VPN yük devretme özelliğiyle şirket içi bir ağı ExpressRoute kullanarak Azure’a bağlamaConnect an on-premises network to Azure using ExpressRoute with VPN failover

Bu başvuru mimarisinde, şirket içi bir ağın yük devretme bağlantısı olarak siteden siteye bir sanal özel ağ (VPN) ile ExpressRoute kullanılarak bir Azure sanal ağına (VNet) nasıl bağlanacağı gösterilmiştir.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. Trafik, bir ExpressRoute bağlantısı aracılığıyla şirket içi ağdan Azure VNet’e akar.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. ExpressRoute bağlantı hattında bağlantı kaybı yaşanırsa trafik bir IPSec VPN tüneli üzerinden yönlendirilir.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Bu çözümü dağıtın.Deploy this solution.

ExpressRoute bağlantı hattının kullanılamaz olması durumunda VPN rotasının yalnızca özel eşleme bağlantılarını işleyeceğini unutmayın.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçirilir.Public peering and Microsoft peering connections will pass over the Internet.

Başvuru mimarisi için ExpressRoute ve VPN ağ geçidi kullanarak yüksek oranda kullanılabilir karma ağ mimarisi

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Şirket içi ağı.On-premises network. Bir kuruluşun içinde çalışan özel bir yerel ağ.A private local-area network running within an organization.

  • VPN gereci.VPN appliance. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet.A device or service that provides external connectivity to the on-premises network. VPN gereci, bir donanım cihazı veya Windows Server 2012’deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Desteklenen VPN gereçlerinin listesini görmek ve Azure'a bağlanmak için belirli VPN gereçlerini yapılandırma hakkında bilgi edinmek istiyorsanız bkz. Siteden siteye VPN Gateway bağlantıları için VPN cihazları hakkında.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • ExpressRoute bağlantı hattı.ExpressRoute circuit. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • ExpressRoute sanal ağ geçidi.ExpressRoute virtual network gateway. ExpressRoute sanal ağ geçidi, sanal ağın şirket içi ağınız ile bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasına olanak sağlar.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • VPN sanal ağ geçidi.VPN virtual network gateway. VPN sanal ağ geçidi, VNet’in şirket içi ağdaki VPN gerecine bağlanmasına imkan sağlar.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • VPN bağlantısı.VPN connection. Bağlantının bağlantı türünü (IPSec) ve trafiğin şifrelenmesi için şirket içi VPN gereci ile paylaşılan anahtarı belirten özellikleri vardır.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Azure Sanal Ağı (VNet).Azure Virtual Network (VNet). Her VNet tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir.Each VNet resides in a single Azure region, and can host multiple application tiers. Uygulama katmanları her bir VNet'te alt ağlar kullanılarak kesimlere ayrılabilir.Application tiers can be segmented using subnets in each VNet.

  • Ağ geçidi alt ağı.Gateway subnet. Sanal ağ geçitleri aynı alt ağda tutulur.The virtual network gateways are held in the same subnet.

  • Bulut uygulaması.Cloud application. Uygulama Azure’da barındırılır.The application hosted in Azure. Birden fazla alt ağın Azure yük dengeleyicileri aracılığıyla birbirine bağlandığı bir mimaride birden fazla katman içerebilir.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Uygulama altyapısı hakkında daha fazla bilgi için bkz. Windows VM iş yüklerini çalıştırma ve Linux VM iş yüklerini çalıştırma.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

VNet ve GatewaySubnetVNet and GatewaySubnet

ExpressRoute sanal ağ geçidi ile VPN sanal ağ geçidini aynı sanal ağda oluşturun.Create the ExpressRoute virtual network gateway and the VPN virtual network gateway in the same VNet. Yani bunlar GatewaySubnet adlı alt ağı paylaşmalıdır.This means that they should share the same subnet named GatewaySubnet.

VNet zaten GatewaySubnet adlı bir alt ağ içeriyorsa, bunun /27 veya daha büyük bir adres alanının olduğundan emin olun.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Mevcut alt ağ çok küçükse, aşağıdaki PowerShell komutunu kullanarak alt ağı kaldırın:If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Remove-AzureRmVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

VNet GatewaySubnet adlı bir alt ağ içermiyorsa, aşağıdaki Powershell komutunu kullanarak yeni bir alt ağ oluşturun:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following Powershell command:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzureRmVirtualNetwork -VirtualNetwork $vnet

VPN ve ExpressRoute ağ geçitleriVPN and ExpressRoute gateways

Kuruluşunuzun Azure'a bağlanmaya ilişkin ExpressRoute ön koşul gereksinimlerini karşıladığını doğrulayın.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Azure sanal ağınızda zaten bir VPN sanal ağ geçidi varsa kaldırmak için aşağıdaki Powershell komutunu kullanın:If you already have a VPN virtual network gateway in your Azure VNet, use the following Powershell command to remove it:

Remove-AzureRmVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile hibrit ağ mimarisi uygulama konusundaki yönergeleri izleyin.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve Şirket İçi VPN ile Hibrit Ağ Mimarisi Uygulama konusundaki yönergeleri izleyin.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Sanal ağ geçidi bağlantılarınızı kurduktan sonra aşağıdaki adımları uygulayarak ortamı test edin:After you have established the virtual network gateway connections, test the environment as follows:

  1. Şirket içi ağınızdan Azure VNet'inize bağlanabildiğinizden emin olun.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Şirket içi ağınızdan VPN sanal ağ geçidi bağlantınızı kullanarak Azure VNet’inize bağlanabildiğinizi doğrulayın.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.Contact your provider to reestablish ExpressRoute connectivity.

Dikkat edilmesi gerekenlerConsiderations

ExpressRoute ile ilgili dikkat edilmesi gereken noktalar için Azure ExpressRoute ile Hibrit Ağ Mimarisi Uygulama kılavuzuna bakın.For ExpressRoute considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Siteden siteye VPN ile ilgili dikkat edilmesi gereken noktalar için Azure ve Şirket İçi VPN ile Hibrit Ağ Mimarisi Uygulama kılavuzuna bakın.For site-to-site VPN considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Azure güvenliğiyle ilgili dikkat edilmesi gereken genel noktalar için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.For general Azure security considerations, see Microsoft cloud services and network security.

Çözümü dağıtmaDeploy the solution

Önkoşullar.Prerequisites. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.To deploy the solution, perform the following steps.

  1. Aşağıdaki düğmeye tıklayın:Click the button below:

  2. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then follow these steps:

    • Kaynak grubu adı dosyada zaten tanımlanmış olduğundan, Yeni Oluştur’u seçip metin kutusuna ra-hybrid-vpn-er-rg yazın.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.
  3. Dağıtımın tamamlanmasını bekleyin.Wait for the deployment to complete.

  4. Aşağıdaki düğmeye tıklayın:Click the button below:

  5. Bağlantının Azure portalında açılmasını bekleyin ve sonra aşağıdaki adımları izleyin:Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Kaynak grubu bölümünde Var Olanı Kullan’ı seçin ve metin kutusuna ra-hybrid-vpn-er-rg değerini girin.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • Konum açılan kutusundan bölgeyi seçin.Select the region from the Location drop down box.
    • Şablon Kök Uri’si veya Parametre Kök Uri’si metin kutularını düzenlemeyin.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Hüküm ve koşulları gözden geçirin ve ardından Yukarıda belirtilen hüküm ve koşulları kabul ediyorum onay kutusuna tıklayın.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Satın Al düğmesine tıklayın.Click the Purchase button.