Azure Stack Hub sağlamlaştırılmış ağa giriş

Ağ tasarımına genel bakış

Fiziksel Ağ tasarımı

Azure Stack Hub sağlamlaştırılmış çözümü, çalışmasını ve hizmetlerini desteklemek için dayanıklı ve yüksek oranda kullanılabilir bir fiziksel altyapı gerektirir. ToR'dan Kenarlık anahtarlarına yukarı bağlantılar SFP+ veya SFP28 medya ve 1 GB, 10 GB veya 25 GB hızlarla sınırlıdır. Kullanılabilirlik için orijinal donanım üreticinize (OEM) başvurun.

Aşağıdaki diyagramda sağlamlaştırılmış Azure Stack Hub için önerilen tasarımımız gösterilmiştir.

Azure Stack Hub ruggedized physical network

Mantıksal ağ tasarımı

Mantıksal ağ tasarımı, fiziksel ağ altyapısının soyutlamasını temsil eder. Konaklar, sanal makineler (VM' ler) ve hizmetler için ağ atamalarını düzenlemek ve basitleştirmek için kullanılır. Mantıksal ağ oluşturma işleminin bir parçası olarak, aşağıdakileri tanımlamak için ağ siteleri oluşturulur:

  • sanal yerel ağlar (VLAN'lar)
  • IP alt ağları
  • IP alt ağı/VLAN çiftleri

Bunların tümü her fiziksel konumdaki mantıksal ağ ile ilişkilendirilir.

Aşağıdaki tabloda planlamanız gereken mantıksal ağlar ve ilişkili IPv4 alt ağ aralıkları gösterilmektedir:

Mantıksal Ağ Açıklama Boyut
Genel Sanal IP (VIP) Sağlamlaştırılmış Azure Stack Hub bu ağdan toplam 31 adres kullanır. Küçük bir Azure Stack Hub sağlamlaştırılmış hizmet kümesi için sekiz genel IP adresi, geri kalanı ise kiracı VM'leri tarafından kullanılır. App Service ve SQL kaynak sağlayıcılarını kullanmayı planlıyorsanız 7 adres daha kullanılır. Kalan 15 IP gelecekteki Azure hizmetleri için ayrılmıştır. /26 (62 konak)-
/22 (1022 konak)

Önerilen = /24 (254 konak)
Altyapıyı değiştirme Yönlendirme amacıyla noktadan noktaya IP adresleri, ayrılmış anahtar yönetimi arabirimleri ve anahtara atanan geri döngü adresleri. /26
Altyapı Azure Stack Hub sağlamlaştırılmış iç bileşenlerin iletişim kurması için kullanılır. /24
Özel Depolama ağı, özel VIP'ler, Altyapı kapsayıcıları ve diğer iç işlevler için kullanılır. /20
Temel Kart Yönetim Denetleyicisi (BMC) Fiziksel konaklardaki temel kart yönetim denetleyicileriyle iletişim kurmak için kullanılır. /26

Ağ Altyapısı

Dayanıklı Azure Stack Hub için ağ altyapısı, anahtarlarda yapılandırılan birkaç mantıksal ağdan oluşur. Aşağıdaki diyagramda bu mantıksal ağlar ve bunların raf üstü (TOR), temel kart yönetim denetleyicisi ve kenarlık (müşteri ağı) anahtarlarıyla nasıl tümleştirdikleri gösterilmektedir.

Azure Stack Hub sağlamlaştırılmış mantıksal ağ diyagramı:

Azure Stack Hub ruggedized logical network

BMC ağı

Bu ağ, tüm temel kart yönetim denetleyicilerini (BMC veya hizmet işlemcileri olarak da bilinir) yönetim ağına bağlamaya ayrılmıştır. Örnekler şunlardır: iDRAC, iLO, iBMC vb. Herhangi bir BMC düğümüyle iletişim kurmak için yalnızca bir BMC hesabı kullanılır. Varsa, Donanım Yaşam Döngüsü Ana Bilgisayarı (HLH) bu ağda bulunur ve donanım bakımı veya izlemesi için OEM'e özgü yazılım sağlayabilir.

HLH, Dağıtım VM'sini (DVM) de barındırıyor. DVM, Azure Stack Hub sağlamlaştırılmış dağıtımı sırasında kullanılır ve dağıtım tamamlandığında kaldırılır. DVM, birden çok bileşeni test etmek, doğrulamak ve erişmek için bağlı dağıtım senaryolarında İnternet erişimi gerektirir. Bu bileşenler şirket ağınızın içinde ve dışında olabilir (örneğin: NTP, DNS ve Azure). Bağlantı gereksinimleri hakkında daha fazla bilgi için Azure Stack Hub sağlamlaştırılmış güvenlik duvarı tümleştirmesinin NAT bölümüne bakın.

Özel ağ

/20 (4096 konak IP'leri) ağı, Dayanıklı Azure Stack Hub bölgesine özeldir. Azure Stack Hub sağlamlaştırılmış bölgesinin sınır anahtarı cihazlarının ötesine genişletilmez. Bu ağ birden çok alt ağa ayrılmıştır, örneğin:

  • Depolama ağ: Alanlar Doğrudan ve Sunucu İleti Bloğu (SMB) depolama trafiğinin ve VM dinamik geçişinin kullanımını desteklemek için kullanılan bir /25 (128 IP) ağı.
  • İç sanal IP ağı: Yazılım yük dengeleyici için yalnızca dahili VIP'lere ayrılmış bir /25 ağı.
  • Kapsayıcı ağı: Altyapı hizmetlerini çalıştıran kapsayıcılar arasındaki yalnızca iç trafiğe ayrılmış bir /23 (512 IP) ağı

Özel Ağın boyutu/20 (4096 IP) özel IP alanıdır. Bu ağ, Azure Stack Hub sağlamlaştırılmış sistemine özeldir. Azure Stack Hub sağlamlaştırılmış sisteminin sınır anahtarı cihazlarının ötesine yönlendirmez ve birden çok Azure Stack Hub sağlamlaştırılmış sisteminde yeniden kullanılabilir. Ağ, Dayanıklı Azure Stack Hub'a özel olsa da veri merkezindeki diğer ağlarla çakışmamalıdır. Özel IP alanıyla ilgili yönergeler için RFC 1918'i kullanmanızı öneririz.

/20 Özel IP alanı, Azure Stack Hub sağlamlaştırılmış sistem altyapısının gelecek sürümlerde kapsayıcılar üzerinde çalışmasını sağlayan birden çok ağa ayrılmıştır. Ayrıntılar için 1910 sürüm notlarına bakın. Bu yeni Özel IP alanı, dağıtımdan önce gerekli yönlendirilebilir IP alanını azaltmak için devam eden çabalara olanak tanır.

Azure Stack Hub sağlamlaştırılmış altyapı ağı

/24 ağı, kendi aralarında iletişim kurmak ve veri alışverişi yapmak için iç Azure Stack Hub sağlamlaştırılmış bileşenlerine ayrılmıştır. Bu alt ağ Azure Stack Hub sağlamlaştırılmış çözümünün dışından veri merkezinize yönlendirilebilir. Bu alt ağda Genel veya İnternet'e yönlendirilebilir IP adreslerinin kullanılmasını önermiyoruz . Bu ağ Kenarlık'a tanıtılır, ancak IP'lerinin çoğu Access Control Listeleri (ACL' ler) tarafından korunur. Erişim için izin verilen IP'ler küçük bir aralıktadır ve /27 ağıyla eşdeğerdir. IP'ler ayrıcalıklı uç nokta (PEP) ve Azure Stack Hub sağlamlaştırılmış Yedekleme gibi hizmetleri barındırılır.

Genel VIP ağı

Genel VIP Ağı, Dayanıklı Azure Stack Hub'daki ağ denetleyicisine atanır. Anahtardaki mantıksal bir ağ değil. SLB, adres havuzunu kullanır ve kiracı iş yükleri için /32 ağları atar. Anahtar yönlendirme tablosunda, bu /32 IP'leri Sınır Ağ Geçidi Protokolü (BGP) aracılığıyla kullanılabilir bir yol olarak tanıtılır. Bu ağ, dışarıdan erişilebilen genel adresleri içerir. Azure Stack Hub sağlamlaştırılmış altyapısı, bu Genel VIP Ağı'ndan ilk 31 adresi ayırırken, geri kalanı kiracı VM'ler tarafından kullanılır. Bu alt ağdaki ağ boyutu en az /26 (64 konak) ile /22 (1022 konak) arasında değişebilir. /24 ağı planlamanızı öneririz.

Altyapı ağını değiştirme

/26 ağı, yönlendirilebilir noktadan noktaya IP /30 (iki ana bilgisayar IP'leri) alt ağlarını ve geri döngüleri içeren alt ağdır. Bunlar bant içi anahtar yönetimi ve BGP yönlendirici kimliği için ayrılmış /32 alt ağlarıdır. Bu IP adresi aralığı, Azure Stack Hub sağlamlaştırılmış çözümünün dışında veri merkezinize yönlendirilebilir olmalıdır. IP adresleri özel veya genel olabilir.

Anahtar yönetimi ağı

/29 (altı konak IP) ağı, anahtarların yönetim bağlantı noktalarını bağlamaya ayrılmıştır. Bu ağ dağıtım, yönetim ve sorun giderme için bant dışı erişime izin verir. Yukarıda bahsedilen anahtar altyapısı ağından hesaplanır.

DNS tasarımına genel bakış

Sağlamlaştırılmış Azure Stack Hub dışından Dayanıklı Azure Stack Hub uç noktalarına (portal, yönetim, yönetim, yönetim) erişmek için, Dayanıklı Azure Stack Hub DNS hizmetlerini, Dayanıklı Azure Stack Hub'da kullanmak istediğiniz DNS bölgelerini barındıran DNS sunucularıyla tümleştirmeniz gerekir.

Azure Stack Hub sağlamlaştırılmış DNS ad alanı

Dayanıklı Azure Stack Hub'ı dağıtırken DNS ile ilgili bazı önemli bilgileri sağlamanız gerekir.

Alan Açıklama Örnek
Bölge Azure Stack Hub sağlamlaştırılmış dağıtımınızın coğrafi konumu. doğu
Dış Etki Alanı Adı Azure Stack Hub sağlamlaştırılmış dağıtımınız için kullanmak istediğiniz bölgenin adı. cloud.fabrikam.com
İç Etki Alanı Adı Sağlamlaştırılmış Azure Stack Hub'daki altyapı hizmetleri için kullanılan iç bölgenin adı. Dizin Hizmeti ile tümleşik ve özeldir (Azure Stack Hub sağlamlaştırılmış dağıtımının dışından erişilemez). azurestack.local
DNS İleticileri Kurumsal intranette veya genel İnternet'te Dayanıklı Azure Stack Hub dışında barındırılan DNS sorgularını, DNS bölgelerini ve kayıtları iletmek için kullanılan DNS sunucuları. Dns İleticisi değerini dağıtımdan sonra Set-AzSDnsForwarder cmdlet'iyle düzenleyebilirsiniz.
Adlandırma Ön Eki (İsteğe bağlı) Azure Stack Hub sağlamlaştırılmış altyapı rolü örneği makine adlarının sahip olmasını istediğiniz adlandırma ön eki. Sağlanmadıysa, varsayılan değer "azs" olur. azs

Azure Stack Hub sağlamlaştırılmış dağıtımınızın ve uç noktalarınızın tam etki alanı adı (FQDN), Region parametresiyle Dış Etki Alanı Adı parametresinin birleşimidir. Önceki tabloda yer alan örneklerden alınan değerleri kullanarak bu Azure Stack Hub sağlamlaştırılmış dağıtımının FQDN'sini şu şekilde east.cloud.fabrikam.com

Bu nedenle, bu dağıtım için bazı uç noktaların örnekleri aşağıdaki URL'lere benzer olacaktır:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Azure Stack Hub sağlamlaştırılmış dağıtımında bu örnek DNS ad alanını kullanmak için aşağıdaki koşullar gereklidir:

  • Bölge fabrikam.com bir etki alanı kayıt şirketine, iç kurumsal DNS sunucusuna veya her ikisine de kaydedilir. Kayıt, ad çözümleme gereksinimlerinize bağlıdır.
  • Alt etki alanı cloud.fabrikam.com bölge fabrikam.com altında bulunur.
  • Bölgeleri fabrikam.com ve cloud.fabrikam.com barındıran DNS sunucularına Azure Stack Hub sağlamlaştırılmış dağıtımından erişilebilir.

Dayanıklı Azure Stack Hub uç noktalarının VE Azure Stack Hub dışındaki örneklerin DNS adlarını çözmek için DNS sunucularını tümleştirmeniz gerekir. Kullanmak istediğiniz üst bölgeyi barındıran DNS sunucularıyla, Dayanıklı Azure Stack Hub için dış DNS bölgesini barındıran sunucuları dahil edin.

DNS ad etiketleri

Sağlamlaştırılmış Azure Stack Hub, genel IP adresleri için ad çözümlemesine izin vermek için genel IP adresine DNS ad etiketi eklemeyi destekler. DNS etiketleri, kullanıcıların Azure Stack Hub'da barındırılan uygulamalara ve hizmetlere ada göre dayanıklı bir şekilde erişmesi için kullanışlı bir yoldur. DNS ad etiketi, altyapı uç noktalarına göre biraz farklı bir ad alanı kullanır. Önceki örnek ad alanının ardından, DNS ad etiketlerinin ad alanı şöyle olacaktır: *.east.cloudapp.cloud.fabrikam.com.

Bir kiracı genel IP adresi kaynağının DNS adı alanında Myapp değerini belirtirse, Azure Stack Hub sağlamlaştırılmış dış DNS sunucusunda east.cloudapp.cloud.fabrikam.com bölgede myapp için bir A kaydı oluşturur. Sonuçta elde edilen tam etki alanı adı: myapp.east.cloudapp.cloud.fabrikam.com.

Bu işlevden yararlanmak ve bu ad alanını kullanmak istiyorsanız, DNS sunucularını tümleştirmeniz gerekir. Dayanıklı Azure Stack Hub için dış DNS bölgesini barındıran sunucular ve kullanmak istediğiniz üst bölgeyi barındıran DNS sunucuları da dahil. Bu ad alanı, Dayanıklı Azure Stack Hub hizmet uç noktaları için kullanılandan farklıdır, bu nedenle ek bir temsilci veya koşullu iletme kuralı oluşturmanız gerekir.

DNS Adı etiketinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. Azure Stack Hub'da "DNS kullanma" dayanıklı.

Çözümleme ve temsilci seçme

İki tür DNS sunucusu bulunur:

  • Yetkili DNS sunucusu DNS bölgelerini barındırır. Bu sunucu, yalnızca bu bölgelerdeki kayıtlar için DNS sorgularını yanıtlar.
  • Özyinelemeli BIR DNS sunucusu DNS bölgelerini barındırmaz. Bu sunucu, tüm DNS sorgularını yanıtlamak için yetkili DNS sunucularını çağırarak ihtiyacı olan verileri toplar.

Dayanıklı Azure Stack Hub hem yetkili hem de özyinelemeli DNS sunucuları içerir. Özyinelemeli sunucular, iç özel bölge ve Azure Stack Hub sağlamlaştırılmış dağıtımı için dış genel DNS bölgesi dışında her şeyin adlarını çözümlemek için kullanılır.

Dayanıklı Azure Stack Hub'dan dış DNS adlarını çözümleme

Dayanıklı Azure Stack Hub dışındaki uç noktaların DNS adlarını çözümlemek için (örneğin: www.bing.com), Dayanıklı Azure Stack Hub'ın DNS isteklerini iletecek şekilde dayanıklı hale getirilmiş DNS sunucuları sağlamanız gerekir. Bu sunucularda Dayanıklı Azure Stack Hub yetkili değildir. Azure Stack Hub'ın dayanıklı bir şekilde istekleri ilettiği DNS sunucuları, Dağıtım Çalışma Sayfası'nda (DNS İleticisi alanında) gereklidir. Hataya dayanıklılık için bu alanda en az iki sunucu sağlayın. Bu değerler olmadan Azure Stack Hub sağlamlaştırılmış dağıtımı başarısız olur. Dns İleticisi değerlerini dağıtımdan sonra Set-AzSDnsForwarder cmdlet'iyle düzenleyebilirsiniz.

Güvenlik duvarı tasarımına genel bakış

Azure Stack Hub'ın sağlamlaştırılmış güvenliğini sağlamaya yardımcı olmak için bir güvenlik duvarı cihazı kullanmanız önerilir. Güvenlik duvarları dağıtılmış hizmet reddi (DDOS) saldırılarına, yetkisiz erişim algılamaya ve içerik denetimine karşı savunmaya yardımcı olabilir. Ancak bloblar, tablolar ve kuyruklar gibi Azure depolama hizmetleri için aktarım hızı performans sorununa da neden olabilir.

Bağlantısız dağıtım modu kullanılıyorsa AD FS uç noktasını yayımlamanız gerekir. Daha fazla bilgi için veri merkezi tümleştirme kimliği makalesine bakın.

Azure Resource Manager (yönetici), yönetici portalı ve Key Vault (yönetici) uç noktaları için mutlaka dış yayımlama gerekmez. Örneğin, bir hizmet sağlayıcısı olarak saldırı yüzeyini İnternet'ten değil yalnızca ağınızın içinden sağlamlaştırılmış Azure Stack Hub'ı yöneterek sınırlayabilirsiniz.

Kurumsal kuruluşlar için dış ağ mevcut kurumsal ağ olabilir. Bu senaryoda, kurumsal ağdan sağlamlaştırılmış Azure Stack Hub'ı çalıştırmak için uç noktaları yayımlamanız gerekir.

Ağ Adresi Çevirisi

Ağ Adresi Çevirisi (NAT), dağıtım sanal makinesinin (DVM) dağıtım sırasında dış kaynaklara erişmesine izin vermek için önerilen yöntemdir. Ayrıca, kayıt ve sorun giderme sırasında Acil Durum Kurtarma Konsolu (ERCS) VM'leri veya ayrıcalıklı uç nokta (PEP) için.

NAT, dış ağdaki genel IP adreslerine veya genel VIP'lere de alternatif olabilir. Ancak, kiracı kullanıcı deneyimini sınırladığı ve karmaşıklığı artırdığı için bunun yapılması önerilmez. Bir seçenek, havuzda kullanıcı IP'si başına bir genel IP gerektiren bire bir NAT olabilir. Bir diğer seçenek, bir kullanıcının kullanabileceği tüm bağlantı noktaları için kullanıcı VIP'sine nat kuralı gerektiren çoka bir NAT'dir.

Genel VIP için NAT kullanmanın bazı dezavantajları şunlardır:

  • Kullanıcılar kendi uç noktalarını ve yazılım tanımlı ağ (SDN) yığınında yayımlama kurallarını denetledikçe güvenlik duvarı kurallarını yönetirken oluşan ek yük. Kullanıcıların VIP'lerini yayımlamak ve bağlantı noktası listesini güncelleştirmek için Azure Stack Hub sağlamlaştırılmış operatörüne başvurması gerekir.
  • NAT kullanımı kullanıcı deneyimini sınırlasa da, yayımlama istekleri üzerinde işleç üzerinde tam denetim sağlar.
  • Azure ile karma bulut senaryoları için Azure'ın NAT kullanarak uç noktaya VPN tüneli ayarlamayı desteklemediğini göz önünde bulundurun.

SSL kesme noktası

Şu anda tüm Azure Stack Hub sağlamlaştırılmış trafiğinde SSL kesmesini (örneğin şifre çözme boşaltma) devre dışı bırakmanız önerilir. Gelecekteki güncelleştirmelerde destekleniyorsa, dayanıklı Azure Stack Hub için SSL kesme özelliğini etkinleştirme hakkında rehberlik sağlanacaktır.

Edge dağıtım güvenlik duvarı senaryosu

Uç dağıtımında sağlamlaştırılmış Azure Stack Hub, doğrudan uç yönlendiricisinin veya güvenlik duvarının arkasına dağıtılır. Bu senaryolarda, güvenlik duvarının hem etkin-etkin hem de etkin-pasif güvenlik duvarı yapılandırmalarını desteklediği sınırın (Senaryo 1) üzerinde olması desteklenir. Yalnızca etkin-etkin güvenlik duvarı yapılandırmasını desteklediği sınır cihazı (Senaryo 2) olarak da görev yapabilir. Senaryo 2, yük devretme için BGP veya statik yönlendirme ile eşit maliyetli çok yollu (ECMP) kullanıyor.

Genel yönlendirilebilir IP adresleri, dağıtım zamanında dış ağdan genel VIP havuzu için belirtilir. Güvenlik amacıyla, uç senaryolarında diğer ağlarda genel yönlendirilebilir IP'ler önerilmez. Bu senaryo, kullanıcının Azure gibi bir genel bulutta olduğu gibi tam kendi kendini denetlediği bulut deneyimini yaşamasını sağlar.

Azure Stack Hub ruggedized edge firewall scenario

İntranet veya çevre ağı güvenlik duvarı senaryolarını Enterprise

Kurumsal intranet veya çevre dağıtımında dayanıklı Azure Stack Hub, çok bölgeli bir güvenlik duvarında veya uç güvenlik duvarı ile iç kurumsal ağ güvenlik duvarı arasında dağıtılır. Trafiği daha sonra aşağıda açıklandığı gibi güvenli, çevre ağı (veya DMZ) ve güvenli olmayan bölgeler arasında dağıtılır:

  • Güvenli bölge: İç veya şirket yönlendirilebilir IP adreslerini kullanan iç ağ. Güvenli ağ bölünebilir. Güvenlik Duvarı NAT üzerinden İnternet'e giden erişime sahip olabilir. Normalde veri merkezinizin içinden iç ağ üzerinden erişilebilir. Dış ağın genel VIP havuzu dışında sağlamlaştırılmış tüm Azure Stack Hub ağları güvenli bölgede bulunmalıdır.
  • Çevre bölgesi. Çevre ağı, Web sunucuları gibi dış veya İnternet'e yönelik uygulamaların genellikle dağıtıldığı yerdir. İnternet'ten belirtilen gelen trafiğe izin verirken DDoS ve yetkisiz erişim (korsanlık) gibi saldırılardan kaçınmak için normalde bir güvenlik duvarı tarafından izlenir. DMZ bölgesinde yalnızca sağlamlaştırılmış Azure Stack Hub'ın dış ağ genel VIP havuzu bulunmalıdır.
  • Güvenli olmayan bölge. Dış ağ, İnternet. Güvenli olmayan bölgede sağlamlaştırılmış Azure Stack Hub'ın dağıtılması önerilmez.

Perimeter network firewall scenario

VPN tasarımına genel bakış

VPN bir kullanıcı kavramı olsa da, çözüm sahibinin ve operatörün bilmesi gereken bazı önemli noktalar vardır.

Azure sanal ağınızla şirket içi siteniz arasında ağ trafiği gönderebilmeniz için önce sanal ağınız için bir sanal ağ geçidi (VPN) oluşturmanız gerekir.

VPN ağ geçidi bir ortak bağlantı üzerinde şifrelenmiş trafik gönderen sanal ağ geçidi türüdür. Vpn ağ geçitlerini kullanarak Dayanıklı Azure Stack Hub'daki bir sanal ağ ile Azure'daki bir sanal ağ arasında güvenli bir şekilde trafik gönderebilirsiniz. Ayrıca bir sanal ağ ile vpn cihazına bağlı başka bir ağ arasında güvenli bir şekilde trafik gönderebilirsiniz.

Bir sanal ağ geçidi oluştururken, oluşturmak istediğiniz ağ geçidi türünü belirtirsiniz. Dayanıklı Azure Stack Hub tek bir sanal ağ geçidi türünü destekler: Vpn türü.

Bir sanal ağın her ağ geçidi türünden yalnızca bir sanal ağ geçidi olabilir. Seçtiğiniz ayarlara bağlı olarak, tek bir VPN ağ geçidi ile birden fazla bağlantı oluşturabilirsiniz. Bu tür bir kurulum örneği, çok siteli bağlantı yapılandırmasıdır.

Sağlamlaştırılmış Azure Stack Hub için VPN ağ geçitleri oluşturup yapılandırmadan önce, Azure Stack Hub sağlamlaştırılmış ağ konusunda dikkat edilmesi gerekenleri gözden geçirin. Dayanıklı hale getirilmiş Azure Stack Hub yapılandırmalarının Azure'dan nasıl farklı olduğunu öğrenirsiniz.

Azure'da seçtiğiniz VPN ağ geçidi SKU'su için bant genişliği aktarım hızı, ağ geçidine bağlı tüm bağlantılara bölünmelidir. Ancak dayanıklı Azure Stack Hub'da VPN ağ geçidi SKU'su için bant genişliği değeri, ağ geçidine bağlı her bağlantı kaynağına uygulanır. Örneğin:

  • Azure'da temel VPN ağ geçidi SKU'su yaklaşık 100 Mb/sn toplam aktarım hızına sahip olabilir. Bu VPN ağ geçidine iki bağlantı oluşturursanız ve bir bağlantı 50 Mb/sn bant genişliği kullanıyorsa, diğer bağlantı için 50 Mb/sn kullanılabilir.
  • Dayanıklı Azure Stack Hub'da temel VPN ağ geçidi SKU'sunun her bağlantısına 100 Mb/sn aktarım hızı ayrılır.

VPN türleri

Vpn ağ geçidi yapılandırması için sanal ağ geçidi oluştururken bir VPN türü belirtmeniz gerekir. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır. VPN türü, kullandığınız donanıma da bağlı olabilir. S2S yapılandırmaları bir VPN cihazı gerektirir. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.

Önemli

Şu anda sağlamlaştırılmış Azure Stack Hub yalnızca yol tabanlı VPN türünü destekler. Cihazınız yalnızca ilke tabanlı VPN'leri destekliyorsa, dayanıklı Azure Stack Hub'dan bu cihazlara yönelik bağlantılar desteklenmez. Ayrıca, özel IPSec/IKE ilke yapılandırmaları desteklenmediğinden, sağlamlaştırılmış Azure Stack Hub şu anda rota tabanlı ağ geçitleri için ilke tabanlı trafik seçicileri kullanmayı desteklemez.

  • PolicyBased: İlke tabanlı VPN'ler, IPsec ilkelerine göre paketleri IPsec tünelleri aracılığıyla şifreler ve yönlendirir. İlkeler, şirket içi ağınız ile Azure Stack Hub sağlamlaştırılmış sanal ağı arasındaki adres ön eklerinin birleşimleriyle yapılandırılır. İlke veya trafik seçicisi genellikle VPN cihazı yapılandırmasındaki bir erişim listesidir. PolicyBased , Azure'da desteklenir ancak Dayanıklı Azure Stack Hub'da desteklenmez.
  • RouteBased: Rota tabanlı VPN'ler IP iletme veya yönlendirme tablosunda yapılandırılan yolları kullanır. Yollar paketleri ilgili tünel arabirimlerine yönlendirir. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. RouteBased VPN'ler için ilke veya trafik seçici herhangi bir noktadan herhangi birine olarak yapılandırılır (veya joker karakterler kullanır). Varsayılan olarak, değiştirilemezler. RouteBased VPN türünün değeri RouteBased'dir.

VPN ağ geçidi yapılandırma

VPN ağ geçidi bağlantısı, belirli ayarlarla yapılandırılmış çeşitli kaynaklara dayanır. Bu kaynakların çoğu ayrı olarak yapılandırılabilir, ancak bazı durumlarda belirli bir sırada yapılandırılmaları gerekir.

Ayarlar

Her kaynak için seçtiğiniz ayarlar, başarılı bir bağlantı oluşturmak için kritik öneme sahiptir.

Bu makale şunları anlamanıza yardımcı olur:

  • Ağ geçidi türleri, VPN türleri ve bağlantı türleri.
  • Ağ geçidi alt ağları, yerel ağ geçitleri ve dikkate almak isteyebileceğiniz diğer kaynak ayarları.

Bağlantı topolojisi diyagramları

VPN ağ geçidi bağlantıları için farklı yapılandırmalar mevcuttur. Gereksinimlerinize en uygun yapılandırmayı belirleyin. Aşağıdaki bölümlerde, aşağıdaki VPN ağ geçidi bağlantıları hakkındaki bilgileri ve topoloji diyagramlarını görüntüleyebilirsiniz:

  • Kullanılabilir dağıtım modeli
  • Kullanılabilir yapılandırma araçları
  • Varsa sizi doğrudan bir makaleye yönlendiren bağlantılar

Aşağıdaki bölümlerde yer alan diyagramlar ve açıklamalar gereksinimlerinize uygun bir bağlantı topolojisi seçmenize yardımcı olabilir. Diyagramlar ana temel topolojileri gösterir, ancak diyagramları kılavuz olarak kullanarak daha karmaşık yapılandırmalar oluşturmak mümkündür.

Siteden siteye ve çok siteli (IPsec/IKE VPN tüneli)

Siteden siteye

Siteden siteye (S2S) VPN ağ geçidi bağlantısı, IPsec/IKE (IKEv2) VPN tüneli üzerinden yapılan bir bağlantıdır. Bu bağlantı türü, şirket içinde bulunan ve genel IP adresi atanmış bir VPN cihazı gerektirir. Bu cihaz nat arkasında bulunamaz. S2S bağlantıları, şirket içi ve dışı yapılandırmalar ile birlikte karma yapılandırmalar için kullanılabilir.

Çoklu site

Çok siteli bağlantı, siteden siteye bağlantının bir çeşitlemesidir. Sanal ağ geçidinizden genellikle birden fazla şirket içi siteye bağlanan birden fazla VPN bağlantısı oluşturursunuz. Birden çok bağlantıyla çalışırken rota tabanlı VPN türü (klasik sanal ağlarla çalışırken dinamik ağ geçidi olarak bilinir) kullanmanız gerekir. Her sanal ağın yalnızca bir VPN ağ geçidi olabileceğinden, ağ geçidi boyunca tüm bağlantılar mevcut bant genişliğini paylaşır.

Ağ Geçidi SKU’ları

Dayanıklı Azure Stack Hub için bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz ağ geçidi SKU'sunu belirtirsiniz. Aşağıdaki VPN ağ geçidi SKU'ları desteklenir:

  • Temel
  • Standart
  • Yüksek Performans

Daha yüksek bir ağ geçidi SKU'su seçildiğinde ağ geçidine daha fazla CPU ve ağ bant genişliği ayrılır. Sonuç olarak, ağ geçidi sanal ağa daha yüksek ağ aktarım hızını destekleyebilir.

Dayanıklı Azure Stack Hub, yalnızca Express Route ile kullanılan Ultra Performance gateway SKU'yu desteklemez.

SKU'yu seçerken aşağıdakileri göz önünde bulundurun:

  • Dayanıklı Azure Stack Hub, ilke tabanlı ağ geçitlerini desteklemez.
  • BGP Temel SKU'da desteklenmez.
  • Bir arada bulunan ExpressRoute-VPN ağ geçidi yapılandırmaları, dayanıklı Azure Stack Hub'da desteklenmez.

Ağ geçidi kullanılabilirliği

Yüksek kullanılabilirlik senaryoları yalnızca Yüksek Performanslı Ağ Geçidi bağlantı SKU'su üzerinde yapılandırılabilir. Hem etkin/etkin hem de etkin/pasif yapılandırmalar aracılığıyla kullanılabilirlik sağlayan Azure'dan farklı olarak, sağlamlaştırılmış Azure Stack Hub yalnızca etkin/pasif yapılandırmayı destekler.

Yük devretme

Azure Stack Hub'da dayanıklı üç çok kiracılı ağ geçidi altyapısı VM'leri vardır. Bu VM'lerden ikisi etkin modda, üçüncüsü ise yedekli modda. Etkin VM'ler üzerinde VPN bağlantıları oluşturulmasını sağlar ve yedekli VM yalnızca yük devretme gerçekleştiğinde VPN bağlantılarını kabul eder. Etkin bir ağ geçidi VM kullanılamaz duruma gelirse, kısa bir süre (birkaç saniye) bağlantı kaybından sonra VPN bağlantısı yedekli VM'ye yük devredilir.

SKU'ya göre tahmini toplam verimlilik

Aşağıdaki tabloda ağ geçidi türleri ve ağ geçidi SKU'sunun tahmini toplam aktarım hızı gösterilmektedir:

VPN Gateway performansı (1) VPN Gateway maks. IPsec tüneli (2)
Temel SKU(3) 100 Mbps 20
Standart SKU 100 Mbps 20
Yüksek Performanslı SKU 200 Mb/sn 10

Tablo notları

(1) - VPN aktarım hızı, İnternet genelindeki şirket içi ve dışı bağlantılar için garanti edilen bir aktarım hızı değildir. Mümkün olan en yüksek aktarım hızı ölçümüdür.
(2) - Maksimum tüneller, tüm abonelikler için Azure Stack Hub dayanıklı dağıtımı başına toplam değerdir.
(3) - Temel SKU için BGP yönlendirmesi desteklenmez.

Önemli

Dayanıklı iki Azure Stack Hub dağıtımı arasında yalnızca bir siteden siteye VPN bağlantısı oluşturulabilir. Bunun nedeni platformda aynı IP adresine tek bir VPN bağlantısına izin veren bir sınırlamadır. Dayanıklı Azure Stack Hub, Azure Stack Hub sağlamlaştırılmış sistemindeki tüm VPN ağ geçitleri için tek bir genel IP kullanan çok kiracılı ağ geçidinden yararlandığından, dayanıklı iki Azure Stack Hub sistemi arasında yalnızca bir VPN bağlantısı olabilir.

Bu sınırlama, tek bir IP adresi kullanan herhangi bir VPN ağ geçidine birden fazla siteden siteye VPN bağlantısı bağlamak için de geçerlidir. Dayanıklı Azure Stack Hub, aynı IP adresi kullanılarak birden fazla yerel ağ geçidi kaynağının oluşturulmasına izin vermez.**

IPsec/IKE parametreleri

Sağlamlaştırılmış Azure Stack Hub'da bir VPN bağlantısı ayarladığınızda, bağlantıyı her iki uçta da yapılandırmanız gerekir. Dayanıklı Azure Stack Hub ile donanım cihazı arasında VPN bağlantısı yapılandırıyorsanız bu cihaz sizden ek ayarlar isteyebilir. Örneğin, VPN ağ geçidi olarak davranan bir anahtar veya yönlendirici.

Hem başlatıcı hem de yanıtlayıcı olarak birden çok teklifi destekleyen Azure'dan farklı olarak, Dayanıklı Azure Stack Hub varsayılan olarak yalnızca bir teklifi destekler. VPN cihazınızla çalışmak için farklı IPSec/IKE ayarları kullanmanız gerekiyorsa, bağlantınızı el ile yapılandırmak için kullanabileceğiniz daha fazla ayar vardır.

IKE Aşama 1 (Ana Mod) parametreleri

Özellik Değer
IKE Sürümü IKEv2
Diffie-Hellman Grubu ECP384
Kimlik Doğrulama Yöntemi Önceden Paylaşılan Anahtar
Şifreleme & Karma Algoritmaları AES256, SHA384
SA Yaşam Süresi (Zaman) 28.800 saniye

IKE Aşama 2 (Hızlı Mod) parametreleri

Özellik Değer
IKE Sürümü IKEv2
Şifreleme & Karma Algoritmaları (Şifreleme) GCMAES256
Şifreleme & Karma Algoritmaları (Kimlik Doğrulaması) GCMAES256
SA Yaşam Süresi (Zaman) 27.000 saniye
SA Yaşam Süresi (Kilobayt) 33,553,408
Kusursuz İletme Gizliliği (PFS) ECP384
Kullanılmayan Eş Algılama Destekleniyor

Özel IPSec/IKE bağlantı ilkelerini yapılandırma

IPsec ve IKE protokol standardı, çeşitli kombinasyonlarda çok çeşitli şifreleme algoritmalarını destekler. Uyumluluk veya güvenlik gereksinimlerini karşılamak üzere dayanıklı hale getirilmiş Azure Stack Hub'da hangi parametrelerin desteklendiğine bakmak için bkz. IPsec/IKE parametreleri.

Bu makalede, IPsec/IKE ilkesi oluşturma ve yapılandırma ve yeni veya var olan bir bağlantıya uygulama hakkında yönergeler sağlanır.

Dikkat edilmesi gerekenler

Bu ilkeleri kullanırken aşağıdaki önemli noktalara dikkat edin:

  • IPsec/IKE ilkesi yalnızca Standart ve Yüksek Performanslı (rota tabanlı) ağ geçidi SKU'larında çalışır.
  • Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.
  • Hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.
  • İlkenin şirket içi VPN cihazlarınızda desteklendiğinden emin olmak için VPN cihazı satıcı belirtimlerinize başvurun. İlkeler uyumsuzsa siteden siteye bağlantılar kurulamaz.

IPsec/IKE ilkesi oluşturmak ve ayarlamak için iş akışı

Bu bölümde, siteden siteye VPN bağlantısında IPsec/IKE ilkesini oluşturmak ve güncelleştirmek için gereken iş akışı özetlenmiştir:

  1. Sanal ağ ve VPN ağ geçidi oluşturma.
  2. Şirket içi bağlantılar için yerel bir ağ geçidi oluşturun.
  3. Seçili algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturun.
  4. IPsec/IKE ilkesiyle bir IPSec bağlantısı oluşturun.
  5. Var olan bir bağlantı için IPsec/IKE ilkesi ekleyin/güncelleştirin/kaldırın.

Desteklenen şifreleme algoritmaları ve anahtar güçlü yönleri

Aşağıdaki tabloda, Dayanıklı Azure Stack Hub müşterileri tarafından yapılandırılabilen desteklenen şifreleme algoritmaları ve önemli güçlü yanlar listelenmektedir:

IPsec/IKEv2 Seçenekler
IKEv2 Şifrelemesi AES256, AES192, AES128, DES3, DES
IKEv2 Bütünlüğü SHA384, SHA256, SHA1, MD5
DH Grubu ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec Şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Bütünlüğü GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
QM SA Yaşam Süresi (İsteğe bağlı: belirtilmezse varsayılan değerler kullanılır)
Saniye (tamsayı; en az 300/varsayılan 27.000 saniye)
KBytes (tamsayı; dk. 1024/varsayılan 102.400.000 KByte)
Trafik Seçicisi İlke tabanlı Trafik Seçicileri, dayanıklı Azure Stack Hub'da desteklenmez.

Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:

  • IKE şifreleme algoritması (Ana Mod / 1. Aşama).
  • IKE bütünlük algoritması (Ana Mod / Aşama 1).
  • DH Grubu (Ana Mod / Aşama 1).
  • IPsec şifreleme algoritması (Hızlı Mod / 2. Aşama).
  • IPsec bütünlük algoritması (Hızlı Mod / Aşama 2).
  • PFS Grubu (Hızlı Mod / 2. Aşama).
  • SA yaşam süreleri yalnızca yerel belirtimlerdir, eşleşmeleri gerekmez.

GCMAES, IPsec Şifreleme algoritması için kullanılıyorsa, IPsec bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir. Örneğin: her ikisi için de GCMAES128 kullanma.

Yukarıdaki tabloda:

  • IKEv2, Ana Moda veya 1. Aşamaya karşılık gelir.
  • IPsec, Hızlı Moda veya 2. Aşamaya karşılık gelir.
  • DH Grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellmen Grubunu belirtir.
  • PFS Grubu, Hızlı Modda veya 2. Aşamada kullanılan Diffie-Hellmen Grubunu belirtir.
  • IKEv2 Ana Mod SA ömrü, Azure Stack Hub sağlamlaştırılmış VPN ağ geçitlerinde 28.800 saniyede sabittir.

Aşağıdaki tabloda özel ilke tarafından desteklenen ilgili Diffie-Hellman Grupları listelenmektedir:

Diffie-Hellman Grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14 PFS2048 2048 bit MODP
DHGroup2048
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Azure ExpressRoute kullanarak Azure'da dayanıklı hale getirilmiş Azure Stack Hub'ı Bağlan

Genel bakış, varsayımlar ve önkoşullar

Azure ExpressRoute, şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanır. Bağlantı sağlayıcısı tarafından sağlanan özel bir bağlantı kullanırsınız. ExpressRoute, genel İnternet üzerinden yapılan bir VPN bağlantısı değildir.

Azure ExpressRoute hakkında daha fazla bilgi için bkz. ExpressRoute'a genel bakış.

Varsayımlar

Bu makalede şunlar varsayılır:

  • Azure hakkında çalışan bir bilgiye sahipsiniz.
  • Dayanıklı Azure Stack Hub hakkında temel bilgilere sahipsiniz.
  • Ağ iletişimi hakkında temel bilgilere sahipsiniz.

Önkoşullar

Azure Stack Hub sağlamlaştırılmış ve Azure'ı ExpressRoute kullanarak bağlamak için aşağıdaki gereksinimleri karşılamanız gerekir:

  • Bağlantı sağlayıcısı aracılığıyla sağlanan bir ExpressRoute bağlantı hattı.
  • Azure'da ExpressRoute bağlantı hattı ve sanal ağlar oluşturmak için bir Azure aboneliği.
  • Destekleyen bir yönlendirici:
    • LAN arabirimi ile Azure Stack Hub sağlamlaştırılmış çok kiracılı ağ geçidi arasında siteden siteye VPN bağlantıları.
    • Azure Stack Hub sağlamlaştırılmış dağıtımınızda birden fazla kiracı varsa birden çok VRF (Sanal Yönlendirme ve İletme) oluşturma.
  • Şu donanıma sahip bir yönlendirici:
    • ExpressRoute bağlantı hattına bağlı bir WAN bağlantı noktası.
    • Azure Stack Hub sağlamlaştırılmış çok kiracılı ağ geçidine bağlı bir LAN bağlantı noktası.

ExpressRoute ağ mimarisi

Aşağıdaki şekilde, bu makaledeki örnekleri kullanarak ExpressRoute kurulumunu tamamladıktan sonra Dayanıklı Azure Stack Hub ve Azure ortamları gösterilmektedir:

ExpressRoute network architecture

Aşağıdaki şekilde birden çok kiracının ExpressRoute yönlendiricisi aracılığıyla Azure Stack Hub sağlamlaştırılmış altyapısından Azure'a nasıl bağlanıldığı gösterilmektedir:

ExpressRoute network architecture multi-tenant