Genel geçiş ağı mimarisi ve Sanal WAN

  • Makale

Modern kuruluşlar, bulutta ve şirket içinde hiper dağıtılmış uygulamalar, veriler ve kullanıcılar arasında yaygın bağlantı gerektirir. Küresel transit ağ mimarisi, bulut merkezli modern, küresel kurumsal BT ayak izini birleştirmek, bağlamak ve denetlemek için kuruluşlar tarafından benimsenmektedir.

Genel geçiş ağı mimarisi, bulutta barındırılan ağ 'hub'ının farklı 'uçlar' türlerine dağıtılabilir uç noktalar arasında geçişli bağlantıya olanak sağladığı klasik merkez-uç bağlantı modelini temel alır.

Bu modelde bir uç şu şekilde olabilir:

  • Sanal ağ (sanal ağlar)
  • Fiziksel dal sitesi
  • Uzak kullanıcı
  • İnternet

Diagram of hub and spoke.

Şekil 1: Genel transit merkez-uç ağı

Şekil 1'de coğrafi olarak dağıtılmış kullanıcıların, fiziksel sitelerin ve sanal ağların bulutta barındırılan bir ağ hub'ı aracılığıyla birbirine bağlandığı genel geçiş ağının mantıksal görünümü gösterilmektedir. Bu mimari, ağ uç noktaları arasında mantıksal tek atlamalı geçiş bağlantısını etkinleştirir.

Sanal WAN ile küresel geçiş ağı

Azure Sanal WAN, Microsoft tarafından yönetilen bir bulut ağı hizmetidir. Bu hizmetin oluşturduğu tüm ağ bileşenleri Microsoft tarafından barındırılır ve yönetilir. Sanal WAN hakkında daha fazla bilgi için Sanal WAN Genel Bakış makalesine bakın.

Azure Sanal WAN sanal ağlarda, dal sitelerinde, SaaS ve PaaS uygulamalarında ve kullanıcılarda genel olarak dağıtılmış bulut iş yükü kümeleri arasında yaygın, her yerden herhangi bir bağlantıya olanak tanıyarak genel bir geçiş ağı mimarisine olanak tanır.

Diagram of global network transit with Virtual WAN.

Şekil 2: Genel geçiş ağı ve Sanal WAN

Azure Sanal WAN mimarisinde, dallarınızı, sanal ağlarınızı ve uzak kullanıcılarınızı bağlamayı seçebileceğiniz Azure bölgelerinde sanal WAN hub'ları sağlanır. Fiziksel dal siteleri Premium veya Standart ExpressRoute veya siteden siteye VPN'ler ile hub'a bağlanır, VNet'ler VNet bağlantıları ile hub'a bağlanır ve uzak kullanıcılar Kullanıcı VPN'sini (noktadan siteye VPN'ler) kullanarak hub'a doğrudan bağlanabilir. Sanal WAN ayrıca bir bölgedeki sanal ağın farklı bir bölgedeki sanal WAN hub'ına bağlanabildiği bölgeler arası sanal ağ bağlantısını da destekler.

Bölgede en fazla uç sayısına (dallar, sanal ağlar, kullanıcılar) sahip tek bir sanal WAN hub'ı oluşturup diğer bölgelerdeki uçları hub'a bağlayarak sanal WAN oluşturabilirsiniz. Kurumsal ayak izi çoğunlukla birkaç uzak uçlu tek bir bölgede olduğunda bu iyi bir seçenektir.

Hub'dan hub'a bağlantı

Kurumsal bulut ayak izi birden çok bulut bölgesine yayılabilir ve fiziksel sitesine ve kullanıcılarına en yakın bölgeden buluta erişmek en uygun (gecikme süresi açısından) olur. Genel geçiş ağı mimarisinin temel ilkelerinden biri, tüm bulut ve şirket içi ağ uç noktaları arasında bölgeler arası bağlantıyı etkinleştirmektir. Bu, bir bölgedeki buluta bağlı bir daldan gelen trafiğin Azure Global Network tarafından etkinleştirilen merkez-merkez bağlantısını kullanarak farklı bir bölgedeki başka bir dala veya sanal ağa ulaşabileceği anlamına gelir.

Diagram of cross-region.

Şekil 3: Bölgeler arası bağlantıyı Sanal WAN

Tek bir sanal WAN'da birden çok hub etkinleştirildiğinde, hub'lar merkez-hub bağlantıları aracılığıyla otomatik olarak birbirine bağlanır ve böylece birden çok bölgeye dağıtılmış dallar ve sanal ağlar arasında genel bağlantı sağlanır.

Ayrıca, tümü aynı sanal WAN'ın parçası olan hub'lar farklı bölgesel erişim ve güvenlik ilkeleriyle ilişkilendirilebilir. Daha fazla bilgi için bu makalenin devamında yer alan Güvenlik ve ilke denetimi bölümüne bakın.

Herhangi bir bağlantıdan herhangi birine

Genel geçiş ağı mimarisi, sanal WAN hub'ları aracılığıyla her türlü bağlantıya olanak tanır. Bu mimari, derlemesi ve bakımı daha karmaşık olan uçlar arasında tam ağ veya kısmi mesh bağlantısı gereksinimini ortadan kaldırır veya azaltır. Buna ek olarak, merkez-uç ve ağ ağlarındaki yönlendirme denetiminin yapılandırılması ve bakımı daha kolaydır.

Herhangi bir bağlantıdan herhangi birine bağlantı (genel mimari bağlamında), genel olarak dağıtılmış kullanıcılar, dallar, veri merkezleri, sanal ağlar ve uygulamalara sahip bir kuruluşun "geçiş" hub'ları aracılığıyla birbirine bağlanmasına olanak tanır. Azure Sanal WAN genel geçiş sistemi olarak görev yapar.

Diagram of any to any.

Şekil 4: trafik yollarını Sanal WAN

Azure Sanal WAN aşağıdaki genel geçiş bağlantı yollarını destekler. Parantez içindeki harfler Şekil 4 ile eşlenir.

  • Daldan Sanal Ağa (a)
  • Daldan dala (b)
  • ExpressRoute Global Reach ve Sanal WAN
  • Uzak Kullanıcıdan Sanal Ağa (c)
  • Uzak Kullanıcıdan Dala (d)
  • Sanal Ağdan Sanal Ağa (e)
  • Daldan hub'a-Dala (f)
  • Daldan hub'a-hub-VNet (g)
  • VNet-hub-hub-to-VNet (h)

Daldan Sanal Ağa (a) ve Daldan Sanal Ağa Bölgeler Arası (g)

Daldan sanal ağa, Azure Sanal WAN tarafından desteklenen birincil yoldur. Bu yol, dalları Azure sanal ağlarında dağıtılan Azure IAAS kurumsal iş yüklerine bağlamanızı sağlar. Dallar ExpressRoute veya siteden siteye VPN aracılığıyla sanal WAN'a bağlanabilir. Trafik, sanal ağ Bağlan ions aracılığıyla sanal WAN hub'larına bağlı sanal ağlara aktarılır. Sanal WAN dal sitesine ağ geçidi aktarımını otomatik olarak etkinleştirdiğinden, Sanal WAN için açık ağ geçidi aktarımı gerekli değildir. SD-WAN CPE'yi Sanal WAN bağlama hakkında Sanal WAN İş Ortakları makalesine bakın.

ExpressRoute Global Reach ve Sanal WAN

ExpressRoute, şirket içi ağlarınızı Microsoft Bulut'a bağlamanın özel ve dayanıklı bir yoludur. Sanal WAN Express Route bağlantı hattı bağlantılarını destekler. Aşağıdaki ExpressRoute bağlantı hattı SKU'ları Sanal WAN bağlanabilir: Yerel, Standart ve Premium.

Azure Sanal WAN kullanırken ExpressRoute ile ExpressRoute arasında geçiş bağlantısını etkinleştirmek için iki seçenek vardır:

  • ExpressRoute bağlantı hatlarınızda ExpressRoute Global Reach'i etkinleştirerek ExpressRoute'un ExpressRoute aktarım bağlantısını etkinleştirebilirsiniz. Global Reach , özel bir ağ oluşturmak için farklı eşleme konumlarındaki ExpressRoute bağlantı hatlarını birbirine bağlamanızı sağlayan bir ExpressRoute eklentisi özelliğidir. Global Reach eklentisine sahip bağlantı hatları arasındaki ExpressRoute'dan ExpressRoute'a geçiş bağlantısı, Global Reach genel omurga üzerinde daha uygun bir yol sağladığından Sanal WAN hub'ını taşımaz.

  • Sanal WAN Hub'ına dağıtılan bir güvenlik gereci aracılığıyla ExpressRoute aktarım bağlantısını etkinleştirmek için Özel trafik yönlendirme ilkeleriyle Yönlendirme Amacı özelliğini kullanabilirsiniz. Bu seçenek Global Reach gerektirmez. Daha fazla bilgi için yönlendirme amacı belgelerindeki ExpressRoute bölümüne bakın.

Daldan dala (b) ve Daldan Dala bölgeler arası (f)

Dallar, ExpressRoute bağlantı hatları ve/veya siteden siteye VPN bağlantıları kullanılarak bir Azure sanal WAN hub'ına bağlanabilir. Dalları, dala en yakın bölgede bulunan sanal WAN hub'ına bağlayabilirsiniz.

Bu seçenek kuruluşların dalları bağlamak için Azure omurgasını kullanmasına olanak tanır. Ancak bu özellik kullanılabilir olsa da, Azure Sanal WAN üzerinden dalları bağlamanın avantajlarını özel WAN kullanarak karşılaştırmalı olarak değerlendirmelisiniz.

Not

Sanal WAN -Sanal WAN'de Daldan Dal Bağlan'yi devre dışı bırakmak, Daldan Dala bağlantıyı devre dışı bırakmak için yapılandırılabilir. Bu yapılandırma VPN (S2S ve P2S) ile Express Route bağlantılı siteler arasında yol yayılmasını engeller. Bu yapılandırma daldan sanal ağa ve sanal ağdan sanal ağa yol yayma ve bağlantıyı etkilemez. Bu ayarı Azure Portal kullanarak yapılandırmak için: Sanal WAN Yapılandırma menüsünün altında Ayar: Daldan Dala - Devre Dışı'nı seçin.

Uzak Kullanıcıdan Sanal Ağa (c)

Uzak kullanıcı istemcisinden sanal WAN'a noktadan siteye bağlantıyı kullanarak Azure'a doğrudan ve güvenli uzaktan erişimi etkinleştirebilirsiniz. Kurumsal uzak kullanıcıların artık kurumsal VPN kullanarak buluta geçiş yapmak zorunda kalmaları gerekmez.

Uzak Kullanıcıdan Dala (d)

Uzak Kullanıcıdan dallara yol, Azure'a noktadan siteye bağlantı kullanan uzak kullanıcıların bulut üzerinden geçiş yaparak şirket içi iş yüklerine ve uygulamalara erişmesine olanak tanır. Bu yol, uzak kullanıcılara hem Azure'da hem de şirket içinde dağıtılan iş yüklerine erişme esnekliği sağlar. Kuruluşlar, Azure Sanal WAN'da merkezi bulut tabanlı güvenli uzaktan erişim hizmetini etkinleştirebilir.

Sanal ağdan sanal ağa geçiş (e) ve sanal ağdan sanal ağa bölgeler arası (h)

Sanal ağdan sanal ağa geçiş, birden çok sanal ağ arasında uygulanan çok katmanlı uygulamalar arasında bağlantı kurmak için sanal ağların birbirine bağlanmasını sağlar. İsteğe bağlı olarak, VNet Eşlemesi aracılığıyla sanal ağları birbirine bağlayabilirsiniz ve bu, VWAN hub'ı üzerinden geçişin gerekli olmadığı bazı senaryolar için uygun olabilir.

Zorlamalı tünel ve varsayılan yol

Zorlamalı Tünel, Sanal WAN bir VPN, ExpressRoute veya Sanal Ağ bağlantısında varsayılan yolu etkinleştirerek etkinleştirilebilir.

Sanal hub, bağlantıda varsayılan olarak etkinleştir bayrağı 'Etkin' olduğunda, öğrenilen bir varsayılan yolu bir sanal ağa/siteden siteye VPN/ExpressRoute bağlantısına yayılır.

Kullanıcı bir sanal ağ bağlantısını, VPN bağlantısını veya ExpressRoute bağlantısını düzenlediğinde bu bayrak görünür. Varsayılan olarak, bir site veya ExpressRoute bağlantı hattı bir hub'a bağlandığında bu bayrak devre dışı bırakılır. Sanal ağı sanal hub'a bağlamak için sanal ağ bağlantısı eklendiğinde varsayılan olarak etkinleştirilir. Varsayılan yol Sanal WAN hub'ında oluşturulmaz; varsayılan yol, hub'da bir güvenlik duvarı dağıtmanın bir sonucu olarak Sanal WAN hub tarafından zaten öğrenildiyse veya başka bir bağlı site zorlamalı tünel etkinleştirilmişse yayılır.

Güvenlik ve ilke denetimi

Azure Sanal WAN hub'ları karma ağ genelindeki tüm ağ uç noktaları arasında bağlantı kurar ve tüm geçiş ağ trafiğini görebilir. Sanal WAN hub'ları, hub'da bir kabloda darbeli güvenlik çözümü dağıtılarak Güvenli Sanal Hub'lara dönüştürülebilir. Azure Güvenlik Duvarı dağıtabilir, bulut tabanlı güvenlik, erişim ve ilke denetimini etkinleştirmek için Sanal WAN hub'larının içinde Yeni Nesil Güvenlik Duvarı Ağ Sanal Gereçleri veya hizmet olarak güvenlik yazılımı (SaaS) seçeneğini belirleyebilirsiniz. Sanal Hub Yönlendirme Amacı'nı kullanarak trafiği hub'daki güvenlik çözümlerine yönlendirmek için Sanal WAN yapılandırabilirsiniz.

sanal WAN hub'larında Azure Güvenlik Duvarı düzenlemesi Azure Güvenlik Duvarı Yöneticisi tarafından gerçekleştirilebilir. Azure Güvenlik Duvarı Yöneticisi, genel geçiş ağlarında güvenliği yönetme ve ölçeklendirme özellikleri sağlar. Azure Güvenlik Duvarı Yöneticisi, Azure Güvenlik Duvarı ile birlikte üçüncü taraf aracılığıyla yönlendirmeyi, genel ilke yönetimini, gelişmiş İnternet güvenlik hizmetlerini merkezi olarak yönetme olanağı sağlar.

Sanal WAN hub'ında Yeni Nesil Güvenlik Duvarı Ağ Sanal Gereçlerini dağıtma ve düzenleme hakkında daha fazla bilgi için bkz. Sanal Hub'da Tümleşik Ağ Sanal Gereçleri. Sanal WAN hub'ında dağıtılabilir SaaS güvenlik çözümleri hakkında daha fazla bilgi için bkz. Hizmet olarak yazılım.

Diagram of secured virtual hub with Azure Firewall.

Şekil 5: Azure Güvenlik Duvarı ile güvenli sanal hub

Sanal WAN aşağıdaki genel güvenli geçiş bağlantı yollarını destekler. Bu bölümdeki diyagram ve trafik desenleri Azure Güvenlik Duvarı kullanım örneklerini açıklasa da, aynı trafik desenleri hub'a dağıtılan Ağ Sanal Gereçleri ve SaaS güvenlik çözümleriyle desteklenir. Parantez içindeki harfler Şekil 5 ile eşlenir.

Sanal Ağdan Sanal Ağa güvenli geçiş (e), Sanal Ağdan Sanal Ağa güvenli geçiş bölgeler arası (h)

Sanal ağdan sanal ağa güvenli aktarım, sanal ağların Sanal WAN hub'ına dağıtılan güvenlik gereçleri (Azure Güvenlik Duvarı, NVA ve SaaS'ı seçin) aracılığıyla birbirine bağlanmasını sağlar.

Sanal Ağdan İnternete veya üçüncü taraf Güvenlik Hizmeti (i)

Sanal Ağdan İnternete sanal ağların sanal WAN hub'ında güvenlik gereçleri (Azure Güvenlik Duvarı NVA ve SaaS'ı seçin) aracılığıyla İnternet'e bağlanmasına olanak tanır. Desteklenen üçüncü taraf güvenlik hizmetleri aracılığıyla İnternet'e giden trafik bir güvenlik gereci üzerinden akmıyor ve doğrudan üçüncü taraf güvenlik hizmetine yönlendiriliyor. Azure Güvenlik Duvarı Yöneticisi'Azure Güvenlik Duvarı kullanarak desteklenen üçüncü taraf güvenlik hizmeti aracılığıyla sanal ağdan İnternete yolu yapılandırabilirsiniz.

Daldan İnternete veya üçüncü taraf Güvenlik Hizmeti (j)

Daldan İnternet'e, dalların sanal WAN hub'ında Azure Güvenlik Duvarı aracılığıyla İnternet'e bağlanmasına olanak tanır. Desteklenen üçüncü taraf güvenlik hizmetleri aracılığıyla İnternet'e giden trafik bir güvenlik gereci üzerinden akmıyor ve doğrudan üçüncü taraf güvenlik hizmetine yönlendiriliyor. Azure Güvenlik Duvarı Yöneticisi'Azure Güvenlik Duvarı kullanarak desteklenen üçüncü taraf güvenlik hizmeti aracılığıyla Daldan İnternete yolu yapılandırabilirsiniz.

Daldan dala güvenli geçiş, Daldan dala güvenli geçiş bölgeler arası (b), (f)

Dallar, ExpressRoute bağlantı hatları ve/veya siteden siteye VPN bağlantıları kullanılarak Azure Güvenlik Duvarı ile güvenli bir sanal hub'a bağlanabilir. Dalları, dala en yakın bölgede bulunan sanal WAN hub'ına bağlayabilirsiniz. Sanal WAN hub'larında Yönlendirme Amacının yapılandırılması, Sanal WAN Hub'da dağıtılan güvenlik gereçleri (Azure Güvenlik Duvarı NVA ve SaaS'ı seçin) tarafından daldan dala aynı hub veya daldan dala merkezler arası/bölgeler arası denetime olanak tanır.

Bu seçenek kuruluşların dalları bağlamak için Azure omurgasını kullanmasına olanak tanır. Ancak bu özellik kullanılabilir olsa da, Azure Sanal WAN üzerinden dalları bağlamanın avantajlarını özel WAN kullanarak karşılaştırmalı olarak değerlendirmelisiniz.

Daldan sanal ağa güvenli geçiş (c), Şubeden sanal ağa güvenli geçiş bölgeler arası (g)

Daldan Sanal Ağa güvenli geçiş, dalların sanal WAN hub'ı ile aynı bölgedeki sanal ağlarla ve başka bir bölgedeki başka bir sanal WAN hub'ına bağlı başka bir sanal ağla iletişim kurmasını sağlar (yalnızca Yönlendirme Amacı ile desteklenen merkezler arası trafik denetimi).

Nasıl yaparım? Güvenli Sanal Hub'da varsayılan yolu (0.0.0.0/0) etkinleştirme

Sanal WAN hub'ına (Güvenli Sanal Merkez) dağıtılan Azure Güvenlik Duvarı, tüm dallar (VPN veya Express Route ile bağlanır), uç sanal ağları ve Kullanıcılar (P2S VPN ile bağlanır) için İnternet'e veya Güvenilen Güvenlik Sağlayıcısı'na varsayılan yönlendirici olarak yapılandırılabilir. Bu yapılandırma Azure Güvenlik Duvarı Yöneticisi kullanılarak yapılmalıdır. Azure Güvenlik Duvarı aracılığıyla dallardan (Kullanıcılar dahil) ve sanal ağlardan İnternet'e tüm trafiği yapılandırmak için bkz. Trafiği hub'ınıza yönlendirme.

Bu iki adımlı bir yapılandırmadır:

  1. Güvenli Sanal Merkez Yol Ayarı menüsünü kullanarak İnternet trafiği yönlendirmeyi yapılandırın. Güvenlik Duvarı aracılığıyla İnternet'e trafik gönderebilen sanal ağları ve Dalları yapılandırın.

  2. Hub veya Güvenilen Güvenlik Sağlayıcısı'ndaki Azure FW aracılığıyla trafiği İnternet'e (0.0.0.0/0) yönlendirebilecek Bağlan yapılandırma. Bu adım, varsayılan yolun Bağlan ions aracılığıyla Sanal WAN hub'ına bağlı seçili dallara ve sanal ağlara yayılmasını sağlar.

Güvenli Sanal Hub'da trafiği şirket içi güvenlik duvarına zorlama

Dalların birinden (VPN veya ER siteleri) Sanal Hub tarafından öğrenilen varsayılan bir yol zaten varsa (BGP aracılığıyla), bu varsayılan yol Azure Güvenlik Duvarı Yöneticisi ayarından öğrenilen varsayılan yol tarafından geçersiz kılınır. Bu durumda, İnternet'e yönelik sanal ağlardan ve dallardan hub'a giren tüm trafik Azure Güvenlik Duvarı veya Güvenilen Güvenlik Sağlayıcısına yönlendirilir.

Not

Şu anda sanal ağlardan, Dallardan veya Kullanıcılardan kaynaklanan İnternet'e bağlı trafik için şirket içi güvenlik duvarı veya Azure Güvenlik Duvarı (ve Güvenilen Güvenlik Sağlayıcısı) seçme seçeneği yoktur. Azure Güvenlik Duvarı Yöneticisi ayarından öğrenilen varsayılan yol, dallardan birinden öğrenilen varsayılan yol yerine her zaman tercih edilir.

Sonraki adımlar

Sanal WAN kullanarak bağlantı oluşturun ve VWAN hub'larında Azure Güvenlik Duvarı dağıtın.