Bu makalede, merkez-Azure Özel Bağlantı ağ topolojisinde ağ iletişimlerini kullanma yönergeleri sağlanmıştır. Hedef kitle ağ mimarlarını ve bulut çözümü mimarlarını içerir. Bu kılavuzda, hizmet olarak platform (PaaS) kaynaklarına özel olarak erişmek için Azure Özel Uç Nokta'nın nasıl kullanımı açıklanacak.
Bu kılavuz sanal ağ tümleştirmesi, hizmet uç noktaları ve hizmet olarak altyapı (IaaS) bileşenlerini Azure PaaS kaynaklarına bağlamaya yönelik diğer çözümleri kapsamıyor. Bu çözümler hakkında daha fazla bilgi için bkz. Ağ yalıtımı için Azure hizmetlerini sanal ağlarla tümleştirin.
Genel Bakış
Aşağıdaki bölümlerde Özel Bağlantı ve ortamıyla ilgili genel bilgiler sağlanmıştır.
Azure merkez-bağlı-bağlı-bağlı-topolojileri
Merkez-bağlı kaynak, Azure'da kullanabileceğiniz bir ağ topolojisidir. Bu topoloji, iletişim hizmetlerini verimli bir şekilde yönetmek ve büyük ölçekte güvenlik gereksinimlerini karşılamak için iyi çalışır. Merkez-bağlı ağ modelleri hakkında daha fazla bilgi için bkz. Merkez-ve bağlı-bağlı ağ topolojisi.
Merkez-bağlı-bağlı bağlantı mimarisini kullanarak şu avantajlardan faydalanabilirsiniz:
- Tek tek iş yüklerini merkezi IT ekipleri ve iş yükü ekipleri arasında dağıtma
- Yedekli kaynakları en aza indirerek maliyet tasarrufu
- Birden çok iş yükünün paylaştığı hizmetleri merkezileştirerek ağları verimli bir şekilde yönetme
- Tek Azure abonelikleriyle ilişkili sınırları aşma
Bu diyagramda, Azure'da dağıtabilirsiniz tipik bir merkez-bağlı sunucu topolojisi yer alır:
Sol tarafta, diyagramda Şirket içi ağ etiketli noktalı bir kutu vardır. Sanal makineler ve etki alanı adı sunucuları için simgeler içerir. Çift yönlü bir ok, bu kutuyu hub sanal ağı olarak etiketlenmiş sağ bir noktalı kutuya bağlar. Bu okun üzerindeki bir simge, Azure ExpressRoute. Hub kutusunda D N S ileticileri için simgeler vardır. Oklar merkez kutusundan özel D N S bölgelerinin simgelerine işaret ediyor. Çift yönlü bir ok, hub kutusunu altındaki Giriş bölgesi sanal ağı etiketli bir kutuya bağlar. Okun sağ tarafından bir simge Sanal ağ eşlemesi olarak etiketlenir. Giriş bölgesi kutusu, bir sanal makine ve özel uç nokta için simgeler içerir. Ok, özel uç noktadan giriş bölgesi kutusunun dışındaki bir depolama simgesine işaret ediyor.
Bu mimarinin SVG'lerini indirin.
Bu mimari, Azure'ın desteklediği ağ topolojisi için iki seçenektir. Bu klasik başvuru tasarımında Azure Sanal Ağ, sanal ağ eşlemesi ve kullanıcı tanımlı yollar (UDR) gibi temel ağ bileşenleri kullanılır. Merkez-bağlı sunucu kullanımında hizmetleri yapılandırmak sizin sorumluluğuzdadır. Ayrıca ağın güvenlik ve yönlendirme gereksinimlerini karşılaya olduğundan da emin olun.
Azure Sanal WAN ölçekli dağıtımlar için bir alternatif sağlar. Bu hizmet basitleştirilmiş bir ağ tasarımı kullanır. Sanal WAN ayrıca yönlendirme ve güvenlikle ilişkili yapılandırma ek yükünü de azaltır.
Özel Bağlantı, geleneksel merkez-bağlı ağlara ve Sanal WAN ağları için farklı seçenekleri destekler.
Özel Bağlantı
Özel Bağlantı, Özel Uç Nokta ağ arabirimi üzerinden hizmetlere erişim sağlar. Özel Uç Nokta, sanal ağdan özel bir IP adresi kullanır. Çeşitli hizmetlere bu özel IP adresi üzerinden erişebilirsiniz:
- Azure PaaS hizmetleri
- Azure'ın barındır olduğu müşteriye ait hizmetler
- Azure'ın barındır olduğu iş ortağı hizmetleri
Sanal ağınız ile erişmekte olan hizmet arasındaki trafik, Azure ağı omurgası üzerinden ilerler. Sonuç olarak, hizmete artık genel uç nokta üzerinden erişemeyeceksiniz. Daha fazla bilgi için bkz. Azure Özel Bağlantı..
Aşağıdaki diyagramda, şirket içi kullanıcıların bir sanal ağa nasıl bağlanacakları ve PaaS kaynaklarına erişmek için Özel Bağlantı'yı nasıl kullanabileceğini gösterir:
Diyagramda, sol tarafta Consumer network (Tüketici ağı) etiketli noktalı bir kutu vardır. Kenarlıkta bir simge yer almaktadır ve bu simge Azure ExpressRoute. Sol tarafta yer alan kutunun dışında şirket içi kullanıcıların simgeleri ve özel eşleme yer almaktadır. Kutunun içinde, bilgisayarlar ve özel uç noktalar için simgeler içeren Alt ağ etiketli daha küçük bir noktalı kutu bulunur. Küçük kutunun kenarlığı, ağ güvenlik grubu için bir simge içerir. İç kutudan iki noktalı ok akar. Ayrıca dış kutunun kenarlığı üzerinden geçerler. Bir kutu, sağ üstte Yer alan ve Azure hizmetlerinin simgeleriyle doldurulmuş olan noktalı kutuya işaret ediyor. Diğer ok, sağ tarafta Sağlayıcı ağı etiketli noktalı bir kutuya işaret eder. Sağlayıcı ağ kutusu daha küçük bir noktalı kutu ve daha küçük bir kutu Azure Özel Bağlantı. Küçük noktalı kutu bilgisayarlar için simgeler içerir. Kenarlığı iki simge içerir: biri yük dengeleyici, biri de ağ güvenlik grubu için.
Bu mimarinin SVG'lerini indirin.
Özel Bağlantı dağıtımı için karar ağacı
Özel uç noktaları merkez veya uçta dağıtabilirsiniz. Her durumda hangi konumun en iyi şekilde çalıştığını birkaç faktör belirler. Faktörler, Azure PaaS hizmetleri ve Azure'ın barındır olduğu müşteriye ait ve iş ortağı hizmetleri için kullanılabilir.
Dikkate alacak sorular
Ortamınız için en iyi yapılandırmayı belirlemek üzere aşağıdaki soruları kullanın:
Sanal WAN ağ bağlantı çözümünüz mü?
Sanal WAN kullanıyorsanız, yalnızca sanal hub'ınıza bağlanarak uç sanal ağlara özel uç noktalar dağıtabilirsiniz. Kaynakları sanal hub'ınıza veya güvenli hub'ınıza dağıta diyezsiniz.
Özel Uç Noktayı ağınıza tümleştirme hakkında daha fazla bilgi için şu makalelere bakın:
Sanal makine gibi bir ağ sanal cihazı (NVA) Azure Güvenlik Duvarı?
Özel Uç Nokta trafiği Azure ağ omurgasını kullanır ve şifrelenir. Bu trafiği günlüğe veya filtreye ihtiyacınız olabilir. Ayrıca, aşağıdaki alanlardan herhangi bir güvenlik duvarı kullanıyorsanız Özel Uç Noktasına akan trafiği analiz etmek için bir güvenlik duvarı kullanmak da iyi olabilir:
- Tüm spoke'lar
- Merkez ve bağlı merkezler arasında
- Şirket içi bileşenlerle Azure ağlarınızı arasında
Bu durumda, özel uç noktaları hub'ınıza ayrılmış bir alt ağda dağıtın. Bu düzenleme:
- Güvenli ağ adresi çevirisi (SNAT) kural yapılandırmanızı kolaylaştırır. Özel uç noktalarınızı içeren ayrılmış alt ağ trafiği için NVA'nız içinde tek bir SNAT kuralı oluşturabilirsiniz. SNAT uygulamadan trafiği diğer uygulamalara yönlendirabilirsiniz.
- Yol tablosu yapılandırmanızı kolaylaştırır. Özel uç noktalara akan trafik için, bu trafiği NVA'nız üzerinden yönlendirecek bir kural eklersiniz. Bu kuralı tüm bağlı ağ geçitleri, sanal özel ağ (VPN) ağ geçitleri ve ağ Azure ExpressRoute kullanabilirsiniz.
- Özel Uç Nokta'ya ayırmanız gereken alt ağda gelen trafik için ağ güvenlik grubu kurallarının uygulanabilir. Bu kurallar kaynaklarınıza gelen trafiği filtreler. Kaynaklarınıza erişimi denetlemek için tek bir yer sağlar.
- Özel uç noktaların yönetimini merkezi hale sağlar. Tüm özel uç noktaları tek bir yerde dağıtırsanız, tüm sanal ağlarınızı ve aboneliklerinizi daha verimli bir şekilde yönetebilirsiniz.
Tüm iş yüklerinin Özel Bağlantı ile koruduğun her PaaS kaynağına erişmesi gerekirken bu yapılandırma uygundur. Ancak iş yükleriniz farklı PaaS kaynaklarına erişıyorsa özel uç noktaları ayrılmış bir alt ağda dağıtmayın. Bunun yerine, en az ayrıcalık ilkesini kullanarak güvenliği geliştirin:
- Her özel noktayı ayrı bir alt ağa yerleştirin.
- Yalnızca bu kaynağa korumalı kaynak erişimi kullanan iş yükleri verin.
Şirket içi bir sistemden özel uç nokta kullanıyor musunuz?
Şirket içi bir sistemden kaynaklara erişmek için özel uç noktalar kullanmayı planlıyorsanız, uç noktaları hub 'ınıza dağıtın. Bu düzenleme ile, önceki bölümde açıklanan avantajlardan yararlanabilirsiniz:
- Kaynaklarınıza erişimi denetlemek için ağ güvenlik gruplarını kullanma
- Özel uç noktalarınızı merkezi bir konumda yönetme
Azure 'da dağıttığınız uygulamalardan kaynaklara erişmeyi planlıyorsanız, durumun farklı olması gerekir:
- Kaynaklarınıza yalnızca bir uygulamanın erişmesi gerekiyorsa, o uygulamanın bağlı olduğu özel uç nokta dağıtın.
- Kaynaklarınız için birden fazla uygulamanın erişmesi gerekiyorsa, hub 'ınıza özel uç nokta dağıtın.
Akış Çizelgesi
Aşağıdaki akış çizelgesi çeşitli seçenekleri ve önerileri özetler. Her müşterinin benzersiz bir ortamı olduğundan, Özel uç noktaların yerleştirileceği yere karar verirken sisteminizin gereksinimlerini dikkate alın.
Akış çizelgesinin en üstünde Başlat etiketli yeşil bir kutu bulunur. Bir ok Işareti, bu kutudan Azure sanal W A N topolojisi etiketli mavi bir kutuya işaret eder. İki ok, bu kutudan dışarı akar. Evet olarak etiketlenmiş bir kutu, bağlı bileşen etiketli turuncu bir kutuya işaret eder. İkinci ok, hayır olarak etiketlenir. Bu, N V A veya Azure güvenlik duvarıyla trafik analizi etiketli mavi bir kutuya işaret eder. Ayrıca Trafik Analizi kutusundan iki ok de akar. Evet etiketli bir, hub etiketli turuncu bir kutuya işaret eder. İkinci ok, hayır olarak etiketlenir. Şirket içinden özel uç nokta erişimi etiketli mavi bir kutuya işaret eder. Özel uç nokta kutusunun dışında iki ok akar. Evet etiketli bir kutu, hub etiketli turuncu kutuyu işaret eder. İkinci ok, hayır olarak etiketlenir. Tek uygulama erişimi etiketli mavi bir kutuya işaret eder. İki ok, bu kutudan dışarı akar. Tek etiketli, hub etiketli turuncu kutuya işaret eder. İkinci ok, Evet olarak etiketlenir. Bağlı bileşen etiketli turuncu kutuyu işaret eder.
Bu mimarinin bir SVG indirin.
Dikkat edilmesi gerekenler
Özel uç nokta uygulamanızı etkileyebilecek birkaç etken olabilir. Azure 'un barındırdığı Azure PaaS hizmetleri ve müşteriye ait ve iş ortağı hizmetleri için geçerlidir. Özel uç nokta dağıtırken bu noktaları göz önünde bulundurun:
Ağ
Bağlı bir sanal ağda özel uç nokta kullandığınızda, alt ağın varsayılan yol tablosu, /32 sonraki atlama türüne sahip bir yol içerir InterfaceEndpoint .
Geleneksel bir hub ve bağlı bileşen topolojisi kullanıyorsanız:
- Bu etkili yolu sanal makinelerinizin ağ arabirimi düzeyinde görebilirsiniz.
- Daha fazla bilgi için bkz. sanal makine yönlendirme sorununu tanılama.
Sanal WAN kullanıyorsanız:
- Bu yolu sanal hub geçerli rotaları içinde görebilirsiniz.
- Daha fazla bilgi için bkz. sanal hub etkin yollarını görüntüleme.
/32Yol şu alanlara yayılır:
- Yapılandırdığınız tüm sanal ağ eşlemesi
- Şirket içi sistemle herhangi bir VPN veya ExpressRoute bağlantısı
Hub veya şirket içi sisteminizin özel uç noktaya erişimini kısıtlamak için, Özel uç nokta dağıttığınız alt ağda bir ağ güvenlik grubu kullanın. Uygun gelen kurallarını yapılandırın.
Ad çözümlemesi
Sanal ağınızdaki bileşenler, özel bir IP adresini her özel uç noktayla ilişkilendirir. Bu bileşenler, yalnızca belirli bir etki alanı adı sistemi (DNS) kurulumu kullanıyorsanız bu özel IP adresini çözümleyebilir. Özel bir DNS çözümü kullanıyorsanız, DNS bölge gruplarını kullanmak en iyisidir. Özel uç noktayı merkezi bir Azure özel DNS bölgesi ile tümleştirin. Kaynakları bir hub 'a veya bir bağlı bileşene dağıttığınıza bakılmaksızın. Özel DNS bölgesini özel uç nokta DNS adınızı çözümlemek için gereken tüm sanal ağlarla ilişkilendirin.
Bu yaklaşımda, şirket içi ve Azure DNS istemcileri adı çözümleyebilir ve özel IP adresine erişebilir. Bir başvuru uygulama için bkz. özel bağlantı ve DNS tümleştirmesi ölçeğinde.
Maliyetler
- Bölgesel bir sanal ağ eşlemesi genelinde özel uç nokta kullandığınızda, Özel uç noktaya giden ve giden trafik için eşleme ücretleri ödemez.
- Eşleme maliyetleri, bir sanal ağ eşlemesi boyunca akan diğer altyapı kaynağı trafiğiyle hala geçerlidir.
- Özel uç noktaları farklı bölgelerde dağıtırsanız, özel bağlantı ücretleri ve genel eşleme gelen ve giden ücretleri geçerlidir.
Daha fazla bilgi için bkz. bant genişliği fiyatlandırması.
Sonraki adımlar
- Azure'da merkez-uç ağ topolojisi
- Azure özel bağlantı kullanılabilirliği
- Azure Özel Uç Nokta nedir?
- Azure sanal ağ nedir?
- Azure DNS nedir?
- Özel Azure DNS bölgesi nedir?
- Azure Güvenlik Duvarı'nı kullanarak özel uç noktaya giden trafiği inceleme
- Ağ güvenlik grupları ağ trafiğini filtreleyerek