Azure sanal özel ağlarını açıklama

  • 5 dakika

Sanal özel ağ (VPN), başka bir ağ içinde şifrelenmiş bir tünel kullanır. VPN'ler genellikle güvenilmeyen bir ağ (genellikle genel İnternet) üzerinden iki veya daha fazla güvenilen özel ağı birbirine bağlamak için dağıtılır. Trafik, izinsiz dinlemeyi veya diğer saldırıları engellemek için güvenilmeyen ağ üzerinden yolculuk yaparken şifrelenir. VPN'ler ağların hassas bilgileri güvenli ve güvenli bir şekilde paylaşmasını sağlayabilir.

VPN ağ geçitleri

VPN ağ geçidi bir sanal ağ geçidi türüdür. Azure VPN Gateway örnekleri sanal ağın ayrılmış bir alt ağına dağıtılır ve aşağıdaki bağlantıyı etkinleştirir:

  • Şirket içi veri merkezlerini siteler arası bağlantı aracılığıyla sanal ağlara bağlama.
  • Belirli cihazları noktadan siteye bağlantı aracılığıyla sanal ağlara bağlama.
  • Sanal ağları ağdan ağa bağlantı aracılığıyla diğer sanal ağlara bağlama.

Tüm veri aktarımı, internetten geçerken özel bir tünel içinde şifrelenir. Her sanal ağa yalnızca bir VPN ağ geçidi dağıtabilirsiniz. Ancak, diğer sanal ağları veya şirket içi veri merkezlerini içeren birden çok konuma bağlanmak için bir ağ geçidi kullanabilirsiniz.

VPN ağ geçidini ayarlarken, VPN türünü belirtmeniz gerekir( ilke tabanlı veya rota tabanlı). Bu iki tür arasındaki birincil ayrım, hangi trafiğin şifrelenmesi gerektiğini nasıl belirledikleridir. Azure'da VPN türünden bağımsız olarak kullanılan kimlik doğrulama yöntemi önceden paylaşılan bir anahtardır.

  • İlke tabanlı VPN ağ geçitleri, her bir tünel aracılığıyla şifrelenmesi gereken paketlerin IP adresini statik olarak belirler. Bu cihaz türü, her veri paketini bu IP adresi kümelerine göre değerlendirerek bu paketin gönderileceği tüneli belirler.
  • Yol tabanlı ağ geçitlerinde IPSec tünelleri ağ arabirimi veya sanal tünel arabirimi olarak modellenir. IP yönlendirmesi (statik yollar veya dinamik yönlendirme protokolleri), her bir paket gönderilirken bu tünel arabirimlerinden hangisinin kullanılacağına karar verir. Yol tabanlı VPN'ler şirket içi cihazlar için tercih edilen bağlantı yöntemidir. Yeni alt ağların oluşturulması gibi topoloji değişikliklerine karşı daha dayanıklıdır.

Aşağıdaki bağlantı türlerinden herhangi birine ihtiyacınız olduğunda yol tabanlı VPN ağ geçidi kullanın:

  • Sanal ağlar arasında bağlantılar
  • Noktadan siteye bağlantılar
  • Çok siteli bağlantılar
  • Azure ExpressRoute ağ geçidiyle birlikte kullanım

Yüksek kullanılabilirlik senaryoları

Bilgilerinizi güvende tutmak için bir VPN yapılandırıyorsanız, bunun yüksek oranda kullanılabilir ve hataya dayanıklı bir VPN yapılandırması olduğundan da emin olmak istersiniz. VPN ağ geçidinizin dayanıklılığını en üst düzeye çıkarmanın birkaç yolu vardır.

Etkin/beklemede

Azure’da yalnızca bir VPN ağ geçidi kaynağı görseniz bile varsayılan olarak, VPN ağ geçitleri etkin/beklemede yapılandırmasında iki örnek olarak dağıtılır. Planlı bakım veya plansız kesintiler etkin örneği etkilediğinde, bekleyen örnek herhangi bir kullanıcı müdahalesi olmadan otomatik olarak bağlantıların sorumluluğunu üstlenir. Bu yük devretme sırasında bağlantılar kesilir ama normalde planlı bakımda birkaç saniye içinde ve plansız kesintilerde 90 saniye içinde geri yüklenir.

Etkin/etkin

BGP yönlendirme protokolü desteğinin sunulmasıyla birlikte, VPN ağ geçitlerini de etkin/etkin bir yapılandırmada dağıtabilirsiniz. Bu yapılandırmada her örneğe benzersiz bir genel IP adresi atarsınız. Ardından şirket içi cihazdan her IP adresine ayrı tüneller oluşturursunuz. Şirket içinde ek bir VPN cihazı dağıtarak yüksek kullanılabilirliğin kapsamını genişletebilirsiniz.

ExpressRoute yük devretme

Bir diğer yüksek kullanılabilirlik seçeneği de ExpressRoute bağlantıları için VPN ağ geçidini güvenli bir yük devretme yolu olarak yapılandırmaktır. ExpressRoute bağlantı hatları yerleşik olarak dayanıklıdır. Ancak, bağlantı sağlayan kabloları etkileyen fiziksel sorunlara veya ExpressRoute konumunun tamamını etkileyen kesintilere karşı bağışıklığı yoktur. ExpressRoute bağlantı hattındaki bir kesintinin riskli olduğu ve kullanılabilirliğin yüksek olduğu senaryolarda, interneti alternatif bağlantı yöntemi olarak kullanan bir VPN ağ geçidi sağlayabilirsiniz. Bu şekilde her zaman sanal ağ bağlantısı olmasını sağlayabilirsiniz.

Alanlar arası yedekli ağ geçitleri

Kullanılabilirlik alanlarını destekleyen bölgelerde, VPN ve ExpressRoute ağ geçitleri alanlar arası yedekli bir yapılandırmada dağıtılabilir. Bu yapılandırma, sanal ağ geçitlerine dayanıklılık, ölçeklenebilirlik ve daha yüksek kullanılabilirlik getirir. Ağ geçitlerini Azure kullanılabilirlik alanları içinde dağıtmak, bir bölge içindeki ağ geçitlerini fiziksel ve mantıksal olarak birbirinden ayırırken, Azure ile şirket içi ağ bağlantınızı alan düzeyindeki hatalardan korur. Bu ağ geçitleri için farklı ağ geçidi stok tutma birimleri (SKU) gerekir ve Temel genel IP adresleri yerine Standart genel IP adresleri kullanılır.