VPN yük devretme özelliğiyle şirket içi bir ağı ExpressRoute kullanarak Azure’a bağlamaConnect an on-premises network to Azure using ExpressRoute with VPN failover

Bu başvuru mimarisinde, şirket içi bir ağın yük devretme bağlantısı olarak siteden siteye bir sanal özel ağ (VPN) ile ExpressRoute kullanılarak bir Azure sanal ağına (VNet) nasıl bağlanacağı gösterilmiştir.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. Trafik, bir ExpressRoute bağlantısı aracılığıyla şirket içi ağdan Azure VNet’e akar.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. ExpressRoute bağlantı hattında bağlantı kaybı yaşanırsa trafik bir IPSec VPN tüneli üzerinden yönlendirilir.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Bu çözümü dağıtın.Deploy this solution.

ExpressRoute bağlantı hattının kullanılamaz olması durumunda VPN rotasının yalnızca özel eşleme bağlantılarını işleyeceğini unutmayın.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçirilir.Public peering and Microsoft peering connections will pass over the Internet.

Başvuru mimarisi için ExpressRoute ve VPN ağ geçidi kullanarak yüksek oranda kullanılabilir karma ağ mimarisi

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Şirket içi ağı.On-premises network. Bir kuruluşun içinde çalışan özel bir yerel ağ.A private local-area network running within an organization.

  • VPN gereci.VPN appliance. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet.A device or service that provides external connectivity to the on-premises network. VPN gereci, bir donanım cihazı veya Windows Server 2012’deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Desteklenen VPN gereçlerinin ve Azure 'a bağlanmak için seçili VPN gereçlerinin yapılandırılmasıyla ilgili bilgilerin bir listesi için, bkz. siteden siteye VPN Gateway bağlantıları IÇIN VPN cihazları hakkında.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • ExpressRoute bağlantı hattı.ExpressRoute circuit. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • ExpressRoute sanal ağ geçidi.ExpressRoute virtual network gateway. ExpressRoute sanal ağ geçidi, sanal ağın şirket içi ağınız ile bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasına olanak sağlar.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • VPN sanal ağ geçidi.VPN virtual network gateway. VPN sanal ağ geçidi, VNet’in şirket içi ağdaki VPN gerecine bağlanmasına imkan sağlar.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Daha fazla bilgi için bkz. Şirket içi ağı Microsoft Azure sanal bir ağa bağlama.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • VPN bağlantısı.VPN connection. Bağlantının bağlantı türünü (IPSec) ve trafiğin şifrelenmesi için şirket içi VPN gereci ile paylaşılan anahtarı belirten özellikleri vardır.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Azure Sanal Ağı (VNet) .Azure Virtual Network (VNet). Her VNet tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir.Each VNet resides in a single Azure region, and can host multiple application tiers. Uygulama katmanları her bir VNet'te alt ağlar kullanılarak kesimlere ayrılabilir.Application tiers can be segmented using subnets in each VNet.

  • Ağ geçidi alt ağı.Gateway subnet. Sanal ağ geçitleri aynı alt ağda tutulur.The virtual network gateways are held in the same subnet.

  • Bulut uygulaması.Cloud application. Uygulama Azure’da barındırılır.The application hosted in Azure. Birden fazla alt ağın Azure yük dengeleyicileri aracılığıyla birbirine bağlandığı bir mimaride birden fazla katman içerebilir.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Uygulama altyapısı hakkında daha fazla bilgi için bkz. WINDOWS VM iş yüklerini çalıştırma ve Linux VM iş yüklerini çalıştırma.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

VNet ve GatewaySubnetVNet and GatewaySubnet

ExpressRoute sanal ağ geçidi bağlantısını ve VPN sanal ağ geçidi bağlantısını aynı VNet 'te zaten var olan bir ağ geçidi nesnesi ile oluşturun.Create the ExpressRoute virtual network gateway connection and the VPN virtual network gateway connection in the same VNet with a Gateway object already in place. Bu, her ikisi de gatewaysubnetadlı aynı alt ağı paylaşır.They will both share the same subnet named GatewaySubnet.

VNet zaten GatewaySubnet adlı bir alt ağ içeriyorsa, bunun /27 veya daha büyük bir adres alanının olduğundan emin olun.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Mevcut alt ağ çok küçükse, aşağıdaki PowerShell komutunu kullanarak alt ağı kaldırın:If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Remove-AzureRmVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

VNet, gatewaysubnetadlı bir alt ağ içermiyorsa, aşağıdaki PowerShell komutunu kullanarak yeni bir tane oluşturun:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following PowerShell command:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzureRmVirtualNetwork -VirtualNetwork $vnet

VPN ve ExpressRoute ağ geçitleriVPN and ExpressRoute gateways

Kuruluşunuzun Azure 'a bağlanmak için ExpressRoute önkoşul gereksinimlerini karşıladığını doğrulayın.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Azure VNet 'iniz üzerinde zaten bir VPN sanal ağ geçidiniz varsa kaldırmak için aşağıdaki PowerShell komutunu kullanın:If you already have a VPN virtual network gateway in your Azure VNet, use the following PowerShell command to remove it:

Remove-AzureRmVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile karma ağ mimarisi uygulama konusundaki yönergeleri izleyin.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve şirket ıçı VPN ile karma ağ mimarisi uygulama konusundaki yönergeleri izleyin.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Sanal ağ geçidi bağlantılarınızı kurduktan sonra aşağıdaki adımları uygulayarak ortamı test edin:After you have established the virtual network gateway connections, test the environment as follows:

  1. Şirket içi ağınızdan Azure VNet'inize bağlanabildiğinizden emin olun.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Şirket içi ağınızdan VPN sanal ağ geçidi bağlantınızı kullanarak Azure VNet’inize bağlanabildiğinizi doğrulayın.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.Contact your provider to reestablish ExpressRoute connectivity.

Dikkat edilmesi gerekenlerConsiderations

ExpressRoute konuları için bkz. Azure ExpressRoute Kılavuzu Ile karma ağ mimarisi uygulama .For ExpressRoute considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Siteden siteye VPN konuları için bkz. Azure Ile karma ağ mimarisi uygulama ve şirket ıçı VPN Kılavuzu.For site-to-site VPN considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Genel Azure Güvenlik konuları için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.For general Azure security considerations, see Microsoft cloud services and network security.

Çözümü dağıtmaDeploy the solution

Önkoşullar.Prerequisites. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.To deploy the solution, perform the following steps.

  1. Aşağıdaki bağlantıya tıklayın.Click the link below.

    Azure’a dağıtmaDeploy to Azure

  2. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then follow these steps:

    • Kaynak grubu adı dosyada zaten tanımlanmış olduğundan, Yeni Oluştur’u seçip metin kutusuna ra-hybrid-vpn-er-rg yazın.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.
  3. Dağıtımın tamamlanmasını bekleyin.Wait for the deployment to complete.

  4. Aşağıdaki bağlantıya tıklayın.Click the link below.

    Azure’a dağıtmaDeploy to Azure

  5. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Kaynak grubu bölümünde Var Olanı Kullan’ı seçin ve metin kutusuna ra-hybrid-vpn-er-rg değerini girin.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.