Azure Sanal WAN’a geçiş

Azure Sanal WAN, şirketlerin Microsoft küresel ağının ölçeğinden yararlanmak için küresel bağlantılarını basitleştirmesine olanak tanır. Bu makalede, mevcut müşteri tarafından yönetilen merkez-uç topolojisinden Microsoft tarafından yönetilen Sanal WAN merkezlerinden yararlanan bir tasarıma geçmek isteyen şirketler için teknik ayrıntılar sağlanır.

Azure Sanal WAN'ın bulut merkezli modern kurumsal küresel ağı benimseyen kuruluşlar için sağladığı avantajlar hakkında bilgi için bkz. Genel geçiş ağı mimarisi ve Sanal WAN.

Şekli: Azure Sanal WAN

Azure merkez-uç bağlantı modeli, basit ve ölçeklenebilir bulut ağları oluşturmak için Azure Ağı'nın varsayılan geçişli yönlendirme davranışından yararlanmak üzere binlerce müşterimiz tarafından benimsenmiştir. Azure Sanal WAN bu kavramları temel alır ve yalnızca şirket içi konumlar ile Azure arasında değil, aynı zamanda müşterilerin mevcut küresel ağlarını artırmak için Microsoft ağının ölçeğinden yararlanmasına olanak sağlayan genel bağlantı topolojilerine olanak sağlayan yeni özellikler sunar.

Bu makalede, mevcut müşteri tarafından yönetilen merkez-uç ortamını Azure Sanal WAN temel alan bir topolojiye geçirme işlemi gösterilmektedir.

Senaryo

Contoso, hem Avrupa hem de Asya'da ofisleri olan küresel bir finans kuruluşudur. Şirket içindeki bir şirket içi veri merkezinden Azure'a mevcut uygulamalarını taşımayı planlıyorlar ve karma bağlantı için bölgesel merkez sanal ağları da dahil olmak üzere müşteri tarafından yönetilen merkez-uç mimarisini temel alan bir temel tasarım oluşturmuluyor. Bulut tabanlı teknolojilere geçişin bir parçası olarak ağ ekibine, bağlantıların işletmenin ilerlemesi için en iyi duruma getirildiğinden emin olmak görevi verildi.

Aşağıdaki şekilde, birden çok Azure bölgesine bağlantı dahil olmak üzere mevcut genel ağın üst düzey bir görünümü gösterilmektedir.

Şekil: Contoso mevcut ağ topolojisi

Mevcut ağ topolojisinden aşağıdaki noktalar anlaşılabilir:

• Merkez-uç topolojisi, ortak bir özel Geniş Alan Ağına (WAN) geri bağlantı için ExpressRoute bağlantı hatları dahil olmak üzere birden çok bölgede kullanılır.

• Bu sitelerden bazıları, bulutta barındırılan uygulamalara ulaşmak için doğrudan Azure'da VPN tünellerine de sahiptir.

Gereksinimler

Ağ ekibi, Contoso'nun buluta geçişini destekleyebilecek ve maliyet, ölçek ve performans alanlarında iyileştirme yapması gereken küresel bir ağ modeli sunmakla görevlendirildi. Özetle, aşağıdaki gereksinimlerin karşılanması gerekir:

• Hem baş çeyrek (HQ) hem de şube ofislerine bulutta barındırılan uygulamalara yönelik iyileştirilmiş yol sağlayın.
• Aşağıdaki bağlantı yollarını korurken VPN sonlandırma için mevcut şirket içi veri merkezlerine (DC) olan dayanıklılığı kaldırın:
  • Daldan sanal ağa: VPN bağlantılı ofislerin yerel Azure bölgesindeki buluta geçirilen uygulamalara erişebilmesi gerekir.
  • Merkezden Hub'a: VPN bağlantılı ofislerin uzak Azure bölgesindeki buluta geçirilen uygulamalara erişebilmesi gerekir.
  • Daldan dala: Bölgesel VPN bağlantılı ofislerin birbiriyle ve ExpressRoute bağlantılı HQ/DC siteleriyle iletişim kurabilmesi gerekir.
  • Şubeden Hub'a: Küresel olarak ayrılmış VPN bağlantılı ofislerin birbirleriyle ve ExpressRoute bağlantılı HQ/DC siteleriyle iletişim kurabilmesi gerekir.
  • Daldan İnternete: Bağlı sitelerin İnternet ile iletişim kurabilmesi gerekir. Bu trafik filtrelenmeli ve günlüğe kaydedilmelidir.
  • Sanal Ağdan Sanal Ağa: Aynı bölgedeki uç sanal ağların birbiriyle iletişim kurabilmesi gerekir.
  • Sanal Ağdan Hub'a: Farklı bölgelerdeki uç sanal ağların birbiriyle iletişim kurabilmesi gerekir.
• Contoso dolaşım kullanıcılarının (dizüstü bilgisayar ve telefon) şirket ağında değil de şirket kaynaklarına erişmesini sağlayın.

Azure Sanal WAN mimarisi

Aşağıdaki şekilde, önceki bölümde ayrıntılarıyla belirtilen gereksinimleri karşılamak için Azure Sanal WAN kullanılarak güncelleştirilmiş hedef topolojinin üst düzey bir görünümü gösterilmektedir.

Şekil: Azure Sanal WAN mimarisi

Özet:

• Avrupa'daki HQ, ExpressRoute bağlı kalır, Avrupa şirket içi DC tamamen Azure'a geçirilir ve şimdi kullanımdan alınır.
• Asya DC ve HQ, Özel WAN'a bağlı kalır. Azure Sanal WAN artık yerel operatör ağını artırmak ve genel bağlantı sağlamak için kullanılıyor.
• Azure Sanal WAN merkezleri, ExpressRoute ve VPN bağlantılı cihazlar için bağlantı hub'ı sağlamak üzere hem Batı Avrupa hem de Güneydoğu Asya Azure bölgelerinde dağıtılır.
• Hub'lar ayrıca genel ağ ağına OpenVPN bağlantısı kullanarak birden çok istemci türündeki gezici kullanıcılar için VPN sonlandırması sağlayarak yalnızca Azure'a geçirilen uygulamalara değil, şirket içinde kalan tüm kaynaklara da erişim sağlar.
• Azure Sanal WAN tarafından sağlanan sanal ağ içindeki kaynaklar için İnternet bağlantısı.

Azure Sanal WAN tarafından sağlanan uzak siteler için İnternet bağlantısı. Microsoft 365 gibi SaaS hizmetlerine iyileştirilmiş erişim için iş ortağı tümleştirmesi aracılığıyla desteklenen yerel İnternet tartışması.

Sanal WAN'a geçme

Bu bölümde Azure Sanal WAN'a geçiş için çeşitli adımlar gösterilmektedir.

1. Adım: Tek bölgeli müşteri tarafından yönetilen merkez-uç

Aşağıdaki şekilde, Azure Sanal WAN kullanıma sunulmadan önce Contoso için tek bir bölge topolojisi gösterilmektedir:

Şekil 1: Tek bölge el ile merkez-uç

Merkez-uç yaklaşımına uygun olarak, müşteri tarafından yönetilen merkez sanal ağı birkaç işlev bloğu içerir:

• Paylaşılan hizmetler (birden çok uç için gereken tüm ortak işlevler). Örnek: Contoso, Hizmet olarak altyapı (IaaS) sanal makinelerinde Windows Server etki alanı denetleyicilerini kullanır.
• IP/Yönlendirme güvenlik duvarı hizmetleri üçüncü taraf ağ sanal gereci tarafından sağlanır ve uç-uç katman 3 IP yönlendirmesini etkinleştirir.
• Gelen HTTPS istekleri için Azure Application Gateway ve İnternet kaynaklarına filtrelenmiş giden erişim için sanal makinelerde çalışan üçüncü taraf ara sunucu hizmetleri de dahil olmak üzere İnternet giriş/çıkış hizmetleri.
• Şirket içi ağlara bağlantı için ExpressRoute ve VPN sanal ağ geçidi.

2. Adım: Sanal WAN hub'ları dağıtma

Her bölgeye bir Sanal WAN hub'ı dağıtın. Aşağıdaki makalelerde açıklandığı gibi Sanal WAN hub'ını VPN ve ExpressRoute işlevselliğiyle ayarlayın:

• Öğretici: Azure Sanal WAN kullanarak siteden siteye bağlantı oluşturma
• Öğretici: Azure Sanal WAN kullanarak ExpressRoute ilişkilendirmesi oluşturma

Not

Azure Sanal WAN, bu makalede gösterilen trafik yollarından bazılarını etkinleştirmek için Standart SKU'yu kullanmalıdır.

Şekil 2: Müşteri tarafından yönetilen merkez-uç Sanal WAN geçiş

3. Adım: Uzak siteleri (ExpressRoute ve VPN) Sanal WAN bağlama

Sanal WAN hub'ını mevcut ExpressRoute bağlantı hatlarına bağlayın ve tüm uzak dallara İnternet üzerinden Siteden siteye VPN'ler ayarlayın.

Figure 3'e bağlama: Müşteri tarafından yönetilen merkez-uç Sanal WAN geçiş

Bu noktada, şirket içi ağ ekipmanı Sanal WAN yönetilen hub sanal ağına atanan IP adresi alanını yansıtan yolları almaya başlayacaktır. Bu aşamada uzak VPN bağlantılı dallar uç sanal ağlarındaki mevcut uygulamaların iki yolunu görür. Bu cihazlar, geçiş aşamasında simetrik yönlendirme sağlamak için müşteri tarafından yönetilen hub'a tüneli kullanmaya devam edecek şekilde yapılandırılmalıdır.

4. Adım: Sanal WAN aracılığıyla karma bağlantıyı test etme

Üretim bağlantısı için yönetilen Sanal WAN hub'ını kullanmadan önce, bir test uç sanal ağı kurmanızı ve sanal ağ bağlantısını Sanal WAN öneririz. Sonraki adımlara devam etmeden önce bu test ortamına yönelik bağlantıların ExpressRoute ve Siteden Siteye VPN aracılığıyla çalıştığını doğrulayın.

: Sanal WAN geçiş için müşteri tarafından yönetilen merkez-uç

Bu aşamada, hem özgün müşteri tarafından yönetilen hub sanal ağının hem de yeni Sanal WAN Hub'ın aynı ExpressRoute bağlantı hattına bağlı olduğunu bilmek önemlidir. Bu nedenle, her iki ortamdaki uçların iletişim kurmasını sağlamak için kullanılabilecek bir trafik yolunuz vardır. Örneğin, müşteri tarafından yönetilen merkez sanal ağına bağlı bir uçtan gelen trafik, ExpressRoute bağlantı hattı için kullanılan MSEE cihazlarının yeni Sanal WAN hub'ına bir VNet bağlantısı üzerinden bağlanan herhangi bir uca ulaşması için kullanılır. Bu, 5. Adımda uçların aşamalı geçişini sağlar.

5. Adım: Sanal WAN hub'ına bağlantı geçişi

Şekil 5: Müşteri tarafından yönetilen merkez-uç Sanal WAN geçiş

a. Uç sanal ağlarından müşteri tarafından yönetilen eski hub'a var olan eşleme bağlantılarını silin. Uç sanal ağlarındaki uygulamalara erişim, a-c adımları tamamlanana kadar kullanılamaz.

b. Uç sanal ağlarını sanal ağ bağlantıları aracılığıyla Sanal WAN hub'ına bağlayın.

c. Daha önce uç sanal ağlarında uçlar arası iletişimler için kullanılan kullanıcı tanımlı yolları (UDR) kaldırın. Bu yol artık Sanal WAN hub'ına sağlanan dinamik yönlendirmeyle etkinleştirilmiştir.

d. Müşteri tarafından yönetilen hub'da mevcut ExpressRoute ve VPN Ağ Geçitleri artık bir sonraki adıma (e) izin vermek için kullanımdan kaldırılmıştır.

e. Müşteri tarafından yönetilen eski hub'ı (merkez sanal ağı) yeni bir sanal ağ bağlantısı aracılığıyla Sanal WAN hub'ına bağlayın.

6. Adım: Eski merkez paylaşılan hizmetlere dönüşüyor

Şimdi Sanal WAN merkezini yeni topolojimizin merkezi yapmak için Azure ağımızı yeniden tasarladık.

Şekil 6: Müşteri tarafından yönetilen merkez-uç Sanal WAN geçiş

Sanal WAN hub'ı yönetilen bir varlık olduğundan ve sanal makineler gibi özel kaynakların dağıtımına izin vermediğinden, paylaşılan hizmetler bloğu artık uç sanal ağ olarak mevcut ve Azure Application Gateway veya ağ sanallaştırılmış gereci aracılığıyla internet girişi gibi işlevleri barındırıyor. Paylaşılan hizmetler ortamı ile arka uç sanal makineleri arasındaki trafik artık Sanal WAN yönetilen hub'a aktarılır.

7. Adım: Sanal WAN tam olarak kullanmak için şirket içi bağlantıyı iyileştirme

Bu aşamada Contoso, şirket içi DC'de kalan yalnızca birkaç eski uygulamayla microsoft bulutuna iş uygulamaları geçişlerini tamamlamıştır.

Sanal WAN Figure : Müşteri tarafından yönetilen merkez-uç Sanal WAN geçiş

Contoso, Azure Sanal WAN'nin tüm işlevselliğinden yararlanmak için eski şirket içi VPN bağlantılarını kullanımdan kaldırmaya karar verir. HQ veya DC ağlarına erişmeye devam eden tüm dallar, Azure Sanal WAN yerleşik aktarım yönlendirmesini kullanarak Microsoft genel ağını aktarabiliyor.

Not

ExpressRoute'a ExpressRoute geçişi sağlamak için Microsoft omurgasını kullanmak isteyen müşteriler için ExpressRoute Global Reach gereklidir (Şekil 7'de gösterilmez).

Son durum mimarisi ve trafik yolları

Şekil: İkili bölge Sanal WAN

Bu bölümde, bazı örnek trafik akışlarına bakarak bu topolojinin özgün gereksinimleri nasıl karşıladığına ilişkin bir özet sağlanır.

Yol 1

1. Yol, Asya'daki S2S VPN bağlı dalından Güney Doğu Asya bölgesindeki bir Azure sanal ağından gelen trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Asya şubesi, Güney Doğu Asya Sanal WAN hub'ına dayanıklı S2S BGP özellikli tüneller aracılığıyla bağlanır.

• Asya Sanal WAN merkezi trafiği yerel olarak bağlı sanal ağa yönlendirir.

Yol 2

Yol 2, ExpressRoute'a bağlı Avrupa HQ'sundan Güneydoğu Asya bölgesindeki bir Azure sanal ağından gelen trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Avrupa HQ, ExpressRoute bağlantı hattı üzerinden Batı Avrupa Sanal WAN hub'ına bağlanır.

• Sanal WAN merkez-merkez genel bağlantısı, trafiğin uzak bölgeye bağlı sanal ağa aktarımını sağlar.

Yol 3

Yol 3, Özel WAN'a bağlı Asya şirket içi DC'den Avrupa S2S bağlantılı bir Dala giden trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Asia DC, yerel Özel WAN operatörüne bağlıdır.

• ExpressRoute bağlantı hattı, Güneydoğu Asya Sanal WAN hub'ına bağlanan Özel WAN'da yerel olarak sonlandırılmaktadır.

• Sanal WAN merkez-merkez genel bağlantısı trafiğin aktarımını sağlar.

Yol 4

Yol 4, Güney Doğu Asya bölgesindeki bir Azure sanal ağından Batı Avrupa bölgesindeki azure sanal ağından gelen trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Sanal WAN hub'dan hub'a genel bağlantı, bağlı tüm Azure sanal ağlarının daha fazla kullanıcı yapılandırması olmadan yerel olarak aktarımını sağlar.

Yol 5

Yol 5, gezici VPN (P2S) kullanıcılarından Batı Avrupa bölgesindeki bir Azure sanal ağından gelen trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Dizüstü bilgisayar ve mobil cihaz kullanıcıları, Batı Avrupa'daki P2S VPN ağ geçidine saydam bağlantı için OpenVPN istemcisini kullanır.

• Batı Avrupa Sanal WAN merkezi trafiği yerel olarak bağlı sanal ağa yönlendirir.

Azure Güvenlik Duvarı aracılığıyla güvenlik ve ilke denetimi

Contoso, bu makalenin önceki bölümlerinde açıklanan gereksinimlere uygun olarak tüm dallar ve sanal ağlar arasındaki bağlantıyı doğrulamıştır. Güvenlik denetimi ve ağ yalıtımı gereksinimlerini karşılamak için trafiği merkez ağı üzerinden ayırmaya ve günlüğe kaydetmeye devam etmeleri gerekir. Daha önce bu işlev bir ağ sanal gereci (NVA) tarafından gerçekleştirilmişti. Contoso ayrıca mevcut proxy hizmetlerinin yetkisini almak ve giden İnternet filtrelemesi için yerel Azure hizmetlerini kullanmak istiyor.

Azure Güvenlik Duvarı Figure : Sanal WAN'da Azure Güvenlik Duvarı (Güvenli Sanal hub)

İlke denetiminin birleşik bir noktasını etkinleştirmek üzere Sanal WAN hub'larına Azure Güvenlik Duvarı eklemek için aşağıdaki üst düzey adımlar gereklidir. Bu işlem ve Secure Virtual Hubs kavramı hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi.

1. Azure Güvenlik Duvarı ilkesi oluşturun.
2. Güvenlik duvarı ilkesini Azure Sanal WAN hub'ına bağlayın. Bu adım, mevcut Sanal WAN merkezinin güvenli bir sanal hub olarak çalışmasını sağlar ve gerekli Azure Güvenlik Duvarı kaynaklarını dağıtır.

Not

Bölgeler arası trafik de dahil olmak üzere güvenli sanal hub'ların kullanımıyla ilgili kısıtlamalar vardır. Daha fazla bilgi için bkz . Güvenlik Duvarı Yöneticisi - bilinen sorunlar.

Aşağıdaki yollar, Azure güvenli sanal hub'ları kullanılarak etkinleştirilen bağlantı yollarını gösterir:

Yol 6

Yol 6, aynı bölgedeki sanal ağlar arasındaki güvenli trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Aynı Güvenli Sanal Hub'a bağlı Sanal Ağlar artık trafiği Azure Güvenlik Duvarı aracılığıyla adresine yönlendirir.

• Azure Güvenlik Duvarı bu akışlara ilke uygulayabilir.

Yol 7

7. Yol, Azure sanal ağından İnternet'e veya üçüncü taraf Güvenlik Hizmeti'ne giden trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Güvenli Sanal Hub'a bağlı Sanal Ağlar, Güvenli Hub'ı İnternet erişiminin merkezi noktası olarak kullanarak İnternet üzerindeki genel hedeflere trafik gönderebilir.

• Bu trafik, Azure Güvenlik Duvarı FQDN kuralları kullanılarak yerel olarak filtrelenebilir veya inceleme için üçüncü taraf bir güvenlik hizmetine gönderilebilir.

Yol 8

Yol 8, daldan İnternet'e veya üçüncü taraf Güvenlik Hizmeti'nden trafik akışını gösterir.

Trafik aşağıdaki gibi yönlendirilir:

• Güvenli Sanal Hub'a bağlı dallar, Güvenli Hub'ı İnternet erişiminin merkezi bir noktası olarak kullanarak İnternet'te ortak hedeflere trafik gönderebilir.

• Bu trafik, Azure Güvenlik Duvarı FQDN kuralları kullanılarak yerel olarak filtrelenebilir veya inceleme için üçüncü taraf bir güvenlik hizmetine gönderilebilir.

Sonraki adımlar

• Azure Sanal WAN hakkında daha fazla bilgi edinin.
• Azure NetApp Files için Sanal WAN yapılandırma