Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure'ın Azure, şirket içi ve İnternet kaynakları arasındaki trafiği nasıl yönlendireceğinizi öğreneceksiniz. Azure, bir Azure sanal ağı içindeki her alt ağ için bir yol tablosu oluşturur ve sistemin varsayılan yollarını tabloya ekler. Sanal ağlar ve alt ağlar hakkında daha fazla bilgi için Sanal ağa genel bakış makalesini inceleyin. Azure sistem yollarından bazılarını özel yollar ile geçersiz kılabilir ve yönlendirme tablolarına daha fazla özel yol ekleyebilirsiniz. Azure bir alt ağdan giden trafiği, alt ağın yol tablosundaki yolları temel alarak yönlendirir.
Sistem yolları
Azure, sistem yollarını otomatik olarak oluşturur ve bir sanal ağ içindeki her alt ağa bu yolları atar. Sistem yolları oluşturamazsınız ve sistem yollarını kaldıramazsınız, ancak bazı sistem yollarını özel yollar ile geçersiz kılabilirsiniz. Azure her alt ağ için varsayılan sistem yolları oluşturur ve belirli Azure özelliklerini kullandığınızda belirli alt ağlara veya her alt ağa daha fazla isteğe bağlı varsayılan yol ekler.
Varsayılan
Her yol, bir adres ön eki ve sonraki atlama türünü içerir. Bir alt ağdan çıkan trafik, bir yolun adres ön eki içindeki bir IP adresine gönderildiğinde, ön eki içeren yol Azure'ın kullandığı yoldur. Birden çok yol aynı ön ekleri veya çakışan ön ekleri içerdiğinde Azure'ın bir yolu nasıl seçtiği hakkında daha fazla bilgi edinin. Bir sanal ağ oluşturulduğunda Azure, sanal ağ içindeki her alt ağ için aşağıdaki varsayılan sistem yollarını otomatik olarak oluşturur:
| Kaynak | Adres ön ekleri | Sonraki atlama türü |
|---|---|---|
| Varsayılan | Sanal ağa özel | Sanal ağ |
| Varsayılan | 0.0.0.0/0 | İnternet |
| Varsayılan | 10.0.0.0/8 | Hiçbiri |
| Varsayılan | 172.16.0.0/12 | Hiçbiri |
| Varsayılan | 192.168.0.0/16 | Hiçbiri |
| Varsayılan | 100.64.0.0/10 | Hiçbiri |
Önceki tabloda listelenen sonraki atlama türleri, Azure’ın listelenen adres ön ekine yönelik giden trafiği nasıl yönlendirdiğini göstermektedir. Sonraki atlama türleri konusunda açıklamalar aşağıdaki gibidir:
Sanal ağ: Bir sanal ağın adres alanı içindeki adres aralıkları arasında gerçekleşen trafiği yönlendirir. Azure, bir sanal ağın adres alanı içinde tanımlanmış her bir adres aralığına karşılık gelen bir adres ön eki ile yol oluşturur. Sanal ağ adres alanında tanımlanmış birden fazla adres aralığı varsa, Azure her bir adres aralığı için ayrı bir yol oluşturur. Varsayılan olarak Azure, alt ağlar arasındaki trafiği yönlendirir. Alt ağlar arasındaki trafiği yönlendirmek için Azure için yönlendirme tabloları veya ağ geçitleri tanımlamanız gerekmez. Azure, alt ağ adres aralıkları için varsayılan yollar oluşturmaz. Her alt ağ adres aralığı, bir sanal ağın adres alanının adres aralığı içindedir.
İnternet: Adres ön eki tarafından belirtilen trafiği İnternet'e yönlendirir. Sistemin varsayılan yolu 0.0.0.0/0 adres ön ekini belirtir. Azure varsayılan yollarını geçersiz kılmazsanız Azure, sanal ağ içindeki bir adres aralığı tarafından belirtilmeyen tüm adresler için trafiği İnternet'e yönlendirir. Bu yönlendirmenin bir istisnası vardır. Hedef adres bir Azure hizmetine yönelikse, Azure trafiği İnternet'e yönlendirmek yerine doğrudan Azure omurga ağı üzerinden hizmete yönlendirir. Azure hizmetleri arasındaki trafik İnternet'ten geçiş yapmaz. Sanal ağın hangi Azure bölgesinde bulunduğu veya Azure hizmetinin bir örneğinin dağıtıldığı Azure bölgesi önemli değildir. Özel bir yol ile 0.0.0.0/0 adres ön eki için Azure varsayılan sistem yolunu geçersiz kılabilirsiniz.
Hiçbiri: "Hiçbiri" sonraki atlama türüne yönlendirilen trafik, alt ağın dışına yönlendirilmek yerine bırakılır. Azure aşağıdaki adres ön ekleri için otomatik olarak varsayılan yollar oluşturur:
- 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16: RFC 1918’de özel kullanım için ayrılmıştır.
- 100.64.0.0/10: RFC 6598’de ayrılmıştır.
Bir sanal ağın adres alanı içinde önceki adres aralıklarından herhangi birini atamanız durumunda Azure, yolun Hiçbiri olan sonraki atlama türünü Sanal ağ şeklinde otomatik olarak değiştirir. Ayrılmış dört adres ön ekini içeren, ancak bunlarla aynı olmayan bir sanal ağın adres alanına bir adres aralığı atamanız durumunda Azure, ön ekin yolunu kaldırır ve sizin eklediğiniz adres ön eki için, sonraki atlama türü Sanal ağ olacak şekilde bir yol ekler.
İsteğe bağlı varsayılan yollar
Azure, farklı Azure özellikleri için daha fazla varsayılan sistem yolu ekler, ancak yalnızca özellikleri etkinleştirirseniz. Özelliğe bağlı olarak Azure, sanal ağ içindeki belirli alt ağlara veya bir sanal ağ içindeki tüm alt ağlara isteğe bağlı varsayılan yollar ekler. Aşağıdaki tabloda, farklı özellikleri etkinleştirdiğinizde Azure'ın ekleyebilecekleri diğer sistem yolları ve sonraki atlama türleri listelenmiştir.
| Kaynak | Adres ön ekleri | Sonraki atlama türü | Yolun eklendiği sanal ağ içindeki alt ağ |
|---|---|---|---|
| Varsayılan | Sanal ağ için benzersizdir, örneğin: 10.1.0.0/16 | Sanal ağ eşleme | Tümü |
| Sanal ağ geçidi | Sınır Ağ Geçidi Protokolü (BGP) aracılığıyla şirket içinden tanıtılan veya yerel ağ geçidinde yapılandırılan ön ekler | Sanal ağ geçidi | Tümü |
| Varsayılan | Birden çok | VirtualNetworkServiceEndpoint |
Yalnızca hizmet uç noktasının etkinleştirildiği alt ağ |
Sanal ağ eşlemesi: İki sanal ağ arasında bir sanal ağ eşlemesi oluşturduğunuzda, sistem eşlemeye dahil olan her sanal ağın adres alanı içindeki her adres aralığı için bir yol ekler. Sanal ağ eşlemesi hakkında daha fazla bilgi edinin.
Sanal ağ geçidi: Sanal ağa bir sanal ağ geçidi eklendiğinde, sonraki atlama türü olarak Sanal ağ geçidi seçeneğinin listelendiği bir veya daha fazla yol eklenir. Ağ geçidi yolları alt ağa eklediğinden kaynak sanal ağ geçididir. Şirket içi ağ geçidiniz BGP yollarını bir sanal ağ geçidiyle değiştirirse, sistem her yol için bir yol ekler. Bu yollar şirket içi ağ geçidinden yayılır. Bir Azure sanal ağ geçidine en az sayıda yol yaymak için şirket içi yolları mümkün olan en büyük adres aralığına özetlemenizi öneririz. Bir Azure sanal ağ geçidine yayabileceğiniz yolların sayısı sınırlıdır. Daha fazla bilgi için bkz . Azure sınırları.
VirtualNetworkServiceEndpoint: Belirli hizmetlerin genel IP adresleri, hizmette bir hizmet uç noktasını etkinleştirdiğinizde Azure tarafından yol tablosuna eklenir. Hizmet uç noktaları bir sanal ağ içindeki tek tek alt ağlar için etkinleştirilir, bu nedenle yol yalnızca hizmet uç noktasının etkinleştirildiği bir alt ağın yol tablosuna eklenir. Azure hizmetlerinin genel IP adresleri düzenli olarak değişir. Adresler değiştiğinde Azure, yol tablosundaki adresleri otomatik olarak yönetir. Sanal ağ hizmet uç noktaları ve hizmet uç noktaları oluşturabileceğiniz hizmetler hakkında daha fazla bilgi edinin.Not
Sanal ağ eşlemesi ve
VirtualNetworkServiceEndpointsonraki atlama türleri yalnızca Azure Resource Manager dağıtım modeli aracılığıyla oluşturulan sanal ağlar içindeki alt ağların tablolarını yönlendirmek için eklenir. Sonraki atlama türleri, klasik dağıtım modeliyle oluşturulan sanal ağ alt ağlarıyla ilişkili yönlendirme tablolarına eklenmez. Azure dağıtım modelleri hakkında daha fazla bilgi edinin.
Özel yollar
Kullanıcı tanımlı rotalar (UDR) oluşturarak veya şirket içi ağ geçidinizle Azure sanal ağ geçidi arasında BGP rotalarını değiştirerek özel rotalar yaratırsınız.
Kullanıcı tanımlı
Trafik yollarınızı özelleştirmek için varsayılan yolları değiştirmemelisiniz. Azure varsayılan sistem yollarını geçersiz kılan özel veya kullanıcı tanımlı (statik) yollar oluşturmanız gerekir. Azure'da bir yönlendirme tablosu oluşturur ve ardından yönlendirme tablosunu sıfır veya daha fazla sanal ağ alt ağıyla ilişkilendirirsiniz. Her alt ağ ile ilişkili sıfır veya bir yol tablosu olabilir. Yol tablosuna ekleyebileceğiniz en fazla yol sayısı ve Azure aboneliği başına oluşturabileceğiniz maksimum UDR tablosu sayısı hakkında bilgi edinmek için bkz . Azure sınırları.
Varsayılan olarak, bir yol tablosu en fazla 400 UDR içerebilir. Azure Sanal Ağ Manager yönlendirme yapılandırmasıyla bu sayı, yol tablosu başına 1.000 UDR'ye kadar genişleyebilir. Bu artan sınır daha gelişmiş yönlendirme kurulumlarını destekler. Şirket içi veri merkezlerinden gelen trafiği güvenlik duvarı üzerinden merkez-uç topolojisindeki her uç sanal ağına yönlendirmek, daha fazla uç sanal ağınız olduğunda buna örnek olarak verilmiştir.
Bir yönlendirme tablosu oluşturduğunuzda ve bunu bir alt ağ ile ilişkilendirdiğinizde, tablonun yolları alt ağın varsayılan yolları ile birleştirilir. Çakışan yol atamaları varsa, UDR'ler varsayılan yolları geçersiz kılar.
UDR oluştururken aşağıdaki sonraki atlama türlerini belirtebilirsiniz:
Sanal gereç: Sanal gereç genellikle güvenlik duvarı gibi bir ağ uygulaması çalıştıran sanal makinedir. Bir sanal ağa dağıtabileceğiniz önceden yapılandırılmış çeşitli ağ sanal gereçleri hakkında bilgi edinmek için bkz. Azure Market. "Sanal gereç türünde bir yol oluşturduğunuzda, bir sonraki atlama IP adresini de belirtmeniz gerekir." IP adresi şu özelliklerde olabilir:
Bir sanal makineye bağlı ağ arabiriminin özel IP adresi. Ağ trafiğini kendi adresi dışında bir adrese ileten bir sanal makineye bağlı olan tüm ağ arabirimlerinde IP iletimini etkinleştir seçeneği açık olmalıdır. ayarı, Azure tarafından bir ağ arabirimi için kaynak ve hedef denetimini devre dışı bırakır. Bir ağ arabirimi için IP iletimini etkinleştirme hakkında daha fazla bilgi edinin. IP iletmeyi etkinleştirme bir Azure ayarıdır.
Aletin Azure ağ arabirimlerine atanan özel IP adresleri arasında trafiği iletmesi için sanal makinenin işletim sisteminde IP iletmeyi etkinleştirmeniz gerekebilir. Aletin trafiği bir genel IP adresine yönlendirmesi gerekiyorsa, trafiği ara sunucu olarak kullanmalı veya kaynağın özel IP adresinden kendi özel IP adresine ağ adresi çevirisi (NAT) gerçekleştirmelidir. Azure daha sonra trafiği İnternet'e göndermeden önce bir genel IP adresine NAT gerçekleştirir. Sanal makine içindeki gerekli ayarları belirlemek için işletim sisteminize veya ağ uygulamanıza ait belgelere bakın. Azure'da giden bağlantıları anlamak için, bkz. Giden bağlantıları anlama.
Dikkat
Sanal gereci, sanal gereci yönlendiren kaynaklardan farklı bir alt ağa dağıtın. Sanal gerecin aynı alt ağa dağıtılması ve ardından trafiği sanal gereç üzerinden yönlendiren alt ağa bir yönlendirme tablosu uygulanması, trafiğin alt ağdan hiç ayrılmadığı yönlendirme döngülerine neden olabilir.
Sonraki atlama özel IP adresi, Azure ExpressRoute ağ geçidi veya Azure Sanal WAN üzerinden yönlendirmek zorunda kalmadan doğrudan bağlantıya sahip olmalıdır. Doğrudan bağlantı olmadan bir IP adresine sonraki atlamanın ayarlanması geçersiz bir UDR yapılandırmasına neden olur.
Bir Azure iç yük dengeleyicisinin özel IP adresi. Yük dengeleyici genellikle ağ sanal gereçleri için yüksek kullanılabilirlik stratejisinin bir parçası olarak kullanılır.
Adres ön eki ve sonraki atlama türü sanal gereç olarak 0.0.0.0/0 olan bir yol tanımlayabilirsiniz. Bu yapılandırma cihazın trafiği incelemesine ve trafiği iletip iletmeyeceğini veya düşürüp düşürmeyeceğini belirlemesine olanak tanır. 0.0.0.0/0 adres ön ekini içeren bir UDR oluşturmak istiyorsanız, önce 0.0.0.0/0 adres ön ekini okuyun.
Sanal ağ geçidi: Belirli ağ adresi ön eklerini hedefleyen trafiğin bir sanal ağ geçidine ne zaman yönlendirileceğini belirtir. Sanal ağ geçidi VPN türüyle oluşturulmalıdır. ExpressRoute ile özel yollar için BGP kullanmanız gerektiğinden, UDR'de ExpressRoute türü olarak oluşturulan bir sanal ağ geçidi belirtemezsiniz. Sanal özel ağ (VPN) ve ExpressRoute bağlantılarınız bir arada mevcutsa, sanal ağ geçitleri belirtemezsiniz. 0.0.0.0/0 adres ön ekini hedefleyen trafiği yol tabanlı sanal ağ geçidine yönlendiren bir yol tanımlayabilirsiniz.
Şirket içinde trafiği inceleyen ve trafiğin iletileceğini veya bırakılacağını belirleyen bir cihazınız olabilir. 0.0.0.0/0 adres ön eki için bir UDR oluşturmayı planlıyorsanız, önce 0.0.0.0/0 adres ön ekini okuyun. 0.0.0.0/0 adres ön eki için bir UDR yapılandırmak yerine, VPN sanal ağ geçidi için BGP etkinse, BGP aracılığıyla 0.0.0.0/0 ön ekine sahip bir rotayı ilan edebilirsiniz.
Hiçbiri: Trafiği bir hedefe iletmek yerine ne zaman bir adres ön ekine bırakmak istediğinizi belirtin. Azure, bir özellik yapılandırılmamışsa isteğe bağlı sistem yollarının bazıları için Hiçbiri'ni gösterebilir. Örneğin, Sonraki atlama IP adresinin Yok ve Sonraki atlama türünün Sanal ağ geçidi veya Sanal gereci gösterdiğini görürseniz, bunun nedeni cihazın çalışmamış olması veya tam olarak yapılandırılmamış olması olabilir. Azure, sonraki atlama türü Hiçbiri olan ayrılmış adres ön ekleri için sistem varsayılan yolları oluşturur.
Sanal ağ: Sanal ağ içinde varsayılan yönlendirmeyi geçersiz kılmak istediğinizde Sanal ağ seçeneğini belirtin. For an example of why you might create a route with the Virtual network hop type, see Routing example. Sanal ağ atlama türüyle bir yönlendirme oluşturmanızın nedenine dair bir örnek için bkz. Yönlendirme örneği.
İnternet: Adres ön ekine yönlendirilen trafiği açıkça İnternet'e yönlendirmek istediğinizde İnternet seçeneğini belirtin. Genel IP adreslerine sahip Azure hizmetlerini hedefleyen trafiğin Azure omurga ağı içinde tutulmasını istiyorsanız bunu da kullanabilirsiniz.
Sanal ağ eşlemesiniVirtualNetworkServiceEndpoint. Azure, yalnızca bir sanal ağ eşlemesiVirtualNetworkServiceEndpointyollar oluşturur.
Kullanıcı tanımlı yollar için hizmet etiketleri
Artık açık IP aralığı yerine UDR için adres ön eki olarak bir hizmet etiketi belirtebilirsiniz. Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Bu destek, UDR'lere yönelik sık güncelleştirmelerin karmaşıklığını en aza indirir ve oluşturmanız gereken yol sayısını azaltır. Şu anda her yol tablosunda hizmet etiketleriyle 25 veya daha az yol oluşturabilirsiniz. Bu sürümle birlikte, kapsayıcılar için yönlendirme senaryolarında hizmet etiketlerinin kullanılması da desteklenir.
Tam eşleşme
Sistem, açık IP ön ekine sahip bir yol ile hizmet etiketine sahip bir yol arasında tam bir ön ek eşleşmesi olduğunda, yolu açık ön ek ile tercih eder. Hizmet etiketlerine sahip birden çok yol eşleşen IP ön eklerine sahip olduğunda, yollar aşağıdaki sırayla değerlendirilir:
Bölgesel etiketler (örneğin,
Storage.EastUSveyaAppService.AustraliaCentral)Üst düzey etiketler (örneğin,
StorageveyaAppService)AzureCloudbölgesel etiketler (örneğin,AzureCloud.canadacentralveyaAzureCloud.eastasia)AzureCloudetiketi
Bu özelliği kullanmak için yönlendirme tablosu komutlarında adres ön eki parametresi için bir hizmet etiketi adı belirtin. Örneğin, PowerShell'de şu komutu kullanarak Azure Depolama IP ön ekine gönderilen trafiği sanal gereci yönlendirmek için yeni bir yol oluşturabilirsiniz:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
Azure CLI için aynı komut şu şekildedir:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
Azure araçlarında sonraki atlama türleri
Sonraki atlama türleri için görüntülenen ve atıfta bulunulan ad, Azure portalı ve komut satırı araçları ile Resource Manager ve klasik dağıtım modelleri arasında farklılık göstermektedir. Aşağıdaki tabloda, farklı araçlar ve dağıtım modelleriyle her bir sonraki atlama türüne başvurmak için kullanılan adlar listelenir.
| Sonraki geçiş türü | Azure CLI ve PowerShell (Resource Manager) | Azure klasik CLI ve PowerShell (klasik) |
|---|---|---|
| Sanal ağ geçidi | VirtualNetworkGateway |
VPNGateway |
| Sanal ağ | VNetLocal |
VNETLocal (klasik dağıtım modeli modunda klasik CLI'da kullanılamaz) |
| İnternet | İnternet | İnternet (klasik dağıtım modeli modunda klasik CLI'da kullanılamaz) |
| Sanal gereç | VirtualAppliance |
VirtualAppliance |
| Hiçbiri | Hiçbiri | Null (klasik dağıtım modeli modunda klasik CLI'da kullanılamaz) |
| Sanal ağ eşleme | Sanal ağ eşleme | Uygulanamaz |
| Sanal ağ hizmet uç noktası | VirtualNetworkServiceEndpoint |
Uygulanamaz |
Sınır ağ geçidi protokolü
Şirket içi ağ geçidi BGP kullanarak bir Azure sanal ağ geçidi ile yol alışverişi yapabilir. BGP'yi bir Azure sanal ağ geçidiyle kullanmak, ağ geçidini oluştururken seçtiğiniz türe bağlıdır:
- ExpressRoute: Şirket içi yolları Microsoft uç yönlendiricisinde tanıtmak için BGP kullanmanız gerekir. ExpressRoute olarak dağıtılan bir sanal ağ geçidi türünde bir sanal ağ geçidi dağıtırsanız, trafiği ExpressRoute sanal ağ geçidine yönlendirmek için UDR'ler oluşturamazsınız. UDR'leri, trafiği hızlı yoldan bir ağ sanal gerecine zorlamak için kullanabilirsiniz.
- VPN: İsteğe bağlı olarak BGP'yi kullanabilirsiniz. Daha fazla bilgi için Siteden siteye VPN bağlantıları ile BGP bölümüne bakın.
BGP kullanarak Azure ile yol değişimi yaptığınızda, bir sanal ağdaki tüm alt ağların yol tablosuna tanıtılan her ön ek için ayrı bir yol eklenir. Yol, kaynak ve sonraki atlama türü olarak Sanal ağ geçidi listelenerek eklenir.
Yönlendirme tablosundaki bir özelliği kullanarak bir alt ağda ExpressRoute ve Azure VPN Gateway yol yayma özelliğini devre dışı bırakabilirsiniz. Rota yayma özelliğini devre dışı bıraktığınızda sistem, sanal ağ geçidi rota yayma özelliği devre dışı bırakılmış tüm alt ağların rota tablosuna yol eklemez. Bu işlem hem statik rotalar hem de BGP rotaları için geçerlidir. VPN bağlantıları ile bağlantı, bir sonraki atlama türü Sanal ağ geçidi olan özel yollar kullanılarak elde edilir. Daha fazla bilgi için Sanal ağ geçidi yol yayma işlevini devre dışı bırakma başlığına bakın.
Not
GatewaySubnet üzerinde rota yayma devre dışı bırakılmamalıdır. Bu ayar devre dışı bırakılırsa ağ geçidi çalışmaz.
Azure yolu nasıl seçer?
Bir alt ağdan giden trafik gönderildiğinde, Azure en uzun ön ek eşleştirme algoritmasını kullanarak hedef IP adresine göre bir yol seçer. Örneğin, bir yol tablosunun iki yolu vardır. Bir yol 10.0.0.0/24 adres ön ekini, diğer yol ise 10.0.0.0/16 adres ön ekini belirtir.
Azure, 10.0.0.5 hedeflenen trafiği 10.0.0.0/24 adres ön eki ile yolda belirtilen sonraki atlama türüne yönlendirir. Bu işlem, 10.0.0.0/24'ün 10.0.0.0/16'dan daha uzun bir ön ek olması nedeniyle oluşur, ancak 10.0.0.5 her iki adres ön ekleri içinde yer alır.
Azure, 10.0.1.5 adresine giden trafiği, 10.0.0.0/16 adres ön eki ile rota üzerinde belirtilen bir sonraki atlama noktasına yönlendirir. Bu süreç, 10.0.1.5 adresinin 10.0.0.0/24 adres ön ekine dahil olmaması nedeniyle, 10.0.0.0/16 adres ön ekini en uzun eşleşen ön ek yapar.
Birden çok yol aynı adres ön ekini içeriyorsa, Azure aşağıdaki önceliğe göre yol türünü seçer:
Kullanıcı tanımlı yol
BGP yolu
Sistem yolu
Not
Sanal ağ, sanal ağ eşlemeleri veya sanal ağ hizmet uç noktalarıyla ilgili trafik için sistem yolları tercih edilen yollardır. BGP yolları daha belirgin olsa bile bunlar tercih edilir. Sonraki atlama türü sanal ağ hizmet uç noktası içeren yollar, bir yol tablosu kullansanız bile geçersiz kılınamaz.
Örneğin, bir yol tablosu aşağıdaki yolları içerir:
| Kaynak | Adres ön ekleri | Sonraki atlama türü |
|---|---|---|
| Varsayılan | 0.0.0.0/0 | İnternet |
| Kullanıcı | 0.0.0.0/0 | Sanal ağ geçidi |
Trafik, rota tablosundaki diğer yolların adres ön eklerinin dışında bir IP adresine yönlendirildiğinde, Azure Kullanıcı kaynağı ile rotayı seçer. UDR'ler sistem varsayılan yollarından daha yüksek öncelikli olduğundan Azure bu seçimi yapar.
Tablodaki yolların açıklamalarını içeren kapsamlı bir yönlendirme tablosu için bkz . Yönlendirme örneği.
0.0.0.0/0 adres ön eki
0.0.0.0/0 adres ön ekine sahip bir yol, Azure'a yönergeler sağlar. Azure, bir alt ağın yol tablosundaki başka bir yolun adres ön ekine denk olmayan bir IP adresini hedefleyen trafiği yönlendirmek için bu yönergeleri kullanır. Bir alt ağ oluşturulduğunda, Azure 0.0.0.0/0 adres ön eki için sonraki atlama türü İnternet olan bir varsayılan yol oluşturur. Bu yolu değiştirmezseniz, Azure, başka bir yolun adres ön ekine dâhil edilmemiş IP adreslerine giden tüm trafiği İnternet'e yönlendirir.
Bunun istisnası, Azure hizmetlerinin genel IP adreslerine giden trafiğin Azure omurga ağında kalması ve İnternet'e yönlendirilmez olmasıdır. Bu rotayı özel bir rota ile değiştirdiğinizde, yol tablosundaki başka bir rotanın adres ön ekleri içinde olmayan adreslere yönelik trafik yönlendirilir. Hedef, özel yolda bir ağ sanal gereci mi yoksa sanal ağ geçidi mi belirttiğinize bağlıdır.
0.0.0.0/0 adres ön ekini geçersiz kıldığınızda, alt ağdan giden trafik sanal ağ geçidi veya sanal gereç üzerinden akar. Aşağıdaki değişiklikler Azure varsayılan yönlendirmesinde de gerçekleşir:
Azure, Azure hizmetlerinin genel IP adreslerini hedefleyen trafiği dahil etmek üzere tüm trafiği yolda belirtilen sonraki atlama türüne gönderir.
0.0.0.0/0 adres ön ekine sahip yolun sonraki atlama türü İnternet olduğunda, sanal ağın veya Azure hizmet kaynağının bulunduğu Azure bölgesinden bağımsız olarak, Azure hizmetlerinin genel IP adreslerine yönelik alt ağdan gelen trafik Hiçbir zaman Azure omurga ağından ayrılmaz.
Sonraki atlama türü sanal ağ geçidi veya Sanal gereç olan bir UDR veya BGP yolu oluşturduğunuzda, tüm trafik yolda belirtilen sonraki atlama türüne gönderilir. Bu, hizmet uç noktalarını etkinleştirmediğiniz Azure hizmetlerinin genel IP adreslerine gönderilen trafiği içerir.
Bir hizmet için hizmet uç noktasını etkinleştirdiğinizde Azure, hizmet için adres ön eklerine sahip bir yol oluşturur. Hizmete giden trafik, 0.0.0.0/0 adres ön ekine sahip bir yolda sonraki atlama türüne yönlendirilmez. Hizmetin adres ön ekleri 0.0.0.0/0'dan uzun.
Artık alt ağdaki kaynaklara İnternet'ten doğrudan erişemezsiniz. Alt ağdaki kaynaklara İnternet'ten dolaylı olarak erişebilirsiniz. 0.0.0.0/0 adres ön eki olan bir yol için sonraki atlama türü tarafından belirtilen cihazın gelen trafiği işlemesi gerekir. Trafik cihazdan geçtikten sonra, trafik sanal ağdaki kaynağa ulaşır. Yol sonraki atlama türü için aşağıdaki değerleri içeriyorsa:
Sanal gereç: Gerecin şu özelliklere sahip olması gerekir:
- İnternet'ten erişilebilir olun.
- Kendisine bir genel IP adresi atanmış olması.
- Cihazla iletişimi engelleyen, kendisiyle ilişkilendirilmiş bir ağ güvenlik grubu kuralı yoktur.
- İletişimi reddetmek değil.
- Ağ adresi çevirip iletebilir veya trafiği alt ağdaki hedef kaynağa ara sunucu olarak yönlendirebilir ve trafiği İnternet'e geri döndürebilir.
Sanal ağ geçidi: Ağ geçidi bir ExpressRoute sanal ağ geçidiyse, şirket içi İnternet'e bağlı bir cihaz ExpressRoute özel eşlemesi aracılığıyla ağ adresi çevirip iletebilir veya trafiği alt ağdaki hedef kaynağa ara sunucu olarak kullanabilir.
Sanal ağınız bir Azure VPN ağ geçidine bağlıysa, bir yol tablosunu 0.0.0.0/0 hedefine sahip bir yol içeren ağ geçidi alt ağıyla ilişkilendirmayın. Bunun yapılması, ağ geçidinin düzgün çalışmasını engelleyebilir. Daha fazla bilgi için bkz . Vpn ağ geçidimde belirli bağlantı noktaları neden açılıyor?.
İnternet ile Azure arasında sanal ağ geçitlerini kullanırken uygulama ayrıntıları için Azure ile şirket içi veri merkeziniz arasındaki DMZ'ye bakın.
Yönlendirme örneği
Bu makaledeki kavramları göstermek için aşağıdaki bölümlerde açıklanmaktadır:
- Gereksinimleri olan bir senaryo.
- Gereksinimleri karşılamak için gereken özel yollar.
- Gereksinimleri karşılamak için gereken varsayılan ve özel yolları içeren bir alt ağ için var olan yol tablosu.
Not
Bu örnek önerilen veya en iyi yöntemler uygulaması olarak tasarlanmamıştır. Yalnızca bu makaledeki kavramları göstermek için sağlanır.
Gereksinimler
Aynı Azure bölgesinde iki sanal ağı uygulayın ve kaynakların sanal ağlar arasında iletişim kurmasını etkinleştirin.
Şirket içi ağın İnternet üzerinden vpn tüneli aracılığıyla her iki sanal ağ ile de güvenli bir şekilde iletişim kurmasını sağlayın. Alternatif olarak, ExpressRoute bağlantısı kullanabilirsiniz, ancak bu örnekte VPN bağlantısı kullanılır.
Bir sanal ağdaki alt ağ için:
- Alt ağdan çıkan tüm giden trafiği inceleme ve günlüğe kaydetme amacıyla bir ağ sanal aygıtı aracılığıyla yönlendirin. Azure Depolama'ya ve alt ağda gerçekleşen trafiği bu yönlendirmelere dahil etmeyin.
- Alt ağ içindeki özel IP adresleri arasındaki trafiği incelemeyin. Trafiğin doğrudan tüm kaynaklar arasında akmasına izin verin.
- Diğer sanal ağı hedefleyen tüm giden trafiği bırakın.
- Azure Depolama'ya giden trafiğin bir ağ sanal gereci aracılığıyla zorlamadan doğrudan depolamaya akmasını sağlayın.
Diğer tüm alt ağlar ile sanal ağlar arasındaki tüm trafiğe izin verin.
Uygulama
Aşağıdaki diyagramda, Resource Manager dağıtım modeli aracılığıyla önceki gereksinimleri karşılayan bir uygulama gösterilmektedir.
Oklar trafik akışını gösterir.
Yol tabloları
Yukarıdaki yönlendirme örneğinin yol tabloları aşağıda verilmiştir.
Subnet1
Önceki diyagramdaki Subnet1 için yol tablosu aşağıdaki yolları içerir:
| Kimlik | Kaynak | Durum | Adres ön ekleri | Sonraki atlama türü | Sonraki atlama IP adresi | UDR adı |
|---|---|---|---|---|---|---|
| 1 | Varsayılan | Geçersiz | 10.0.0.0/16 | Sanal ağ | ||
| 2 | Kullanıcı | Aktif | 10.0.0.0/16 | Sanal gereç | 10.0.100.4 | VNet1 içinde |
| 3 | Kullanıcı | Etkin | 10.0.0.0/24 | Sanal ağ | Subnet1 Dahilinde | |
| 4 | Varsayılan | Geçersiz | 10.1.0.0/16 | Sanal ağ eşleme | ||
| 5 | Varsayılan | Geçersiz | 10.2.0.0/16 | Sanal ağ eşleme | ||
| 6 | Kullanıcı | Etkin | 10.1.0.0/16 | Hiçbiri | ToVNet2-1-Drop | |
| 7 | Kullanıcı | Etkin | 10.2.0.0/16 | Hiçbiri | ToVNet2-2-Bırak | |
| 8 | Varsayılan | Geçersiz | 10.10.0.0/16 | Sanal ağ geçidi | [X.X.X.X] | |
| 9 | Kullanıcı | Etkin | 10.10.0.0/16 | Sanal gereç | 10.0.100.4 | Şirket-İçine |
| 10 | Varsayılan | Etkin | [X.X.X.X] | VirtualNetworkServiceEndpoint |
||
| 11 | Varsayılan | Geçersiz | 0.0.0.0/0 | İnternet | ||
| 12 | Kullanıcı | Aktif | 0.0.0.0/0 | Sanal gereç | 10.0.100.4 | Varsayılan-NVA |
İşte her bir rota kimliğinin açıklaması:
Id1: Sanal ağın adres alanında tanımlanan tek adres aralığı 10.0.0.0/16 olduğundan Azure, Virtual-network-1 içindeki tüm alt ağlar için bu yolu otomatik olarak eklemektedir. UDR'yi yol kimliği2'de oluşturmazsanız, 10.0.0.1 ile 10.0.255.254 arasındaki herhangi bir adrese gönderilen trafik sanal ağ içinde yönlendirilir. Ön ek 0.0.0.0/0'dan uzun olduğundan ve diğer yolların adres ön eklerine sığmadığından bu işlem gerçekleşir.
Azure, ID2 adlı UDR eklendiğinde durumu otomatik olarak Etkin halinden Geçersiz hale değiştirdi. Varsayılan yol ile aynı ön eke sahiptir ve UDR'ler varsayılan yolları geçersiz kılar. UDR, ID2'nin içinde olduğu yol tablosu Subnet2 ile ilişkili olmadığından, bu yolun durumu Subnet2 için hala Etkindir.
ID2: 10.0.0.0/16 adres ön eki için bir UDR, Virtual-network-1 sanal ağındaki Subnet1 alt ağıyla ilişkilendirildiğinde Azure bu yolu ekledi. UDR, sanal gerecin IP adresi olarak 10.0.100.4 belirtir çünkü adres sanal gereç sanal makinesine atanan özel IP adresidir. Bu yolun bulunduğu yol tablosu Subnet2 ile ilişkilendirilmez, bu nedenle yol Subnet2 yol tablosunda görünmez.
Bu yol, sanal ağ sonraki atlama türü üzerinden sanal ağ içindeki 10.0.0.1 ve 10.0.255.254 adreslerine trafiği otomatik olarak yönlendiren 10.0.0.0/16 ön eki (ID1) için varsayılan yolu geçersiz kılar. Bu rota, tüm giden trafiği sanal gereç üzerinden zorunlu kılmak için gereklilik 3'ü karşılamaya yöneliktir.
ID3: 10.0.0.0/24 adres ön eki için bir UDR Subnet1 alt ağıyla ilişkilendirildiğinde Azure bu yolu ekledi. 10.0.0.1 ile 10.0.0.254 arasındaki adresleri hedefleyen trafik alt ağ içinde kalır. Önceki kuralda (ID2) belirtilen sanal aygıta trafik yönlendirilmez çünkü bu sanal aygıt, ID2 yolundan daha uzun bir ön eke sahiptir.
Bu yol Subnet2 ile ilişkilendirilmez, bu nedenle yol Subnet2 yol tablosunda görünmez. Bu yol, Subnet1 içindeki trafik için ID2 yolunu etkili bir şekilde geçersiz kılar. Bu yol gereksinim 3’ü karşılar.
ID4: Sanal ağ Virtual-network-2 ile eşlendiğinde Azure, Virtual-network-1 içindeki tüm alt ağlar için kimlik 4 ve 5'teki yolları otomatik olarak ekledi.Sanal ağ-2'nin adres alanında 10.1.0.0/16 ve 10.2.0.0/16 olmak üzere iki adres aralığı vardır. Bu nedenle Azure her aralık için bir yol eklemiştir. UDR'leri 6 ve 7 yol kimliklerinde oluşturmazsanız, 10.1.0.1-10.1.255.254 ve 10.2.0.1-10.2.255.254 arasındaki herhangi bir adrese gönderilen trafik eşlenen sanal ağa yönlendirilir. Ön ek 0.0.0.0/0'dan uzun olduğundan ve diğer yolların adres ön eklerine sığmadığından bu işlem gerçekleşir.
6. ve 7. kimliklere yolları eklediğinizde, Azure durumu otomatik olarak Etkin yerine Geçersiz olarak değiştirdi. Bu işlemin nedeni, kimlik 4 ve 5'teki yollarla aynı ön eklere sahip olmaları ve UDR'lerin varsayılan yolları geçersiz kılmalarıdır. Kimlik 6 ve 7'deki UDR'lerin bulunduğu yol tablosu Subnet2 ile ilişkilendirilmediği için, kimlik 4 ve 5'teki yolların durumu Aktif olarak kalmaya devam ediyor Subnet2 için. Gereksinim 1’i karşılamak için bir sanal ağ eşlemesi oluşturulmuştur.
ID5: ID4 ile aynı açıklama.
ID6: Azure, 10.1.0.0/16 ve 10.2.0.0/16 adres ön eklerine ait UDR'ler Subnet1 alt ağına ilişkilendirildiğinde bu rota ve ID7'deki rota eklendi. Azure, UDR'ler varsayılan yolları geçersiz kıldığı için eşlenen sanal ağa yönlendirmek yerine 10.1.0.1-10.1.255.254 ve 10.2.0.1-10.2.255.254 arasındaki adresleri hedefleyen trafiği bırakır. Yollar Subnet2 ile ilişkili olmadığından, yollar Subnet2'nin yol tablosunda görünmez. Yollar Subnet1’den ayrılan trafik için ID4 ve ID5 yollarını geçersiz kılar. ID6 ve ID7 yolları, diğer sanal ağı hedefleyen trafiği bırakmaya yönelik gereksinim 3’ü karşılar.
ID7: ID6 ile aynı açıklama.
ID8: Sanal ağ içinde BIR VPN türü sanal ağ geçidi oluşturulduğunda, Azure bu yolu Virtual-network-1 içindeki tüm alt ağlar için otomatik olarak ekledi. Azure, sanal ağ geçidinin genel IP adresini yol tablosuna eklemiştir. 10.10.0.1 ile 10.10.255.254 arasındaki herhangi bir adrese gönderilen trafik, sanal ağ geçidine yönlendirilir. Ön ek 0.0.0.0/0’dan daha uzundur ve başka bir yolun adres ön ekleri dahilinde değildir. Gereksinim 2’yi karşılamak için bir sanal ağ geçidi oluşturulmuştur.
ID9: Subnet1 ile ilişkili yol tablosuna 10.10.0.0/16 adres ön eki için bir UDR eklendiğinde Azure bu yolu ekledi. Bu yol ID8’i geçersiz kılar. Yol, şirket içi ağı hedefleyen tüm trafiği doğrudan şirket içine yönlendirmek yerine inceleme için bir ağ sanal aygıtına gönderir. Bu yol gereksinim 3’ü karşılamak amacıyla oluşturulmuştur.
ID10: Azure hizmeti için bir hizmet uç noktası alt ağ için etkinleştirildiğinde Azure bu yolu otomatik olarak alt ağa ekledi. Azure, trafiği Azure altyapı ağı üzerinden alt ağdan hizmetin genel IP adresine yönlendirir. Ön ek 0.0.0.0/0’dan daha uzundur ve başka bir yolun adres ön ekleri dahilinde değildir. Azure Depolama'yı hedefleyen trafiğin doğrudan Azure Depolama'ya akmasını sağlamak için gereksinim 3'e uygun bir hizmet uç noktası oluşturuldu.
ID11: Azure bu yolu Virtual-network-1 ve Virtual-network-2 içindeki tüm alt ağların yol tablosuna otomatik olarak ekledi. 0.0.0.0/0 adres ön eki en kısa ön ektir. Daha uzun bir adres ön ekindeki adrese gönderilen her türlü trafik, diğer yollara göre yönlendirilir.
Varsayılan olarak Azure, diğer yollardan birinde belirtilen adresler dışındaki adresleri hedefleyen tüm trafiği İnternet'e yönlendirir. Subnet1 alt ağına 0.0.0.0/0 adres ön eki (ID12) için bir UDR ilişkilendirildiğinde, Azure durumu otomatik olarak Etkin'den Geçersiz'e değiştirdi. Bu yolun durumu, her iki sanal ağ içindeki diğer tüm alt ağlar için hala Etkin durumdadır çünkü yol, diğer sanal ağların içindeki diğer alt ağlarla ilişkili değildir.
ID12: 0.0.0.0/0 adres ön eki için bir UDR Subnet1 alt ağıyla ilişkilendirildiğinde Azure bu yolu ekledi. UDR, sanal gerecin IP adresi olarak 10.0.100.4 belirtir. Bu yol Subnet2 ile ilişkilendirilmez, bu nedenle yol Subnet2 için yol tablosunda görünmez. Başka bir yolun adres ön eklerine dahil olmayan adreslere yönelik tüm trafik sanal gerece gönderilir.
Bu güzergahın eklenmesi, bir UDR'nin varsayılan yolu geçersiz kılması nedeniyle 0.0.0.0/0 adres ön eki (ID11) için varsayılan yolun durumunu Etkin yerine Geçersiz olarak Alt Ağ1 için değiştirdi. Bu yol gereksinim 3’ü karşılar.
Subnet2
Önceki diyagramda Subnet2 için yol tablosu aşağıdaki yolları içerir:
| Kaynak | Devlet | Adres ön ekleri | Sonraki atlama türü | Sonraki geçiş IP adresi |
|---|---|---|---|---|
| Varsayılan | Etkin | 10.0.0.0/16 | Sanal ağ | |
| Varsayılan | Etkin | 10.1.0.0/16 | Sanal ağ eşleme | |
| Varsayılan | Aktif | 10.2.0.0/16 | Sanal ağ eşleme | |
| Varsayılan | Aktif | 10.10.0.0/16 | Sanal ağ geçidi | [X.X.X.X] |
| Varsayılan | Etkin | 0.0.0.0/0 | İnternet | |
| Varsayılan | Etkin | 10.0.0.0/8 | Hiçbiri | |
| Varsayılan | Etkin | 100.64.0.0/10 | Hiçbiri | |
| Varsayılan | Etkin | 192.168.0.0/16 | Hiçbiri |
Subnet2 için yol tablosu, Azure tarafından oluşturulan tüm varsayılan yolları ve isteğe bağlı sanal ağ eşlemesi ile sanal ağ geçidi isteğe bağlı yollarını içerir. Sanal ağa ağ geçidi ve eşleme eklendiğinde Azure, sanal ağ içindeki tüm alt ağlara isteğe bağlı yollar eklemiştir.
Azure, 0.0.0.0/0 adres ön eki Subnet1'e eklendiğinde Subnet1 yol tablosundan 10.0.0.0/8, 192.168.0.0/16 ve 100.64.0.0/10 adres ön eklerinin yollarını kaldırdı.
İlgili içerik
- Yollar ve ağ sanal gereci içeren bir UDR tablosu oluşturun.
- Azure VPN Gateway için BGP'yi yapılandırın.
- ExpressRoute ile BGP kullanın.
- Bir alt ağ için tüm yolları görüntüleme. UDR tablosu size varsayılan değil yalnızca UDR'leri ve bir alt ağ için BGP yollarını gösterir. Tüm yolları görüntülemek, bir ağ arabiriminin bulunduğu alt ağ için varsayılan, BGP ve UDR'leri gösterir.
- Sanal makine ile hedef IP adresi arasında sonraki atlama türünü belirleyin. Azure Ağ İzleyicisi sonraki atlama özelliğini kullanarak trafiğin bir alt ağdan çıkıp çıkmadığını ve olması gerektiğini düşündüğünüz yere yönlendirilip yönlendirilmediğini belirleyebilirsiniz.