Aracılığıyla paylaş

Sanal WAN'da Özel Bağlantı kullanma

  • Makale

Azure Özel Bağlantı, Özel Uç Noktaları kullanıma sunarak özel IP adresi bağlantısını kullanarak Azure Hizmet Olarak Platform tekliflerine bağlanmanızı sağlayan bir teknolojidir. Azure Sanal WAN ile herhangi bir sanal hub'a bağlı sanal ağlardan birine Özel Uç Nokta dağıtabilirsiniz. Bu özel bağlantı, aynı Sanal WAN bağlı diğer tüm sanal ağlara veya dallara bağlantı sağlar.

Başlamadan önce

Bu makaledeki adımlarda, bir veya daha fazla hub'a ve Sanal WAN bağlı en az iki sanal ağa sahip bir sanal WAN dağıttığınız varsayılır.

Yeni bir sanal WAN ve yeni bir hub oluşturmak için aşağıdaki makalelerdeki adımları kullanın:

Azure'da Özel Uç Nokta bağlantısı durum bilgisi var. Sanal WAN aracılığıyla özel uç noktaya bağlantı kurulduğunda, trafik farklı Sanal WAN bileşenleri (örneğin Sanal Hub yönlendiricisi, ExpressRoute Ağ Geçidi, VPN Gateway, Azure Güvenlik Duvarı veya NVA) üzerinden bir veya daha fazla trafik atlamaları üzerinden yönlendirilir. Trafiğin aldığı atlamalar, Sanal WAN yönlendirme yapılandırmalarınızı temel alır. Arka planda Azure'ın yazılım tanımlı ağ katmanı, tek bir 5 tanımlama grubu akışıyla ilgili tüm paketleri farklı Sanal WAN bileşenlerine hizmet eden arka uç örneklerinden birine gönderir. Asimetrik olarak yönlendirilen trafik (örneğin, farklı arka uç örneklerine yönlendirilen tek bir 5 tanımlama grubu akışına karşılık gelen trafik) desteklenmez ve Azure platformu tarafından bırakılır.

Sanal WAN altyapısındaki bakım olayları sırasında arka uç örnekleri birer birer yeniden başlatılır ve bu da akışa geçici olarak hizmet veren örnek kullanılamadığı için Özel Uç Nokta'ya aralıklı bağlantı sorunlarına yol açabilir. Azure Güvenlik Duvarı veya Sanal hub yönlendiricisi ölçeği genişletildiğinde de benzer bir sorun oluşabilir. Aynı trafik akışı, şu anda akışa hizmet veren örnekten farklı olan yeni bir arka uç örneğine yük dengelemesi yapılabilir.

Bakım ve ölçeği genişletme olaylarının Özel Bağlantı veya Özel Uç Nokta trafiği üzerindeki etkisini azaltmak için aşağıdaki en iyi yöntemleri göz önünde bulundurun:

  • Şirket içi uygulamanızın TCP zaman aşımı değerini 15-30 saniye arasında olacak şekilde yapılandırın. Daha küçük bir TCP zaman aşımı değeri, uygulama trafiğinin bakım ve ölçeği genişletme olaylarından daha hızlı kurtarabilmesini sağlar. Alternatif olarak, gereksinimlerinize göre uygun bir zaman aşımı belirlemek için farklı uygulama zaman aşımı değerlerini test edin.
  • Otomatik ölçeklendirme olaylarının oluşmasını önlemek için trafik artışlarını işlemek için Sanal WAN bileşenlerini önceden ölçeklendirin. Sanal Hub yönlendiricisi için, trafik artışları sırasında ölçeklendirmeyi önlemek için hub yönlendiricinizde en düşük yönlendirme altyapısı birimlerini ayarlayabilirsiniz.

Son olarak, VPN veya ExpressRoute kullanarak Azure ile şirket içi arasında şirket içi bağlantı kullanıyorsanız, şirket içi cihazınızın özel uç nokta trafiğine karşılık gelen her 5 tanımlama grubu için sonraki atlama ile aynı VPN tünelini veya aynı Microsoft Enterprise Edge yönlendiricisini kullanacak şekilde yapılandırıldığından emin olun.

Özel bağlantı uç noktası oluşturma

Birçok farklı hizmet için özel bağlantı uç noktası oluşturabilirsiniz. Bu örnekte Azure SQL Veritabanı kullanıyoruz. Azure SQL Veritabanı için özel uç nokta oluşturma hakkında daha fazla bilgi için bkz. Hızlı Başlangıç: Azure portalını kullanarak Özel Uç Nokta Oluşturma. Aşağıdaki görüntüde Azure SQL Veritabanı ağ yapılandırması gösterilmektedir:

özel bağlantı oluşturma

Azure SQL Veritabanı oluşturduktan sonra özel uç nokta IP adresinin özel uç noktalarınıza göz atarak doğrulayabilirsiniz:

özel uç noktalar

Oluşturduğumuz özel uç noktaya tıkladığınızda, özel IP adresini ve Tam Etki Alanı Adını (FQDN) görmeniz gerekir. Özel uç noktanın sanal ağ aralığında bir IP adresi olmalıdır (10.1.3.0/24):

SQL uç noktası

Aynı sanal ağdan bağlantıyı doğrulama

Bu örnekte, MS SQL araçlarının yüklü olduğu bir Linux sanal makinesinden Azure SQL Veritabanı bağlantısını doğrulayacağız. İlk adım, DNS çözümlemesinin çalıştığını ve Azure SQL Veritabanı Tam Etki Alanı Adı'nın Özel Uç Noktanın dağıtıldığı aynı sanal ağda (10.1.3.0/24) bir özel IP adresine çözümlendiğini doğrulamaktır:

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Önceki çıkışta görebileceğiniz gibi FQDNwantest.database.windows.net, özel uç nokta boyunca oluşturulan özel DNS bölgesinin özel IP adresine 10.1.3.228çözümlenebileceği ile eşlenirwantest.privatelink.database.windows.net. Özel DNS bölgesine bakmak, özel IP adresine eşlenen özel uç nokta için bir A kaydı olduğunu onaylar:

DNS bölgesi

Doğru DNS çözümlemesini doğruladıktan sonra veritabanına bağlanmayı deneyebiliriz:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Gördüğünüz gibi, SQL sunucusunun istemciden gördüğü kaynak IP adresini sağlayan özel bir SQL sorgusu kullanıyoruz. Bu durumda sunucu istemciyi özel IP'siyle ()10.1.3.75 görür; bu da trafiğin sanal ağdan doğrudan özel uç noktaya gittiği anlamına gelir.

Bu kılavuzdaki örneklerin çalışması için ve password değişkenlerini username Azure SQL Veritabanı tanımlanan kimlik bilgileriyle eşleşecek şekilde ayarlayın.

Farklı bir sanal ağdan bağlanma

Azure Sanal WAN'daki bir sanal ağın özel uç noktaya bağlantısı olduğuna göre, Sanal WAN bağlı diğer tüm sanal ağlar ve dallar da buna erişebilir. İki örneği adlandırmak için Herhangi bir senaryo veya Paylaşılan Hizmetler sanal ağı senaryosu gibi Azure Sanal WAN tarafından desteklenen modellerden herhangi biri aracılığıyla bağlantı sağlamanız gerekir.

Sanal ağ veya dal ile özel uç noktanın dağıtıldığı sanal ağ arasında bağlantınız olduğunda DNS çözümlemesini yapılandırmanız gerekir:

  • Bir sanal ağdan özel uç noktaya bağlanıyorsanız, Azure SQL Veritabanı ile oluşturulan özel bölgeyi kullanabilirsiniz.
  • Özel uç noktaya bir daldan (Siteden siteye VPN, Noktadan siteye VPN veya ExpressRoute) bağlanıyorsanız, şirket içi DNS çözümlemesi kullanmanız gerekir.

Bu örnekte farklı bir sanal ağdan bağlanıyoruz. İş yüklerinin Azure SQL Veritabanı Tam Etki Alanı Adını özel IP adresine çözümleyebilmesi için önce özel DNS bölgesini yeni sanal ağa ekleyin. Bu işlem, özel DNS bölgesini yeni sanal ağa bağlayarak yapılır:

DNS bağlantısı

Artık ekli sanal ağdaki herhangi bir sanal makine, Azure SQL Veritabanı FQDN'sini özel bağlantının özel IP adresine doğru şekilde çözümlemelidir:

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Bu sanal ağın (10.1.1.0/24) özel uç noktanın yapılandırıldığı özgün sanal ağa (10.1.3.0/24) bağlantısı olup olmadığını bir kez daha denetlemek için, VNet'teki herhangi bir sanal makinede etkin yol tablosunu doğrulayabilirsiniz:

geçerli yollar

Gördüğünüz gibi Azure Sanal WAN'deki Sanal Ağ Ağ Geçitleri tarafından eklenen VNet 10.1.3.0/24'e işaret eden bir yol vardır. Şimdi veritabanına bağlantıyı test edebiliriz:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

Bu örnekte, bir Sanal WAN bağlı sanal ağlardan birinde özel uç nokta oluşturmanın Sanal WAN kalan sanal ağlara ve dallara nasıl bağlantı sağladığını gördük.

Sonraki adımlar

Sanal WAN hakkında daha fazla bilgi için bkz. SSS.