Azure Sanal WAN hub'ında Ağ Sanal Gereci oluşturma
Bu makalede, Azure Sanal WAN hub'ında Tümleşik Ağ Sanal Gereci 'nin (NVA) nasıl dağıtılacağı gösterilmektedir.
Background
Sanal WAN hub'ına dağıtılan NVA'lar genellikle üç kategoriye ayrılır:
- Bağlantı gereçleri: Şirket içinden VPN ve SD-WAN bağlantılarını sonlandırmak için kullanılır. Bağlantı gereçleri, Sanal WAN hub'ı ile yolları değiştirmek için Sınır Ağ Geçidi Protokolü(BGP) kullanır.
- Yeni Nesil Güvenlik Duvarı (NGFW) gereçleri: Sanal WAN hub'ını geçen trafik için kabloda darbe denetimi sağlamak üzere Yönlendirme Amacı ile birlikte kullanılır.
- Çift rollü bağlantı ve Güvenlik duvarı gereçleri: Hem şirket içi cihazları Azure'a bağlayan hem de yönlendirme amacı ile Sanal WAN hub'ına geçen trafiği inceleyen tek cihaz.
Sanal WAN hub'ında dağıtılabilir NVA'ların listesi ve bunların ilgili özellikleri için bkz. NVA iş ortaklarını Sanal WAN.
Dağıtım Mekanizmaları
Ağ Sanal Gereçleri birkaç farklı iş akışı aracılığıyla dağıtılabilir. Farklı Ağ Sanal Gereci iş ortakları farklı dağıtım mekanizmalarını destekler. Tüm Sanal WAN tümleştirilmiş NVA iş ortakları, Azure Market Yönetilen Uygulama iş akışını destekler. Diğer dağıtım yöntemleri hakkında bilgi için NVA sağlayıcınızın belgelerine başvurun.
- Azure Market Yönetilen Uygulama: Tüm Sanal WAN NVA iş ortakları, Sanal WAN hub'ına Tümleşik NVA'ları dağıtmak için Azure Yönetilen Uygulamaları kullanır. Azure Yönetilen Uygulamalar, NVA sağlayıcısı tarafından oluşturulan bir Azure portalı deneyimi aracılığıyla NVA'ları Sanal WAN hub'ına dağıtmanın kolay bir yolunu sunar. Azure portalı deneyimi, NVA'nın dağıtılması ve önyüklenmesini sağlamak için gereken kritik dağıtım ve yapılandırma parametrelerini toplar. Azure Yönetilen Uygulamalar hakkında daha fazla bilgi için Yönetilen Uygulama belgelerine bakın. Azure Yönetilen Uygulaması aracılığıyla tam dağıtım iş akışıyla ilgili sağlayıcınızın belgelerine başvurun.
- NVA düzenleyici dağıtımları: Bazı NVA iş ortakları NVA'ları doğrudan NVA düzenleme veya yönetim yazılımından Hub'a dağıtmanıza olanak sağlar. NVA düzenleme yazılımlarından gelen NVA dağıtımları genellikle NVA düzenleme yazılımına bir Azure hizmet sorumlusu sağlamanızı gerektirir. Azure hizmet sorumlusu, NVA düzenleme yazılımı tarafından hub'da NVA'ları dağıtmak ve yönetmek üzere Azure API'leriyle etkileşime geçmek için kullanılır. Bu iş akışı NVA sağlayıcısının uygulamasına özgüdür. Daha fazla bilgi için sağlayıcınıza başvurun.
- Diğer dağıtım mekanizmaları: NVA iş ortakları hub'da ARM şablonları ve Terraform gibi NVA'ları dağıtmak için başka mekanizmalar da sunabilir. Desteklenen diğer dağıtım mekanizmaları hakkında daha fazla bilgi için sağlayıcınıza başvurun.
Önkoşullar
Aşağıdaki öğreticide, en az bir Sanal WAN hub'ı olan bir Sanal WAN kaynağı dağıttığınız varsayılır. Öğreticide Azure Market Yönetilen Uygulama aracılığıyla NVA'ları dağıttığınız da varsayılır.
Gerekli İzinler
Ağ Sanal Gereci'ni Sanal WAN Hub'ına dağıtmak için, NVA'yı oluşturan ve yöneten kullanıcı veya hizmet sorumlusunun en azından aşağıdaki izinlere sahip olması gerekir:
- Microsoft.Network/virtualHubs/NVA'nın dağıtıldığı Sanal WAN hub'ını okuyun.
- NVA'nın dağıtıldığı kaynak grubu üzerinden Microsoft.Network/networkVirtualAppliances/write.
- İnternet Gelen kullanım örnekleri için Ağ Sanal Gereci ile dağıtılan genel IP adresi kaynakları üzerinden Microsoft.Network/publicIpAddresses/join.
Dağıtımların başarılı olmasını sağlamak için Azure Market Yönetilen Uygulamaya bu izinlerin verilmesi gerekir. NVA iş ortağınız tarafından geliştirilen dağıtım iş akışının uygulanmasına bağlı olarak başka izinler gerekebilir.
Azure Yönetilen Uygulamasına İzin Atama
Azure Market Yönetilen Uygulama aracılığıyla dağıtılan Ağ Sanal Gereçleri, Azure kiracınızdaki yönetilen kaynak grubu adlı özel bir kaynak grubuna dağıtılır. Aboneliğinizde bir Yönetilen Uygulama oluşturduğunuzda, aboneliğinizde buna karşılık gelen ve ayrı bir yönetilen kaynak grubu oluşturulur. Yönetilen Uygulama tarafından oluşturulan tüm Azure kaynakları (Ağ Sanal Gereci dahil) yönetilen kaynak grubuna dağıtılır.
Azure Market, yönetilen kaynak grubuna kaynak dağıtımını gerçekleştiren birinci taraf bir hizmet sorumlusuna sahip. Bu birinci taraf sorumlusunun yönetilen kaynak grubunda kaynak oluşturma izinleri vardır, ancak yönetilen kaynak grubunun dışında Azure kaynaklarını okuma, güncelleştirme veya oluşturma izinleri yoktur.
NVA dağıtımınızın yeterli izin düzeyiyle gerçekleştirildiğinden emin olmak için, Yönetilen Uygulamanızı Ağ Sanal Gereci ile kullanmak istediğiniz Sanal WAN hub'ı ve genel IP adresi üzerinde izinleri olan kullanıcı tarafından atanan yönetilen bir kimlikle dağıtarak Azure Market dağıtım hizmet sorumlusuna ek izinler verin. Kullanıcı tarafından atanan bu Yönetilen Kimlik yalnızca yönetilen kaynak grubundaki kaynakların ilk dağıtımı için kullanılır ve yalnızca bu Yönetilen Uygulama dağıtımı bağlamında kullanılır.
Not
Sanal WAN Hub'ında Ağ Sanal Gereçleri dağıtmak için Azure Yönetilen Uygulamalarına yalnızca kullanıcı tarafından atanan sistem kimlikleri atanabilir. Sistem tarafından atanan kimlikler desteklenmez.
- Kullanıcı tarafından atanan yeni bir kimlik oluşturun. Kullanıcı tarafından atanan yeni kimlikler oluşturma adımları için yönetilen kimlik belgelerine bakın. Ayrıca, kullanıcı tarafından atanan mevcut bir kimliği de kullanabilirsiniz.
- Kullanıcı tarafından atanan kimliğinize, NVA sağlayıcınızın gerektirdiği izinlerle birlikte Gerekli İzinler bölümünde açıklanan izinlere en az sahip olacak izinler atayın. Kullanıcı tarafından atanan kimliğe, gerekli izinlerin üst kümesini içeren Ağ Katkıda Bulunanı gibi yerleşik bir Azure rolü de verebilirsiniz.
Alternatif olarak, aşağıdaki örnek tanımıyla özel bir rol oluşturabilir ve özel rolü kullanıcı tarafından atanan yönetilen kimliğinize atayabilirsiniz.
{
"Name": "Virtual WAN NVA Operator",
"IsCustom": true,
"Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
"Actions": [
"Microsoft.Network/virtualHubs/read",
"Microsoft.Network/publicIPAddresses/join",
"Microsoft.Network/networkVirtualAppliances/*",
"Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
"/subscriptions/{subscription where Public IP used for NVA is deployed}",
]
}
NVA'nın dağıtımı
Aşağıdaki bölümde, Yönetilen Uygulama'Azure Market kullanarak Sanal WAN hub'ına ağ sanal gereci dağıtmak için gereken adımlar açıklanmaktadır.
- Sanal WAN hub'ınıza gidin ve Üçüncü taraf sağlayıcılar'ın altında Ağ Sanal Gereci'yi seçin.
- Ağ sanal gereci oluştur'u seçin.
- NVA satıcısını seçin. Bu örnekte "fortinet-ngfw" seçilidir ve Oluştur'u seçin. Bu noktada, NVA iş ortağının Azure Market yönetilen uygulamasına yönlendirilirsiniz.
- NVA'nızı dağıtmak ve sağlayıcınızın belgelerine başvurmak için yönetilen uygulama oluşturma deneyimini izleyin. Önceki bölümde oluşturulan kullanıcı tarafından atanan sistem kimliğinin yönetilen uygulama oluşturma iş akışının bir parçası olarak seçildiğinden emin olun.
Yaygın Dağıtım Hataları
İzin hataları
Not
LinkedAuthorizationFailed ile ilişkili hata iletisi yalnızca bir eksik izin görüntüler. Sonuç olarak, hizmet sorumlunuza, yönetilen kimliğinize veya kullanıcınıza atanan izinleri güncelleştirdikten sonra farklı bir eksik izin görebilirsiniz.
- LinkedAuthorizationFailed hata koduna sahip bir hata iletisi görürseniz, Yönetilen Uygulama dağıtımının bir parçası olarak sağlanan kullanıcı tarafından atanan kimlik uygun izinlere sahip değildi. Eksik olan tam izinler hata iletisinde açıklanmıştır. Aşağıdaki örnekte, kullanıcı tarafından atanan yönetilen kimliğin, NVA'yı dağıtmaya çalıştığınız Sanal WAN hub'ı üzerinde OKUMA izinlerine sahip olup olmadığını bir kez daha denetleyin.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials
Sonraki adımlar
- Sanal WAN hakkında daha fazla bilgi edinmek için bkz. Sanal WAN nedir?
- Sanal WAN hub'ında NVA'lar hakkında daha fazla bilgi edinmek için bkz. Sanal WAN hub'ında Ağ Sanal Gereci Hakkında.