Azure ile şirket içi veri merkeziniz arasında DMZ uygulamaImplement a DMZ between Azure and your on-premises datacenter

Bu başvuru mimarisi, şirket içi bir ağı Azure’a genişleten güvenli bir karma ağı gösterir.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. Bu mimari, şirket içi ağ ile bir Azure sanal ağı (VNet) arasında DMZ, diğer adıyla çevre ağı uygular.The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network (VNet). DMZ, güvenlik duvarları ve paket incelemesi gibi güvenlik işlevlerini uygulayan ağ sanal gereçlerini (NVA’lar) içerir.The DMZ includes network virtual appliances (NVAs) that implement security functionality such as firewalls and packet inspection. Sanal ağdan giden trafiğin tümü, denetlenmesi için şirket içi ağ üzerinden İnternete zorlamalı tünel oluşturularak gönderilir.All outgoing traffic from the VNet is force-tunneled to the Internet through the on-premises network, so that it can be audited. Bu çözümü dağıtın.Deploy this solution.

Not

Bu senaryo, bulut tabanlı bir ağ güvenlik hizmeti olan Azure Güvenlik Duvarıkullanılarak da gerçekleştirilebilir.This scenario can also be accomplished using Azure Firewall, a cloud-based network security service.

Güvenli karma ağ mimarisi

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

Bu mimaride, VPN Gateway veya ExpressRoute bağlantısı kullanarak şirket içi veri merkezinizle bağlantı gerekir.This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Bu mimarinin tipik kullanımları şunlardır:Typical uses for this architecture include:

  • İş uygulamalarının kısmen şirket içi, kısmen de Azure’da çalıştığı hibrit uygulamalar.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Şirket içi veri merkezinden Azure sanal ağına girildiğinde trafik üzerinde ayrıntılı denetim gerektiren altyapı.Infrastructure that requires granular control over traffic entering an Azure VNet from an on-premises datacenter.
  • Giden trafiği denetlemesi gereken uygulamalar.Applications that must audit outgoing traffic. Bu genellikle birçok ticari sisteme ait bir yasal gerekliliktir ve özel bilgilerin kamuya bildirilmesini önlemeye yardımcı olabilir.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Şirket içi ağı.On-premises network. Bir kuruluşta uygulanan özel bir yerel alan ağı.A private local-area network implemented in an organization.

  • Azure sanal ağı (VNet) .Azure virtual network (VNet). Sanal ağ, uygulamayı ve Azure’da çalışan diğer kaynakları barındırır.The VNet hosts the application and other resources running in Azure.

  • Ağ geçidi.Gateway. Ağ geçidi, şirket içi ağdaki ve sanal ağdaki yönlendiriciler arasında bir bağlantı sağlar.The gateway provides connectivity between the routers in the on-premises network and the VNet.

  • Ağ sanal gereci (NVA) .Network virtual appliance (NVA). NVA, bir güvenlik duvarı olarak erişime izin verme veya erişimi engelleme, geniş alan ağı (WAN) işlemlerini iyileştirme (ağ sıkıştırma dahil), özel yönlendirme veya diğer ağ işlevleri gibi görevleri gerçekleştiren bir sanal makineyi açıklayan genel bir terimdir.NVA is a generic term that describes a VM performing tasks such as allowing or denying access as a firewall, optimizing wide area network (WAN) operations (including network compression), custom routing, or other network functionality.

  • Web katmanı, iş katmanı ve veri katmanı alt ağları.Web tier, business tier, and data tier subnets. Bulutta çalıştırılan örnek bir 3 katmanlı uygulama yürüten VM’leri ve hizmetleri barındıran alt ağlar.Subnets hosting the VMs and services that implement an example 3-tier application running in the cloud. Daha fazla bilgi için bkz. Azure 'Da N katmanlı mimari Için Windows VM 'Leri çalıştırma .See Running Windows VMs for an N-tier architecture on Azure for more information.

  • Kullanıcı tanımlı yollar (UDR) .User defined routes (UDR). Kullanıcı tanımlı rotalar , Azure sanal AĞLARı 'nda IP trafiği akışını tanımlar.User defined routes define the flow of IP traffic within Azure VNets.

    Not

    VPN bağlantınızın gereksinimlerine bağlı olarak, trafiği şirketi içi ağ üzerinden geri yönlendiren iletme kurallarını uygulamak için UDR’leri kullanmak yerine Sınır Ağ Geçidi Protokol’ünü (BGP) yapılandırabilirsiniz.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes instead of using UDRs to implement the forwarding rules that direct traffic back through the on-premises network.

  • Yönetim alt ağından.Management subnet. Bu alt ağ, sanal ağda çalışan bileşenler için yönetim ve izleme özellikleri uygulayan VM’ler içerir.This subnet contains VMs that implement management and monitoring capabilities for the components running in the VNet.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

Erişim denetimi önerileriAccess control recommendations

Uygulamanızdaki kaynakları yönetmek için rol tabanlı erişim denetimi (RBAC) kullanın.Use role-based access control (RBAC) to manage the resources in your application. Aşağıdaki özel rollerioluşturmayı göz önünde bulundurun:Consider creating the following custom roles:

  • Uygulama için altyapıyı yönetme, uygulama bileşenlerini dağıtma ve VM’leri izleyip yeniden başlatma izinlerine sahip bir DevOps rolü.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Ağ kaynaklarını yönetip izlemek için merkezi bir BT yöneticisi rolü.A centralized IT administrator role to manage and monitor network resources.

  • NVA’lar gibi güvenli ağ kaynaklarını yönetmek için güvenlik BT yöneticisi rolü.A security IT administrator role to manage secure network resources such as the NVAs.

DevOps ve BT yöneticisi rollerinin, NVA kaynaklarına erişimi olmamalıdır.The DevOps and IT administrator roles should not have access to the NVA resources. Bu, güvenlik BT yöneticisi rolüyle sınırlı olmalıdır.This should be restricted to the security IT administrator role.

Kaynak grubu önerileriResource group recommendations

VMler, sanal ağlar ve yük dengeleyiciler gibi Azure kaynakları, kaynak grupları oluşturacak şekilde gruplandırılarak kolayca yönetilebilir.Azure resources such as VMs, VNets, and load balancers can be easily managed by grouping them together into resource groups. Erişimi kısıtlamak için her kaynak grubuna RBAC rolü atayın.Assign RBAC roles to each resource group to restrict access.

Aşağıdaki kaynak gruplarını oluşturmanızı öneririz:We recommend creating the following resource groups:

  • Sanal ağ içeren bir kaynak grubu (VM’ler hariç) ve şirket içi ağa bağlanmak için ağ geçidi kaynakları.A resource group containing the VNet (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Merkezi BT yöneticisi rolünü bu kaynak grubuna atayın.Assign the centralized IT administrator role to this resource group.
  • NVA’lar için VM’leri (yük dengeleyicisi dahil), sıçrama kutusu ve diğer yönetim VM’lerini ve trafiği NVA’lar üzerinden zorlayan ağ geçidi alt ağı için UDR içeren bir kaynak grubu.A resource group containing the VMs for the NVAs (including the load balancer), the jumpbox and other management VMs, and the UDR for the gateway subnet that forces all traffic through the NVAs. Güvenlik BT yöneticisi rolünü bu kaynak grubuna atayın.Assign the security IT administrator role to this resource group.
  • Yük dengeleyicisi ve VM’leri içeren her uygulama katmanı için ayrı kaynak grubu.Separate resource groups for each application tier that contain the load balancer and VMs. Bu kaynak grubunun her katman için alt ağ içermemesi gerektiğini unutmayın.Note that this resource group shouldn't include the subnets for each tier. DevOps rolünü bu kaynak grubuna atayın.Assign the DevOps role to this resource group.

Sanal ağ geçidi önerileriVirtual network gateway recommendations

Şirket içi trafik, sanal ağ geçidi üzerinden sanal ağa geçer.On-premises traffic passes to the VNet through a virtual network gateway. Azure VPN Gateway veya Azure ExpressRoute ağ geçidiönerilir.We recommend an Azure VPN gateway or an Azure ExpressRoute gateway.

NVA ile ilgili önerilerNVA recommendations

NVA’lar, ağ trafiğini yönetmek ve izlemek için farklı hizmetler sağlar.NVAs provide different services for managing and monitoring network traffic. Azure Marketi , kullanabileceğiniz çeşitli üçüncü taraf satıcı NVA 'lar sunar.The Azure Marketplace offers several third-party vendor NVAs that you can use. Bu üçüncü taraf NVA’larının hiçbiri gereksinimlerinizi karşılamıyorsa, sanal makineleri kullanarak özel bir NVA oluşturabilirsiniz.If none of these third-party NVAs meet your requirements, you can create a custom NVA using VMs.

Örneğin, bu başvuru mimarisine ait çözüm dağıtımı, bir VM'de aşağıdaki işlevselliğe sahip bir NVA uygular:For example, the solution deployment for this reference architecture implements an NVA with the following functionality on a VM:

  • Trafik, NVA ağ arabirimlerinde (NIC 'ler) IP iletimi kullanılarak yönlendirilir.Traffic is routed using IP forwarding on the NVA network interfaces (NICs).
  • Trafiğin, yalnızca uygun olduğunda NVA üzerinden geçmesine izin verilir.Traffic is permitted to pass through the NVA only if it is appropriate to do so. Başvuru mimarisindeki her NVA sanal makinesi, basit bir Linux yönlendiricisidir.Each NVA VM in the reference architecture is a simple Linux router. Gelen trafik ağ arabirimine varır eth0 ve giden trafik ise, ağ arabirimi eth1 üzerinden gönderilen özel betikler tarafından tanımlanan kurallarla eşleşir.Inbound traffic arrives on network interface eth0, and outbound traffic matches rules defined by custom scripts dispatched through network interface eth1.
  • NVA’lar yalnızca yönetim alt ağından yapılandırılabilir.The NVAs can only be configured from the management subnet.
  • Yönetim alt ağına yönlendirilen trafik, NVA’lar üzerinden geçmez.Traffic routed to the management subnet does not pass through the NVAs. Aksi takdirde, NVA’lar başarısız olursa, bunları düzeltmesi için yönetim alt ağına giden bir yol olmazdı.Otherwise, if the NVAs fail, there would be no route to the management subnet to fix them.
  • NVA 'nın VM 'Leri, bir yük dengeleyicinin arkasında bir kullanılabilirlik kümesine yerleştirilir.The VMs for the NVA are placed in an availability set behind a load balancer. Ağ geçidi alt ağındaki UDR, NVA isteklerini yük dengeleyicisine yönlendirir.The UDR in the gateway subnet directs NVA requests to the load balancer.

Uygulama bağlantılarını NVA düzeyinde sonlandırmak için 7. katman NVA ekleyin ve arka uç katmanlarıyla benzeşimi koruyun.Include a layer-7 NVA to terminate application connections at the NVA level and maintain affinity with the backend tiers. Bu, arka uç katmanlarından gelen yanıt trafiğinin NVA üzerinden döndüğü simetrik bağlantıyı güvence altına alır.This guarantees symmetric connectivity, in which response traffic from the backend tiers returns through the NVA.

Dikkate alınması gereken diğer bir seçenekse, her NVA’nın özel bir güvenlik görevi gerçekleştirmesiyle serideki çoklu NVA’ları bağlamaktır.Another option to consider is connecting multiple NVAs in series, with each NVA performing a specialized security task. Bu her güvenlik işlevinin NVA başına yönetilmesini sağlar.This allows each security function to be managed on a per-NVA basis. Örneğin, güvenlik duvarı uygulayan bir NVA, kimlik hizmetleri çalıştıran bir NVA’yla seriye yerleştirilebilir.For example, an NVA implementing a firewall could be placed in series with an NVA running identity services. Kolay yönetim adına dengeleme yapmak için gecikme süresini artırabilen fazladan ağ atlamaları eklenir. Bunun uygulamanızın performansını etkilemediğinden emin olun.The tradeoff for ease of management is the addition of extra network hops that may increase latency, so ensure that this doesn't affect your application's performance.

NSG önerileriNSG recommendations

VPN ağ geçidi, genel bir IP adresini bağlantı için şirket içi ağda kullanıma sunar.The VPN gateway exposes a public IP address for the connection to the on-premises network. Gelen NVA alt ağı için, şirket içi ağdan kaynaklanmayan tüm trafiği engelleyecek kurallarla bir ağ güvenlik grubu (NSG) oluşturmanızı öneririz.We recommend creating a network security group (NSG) for the inbound NVA subnet, with rules to block all traffic not originating from the on-premises network.

Ayrıca, hatalı yapılandırılmış veya devre dışı bırakılmış bir NVA’yı atlayan gelen trafiğe karşı ikinci düzey bir koruma sağlamak için her alt ağda NSG olmasını öneririz.We also recommend NSGs for each subnet to provide a second level of protection against inbound traffic bypassing an incorrectly configured or disabled NVA. Örneğin, başvuru mimarisindeki web katmanı alt ağı, şirket içi ağdan (192.168.0.0/16) ya da sanal ağdan gelenler dışında tüm istekleri yoksayan bir kurala ve 80 numaralı bağlantı noktasında yapılmamış olan tüm istekleri yoksayan başka bir kurala sahip bir NSG uygular.For example, the web tier subnet in the reference architecture implements an NSG with a rule to ignore all requests other than those received from the on-premises network (192.168.0.0/16) or the VNet, and another rule that ignores all requests not made on port 80.

İnternet erişimi önerileriInternet access recommendations

Siteden siteye VPN tüneli kullanarak tüm giden Internet trafiğini şirket içi ağınız aracılığıyla tünele ve ağ adresi ÇEVIRISI (NAT) kullanarak Internet 'e yönlendirin.Force-tunnel all outbound Internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the Internet using network address translation (NAT). Bu, veri katmanınızda depolanmış olan gizli bilgilerin yanlışlıkla sızdırılmasını önler ve giden tüm trafiğin incelenip denetlenmesini sağlar.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Not

Bu katmanların, VM tanılama günlük kaydı, VM uzantılarını indirme ve diğer işlevler gibi genel IP adreslerini kullanan Azure PaaS hizmetlerini kullanmalarını önlediğinden, İnternet trafiğini uygulama katmanlarında tamamen engellemeyin.Don't completely block Internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. Azure tanılama ayrıca bileşenlerin bir Azure Depolama hesabına okuyup yazabilmesini gerektirir.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Giden internet trafiğinin doğru şekilde zorlamalı tünel oluşturulduğunu doğrulayın.Verify that outbound internet traffic is force-tunneled correctly. Şirket içi sunucuda Yönlendirme ve uzaktan erişim hizmeti Ile bir VPN bağlantısı kullanıyorsanız, Wireshark veya Microsoft Message Analyzergibi bir araç kullanın.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark or Microsoft Message Analyzer.

Yönetim alt ağı önerileriManagement subnet recommendations

Yönetim alt ağı, yönetim ve izleme işlevleri gerçekleştiren bir sıçrama kutusu içerir.The management subnet contains a jumpbox that performs management and monitoring functionality. Sıçrama kutusunun tüm güvenli yönetim görevlerini yürütmesini kısıtlayın.Restrict execution of all secure management tasks to the jumpbox.

Sıçrama kutusu için bir genel IP adresi oluşturmayın.Do not create a public IP address for the jumpbox. Bunun yerine, gelen ağ geçidi üzerinden sıçrama kutusuna erişmek için tek bir yol oluşturun.Instead, create one route to access the jumpbox through the incoming gateway. Yönetim alt ağının yalnızca izin verilen yoldan gelen isteklere yanıt vermesi için NSG kuralları oluşturun.Create NSG rules so the management subnet only responds to requests from the allowed route.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenlerScalability considerations

Başvuru mimarisi, şirket içi ağ trafiğini, trafiği yönlendiren bir NVA cihazları havuzuna yönlendirmek için bir yük dengeleyici kullanır.The reference architecture uses a load balancer to direct on-premises network traffic to a pool of NVA devices, which route the traffic. NVA 'lar, bir kullanılabilirlik kümesineyerleştirilir.The NVAs are placed in an availability set. Bu tasarım, NVA’ların zaman içindeki aktarım hızını izlemenizi ve yükteki artışlara yanıt olarak NVA cihazları eklemenizi sağlar.This design allows you to monitor the throughput of the NVAs over time and add NVA devices in response to increases in load.

VPN Gateway bant genişliği sınırları hakkında daha fazla bilgi için bkz. ağ geçidi SKU 'ları.For details about the bandwidth limits of VPN Gateway, see Gateway SKUs. Daha yüksek bant genişlikleri için, bir ExpressRoute ağ geçidine yükseltmeyi düşünün.For higher bandwidths, consider upgrading to an ExpressRoute gateway. ExpressRoute, bir VPN bağlantısından daha düşük gecikme süresi ile en fazla 10 Gb/sn bant genişliği sağlar.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Azure ağ geçitlerinin ölçeklenebilirliği hakkında daha fazla bilgi için Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulama ve Azure ile karma ağ mimarisi uygulama konusundaki ölçeklenebilirlik değerlendirmesi bölümüne bakın ExpressRoute.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Kullanılabilirlik konusunda dikkat edilmesi gerekenlerAvailability considerations

Belirtildiği gibi, başvuru mimarisi bir yük dengeleyici arkasında NVA cihazları havuzu kullanır.As mentioned, the reference architecture uses a pool of NVA devices behind a load balancer. Yük dengeleyici, tüm NVA’ları izlemek için bir durum araştırması kullanır ve yanıt vermeyen NVA’ları havuzdan kaldırır.The load balancer uses a health probe to monitor each NVA and will remove any unresponsive NVAs from the pool.

VNet ve şirket içi ağ arasında bağlantı sağlamak için Azure ExpressRoute kullanıyorsanız, ExpressRoute bağlantısı kullanılamaz hale gelirse Yük devretme sağlamak için BIR VPN ağ geçidi yapılandırın .If you're using Azure ExpressRoute to provide connectivity between the VNet and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

VPN ve ExpressRoute bağlantıları için kullanılabilirliği sürdürme hakkında bilgi için bkz. Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulama ve karma ağ uygulama hakkında kullanılabilirlik konuları Azure ExpressRoute ile mimari.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Yönetilebilirlik konusunda dikkat edilmesi gerekenlerManageability considerations

Uygulama ve kaynak izleme işlemlerinin tümü, yönetim alt ağındaki sıçrama kutusu tarafından gerçekleştirilmelidir.All application and resource monitoring should be performed by the jumpbox in the management subnet. Uygulama gereksinimlerinize bağlı olarak, yönetim alt ağında ek izleme kaynaklarına ihtiyaç duyabilirsiniz.Depending on your application requirements, you may need additional monitoring resources in the management subnet. Bu durumda, bu kaynaklara sıçrama kutusu üzerinden erişilmelidir.If so, these resources should be accessed through the jumpbox.

Şirket içi ağınızdan Azure’a ağ geçidi bağlantısı kapalıysa bir genel IP adresi dağıtarak, bunu sıçrama kutusuna ekleyerek ve internet yoluyla uzaktan iletişim kurarak sıçrama kutusuna ulaşmaya devam edebilirsiniz.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and remoting in from the internet.

Başvuru mimarisindeki her katmanın alt ağı, NSG kuralları tarafından korunur.Each tier's subnet in the reference architecture is protected by NSG rules. Windows VM’lerinde uzak masaüstü protokolü (RDP) erişimi için 3389 numaralı bağlantı noktasını veya Linux VM’lerinde Secure Shell (SSH) erişimi için 22 numaralı bağlantı noktasını açacak bir kural oluşturmanız gerekebilir.You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. Diğer yönetim ve izleme araçları, ek bağlantı noktalarını açacak kurallar gerektirebilir.Other management and monitoring tools may require rules to open additional ports.

Şirket içi veri merkeziniz ile Azure arasında bağlantı sağlamak için ExpressRoute kullanıyorsanız, bağlantı sorunlarını izlemek ve sorunlarını gidermek için Azure bağlantı araç seti 'ni (AzureCT) kullanın.If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulama ve karma ağ uygulama makalelerinde VPN ve ExpressRoute bağlantılarını izleme ve yönetme konusunda daha fazla bilgi edinebilirsiniz. Azure ExpressRoute ile mimari.You can find additional information specifically aimed at monitoring and managing VPN and ExpressRoute connections in the articles Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Güvenlik konularıSecurity considerations

Bu başvuru mimarisi, birden çok güvenlik düzeyi uygular.This reference architecture implements multiple levels of security.

Tüm şirket içi kullanıcı isteklerini NVA aracılığıyla yönlendirmeRouting all on-premises user requests through the NVA

Ağ geçidi alt ağındaki UDR, şirket içinden gelenler hariç tüm kullanıcı isteklerini engeller.The UDR in the gateway subnet blocks all user requests other than those received from on-premises. UDR, özel DMZ alt ağında izin verilen istekleri NVA’lara geçirir ve NVA kuralları izin veriyorsa bu istekler uygulamaya geçirilir.The UDR passes allowed requests to the NVAs in the private DMZ subnet, and these requests are passed on to the application if they are allowed by the NVA rules. UDR’ye başka yollar ekleyebilirsiniz, ancak yanlışlıkla NVA’ları atlamadığından veya yönetim alt ağı için hedeflenen yönetim trafiğini engellemediğinden emin olun.You can add other routes to the UDR, but make sure they don't inadvertently bypass the NVAs or block administrative traffic intended for the management subnet.

NVA’ların önündeki yük dengeleyici aynı zamanda yük dengeleyici kurallarında açık olmayan bağlantı noktalarındaki trafiği yoksayarak bir güvenlik cihazı işlevi görür.The load balancer in front of the NVAs also acts as a security device by ignoring traffic on ports that are not open in the load balancing rules. Başvuru mimarisindeki yük dengeleyiciler yalnızca 80 numaralı bağlantı noktasındaki HTTP isteklerini ve 443 numaralı bağlantı noktasındaki HTTPS isteklerini dinler.The load balancers in the reference architecture only listen for HTTP requests on port 80 and HTTPS requests on port 443. Yük dengeleyiciye eklediğiniz tüm ek kuralları belgeleyin ve hiçbir güvenlik sorunu olmadığından emin olmak için trafiği izleyin.Document any additional rules that you add to the load balancers, and monitor traffic to ensure there are no security issues.

Uygulama katmanları arasında trafiği engellemek/geçirmek için NSG’leri kullanmaUsing NSGs to block/pass traffic between application tiers

Katmanlar arasındaki trafik, NSG'ler kullanılarak kısıtlandırılır.Traffic between tiers is restricted by using NSGs. İş katmanı, web katmanından kaynaklanmayan tüm trafiği ve veri katmanı ise, iş katmanından kaynaklanmayan tüm trafiği engeller.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Bu katmanlara daha geniş erişim sağlamak için NSG kurallarını genişletmeye ihtiyaç duyuyorsanız, bu gereksinimleri güvenlik risklerine karşı değerlendirin.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Gelen her yeni patika, yanlışlıkla veya kasıtlı olarak yapılan veri sızıntısı ya da uygulama hasarı fırsatlarını temsil eder.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

DevOps erişimiDevOps access

DevOps 'un her katmanda gerçekleştirebileceği işlemleri kısıtlamak için RBAC kullanın.Use RBAC to restrict the operations that DevOps can perform on each tier. İzin verirken, en az ayrıcalık ilkesinikullanın.When granting permissions, use the principle of least privilege. Tüm yapılandırma değişikliklerinin planlı olduğundan emin olmak için yönetim işlemlerinin tümünü günlüğe kaydedin ve normal denetimler gerçekleştirin.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Çözümü dağıtmaDeploy the solution

Bu önerileri uygulayan başvuru mimarisine yönelik bir dağıtım GitHub' da kullanılabilir.A deployment for a reference architecture that implements these recommendations is available on GitHub.

ÖnkoşullarPrerequisites

  1. Başvuru mimarileri GitHub deposuna ait zip dosyasını kopyalayın, indirin veya bu dosya için bir çatal oluşturun.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Azure CLI 2.0'ı yükleyin.Install Azure CLI 2.0.

  3. Node ve NPM'yi yükleyin.Install Node and NPM

  4. Azure yapı taşları npm paketini yükleyin.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. Komut isteminden, bash isteminden veya PowerShell isteminden Azure hesabınızda aşağıda gösterildiği gibi oturum açın:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Kaynakları dağıtmaDeploy resources

  1. Gidin /dmz/secure-vnet-hybrid başvuru mimarileri GitHub deposunun klasör.Navigate to the /dmz/secure-vnet-hybrid folder of the reference architectures GitHub repository.

  2. Şu komutu çalıştırın:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Şu komutu çalıştırın:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-hybrid.json --deploy
    

Azure ağ geçitleri ve şirket içi bağlanmaConnect the on-premises and Azure gateways

Bu adımda, iki yerel ağ geçidi bağlanır.In this step, you will connect the two local network gateways.

  1. Azure portal, oluşturduğunuz kaynak grubuna gidin.In the Azure portal, navigate to the resource group that you created.

  2. Adlı kaynağın Bul ra-vpn-vgw-pip ve gösterilen IP adresini kopyalayın genel bakış dikey penceresi.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Adlı kaynağın Bul onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Tıklayın yapılandırma dikey penceresi.Click the Configuration blade. Altında IP adresi, 2. adımdaki IP adresini yapıştırın.Under IP address, paste in the IP address from step 2.

    IP adres alanının ekran görüntüsü

  5. Tıklayın Kaydet ve işlemin tamamlanmasını bekleyin.Click Save and wait for the operation to complete. Uygulamanın, yaklaşık 5 dakika sürebilir.It can take about 5 minutes.

  6. Adlı kaynağın Bul onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Gösterilen IP adresini kopyalayın genel bakış dikey penceresi.Copy the IP address shown in the Overview blade.

  7. Adlı kaynağın Bul ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Tıklayın yapılandırma dikey penceresi.Click the Configuration blade. Altında IP adresi, 6 adımdaki IP adresiyle yapıştırın.Under IP address, paste in the IP address from step 6.

  9. Tıklayın Kaydet ve işlemin tamamlanmasını bekleyin.Click Save and wait for the operation to complete.

  10. Bağlantıyı doğrulamak için Git bağlantıları her ağ geçidi dikey penceresinde.To verify the connection, go to the Connections blade for each gateway. Durumu olmalıdır bağlı.The status should be Connected.

Ağ trafiğini web katmanına ulaştığını doğrulayınVerify that network traffic reaches the web tier

  1. Azure portal, oluşturduğunuz kaynak grubuna gidin.In the Azure portal, navigate to the resource group that you created.

  2. Adlı kaynağın Bul int-dmz-lb, özel DMZ önündeki yük dengeleyici olduğu.Find the resource named int-dmz-lb, which is the load balancer in front of the private DMZ. Özel IP adresini kopyalamak genel bakış dikey penceresi.Copy the private IP address from the Overview blade.

  3. Adlı bir sanal makine bulma jb-vm1.Find the VM named jb-vm1. Tıklayın Connect ve VM'ye bağlanmak için Uzak Masaüstü'nü kullanın.Click Connect and use Remote Desktop to connect to the VM. Kullanıcı adı ve parola onprem.json dosyasında belirtilir.The user name and password are specified in the onprem.json file.

  4. Uzak Masaüstü oturumundan, bir web tarayıcısı açın ve 2. adımdaki IP adresine gidin.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 2. Varsayılan Apache2 sunucusu giriş sayfası görmeniz gerekir.You should see the default Apache2 server home page.

Sonraki adımlarNext steps