Sanal gereç senaryosu
Büyük Azure müşterisi arasında yaygın bir senaryo, bir yandan şirket içi veri merkezinden arka katmana erişim sağlarken diğer yandan İnternet'e açık iki katmanlı bir uygulama sağlama ihtiyacıdır. Bu belge, aşağıdaki gereksinimleri karşılayacak iki katmanlı bir ortam dağıtmak için Kullanıcı Tanımlı Yollar (UDR), VPN Gateway ve ağ sanal gereçleri kullanarak bir senaryoda size yol gösterir:
- Web uygulamasına yalnızca genel İnternet'den erişilebilir olması gerekir.
- Uygulamayı barındıran web sunucusunun bir arka uç uygulama sunucusuna erişene sahip olması gerekir.
- İnternet'den web uygulamasına gelen tüm trafik bir güvenlik duvarı sanal aletinden geçmalıdır. Bu sanal gereç yalnızca İnternet trafiği için kullanılır.
- Uygulama sunucusuna gelen tüm trafiğin bir güvenlik duvarı sanal aletini kullanması gerekir. Bu sanal gereç, arka uç uç sunucusuna erişim ve şirket içi ağdan bir ağ üzerinden gelen erişim için VPN Gateway.
- Yöneticilerin güvenlik duvarı sanal gereçlerini, yalnızca yönetim amacıyla kullanılan üçüncü bir güvenlik duvarı sanal aletini kullanarak şirket içi bilgisayarlarından yönete haklarında olması gerekir.
Bu, bir DMZ ve korumalı ağ ile standart bir çevre ağı (DMZ olarak da bilinir) senaryosudur. Bu tür bir senaryo, Azure'da NSG'ler, güvenlik duvarı sanal gereçleri veya ikisinin birleşimi kullanılarak oluşturulur. Aşağıdaki tabloda NSG'ler ile güvenlik duvarı sanal gereçleri arasındaki bazı artılar ve dezavantajlar gösterilmiştir.
| Avantajlar | Dezavantajlar | |
|---|---|---|
| NSG | Maliyet yok. Azure RBAC ile tümleşiktir. Kurallar, Azure Resource Manager oluşturulabilir. |
Karmaşıklık daha büyük ortamlarda değişebilir. |
| Güvenlik duvarı | Veri düzlemi üzerinde tam denetim. Güvenlik duvarı konsolu aracılığıyla merkezi yönetim. |
Güvenlik duvarı aletinin maliyeti. Azure RBAC ile tümleşik değildir. |
Aşağıdaki çözümde bir çevre ağı (DMZ)/korumalı ağ senaryosu uygulamak için güvenlik duvarı sanal gereçleri kullanılmaktadır.
Dikkat edilmesi gerekenler
Yukarıda açıklanan ortamı bugün kullanılabilen farklı özellikleri kullanarak Azure'da aşağıdaki gibi dağıtabilirsiniz.
- Sanal ağ (VNet) . Azure sanal ağı, şirket içi ağa benzer bir şekilde davranır ve trafik yalıtımı ve endişelerin ayrımı sağlamak için bir veya daha fazla alt ağa segmentlere ayırabilirsiniz.
- Sanal gereç. Çeşitli iş ortakları, sanal Azure Market yukarıda açıklanan üç güvenlik duvarı için kullanılmaktadır.
- Kullanıcı Tanımlı Yollar (UDR). Yol tabloları, bir sanal ağ içindeki paket akışını kontrol etmek için Azure ağı tarafından kullanılan UDR'ler içerebilir. Bu yol tabloları alt ağlara uygulanabilir. Azure'daki en yeni özelliklerden biri, GatewaySubnet'e bir yol tablosu uygulayabilme özelliğidir ve karma bağlantıdan Azure sanal araca gelen tüm trafiği sanal gereçlere iletme olanağı sağlar.
- IP Iletme. Varsayılan olarak, Azure ağ altyapısı paketleri yalnızca paket hedef IP adresi NIC IP adresiyle eşleniyorsa sanal ağ arabirim kartlarına (NIC' ler) iletir. Bu nedenle, bir UDR bir paketin belirli bir sanal gereçe gönderilmek zorunda olduğunu tanımlarsa, Azure ağ altyapısı bu paketi bırakmalıdır. Paketin, paketin gerçek hedefi olan bir VM'ye (bu durumda bir sanal gereç) teslim edildiklerinden emin olmak için sanal gereç için IP Iletmeyi etkinleştirmeniz gerekir.
- Ağ Güvenlik Grupları (NSG). Aşağıdaki örnek NSG'leri kullanmaz, ancak bu çözümde alt ağlara ve/veya CS'lere uygulanan NSG'leri kullanarak bu alt ağların ve NIC'lerin içinde ve dışında trafiği daha fazla filtreleyebilirsiniz.
Bu örnekte, şunları içeren bir abonelik vardır:
- Diyagramda gösterilmez, 2 kaynak grubu.
- ONPREMRG. Şirket içi ağın benzetimini yapmak için gereken tüm kaynakları içerir.
- AZURERG. Azure sanal ağ ortamı için gereken tüm kaynakları içerir.
- Aşağıda listelenmiş şekilde bölümlenmiş bir şirket içi veri merkezi taklit etmek için kullanılan onpremvnet adlı bir sanal ağ.
- onpremsn1. Şirket içi sunucuyu taklit etmek için Ubuntu çalıştıran bir sanal makine (VM) içeren alt ağ.
- onpremsn2. Bir yönetici tarafından kullanılan şirket içi bir bilgisayarı taklit etmek için Ubuntu çalıştıran bir VM içeren alt ağ.
- azurevnet tünelinin bakımını yapmak için kullanılan onpremvnet üzerinde OPFW adlı bir güvenlik duvarı sanal cihazı vardır.
- Aşağıda listelenmiş şekilde segmentlere bölen azurevnet adlı bir sanal ağ.
- azsn1. Dış güvenlik duvarı alt ağı yalnızca dış güvenlik duvarı için kullanılır. Tüm İnternet trafiği bu alt ağ üzerinden gelir. Bu alt ağ yalnızca dış güvenlik duvarına bağlı bir NIC içerir.
- azsn2. İnternet'den erişilen bir web sunucusu olarak çalışan bir VM'yi barındıran ön uç alt ağı.
- azsn3. Ön uç web sunucusu tarafından erişilen bir arka uç uygulama sunucusu çalıştıran bir VM'yi barındıran arka uç alt ağı.
- azsn4. Yönetim alt ağı yalnızca tüm güvenlik duvarı sanal gereçlerine yönetim erişimi sağlamak için kullanılır. Bu alt ağ yalnızca çözümde kullanılan her güvenlik duvarı sanal aleti için bir NIC içerir.
- GatewaySubnet. Azure sanal ağları ile diğer ağlar arasında bağlantı sağlamak için ExpressRoute VPN Gateway azure karma bağlantı alt ağı gerekir.
- azurevnet ağına 3 güvenlik duvarı sanal gereçleri vardır.
- AZF1. Azure'da genel IP adresi kaynağı kullanılarak genel İnternet'e açık dış güvenlik duvarı. Market'te veya doğrudan gereç satıcınıza bağlı olarak 3 NIC sanal gereç sağlayacak bir şablona sahip olduğundan emin olun.
- AZF2. azsn2 ile azsn3 arasındaki trafiği kontrol etmek için kullanılan iç güvenlik duvarı. Bu aynı zamanda bir 3-NIC sanal aletidir.
- AZF3. Şirket içi veri merkezinden yöneticiler tarafından erişilebilen ve tüm güvenlik duvarı gereçlerini yönetmek için kullanılan bir yönetim alt ağın bağlı olduğu yönetim güvenlik duvarı. Market'te 2-NIC sanal gereç şablonları bulabilir veya doğrudan alet satıcınıza bir tane talepte bulunabilirsiniz.
Kullanıcı Tanımlı Yönlendirme (UDR)
Azure'daki her alt ağ, bu alt ağda başlatılan trafiğin nasıl yönlendirıldığını tanımlamak için kullanılan bir UDR tablosuna bağlanabilirsiniz. Hiçbir UDR tanımlanmamışsa, Azure trafiğin bir alt ağdan diğerine akmaya izin vermek için varsayılan yolları kullanır. UDR'leri daha iyi anlamak için Kullanıcı Tanımlı Yollar ve IP İ iletme nedir? adresini ziyaret edin.
İletişimin yukarıdaki son gereksinime bağlı olarak doğru güvenlik duvarı aleti aracılığıyla gerçekleştirilene kadar, azurevnet'te UDR'leri içeren aşağıdaki yol tablosu oluşturmanız gerekir.
azgwudr
Bu senaryoda, AZF3'e bağlanarak güvenlik duvarlarını yönetmek için şirket içinden Azure'a akan tek trafik kullanılacak ve bu trafiğin iç güvenlik duvarı olan AZF2'den geçerek gerçekleşmesi gerekir. Bu nedenle, gatewaySubnet içinde aşağıda gösterildiği gibi yalnızca bir yol gereklidir.
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | Şirket içi trafiğin yönetim güvenlik duvarı AZF3'e ulaşmasını sağlar |
azsn2udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | AZF2 aracılığıyla uygulama sunucusunu barındıran arka uç alt ağın trafiğine izin verir |
| 0.0.0.0/0 | 10.0.2.10 | Diğer tüm trafiğin AZF1 üzerinden yönlendirilene izin verir |
azsn3udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | AZF2 aracılığıyla azsn2'ye gelen trafiğin uygulama sunucusundan web sunucusuna akışına izin verir |
Ayrıca şirket içi veri merkeziyle taklit etmek için şirket içi alt ağlar için yol tabloları da oluşturmanız gerekir.
onpremsn1udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | OPFW aracılığıyla onpremsn2'ye gelen trafiğe izin verir |
onpremsn2udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | OPFW aracılığıyla Azure'da arka alt ağın trafiğine izin verir |
| 192.168.1.0/24 | 192.168.2.4 | OPFW üzerinden onpremsn1'e gelen trafiğe izin verir |
IP İletimi
UDR ve IP İ iletme, sanal gereçlerin bir Azure sanal ağı içinde trafik akışını denetlemeye olanak vermek için birlikte kullanabileceğiniz özelliklerdir. Sanal gereç, güvenlik duvarı veya NAT cihazı gibi ağ trafiğini işlemek için kullanılan bir uygulamayı çalıştıran bir VM'den fazlası değildir.
Bu sanal gereç VM'si, kendisine yönelik olmayan gelen trafiği alabilmelidir. Bir VM'nin başka hedeflere yönelik trafiği alabilmesine izin vermek için VM'de IP İletimini etkinleştirmeniz gerekir. Bu ayar konuk işletim sisteminin değil, Azure'ın bir ayarıdır. Sanal aletinizin yine de gelen trafiği işlemek ve uygun şekilde yönlendiren bir uygulama türü çalıştırması gerekir.
IP Iletme hakkında daha fazla bilgi edinmek için Kullanıcı Tanımlı Yollar ve IP Yönlendirme nedir? adresini ziyaret edin.
Örneğin, bir Azure sanal aında aşağıdaki kuruluma sahip olduğunu düşünün:
- Onpremsn1 alt ağı, onpremvm1 adlı bir VM içerir.
- Onpremsn2 alt ağı, onpremvm2 adlı bir VM içerir.
- OPFW adlı bir sanal gereç, onpremsn1 ve onpremsn2'ye bağlanır.
- onpremsn1'e bağlı kullanıcı tanımlı bir yol, onpremsn2'ye giden tüm trafiğin OPFW'ye gönderilmeleri gerektiğini belirtir.
Bu noktada, onpremvm1 onpremvm2 ile bağlantı kurmaya çalışırsa UDR kullanılır ve bir sonraki atlama olarak OPFW'ye trafik gönderilir. Gerçek paket hedefinin değişmediğini, yine de hedef onpremvm2 olduğunu belirtir.
OPFW için IP İ iletme etkinleştirilmemişse Azure sanal ağ mantığı paketleri bıraktır çünkü paketlerin vm'ye yalnızca VM'nin IP adresi paketin hedefi olduğu durumda gönderilebilir.
IP İ iletme ile, Azure sanal ağ mantığı paketleri özgün hedef adresini değiştirmeden OPFW'ye iletir. OPFW paketleri işlemeli ve onlarla ne yapacaklarını belirlemeli.
Yukarıdaki senaryonun çalışması için, yönlendirme için kullanılan OPFW, AZF1, AZF2 ve AZF3 için 2C'lerde IP İ iletmeyi etkinleştirmeniz gerekir (yönetim alt ağın bağlı olanlar dışındaki tüm 2C'ler).
Güvenlik Duvarı Kuralları
Yukarıda açıklandığı gibi, IP Iletme yalnızca paketlerin sanal gereçlere gönderildiğinden emin olur. Bu paketlerle ne yapılması gerektiğini yine de aletinizin karar vermesi gerekir. Yukarıdaki senaryoda cihazlarınıza aşağıdaki kuralları oluşturmanız gerekir:
OPFW
OPFW, aşağıdaki kuralları içeren bir şirket içi cihazı temsil eder:
- Yol: 10.0.0.0/16 (azurevnet) trafiğin onPREMAZURE tüneli üzerinden gönderiliyor olması gerekir.
- İlke: Bağlantı noktası2 ile ONPREMAZURE arasındaki tüm çift yönlü trafiğe izin ver.
AZF1
AZF1, aşağıdaki kuralları içeren bir Azure sanal aletini temsil eder:
- İlke: bağlantı noktası1 ile bağlantı noktası2 arasındaki tüm çift yönlü trafiğe izin ver.
AZF2
AZF2, aşağıdaki kuralları içeren bir Azure sanal aletini temsil eder:
- İlke: bağlantı noktası1 ile bağlantı noktası2 arasındaki tüm çift yönlü trafiğe izin ver.
AZF3
AZF3, aşağıdaki kuralları içeren bir Azure sanal aletini temsil eder:
- Yol: 192.168.0.0/16 'ya (onpremvnet) giden tüm trafik, bağlantı noktası1 üzerinden Azure ağ geçidi IP adresine (10.0.0.1) gönder gerekir.
Ağ Güvenlik Grupları (NSG)
Bu senaryoda NSG'ler kullanılmaz. Ancak, gelen ve giden trafiği kısıtlamak için her alt ağ için NSG'ler uygulayabilirsiniz. Örneğin, dış FW alt ağın aşağıdaki NSG kurallarını uygulayabilirsiniz.
Gelen
- İnternet'den 80 bağlantı noktasına gelen tüm TCP trafiğine alt ağdaki herhangi bir VM'de izin ver.
- İnternet'e gelen diğer tüm trafiği reddedin.
Giden
- İnternet'e gelen tüm trafiği reddedin.
Üst düzey adımlar
Bu senaryoyu dağıtmak için aşağıdaki üst düzey adımları izleyin.
- Azure Aboneliğiniz'de oturum açma.
- Şirket içi ağı taklit etmek için bir sanal ağ dağıtmak için, ONPREMRG'nin parçası olan kaynakları sağlama.
- AZURERG'nin parçası olan kaynakları sağlama.
- Tüneli onpremvnet'den azurevnet'e sağlama.
- Tüm kaynaklar sağlandıktan sonra, onpremsn2 ile azsn3 arasındaki bağlantıları test etmek için onpremvm2'de oturum açma ve 10.0.3.101'e ping at.