Ağ IP adreslemesi ve tümleştirmesi
Azure sanal ağındaki kaynakları şirket içi ağınızdaki kaynaklarla tümleştirmek için, söz konusu kaynakları nasıl bağlayabileceğinizi ve IP adreslerini nasıl yapılandıracağınızı anlamanız gerekir.
Üretim şirketiniz iş açısından kritik bir veritabanını Azure'a geçirmek istiyor. Masaüstü bilgisayarlar, dizüstü bilgisayarlar ve mobil cihazlardaki istemci uygulamalarının, aynı veritabanının şirket içi ağında kaldığında olduğu gibi veritabanına sürekli erişimleri olması gerekir. Veritabanı sunucusunu kullanıcıları etkilemeden taşımak istersiniz.
Bu ünitede tipik bir şirket içi ağ tasarımına göz atacak ve bunu tipik bir Azure ağ tasarımıyla karşılaştıracaksınız. Ayrıca bir Azure ağını şirket içi ağlarla tümleştirdiğinizde IP adresleme gereksinimleri hakkında da bilgi edineceksiniz.
Şirket içi IP adresleme
Tipik bir şirket içi ağının tasarımı şu bileşenleri içerir:
- Yönlendiriciler
- Güvenlik duvarları
- Anahtarlar
- Ağ segmentasyonu
Yukarıdaki diyagramda tipik bir şirket içi ağın basitleştirilmiş bir sürümü gösterilmektedir. İnternet servis sağlayıcısına (ISS) yönelik yönlendiricilerde, giden İnternet trafiğinizin kaynak olarak kullandığı genel IP adresleriniz vardır. Bu adresler aynı zamanda İnternet genelinde gelen trafik için de kullanılır. ISS, cihazlarınıza atamak için size bir IP adresi bloğu verebilir veya kuruluşunuzun sahip olduğu ve denetleyebileceği kendi genel IP adresleri bloğunuz olabilir. Bu adresleri, web sunucuları gibi İnternet'ten erişilebilir hale getirmek istediğiniz sistemlere atayabilirsiniz.
Çevre ağının ve iç bölgenin özel IP adresleri vardır. Çevre ağında ve iç bölgede, bu cihazlara atanan IP adreslerine İnternet üzerinden erişilemez. Yöneticinin IP adresi ataması, ad çözümlemesi, güvenlik ayarları ve güvenlik kuralları üzerinde tam denetimi olur. İnternet yönlendiricileri üzerinden gönderilmeyecek iç ağlar için tasarlanmış üç yönlendirilemez IP adresi aralığı vardır:
- 10.0.0.0 - 10.255.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
Yönetici ağ cihazlarını ve hizmetlerini barındırmak için şirket içi alt ağlarını ekleyebilir ve kaldırabilir. Şirket içi ağınızda bulunabilecek alt ağların ve IP adreslerinin sayısı, IP adresi bloğunun Sınıfsız Etki Alanları Arası Yönlendirmesine (CIDR) bağlıdır.
Azure IP adreslemesi
Azure sanal ağları özel IP adresleri kullanır. Özel IP adresi aralıkları, şirket içi IP adreslemesi için olanlarla aynıdır. Şirket içi ağlarındaki gibi, yönetici Azure sanal ağında IP adresi ataması, ad çözümlemesi, güvenlik ayarları ve güvenlik kuralları üzerinde tam denetim sahibidir. Yönetici, IP adresi bloğunun CIDR'sine bağlı olarak alt ağları ekleyebilir veya kaldırabilir.
Tipik bir Azure ağ tasarımı genellikle şu bileşenlere sahiptir:
- Sanal ağlar
- Alt ağlar
- Ağ güvenlik grupları
- Güvenlik duvarları
- Yük dengeleyiciler
Azure'da ağ tasarımı, şirket içi ağa benzer özelliklere ve işlevlere sahiptir, ancak ağın yapısı farklıdır. Azure ağı tipik şirket içi hiyerarşik ağ tasarımını izlemez. Azure ağı, isteğe bağlı olarak altyapının ölçeğini artırmanıza ve azaltmanıza olanak tanır. Azure ağında sağlama işlemi birkaç saniye içinde gerçekleşir. Yönlendiriciler veya anahtarlar gibi donanım cihazları yoktur. Altyapının tamamı sanaldır ve gereksinimlerinize uygun öbekler halinde dilimleyebilirsiniz.
Azure'da genellikle bir ağ güvenlik grubu ve güvenlik duvarı uygularsınız. Web sunucuları ve DNS dahil olmak üzere ön uç hizmetlerini ve veritabanları ve depolama sistemleri gibi arka uç hizmetlerini yalıtmak için alt ağları kullanırsınız. Ağ güvenlik grupları ağ katmanında iç ve dış trafiği filtreler. Güvenlik duvarı, ağ katmanı filtreleme ve uygulama katmanı filtreleme için daha kapsamlı özelliklere sahiptir. Hem ağ güvenlik gruplarının hem de güvenlik duvarının dağıtımını yaparak, güvenli bir ağ mimarisi için kaynaklarda daha gelişmiş bir yalıtım elde edersiniz.
Azure sanal ağlarının temel özellikleri
Sanal ağ, sizin buluttaki ağınızdır. Sanal ağınızı birden fazla alt ağa bölebilirsiniz. Her alt ağ, sanal ağınıza atanan IP adresi alanının bir bölümünü içerir. Alt ağın içinde dağıtılmış VM'ler veya hizmetler yoksa alt ağı ekleyebilir, kaldırabilir, genişletebilir veya daraltabilirsiniz.
Varsayılan olarak Azure sanal ağı içindeki tüm alt ağlar birbirleriyle iletişim kurabilir. Bununla birlikte bir ağ güvenlik grubu kullanarak alt ağlar arasındaki iletişimi reddedebilirsiniz. Boyutlandırmayla ilgili olarak, desteklenen en küçük alt ağ /29 alt ağ maskesi, desteklenen en büyük alt ağ ise /2 alt ağ maskesi kullanır. En küçük alt ağın sekiz IP adresi vardır ve en büyük alt ağ 1.073.741.824 IP adresine sahiptir.
Azure'ı şirket içi ağlarıyla tümleştirme
Azure'ı şirket içi ağlarla tümleştirmeye başlamadan önce, şirket içi ağın kullandığı geçerli özel IP adresi düzenini belirlemek önemlidir. Birbirine bağlı ağlarda IP adresi çakışması olamaz.
Örneğin şirket içi ağınızda 192.168.0.0/16 ve Azure sanal ağınızda da 192.168.10.0/24 kullanamazsınız. Bu aralıkların her ikisi de aynı IP adreslerini içerdiğinden trafik aralarında yönlendirilemiyor.
Öte yandan birden çok ağda aynı sınıf aralığınız olabilir. Örneğin şirket içi ağınızda 10.10.0.0/16 adres aralığını ve Azure ağınızda da 10.20.0.0/16 adres aralığını kullanabilirsiniz çünkü bunlar arasında çakışma yoktur.
BIR IP adresi şeması planlarken çakışmaları denetlemek çok önemlidir. IP adresleri çakışması olursa, şirket içi ağınızı Azure ağınızla tümleştiremezsiniz.