Azure sanal ağını yönlendirme özelliklerini belirleme
Sanal ağınızın içindeki trafik akışını denetlemek için, özel yolların amacını ve avantajlarını öğrenmelisiniz. Ayrıca ağ sanal gereci (NVA) üzerinde trafik akışını yönlendirmek için yolları yapılandırmayı da öğrenmeniz gerekir.
Azure yönlendirmesi
Azure'da ağ trafiği Azure alt ağları, sanal ağlar ve şirket içi ağlar arasında otomatik olarak yönlendirilir. Sistem yolları bu yönlendirmeyi denetler. Bunlar varsayılan olarak bir sanal ağdaki her alt ağa atanır. Bu sistem yolları sayesinde, bir sanal ağa dağıtılan tüm Azure sanal makineleri ağdaki diğer kişilerle iletişim kurabilir. Ayrıca bu sanal makinelere bir hibrit ağ veya İnternet aracılığıyla şirket içinden de erişilebilir.
Sistem yolları oluşturamaz veya silemezsiniz, ancak bir sonraki atlamada trafik akışını denetlemek için özel yollar ekleyerek sistem yollarını geçersiz kılabilirsiniz.
Her alt ağın aşağıdaki varsayılan sistem yolları vardır:
| Adres ön eki | Sonraki atlama türü |
|---|---|
| Sanal ağa özel | Sanal ağ |
| 0.0.0.0/0 | İnternet |
| 10.0.0.0/8 | Hiçbiri |
| 172.16.0.0/12 | Hiçbiri |
| 192.168.0.0/16 | Hiçbiri |
| 100.64.0.0/10 | Hiçbiri |
Sonraki atlama türü sütunu her adres ön ekine gönderilen trafiğin izlediği ağ yolunu gösterir. Yön aşağıdaki atlama türlerinden biri olabilir:
- Sanal ağ: Adres ön ekinde bir yol oluşturulur. Ön ek, sanal ağ düzeyinde oluşturulan her adres aralığını temsil eder. Birden fazla adres aralığı belirtildiyse, her adres aralığı için birden fazla yol oluşturulur.
- İnternet: Varsayılan sistem yolu 0.0.0.0/0, Azure'ın varsayılan yolunu özel bir yolla geçersiz kılmadığınız sürece herhangi bir adres aralığını İnternet'e yönlendirir.
- Hiçbiri: Bu atlama türüne yönlendirilen trafik bırakılır ve alt ağın dışına yönlendirilmez. Varsayılan olarak, aşağıdaki IPv4 özel adres ön ekleri oluşturulur: 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16. Paylaşılan adres alanı için 100.64.0.0/10 ön eki de eklenir. Bu adres aralıklarının hiçbiri genel olarak yönlendirilebilir değildir.
Aşağıdaki diyagramda sistem yollarına genel bir bakış sağlanır ve trafiğin varsayılan olarak alt ağlar ile İnternet arasında nasıl aktığı gösterilir. Trafiğin iki alt ağ ve İnternet arasında serbestçe aktığını diyagramdan görebilirsiniz.
Azure'da başka sistem yolları da vardır. Aşağıdaki özellikler etkinse Azure bu yolları oluşturur:
- Sanal ağ eşleme
- Hizmet zinciri
- Sanal ağ geçidi
- Sanal ağ hizmet uç noktası
Sanal ağ eşleme ve hizmet zinciri
Sanal ağ eşleme ve hizmet zinciri Azure içindeki sanal ağların birbiriyle bağlantı kurmasına olanak tanır. Bu bağlantıyla aynı bölge içinde veya bölgeler arasında sanal makineler birbirleriyle iletişim kurabilir. Bu iletişim de varsayılan yol tablosunda daha fazla yol oluşturur. Hizmet zinciri, eşlenen ağlar arasında kullanıcı tanımlı yollar oluşturarak bu yolları geçersiz kılmanıza olanak tanır.
Aşağıdaki diyagramda eşlemenin yapılandırıldığı iki sanal ağ gösterilir. Kullanıcı tanımlı yollar trafiği bir NVA veya Azure VPN ağ geçidi üzerinden yönlendirmek için yapılandırılır.
Sanal ağ geçidi
İnternet üzerinden Azure ile şirket içi arasında ve Azure ağları arasında şifrelenmiş trafik göndermek için sanal ağ geçidi kullanın. Sanal ağ geçidi yönlendirme tabloları ve ağ geçidi hizmetleri içerir.
Sanal ağ hizmet uç noktası
Sanal ağ hizmet uç noktaları Azure kaynaklarınıza doğrudan bağlantı sağlayarak Azure'da özel adres alanınızı genişletir. Bu bağlantı trafik akışını kısıtlar: Azure sanal makineleriniz doğrudan özel adres alanından depolama hesabınıza erişebilir ve genel sanal makineden erişimi reddeder. Hizmet uç noktalarını etkinleştirdiğinizde, Azure bu trafiği yönlendirmek için yönlendirme tablosunda yollar oluşturur.
Özel yollar
Sistem yolları ortamınızı hızla çalıştır duruma getirmenizi kolaylaştırabilir. Ancak, ağınızdaki trafik akışını daha yakından denetlemek istediğiniz birçok senaryo vardır. Örneğin, trafiği NVA veya güvenlik duvarı üzerinden yönlendirmek isteyebilirsiniz. Özel yollarla bu denetimi yapabilirsiniz.
Özel yollar uygulamak için iki seçeneğiniz vardır: kullanıcı tanımlı bir yol oluşturun veya Azure ile şirket içi ağlar arasında yol alışverişi yapmak için Sınır Ağ Geçidi Protokolü 'ni (BGP) kullanın.
Kullanıcı tanımlı yollar
Trafiğin güvenlik duvarları veya NVA'lar aracılığıyla yönlendirilmesi için varsayılan sistem yollarını geçersiz kılmak için kullanıcı tanımlı bir yol kullanabilirsiniz.
Örneğin iki alt ağı bulunan bir ağınız olabilir ve çevre ağına güvenlik duvarı olarak kullanılacak bir sanal makine eklemek isteyebilirsiniz. Trafiğin güvenlik duvarından geçmesi ve doğrudan alt ağlar arasında gitmemesi için kullanıcı tanımlı bir yol oluşturabilirsiniz.
Kullanıcı tanımlı yolları oluştururken şu sonraki atlama türlerini belirtebilirsiniz:
- Sanal gereç: Sanal gereç genellikle ağınıza giren veya giden trafiği analiz etmek veya filtrelemek için kullanılan bir güvenlik duvarı cihazıdır. IP iletmenin etkinleştirilebilmesi için sanal makineye bağlı ağ arabirim kartının (NIC) özel IP adresini belirtebilirsiniz. İsterseniz bir iç yük dengeleyicinin özel IP adresini de sağlayabilirsiniz.
- Sanal ağ geçidi: Belirli bir adrese yönelik yolların bir sanal ağ geçidine ne zaman yönlendirilmesi gerektiğini belirtmek için kullanın. Sanal ağ geçidi sonraki atlama türü için VPN olarak belirtilir.
- Sanal ağ: Sanal ağ içindeki varsayılan sistem yolunu geçersiz kılmak için kullanın.
- İnternet: Trafiği İnternet'e yönlendirilen belirtilen adres ön ekine yönlendirmek için kullanın.
- Yok: Belirtilen adres ön ekine gönderilen trafiği bırakmak için kullanın.
Kullanıcı tanımlı yollarla, sonraki atlama türü olarak sanal ağ eşlemeyi gösteren VirtualNetworkServiceEndpoint seçeneğini belirtemezsiniz.
Kullanıcı tanımlı yollar için hizmet etiketleri
Açık IP aralığı yerine kullanıcı tanımlı bir yol için adres ön eki olarak bir hizmet etiketi belirtebilirsiniz. Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Bu nedenle, kullanıcı tanımlı yollara yönelik sık güncelleştirmelerin karmaşıklığını en aza indirir ve oluşturmanız gereken yol sayısını azaltır.
Sınır ağ geçidi protokolü
Şirket içi ağınızdaki ağ geçidi, BGP kullanarak Azure'da sanal ağ geçidi ile yolları karşılıklı değiştirebilir. BGP, normalde iki veya daha fazla ağ arasında yönlendirme bilgilerini değiştirmek için kullanılan standart yönlendirme protokolüdür. BGP, farklı konak ağ geçitleri gibi internet üzerindeki otonom sistemler arasında veri ve bilgi aktarmak için kullanılır.
Genellikle, Azure ExpressRoute aracılığıyla bir Azure veri merkezine bağlandığınızda Şirket içi yolları Azure'a tanıtmak için BGP kullanırsınız. Azure sanal ağına VPN siteler arası bağlantıyı kullanarak bağlanırken de BGP'yi yapılandırabilirsiniz.
Aşağıdaki diyagramda Azure VPN Gateway ile şirket içi ağları arasında veri geçirebilen yolların bulunduğu bir topoloji gösterilir:
BGP ağ kararlılığı sunar, çünkü bir bağlantı yolu kapanırsa yönlendiriciler paketleri göndermek için bağlantıları hızla değiştirebilir.
Yol seçimi ve önceliği
Yönlendirme tablosunda birden çok yol varsa, Azure en uzun ön ek eşleştirmesi olan yolu kullanır. Örneğin, 10.0.0.2 IP adresine bir ileti gönderilir, ancak 10.0.0.0/16 ve 10.0.0.0/24 ön ekleriyle iki yol sağlanır. Azure, daha belirgin olduğundan 10.0.0.0/24 ön ekiyle yolu seçer.
Yol ön eki ne kadar uzunsa bu ön ek aracılığıyla sağlanan IP adreslerinin listesi o kadar kısa olur. Daha uzun ön ekler kullandığınızda yönlendirme algoritması hedeflenen adresi daha hızlı seçebilir.
Aynı adres ön ekiyle birden fazla kullanıcı tanımlı yol yapılandıramazsınız.
Aynı adres ön ekiyle birden çok yol varsa Azure, aşağıdaki öncelik sırasına göre türüne göre yolu seçer:
- Kullanıcı tanımlı yollar
- BGP yolları
- Sistem yolları