Traffic Manager, Azure Güvenlik Duvarı ve Application Gateway ile çok bölgeli yük dengeleme

Bu mimari, HTTP(S) ve HTTP(S) olmayan protokoller kullanan genel, İnternet'e yönelik uygulamalar içindir. Bölgesel bir kesintiye dayanabilecek yüksek kullanılabilirlik mimarisi oluşturmak için DNS tabanlı genel yük dengeleme, iki bölgesel yük dengeleme biçimi ve genel sanal ağ eşleme özellikleri sunar. Trafik denetimi hem Azure Web Uygulaması Güvenlik Duvarı (WAF) hem de Azure Güvenlik Duvarı tarafından sağlanır.

Mimari notları

Bu belgedeki mimari, Azure Güvenlik Duvarı merkez ağında ve Application Gateway'in hem merkez ağında hem de uçta yer aldığı merkez-uç sanal ağ tasarımına kolayca genişletilebilir. Application Gateway hub'da dağıtıldıysa, RBAC çakışmalarını önlemek ve Application Gateway sınırlarına erişmeyi önlemek için her biri belirli bir uygulama kümesi için birden çok Application Gateway isteyebilirsiniz (bkz . Application Gateway Sınırları).

Sanal WAN bir ortamda Application Gateway'ler hub'a dağıtılamaz, bu nedenle uç sanal ağlarına yüklenirler.

Önerilen mimari, web içeriğinin hem Azure Güvenlik Duvarı önündeki bir Web Uygulaması Güvenlik Duvarı (Application Gateway'e göre) üzerinden iki kez incelenmesini tercih eder. Sanal ağlar için Güvenlik Duvarı ve Application Gateway'de belgelendiği gibi başka seçenekler de vardır, ancak bu seçenek en esnek ve eksiksiz seçenektir: istemcinin IP adresini son uygulamanın HTTP üst bilgisinde X-Forwarded-For kullanıma sunar, uçtan uca şifreleme sağlar ve istemcilerin uygulamaya erişmek için WAF'yi atlamasını önler.

Yalnızca web uygulamaları kullanıma sunulursa (HTTP(S) olmayan uygulamalar yoksa ve WAF ve Azure Güvenlik Duvarı bu web trafiğinin çift denetimi gerekli değilse, Azure Front Door Traffic Manager'dan daha iyi bir küresel yük dengeleme çözümü olacaktır. Front Door, önbelleğe alma, trafik hızlandırma, SSL/TLS sonlandırma, sertifika yönetimi, sistem durumu yoklamaları ve diğer özellikleri de sağlayan HTTP(S) içeriği için katman 7 yük dengeleyicidir. Ancak Application Gateway, katmanlı koruma yaklaşımı için Azure Güvenlik Duvarı ile daha iyi tümleştirme sunar.

Gelen HTTP(S) trafik akışları

Bu mimarinin bir Visio dosyasını indirin.

1. Azure Traffic Manager, iki bölgede gelen trafiğin yükünü dengelemek için DNS tabanlı yönlendirme kullanır. Traffic Manager, uygulama için DNS sorgularını Azure Uygulaması lication Gateway uç noktalarının genel IP adreslerine çözümler. Application Gateway'lerin genel uç noktaları, HTTP(S) trafiği için Traffic Manager'ın arka uç uç noktaları olarak görev görür. Traffic Manager, DNS sorgularını çeşitli yönlendirme yöntemlerine göre çözümler. Tarayıcı doğrudan uç noktaya bağlanır; Traffic Manager HTTP(S) trafiğini görmüyor.

2. Kullanılabilirlik alanları arasında dağıtılan Application Gateway'ler tarayıcıdan HTTP(S) trafiği alır ve Web Uygulaması Güvenlik Duvarı Premium web saldırılarını algılamak için trafiği inceler. Application Gateway'ler, ön uç sanal makineleri için iç yük dengeleyici olan arka uçlarına trafik gönderir. Bu belirli akış için, Application Gateway bu yük dengelemeyi kendi başına gerçekleştirebildiğinden web sunucularının önündeki iç yük dengeleyici kesinlikle gerekli değildir. Ancak, HTTP(S) olmayan uygulamalar için akışla tutarlılık için dahil edilir.

3. Application Gateway ile ön uç iç yük dengeleyici arasındaki trafik, Application Gateway alt akında uygulanan Kullanıcı Tanımlı Yollar aracılığıyla Azure Güvenlik Duvarı Premium tarafından kesilecektir. Azure Güvenlik Duvarı Premium, ek güvenlik için trafiğe TLS denetimi uygular. Azure Güvenlik Duvarı da alanlar arası yedeklidir. Azure Güvenlik Duvarı trafikte bir tehdit algılarsa paketleri bırakır. Aksi takdirde, başarılı bir incelemeden sonra Azure Güvenlik Duvarı trafiği hedef web katmanı iç yük dengeleyiciye iletir.

4. Web katmanı, üç katmanlı uygulamanın ilk katmanıdır, kullanıcı arabirimini içerir ve ayrıca kullanıcı etkileşimlerini ayrıştırmaktadır. Web katmanı yük dengeleyici üç kullanılabilirlik alanına da yayılır ve trafiği üç web katmanı sanal makinesinin her birine dağıtır.

5. Web katmanı sanal makineleri üç kullanılabilirlik alanına da yayılır ve ayrılmış bir iç yük dengeleyici aracılığıyla iş katmanıyla iletişim kurar.

6. İş katmanı, kullanıcı etkileşimlerini işler ve sonraki adımları belirler ve web ile veri katmanları arasında yer alır. İş katmanı iç yük dengeleyici, trafiği üç kullanılabilirlik alanında iş katmanı sanal makinelerine dağıtır. İş katmanı yük dengeleyici, web katmanı yük dengeleyici gibi alanlar arası yedeklidir.

7. İş katmanı sanal makineleri kullanılabilirlik alanlarına yayılır ve trafiği veritabanlarının kullanılabilirlik grubu dinleyicisine yönlendirir.

8. Veri katmanı, uygulama verilerini genellikle bir veritabanında, nesne depolama alanında veya dosya paylaşımında depolar. Bu mimari, üç kullanılabilirlik alanına dağıtılmış sanal makinelerde SQL sunucusuna sahiptir. Bir kullanılabilirlik grubunda yer alır ve trafiği yük dengeleme için kullanılabilirlik grubu dinleyicisine yönlendirmek için dağıtılmış ağ adı (DNN) kullanır.

HTTP olmayan gelen trafik akışları

Bu mimarinin bir Visio dosyasını indirin.

1. Azure Traffic Manager, iki bölgede gelen trafiğin yükünü dengelemek için DNS tabanlı yönlendirme kullanır. Traffic Manager, uygulama için DNS sorgularını Azure uç noktalarının genel IP adreslerine çözümler. Uygulama Güvenlik Duvarı'nın genel uç noktaları, HTTP(S) olmayan trafik için Traffic Manager'ın arka uç uç noktaları olarak hizmet verir. Traffic Manager, DNS sorgularını çeşitli yönlendirme yöntemlerine göre çözümler. Tarayıcı doğrudan uç noktaya bağlanır; Traffic Manager HTTP(S) trafiğini görmüyor.

2. Azure Güvenlik Duvarı Premium alanlar arası yedeklidir ve gelen trafiği güvenlik açısından inceler. Azure Güvenlik Duvarı trafikte bir tehdit algılarsa paketleri bırakır. Aksi takdirde, Azure Güvenlik Duvarı gelen paketlerde Hedef Ağ Adresi Çevirisi (DNAT) gerçekleştirerek trafiği web katmanı iç yük dengeleyiciye iletir.

3. Web katmanı, üç katmanlı uygulamanın ilk katmanıdır, kullanıcı arabirimini içerir ve ayrıca kullanıcı etkileşimlerini ayrıştırmaktadır. Web katmanı yük dengeleyici üç kullanılabilirlik alanına da yayılır ve trafiği üç web katmanı sanal makinesinin her birine dağıtır.

4. Web katmanı sanal makineleri üç kullanılabilirlik alanına da yayılır ve ayrılmış bir iç yük dengeleyici aracılığıyla iş katmanıyla iletişim kurar.

5. İş katmanı, kullanıcı etkileşimlerini işler ve sonraki adımları belirler ve web ile veri katmanları arasında yer alır. İş katmanı iç yük dengeleyici, trafiği üç kullanılabilirlik alanında iş katmanı sanal makinelerine dağıtır. İş katmanı yük dengeleyici, web katmanı yük dengeleyici gibi alanlar arası yedeklidir.

6. İş katmanı sanal makineleri kullanılabilirlik alanlarına yayılır ve trafiği veritabanlarının kullanılabilirlik grubu dinleyicisine yönlendirir.

7. Veri katmanı, uygulama verilerini genellikle bir veritabanında, nesne depolama alanında veya dosya paylaşımında depolar. Bu mimari, üç kullanılabilirlik alanına dağıtılmış sanal makinelerde SQL sunucusuna sahiptir. Bir kullanılabilirlik grubunda yer alır ve trafiği yük dengeleme için kullanılabilirlik grubu dinleyicisine yönlendirmek için dağıtılmış ağ adı (DNN) kullanır.

Giden trafik akışları (tüm protokoller)

Sanal makine düzeltme eki güncelleştirmeleri veya İnternet'e yönelik diğer bağlantılar için giden trafik akışları, iş yükü sanal makinelerinden Kullanıcı Tanımlı Yollar aracılığıyla Azure Güvenlik Duvarı gider. Azure Güvenlik Duvarı, iş yüklerinin uygunsuz içeriğe veya veri sızdırma senaryolarına erişmesini önlemek için ağ ve uygulama kurallarının yanı sıra web kategorilerini kullanarak bağlantı kurallarını zorunlu kılar.

Bileşenler

• Azure Güvenlik Duvarı, hem Kuzey/Güney hem de Doğu/Batı trafik akışları için derin paket incelemesi sağlayan bulut tabanlı, Microsoft tarafından yönetilen yeni nesil bir güvenlik duvarıdır. Kullanılabilirlik Alanları yayılabilir ve uygulama talebi değişiklikleriyle başa çıkmak için otomatik otomatik ölçeklendirme sunar.
• Azure Uygulaması lication Gateway, isteğe bağlı Web Uygulaması Güvenlik Duvarı (WAF) işlevselliğine sahip bir katman 7 yük dengeleyicidir. Application Gateway'in v2 SKU'su kullanılabilirlik alanı yedekliliğini destekler ve çoğu senaryo için önerilir. Application Gateway, uygulama talebi değişikliklerine otomatik olarak tepki vermek için yapılandırılabilir yatay otomatik ölçeklendirme içerir.
• Azure Traffic Manager , yüksek kullanılabilirlik ve yanıt süresi sağlarken trafiği genel Azure bölgelerindeki hizmetlere dağıtan DNS tabanlı bir genel trafik yük dengeleyicidir. Daha fazla bilgi için bkz. Traffic Manager yapılandırması.
• Azure Load Balancer bir katman 4 yük dengeleyicidir. Alanlar arası yedekli yük dengeleyici, kullanılabilirlik alanı hatası olan trafiği kalan bölgelere dağıtmaya devam eder.
• Azure DDoS Koruması , dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruma sağlamak için gelişmiş özelliklere sahiptir.
• Azure DNS, DNS etki alanları için bir barındırma hizmetidir. Microsoft Azure altyapısını kullanarak ad çözümlemesi sağlar. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz.
• Azure Özel DNS bölgeleri, Azure DNS'nin bir özelliğidir. Azure DNS Özel Bölgeleri, bir sanal ağ içinde ve sanal ağlar arasında ad çözümlemesi sağlar. Özel dns bölgesinde bulunan kayıtlar İnternet'ten çözümlenemez. Özel bir DNS bölgesine karşı DNS çözümlemesi yalnızca ona bağlı sanal ağlardan çalışır.
• Azure Sanal Makineler, sanallaştırma esnekliği sağlayan ancak fiziksel donanımın bakım taleplerini ortadan kaldıran isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarıdır. İşletim sistemi seçenekleri Windows ve Linux'ı içerir. Uygulamaların belirli bileşenleri hizmet olarak platform Azure kaynaklarıyla (örneğin, veritabanı ve ön uç katmanı) değiştirilebilir, ancak bu PaaS hizmetlerini sanal ağa getirmek için Özel Bağlantı ve App Service Sanal Ağ Tümleştirmesi kullanıldığında mimari önemli ölçüde değişmez.
• Azure Sanal Makine Ölçek Kümeleri, uygulamalarınızın yönetimini basitleştiren ve kullanılabilirliği artıran otomatik ve yük dengeli sanal makine ölçeklendirme özelliğidir.
• VM'lerdeki SQL Server, şirket içi donanımları yönetmek zorunda kalmadan bulutta SQL Server'ın tam sürümlerini kullanmanıza olanak tanır.
• Azure Sanal Ağ, bulutta güvenli bir özel ağdır. Sanal makineleri birbirine, İnternet'e ve şirket içi ağlara bağlar.
• Kullanıcı Tanımlı Yollar , sanal ağlarda varsayılan yönlendirmeyi geçersiz kılmaya yönelik bir mekanizmadır. Bu senaryoda, gelen ve giden trafik akışlarını Azure Güvenlik Duvarı çapraz geçiş yapmaya zorlamak için kullanılır.

Çözüm ayrıntıları

Traffic Manager - Traffic Manager'ı performans yönlendirmesini kullanacak şekilde yapılandırdık. Trafiği, kullanıcı için en düşük gecikme süresine sahip olan uç noktaya yönlendirir. Traffic Manager, uç nokta gecikme süresi değiştikçe yük dengeleme algoritmasını otomatik olarak ayarlar. Traffic Manager, bölgesel bir kesinti olduğunda otomatik yük devretme sağlar. Trafiğin nereye yönlendirileceğini belirlemek için öncelik yönlendirme ve düzenli sistem durumu denetimlerini kullanır.

Kullanılabilirlik Alanları - Mimaride üç kullanılabilirlik alanı kullanılır. Bölgeler Application Gateway'ler, iç yük dengeleyiciler ve her bölgedeki sanal makineler için yüksek kullanılabilirlik mimarisi oluşturur. Bir bölge kesintisi varsa, söz konusu bölgedeki kalan kullanılabilirlik alanları yükü devralabilir ve bu da bölgesel yük devretmeyi tetiklemez.

Application Gateway - Traffic Manager DNS tabanlı bölgesel yük dengeleme sağlarken, Application Gateway size Azure Front Door ile aynı özelliklerin çoğunu sunar ancak bölgesel düzeyde şunlar gibi:

• Web Uygulaması Güvenlik Duvarı (WAF)
• Aktarım Katmanı Güvenliği (TLS) sonlandırma
• Yol tabanlı yönlendirme
• Tanımlama bilgisi tabanlı oturum benzimliği

Azure Güvenlik Duvarı - Azure Güvenlik Duvarı Premium, bu mimarideki üç akış türünü inceleyerek genel uygulamalar (web ve web dışı trafik) için ağ güvenliği sunar:

• Application Gateway'den gelen HTTP(S) akışları Azure Güvenlik Duvarı Premium TLS denetimiyle korunur.
• Genel İnternet'ten gelen HTTP(S) olmayan akışlar, Azure Güvenlik Duvarı Premium özelliklerinin geri kalanıyla birlikte incelenir.
• Azure Sanal Makineler giden akışlar, veri sızdırmayı ve yasak sitelere ve uygulamalara erişimi önlemek için Azure Güvenlik Duvarı tarafından incelenir.

Sanal ağ eşlemesi - Bölgeler arasında eşlemeyi "genel sanal ağ eşlemesi" olarak adlandırıyoruz. Genel sanal ağ eşlemesi, bölgeler arasında düşük gecikme süreli, yüksek bant genişliğine sahip veri çoğaltması sağlar. Bu genel eşlemeyle Azure abonelikleri, Microsoft Entra kiracıları ve dağıtım modelleri arasında veri aktarabilirsiniz. Merkez-uç ortamında merkez-uç ağları arasında sanal ağ eşlemeleri bulunur.

Öneriler

Aşağıdaki öneriler, Azure İyi Tasarlanmış Çerçeve'nin (WAF) yapı taşlarına bağlıdır. WAF sütunları, bulut iş yüklerinin kalitesini sağlamaya yardımcı olan ilkelere yol gösterir. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Bölgeler - Yüksek kullanılabilirlik için en az iki Azure bölgesi kullanın. Uygulamanızı etkin/pasif veya etkin/etkin yapılandırmalarda birden çok Azure bölgesine dağıtabilirsiniz. Birden çok bölge, uygulamanın bir alt sistemi başarısız olursa uygulamanın kapalı kalma süresini önlemeye de yardımcı olur.

• Birincil bölge başarısız olursa Traffic Manager otomatik olarak ikincil bölgeye yük devreder.
• İhtiyaçlarınıza en uygun bölgeleri seçmek için teknik, mevzuatla ilgili dikkat edilmesi gereken noktalar ve kullanılabilirlik alanı desteği temel alınmalıdır.

Bölge çiftleri - En fazla dayanıklılık için Bölge Çiftlerini kullanın. Her iki Bölge Çiftinin de uygulamanızın ihtiyaç duyduğu tüm Azure hizmetlerini desteklediğinden emin olun (bkz . bölgeye göre hizmetler). Bölge Çiftlerinin iki avantajı şunlardır:

• Kapalı kalma süresini ve uygulama kesintisi riskini en aza indirmek için, planlı Azure güncelleştirmeleri eşleştirilmiş bölgelere birer birer dağıtılır.
• Veriler vergi ve yasal amaçlar için çifti ile aynı coğrafyada (Güney Brezilya hariç) yer almaya devam eder.

Kullanılabilirlik alanları - Kullanılabilir olduğunda Application Gateway, Azure Güvenlik Duvarı, Azure Load Balancer ve uygulama katmanlarınızı desteklemek için birden çok kullanılabilirlik alanı kullanın.

Application Gateway otomatik ölçeklendirmesi ve örnekleri - Kapalı kalma süresini önlemek için Application Gateway'i en az iki örnekle ve değişen uygulama kapasitesi taleplerine dinamik uyarlama sağlamak için otomatik ölçeklendirmeyi yapılandırın.

Daha fazla bilgi için bkz.

• Azure'da bölgeler ve kullanılabilirlik alanları
• İş sürekliliği ve olağanüstü durum kurtarma (BCDR): Eşleştirilmiş Azure Bölgeleri

Genel yönlendirme

Genel yönlendirme yöntemi - Müşterilerinizin gereksinimlerini en iyi karşılayan trafik yönlendirme yöntemini kullanın. Traffic Manager, trafiği belirli bir şekilde çeşitli hizmet uç noktalarına yönlendirmek için birden çok trafik yönlendirme yöntemini destekler.

İç içe yapılandırma - Bir bölgede tercih edilen yük devretmeyi seçmek için daha ayrıntılı denetime ihtiyacınız varsa Traffic Manager'ı iç içe bir yapılandırmada kullanın.

Daha fazla bilgi için bkz.

• Performans trafiği yönlendirme yöntemini yapılandırma
• Traffic Manager yönlendirme yöntemleri

Genel trafik görünümü

Trafik desenlerini ve gecikme süresi ölçümlerini görmek için Traffic Manager'da Trafik Görünümü'nü kullanın. Trafik Görünümü, yeni Azure bölgelerine ayak izi genişletmenizi planlamanıza yardımcı olabilir.

Ayrıntılar için bkz . Traffic Manager Trafik Görünümü .

Application Gateway

Hazır otomatik dayanıklılık için Application Gateway v2 SKU'su kullanın.

• Application Gateway v2 SKU'su, yeni örneklerin hata etki alanlarında ve güncelleştirme etki alanlarında otomatik olarak ortaya çıkmalarını sağlar. Alanlar arası yedekliliği seçerseniz, en yeni örnekler hataya dayanıklılık sağlamak için kullanılabilirlik alanlarında da ortaya çıkarsa.

• Application Gateway v1 SKU,iki veya daha fazla örnek dağıttığınızda yüksek kullanılabilirlik senaryolarını destekler. Azure, örneklerin aynı anda başarısız olmamasını sağlamak için bu örnekleri güncelleştirme ve hata etki alanları arasında dağıtır. v1 SKU'su, yükü paylaşmak için aynı ağ geçidinin birden çok örneğini ekleyerek ölçeklenebilirliği destekler.

Application Gateway'in Azure Güvenlik Duvarı CA sertifikasına güvenmesi gerekir.

Azure Güvenlik Duvarı

TLS incelemesi sağlamak için bu tasarımda Azure Güvenlik Duvarı Premium katmanı gereklidir. Azure Güvenlik Duvarı, Application Gateway ile kendi sertifikalarını oluşturan web katmanı sanal makineleri arasındaki TLS oturumlarını kesecek ve sanal ağlardan genel İnternet'e giden trafik akışlarını inceleyecektir. Bu tasarım hakkında daha fazla bilgiyi Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için Sıfır güven ağı bölümünde bulabilirsiniz.

Sistem durumu yoklaması önerileri

Traffic Manager, Application Gateway ve Load Balancer'daki sistem durumu yoklamalarına yönelik bazı öneriler aşağıdadır.

Traffic Manager

Uç nokta durumu - Uygulamanın genel durumunu bildiren bir uç nokta oluşturun. Traffic Manager, her bölgenin kullanılabilirliğini izlemek için bir HTTP(S) araştırması kullanır. Yoklama, belirtilen bir URL yolu için bir HTTP 200 yanıtının alınıp alınmadığını denetler. Sistem durumu yoklaması için oluşturduğunuz uç noktayı kullanın. Aksi takdirde, uygulamanın kritik bölümleri başarısız olduğunda yoklama iyi durumda bir uç nokta bildirebilir.

Daha fazla bilgi için bkz . sistem durumu uç noktası izleme düzeni.

Yük devretme gecikmesi - Traffic Manager'da yük devretme gecikmesi vardır. Gecikme süresini aşağıdaki faktörler belirler:

• Yoklama aralıkları: Yoklamanın uç noktanın durumunu denetleme sıklığı.
• Toleranslı hata sayısı: Uç noktayı iyi durumda değil olarak işaretlemeden önce yoklamanın tolere eden hata sayısı.
• Yoklama zaman aşımı: Traffic Manager'ın uç noktayı iyi durumda değil olarak değerlendirmesine ne kadar süre kaldı?
• Yaşam süresi (TTL): DNS sunucularının IP adresi için önbelleğe alınmış DNS kayıtlarını güncelleştirmeleri gerekir. Gereken süre DNS TTL'ye bağlıdır. Varsayılan TTL 300 saniyedir (5 dakika), ancak Traffic Manager profilini oluştururken bu değeri yapılandırabilirsiniz.

Daha fazla bilgi için bkz . Traffic Manager izleme.

Application Gateway ve Load Balancer

VM'lerinizin durumunu anladığınızdan emin olmak için Application Gateway ve yük dengeleyicinin sistem durumu yoklama ilkeleri hakkında bilgi edinin. İşte kısa bir genel bakış:

• Application Gateway her zaman bir HTTP yoklaması kullanır.

• Load Balancer HTTP veya TCP'yi değerlendirebilir. VM bir HTTP sunucusu çalıştırıyorsa HTTP yoklaması kullanın. Diğer her şey için TCP kullanın.

• HTTP yoklamaları, belirtilen yola bir HTTP GET isteği gönderir ve http 200 yanıtlarını dinler. Bu yol, kök yol ("/") veya uygulamanın durumunu denetlemek için özel mantık uygulayan bir sistem durumu izleme uç noktası olabilir.

• Uç nokta anonim HTTP isteklerine izin vermelidir. Yoklama zaman aşımı süresi içinde bir örneğe ulaşamazsa Application Gateway veya Load Balancer bu VM'ye trafik göndermeyi durdurur. Yoklama denetlemeye devam eder ve VM yeniden kullanılabilir hale gelirse VM'yi arka uç havuzuna döndürür.

Daha fazla bilgi için bkz.

• Load Balancer durum yoklamaları
• Application Gateway sistem durumunu izlemeye genel bakış
• Sistem durumu uç noktası izleme düzeni

Operasyonel mükemmellik

Kaynak grupları - Azure kaynaklarını yaşam süresine, sahipe ve diğer özelliklere göre yönetmek için kaynak gruplarını kullanın.

Sanal ağ eşlemesi - Azure'da iki veya daha fazla sanal ağı sorunsuz bir şekilde bağlamak için sanal ağ eşlemesini kullanın. Sanal ağlar, bağlantı amacıyla tek bir ağ olarak görünür. Eşlenmiş sanal ağlardaki sanal makineler arasındaki trafik, Microsoft omurga altyapısını kullanır. Sanal ağların adres alanının çakışmadığından emin olun.

Sanal ağ ve alt ağlar - Alt ağınızın her katmanı için ayrı bir alt ağ oluşturun. Application Gateway ve Load Balancer gibi VM'leri ve kaynakları alt ağlara sahip bir sanal ağa dağıtmanız gerekir.

Güvenlik

Web Uygulaması Güvenlik Duvarı - Azure Uygulaması lication Gateway'in WAF işlevi, SQL ekleme (SQLi) veya siteler arası betik oluşturma (CSS) gibi HTTP düzeyinde saldırıları algılar ve engeller.

Yeni Nesil Güvenlik Duvarı - Azure Güvenlik Duvarı Premium, HTTP(S) veya başka bir protokol aracılığıyla yüklenen kötü amaçlı dosyalar gibi web dışı saldırılara karşı içeriği inceleyerek ek bir savunma katmanı sağlar.

Uçtan uca şifreleme - Azure ağından geçiş yaparken trafik her zaman şifrelenir. Hem Application Gateway hem de Azure Güvenlik Duvarı trafiği ilgili arka uç sistemine göndermeden önce şifreler.

Dağıtılmış Hizmet Reddi (DDoS) - Azure'ın sağladığı temel korumadan daha fazla DDoS koruması için Azure DDoS Ağ Koruması'nı kullanın.

Ağ güvenlik grupları (NSG) - Sanal ağ içindeki ağ trafiğini kısıtlamak için NSG'leri kullanın. Örneğin, burada gösterilen üç katmanlı mimaride veri katmanı web ön ucundan değil yalnızca iş katmanından gelen trafiği kabul eder. Yalnızca iş katmanı veritabanı katmanıyla doğrudan iletişim kurabilir. Bu kuralı zorunlu kılmak için, veritabanı katmanının iş katmanı alt ağı dışındaki tüm gelen trafiği engellemesi gerekir.

1. İş katmanı alt ağından gelen trafiğe izin verin.
2. Veritabanı katmanı alt ağından gelen trafiğe izin verin. Bu kural, veritabanı VM'leri arasında iletişime izin verir. Veritabanı çoğaltma ve yük devretme için bu kural gerekir.
3. Varsayılan NSG kurallarında yer alan izin deyiminin VirtualNetwork üzerine yazmak için, kuraldaki etiketi kullanarak sanal ağdan gelen tüm trafiği reddedin.

İlk kurallardan daha düşük öncelikli (daha yüksek sayı) kural 3 oluşturun.

Ağ Güvenlik Grupları'nda veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için hizmet etiketlerini kullanabilirsiniz.

Daha fazla bilgi için bkz . Uygulama ağ geçidi altyapısı yapılandırması.

Maliyet iyileştirme

Daha fazla bilgi için bkz.

• Yük Dengeleme fiyatlandırması
• Sanal ağ Fiyatlandırması
• Application Gateway fiyatlandırması
• gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'yu seçin
• Traffic Manager fiyatlandırması
• Fiyatlandırma hesaplayıcı

Performans verimliliği

Sanal makine ölçek kümeleri - Sanal makinelerinizin ölçeklenebilirliğini otomatikleştirmek için Sanal Makine Ölçek Kümeleri kullanın. Sanal makine ölçek kümeleri tüm Windows ve Linux sanal makine boyutlarında kullanılabilir. Yalnızca dağıtılan sanal makineler ve kullanılan temel altyapı kaynakları için ücretlendirilirsiniz. Artımlı ücret yoktur. Sanal Makine Ölçek Kümeleri avantajları şunlardır:

• Birden çok sanal makineyi kolayca oluşturma ve yönetme
• Yüksek kullanılabilirlik ve uygulama dayanıklılığı
• Kaynak talebi değiştikçe otomatik ölçeklendirme

Daha fazla bilgi için bkz. Sanal Makine Ölçek Kümeleri.

Sonraki adımlar

Aynı teknolojileri kullanan daha fazla başvuru mimarisi için bkz:

• Çok bölgeli N katmanlı uygulama
• Çok bölgeli kümeler için AKS temeli