Sanal WAN tüm genel dağıtımlarınızı toplamanıza, bağlanmanıza, merkezi olarak yönetmenize ve güvenliğini sağlamanıza olanak tanır. Genel dağıtımlarınız farklı dalların, İletişim Noktasının (PoP), özel kullanıcıların, ofislerin, Azure sanal ağlarının ve diğer çok bulutlu dağıtımların birleşimlerini içerebilir. Farklı sitelerinizi bir sanal hub'a bağlamak için SD-WAN, siteden siteye VPN, noktadan siteye VPN ve ExpressRoute kullanabilirsiniz. Birden çok sanal hub'larınız varsa, standart bir Sanal WAN dağıtımında tüm hub'lar tam ağ içinde bağlanır.
Bu makalede, olağanüstü durum kurtarma için Sanal WAN desteklenen farklı hizmet olarak ağ bağlantı seçeneklerinin mimarisini nasıl oluşturacaklarını inceleyelim.
Sanal WAN hizmet olarak ağ bağlantı seçenekleri
Sanal WAN aşağıdaki arka uç bağlantı seçeneklerini destekler:
Uzak kullanıcı bağlantısı
Branch/Office/SD-WAN/Siteden siteye VPN
Özel bağlantı (ExpressRoute özel eşleme)
bu bağlantı seçeneklerinin her biri için Sanal WAN bir sanal hub içinde ayrı ağ geçidi örnekleri kümesi dağıtır.
doğal olarak, Sanal WAN taşıyıcı sınıfı yüksek kullanılabilir ağ toplama çözümü sunmak için tasarlanmıştır. Yüksek kullanılabilirlik için Sanal WAN, bu farklı ağ geçidi türlerinin her biri bir Sanal WAN hub'ına dağıtıldığında birden çok örneğin örneğini oluşturur. ExpressRoute yüksek kullanılabilirliği hakkında daha fazla bilgi edinmek için bkz . ExpressRoute ile yüksek kullanılabilirlik için tasarlama.
Noktadan siteye VPN ağ geçidiyle, dağıtılan örnek sayısı en az ikidir. Noktadan siteye VPN ağ geçidi ile noktadan siteye ağ geçitlerinin toplam aktarım hızı kapasitesini seçersiniz ve birden çok örnek sizin için otomatik olarak sağlanır. Sanal hub'a bağlanmayı planladığınız istemci veya kullanıcı sayısına göre toplam kapasiteyi seçersiniz. İstemci bağlantısı açısından bakıldığında noktadan siteye VPN ağ geçidi örnekleri, ağ geçidinin Tam Etki Alanı Adı'nın (FQDN) arkasına gizlenir.
Siteden siteye VPN ağ geçidi için ağ geçidinin iki örneği bir sanal hub içinde dağıtılır. Ağ geçidi örneğinin her biri kendi genel ve özel IP adresleri kümesiyle dağıtılır. İki örnek, dallarınızdan siteden siteye VPN bağlantısı kurmak için iki bağımsız tünel uç noktası sağlar. Yüksek kullanılabilirliği en üst düzeye çıkarmak için bkz . Birden çok ISS bağlantısında Azure yolu seçimi.
Ağ mimarinizin yüksek kullanılabilirliğini en üst düzeye çıkarmak, İş Sürekliliği ve Olağanüstü Durum Kurtarma (BCDR) için önemli bir ilk adımdır. Bu makalenin geri kalanında, daha önce de belirtildiği gibi, yüksek kullanılabilirlik düzeyinin ötesine geçelim ve BCDR için Sanal WAN bağlantı ağınızın mimarisini nasıl tasarlayabilirsiniz?
Olağanüstü durum kurtarma tasarımı gereksinimi
Olağanüstü durum her an, her yerde olabilir. Olağanüstü durum bulut sağlayıcısı bölgelerinde veya ağında, hizmet sağlayıcısı ağında veya şirket içi ağda oluşabilir. Doğal felaket, insan hataları, savaş, terörizm, yanlış yapılandırma gibi belirli faktörlerden dolayı bulut veya ağ hizmetinin bölgesel etkisini eleme zordur. Bu nedenle, iş açısından kritik uygulamalarınızın sürekliliği için olağanüstü durum kurtarma tasarımına sahip olmanız gerekir. Kapsamlı bir olağanüstü durum kurtarma tasarımı için, uçtan uca iletişim yolunuzda başarısız olabilecek tüm bağımlılıkları tanımlamanız ve bağımlılığın her biri için çakışmayan yedeklilik oluşturmanız gerekir.
Görev açısından kritik uygulamalarınızı bir Azure bölgesinde, şirket içinde veya başka bir yerde çalıştırmanızdan bağımsız olarak, yük devretme siteniz olarak başka bir Azure bölgesini kullanabilirsiniz. Aşağıdaki makaleler uygulamalardan ve ön uç erişim perspektiflerinden olağanüstü durum kurtarmayı ele alır:
Aynı ağ kümesini birden fazla bağlantı kullanarak birbirine bağladığınızda, ağlar arasında paralel yollar eklersiniz. Paralel yollar, düzgün bir şekilde tasarlanmadığında asimetrik yönlendirmeye yol açabilir. Yolda durum bilgisi olan varlıklarınız (nat, güvenlik duvarı gibi) varsa, asimetrik yönlendirme trafik akışını engelleyebilir. Genellikle, özel bağlantı üzerinden NAT veya Güvenlik Duvarları gibi durum bilgisi olan varlıklara sahip olmaz veya bu varlıklarla karşılaşmazsınız. Bu nedenle, özel bağlantı üzerinden asimetrik yönlendirme, trafik akışını mutlaka engellemez.
Ancak coğrafi olarak yedekli paralel yollarda trafiğin yükünü dengelerseniz, paralel bağlantıların fiziksel yolundaki fark nedeniyle tutarsız ağ performansıyla karşılaşırsınız. Bu nedenle hem kararlı durum (hata olmayan durum) sırasında hem de olağanüstü durum kurtarma tasarımımızın bir parçası olarak hata durumu sırasında ağ trafiği performansını göz önünde bulundurmamız gerekir.
Ağ yedekliliğine erişme
Çoğu SD-WAN hizmeti (yönetilen çözümler veya başka bir şekilde), birden çok aktarım türü (örneğin, İnternet geniş bant, MPLS, LTE) aracılığıyla ağ bağlantısı sağlar. Aktarım ağı hatalarına karşı koruma sağlamak için birden fazla aktarım ağı üzerinden bağlantıyı seçin. Bir ev kullanıcısı senaryosunda, mobil ağı geniş bant ağ bağlantısı için bir yedekleme olarak kullanmayı düşünebilirsiniz.
Farklı aktarım türü üzerinden ağ bağlantısı mümkün değilse, birden fazla hizmet sağlayıcısı üzerinden ağ bağlantısını seçin. Birden fazla hizmet sağlayıcısı üzerinden bağlantı alıyorsanız, hizmet sağlayıcılarının çakışan olmayan bağımsız erişim ağlarını koruduğundan emin olun.
Uzak kullanıcı bağlantısıyla ilgili dikkat edilmesi gerekenler
Uzak kullanıcı bağlantısı, bir uç cihaz ile bir ağ arasında noktadan siteye VPN kullanılarak kurulur. Bir ağ hatasının ardından, son cihaz açılır ve VPN tünelini yeniden kurmaya çalışır. Bu nedenle noktadan siteye VPN için olağanüstü durum kurtarma tasarımınız bir hatadan sonra kurtarma süresini en aza indirmeyi hedeflemelidir. Aşağıdaki ağ yedekliliği kurtarma süresini en aza indirmeye yardımcı olabilir. Bağlantıların ne kadar kritik olduğunu bağlı olarak, bu seçeneklerin bazılarını veya tümünü seçebilirsiniz.
Ağ yedekliliğine erişme (yukarıda açıklandı).
Noktadan siteye VPN sonlandırma için yedekli sanal hub'ı yönetme. Noktadan siteye ağ geçitlerine sahip birden çok sanal hub'ına sahip olduğunuzda VWAN, noktadan siteye tüm uç noktaları listeleyen genel profil sağlar. Genel profille, son cihazlarınız en iyi ağ performansını sunan kullanılabilir en yakın sanal hub'a bağlanabilir. Tüm Azure dağıtımlarınız tek bir bölgedeyse ve bağlanan son cihazlar bölgeye yakınsa, bölge içinde yedekli sanal hub'larınız olabilir. Dağıtımınız ve son cihazlarınız birden çok bölgeye yayılmışsa, seçtiğiniz her bölgede noktadan siteye ağ geçidi ile sanal hub dağıtabilirsiniz. Sanal WAN, uzak kullanıcı bağlantısı için otomatik olarak en iyi hub'ı seçen yerleşik bir trafik yöneticisine sahiptir.
Aşağıdaki diyagramda, bir bölgede ilgili noktadan siteye ağ geçidiyle yedekli sanal hub'ı yönetme kavramı gösterilmektedir.
Yukarıdaki diyagramda, düz yeşil çizgiler birincil noktadan siteye VPN bağlantılarını, noktalı sarı çizgiler ise stand-by yedekleme bağlantılarını gösterir. VWAN noktadan siteye genel profili, ağ performansına göre birincil ve yedekleme bağlantılarını seçer. Genel profille ilgili daha fazla bilgi için bkz . Kullanıcı VPN istemcileri için genel profil indirme.
Siteden siteye VPN ile ilgili dikkat edilmesi gerekenler
Tartışmamız için aşağıdaki diyagramda gösterilen siteden siteye VPN bağlantısını ele alalım. Yüksek kullanılabilir etkin-etkin tünellerle siteden siteye VPN bağlantısı kurmak için bkz. Öğretici: Azure Sanal WAN kullanarak Siteden Siteye bağlantı oluşturma.
Not
bölümünde açıklanan kavramları kolayca anlamak için, yapılandırdığınız her VPN bağlantısı için iki farklı uç noktaya iki tünel oluşturmanıza olanak tanıyan siteden siteye VPN ağ geçidinin yüksek kullanılabilirlik özelliğinin tartışmasını tekrarlayacağız. Ancak, bölümünde önerilen mimarilerden herhangi birini dağıtırken, oluşturduğunuz her bağlantı için iki tünel yapılandırmayı unutmayın.
Çok bağlantılı topoloji
Bir şube sitesinde VPN Müşteri Şirket İçi Donanım (CPE) hatalarına karşı koruma sağlamak için, şube sitesindeki paralel CPE cihazlarından bir VPN ağ geçidine paralel VPN bağlantıları yapılandırabilirsiniz. Şube ofisinde son kilometre hizmet sağlayıcısının ağ hatalarına karşı koruma sağlamak için farklı hizmet sağlayıcısı ağı üzerinden farklı VPN bağlantıları yapılandırabilirsiniz. Aşağıdaki diyagramda, aynı VPN ağ geçidinde sonlandıran bir dal sitesinin iki farklı CPE'sinden kaynaklanan birden çok VPN bağlantısı gösterilmektedir.
Sanal merkez VPN ağ geçidinden bir dal sitesine en çok dört bağlantı yapılandırabilirsiniz. Bir dal sitesine bağlantı yapılandırırken, bağlantıyla ilişkili hizmet sağlayıcısını ve aktarım hızınızı belirleyebilirsiniz. Bir dal sitesi ile sanal hub arasında paralel bağlantılar yapılandırdığınızda, VPN ağ geçidi varsayılan olarak paralel bağlantılar arasında trafiğin yükünü dengeler. Trafiğin yük dengelemesi akış başına Eşit Maliyetli Çoklu Yol'a (ECMP) göre olacaktır.
Çok merkezli çoklu bağlantı topolojisi
Çok bağlantılı topoloji, CPE cihaz hatalarına ve şirket içi dal konumundaki bir hizmet sağlayıcısı ağ hatasına karşı koruma sağlar. Ayrıca, bir sanal hub VPN ağ geçidinin kapalı kalma süresine karşı koruma sağlamak için çok merkezli çoklu bağlantı topolojisi yardımcı olabilir. Aşağıdaki diyagramda, birden çok sanal hub'ın bir bölge içindeki Sanal WAN örneği altında yapılandırıldığı topoloji gösterilmektedir:
Yukarıdaki topolojide, hub'lar arasındaki bağlantı üzerinde Azure bölgesi içi gecikme süresi önemsiz olduğundan, uç sanal ağlarını hub'lara yayarak şirket içi ile iki sanal merkez arasındaki siteden siteye VPN bağlantılarını etkin-etkin durumda kullanabilirsiniz. Topolojide, varsayılan olarak şirket içi ve uç sanal ağı arasındaki trafik, sabit durum sırasında uç sanal ağının bağlı olduğu sanal hub'dan doğrudan geçer ve başka bir sanal hub'ı yalnızca hata durumunda yedek olarak kullanır. Doğrudan bağlı hub tarafından tanıtılan BGP yollarının yedekleme hub'ına kıyasla daha kısa AS yolu olacağından trafik doğrudan bağlı hub'dan sabit durumda geçiş yapar.
Çok merkezli çok bağlantılı topoloji, hata senaryolarının çoğuna karşı iş sürekliliğini korur ve sağlar. Ancak, yıkıcı bir hata tüm Azure bölgesini çökertirse, hataya dayanabilmek için 'çok bölgeli çoklu bağlantı topolojisi' gerekir.
Çok bölgeli çok bağlantılı topoloji
Çok bölgeli çoklu bağlantı topolojisi, daha önce ele aldığımız çok merkezli çoklu bağlantı topolojisi tarafından sunulan korumalara ek olarak tüm bölgenin yıkıcı bir hatasına bile karşı koruma sağlar. Aşağıdaki diyagramda çok bölgeli çok bağlantılı topoloji gösterilmektedir. Farklı bölgedeki sanal hub'lar aynı Sanal WAN örneği altında yapılandırılabilir.
Trafik mühendisliği açısından bakıldığında, bir bölgede yedekli hub'lara sahip olmak ile yedekleme hub'ının farklı bir bölgede olması arasındaki önemli bir farkı dikkate almanız gerekir. Aralarındaki fark, birincil ve ikincil bölgeler arasındaki fiziksel uzaklıktan kaynaklanan gecikme süresidir. Bu nedenle, sürekli durum hizmet kaynaklarınızı dalınıza/son kullanıcılarınıza en yakın bölgede dağıtmak ve uzak bölgeyi yalnızca yedekleme için kullanmak isteyebilirsiniz.
Şirket içi dal konumlarınız iki veya daha fazla Azure bölgesine yayılmışsa, çok bölgeli çoklu bağlantı topolojisi yükün yayılmasında ve kararlı durumda daha iyi bir ağ deneyimi elde edilmesinde daha etkili olacaktır. Aşağıdaki diyagramda, farklı bölgelerdeki dallarla çok bölgeli çok bağlantılı topoloji gösterilmektedir. Bu gibi senaryolarda topoloji ayrıca etkili İş Sürekliliği Olağanüstü Durum Kurtarma (BCDR) sağlar.
ExpressRoute ile ilgili dikkat edilmesi gerekenler
ExpressRoute özel eşlemesi için olağanüstü durum kurtarma konuları ExpressRoute özel eşlemesi ile olağanüstü durum kurtarma için tasarlama bölümünde ele alınmalıdır. Makalede belirtildiği gibi, bu makalede açıklanan kavramlar bir sanal hub içinde oluşturulan ExpressRoute ağ geçitleri için de aynı şekilde geçerlidir. Aşağıdaki diyagramda gösterildiği gibi, bölge içinde yedekli bir sanal hub kullanmak, Küçük ve orta ölçekli şirket içi ağ konuları için önerilen tek topoloji geliştirmesidir.
Yukarıdaki diyagramda ExpressRoute 2, bölge içindeki ikinci bir sanal hub içindeki ayrı bir ExpressRoute ağ geçidinde sonlandırılır.
Sonraki adımlar
Bu makalede Sanal WAN olağanüstü durum kurtarma tasarımı hakkında konuştuk. Aşağıdaki makaleler uygulamalardan ve ön uç erişim perspektiflerinden olağanüstü durum kurtarmayı ele alır:
Sanal WAN noktadan siteye bağlantı oluşturmak için bkz. Öğretici: Azure Sanal WAN kullanarak Kullanıcı VPN bağlantısı oluşturma. Sanal WAN için siteden siteye bağlantı oluşturmak için bkz. Öğretici: Azure Sanal WAN kullanarak Siteden Siteye bağlantı oluşturma. ExpressRoute bağlantı hattını Sanal WAN ilişkilendirmek için bkz. Öğretici: Azure Sanal WAN kullanarak ExpressRoute ilişkilendirmesi oluşturma.
Microsoft Azure Virtual Desktop is a cloud service that helps you give users a secure remote desktop that they can use anywhere. With Azure Virtual Desktop, you can plan appropriate business continuity and disaster recovery (BCDR) strategies to help protect against both unplanned and planned failures and to provide redundancy.
