Şirket içi bir ağı ExpressRoute kullanarak Azure’a bağlama

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile Azure ExpressRoute kullanarak bir şirket içi ağı Azure sanal ağına bağlamayı gösterir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Mimari aşağıdaki bileşenlerden oluşur.

• Şirket içi ağı. Bir kuruluşun içinde çalışan özel bir yerel ağ.
• VPN gereci. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet. VPN gereci bir donanım cihazı veya Windows Server 2012'deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir. Desteklenen VPN gereçlerinin listesini görmek ve Azure'a bağlanmak için belirli VPN gereçlerini yapılandırma hakkında bilgi edinmek istiyorsanız bkz. Siteden siteye VPN Gateway bağlantıları için VPN cihazları hakkında.
• ExpressRoute bağlantı hattı. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.
• ExpressRoute sanal ağ geçidi. ExpressRoute sanal ağ geçidi, Azure sanal ağının şirket içi ağınızla bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasını sağlar.
• VPN sanal ağ geçidi. VPN sanal ağ geçidi, Azure sanal ağının şirket içi ağdaki VPN aletine bağlanmasına olanak tanır. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.
• VPN bağlantısı. Bağlantının bağlantı türünü (IPSec) ve trafiğin şifrelenmesi için şirket içi VPN gereci ile paylaşılan anahtarı belirten özellikleri vardır.
• Azure sanal ağı. Her sanal ağ tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir. Uygulama katmanları, her sanal ağdaki alt ağlar kullanılarak bölümlenebilir.
• Ağ geçidi alt ağı. Sanal ağ geçitleri aynı alt ağda tutulur.

Bileşenler

• Azure ExpressRoute
• Azure VPN Ağ Geçidi
• Azure Sanal Ağ

Senaryo ayrıntıları

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile ExpressRoute kullanarak bir şirket içi ağı azure sanal ağına bağlamayı gösterir. ExpressRoute bağlantısı üzerinden şirket içi ağ ile Azure sanal ağı arasındaki trafik akışları. ExpressRoute bağlantı hattında bağlantı kaybı olursa trafik bir IPSec VPN tüneli üzerinden yönlendirilir. Bu çözümü dağıtın.

ExpressRoute bağlantı hattı kullanılamıyorsa VPN yolunun yalnızca özel eşleme bağlantılarını işleyeceğini unutmayın. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçer.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Sanal ağ ve GatewaySubnet

ExpressRoute sanal ağ geçidi bağlantısını ve VPN sanal ağ geçidi bağlantısını, zaten mevcut olan bir Gateway nesnesiyle aynı sanal ağda oluşturun. Her ikisi de GatewaySubnet adlı aynı alt ağı paylaşır.

Sanal ağ zaten GatewaySubnet adlı bir alt ağ içeriyorsa, /27 veya daha büyük bir adres alanına sahip olduğundan emin olun. Mevcut alt ağ çok küçükse, aşağıdaki PowerShell komutunu kullanarak alt ağı kaldırın:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Sanal ağ GatewaySubnet adlı bir alt ağ içermiyorsa, aşağıdaki PowerShell komutunu kullanarak yeni bir alt ağ oluşturun:

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN ve ExpressRoute ağ geçitleri

Kuruluşunuzun Azure'a bağlanmaya ilişkin ExpressRoute ön koşul gereksinimlerini karşıladığını doğrulayın.

Azure sanal ağınızda zaten bir VPN sanal ağ geçidi varsa, kaldırmak için aşağıdaki PowerShell komutunu kullanın:

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve Şirket içi VPN ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

Sanal ağ geçidi bağlantılarını oluşturduktan sonra ortamı aşağıdaki gibi test edin:

1. Şirket içi ağınızdan Azure sanal ağınıza bağlanabildiğinizden emin olun.
2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.
3. VPN sanal ağ geçidi bağlantısını kullanarak şirket içi ağınızdan Azure sanal ağınıza hala bağlanabildiğinizi doğrulayın.
4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Azure güvenliğiyle ilgili dikkat edilmesi gereken genel noktalar için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

ExpressRoute maliyetle ilgili dikkat edilmesi gerekenler için şu makalelere bakın:

• Azure ExpressRoute ile Karma Ağ Mimarisi yapılandırmada maliyetle ilgili dikkat edilmesi gerekenler.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

ExpressRoute DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ExpressRoute ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Siteden siteye VPN DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ve Şirket içi VPN ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Bu senaryoyu dağıtın

Önkoşullar. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.

1. Aşağıdaki bağlantıyı seçin.

   

2. Bağlantının Azure portalında açılmasını bekleyin, ardından bu kaynakları dağıtmak veya yeni bir kaynak grubu oluşturmak istediğiniz Kaynak grubunu seçin. Bölge ve Konum, kaynak grubuyla eşleşecek şekilde otomatik olarak değişir.

3. Ortamınız için kaynak adlarını, sağlayıcıları, SKU'yu veya ağ IP adreslerini değiştirmek istiyorsanız kalan alanları güncelleştirin.

4. Bu kaynakları dağıtmak için Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

5. Dağıtımın tamamlanmasını bekleyin.

   Not

   Bu şablon dağıtımı yalnızca aşağıdaki kaynakları dağıtır:

   • Kaynak grubu (yeni oluşturursanız)
   • ExpressRoute bağlantı hattı
   • Azure sanal ağı
   • ExpressRoute sanal ağ geçidi

   Şirket içinden ExpressRoute bağlantı hattına özel eşleme bağlantısını başarıyla kurabilmeniz için hizmet sağlayıcınızla bağlantı hattı hizmet anahtarıyla etkileşim kurmanız gerekir. Hizmet anahtarı ExpressRoute bağlantı hattı kaynağının genel bakış sayfasında bulunabilir. ExpressRoute bağlantı hattınızı yapılandırma hakkında daha fazla bilgi için bkz . Eşleme yapılandırmasını oluşturma veya değiştirme. Özel eşlemeyi başarıyla yapılandırdıktan sonra ExpressRoute sanal ağ geçidini bağlantı hattına bağlayabilirsiniz. Daha fazla bilgi için bkz. Öğretici: Azure portalını kullanarak ExpressRoute bağlantı hattına sanal ağ Bağlan.

6. Siteden siteye VPN'in ExpressRoute'a yedek olarak dağıtımını tamamlamak için bkz . Siteden siteye VPN bağlantısı oluşturma.

7. ExpressRoute'u yapılandırdığınız aynı şirket içi ağa vpn bağlantısını başarıyla yapılandırdıktan sonra eşleme konumunda toplam hata olması durumunda ExpressRoute bağlantınızı yedekleme kurulumunu tamamlamış olursunuz.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Sarah Parkes | Üst Düzey Bulut Çözümü Mimarı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• ExpressRoute Belgeleri
• ExpressRoute için Azure Güvenlik temeli
• ExpressRoute devresi oluşturma
• Azure Ağ Blogu
• PowerShell kullanarak ExpressRoute ve Siteden Siteye bağlantıları birlikte yapılandırma

İlgili kaynaklar

• Karma mimari tasarım
• Azure hibrit seçenekleri
• Azure'da merkez-uç ağ topolojisi
• Uçlar arası ağ iletişimi
• Şirket içi ağı Azure'a Bağlan
• ExpressRoute kullanarak şirket içi ağı genişletme
• Güvenli bir karma ağ uygulama
• Şirket içi AD'yi Azure ile tümleştirme