Siteler arası VPN ağ geçitlerini kullanarak şirket içi ağlarını Azure'a bağlama
Sanal özel ağ (VPN), birbirine bağlı bir özel ağ türüdür. VPN’ler başka bir ağın içinde şifrelenmiş tünel kullanır. Genellikle, güvenilir olmayan bir ağ (tipik olarak genel internet) üzerinden iki veya daha fazla güvenilen özel ağı birbirine bağlamak için dağıtılır. Trafik, izinsiz dinlemeyi veya diğer saldırıları engellemek için güvenilmeyen ağ üzerinden yolculuk yaparken şifrelenir.
Senaryomuzdaki sağlık hizmeti sağlayıcısı için VPN'ler sağlık uzmanlarının hassas bilgileri konumlar arasında paylaşmasına olanak tanıyabilir. Örneğin bir hastanın özel bir tesiste ameliyat olması gerektiğini varsayalım. Ameliyat ekibinin, hastanın tıbbi geçmişindeki ayrıntıları görebilmesi gerekir. Bu tıbbi veriler Azure'daki bir sistemde depolanır. Tesisi Azure'a bağlayan bir VPN, ameliyat ekibinin bu bilgilere güvenle erişmesine olanak tanır.
Azure VPN ağ geçitleri
VPN ağ geçidi, bir Sanal Ağ Geçidi türüdür. VPN ağ geçitleri Azure sanal ağlarında dağıtılır ve aşağıdaki bağlantıları sağlar:
- Şirket içi veri merkezlerini siteler arası bağlantı aracılığıyla Azure sanal ağlarına bağlama.
- Tek tek cihazları noktadan siteye bağlantı aracılığıyla Azure sanal ağlarına bağlama.
- Azure sanal ağlarını ağdan ağa bağlantısı aracılığıyla diğer Azure sanal ağlarına bağlama.
Aktarılan tüm veriler İnternet'ten geçerken özel bir tünelde şifrelenir. Her sanal ağa tek bir VPN ağ geçidi dağıtımı yapabilirsiniz ama bir ağ geçidini, diğer Azure sanal ağları veya şirket içi veri merkezleri de dahil olmak üzere birden çok konuma bağlanmak için kullanabilirsiniz.
VPN ağ geçidini dağıtırken VPN türünü ilke tabanlı veya yol tabanlı olarak belirtirsiniz. Bu iki VPN türü arasındaki temel fark, şifrelenmiş trafiğin nasıl belirtildiğidir.
İlke tabanlı VPM'ler
İlke tabanlı VPN ağ geçitleri, her bir tünel aracılığıyla şifrelenmesi gereken paketlerin IP adresini statik olarak belirler. Bu cihaz türü, her veri paketini bu IP adresi kümelerine göre değerlendirerek bu paketin gönderileceği tüneli belirler. İlke tabanlı VPN ağ geçitleri, destekleyebilen özelliklerde ve bağlantılarda sınırlıdır. Azure'daki ilke tabanlı VPN ağ geçitlerinin temel özellikleri şunlardır:
- Yalnızca IKEv1 desteği.
- VPN tüneli üzerinde trafiğin nasıl şifreleneceğinin ve şifresinin çözüleceğinin her iki ağın adres ön eklerinin bileşimleriyle denetlendiği statik yönlendirme kullanımı. Tünellenen ağların kaynağı ve hedefi ilkede bildirilir ve yönlendirme tablolarında bildirilmesi gerekmez.
- İlke tabanlı VPN'ler, bu VPN'leri gerektiren eski şirket içi VPN cihazlarıyla uyumluluk gibi belirli senaryolarda kullanılmalıdır.
Yol tabanlı VPN'ler
Her tünelin arkasında hangi IP adreslerinin olduğunu tanımlamak sizin durumunuz için çok hantaldır. Veya ilke tabanlı ağ geçitlerinin desteklemedığı özelliklere ve bağlantılara ihtiyacınız vardır. Rota tabanlı ağ geçitleri kullanılmalıdır. Yol tabanlı ağ geçitleri ile, IPSec tünelleri bir ağ arabirimi veya VTI (sanal tünel arabirimi) olarak modellenir. IP yönlendirmesi (statik yollar veya dinamik yönlendirme protokolleri), her paketin hangi tünel arabirimleri arasında gönderileceğini belirler. Rota tabanlı VPN'ler, örneğin yeni alt ağ oluşturma gibi topoloji değişikliklerine daha dayanıklı olduklarından şirket içi cihazlar için tercih edilen bağlantı yöntemidir. Aşağıdaki bağlantı türlerinden herhangi birine ihtiyacınız olduğunda yol tabanlı VPN ağ geçidi kullanın:
- Sanal ağlar arasında bağlantılar
- Noktadan siteye bağlantılar
- Çok siteli bağlantılar
- Azure ExpressRoute ağ geçidiyle birlikte kullanım
Azure'daki rota tabanlı VPN ağ geçitlerinin temel özellikleri şunlardır:
- IKEv2'yi destekler.
- Any-to-Any (joker karakter) trafik seçicileri kullanır.
- Yönlendirme/iletme tablolarının trafiği farklı IPSec tünellerine yönelttiği dinamik yönlendirme protokollerini kullanabilir. Bu durumda kaynak ve hedef ağlar, ilke tabanlı VPN'lerde ve hatta statik yönlendirmeye sahip rota tabanlı VPN'lerde olduklarından statik olarak tanımlanmaz. Bunun yerine veri paketleri, BGP (Sınır Ağ Geçidi Protokolü) gibi yönlendirme protokolleri kullanılarak dinamik olarak oluşturulan ağ yönlendirme tablolarına göre şifrelenir.
Azure'daki her iki VPN ağ geçidi türü de (rota tabanlı ve ilke tabanlı) tek kimlik doğrulama yöntemi olarak önceden paylaşılan anahtarı kullanır. Ayrıca her iki tür de sürüm 1 veya sürüm 2'de ve İnternet Protokol Güvenliği'nde (IPSec) İnternet Anahtar Değişimi'ne (IKE) dayanır. IKE, iki uç nokta arasında bir güvenlik ilişkisi (şifreleme anlaşması) ayarlamak için kullanılır. Ardından bu ilişki IPSec paketine geçirilir ve bu paket VPN tüneli içinde kapsüllenmiş olan veri paketlerini şifreler ve şifrelerini çözer.
VPN ağ geçidi boyutları
Dağıttığınız SKU veya boyut, VPN ağ geçidinizin özelliklerini belirler. Bu tabloda bazı ağ geçidi SKU'larının bir örneği gösterilmektedir. Bu tablodaki sayılar herhangi bir zamanda değiştirilebilir. En son bilgiler için Azure VPN Gateway belgelerindeki Ağ Geçidi SKU'ları bölümüne bakın. Temel ağ geçidi SKU'su yalnızca Geliştirme/Test iş yükleri için kullanılmalıdır. Ayrıca, ağ geçidini kaldırmak ve yeniden dağıtmak zorunda kalmadan daha sonra Temel'den herhangi bir VpnGw#/Az sku'ya geçiş yapmak desteklenmez.
VPN Ağ Geçidi Nesil |
SKU | S2S/Sanal Ağdan Sanal Ağa Tünel |
P2S SSTP Bağlan ions |
P2S IKEv2/OpenVPN Bağlan ions |
Toplama Aktarım Hızı Karşılaştırması |
BGP | Alanlar arası yedekli | Sanal Ağ DESTEKLENEN VM Sayısı |
---|---|---|---|---|---|---|---|---|
Nesil1 | Temel | Maks. 10 | Maks. 128 | Desteklenmiyor | 100 Mb/sn | Desteklenmiyor | No | 200 |
Nesil1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Desteklenir | No | 450 |
Nesil1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Desteklenir | No | 1300 |
Nesil1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/sn | Desteklenir | No | 4000 |
Nesil1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Desteklenir | Evet | 1000 |
Nesil1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Desteklenir | Evet | Kategori 2000 |
Nesil1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/sn | Desteklenir | Evet | Kategori 5000 |
Nesil2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/sn | Desteklenir | No | 685 |
Nesil2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/sn | Desteklenir | No | 2240 |
Nesil2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. Kategori 5000 | 5 Gbps | Desteklenir | No | 5300 |
Nesil2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10000 | 10 Gbps | Desteklenir | No | 6700 |
Nesil2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/sn | Desteklenir | Evet | Kategori 2000 |
Nesil2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/sn | Desteklenir | Evet | 3300 |
Nesil2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. Kategori 5000 | 5 Gbps | Desteklenir | Evet | 4400 |
Nesil2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10000 | 10 Gbps | Desteklenir | Evet | 9000 |
VPN ağ geçitlerini dağıtma
VPN ağ geçidi dağıtabilmeniz için önce bazı Azure ve şirket içi kaynaklara ihtiyacınız vardır.
Gerekli Azure kaynakları
İşletimsel VPN ağ geçidi dağıtabilmeniz için önce şu Azure kaynaklarına ihtiyacınız vardır:
- Sanal ağ. VPN ağ geçidi için ihtiyacınız olan ek alt ağ için yeterli adres alanına sahip bir Azure sanal ağı dağıtın. Bu sanal ağın adres alanı, bağlandığınız şirket içi ağ ile çakışmamalıdır. Sanal ağ içinde tek bir VPN ağ geçidi dağıtabileceğinizi unutmayın.
- GatewaySubnet. VPN ağ geçidi için
GatewaySubnet
adlı bir alt ağın dağıtımını yapın. Gelecekte büyütebilmek amacıyla alt ağda size yeterli IP adresi olduğundan emin olmak için en az /27 adres maskesi kullanın. Bu alt ağı başka hiçbir hizmet için kullanamazsınız. - Genel IP adresi. Bölge kullanmayan bir ağ geçidi kullanıyorsanız bir Temel SKU dinamik genel IP adresi oluşturun. Bu adres şirket içi VPN cihazınızın hedefi olarak genel yönlendirilebilir bir IP adresi sağlar. Bu IP adresi dinamiktir, ancak VPN ağ geçidini silip yeniden oluşturmadığınız sürece değişmez.
- Yerel ağ geçidi. Şirket içi ağın yapılandırmasını tanımlamak için bir yerel ağ geçidi oluşturun. Özel olarak, VPN ağ geçidinin nereye bağlandığı ve nelere bağlandığı. Bu yapılandırma şirket içi VPN cihazının genel IPv4 adresini ve şirket içi yönlendirilebilir ağları içerir. Bu bilgiler VPN ağ geçidi tarafından şirket içi ağları hedefleyen paketleri IPSec tüneli üzerinden yönlendirmek için kullanılır.
- Sanal ağ geçidi. Trafiği sanal ağ ile şirket içi veri merkezi veya başka sanal ağlar arasında yönlendirmek için sanal ağ geçidi oluşturun. Sanal ağ geçidi VPN ağ geçidi veya ExpressRoute ağ geçidi olarak yapılandırılabilir, ancak bu modül yalnızca VPN sanal ağ geçitleriyle ilgilenir.
- Bağlantı. VPN ağ geçidi ile yerel ağ geçidi arasında mantıksal bir bağlantı oluşturmak için Bağlantı kaynağı oluşturun. Aynı ağ geçidine birden çok bağlantı oluşturabilirsiniz.
- Bağlantı, yerel ağ geçidi tarafından tanımlandığı şekilde şirket içi VPN cihazının IPv4 adresiyle kurulur.
- Bağlantı, sanal ağ geçidinden ve onun ilişkili genel IP adresinden kurulur.
Aşağıdaki diyagramda VPN ağ geçidini dağıtırken nelerin gerektiğini daha iyi anlamanıza yardımcı olmak için bu kaynak bileşimi ve onların ilişkileri gösterilir:
Gerekli şirket içi kaynaklar
Veri merkezinizi bir VPN ağ geçidine bağlamak için şu şirket içi kaynaklara ihtiyacınız vardır:
- İlke tabanlı veya yol tabanlı VPN ağ geçitlerini destekleyen bir VPN cihazı
- Genel kullanıma yönelik (İnternet'ten yönlendirilebilen) bir IPv4 adresi
Yüksek kullanılabilirlik senaryoları
Hataya dayanıklı bir yapılandırmanız olduğundan emin olmanın çeşitli yolları vardır.
Etkin/beklemede
Azure’da yalnızca bir VPN ağ geçidi kaynağı görseniz bile varsayılan olarak, VPN ağ geçitleri etkin/beklemede yapılandırmasında iki örnek olarak dağıtılır. Planlı bakım veya plansız kesintiler etkin örneği etkilediğinde, bekleyen örnek herhangi bir kullanıcı müdahalesi olmadan otomatik olarak bağlantıların sorumluluğunu üstlenir. Bu yük devretme sırasında bağlantılar kesilir ama normalde planlı bakımda birkaç saniye içinde ve plansız kesintilerde 90 saniye içinde geri yüklenir.
Etkin/etkin
BGP yönlendirme protokolü desteğinin sunulmasıyla birlikte, VPN ağ geçitlerini de etkin/etkin bir yapılandırmada dağıtabilirsiniz. Bu yapılandırmada her örneğe benzersiz bir genel IP adresi atarsınız. Ardından şirket içi cihazdan her IP adresine ayrı tüneller oluşturursunuz. Şirket içinde başka bir VPN cihazı dağıtarak yüksek kullanılabilirliği genişletebilirsiniz.
ExpressRoute yük devretme
Bir diğer yüksek kullanılabilirlik seçeneği de ExpressRoute bağlantıları için VPN ağ geçidini güvenli bir yük devretme yolu olarak yapılandırmaktır. ExpressRoute bağlantı hatları yerleşik olarak dayanıklıdır ama bağlantının taşındığı kabloları etkileyen fiziksel sorunlara veya ExpressRoute konumunun tamamını etkileyen kesintilere karşı bağışıklığı yoktur. ExpressRoute bağlantı hattı kesintisiyle ilişkili riskin bulunduğu yüksek kullanılabilirlik senaryolarında, alternatif bağlantı yöntemi olarak interneti kullanan bir VPN ağ geçidi de yapılandırabilir ve bu sayede her zaman Azure sanal ağlarına bağlantı olmasını sağlayabilirsiniz.
Alanlar arası yedekli ağ geçitleri
Kullanılabilirlik alanlarını destekleyen bölgelerde, VPN ve ExpressRoute ağ geçitleri alanlar arası yedekli bir yapılandırmada dağıtılabilir. Bu yapılandırma, sanal ağ geçitlerine dayanıklılık, ölçeklenebilirlik ve daha yüksek kullanılabilirlik getirir. Ağ geçitlerini Azure Kullanılabilirlik Alanları içinde dağıtmak, bir bölge içindeki ağ geçitlerini fiziksel ve mantıksal olarak birbirinden ayırırken, Azure ile şirket içi ağ bağlantınızı alan düzeyindeki hatalardan korur. Bunlar farklı ağ geçidi SKU'ları gerektirir ve Temel genel IP adresleri yerine Standart genel IP adreslerini kullanır.