanları da dahil olmak üzere diğer adres alanları işe yarayabilir ancak istenmeyen yan etkilere sahip olabilir.
Ayrıca, aşağıdaki adres aralıklarını ekleyemezsiniz:
- 224.0.0.0/4 (çok noktaya yayın)
- 255.255.255.255/32 (yayın)
- 127.0.0.0/8 (geri döngü)
- 169.254.0.0/16 (yerel bağlantı)
- 168.63.129.16/32 (iç DNS)
Sanal ağlarımda genel IP adreslerim olabilir mi?
Evet. Genel IP adresi aralıkları hakkında daha fazla bilgi için bkz . Sanal ağ oluşturma. Genel IP adreslerine İnternet'ten doğrudan erişilemez.
Sanal ağımdaki alt ağ sayısıyla ilgili bir sınır var mı?
Evet. Ayrıntılar için bkz . Ağ sınırları . Alt ağ adres alanları birbiriyle örtüşemez.
Bu alt ağlarda IP adreslerini kullanmayla ilgili kısıtlamalar var mı?
Evet. Azure, her alt ağ içinde toplam beş IP adresi için ilk dört adresi ve son adresi ayırır.
Örneğin, 192.168.1.0/24 IP adresi aralığı aşağıdaki ayrılmış adreslere sahiptir:
- 192.168.1.0: Ağ adresi.
- 192.168.1.1: Azure tarafından varsayılan ağ geçidi için ayrılmıştır.
- 192.168.1.2, 192.168.1.3: Azure DNS IP adreslerini sanal ağ alanına eşlemek için Azure tarafından ayrılmıştır.
- 192.168.1.255: Ağ yayın adresi.
Sanal ağlar ve alt ağlar ne kadar küçük ve ne kadar büyük olabilir?
Desteklenen en küçük IPv4 alt ağı /29 ve en büyük alt ağ /2 'dir (CIDR alt ağ tanımları kullanılarak). IPv6 alt ağlarının boyutu tam olarak /64 olmalıdır.
Sanal ağları kullanarak VLAN'larımı Azure'a getirebilir miyim?
Hayır Sanal ağlar Katman 3 katmandır. Azure hiçbir Katman 2 semantiğini desteklemez.
Sanal ağlarımda ve alt ağlarımda özel yönlendirme ilkeleri belirtebilir miyim?
Evet. Bir yönlendirme tablosu oluşturabilir ve bunu bir alt ağ ile ilişkilendirebilirsiniz. Azure'da yönlendirme hakkında daha fazla bilgi için bkz . Özel yollar.
Alt ağa hem NSG hem de UDR uyguladığımda davranış nedir?
Gelen trafik için ağ güvenlik grubu (NSG) gelen kuralları işlenir. Giden trafik için NSG giden kuralları işlenir ve ardından kullanıcı tanımlı yol (UDR) kuralları uygulanır.
Bir VM için NIC'ye ve alt ağa NSG uyguladığımda davranış nedir?
NSG'leri hem ağ bağdaştırıcısında (NIC) hem de vm için bir alt ağa uyguladığınızda:
- Alt ağ düzeyinde bir NSG ve ardından NIC düzeyinde bir NSG gelen trafik için işlenir.
- NIC düzeyinde NSG ve ardından alt ağ düzeyinde bir NSG giden trafik için işlenir.
Sanal ağlar çok noktaya yayını veya yayını destekliyor mu?
Hayır Çok noktaya yayın ve yayın desteklenmez.
Sanal ağlarda hangi protokolleri kullanabilirim?
Sanal ağlarda TCP, UDP, ESP, AH ve ICMP TCP/IP protokollerini kullanabilirsiniz.
Tek noktaya yayın sanal ağlarda desteklenir. Çok noktaya yayın, yayın, IP içinde IP kapsüllenmiş paketleri ve Genel Yönlendirme Kapsüllemesi (GRE) paketleri sanal ağlarda engellenir. Dinamik Ana Bilgisayar Yapılandırma Protokolünü (DHCP) Unicast (kaynak bağlantı noktası UDP/68, hedef bağlantı noktası UDP/67) üzerinden kullanamazsınız. UDP kaynak bağlantı noktası 65330, konak için ayrılmıştır.
Sanal ağa DHCP sunucusu dağıtabilir miyim?
Azure sanal ağları, Azure Sanal Makineler'a DHCP hizmeti ve DNS sağlar. Bununla birlikte, şirket içi istemcilere DHCP Geçiş Aracısı aracılığıyla hizmet vermek için Bir Azure VM'sinde DHCP Sunucusu da dağıtabilirsiniz.
Azure'da DHCP Sunucusu daha önce UDP/67 bağlantı noktasına gelen trafik Azure'da hız sınırlı olduğundan uygun değil olarak işaretlendi. Ancak son platform güncelleştirmeleri hız sınırlamasını kaldırarak bu özelliği etkinleştirdi.
Not
Dhcp Sunucusu'na (kaynak bağlantı noktası UDP/68, hedef bağlantı noktası UDP/67) yönelik şirket içi istemcisi, bu trafik farklı şekilde kesildiğinden ve işlendiğinden Azure'da hala desteklenmemektedir. Bu, istemci doğrudan Azure'da DHCP Sunucusu'na erişmeye çalıştığında T1'de DHCP RENEW sırasında zaman aşımı iletilerine neden olur. DHCP Geçişi Aracısı aracılığıyla T2'de DHCP YENILEME girişimi yapıldığında DHCP YENILEME başarılı olur. T1 ve T2 DHCP YENİLEME zamanlayıcıları hakkında daha fazla bilgi için bkz . RFC 2131.
Sanal ağda varsayılan bir ağ geçidine ping yapabilir miyim?
Hayır Azure tarafından sağlanan varsayılan ağ geçidi ping'e yanıt vermez. Ancak sanal ağlarınızda ping'leri kullanarak bağlantıyı denetleyebilir ve VM'ler arasında sorun giderme yapabilirsiniz.
Bağlantıyı tanılamak için tracert kullanabilir miyim?
Evet.
Sanal ağ oluşturulduktan sonra alt ağlar ekleyebilir miyim?
Evet. Bu koşulların her ikisi de mevcut olduğu sürece sanal ağlara istediğiniz zaman alt ağlar ekleyebilirsiniz:
- Alt ağ adres aralığı başka bir alt ağın parçası değildir.
- Sanal ağın adres aralığında kullanılabilir alan vardır.
Alt ağımı oluşturduktan sonra boyutunu değiştirebilir miyim?
Evet. Sanal makine veya hizmet dağıtılmadıysa alt ağ ekleyebilir, kaldırabilir, genişletebilir veya küçültebilirsiniz.
Bir sanal ağı oluşturduktan sonra değiştirebilir miyim?
Evet. Bir sanal ağın kullandığı CIDR bloklarını ekleyebilir, kaldırabilir ve değiştirebilirsiniz.
Hizmetlerimi bir sanal ağda çalıştırıyorsam İnternet'e bağlanabilir miyim?
Evet. Sanal ağa dağıtılan tüm hizmetler İnternet'e giden bağlantı kurabilir. Azure'da giden İnternet bağlantıları hakkında daha fazla bilgi edinmek için bkz . Giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.
Azure Resource Manager aracılığıyla dağıtılan bir kaynağa gelen bağlantı kurmak istiyorsanız, kaynağın kendisine atanmış bir genel IP adresi olmalıdır. Daha fazla bilgi için bkz . Azure genel IP adresi oluşturma, değiştirme veya silme.
Azure'da dağıtılan her bulut hizmetine genel olarak adreslenebilir bir sanal IP (VIP) atanmıştır. Hizmet olarak platform (PaaS) rolleri için giriş uç noktaları ve bu hizmetlerin İnternet'ten bağlantıları kabul edebilmesi için sanal makineler için uç noktalar tanımlarsınız.
Sanal ağlar IPv6'ya destek oluyor mu?
Evet. Sanal ağlar yalnızca IPv4 veya çift yığın (IPv4 + IPv6) olabilir. Ayrıntılar için bkz. Azure Sanal Ağ için IPv6 nedir?.
Sanal ağ bölgeleri yayılabilir mi?
Hayır Sanal ağ tek bir bölgeyle sınırlıdır. Ancak sanal ağ kullanılabilirlik alanlarını kapsıyor. Kullanılabilirlik alanları hakkında daha fazla bilgi edinmek için bkz . Azure bölgeleri ve kullanılabilirlik alanları nelerdir?.
Sanal ağ eşlemesini kullanarak farklı bölgelerdeki sanal ağları bağlayabilirsiniz. Ayrıntılar için bkz . Sanal ağ eşlemesi.
Bir sanal ağı Azure'daki başka bir sanal ağa bağlayabilir miyim?
Evet. Aşağıdakilerden birini kullanarak bir sanal ağı başka bir sanal ağa bağlayabilirsiniz:
- Sanal ağ eşlemesi. Ayrıntılar için bkz . Sanal ağ eşlemesi.
- Azure VPN ağ geçidi. Ayrıntılar için bkz . Ağdan ağa VPN ağ geçidi bağlantısı yapılandırma.
Ad çözümlemesi (DNS)
Sanal ağlar için DNS seçeneklerim nelerdir?
Kullanılabilir DNS seçeneklerinde size yol göstermek için Azure sanal ağlarındaki kaynaklar için ad çözümlemesi'ndeki karar tablosunu kullanın.
Sanal ağ için DNS sunucuları belirtebilir miyim?
Evet. SANAL ağ ayarlarında DNS sunucuları için IP adresleri belirtebilirsiniz. Bu ayar, sanal ağdaki tüm VM'ler için varsayılan DNS sunucusu veya sunucuları olarak uygulanır.
Kaç DNS sunucusu belirtebilirim?
Bkz. Ağ sınırları.
Ağı oluşturduktan sonra DNS sunucularımı değiştirebilir miyim?
Evet. İstediğiniz zaman sanal ağınızın DNS sunucusu listesini değiştirebilirsiniz.
DNS sunucusu listenizi değiştirirseniz, sanal ağdaki etkilenen tüm VM'lerde DHCP kira yenilemesi gerçekleştirmeniz gerekir. Kiralama yenilemesi sonrasında yeni DNS ayarları geçerli olur. Windows çalıştıran VM'ler için doğrudan VM'ye girerek ipconfig /renew
kirayı yenileyebilirsiniz. Diğer işletim sistemi türleri için DHCP kira yenileme belgelerine bakın.
Azure tarafından sağlanan DNS nedir ve sanal ağlarla çalışır mı?
Azure tarafından sağlanan DNS, Microsoft'un çok kiracılı bir DNS hizmetidir. Azure, tüm VM'lerinizi ve bulut hizmeti rol örneklerinizi bu hizmete kaydeder. Bu hizmet, ad çözümlemesi sağlar:
- Aynı bulut hizmetindeki VM'ler ve rol örnekleri için ana bilgisayar adına göre.
- Aynı sanal ağdaki VM'ler ve rol örnekleri için tam etki alanı ana (FQDN) tarafından.
DNS hakkında daha fazla bilgi edinmek için bkz . Azure sanal ağlarındaki kaynaklar için ad çözümleme.
Azure tarafından sağlanan DNS aracılığıyla kiracılar arası ad çözümlemesi için sanal ağdaki ilk 100 bulut hizmetiyle ilgili bir sınırlama vardır. Kendi DNS sunucunuzu kullanıyorsanız bu sınırlama geçerli değildir.
Her VM veya bulut hizmeti için DNS ayarlarımı geçersiz kılabilir miyim?
Evet. Varsayılan ağ ayarlarını geçersiz kılmak için her VM veya bulut hizmeti için DNS sunucuları ayarlayabilirsiniz. Ancak, mümkün olduğunca ağ genelinde DNS kullanmanızı öneririz.
Kendi DNS son ekimi getirebilir miyim?
Hayır Sanal ağlarınız için özel bir DNS son eki belirtemezsiniz.
Sanal makineleri bağlama
SANAL makineleri bir sanal ağa dağıtabilir miyim?
Evet. Resource Manager dağıtım modeli aracılığıyla dağıtılan bir VM'ye bağlı tüm ağ bağdaştırıcılarının (NIC) bir sanal ağa bağlı olması gerekir. İsteğe bağlı olarak, klasik dağıtım modeli aracılığıyla dağıtılan VM'leri bir sanal ağa bağlayabilirsiniz.
VM'lere atayabildiğim IP adresi türleri nelerdir?
Özel: Statik veya dinamik yöntem aracılığıyla her vm içindeki her NIC'ye atanır. Özel IP adresleri, sanal ağınızın alt ağ ayarlarında belirttiğiniz aralıktan atanır.
Klasik dağıtım modeli aracılığıyla dağıtılan kaynaklara, sanal ağa bağlı olmasalar bile özel IP adresleri atanır. Resource Manager veya klasik dağıtım modelini kullanarak bir kaynağı dağıtıp dağıtmadığınıza bağlı olarak ayırma yönteminin davranışı farklıdır:
- Resource Manager: Dinamik veya statik yöntem aracılığıyla atanan özel IP adresi, kaynak silinene kadar bir sanal makineye (Resource Manager) atanır. Aradaki fark, statik yöntemi kullanırken atanacak adresi seçmeniz ve dinamik yöntemi kullandığınızda Azure'ın seçmesidir.
- Klasik: Sanal makine (klasik) durduruldu (serbest bırakıldı) durumundayken yeniden başlatıldığında dinamik yöntem aracılığıyla atanan özel IP adresi değişebilir. Klasik dağıtım modeli aracılığıyla dağıtılan bir kaynağın özel IP adresinin hiçbir zaman değişmediğinden emin olmanız gerekiyorsa, statik yöntemi kullanarak özel bir IP adresi atayın.
Genel: İsteğe bağlı olarak Resource Manager dağıtım modeli aracılığıyla dağıtılan VM'lere eklenmiş NIC'lere atanır. Statik veya dinamik ayırma yöntemini kullanarak adresi atayabilirsiniz.
Klasik dağıtım modeli aracılığıyla dağıtılan tüm VM'ler ve Azure Cloud Services rol örnekleri bir bulut hizmetinde bulunur. Bulut hizmetine dinamik, genel bir VIP adresi atanır. İsteğe bağlı olarak ayrılmış IP adresi olarak adlandırılan bir genel statik IP adresini VIP olarak atayabilirsiniz.
Klasik dağıtım modeli aracılığıyla dağıtılan tek tek VM'lere veya Cloud Services rol örneklerine genel IP adresleri atayabilirsiniz. Bu adresler örnek düzeyinde genel IP adresleri olarak adlandırılır ve dinamik olarak atanabilir.
Daha sonra oluşturacağım bir VM için özel IP adresi ayırabilir miyim?
Hayır Özel IP adresi ayıramazsınız. Özel bir IP adresi varsa, DHCP sunucusu bunu bir VM'ye veya rol örneğine atar. Vm, özel IP adresinin atanmasını istediğiniz vm olabilir veya olmayabilir. Ancak, mevcut bir VM'nin özel IP adresini kullanılabilir herhangi bir özel IP adresiyle değiştirebilirsiniz.
Sanal ağdaki VM'ler için özel IP adresleri değişir mi?
Duruma göre değişir. VM'yi Resource Manager kullanarak dağıttıysanız, adresleri statik veya dinamik ayırma yöntemini kullanarak atayıp atamadığınıza bakılmaksızın IP adresleri değiştirilemez. VM'yi klasik dağıtım modelini kullanarak dağıttıysanız, durdurulmuş (serbest bırakılmış) durumdaki bir VM'yi başlattığınızda dinamik IP adresleri değişebilir.
Adres, VM'yi sildiğinizde her iki dağıtım modeli aracılığıyla dağıtılan bir VM'den serbest bırakılır.
VM işletim sistemindeki NIC'lere IP adreslerini el ile atayabilir miyim?
Evet, ancak bir sanal makineye birden çok IP adresi atarken olduğu gibi gerekli olmadığı sürece bunu önermeyiz. Ayrıntılar için bkz . Sanal makinelere birden çok IP adresi atama.
Vm'ye bağlı bir Azure NIC'ye atanan IP adresi değişirse ve VM işletim sistemindeki IP adresi farklıysa, VM bağlantısını kaybedersiniz.
Bulut hizmeti dağıtım yuvasını durdurursam veya işletim sisteminin içinden bir VM'yi kapatırsam, IP adreslerime ne olur?
Hiçbir şey. IP adresleri (genel VIP, genel ve özel) bulut hizmeti dağıtım yuvasına veya VM'ye atanmış olarak kalır.
Vm'leri yeniden dağıtmadan bir sanal ağdaki bir alt ağdan başka bir alt ağa taşıyabilir miyim?
Evet. Vm'yi veya rol örneğini farklı bir alt ağa taşıma bölümünde daha fazla bilgi bulabilirsiniz.
SANAL makinem için statik bir MAC adresi yapılandırabilir miyim?
Hayır Mac adresini statik olarak yapılandıramazsınız.
MAC adresi oluşturulduktan sonra VM'mde aynı kalıyor mu?
Evet. MAC adresi, siz silene kadar hem Resource Manager hem de klasik dağıtım modelleri aracılığıyla dağıttığınız bir VM için aynı kalır.
Daha önce, VM'yi durdurduysanız (serbest bıraktıysanız) MAC adresi serbest bırakılıyordu. Ancak artık VM serbest bırakılmış durumdayken MAC adresini korur. Mac adresi, şu görevlerden birini yapıncaya kadar ağ bağdaştırıcısına atanmış olarak kalır:
- Ağ bağdaştırıcısını silin.
- Birincil ağ bağdaştırıcısının birincil IP yapılandırmasına atanan özel IP adresini değiştirin.
Sanal ağdaki bir VM'den İnternet'e bağlanabilir miyim?
Evet. Sanal ağ içinde dağıtılan tüm VM'ler ve Cloud Services rol örnekleri İnternet'e bağlanabilir.
Sanal ağlara bağlanan Azure hizmetleri
Web Apps'i bir sanal ağ ile kullanabilir miyim?
Evet. Azure Uygulaması Hizmeti'nin Web Apps özelliğini bir App Service Ortamı kullanarak sanal ağ içinde dağıtabilirsiniz. Ardından şunları yapabilirsiniz:
- Sanal ağ tümleştirmesini kullanarak uygulamalarınızın arka ucunu sanal ağlarınıza bağlayın.
- Hizmet uç noktalarını kullanarak uygulamanıza gelen trafiği kilitleyin.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- App Service ağ özellikleri
- App Service Ortamı kullanma
- Uygulamanızı bir Azure sanal ağı ile tümleştirme
- Azure App Service erişim kısıtlamalarını ayarlama
Cloud Services'i bir sanal ağda web ve çalışan rolleri (PaaS) ile dağıtabilir miyim?
Evet. Cloud Services rol örneklerini (isteğe bağlı olarak) sanal ağlara dağıtabilirsiniz. Bunu yapmak için, hizmet yapılandırmanızın ağ yapılandırması bölümünde sanal ağ adını ve rol/alt ağ eşlemelerini belirtirsiniz. İkili dosyalarınızın hiçbirini güncelleştirmeniz gerekmez.
Sanal makine ölçek kümesini bir sanal ağa bağlayabilir miyim?
Evet. Bir sanal makine ölçek kümesini bir sanal ağa bağlamanız gerekir.
Kaynakları sanal ağa dağıtabileceğiniz Azure hizmetlerinin tam listesi var mı?
Evet. Ayrıntılar için bkz . Ayrılmış Azure hizmetlerini sanal ağlara dağıtma.
Sanal ağdan Azure PaaS kaynaklarına erişimi nasıl kısıtlayabilirim?
Bazı Azure PaaS hizmetleri (Azure Depolama ve Azure SQL Veritabanı gibi) aracılığıyla dağıtılan kaynaklar, sanal ağ hizmet uç noktalarını veya Azure Özel Bağlantı kullanarak sanal ağlara ağ erişimini kısıtlayabilir. Ayrıntılar için bkz. Sanal ağ hizmet uç noktaları ve Azure Özel Bağlantı nedir?.
Hizmetlerimi sanal ağlara veya sanal ağların dışına taşıyabilir miyim?
Hayır Hizmetleri sanal ağların içinde ve dışında taşıyamazsınız. Bir kaynağı başka bir sanal ağa taşımak için kaynağı silmeniz ve yeniden dağıtmanız gerekir.
Güvenlik
Sanal ağlar için güvenlik modeli nedir?
Sanal ağlar birbirinden ve Azure altyapısında barındırılan diğer hizmetlerden yalıtılır. Sanal ağ bir güven sınırıdır.
Sanal ağa bağlı kaynaklarda gelen veya giden trafik akışını kısıtlayabilir miyim?
Evet. Ağ güvenlik gruplarını bir sanal ağ içindeki tek tek alt ağlara, bir sanal ağa bağlı NIC'lere veya her ikisine de uygulayabilirsiniz.
Sanal ağa bağlı kaynaklar arasında güvenlik duvarı uygulayabilir miyim?
Evet. Azure Market aracılığıyla çeşitli satıcılardan bir güvenlik duvarı ağ sanal gereci dağıtabilirsiniz.
Sanal ağların güvenliğini sağlama hakkında bilgi sağlanıyor mu?
Evet. Bkz. Azure ağ güvenliğine genel bakış.
Sanal ağlar müşteri verilerini depolar mı?
Hayır Sanal ağlar müşteri verilerini depolamaz.
Aboneliğin tamamı için FlowTimeoutInMinutes özelliğini ayarlayabilir miyim?
Hayır Sanal ağda FlowTimeoutInMinutes özelliğini ayarlamanız gerekir. Aşağıdaki kod, bu özelliği daha büyük abonelikler için otomatik olarak ayarlamanıza yardımcı olabilir:
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
API'ler, şemalar ve araçlar
Sanal ağları koddan yönetebilir miyim?
Evet. Azure Resource Manager'da ve klasik dağıtım modellerinde sanal ağlar için REST API'lerini kullanabilirsiniz.
Sanal ağlar için araç desteği var mı?
Evet. Kullanma hakkında daha fazla bilgi edinin:
- Azure Resource Manager ve klasik dağıtım modelleri aracılığıyla sanal ağları dağıtmak için Azure portalı.
- Resource Manager dağıtım modeli aracılığıyla dağıtılan sanal ağları yönetmek için PowerShell.
- Resource Manager ve klasik dağıtım modelleri aracılığıyla dağıtılan sanal ağları dağıtmak ve yönetmek için Azure CLI veya Azure klasik CLI.
Sanal ağ eşleme
Sanal ağ eşleme nedir?
Sanal ağ eşlemesi, sanal ağları bağlamanızı sağlar. Sanal ağlar arasındaki eşleme bağlantısı, aralarındaki trafiği IPv4 adresleri aracılığıyla özel olarak yönlendirmenizi sağlar.
Eşlenmiş sanal ağlardaki sanal makineler, aynı ağ içinde gibi birbirleriyle iletişim kurabilir. Bu sanal ağlar aynı bölgede veya farklı bölgelerde (genel sanal ağ eşlemesi olarak da bilinir) olabilir.
Azure abonelikleri arasında sanal ağ eşleme bağlantıları da oluşturabilirsiniz.
Farklı bir bölgedeki sanal ağa eşleme bağlantısı oluşturabilir miyim?
Evet. Genel sanal ağ eşlemesi, farklı bölgelerdeki sanal ağları eşlemenizi sağlar. Genel sanal ağ eşlemesi tüm Azure genel bölgelerinde, Çin bulut bölgelerinde ve kamu bulut bölgelerinde kullanılabilir. Azure genel bölgelerinden ulusal bulut bölgelerine genel olarak eşleyemezsiniz.
Genel sanal ağ eşleme ve yük dengeleyicilerle ilgili kısıtlamalar nelerdir?
İki bölgede yer alan iki sanal ağ, genel sanal ağ eşlemesi üzerinden eşlenmişse yük dengeleyicinin ön uç IP'sini kullanarak temel bir yük dengeleyicinin arkasındaki kaynaklara bağlanamazsınız. Bu kısıtlama standart bir yük dengeleyici için mevcut değildir.
Aşağıdaki kaynaklar temel yük dengeleyicileri kullanabilir; bu da genel sanal ağ eşlemesi üzerinden yük dengeleyicinin ön uç IP'si üzerinden ulaşamamanızı sağlar. Ancak, izin verilirse kaynaklara doğrudan özel sanal ağ IP'leri aracılığıyla ulaşmak için genel sanal ağ eşlemesini kullanabilirsiniz.
- Temel yük dengeleyicilerin arkasındaki VM'ler
- Temel yük dengeleyicilere sahip sanal makine ölçek kümeleri
- Redis için Azure Önbelleği
- Azure Uygulaması Lication Gateway v1
- Azure Service Fabric
- Azure API Management stv1
- Microsoft Entra Domain Services
- Azure Logic Apps
- Azure HDInsight
- Azure Batch
- App Service Ortamı v1 ve v2
Bu kaynaklara Azure ExpressRoute aracılığıyla veya sanal ağ geçitleri aracılığıyla ağdan ağa bağlantılar aracılığıyla bağlanabilirsiniz.
Sanal ağlarım farklı Microsoft Entra kiracıları içindeki aboneliklere aitse sanal ağ eşlemesini etkinleştirebilir miyim?
Evet. Abonelikleriniz farklı Microsoft Entra kiracılarına aitse sanal ağ eşlemesi (yerel veya genel) oluşturmak mümkündür. Bunu Azure portalı, PowerShell veya Azure CLI aracılığıyla yapabilirsiniz.
Sanal ağ eşleme bağlantım Başlatıldı durumunda. Neden bağlanamıyorum?
Eşleme bağlantınız Başlatıldı durumundaysa, yalnızca bir bağlantı oluşturmuşsunuzdur. Başarılı bir bağlantı kurmak için çift yönlü bağlantı oluşturmanız gerekir.
Örneğin, VNetA'dan VNetB'ye eşlemek için VNetA'dan VNetB'ye ve VNetB'den VNetA'ya bir bağlantı oluşturmanız gerekir. her iki bağlantının oluşturulması durumu Bağlandı olarak değiştirir.
Sanal ağ eşleme bağlantım Bağlantısı kesik durumda. Neden eşleme bağlantısı oluşturamıyorum?
Sanal ağ eşleme bağlantınız Bağlantısı kesik durumdaysa, oluşturduğunuz bağlantılardan biri silinmiştir. Eşleme bağlantısını yeniden kurmak için kalan bağlantıyı silmeniz ve her ikisini de yeniden oluşturmanız gerekir.
Sanal ağımı farklı bir abonelikteki bir sanal ağ ile eşleyebilir miyim?
Evet. Sanal ağları abonelikler ve bölgeler arasında eşleyebilirsiniz.
Eşleşen veya çakışan adres aralıkları olan iki sanal ağı eşleyebilir miyim?
Hayır Adres alanları çakışıyorsa sanal ağ eşlemesini etkinleştiremezsiniz.
Her iki eşlemede de Uzak Ağ Geçidi Kullan seçeneği etkinken bir sanal ağı iki sanal ağa eşleyebilir miyim?
Hayır Sanal ağlardan biriyle yalnızca bir eşlemede Uzak Ağ Geçidi Kullan seçeneğini etkinleştirebilirsiniz.
Eşleme bağlantısı olan bir sanal ağı başka bir sanal ağa taşıyabilir miyim?
Hayır Eşleme bağlantısı olan bir sanal ağı başka bir sanal ağa taşıyamazsınız. Sanal ağı taşımadan önce eşleme bağlantısını silmeniz gerekir.
Sanal ağ eşleme bağlantılarının maliyeti ne kadardır?
Sanal ağ eşleme bağlantısı oluşturmak için ücret alınmaz. Eşleme bağlantıları arasında veri aktarımı ücretlendirilir. Daha fazla bilgi için Bkz. Azure Sanal Ağ fiyatlandırma sayfası.
Sanal ağ eşleme trafiği şifreleniyor mu?
Azure trafiği veri merkezleri arasında hareket ettiğinde (fiziksel sınırların dışında Microsoft tarafından veya Microsoft adına denetlenmediğinde), temel alınan ağ donanımı MACsec veri bağlantısı katmanı şifrelemesini kullanır. Bu şifreleme, sanal ağ eşleme trafiği için geçerlidir.
Eşleme bağlantım neden Bağlantısız durumda?
Bir sanal ağ eşleme bağlantısı silindiğinde sanal ağ eşleme bağlantıları Bağlantısı kesildi durumuna geçer. Başarılı bir eşleme bağlantısını yeniden kurmak için her iki bağlantıyı da silmeniz gerekir.
VNetA'yı VNetB ile ve VNetB'yi VNetC ile eşlersem, bu VNetA ile VNetC'nin eşlendiği anlamına mı gelir?
Hayır Geçişli eşleme desteklenmez. VNetA ile VNetC arasında el ile eşlemeniz gerekir.
Eşleme bağlantıları için bant genişliği sınırlamaları var mı?
Hayır İster yerel ister genel olsun, sanal ağ eşlemesi herhangi bir bant genişliği kısıtlaması getirmez. Bant genişliği yalnızca VM veya işlem kaynağıyla sınırlıdır.
Sanal ağ eşleme sorunlarını nasıl giderebilirim?
Sorun giderme kılavuzunu deneyin.
Sanal ağ TAP
Sanal ağ TAP için hangi Azure bölgeleri kullanılabilir?
Sanal ağ terminali erişim noktasının (TAP) önizlemesi tüm Azure bölgelerinde kullanılabilir. İzlenen ağ bağdaştırıcılarını, sanal ağ TAP kaynağını ve toplayıcı veya analiz çözümünü aynı bölgeye dağıtmanız gerekir.
Sanal ağ TAP, yansıtılan paketlerde filtreleme özelliklerini destekliyor mu?
Filtreleme özellikleri sanal ağ TAP önizlemesi ile desteklenmez. Bir ağ bağdaştırıcısına TAP yapılandırması eklediğinizde, ağ bağdaştırıcısındaki tüm giriş ve çıkış trafiğinin derin bir kopyası TAP hedefine akışla aktarılır.
İzlenen bir ağ bağdaştırıcısına birden çok TAP yapılandırması ekleyebilir miyim?
İzlenen bir ağ bağdaştırıcısı yalnızca bir TAP yapılandırmasına sahip olabilir. TAP trafiğinin birden çok kopyasını istediğiniz analiz araçlarına akışla aktarabilmek için tek tek iş ortağı çözümüne danışın.
Aynı sanal ağ TAP kaynağı, birden fazla sanal ağdaki izlenen ağ bağdaştırıcılarından gelen trafiği toplayabilir mi?
Evet. Aynı abonelikteki veya farklı bir abonelikteki eşlenmiş sanal ağlardaki izlenen ağ bağdaştırıcılarından yansıtılmış trafiği toplamak için aynı sanal ağ TAP kaynağını kullanabilirsiniz.
Sanal ağ TAP kaynağı ve hedef yük dengeleyici veya hedef ağ bağdaştırıcısı aynı abonelikte olmalıdır. Tüm abonelikler aynı Microsoft Entra kiracısı altında olmalıdır.
Bir ağ bağdaştırıcısında sanal ağ TAP yapılandırmasını etkinleştirirsem üretim trafiğinde performansla ilgili dikkat edilmesi gerekenler var mı?
Sanal ağ TAP önizleme aşamasındadır. Önizleme sırasında hizmet düzeyi sözleşmesi yoktur. Üretim iş yükleri için bu özelliği kullanmamalısınız.
TAP yapılandırmasına sahip bir sanal makine ağ bağdaştırıcısını etkinleştirdiğinizde, yansıtma işlevini gerçekleştirmek ve yansıtılmış paketleri göndermek için üretim trafiğini göndermek üzere sanal makineye ayrılan Azure konağında aynı kaynaklar kullanılır. Sanal makinenin üretim trafiğini ve yansıtılmış trafiği göndermesi için yeterli kaynağın kullanılabilir olduğundan emin olmak için doğru Linux veya Windows sanal makine boyutunu seçin.
Linux veya Windows için hızlandırılmış ağ, sanal ağ TAP ile destekleniyor mu?
Linux veya Windows için hızlandırılmış ağ ile etkinleştirilmiş bir sanal makineye bağlı bir ağ bağdaştırıcısına TAP yapılandırması ekleyebilirsiniz. Ancak TAP yapılandırmasının eklenmesi sanal makinedeki performansı ve gecikme süresini etkiler çünkü Azure hızlandırılmış ağ şu anda trafiği yansıtmak için yük boşaltmayı desteklemez.
Sanal ağ hizmet uç noktaları
Azure hizmetine hizmet uç noktalarını ayarlamak için doğru işlem dizisi nedir?
Hizmet uç noktaları aracılığıyla azure hizmet kaynağının güvenliğini sağlamanın iki adımı vardır:
- Azure hizmeti için hizmet uç noktalarını açın.
- Azure hizmetinde sanal ağ erişim denetim listeleri (ACL' ler) ayarlayın.
İlk adım ağ tarafı bir işlem, ikinci adım ise hizmet kaynak tarafı işlemidir. Aynı yönetici veya farklı yöneticiler, yönetici rolüne verilen Azure rol tabanlı erişim denetimi (RBAC) izinlerine göre adımları gerçekleştirebilir.
Azure hizmet tarafında sanal ağ ACL'lerini ayarlamadan önce sanal ağınız için hizmet uç noktalarını açmanızı öneririz. Sanal ağ hizmet uç noktalarını ayarlamak için önceki sırada adımları gerçekleştirmeniz gerekir.
Not
Azure hizmeti erişimini izin verilen sanal ağ ve alt ağ ile sınırlayabilmeniz için önce önceki işlemlerin her ikisini de tamamlamanız gerekir. Yalnızca ağ tarafında Azure hizmeti için hizmet uç noktalarını açmak sınırlı erişim sağlamaz. Ayrıca Azure hizmet tarafında sanal ağ ACL'leri ayarlamanız gerekir.
Bazı hizmetler (Azure SQL ve Azure Cosmos DB gibi), bayrak aracılığıyla IgnoreMissingVnetServiceEndpoint
önceki dizide özel durumlara izin verir. bayrağını True
olarak ayarladıktan sonra, ağ tarafında hizmet uç noktalarını açmadan önce Azure hizmet tarafında sanal ağ ACL'lerini ayarlayabilirsiniz. Azure hizmetleri, belirli IP güvenlik duvarlarının Azure hizmetlerinde yapılandırıldığı durumlarda müşterilere yardımcı olmak için bu bayrağı sağlar.
Kaynak IP bir genel IPv4 adresinden özel bir adrese değiştiğinden, ağ tarafında hizmet uç noktalarının açılması bağlantının bırakılmasına neden olabilir. Ağ tarafında hizmet uç noktalarını açmadan önce Azure hizmet tarafında sanal ağ ACL'lerinin ayarlanması, bağlantının bırakılmasının önlenmesine yardımcı olabilir.
Not
"Microsoft.AzureActiveDirectory" gibi belirli hizmetlerde Hizmet Uç Noktası'nı etkinleştirirseniz, Oturum Açma Günlüklerinde IPV6 adres bağlantılarını görebilirsiniz. Microsoft, bu tür bağlantılar için bir iç IPV6 özel aralığı kullanır.
Tüm Azure hizmetleri müşterinin sağladığı Azure sanal ağında mı bulunuyor? Sanal ağ hizmet uç noktası Azure hizmetleriyle nasıl çalışır?
Tüm Azure hizmetleri müşterinin sanal ağında yer almaz. Çoğu Azure veri hizmeti (Azure Depolama, Azure SQL ve Azure Cosmos DB gibi), genel IP adresleri üzerinden erişilebilen çok kiracılı hizmetlerdir. Daha fazla bilgi için bkz . Ayrılmış Azure hizmetlerini sanal ağlara dağıtma.
Ağ tarafında sanal ağ hizmet uç noktalarını açtığınızda ve Azure hizmet tarafında uygun sanal ağ ACL'lerini ayarladığınızda, Azure hizmetine erişim izin verilen bir sanal ağ ve alt ağdan kısıtlanır.
Sanal ağ hizmet uç noktaları güvenliği nasıl sağlar?
Sanal ağ hizmet uç noktaları, Azure hizmetinin izin verilen sanal ağa ve alt ağa erişimini sınırlar. Bu şekilde Azure hizmet trafiğinin ağ düzeyinde güvenlik ve yalıtımını sağlar.
Sanal ağ hizmet uç noktalarını kullanan tüm trafik, genel İnternet'ten başka bir yalıtım katmanı sağlamak için Microsoft omurgası üzerinden akar. Müşteriler ayrıca Azure hizmet kaynaklarına genel İnternet erişimini tamamen kaldırmayı ve IP güvenlik duvarı ile sanal ağ ACL'lerinin birleşimi aracılığıyla yalnızca sanal ağlarından gelen trafiğe izin vermeyi seçebilir. İnternet erişiminin kaldırılması, Azure hizmet kaynaklarının yetkisiz erişime karşı korunmasına yardımcı olur.
Sanal ağ hizmet uç noktası neleri korur? Sanal ağ kaynakları veya Azure hizmet kaynakları?
Sanal ağ hizmet uç noktaları, Azure hizmet kaynaklarının korunmasına yardımcı olur. Sanal ağ kaynakları, ağ güvenlik grupları aracılığıyla korunur.
Sanal ağ hizmet uç noktalarını kullanmanın bir maliyeti var mı?
Hayır Sanal ağ hizmet uç noktalarını kullanmanın ek bir maliyeti yoktur.
Sanal ağ ve Azure hizmet kaynakları farklı aboneliklere aitse sanal ağ hizmet uç noktalarını açabilir ve sanal ağ ACL'lerini ayarlayabilir miyim?
Evet, mümkün. Sanal ağlar ve Azure hizmet kaynakları aynı abonelikte veya farklı aboneliklerde olabilir. Tek gereksinim, hem sanal ağın hem de Azure hizmet kaynaklarının aynı Microsoft Entra kiracısı altında olması gerektiğidir.
Sanal ağ ve Azure hizmet kaynakları farklı Microsoft Entra kiracılarına aitse sanal ağ hizmet uç noktalarını açabilir ve sanal ağ ACL'lerini ayarlayabilir miyim?
Evet, Azure Depolama ve Azure Key Vault için hizmet uç noktalarını kullanırken bu mümkündür. Diğer hizmetler için, sanal ağ hizmet uç noktaları ve sanal ağ ACL'leri Microsoft Entra kiracılarında desteklenmez.
Azure sanal ağ geçidi (VPN) veya ExpressRoute ağ geçidi üzerinden bağlanan şirket içi cihazın IP adresi, sanal ağ hizmet uç noktaları üzerinden Azure PaaS hizmetlerine erişebilir mi?
Varsayılan olarak sanal ağlara ayrılmış olan Azure hizmeti kaynaklarına şirket içi ağlardan erişmek mümkün değildir. Şirket içinden gelen trafiğe izin vermek istiyorsanız, şirket içi veya ExpressRoute'tan gelen genel (genellikle NAT) IP adreslerine de izin vermelisiniz. Bu IP adreslerini Azure hizmet kaynakları için IP güvenlik duvarı yapılandırması aracılığıyla ekleyebilirsiniz.
Azure hizmetlerinin güvenliğini bir sanal ağ içinde veya birden çok sanal ağ üzerinden birden çok alt ağa sağlamak için sanal ağ hizmet uç noktalarını kullanabilir miyim?
Azure hizmetlerinin güvenliğini bir sanal ağ içinde veya birden çok sanal ağda birden çok alt ağa sağlamak için, her alt ağın ağ tarafında hizmet uç noktalarını bağımsız olarak etkinleştirin. Ardından, Azure hizmet tarafında uygun sanal ağ ACL'lerini ayarlayarak Azure hizmet kaynaklarının güvenliğini tüm alt ağlara sağlayın.
Sanal ağdan Azure hizmetlerine giden trafiği nasıl filtreleyebilir ve hizmet uç noktalarını kullanmaya devam edebilir miyim?
Bir sanal ağdan azure hizmetine yönelik trafiği incelemek veya filtrelemek istiyorsanız, sanal ağ içinde bir ağ sanal gereci dağıtabilirsiniz. Daha sonra ağ sanal gerecinin dağıtıldığı alt ağa hizmet uç noktaları uygulayabilir ve Azure hizmet kaynaklarının güvenliğini yalnızca sanal ağ ACL'leri aracılığıyla bu alt ağa uygulayabilirsiniz.
Bu senaryo, ağ sanal gereci filtrelemesini kullanarak sanal ağınızdan yalnızca belirli Azure kaynaklarına Azure hizmeti erişimini kısıtlamak istiyorsanız da yararlı olabilir. Daha fazla bilgi için bkz . Yüksek oranda kullanılabilir NVA'ları dağıtma.
Sanal ağ ACL'sinin etkinleştirildiği bir Azure hizmet hesabına sanal ağ dışından erişildiğinde ne olur?
Hizmet bir HTTP 403 veya HTTP 404 hatası döndürür.
Farklı bölgelerde oluşturulan bir sanal ağın alt ağlarının başka bir bölgedeki Azure hizmet hesabına erişmesine izin veriliyor mu?
Evet. Azure hizmetlerinin çoğu için farklı bölgelerde oluşturulan sanal ağlar, sanal ağ hizmet uç noktaları aracılığıyla başka bir bölgedeki Azure hizmetlerine erişebilir. Örneğin, bir Azure Cosmos DB hesabı Batı ABD veya Doğu ABD bölgesindeyse ve sanal ağlar birden çok bölgedeyse, sanal ağlar Azure Cosmos DB'ye erişebilir.
Azure Depolama ve Azure SQL özel durumlardır ve doğası gereği bölgeseldir. Hem sanal ağın hem de Azure hizmetinin aynı bölgede olması gerekir.
Azure hizmetinin hem sanal ağ ACL'si hem de IP güvenlik duvarı olabilir mi?
Evet. Sanal ağ ACL'si ve IP güvenlik duvarı birlikte bulunabilir. Özellikler, yalıtım ve güvenlik sağlamaya yardımcı olmak için birbirini tamamlar.
Azure hizmetleri için hizmet uç noktalarının açık olduğu bir sanal ağı veya alt ağı silerseniz ne olur?
Sanal ağların silinmesi ve alt ağların silinmesi bağımsız işlemlerdir. Bunlar, Azure hizmetleri için hizmet uç noktalarını açtığınızda bile desteklenir.
Azure hizmetleri için sanal ağ ACL'leri ayarlarsanız, sanal ağ hizmet uç noktalarının açık olduğu bir sanal ağı veya alt ağı sildiğinizde bu Azure hizmetleriyle ilişkili ACL bilgileri devre dışı bırakılır.
Sanal ağ hizmet uç noktası açık olan bir Azure hizmet hesabını silersem ne olur?
Azure hizmet hesabının silinmesi bağımsız bir işlemdir. Ağ tarafında hizmet uç noktasını açıp Azure hizmet tarafında sanal ağ ACL'lerini ayarlamış olsanız bile desteklenir.
Sanal ağ hizmet uç noktalarının açık olduğu bir kaynağın kaynak IP adresine (alt ağdaki bir VM gibi) ne olur?
Sanal ağ hizmet uç noktalarını açtığınızda, sanal ağınızın alt ağındaki kaynakların kaynak IP adresleri genel IPv4 adreslerini kullanmaktan Azure hizmetlerine giden trafik için Azure sanal ağının özel IP adreslerini kullanmaya geçer. Bu anahtar, Azure hizmetlerinin önceki bölümlerinde genel bir IPv4 adresine ayarlanmış belirli IP güvenlik duvarlarının başarısız olmasına neden olabilir.
Hizmet uç noktası yolu her zaman öncelikli mi?
Hizmet uç noktaları, Sınır Ağ Geçidi Protokolü (BGP) yollarından öncelikli olan ve hizmet uç noktası trafiği için en uygun yönlendirmeyi sağlayan bir sistem yolu ekler. Hizmet uç noktaları her zaman hizmet trafiğini doğrudan sanal ağınızdan Microsoft Azure omurga ağındaki hizmete götürür.
Azure'ın bir yolu nasıl seçtiği hakkında daha fazla bilgi için bkz . Sanal ağ trafiği yönlendirme.
Hizmet uç noktaları ICMP ile çalışır mı?
Hayır Hizmet uç noktalarının etkinleştirildiği bir alt ağdan alınan ICMP trafiği, hizmet tüneli yolunu istenen uç noktaya götürmez. Hizmet uç noktaları yalnızca TCP trafiğini işler. Hizmet uç noktaları aracılığıyla gecikme süresini veya uç noktaya bağlantıyı test etmek istiyorsanız, ping ve tracert gibi araçlar alt ağ içindeki kaynakların izleyeceği doğru yolu göstermez.
Bir alt ağ üzerindeki NSG'ler hizmet uç noktalarıyla nasıl çalışır?
Azure hizmetine ulaşmak için NSG'lerin giden bağlantıya izin vermeleri gerekir. NSG'leriniz tüm İnternet giden trafiğine açılırsa hizmet uç noktası trafiği çalışır. Ayrıca, hizmet etiketlerini kullanarak giden trafiği yalnızca hizmet IP adresleriyle sınırlayabilirsiniz.
Hizmet uç noktalarını ayarlamak için hangi izinlere ihtiyacım var?
Bu ağa yazma erişiminiz varsa, sanal ağdaki hizmet uç noktalarını bağımsız olarak yapılandırabilirsiniz.
Azure hizmet kaynaklarının bir sanal ağa güvenliğini sağlamak için, eklediğiniz alt ağlar için Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izniniz olmalıdır. Bu izin varsayılan olarak yerleşik hizmet yöneticisi rolüne eklenir ve özel rollerin oluşturulmasıyla değiştirilebilir.
Yerleşik roller ve özel rollere belirli izinler atama hakkında daha fazla bilgi için bkz . Azure özel rolleri.
Azure hizmetlerine yönelik sanal ağ trafiğini hizmet uç noktaları üzerinden filtreleyebilir miyim?
Sanal ağ hizmet uç noktası ilkelerini kullanarak Azure hizmetlerine giden sanal ağ trafiğini filtreleyebilir ve hizmet uç noktaları üzerinden yalnızca belirli Azure hizmet kaynaklarına izin vekleyebilirsiniz. Uç nokta ilkeleri, sanal ağ trafiğinden Azure hizmetlerine ayrıntılı erişim denetimi sağlar.
Daha fazla bilgi edinmek için bkz . Azure Depolama için sanal ağ hizmet uç noktası ilkeleri.
Microsoft Entra ID sanal ağ hizmet uç noktalarını destekliyor mu?
Microsoft Entra Id, hizmet uç noktalarını yerel olarak desteklemez. Sanal ağ hizmet uç noktalarını destekleyen Azure hizmetlerinin tam listesi için bkz . Sanal ağ hizmet uç noktaları.
Bu listede, hizmet uç noktalarını destekleyen hizmetler altında listelenen Microsoft.AzureActiveDirectory etiketi, Azure Data Lake Storage 1. Nesil hizmet uç noktalarını desteklemek için kullanılır. Data Lake Storage 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinde ek güvenlik talepleri oluşturmak için sanal ağınızla Microsoft Entra Id arasındaki sanal ağ hizmet uç noktası güvenliğini kullanır. Ardından bu talepler sanal ağınız için Data Lake Storage 1. Nesil hesabınızda kimlik doğrulaması gerçekleştirme ve erişim izni verme amacıyla kullanılır.
Sanal ağımdan ayarlayabileceğiniz hizmet uç noktası sınırı var mı?
Bir sanal ağ içinde sınırsız sayıda hizmet uç noktası oluşturulabilir. Bir Azure hizmet kaynağı (azure depolama hesabı gibi) için hizmetler, kaynağın güvenliğini sağlamak için kullandığınız alt ağ sayısı için sınırlar uygulayabilir. Aşağıdaki tabloda bazı örnek sınırlar gösterilmektedir:
Azure hizmeti | Sanal ağ kurallarındaki sınırlar |
---|---|
Azure Depolama | 200 |
Azure SQL | 128 |
Azure Synapse Analytics | 128 |
Azure Key Vault | 200 |
Azure Cosmos DB | 64 |
Azure Event Hubs | 128 |
Azure Service Bus | 128 |
Not
Sınırlar, Azure hizmetlerinin takdirine bağlı olarak değiştirilebilir. Ayrıntılar için ilgili hizmet belgelerine bakın.
Klasik ağ kaynaklarını Resource Manager'a geçirme
Azure Service Manager nedir ve "klasik" terimi ne anlama gelir?
Azure Service Manager, kaynakları oluşturmak, yönetmek ve silmekle sorumlu olan eski Azure dağıtım modelidir. Ağ hizmetindeki klasik sözcüğü, Azure Service Manager modeli tarafından yönetilen kaynakları ifade eder. Daha fazla bilgi için bkz . dağıtım modellerinin karşılaştırması.
Azure Resource Manager nedir?
Azure Resource Manager, Azure aboneliğinizde kaynak oluşturmak, yönetmek ve silmekle sorumlu olan Azure'daki en son dağıtım ve yönetim modelidir. Daha fazla bilgi için bkz . Azure Resource Manager nedir?.
Kaynaklar Resource Manager'a kaydedildikten sonra geçişi geri alabilir miyim?
Kaynaklar hazır durumda olduğu sürece geçişi iptal edebilirsiniz. İşleme işlemi aracılığıyla kaynakları başarıyla geçirdikten sonra önceki dağıtım modeline geri dönmek desteklenmez.
İşleme işlemi başarısız olursa geçişi geri alabilir miyim?
İşleme işlemi başarısız olursa geçişi tersine çeviremezsiniz. İşleme işlemi de dahil olmak üzere tüm geçiş işlemleri, siz başlattıktan sonra değiştirilemez. Kısa bir süre sonra işlemi yeniden denemenizi öneririz. İşlem başarısız olursa bir destek isteği gönderin.
Geçişe uygun olup olmadıklarını görmek için aboneliğimi ya da kaynaklarımı doğrulayabilir miyim?
Evet. Geçişe hazırlanmanın ilk adımı, kaynakların geçirilebildiğini doğrulamaktır. Doğrulama başarısız olursa, geçişin tamamlanamadığına ilişkin tüm nedenlerden dolayı iletiler alırsınız.
Application Gateway kaynakları, klasikten Resource Manager'a sanal ağ geçişinin bir parçası olarak geçiriliyor mu?
Azure Uygulaması lication Gateway kaynakları, sanal ağ geçiş işleminin bir parçası olarak otomatik olarak geçirilmez. Sanal ağda varsa, geçiş başarılı olmaz. Application Gateway kaynağını Resource Manager'a geçirmek için, geçiş tamamlandıktan sonra Application Gateway örneğini kaldırıp yeniden oluşturmanız gerekir.
VPN Gateway kaynakları, klasikten Resource Manager'a sanal ağ geçişinin bir parçası olarak geçiriliyor mu?
Azure VPN Gateway kaynakları, sanal ağ geçiş işleminin bir parçası olarak geçirilir. Geçiş, bir kerede bir sanal ağ ve başka bir gereksinim olmadan tamamlanır. Geçiş adımları, VPN ağ geçidi olmayan bir sanal ağı geçirmekle aynıdır.
Klasik VPN ağ geçitlerinin Resource Manager'a geçirilmesiyle ilgili bir hizmet kesintisi mi var?
Resource Manager'a geçiş yaparken VPN bağlantınızda herhangi bir hizmet kesintisi yaşamayacaksınız. Geçiş sırasında mevcut iş yükleri tam şirket içi bağlantıyla çalışmaya devam edecektir.
VPN ağ geçidi Resource Manager'a geçirildikten sonra şirket içi cihazımı yeniden yapılandırmam gerekiyor mu?
Geçiş sonrasında VPN ağ geçidiyle ilişkili genel IP adresi aynı kalır. Şirket içi yönlendiricinizi yeniden yapılandırmanız gerekmez.
Klasikten Resource Manager'a VPN ağ geçidi geçişi için desteklenen senaryolar nelerdir?
Klasikten Resource Manager'a geçiş, yaygın VPN bağlantısı senaryolarının çoğunu kapsar. Desteklenen senaryolar şunlardır:
Noktadan siteye bağlantı.
Şirket içi konuma bağlı bir VPN ağ geçidi ile siteden siteye bağlantı.
VPN ağ geçitlerini kullanan iki sanal ağ arasında ağdan ağa bağlantı.
Aynı şirket içi konuma bağlı birden çok sanal ağ.
Birden çok site bağlantısı.
Zorlamalı tünelin etkinleştirildiği sanal ağlar.
Klasikten Resource Manager'a VPN ağ geçidi geçişi için hangi senaryolar desteklenmez?
Desteklenmeyen senaryolar şunlardır:
Hem ExpressRoute ağ geçidine hem de VPN ağ geçidine sahip bir sanal ağ.
Farklı bir abonelikteki bir bağlantı hattına bağlı ExpressRoute ağ geçidine sahip bir sanal ağ.
VM uzantılarının şirket içi sunuculara bağlandığı geçiş senaryoları.
Klasikten Resource Manager'a geçiş hakkında daha fazla bilgiyi nereden bulabilirim?
Bkz. Klasik'den Azure Resource Manager'a geçiş hakkında sık sorulan sorular.
Bir sorunu nasıl bildirebilirim?
Geçiş sorunlarıyla ilgili soruları Microsoft Soru-Cevap sayfasına gönderebilirsiniz. Tüm sorularınızı bu foruma göndermenizi öneririz. Bir destek sözleşmeniz varsa bir destek isteği de oluşturabilirsiniz.