VPN ağ geçidi kullanarak Azure 'a bağlı şirket içi ağOn-premises network connected to Azure using a VPN gateway

Bu başvuru mimarisinde, siteden siteye sanal özel ağ (VPN) kullanarak bir ağı Şirket içinden veya Azure Stack 'den Azure sanal ağına nasıl genişletebileceğinizi gösterir.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). Bir IPSec VPN tüneli aracılığıyla veya Azure Stack çok kiracılı VPN ağ geçidi aracılığıyla şirket içi ağ ile Azure arasında trafik akışları.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Bu çözümü dağıtın.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

VPN Gateway mimarisinin bir diyagramı.A diagram of the VPN gateway architecture. Şirket içi ağ, bir VPN ağ geçidi üzerinden Azure sanal ağına bağlanır.An on-premises network connects to an Azure virtual network through a VPN gateway. Ayrıca, Azure Stack bir sanal ağ, genel VIP 'ler aracılığıyla VPN ağ geçidine bağlanır.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Bu mimarinin bir Visio dosyasını indirin.Download a Visio file of this architecture.

MimariArchitecture

Mimari aşağıdaki bileşenlerden oluşur.The architecture consists of the following components.

  • Şirket içi ağ.On-premises network. Bir kuruluşun içinde çalışan özel bir yerel ağ.A private local-area network running within an organization.

  • Azure Stack.Azure Stack. Bir kuruluş içinde çalışan Azure Stack kiracı aboneliğindeki bir ağ ortamıdır.A network environment on an Azure Stack tenant subscription, running within an organization. Azure Stack VPN Gateway, sanal IP (VIP) adreslerine genel bir bağlantı üzerinden şifrelenmiş trafik gönderir ve aşağıdaki bileşenleri içerir:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Ağ geçidi alt ağı.Gateway subnet. Azure Stack VPN Gateway dağıtmak için gereken özel bir alt ağ.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Yerel ağ geçidi.Local network gateway. Azure 'da VPN ağ geçidinin hedef IP 'sini ve ayrıca Azure sanal ağının adres alanını gösterir.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Siteden siteye VPN tüneli.Site-to-site VPN tunnel. Trafiği şifrelemek için bağlantı türü (IPSec) ve Azure VPN Gateway ile paylaşılan anahtar.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN gereci.VPN appliance. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet.A device or service that provides external connectivity to the on-premises network. VPN gereci, bir donanım cihazı veya Windows Server 2012’deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Desteklenen VPN cihazlarının bir listesi ve bunları Azure VPN ağ geçidine bağlanmak için yapılandırma hakkında bilgi için Siteden Siteye VPN Gateway bağlantıları için VPN cihazları hakkında makalesinde ilgili cihazın yönergelerine bakın.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Sanal ağ.Virtual network. Bulut uygulaması ve Azure VPN ağ geçidi bileşenleri aynı Sanal ağdabulunur.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure VPN ağ geçidi.Azure VPN gateway. VPN Gateway hizmeti, sanal ağı bir VPN gereci aracılığıyla şirket içi ağa bağlamanıza veya sıteden siteye VPN tüneli aracılığıyla Azure Stack bağlanmasına olanak sağlar.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. VPN ağ geçidi aşağıdaki öğeleri içerir:The VPN gateway includes the following elements:

    • Sanal ağ geçidi.Virtual network gateway. Sanal ağ için bir sanal VPN gereci sağlayan bir kaynak.A resource that provides a virtual VPN appliance for the virtual network. Şirket içi ağdan sanal ağa yönlendirmekten sorumludur.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Yerel ağ geçidi.Local network gateway. Şirket içi VPN cihazının kavramsal adıdır.An abstraction of the on-premises VPN appliance. Ağ uygulamasından şirket içi ağa giden ağ trafiği, bu ağ geçidi üzerinden yönlendirilir.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Bağlantı.Connection. Bağlantının bağlantı türünü (IPSec) ve trafiğin şifrelenmesi için şirket içi VPN gereci ile paylaşılan anahtarı belirten özellikleri vardır.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Ağ geçidi alt ağı.Gateway subnet. Sanal ağ geçidi, aşağıdaki Öneriler bölümünde açıklanan çeşitli gereksinimlere sahip, kendi alt ağında bulunur.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Bulut uygulaması.Cloud application. Uygulama Azure’da barındırılır.The application hosted in Azure. Birden fazla alt ağın Azure yük dengeleyicileri aracılığıyla birbirine bağlandığı bir mimaride birden fazla katman içerebilir.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Uygulama altyapısı hakkında daha fazla bilgi için bkz. Windows VM iş yüklerini çalıştırma ve Linux VM iş yüklerini çalıştırma.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • İç yük dengeleyici.Internal load balancer. VPN ağ geçidinden gelen ağ trafiği bulut uygulamasına bir iç yük dengeleyici üzerinden yönlendirilir.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. Yük dengeleyici, uygulamanın ön uç alt ağında yer alır.The load balancer is located in the front-end subnet of the application.

  • Bastion Savunma.Bastion. Azure savunma, VM 'leri doğrudan internet 'te kullanıma açmadan SSH veya Uzak Masaüstü Protokolü (RDP) aracılığıyla sanal ağdaki VM 'lerde oturum açmanıza olanak tanır.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. VPN üzerinden bağlantıyı kaybederseniz, sanal ağdaki VM 'Leri yönetmek için yine de savunma kullanabilirsiniz.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

ÖnerilerRecommendations

Aşağıdaki öneriler çoğu senaryo için geçerlidir.The following recommendations apply for most scenarios. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.Follow these recommendations unless you have a specific requirement that overrides them.

Sanal ağ ve ağ geçidi alt ağıVirtual network and gateway subnet

Tüm gerekli kaynaklarınız için yeterince büyük bir adres alanı ile bir Azure sanal ağı oluşturun.Create an Azure virtual network with an address space large enough for all of your required resources. Gelecekte ek VM 'Lerin gerekebileceği durumlarda sanal ağ adres alanının büyüme için yeterli yere sahip olduğundan emin olun.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. Sanal ağın adres alanı, şirket içi ağla çakışmamalıdır.The address space of the virtual network must not overlap with the on-premises network. Örneğin, Yukarıdaki diyagramda sanal ağ için 10.20.0.0/16 adres alanı kullanılmaktadır.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

GatewaySubnet adlı ve /27 adres aralığına sahip bir alt ağ oluşturun.Create a subnet named GatewaySubnet, with an address range of /27. Bu alt ağ, sanal ağ geçidi için gereklidir.This subnet is required by the virtual network gateway. Bu alt ağa 32 adres ayrılması, ileride ağ geçidi boyutu sınırlamaları yaşanmasını önleyecektir.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Ayrıca, bu alt ağı adres alanının ortasına yerleştirmekten kaçının.Also, avoid placing this subnet in the middle of the address space. Sanal ağ adres alanının üst ucundaki ağ geçidi alt ağının adres alanını ayarlamak iyi bir uygulamadır.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. Aşağıdaki diyagramda gösterilen örnekte 10.20.255.224/27 kullanılmıştır.The example shown in the diagram uses 10.20.255.224/27. CIDR değerini hesaplamak için hızlı bir yordam şöyledir:Here is a quick procedure to calculate the CIDR:

  1. Sanal ağın adres alanındaki değişken bitleri, ağ geçidi alt ağının kullandığı bit sayısına kadar 1 olarak ayarlayın, ardından kalan bitleri 0 olarak ayarlayın.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Sonuçta elde edilen bitleri ondalık sayıya dönüştürün ve ön ek uzunluğu ağ geçidi alt ağının boyutuna ayarlanmış bir adres alanı olarak ifade edin.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Örneğin, 10.20.0.0/16 IP adresi aralığına sahip bir sanal ağ için yukarıdaki #1 adım 10.20.0 b 11111111.0 b11100000 olur.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Bunu ondalığa dönüştürüp adres alanı olarak ifade etmek 10.20.255.224/27 sonucunu verir.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Uyarı

Ağ geçidi alt ağına herhangi bir VM dağıtmayın.Do not deploy any VMs to the gateway subnet. Ayrıca, bu alt ağ için bir NSG atamayın. Ağ geçidinin çalışmayı durdurmasına neden olur.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Sanal ağ geçidiVirtual network gateway

Sanal ağ geçidi için genel bir IP adresi ayırın.Allocate a public IP address for the virtual network gateway.

Sanal ağ geçidini ağ geçidi alt ağında oluşturun ve yeni ayrılmış genel IP adresini buna atayın.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Gereksinimlerinizle en yakından eşleşen ve VPN cihazınızla uyumlu ağ geçidi türünü kullanın:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • İsteklerin adres önekleri gibi ilke ölçütlere göre nasıl yönlendirildiğini denetlemeniz gerekiyorsa bir ilke tabanlı ağ geçidi oluşturun.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. İlke tabanlı ağ geçitleri statik yönlendirme kullanır ve yalnızca siteden siteye bağlantılarla çalışır.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Rota tabanlı ağ geçidi oluşturmaCreate a route-based gateway

    • RRAS kullanarak şirket içi ağa bağlanırsınız,You connect to the on-premises network using RRAS,
    • Çok siteli veya bölgeler arası bağlantıları desteksiniz veyaYou support multi-site or cross-region connections, or
    • Birden çok sanal ağa çapraz geçiş yapan rotalar da dahil olmak üzere sanal ağlar arasında bağlantı var.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Rota tabanlı ağ geçitleri ağlar arasında trafiği yönlendirmek için dinamik yönlendirme kullanır.Route-based gateways use dynamic routing to direct traffic between networks. Alternatif yollar deneyebildiklerinden statik yollara kıyasla hatalara daha dayanıklıdırlar.They can tolerate failures in the network path better than static routes because they can try alternative routes. Ağ adresleri değiştiğinde yolların el ile güncelleştirilmesi gerekmediğinden rota tabanlı ağ geçitleri yönetim yükünü de azaltabilir.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Desteklenen VPN cihazlarının bir listesi için bkz. Siteden Siteye VPN Gateway bağlantıları için VPN cihazları hakkında.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Not

Ağ geçidi oluşturulduktan sonra ağ geçidi türlerini ağ geçidini silip yeniden oluşturmadan değiştiremezsiniz.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Aktarım hızı gereksinimlerinizi en iyi şekilde karşılayan Azure VPN ağ geçidi SKU’sunu seçin.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Daha fazla bilgi için bkz. ağ geçidi SKU 'larıFor more information, see Gateway SKUs

Not

Temel SKU, Azure ExpressRoute ile uyumlu değildir.The Basic SKU is not compatible with Azure ExpressRoute. Ağ geçidi oluşturulduktan sonra SKU’yu değiştirebilirsiniz.You can change the SKU after the gateway has been created.

Ağ geçidi alt ağı için isteklerin doğrudan uygulama VM’lerine geçmesine izin vermek yerine ağ geçidinden gelen uygulama trafiğini iç yük dengeleyiciye yönlendiren yönlendirme kuralları oluşturun.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Şirket içi ağ bağlantısıOn-premises network connection

Yerel ağ geçidi oluşturma.Create a local network gateway. Şirket içi VPN cihazının genel IP adresini ve şirket içi ağın adres alanını belirtin.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Şirket içi VPN aracının Azure VPN Gateway’de yerel ağ geçidi tarafından erişilebilecek bir genel IP adresi olması gerektiğini unutmayın.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. VPN cihazı, ağ adresi çevirisi (NAT) cihazının arkasında yer almamalıdır.The VPN device cannot be located behind a network address translation (NAT) device.

Sanal ağ geçidi ve yerel ağ geçidi için bir siteden siteye bağlantı oluşturun.Create a site-to-site connection for the virtual network gateway and the local network gateway. Siteden siteye (IPSec) bağlantı türü seçin ve paylaşılan anahtarı belirtin.Select the site-to-site (IPSec) connection type, and specify the shared key. Azure VPN ağ geçidi ile siteden siteye şifreleme, IPSec protokolünü temel alır ve kimlik doğrulaması için önceden paylaşılmış anahtarlar kullanır.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Anahtarı Azure VPN ağ geçidini oluşturduğunuzda belirtirsiniz.You specify the key when you create the Azure VPN gateway. Şirket içinde çalışan VPN cihazını aynı anahtarla yapılandırmanız gerekir.You must configure the VPN appliance running on-premises with the same key. Diğer kimlik doğrulama mekanizmaları şu anda desteklenmemektedir.Other authentication mechanisms are not currently supported.

Şirket içi yönlendirme altyapısının, Azure sanal ağındaki adreslere yönelik istekleri VPN cihazına iletmek için yapılandırıldığından emin olun.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Şirket içi ağda bulut uygulamasının gerektirdiği tüm bağlantı noktalarını açın.Open any ports required by the cloud application in the on-premises network.

Aşağıdakileri doğrulamak için bağlantıyı test edin:Test the connection to verify that:

  • Şirket içi VPN cihazı Azure VPN ağ geçidi üzerinden trafiği bulut uygulamasına doğru şekilde yönlendirmelidir.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • Sanal ağ, trafiği şirket içi ağa doğru şekilde yönlendirir.The virtual network correctly routes traffic back to the on-premises network.
  • Yasaklanmış trafik her iki yönde de doğru şekilde engellenmelidir.Prohibited traffic in both directions is blocked correctly.

Azure Stack ağ bağlantısıAzure Stack network connection

Bu başvuru mimarisinde, Azure Stack çok kiracılı VPN ağ geçidi aracılığıyla Azure Stack dağıtımınızdaki bir sanal ağın Azure 'daki sanal bir ağa nasıl bağlanacağı gösterilmektedir.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Yaygın bir senaryo, önemli işlemleri ve hassas verileri Azure Stack yalıtmak ve genel işlem ve geçişli, hassas olmayan işlemler için Azure 'dan faydalanabilir.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

Bu mimaride, ağ trafiği Azure Stack üzerindeki çok kiracılı ağ geçidini kullanarak bir VPN tüneli üzerinden akar.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Alternatif olarak, trafik kiracı VIP 'leri, Azure ExpressRoute veya VPN uç noktası gibi davranan bir ağ sanal gereci aracılığıyla Azure Stack ile Azure arasında Internet üzerinden akabilir.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Sanal ağ geçidi kapasitesini Azure StackAzure Stack virtual network gateway capacity

Azure ve Azure Stack arasında yönlendirme bilgilerini değiş tokuş için hem Azure VPN Gateway hem de Azure Stack VPN Gateway Sınır Ağ Geçidi Protokolü (BGP) desteği.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack, çok kiracılı ağ geçidi için statik yönlendirmeyi desteklemez.Azure Stack does not support static routing for the multitenant gateway.

Atanan bir IP adresi alanı olan bir Azure Stack sanal ağı, tüm gerekli kaynaklarınız için yeterince büyük bir şekilde oluşturun.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. Sanal ağın adres alanı, bu sanal ağa bağlanacak başka bir ağla çakışmamalıdır.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Azure Stack dağıtımı sırasında çok kiracılı ağ geçidine genel bir IP adresi atanır.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Genel VIP havuzundan alınır.It is taken from the public VIP pool. Azure Stack işlecinin, hangi IP adresinin kullanıldığı, ancak atamasını belirleyebilecekleri denetimi yoktur.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Dikkat

İş yükü VM 'Leri Azure Stack ağ geçidi alt ağına dağıtılamaz.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Ayrıca, bu alt ağ için bir NSG atamayın. Ağ geçidinin çalışmayı durdurmasına neden olur.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenlerScalability considerations

Temel veya Standart VPN Gateway SKU'larından Yüksek Performans VPN SKU'ya geçerek sınırlı dikey ölçeklenebilirlik elde edebilirsiniz.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Büyük miktarda VPN trafiği bekleyen sanal ağlarda, farklı iş yüklerini ayrı küçük sanal ağlara dağıtmayı ve her biri için bir VPN ağ geçidi yapılandırmayı düşünün.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

Sanal ağı yatay veya dikey olarak bölümleyebilirsiniz.You can partition the virtual network either horizontally or vertically. Yatay olarak bölümlemek için, her bir katmandaki bazı sanal makıne örneklerini yeni sanal ağın alt ağlarına taşıyın.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. Sonuç olarak, her bir sanal ağ aynı yapıya ve işlevlere sahiptir.The result is that each virtual network has the same structure and functionality. Dikey bölümleme için işlevleri farklı mantıksal alanlara (örneğin, sipariş işleme, faturalama, müşteri hesap yönetimi ve benzeri) ayıracak şekilde her katmanı yeniden tasarlayın.To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Her işlevsel alan, kendi sanal ağına yerleştirilebilir.Each functional area can then be placed in its own virtual network.

Sanal ağda şirket içi Active Directory etki alanı denetleyicisinin çoğaltılması ve sanal ağda DNS uygulamak, güvenlikle ilgili ve Şirket içinden buluta akan yönetim trafiğinin bazılarını azaltmaya yardımcı olabilir.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Daha fazla bilgi için bkz. Active Directory Domain Services’i (AD DS) Azure’a genişletme.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Kullanılabilirlik konusunda dikkat edilmesi gerekenlerAvailability considerations

Şirket içi ağın Azure VPN ağ geçidi için kullanılabilir olmaya devam ettiğinden emin olmanız gerekiyorsa, şirket içi VPN ağ geçidi için bir yük devretme kümesi uygulayın.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Kuruluşunuzda birden çok şirket içi site varsa, bir veya daha fazla Azure sanal ağına çok siteli bağlantılar oluşturun.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Bu yaklaşım dinamik (rota tabanlı) yönlendirme gerektirir, bu nedenle şirket içi VPN ağ geçidinin bu özelliği desteklediğinden emin olun.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Hizmet düzeyi sözleşmeleri hakkında daha fazla ayrıntı için bkz. VPN Gateway için SLA.For details about service level agreements, see SLA for VPN Gateway.

Azure Stack, birden çok Azure Stack damgaya ve Azure dağıtımına arabirimler eklemek için VPN ağ geçitlerini genişletebilirsiniz.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

DevOps için dikkat edilmesi gerekenlerDevOps considerations

Altyapıyı dağıtmak için kod olarak altyapı (IAC) işlemini kullanın.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. Bu mimaride, Azure portal kullanılarak dağıtılan bir dizi Azure yapı taşları özel şablonu kullandık.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Altyapı dağıtımını otomatikleştirmek için Azure DevOps Services veya başka CI/CD çözümleri kullanabilirsiniz.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Dağıtım işlemi de ıdempotent.The deployment process is also idempotent.

Belirli bir kaynak için, kaynak dağıtılmadan önce mevcut olması gereken diğer kaynaklar olabilir.For a given resource, there can be other resources that must exist before the resource is deployed. Aynı şablonda dağıtılan kaynaklar için bağımlılıklar tanımlamanızı sağladığından, Azure yapı taşları şablonları bağımlılık izleme için de uygundur.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Tüm ana kaynaklar (sanal makine ölçek kümesi, VPN Gateway, Azure savunma) aynı sanal ağ içinde olduğundan aynı temel iş yükünde yalıtılırlar.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Daha sonra, ekibin bu kaynakların tüm yönlerini bağımsız bir şekilde yönetebilmesi için iş yükünün belirli kaynaklarını bir ekip ile ilişkilendirilmesi daha kolay olur.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Bu yalıtım, DevOps 'ın sürekli tümleştirme ve sürekli teslim (CI/CD) gerçekleştirmesini sağlar.This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

İzlemeMonitoring

Şirket içi VPN cihazlarından alınan tanılama bilgilerini izleyin.Monitor diagnostic information from on-premises VPN appliances. Bu işlem, VPN cihazı tarafından sağlanan özelliklere bağlıdır.This process depends on the features provided by the VPN appliance. Örneğin, Windows Server 2012'de Yönlendirme ve Uzaktan Erişim hizmeti kullanıyorsanız, RRAS günlük kullanılır.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Bağlantı sorunları hakkında bilgi toplamak için Azure VPN ağ geçidi tanılamayı kullanın.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Bu günlükler, bağlantı isteklerinin kaynak ve hedefleri, hangi protokolün kullanıldığı ve nasıl bağlantı kurulduğu (veya neden bağlantı girişiminin başarısız olduğu) gibi bilgileri izlemek için kullanılabilir.These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Azure portalındaki denetim günlüklerini kullanarak Azure VPN ağ geçidinin işlem günlüklerini izleyin.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Yerel ağ geçidi, Azure ağ geçidi ve bağlantı için ayrı günlükler vardır.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Bu bilgiler, ağ geçidinde yapılan değişiklikleri izlemek için kullanılabilir ve daha önce çalışan bir ağ geçidi herhangi bir nedenden dolayı çalışmayı durdurursa yararlı olabilir.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Tarihe göre filtrelenen denetim günlüğü olaylarını gösteren Azure portal ekran görüntüsü.A screenshot of the Azure portal, showing audit log events filtered by date.

Bağlantıyı ve bağlantı hatası olaylarını izleyin.Monitor connectivity, and track connectivity failure events. Bu bilgileri toplamak ve raporlamak için Nagios gibi bir izleme paketi kullanabilirsiniz.You can use a monitoring package such as Nagios to capture and report this information.

Bağlantı sorunlarını gidermek için bkz. karma VPN bağlantısında sorun giderme.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Şirket içi ağınızdan Azure 'a ağ geçidi bağlantısı kapalıysa Azure sanal ağındaki VM 'Lere Azure savunma aracılığıyla erişmeye devam edebilirsiniz.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

Güvenlik konularıSecurity considerations

Her VPN ağ geçidi için farklı bir paylaşılan anahtar oluşturun.Generate a different shared key for each VPN gateway. Deneme yanılma saldırılarına karşı dayanıklılık sağlamak için güçlü bir paylaşılan anahtar kullanın.Use a strong shared key to help resist brute-force attacks.

Azure Stack bağlantılarda, her VPN tüneli için farklı bir paylaşılan anahtar oluşturun.For Azure Stack connections, generate a different shared key for each VPN tunnel. Deneme yanılma saldırılarına karşı dayanıklılık sağlamak için güçlü bir paylaşılan anahtar kullanın.Use a strong shared key to help resist brute-force attacks.

Not

Şu anda Azure VPN ağ geçidinin anahtarlarını önceden paylaşmak için Azure Key Vault kullanamazsınız.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Şirket içi VPN cihazının Azure VPN ağ geçidi ile uyumlu bir şifreleme yöntemini kullandığından emin olun.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. İlke tabanlı yönlendirme için Azure VPN ağ geçidi AES256, AES128 ve 3DES şifreleme algoritmalarını destekler.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Rota tabanlı ağ geçitleri AES256 ve 3DES destekler.Route-based gateways support AES256 and 3DES.

Şirket içi VPN cihazınız çevre ağı ve İnternet arasında bir güvenlik duvarı olan bir çevre ağında (DMZ) ise, siteden siteye VPN bağlantısına izin vermek için ek güvenlik duvarı kuralları yapılandırmanız gerekebilir.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Sanal ağdaki uygulama Internet 'e veri gönderiyorsa, Internet 'e bağlı tüm trafiği şirket içi ağ üzerinden yönlendirmek için Zorlamalı tünel uygulamayı düşünün.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Bu yaklaşım, uygulamanın şirket içi altyapıdan yaptığı giden istekleri denetlemenizi sağlar.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Not

Zorunlu tünel, Azure hizmetlerine (örneğin Depolama Hizmeti) bağlantıyı ve Windows lisans yöneticisini etkileyebilir.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Maliyetle ilgili konularCost considerations

Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.Use the Azure pricing calculator to estimate costs. Genel hususlar için Microsoft Azure Well-Architected Framework 'Ünmaliyet bölümüne bakın.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Bu mimaride kullanılan hizmetler aşağıdaki gibi ücretlendirilir:The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

Bu mimarinin ana bileşeni VPN Gateway hizmetidir.The main component of this architecture is the VPN gateway service. Ücretlendirme, ağ geçidinin sağlandığı ve kullanılabilir olduğu saat üzerinden hesaplanır.You are charged based on the amount of time that the gateway is provisioned and available.

Tüm gelen trafik ücretsizdir, tüm giden trafik ücretlendirilir.All inbound traffic is free, all outbound traffic is charged. İnternet bant genişliği maliyetleri, VPN giden trafiğine uygulanır.Internet bandwidth costs are applied to VPN outbound traffic.

Daha fazla bilgi için bkz. VPN Gateway Fiyatlandırması.For more information, see VPN Gateway Pricing.

Azure Sanal AğAzure Virtual Network

Azure Sanal Ağ ücretsizdir.Azure Virtual Network is free. Her aboneliğin, tüm bölgelerde en çok 50 sanal ağ oluşturmasına izin verilir.Every subscription is allowed to create up to 50 virtual networks across all regions.

Bir sanal ağın sınırları içinde oluşan tüm trafik ücretsizdir.All traffic that occurs within the boundaries of a virtual network is free. Bu nedenle, aynı sanal ağ içindeki iki sanal makine arasındaki iletişim ücretsizdir.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Azure savunma, sanal makinede bir genel IP yapılandırması gerekmeden RDP ve SSH üzerinden sanal makinenizde sanal makinenize güvenli bir şekilde bağlanır.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Bağlanmak istediğiniz sanal makineleri içeren her sanal ağda savunma yapmanız gerekir.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Bu çözüm, geçiş kutularını kullanmaktan daha ekonomik ve güvenlidir.This solution is more economical and secure than using jump boxes.

Örnekler için bkz. Azure savunma fiyatlandırması.For examples, see Azure Bastion Pricing.

Sanal makine ve iç yük dengeleyicilerVirtual machine and internal load balancers

Bu mimaride, iç yük dengeleyiciler bir sanal ağ içindeki trafiğin yükünü dengelemek için kullanılır.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Aynı sanal ağda bulunan sanal makineler arasındaki temel yük dengeleme ücretsizdir.Basic load balancing between virtual machines that reside in the same virtual network is free.

Sanal Makine Ölçek Kümeleri tüm Linux ve Windows VM boyutlarında kullanılabilir.Virtual machine scale sets are available on all Linux and windows VM sizes. Yalnızca dağıttığınız Azure VM 'Leri ve depolama ve ağ gibi tüketilen altyapı kaynakları için ücretlendirilirsiniz.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Sanal Makine Ölçek Kümeleri hizmeti için artımlı ücret alınmaz.There are no incremental charges for the virtual machine scale sets service.

Daha fazla bilgi için bkz. Azure VM fiyatlandırması.For more information, see Azure VM pricing.

Çözümü dağıtmaDeploy the solution

Bu başvuru mimarisini dağıtmak için GitHub Benioku dosyasınabakın.To deploy this reference architecture, see the GitHub readme.

Sonraki adımlarNext steps

Azure 'daki sanal ağları bağlamak için VPN 'Ler kullanılabilse de, her zaman en iyi seçim değildir.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Daha fazla bilgi için bkz. Azure 'da sanal ağ eşlemesi ve VPN ağ geçitleri arasında seçim yapın.For more information, see Choose between virtual network peering and VPN gateways in Azure.