Azure Stack Hub’da yüksek oranda kullanılabilir ağ sanal gereçlerini dağıtma
Bu makalede, Azure Stack Hub'da yüksek kullanılabilirlik için bir ağ sanal gereçleri (NVA) kümesinin nasıl dağıtılacağı gösterilmektedir. NVA genellikle bir DMZ olarak da bilinen bir çevre ağından diğer ağ veya alt ağlara ağ trafiği akışını denetlemek için kullanılır. Bu makale yalnızca giriş, yalnızca çıkış ve hem giriş hem çıkış için örnek mimariler içermektedir.
Azure Stack Hub Market'te farklı satıcıların NVA'ları vardır ve en iyi performans için bunlardan birini kullanın.
Mimari aşağıdaki bileşenlere sahiptir.
Ağ ve yük dengeleme
Sanal ağ ve alt ağlar. Her Azure VM, alt ağlara bölünebilen bir sanal ağa dağıtılır. Her katman için ayrı bir alt ağ oluşturun.
Katman 7 Load Balancer. Application Gateway henüz Azure Stack Hub'da kullanılamadığından, Azure Stack Hub Market'te şu alternatifler mevcuttur: KEMP LoadMaster Load Balancer ADC İçerik Anahtarı/ f5 Big-IP Virtual Edition veya A10 vThunder ADC
Yük dengeleyiciler. Ağ trafiğini web katmanından iş katmanına ve iş katmanından SQL Server dağıtmak için Azure Load Balancer kullanın.
Ağ güvenlik grupları (NSG). Sanal ağ içindeki ağ trafiğini kısıtlamak için NSG'leri kullanın. Örneğin, burada gösterilen üç katmanlı mimaride veritabanı katmanı web ön ucundan gelen trafiği kabul etmez; yalnızca iş katmanından ve yönetim alt ağından gelen trafiği kabul etmez.
UDR'ler. Trafiği belirli bir yük dengeleyiciye yönlendirmek için kullanıcı tanımlı yolları (UDR) kullanın.
Bu makalede, Azure Stack Hub ağı hakkında temel bilgiler edinilmesi varsayılmaktadır.
Mimari diyagramları
NVA birçok farklı mimaride bir çevre ağına dağıtılabilir. Örneğin, aşağıdaki şekilde giriş için tek bir NVA kullanımı gösterilmektedir.
Bu mimaride, NVA tüm gelen ve giden ağ trafiğini denetleyip yalnızca ağ güvenlik kurallarını karşılayan trafiği geçirerek güvenli bir ağ sınırı sağlar. Tüm ağ trafiğinin NVA'ya geçmesi gerektiği, NVA'nın ağda tek bir hata noktası olduğu anlamına gelir. NVA başarısız olursa, ağ trafiği için başka bir yol kalmaz ve tüm arka uç alt ağları kullanılamaz hale gelir.
NVA başarısız olursa, bir kullanılabilirlik kümesine birden fazla NVA dağıtın.
Aşağıdaki mimarilerde yüksek oranda kullanılabilir NVA’lar için gerekli kaynaklar ve mimariler açıklanmaktadır:
| Çözüm | Avantajlar | Dikkat edilmesi gerekenler |
|---|---|---|
| Katman 7 NVA’ları ile giriş | Tüm NVA düğümleri etkindir. | Bağlantıları sonlandırabilen ve SNAT kullanabilen bir NVA gerektirir. Enterprise Network/Internet'ten ve Azure Stack Hub'dan gelen trafik için ayrı bir NVA kümesi gerektirir. Yalnızca Azure Stack Hub dışından gelen trafik için kullanılabilir. |
| Katman 7 NVA’ları ile çıkış | Tüm NVA düğümleri etkindir. | Bağlantıları sonlandırabilen ve kaynak ağ adresi çevirisi (SNAT) uygulayan bir NVA gerektirir. |
| Katman 7 NVA’ları ile giriş-çıkış | Tüm düğümler etkindir. Azure Stack Hub'dan kaynaklanan trafiği işleyebilir. |
Bağlantıları sonlandırabilen ve SNAT kullanabilen bir NVA gerektirir. Enterprise Network/Internet'ten ve Azure Stack Hub'dan gelen trafik için ayrı bir NVA kümesi gerektirir. |
Katman 7 NVA’ları ile giriş
Aşağıdaki şekilde, İnternet'e yönelik bir yük dengeleyicinin arkasında bir giriş çevre ağı uygulayan yüksek kullanılabilirlik mimarisi gösterilmektedir. Bu mimari, HTTP veya HTTPS gibi katman 7 trafiği için Azure Stack Hub iş yüklerine bağlantı sağlamak üzere tasarlanmıştır:
Bu mimarinin avantajı tüm NVA’ların etkin olması ve birinin başarısın olması durumunda yük dengeleyicinin ağ trafiğini diğer NVA’ya yönlendirmesidir. İki NVA da trafiği iç yük dengeleyiciye yönlendirdiğinden, bir NVA etkin olduğu sürece trafik akışı devam eder. NVA’ların web katmanı VM’ler için SSL trafiğini sonlandırması gerekir. Kurumsal Ağ trafiği kendi ağ yollarına sahip başka bir ayrılmış NVA kümesi gerektirdiğinden bu NVA'lar Kurumsal Ağ trafiğini işleyecek şekilde genişletilemez.
Katman 7 NVA’ları ile çıkış
Katman 7 NVA'ları mimarisiyle giriş, Azure Stack Hub iş yükünden kaynaklanan istekler için bir çıkış çevre ağı sağlamak üzere genişletilebilir. Aşağıdaki mimari, HTTP veya HTTPS gibi katman 7 trafiği için çevre ağındaki NVA'ların yüksek kullanılabilirliğini sağlamak üzere tasarlanmıştır:
Bu mimaride, Azure Stack Hub'dan kaynaklanan tüm trafik bir iç yük dengeleyiciye yönlendirilir. Yük dengeleyici giden istekleri bir NVA kümesi arasında dağıtır. Bu NVA’lar kendi ortak IP adreslerini kullanarak trafiği İnternet’e yönlendirir.
Katman 7 NVA’ları ile giriş-çıkış
İki giriş ve çıkış mimarisinde, giriş ve çıkış için ayrı bir çevre ağı vardı. Aşağıdaki mimaride HTTP veya HTTPS gibi katman 7 trafiği için hem giriş hem de çıkış için kullanılabilecek bir çevre ağının nasıl oluşturulacağı gösterilmektedir:
Katman 7 NVA'ları ile giriş-çıkış mimarisinde NVA'lar 7. Katman Load Balancer gelen istekleri işler. NVA’lar ayrıca yük dengeleyicinin arka uç havuzundaki iş yükü VM’lerinden giden istekleri işler. Gelen trafik katman 7 yük dengeleyici ile yönlendirildiğinden ve giden trafik bir SLB (Azure Stack Hub Basic Load Balancer) ile yönlendirildiğinden, NVA'lar oturum benzitesini korumakla sorumludur. Başka bir ifadeyle, 7. katman yük dengeleyici, özgün istek sahibine doğru yanıtı iletebilmesi için gelen ve giden isteklerin eşlemesini tutar. Ancak iç yük dengeleyicinin katman 7 yük dengeleyici eşlemelerine erişimi yoktur ve NVA'lara yanıt göndermek için kendi mantığını kullanır. Yük dengeleyici başlangıçta 7. katman yük dengeleyiciden isteği almayan bir NVA'ya yanıt gönderebilir. Bu durumda, doğru NVA'nın yanıtı katman 7 yük dengeleyiciye iletebilmesi için NVA'ların iletişim kurması ve yanıtı aralarında aktarması gerekir.
Not
NVA’ların gelen kaynak ağ adresi çevirisi (SNAT) gerçekleştirmesini sağlayarak da asimetrik yönlendirme sorununu çözebilirsiniz. Bu, istek sahibinin özgün kaynak IP’sini gelen akışta kullanılan NVA’nın IP adreslerinden biriyle değiştirir. Bu rota simetrisini korurken bir seferde birden çok NVA kullanabilmenizi sağlar.
Sonraki adımlar
- Azure Stack Hub VM'leri hakkında daha fazla bilgi edinmek için bkz. Azure Stack Hub VM özellikleri.
- Azure Bulut Desenleri hakkında daha fazla bilgi edinmek için bkz. Bulut Tasarım Desenleri.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin