Azure ile Internet arasında DMZ uygulamaImplement a DMZ between Azure and the Internet

Bu başvuru mimarisi, şirket içi bir ağı Azure’a genişleten ve aynı zamanda İnternet trafiğini de kabul eden güvenli bir hibrit ağı gösterir.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure and also accepts Internet traffic. Bu çözümü dağıtın.Deploy this solution.

Not

Bu senaryo kullanılarak da gerçekleştirilebilir Azure Güvenlik Duvarı, bulut tabanlı bir ağ güvenlik hizmeti.This scenario can also be accomplished using Azure Firewall, a cloud-based network security service.

Güvenli karma ağ mimarisi

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

Bu başvuru mimarisi, mimariyi Azure ile şirket içi veri merkeziniz arasında DMZ uygulama bölümünde açıklandığı şekilde genişletir.This reference architecture extends the architecture described in Implementing a DMZ between Azure and your on-premises datacenter. Şirket içi ağdan gelen trafiği işleyen özel DMZ'nin yanı sıra Internet trafiğini işleyen genel bir DMZ ekler.It adds a public DMZ that handles Internet traffic, in addition to the private DMZ that handles traffic from the on-premises network.

Bu mimarinin tipik kullanımları şunlardır:Typical uses for this architecture include:

  • İş uygulamalarının kısmen şirket içi, kısmen de Azure’da çalıştığı hibrit uygulamalar.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Şirket içi ve İnternet’ten gelen trafiği yönlendiren Azure altyapısı.Azure infrastructure that routes incoming traffic from on-premises and the Internet.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Genel IP adresi (PIP).Public IP address (PIP). Genel uç noktanın IP adresi.The IP address of the public endpoint. İnternet'e bağlı harici kullanıcılar bu adres üzerinden sistem erişebilir.External users connected to the Internet can access the system through this address.
  • Ağ sanal gereci (NVA).Network virtual appliance (NVA). Bu mimari, İnternet’ten kaynaklanan trafik için NVA’lardan oluşan ayrı bir havuz içerir.This architecture includes a separate pool of NVAs for traffic originating on the Internet.
  • Azure Load Balancer.Azure load balancer. İnternet’ten gelen tüm istekler yük dengeleyiciden geçer ve genel DMZ’deki NVA’lara dağıtılır.All incoming requests from the Internet pass through the load balancer and are distributed to the NVAs in the public DMZ.
  • Genel DMZ gelen alt ağı.Public DMZ inbound subnet. Bu alt ağ, Azure yük dengeleyiciden gelen istekleri kabul eder.This subnet accepts requests from the Azure load balancer. Gelen istekler genel DMZ’deki NVA’lardan birine iletilir.Incoming requests are passed to one of the NVAs in the public DMZ.
  • Genel DMZ giden alt ağı.Public DMZ outbound subnet. NVA tarafından onaylanan istekler web katmanı için bu alt ağ üzerinden iç yük dengeleyiciye iletilir.Requests that are approved by the NVA pass through this subnet to the internal load balancer for the web tier.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

NVA ile ilgili önerilerNVA recommendations

İnternet’ten kaynaklanan trafik için bir NVA kümesini, şirket içinden kaynaklanan trafik için de başka bir NVA kümesini kullanın.Use one set of NVAs for traffic originating on the Internet, and another for traffic originating on-premises. Bunlardan her ikisi için de aynı NVA kümesinin kullanılması, ağ trafiğinin iki kümesi arasında bir güvenlik çevresi sağlamadığından güvenlik riski oluşturur.Using only one set of NVAs for both is a security risk, because it provides no security perimeter between the two sets of network traffic. Ayrı NVA’ların kullanılması güvenlik kurallarının denetlenmesine ilişkin karmaşıklığı azaltır ve her gelen ağ isteğine hangi kuralların karşılık geldiğini belirlemeyi kolaylaştırır.Using separate NVAs reduces the complexity of checking security rules, and makes it clear which rules correspond to each incoming network request. Bir NVA kümesi yalnızca İnternet trafiğine ilişkin kuralları uygularken diğer NVA kümesi yalnızca şirket içi trafiğe ilişkin kuralları uygular.One set of NVAs implements rules for Internet traffic only, while another set of NVAs implement rules for on-premises traffic only.

Uygulama bağlantılarını NVA düzeyinde sonlandırmak için 7. katman NVA ekleyin ve arka uç katmanlarıyla uyumluluğu koruyun.Include a layer-7 NVA to terminate application connections at the NVA level and maintain compatibility with the backend tiers. Bu, arka uç katmanlarından gelen yanıt trafiğinin NVA üzerinden döndüğü simetrik bağlantıyı güvence altına alır.This guarantees symmetric connectivity where response traffic from the backend tiers returns through the NVA.

Genel yük dengeleyici ile ilgili önerilerPublic load balancer recommendations

Ölçeklenebilirlik ve kullanılabilirlik için genel DMZ NVA’larını bir kullanılabilirlik kümesinde dağıtın ve İnternet'e yönelik bir yük dengeleyici kullanarak kullanılabilirlik kümesindeki NVA’larda İnternet isteklerini dağıtın.For scalability and availability, deploy the public DMZ NVAs in an availability set and use an Internet facing load balancer to distribute Internet requests across the NVAs in the availability set.

Yük dengeleyiciyi, istekleri yalnızca İnternet trafiği için gerekli bağlantı noktalarında kabul edecek şekilde yapılandırın.Configure the load balancer to accept requests only on the ports necessary for Internet traffic. Örneğin, gelen HTTP isteklerini 80 numaralı bağlantı noktası ile; gelen HTTPS isteklerini ise 443 numaralı bağlantı noktası ile kısıtlayın.For example, restrict inbound HTTP requests to port 80 and inbound HTTPS requests to port 443.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenlerScalability considerations

Mimariniz başlangıçta genel DMZ’de tek bir NVA gerektiriyor olsa da genel DMZ’nin önüne en başta bir yük dengeleyici eklemeniz önerilir.Even if your architecture initially requires a single NVA in the public DMZ, we recommend putting a load balancer in front of the public DMZ from the beginning. Bu, ileride gerekmesi durumunda birden çok NVA’ya ölçeklendirme yapılmasını kolaylaştırır.That will make it easier to scale to multiple NVAs in the future, if needed.

Kullanılabilirlik konusunda dikkat edilmesi gerekenlerAvailability considerations

İnternet'e yönelik yük dengeleyiciyi, genel DMZ gelen alt ağındaki her NVA’nın bir durum yoklaması uygulamasını gerektirir.The Internet facing load balancer requires each NVA in the public DMZ inbound subnet to implement a health probe. Bu uç noktayı yanıtlayamayan bir durum yoklaması, kullanılamaz olarak kabul edilir ve yük dengeleyici, istekleri aynı kullanılabilirlik kümesindeki diğer NVA’lara yönlendirir.A health probe that fails to respond on this endpoint is considered to be unavailable, and the load balancer will direct requests to other NVAs in the same availability set. NVA’lardan hiçbirinin yanıt verememesi durumunda uygulamanızın başarısız olacağını; bu nedenle, iyi durumdaki NVA örneklerinin sayısı belirli bir eşiğin altına düştüğünde DevOps’i uyaracak bir izleme yapılandırmasına sahip olmanın önemli olduğunu unutmayın.Note that if all NVAs fail to respond, your application will fail, so it's important to have monitoring configured to alert DevOps when the number of healthy NVA instances falls below a defined threshold.

Yönetilebilirlik konusunda dikkat edilmesi gerekenlerManageability considerations

Tüm izleme ve Yönetim genel dmz'deki Nva'lar için yönetim alt ağındaki Sıçrama kutusu tarafından gerçekleştirilmelidir.All monitoring and management for the NVAs in the public DMZ should be performed by the jumpbox in the management subnet. Azure ile şirket içi veri merkeziniz arasında DMZ uygulama bölümünde açıklandığı gibi, erişimi kısıtlamak için sıçrama kutusunun ağ geçidi yoluyla şirket içi ağdan tek bir ağ yolu tanımlayın.As discussed in Implementing a DMZ between Azure and your on-premises datacenter, define a single network route from the on-premises network through the gateway to the jumpbox, in order to restrict access.

Şirket içi ağınızdan Azure’a ağ geçidi bağlantısı kapalıysa bir genel IP adresi dağıtarak, bunu sıçrama kutusuna ekleyerek ve İnternet’ten oturum açarak sıçrama kutusuna ulaşmaya devam edebilirsiniz.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and logging in from the Internet.

Güvenlikle ilgili dikkat edilmesi gerekenlerSecurity considerations

Bu başvuru mimarisi, birden çok güvenlik düzeyi uygular:This reference architecture implements multiple levels of security:

  • İnternet'e yönelik yük dengeleyici; yalnızca uygulama için gerekli bağlantı noktalarındaki istekleri, gelen genel DMZ alt ağındaki NVA’lara yönlendirir.The Internet facing load balancer directs requests to the NVAs in the inbound public DMZ subnet, and only on the ports necessary for the application.
  • Gelen ve giden genel DMZ alt ağlarına ilişkin NSG kuralları NSG kurallarının kapsamı dışındaki istekleri engelleyerek, NVA’ların tehlikeye girmesini engeller.The NSG rules for the inbound and outbound public DMZ subnets prevent the NVAs from being compromised, by blocking requests that fall outside of the NSG rules.
  • NVA’lar için NAT yönlendirme yapılandırması, 80 ve 443 numaralı bağlantı noktalarındaki gelen istekleri web katmanı yük dengeleyiciye yönlendirir, ancak diğer tüm bağlantı noktalarındaki istekleri yoksayar.The NAT routing configuration for the NVAs directs incoming requests on port 80 and port 443 to the web tier load balancer, but ignores requests on all other ports.

Tüm bağlantı noktalarındaki gelen isteklerin tamamını günlüğe kaydetmeniz gerekir.You should log all incoming requests on all ports. Beklenen parametrelerin dışında kalan istekler, izinsiz giriş denemelerinin göstergesi olabileceğinden, günlükleri düzenli aralıklarla denetleyerek bu tür istekler konusunda dikkatli olun.Regularly audit the logs, paying attention to requests that fall outside of expected parameters, as these may indicate intrusion attempts.

Çözümü dağıtmaDeploy the solution

Bu önerileri uygulayan bir başvuru mimarisi için GitHub’da kullanılabilir bir dağıtım mevcuttur.A deployment for a reference architecture that implements these recommendations is available on GitHub.

ÖnkoşullarPrerequisites

  1. Kopyalama, çatalı oluşturma veya zip dosyasını indirin başvuru mimarilerimize GitHub deposu.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Yükleme Azure CLI 2.0.Install Azure CLI 2.0.

  3. Yükleme Azure yapı taşları npm paketi.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Bir komut istemi'nden istemi veya PowerShell isteminde oturum gibi Azure hesabınızda oturum bash:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Kaynakları dağıtmaDeploy resources

  1. Gidin /dmz/secure-vnet-dmz başvuru mimarileri GitHub deposunun klasör.Navigate to the /dmz/secure-vnet-dmz folder of the reference architectures GitHub repository.

  2. Şu komutu çalıştırın:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Şu komutu çalıştırın:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-hybrid.json --deploy
    

Azure ağ geçitleri ve şirket içi bağlanmaConnect the on-premises and Azure gateways

Bu adımda, iki yerel ağ geçidi bağlanır.In this step, you will connect the two local network gateways.

  1. Azure Portalı'nda, oluşturduğunuz kaynak grubuna gidin.In the Azure Portal, navigate to the resource group that you created.

  2. Adlı kaynağın Bul ra-vpn-vgw-pip ve gösterilen IP adresini kopyalayın genel bakış dikey penceresi.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Adlı kaynağın Bul onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Tıklayın yapılandırma dikey penceresi.Click the Configuration blade. Altında IP adresi, 2. adımdaki IP adresini yapıştırın.Under IP address, paste in the IP address from step 2.

    IP adres alanının ekran görüntüsü

  5. Tıklayın Kaydet ve işlemin tamamlanmasını bekleyin.Click Save and wait for the operation to complete. Uygulamanın, yaklaşık 5 dakika sürebilir.It can take about 5 minutes.

  6. Adlı kaynağın Bul onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Gösterilen IP adresini kopyalayın genel bakış dikey penceresi.Copy the IP address shown in the Overview blade.

  7. Adlı kaynağın Bul ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Tıklayın yapılandırma dikey penceresi.Click the Configuration blade. Altında IP adresi, 6 adımdaki IP adresiyle yapıştırın.Under IP address, paste in the IP address from step 6.

  9. Tıklayın Kaydet ve işlemin tamamlanmasını bekleyin.Click Save and wait for the operation to complete.

  10. Bağlantıyı doğrulamak için Git bağlantıları her ağ geçidi dikey penceresinde.To verify the connection, go to the Connections blade for each gateway. Durumu olmalıdır bağlı.The status should be Connected.

Ağ trafiğini web katmanına ulaştığını doğrulayınVerify that network traffic reaches the web tier

  1. Azure Portalı'nda, oluşturduğunuz kaynak grubuna gidin.In the Azure Portal, navigate to the resource group that you created.

  2. Adlı kaynağın Bul pub-dmz-lb, genel DMZ önündeki yük dengeleyici olduğu.Find the resource named pub-dmz-lb, which is the load balancer in front of the public DMZ.

  3. Genel IP addess öğesinden kopyalayın genel bakış dikey penceresinde ve bu adresi bir web tarayıcısında açın.Copy the public IP addess from the Overview blade and open this address in a web browser. Varsayılan Apache2 sunucusu giriş sayfası görmeniz gerekir.You should see the default Apache2 server home page.

  4. Adlı kaynağın Bul int-dmz-lb, özel DMZ önündeki yük dengeleyici olduğu.Find the resource named int-dmz-lb, which is the load balancer in front of the private DMZ. Özel IP adresini kopyalamak genel bakış dikey penceresi.Copy the private IP address from the Overview blade.

  5. Adlı bir sanal makine bulma jb-vm1.Find the VM named jb-vm1. Tıklayın Connect ve VM'ye bağlanmak için Uzak Masaüstü'nü kullanın.Click Connect and use Remote Desktop to connect to the VM. Kullanıcı adı ve parola onprem.json dosyasında belirtilir.The user name and password are specified in the onprem.json file.

  6. Uzak Masaüstü oturumundan, bir web tarayıcısı açın ve 4. adımdan IP adresine gidin.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 4. Varsayılan Apache2 sunucusu giriş sayfası görmeniz gerekir.You should see the default Apache2 server home page.