Şirket içi bir ağı ExpressRoute kullanarak Azure’a bağlamaConnect an on-premises network to Azure using ExpressRoute

Bu başvuru mimarisinde, şirket içi bir ağın Azure ExpressRoute kullanılarak Azure'daki sanal ağlara nasıl bağlanabileceği gösterilmektedir.This reference architecture shows how to connect an on-premises network to virtual networks on Azure, using Azure ExpressRoute. ExpressRoute bağlantıları, üçüncü taraf bir bağlantı sağlayıcısı aracılığıyla özel, ayrılmış bir bağlantı kullanır.ExpressRoute connections use a private, dedicated connection through a third-party connectivity provider. Bu özel bağlantı, şirket içi ağınızı Azure'a genişletir.The private connection extends your on-premises network into Azure. Bu çözümü dağıtın.Deploy this solution.

00

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Şirket içi kurumsal ağ.On-premises corporate network. Bir kuruluşun içinde çalışan özel bir yerel ağ.A private local-area network running within an organization.

  • ExpressRoute bağlantı hattı.ExpressRoute circuit. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Yerel uç yönlendiricileri.Local edge routers. Şirket içi ağı, sağlayıcı tarafından yönetilen bağlantı hattına bağlayan yönlendiriciler.Routers that connect the on-premises network to the circuit managed by the provider. Bağlantınızın nasıl sağlandığında bağlı olarak, yönlendiriciler tarafından kullanılan genel IP adreslerini sağlamanız gerekebilir.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Microsoft uç yönlendiricileri.Microsoft edge routers. Etkin-etkin yüksek oranda kullanılabilir yapılandırmasına sahip iki yönlendirici.Two routers in an active-active highly available configuration. Bu yönlendiriciler, bağlantı sağlayıcılarının bağlantı hatlarını doğrudan veri merkezlerine bağlamasına olanak sağlar.These routers enable a connectivity provider to connect their circuits directly to their datacenter. Bağlantınızın nasıl sağlandığında bağlı olarak, yönlendiriciler tarafından kullanılan genel IP adreslerini sağlamanız gerekebilir.Depending on how your connection is provisioned, you may need to provide the public IP addresses used by the routers.

  • Azure sanal ağları (VNet).Azure virtual networks (VNets). Her VNet tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir.Each VNet resides in a single Azure region, and can host multiple application tiers. Uygulama katmanları her bir VNet'te alt ağlar kullanılarak kesimlere ayrılabilir.Application tiers can be segmented using subnets in each VNet.

  • Azure genel hizmetleri.Azure public services. Hibrit bir uygulama içinde kullanılabilen Azure hizmetleri.Azure services that can be used within a hybrid application. Bu hizmetler İnternet üzerinden de kullanılabilir. Ancak bir ExpressRoute bağlantı hattı kullanılarak erişildiğinde, trafik İnternet üzerinden geçmediği için düşük gecikme süreleri ve daha öngörülebilir bir performans elde edilir.These services are also available over the Internet, but accessing them using an ExpressRoute circuit provides low latency and more predictable performance, because traffic does not go through the Internet. Bağlantılar, genel eşleme aracılığıyla gerçekleştirilir. Bunun için kuruluşunuza ait olan veya bağlantı sağlayıcınızdan alınan adresler kullanılır.Connections are performed using public peering, with addresses that are either owned by your organization or supplied by your connectivity provider.

  • Office 365 hizmetleri.Office 365 services. Microsoft tarafından sağlanan, genel kullanıma açık Office 365 uygulamaları ve hizmetleri.The publicly available Office 365 applications and services provided by Microsoft. Bağlantılar, Microsoft eşlemesi aracılığıyla gerçekleştirilir. Bunun için kuruluşunuza ait olan veya bağlantı sağlayıcınızdan alınan adresler kullanılır.Connections are performed using Microsoft peering, with addresses that are either owned by your organization or supplied by your connectivity provider. Microsoft eşlemesi aracılığıyla doğrudan Microsoft CRM Online’a da bağlanılabilir.You can also connect directly to Microsoft CRM Online through Microsoft peering.

  • Bağlantı sağlayıcıları (gösterilmemiştir).Connectivity providers (not shown). Veri merkeziniz ve Azure veri merkezi arasında katman 2 veya katman 3 bağlantısı kullanarak bağlantı sağlayan şirketler.Companies that provide a connection either using layer 2 or layer 3 connectivity between your datacenter and an Azure datacenter.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

Bağlantı sağlayıcılarıConnectivity providers

Konumunuz için uygun bir ExpressRoute bağlantı sağlayıcısı seçin.Select a suitable ExpressRoute connectivity provider for your location. Konumunuzda yararlanabileceğiniz bağlantı sağlayıcılarının listesini almak için aşağıdaki Azure PowerShell komutunu kullanın:To get a list of connectivity providers available at your location, use the following Azure PowerShell command:

Get-AzureRmExpressRouteServiceProvider

ExpressRoute bağlantı sağlayıcıları, veri merkezinizi Microsoft'a bağlamak için aşağıdaki yolları kullanır:ExpressRoute connectivity providers connect your datacenter to Microsoft in the following ways:

  • Bulut değişiminde ortak yerleşim.Co-located at a cloud exchange. Bulut değişimine sahip bir tesiste ortak yerleşime sahipseniz ortak yerleşim sağlayıcının Ethernet değişimi üzerinden Azure’a sanal çapraz bağlantılar sipariş edebilirsiniz.If you're co-located in a facility with a cloud exchange, you can order virtual cross-connections to Azure through the co-location provider’s Ethernet exchange. Ortak yerleşim sağlayıcıları, ortak yerleşim tesisindeki altyapınız ile Azure arasında katman 2 çapraz bağlantıları veya yönetilen katman 3 çapraz bağlantıları sağlayabilir.Co-location providers can offer either layer 2 cross-connections, or managed layer 3 cross-connections between your infrastructure in the co-location facility and Azure.
  • Noktadan noktaya Ethernet bağlantıları.Point-to-point Ethernet connections. Şirket içi veri merkezlerinizi/ofislerinizi noktadan noktaya Ethernet bağlantıları üzerinden Azure’a bağlayabilirsiniz.You can connect your on-premises datacenters/offices to Azure through point-to-point Ethernet links. Noktadan noktaya Ethernet sağlayıcıları, tesisiniz ile Azure arasında katman 2 bağlantıları veya yönetilen katman 3 bağlantıları sağlayabilir.Point-to-point Ethernet providers can offer layer 2 connections, or managed layer 3 connections between your site and Azure.
  • Herhangi bir ağdan herhangi bir ağa (IPVPN).Any-to-any (IPVPN) networks. Geniş alan ağınızı (WAN) Azure ile tümleştirebilirsiniz.You can integrate your wide area network (WAN) with Azure. İnternet protokolü sanal özel ağ (IPVPN) sağlayıcıları (genellikle çok protokollü bir etiket anahtarlama VPN’si) şubeleriniz ve veri merkezleriniz arasında herhangi bir noktadan herhangi bir noktaya bağlantı sağlar.Internet protocol virtual private network (IPVPN) providers (typically a multiprotocol label switching VPN) offer any-to-any connectivity between your branch offices and datacenters. Size ait WAN ile arasında bağlantı kurularak Azure’ın herhangi bir şube gibi görünmesi sağlanabilir.Azure can be interconnected to your WAN to make it look just like any other branch office. WAN sağlayıcıları genel olarak yönetilen katman 3 bağlantısı sağlar.WAN providers typically offer managed layer 3 connectivity.

Bağlantı sağlayıcıları hakkında daha fazla bilgi için bkz. ExpressRoute'a giriş.For more information about connectivity providers, see the ExpressRoute introduction.

ExpressRoute bağlantı hattıExpressRoute circuit

Kuruluşunuz Azure'a bağlanmaya ilişkin ExpressRoute önkoşul gereksinimlerini karşıladığından emin olun.Ensure that your organization has met the ExpressRoute prerequisite requirements for connecting to Azure.

Henüz yapmadıysanız Azure VNet’inize GatewaySubnet adlı bir alt ağ ekleyin ve Azure VPN ağ geçidi hizmetini kullanarak bir ExpressRoute sanal ağ geçidi oluşturun.If you haven't already done so, add a subnet named GatewaySubnet to your Azure VNet and create an ExpressRoute virtual network gateway using the Azure VPN gateway service. Bu süreç hakkında daha fazla bilgi edinmek için bkz. Bağlantı hattı sağlama ve bağlantı hattı durumları için ExpressRoute iş akışları.For more information about this process, see ExpressRoute workflows for circuit provisioning and circuit states.

Aşağıdaki adımları izleyerek bir ExpressRoute bağlantı hattı oluşturun:Create an ExpressRoute circuit as follows:

  1. Aşağıdaki PowerShell komutunu çalıştırın:Run the following PowerShell command:

    New-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
    
  2. Yeni bağlantı hattına ait ServiceKey değerini hizmet sağlayıcısına gönderin.Send the ServiceKey for the new circuit to the service provider.

  3. Sağlayıcının bağlantı hattını sağlamasını bekleyin.Wait for the provider to provision the circuit. Bağlantı hattının sağlanma durumunu doğrulamak için aşağıdaki PowerShell komutunu çalıştırın:To verify the provisioning state of a circuit, run the following PowerShell command:

    Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    

    Bağlantı hattı hazır olduğunda çıktının Service Provider bölümündeki Provisioning state alanı NotProvisioned yerine Provisioned olarak değişir.The Provisioning state field in the Service Provider section of the output will change from NotProvisioned to Provisioned when the circuit is ready.

    Not

    Katman 3 bağlantısı kullanıyorsanız sağlayıcı, yönlendirmeyi sizin adınıza yapılandırıp yönetmelidir.If you're using a layer 3 connection, the provider should configure and manage routing for you. Sağlayıcının uygun yolları uygulamasına olanak tanıyacak bilgileri sunmanız gerekir.You provide the information necessary to enable the provider to implement the appropriate routes.

  4. Katman 2 bağlantısı kullanıyorsanız:If you're using a layer 2 connection:

    1. Uygulamak istediğiniz her bir eşleme türü için geçerli genel IP adreslerinden oluşan iki /30 alt ağı ayırın.Reserve two /30 subnets composed of valid public IP addresses for each type of peering you want to implement. Bu /30 alt ağları, bağlantı hattında kullanılan yönlendiriciler için IP adresleri sağlamak amacıyla kullanılır.These /30 subnets will be used to provide IP addresses for the routers used for the circuit. Özel, genel ve Microsoft türünde eşleme uyguluyorsanız geçerli genel IP adreslerinden oluşan 6 adet /30 alt ağ gerekir.If you are implementing private, public, and Microsoft peering, you'll need 6 /30 subnets with valid public IP addresses.

    2. ExpressRoute bağlantı hattı için yönlendirmeyi yapılandırın.Configure routing for the ExpressRoute circuit. Yapılandırmak istediğiniz her eşleme türü için (özel, genel ve Microsoft) aşağıdaki PowerShell komutlarını çalıştırın.Run the following PowerShell commands for each type of peering you want to configure (private, public, and Microsoft). Daha fazla bilgi için bkz. ExpressRoute bağlantı hattına ait yönlendirmeyi oluşturma ve değiştirme.For more information, see Create and modify routing for an ExpressRoute circuit.

      Set-AzureRmExpressRouteCircuitPeeringConfig -Name <<peering-name>> -Circuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      
    3. Genel ve Microsoft eşlemesi için ağ adresi çevirisinde (NAT) kullanmak üzere geçerli genel IP adreslerinden oluşan başka bir havuz daha ayırın.Reserve another pool of valid public IP addresses to use for network address translation (NAT) for public and Microsoft peering. Her eşleme için farklı bir havuzunuz olması önerilir.It is recommended to have a different pool for each peering. Havuzu bağlantı sağlayıcınıza belirtin. Bu sayede, sağlayıcı bu aralıklar için sınır ağ geçidi protokolü (BGP) tanıtımlarını yapılandırabilir.Specify the pool to your connectivity provider, so they can configure border gateway protocol (BGP) advertisements for those ranges.

  5. Özel VNet’lerinizi ExpressRoute bağlantı hattına bağlamak için aşağıdaki PowerShell komutlarını çalıştırın.Run the following PowerShell commands to link your private VNet(s) to the ExpressRoute circuit. Daha fazla bilgi için bkz. Sanal ağı bir ExpressRoute devresine bağlama.For more information,see Link a virtual network to an ExpressRoute circuit.

    $circuit = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $gw = Get-AzureRmVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
    New-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
    

Farklı bölgelerde bulunan birden çok VNet’i aynı ExpressRoute bağlantı hattına bağlayabilirsiniz. Bunun için tek gereken, tüm VNet’lerin ve ExpressRoute bağlantı hattının aynı jeopolitik bölgede yer almasıdır.You can connect multiple VNets located in different regions to the same ExpressRoute circuit, as long as all VNets and the ExpressRoute circuit are located within the same geopolitical region.

Sorun gidermeTroubleshooting

Daha önce çalışan bir ExpressRoute bağlantı hattı şirket içinde veya özel VNet’inizde herhangi bir yapılandırma değişikliği olmadığı halde artık bağlantı kuramıyorsa bağlantı sağlayıcınıza başvurup sorunu onlarla birlikte gidermeniz gerekebilir.If a previously functioning ExpressRoute circuit now fails to connect, in the absence of any configuration changes on-premises or within your private VNet, you may need to contact the connectivity provider and work with them to correct the issue. ExpressRoute bağlantı hattının sağlandığını doğrulamak için aşağıdaki Powershell komutlarını kullanın:Use the following Powershell commands to verify that the ExpressRoute circuit has been provisioned:

Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Bu komutun çıktısı aşağıda görebileceğiniz ProvisioningState, CircuitProvisioningState ve ServiceProviderProvisioningState gibi bağlantı hattının birçok özelliğini gösterir.The output of this command shows several properties for your circuit, including ProvisioningState, CircuitProvisioningState, and ServiceProviderProvisioningState as shown below.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Yeni bir bağlantı hattı oluşturmayı denediğinizde ProvisioningState özelliği Succeeded olarak ayarlanmazsa aşağıdaki komutu kullanarak bağlantı hattını kaldırın ve sonra yeniden oluşturmayı deneyin.If the ProvisioningState is not set to Succeeded after you tried to create a new circuit, remove the circuit by using the command below and try to create it again.

Remove-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Sağlayıcınız bağlantı hattını zaten sağladıysa ancak ProvisioningState özelliği Failed olarak ayarlanmışsa veya CircuitProvisioningState özelliği Enabled değilse yardım almak için sağlayıcınıza başvurun.If your provider had already provisioned the circuit, and the ProvisioningState is set to Failed, or the CircuitProvisioningState is not Enabled, contact your provider for further assistance.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenlerScalability considerations

ExpressRoute bağlantı hatları, ağlar arasında yüksek bant genişliğine sahip bir yol sağlar.ExpressRoute circuits provide a high bandwidth path between networks. Genellikle bant genişliği arttıkça maliyet de artar.Generally, the higher the bandwidth the greater the cost.

ExpressRoute müşterilere tarifeli bir plan ve sınırsız bir veri planından oluşan iki fiyatlandırma planı sunar.ExpressRoute offers two pricing plans to customers, a metered plan and an unlimited data plan. Ücretler, bağlantı hattı bant genişliğine göre değişir.Charges vary according to circuit bandwidth. Kullanılabilir bant genişliği, büyük olasılıkla sağlayıcıdan sağlayıcıya da değişecektir.Available bandwidth will likely vary from provider to provider. Bölgenizdeki sağlayıcıları ve sundukları bant genişliklerini görmek için Get-AzureRmExpressRouteServiceProvider cmdlet’ini kullanın.Use the Get-AzureRmExpressRouteServiceProvider cmdlet to see the providers available in your region and the bandwidths that they offer.

Tek bir ExpressRoute bağlantı hattı, belirli bir sayıda eşleme ve VNet bağlantısı destekleyebilir.A single ExpressRoute circuit can support a certain number of peerings and VNet links. Daha fazla bilgi için bkz. ExpressRoute sınırları.See ExpressRoute limits for more information.

Ek bir ücret ödeyerek kullanabileceğiniz ExpressRoute Premium eklentisi ile bazı ek özellikler elde edebilirsiniz:For an extra charge, the ExpressRoute Premium add-on provides some additional capability:

  • Genel ve özel eşleme için artırılan yol sayısı sınırları.Increased route limits for public and private peering.
  • ExpressRoute bağlantı hattı başına artan VNet bağlantısı sayısı.Increased number of VNet links per ExpressRoute circuit.
  • Hizmetler için genel bağlantı.Global connectivity for services.

Ayrıntılı bilgi almak için ExpressRoute fiyatlandırması sayfasına bakın.See ExpressRoute pricing for details.

ExpressRoute bağlantı hatları, satın aldığınız bant genişliği sınırının iki katına kadar olan ağ kullanımındaki geçici artışlara herhangi bir ek ücret ödenmeden olanak tanıyacak şekilde tasarlanmıştır.ExpressRoute circuits are designed to allow temporary network bursts up to two times the bandwidth limit that you procured for no additional cost. Bunu sağlamak için yedekli bağlantılardan yararlanılır.This is achieved by using redundant links. Ancak, bu özellik tüm bağlantı sağlayıcıları tarafından desteklenmez.However, not all connectivity providers support this feature. Bu özellikten yararlanmaya kalkmadan önce bağlantı sağlayıcınızın özelliği desteklediğini doğrulayın.Verify that your connectivity provider enables this feature before depending on it.

Bazı sağlayıcılar bant genişliğinizi değiştirmenize izin verse de ilk baştan ihtiyaçlarınızın üzerinde olan ve büyümenize olanak sağlayacak bir bant genişliği seçtiğinizden emin olun.Although some providers allow you to change your bandwidth, make sure you pick an initial bandwidth that surpasses your needs and provides room for growth. İleride bant genişliğini artırmanız gerekirse iki seçeneğiniz olur:If you need to increase bandwidth in the future, you are left with two options:

  • Bant genişliğini artırın.Increase the bandwidth. Bu seçenekten mümkün olduğunca kaçınmalısınız. Ayrıca her sağlayıcı bant genişliğini dinamik olarak artırmanıza izin vermeyecektir.You should avoid this option as much as possible, and not all providers allow you to increase bandwidth dynamically. Ancak bant genişliğini artırmanız gerekirse sağlayıcınızdan ExpressRoute bant genişliği özelliklerinin Powershell komutları aracılığıyla değiştirilmesini destekleyip desteklemediklerini öğrenin.But if a bandwidth increase is needed, check with your provider to verify they support changing ExpressRoute bandwidth properties via Powershell commands. Destekliyorlarsa aşağıdaki komutları çalıştırın.If they do, run the commands below.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Bant genişliğini, bağlantı kaybı yaşamadan arttırabilirsiniz.You can increase the bandwidth without loss of connectivity. Bant genişliğini azaltırsanız bağlantı hattını silip yeni yapılandırmayla tekrar oluşturmanız gerekeceğinden bağlantıda kesilme yaşanır.Downgrading the bandwidth will result in disruption in connectivity, because you must delete the circuit and recreate it with the new configuration.

  • Fiyatlandırma planınızın değiştirin ve/veya Premium’a geçiş yapın.Change your pricing plan and/or upgrade to Premium. Bunun için aşağıdaki komutları çalıştırın.To do so, run the following commands. Sku.Tier özelliği Standard veya Premium ve Sku.Name özelliği MeteredData veya UnlimitedData olabilir.The Sku.Tier property can be Standard or Premium; the Sku.Name property can be MeteredData or UnlimitedData.

    $ckt = Get-AzureRmExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
    
    $ckt.Sku.Tier = "Premium"
    $ckt.Sku.Family = "MeteredData"
    $ckt.Sku.Name = "Premium_MeteredData"
    
    Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
    

    Önemli

    Sku.Name özelliğinin Sku.Tier ve Sku.Family ile eşleştiğinden emin olun.Make sure the Sku.Name property matches the Sku.Tier and Sku.Family. Aile ve katmanı değiştirir ancak adı değiştirmezseniz bağlantınız devre dışı bırakılır.If you change the family and tier, but not the name, your connection will be disabled.

    SKU’yu kesintiye uğratmadan yükseltebilirsiniz, ancak sınırsız fiyatlandırma planından tarifeli plana geçemezsiniz.You can upgrade the SKU without disruption, but you cannot switch from the unlimited pricing plan to metered. SKU’yu alt sürüme düşürürken bant genişliği tüketiminiz standart SKU’nun varsayılan sınırı içinde kalmalıdır.When downgrading the SKU, your bandwidth consumption must remain within the default limit of the standard SKU.

Kullanılabilirlik konusunda dikkat edilmesi gerekenlerAvailability considerations

ExpressRoute, yüksek kullanılabilirlik uygulamak için etkin bekleme yönlendirme protokolü (HSRP) ve sanal yönlendirici yedeklilik protokolü (VRRP) gibi yönlendirici yedeklilik protokollerini desteklemez.ExpressRoute does not support router redundancy protocols such as hot standby routing protocol (HSRP) and virtual router redundancy protocol (VRRP) to implement high availability. Bunun yerine, eşleme başına bir çift yedekli BGP oturumu kullanır.Instead, it uses a redundant pair of BGP sessions per peering. Ağınızla yüksek kullanılabilirliğe sahip bağlantılar kurulmasını kolaylaştırmak için Azure, iki yönlendiricide (Microsoft uç cihazlarının parçası) etkin-etkin yapılandırmaya sahip yedekli iki bağlantı noktası sağlar.To facilitate highly-available connections to your network, Azure provisions you with two redundant ports on two routers (part of the Microsoft edge) in an active-active configuration.

BGP oturumları için varsayılan olarak 60 saniyelik bir boşta kalma zaman aşımı değeri kullanılır.By default, BGP sessions use an idle timeout value of 60 seconds. Oturum üç kez zaman aşımına uğrarsa (toplam 180 saniye) yönlendirici kullanılamıyor olarak işaretlenir ve tüm trafik kalan yönlendiriciye yönlendirilir.If a session times out three times (180 seconds total), the router is marked as unavailable, and all traffic is redirected to the remaining router. Bu 180 saniyelik zaman aşımı, kritik uygulamalar açısından çok uzun olabilir.This 180-second timeout might be too long for critical applications. Bu durumda, şirket içi yönlendiricisindeki BGP zaman aşımı ayarlarınızı daha küçük bir değere değiştirebilirsiniz.If so, you can change your BGP time-out settings on the on-premises router to a smaller value.

Azure bağlantınız için yüksek kullanılabilirlik yapılandırırken kullandığınız sağlayıcı türüne ve yapılandırmayı kabul ettiğiniz ExpressRoute bağlantı hattı ve sanal ağ geçidi bağlantısı sayısına göre farklı yöntemler kullanabilirsiniz.You can configure high availability for your Azure connection in different ways, depending on the type of provider you use, and the number of ExpressRoute circuits and virtual network gateway connections you're willing to configure. Kullanılabilirlik seçenekleriniz aşağıda özetlenmektedir:The following summarizes your availability options:

  • Katman 2 bağlantısı kullanıyorsanız şirket içi ağınızda etkin-etkin yapılandırmasında yedekli yönlendiriciler dağıtın.If you're using a layer 2 connection, deploy redundant routers in your on-premises network in an active-active configuration. Birincil bağlantı hattını yönlendiricilerin birine ve ikincil bağlantı hattını da diğer yönlendiriciye bağlayın.Connect the primary circuit to one router, and the secondary circuit to the other. Böylece bağlantının her iki ucunda yüksek kullanılabilirliğe sahip bir bağlantı elde edersiniz.This will give you a highly available connection at both ends of the connection. Bu durum, ExpressRoute hizmet düzeyi sözleşmesine (SLA) uyulması gerekiyorsa şarttır.This is necessary if you require the ExpressRoute service level agreement (SLA). Ayrıntılı bilgi almak için bkz. Azure ExpressRoute için SLA.See SLA for Azure ExpressRoute for details.

    Aşağıdaki diyagramda, yedekli şirket içi yönlendiricilerin birincil ve ikincil bağlantı hatlarına bağlı olduğu bir yapılandırma gösterilmektedir.The following diagram shows a configuration with redundant on-premises routers connected to the primary and secondary circuits. Her bağlantı hattı, bir genel eşleme ve bir özel eşlemeye ait trafiği idare eder (her eşlemeye önceki bölümde açıklandığı gibi bir çift /30 adres alanı atanır).Each circuit handles the traffic for a public peering and a private peering (each peering is designated a pair of /30 address spaces, as described in the previous section).

    11

  • Katman 3 bağlantısı kullanıyorsanız bağlantının kullanılabilirliği sizin adınıza idare eden yedekli BGP oturumları sağladığından emin olun.If you're using a layer 3 connection, verify that it provides redundant BGP sessions that handle availability for you.

  • VNet’i farklı hizmet sağlayıcıları tarafından sağlanan birden çok ExpressRoute bağlantı hattına bağlayın.Connect the VNet to multiple ExpressRoute circuits, supplied by different service providers. Bu strateji, ek yüksek kullanılabilirlik ve olağanüstü durum kurtarma özellikleri sağlar.This strategy provides additional high-availability and disaster recovery capabilities.

  • ExpressRoute için bir yük devretme yolu olarak siteden siteye bir VPN yapılandırın.Configure a site-to-site VPN as a failover path for ExpressRoute. Bu seçenek hakkında daha fazla bilgi için bkz. Şirket içi bir ağı ExpressRoute kullanarak VPN yük devretme özelliğiyle birlikte Azure’a bağlama.For more about this option, see Connect an on-premises network to Azure using ExpressRoute with VPN failover. Bu seçenek, yalnızca özel eşleme için geçerlidir.This option only applies to private peering. Azure ve Office 365 Hizmetleri için tek yük devretme yolu İnternettir.For Azure and Office 365 services, the Internet is the only failover path.

Yönetilebilirlik konusunda dikkat edilmesi gerekenlerManageability considerations

Şirket içi veri merkeziniz ile Azure arasında bağlantıyı izlemek için Azure Bağlantısı Araç Seti (AzureCT) kullanılabilir.You can use the Azure Connectivity Toolkit (AzureCT) to monitor connectivity between your on-premises datacenter and Azure.

Güvenlikle ilgili dikkat edilmesi gerekenlerSecurity considerations

Azure bağlantınıza yönelik güvenlik seçeneklerini, güvenlikle ilgili endişelerinize ve uyumluluk gereksinimlerinize bağlı olarak farklı şekillerde yapılandırabilirsiniz.You can configure security options for your Azure connection in different ways, depending on your security concerns and compliance needs.

ExpressRoute katman 3’te çalışır.ExpressRoute operates in layer 3. Uygulama katmanındaki tehditler, geçerli kaynaklara yönelik trafiği sınırlayan bir ağ güvenlik gereci kullanılarak engellenebilir.Threats in the application layer can be prevented by using a network security appliance that restricts traffic to legitimate resources. Ayrıca, genel eşleme kullanan ExpressRoute bağlantıları yalnızca şirket içinden başlatılabilir.Additionally, ExpressRoute connections using public peering can only be initiated from on-premises. Böylece denetim dışı bir hizmetin İnternet üzerinden şirket içi verilere erişip güvenliklerini aşması önlenir.This prevents a rogue service from accessing and compromising on-premises data from the Internet.

Güvenliği en üst düzeye çıkarmak için şirket içi ağınız ile sağlayıcı uç yönlendiricileri arasına ağ güvenlik gereçleri ekleyin.To maximize security, add network security appliances between the on-premises network and the provider edge routers. Bu sayede VNet’ten gelen yetkisiz trafik kısıtlanmış olur:This will help to restrict the inflow of unauthorized traffic from the VNet:

22

Denetim veya uyumluluk amacıyla, VNet’te çalışan bileşenlerin İnternet’e doğrudan erişiminin engellenmesi ve zorlamalı tünel uygulanması gerekli olabilir.For auditing or compliance purposes, it may be necessary to prohibit direct access from components running in the VNet to the Internet and implement forced tunneling. Bu durumda, İnternet'e trafik burada denetlenebilir şirket içinde çalışan bir ara sunucu yönlendirilmesi gerekir.In this situation, Internet traffic should be redirected back through a proxy running on-premises where it can be audited. Ara sunucu, yetkisiz giden trafiği engelleyecek ve olası kötü niyetli gelen trafiği filtreleyecek şekilde yapılandırılabilir.The proxy can be configured to block unauthorized traffic flowing out, and filter potentially malicious inbound traffic.

33

Güvenliği en üst düzeye çıkarmak istiyorsanız VM'leriniz için genel bir IP adresi etkinleştirmeyin ve NSG’ler kullanarak bu VM’lerin genel erişime açık olmamasını sağlayın.To maximize security, do not enable a public IP address for your VMs, and use NSGs to ensure that these VMs aren't publicly accessible. VM’lere yalnızca iç IP adresi kullanılarak erişilebilmelidir.VMs should only be available using the internal IP address. Bu adresler ExpressRoute ağı üzerinden erişilebilir hale getirilebilir. Böylece, şirket içi DevOps personeli yapılandırma ve bakım işlemleri gerçekleştirebilir.These addresses can be made accessible through the ExpressRoute network, enabling on-premises DevOps staff to perform configuration or maintenance.

VM'lere ait yönetim uç noktalarını bir dış ağın kullanımına açmanız gerekiyorsa NSG'ler veya erişim denetimi listeleri kullanarak bu bağlantı noktalarının görünürlüğünü IP adresleri veya ağlar içeren bir izin verilenler listesiyle kısıtlayın.If you must expose management endpoints for VMs to an external network, use NSGs or access control lists to restrict the visibility of these ports to a whitelist of IP addresses or networks.

Not

Azure portalı aracılığıyla dağıtılan Azure VM'ler, varsayılan olarak oturum açma erişimi sağlayan bir genel IP adresi içerir.By default, Azure VMs deployed through the Azure portal include a public IP address that provides login access.

Çözümü dağıtmaDeploy the solution

Önkoşullar.Prerequisites. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.To deploy the solution, perform the following steps.

  1. Aşağıdaki düğmeye tıklayın:Click the button below:

  2. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then follow these steps:

    • Kaynak grubu adı dosyada zaten tanımlanmış olduğundan, Yeni Oluştur’u seçip metin kutusuna ra-hybrid-er-rg yazın.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.
  3. Dağıtımın tamamlanmasını bekleyin.Wait for the deployment to complete.

  4. Aşağıdaki düğmeye tıklayın:Click the button below:

  5. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then follow these steps:

    • Kaynak grubu bölümünde Var Olanı Kullan’ı seçin ve metin kutusuna ra-hybrid-er-rg değerini girin.Select Use existing in the Resource group section and enter ra-hybrid-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.
  6. Dağıtımın tamamlanmasını bekleyin.Wait for the deployment to complete.