Sanal ağları planlama

Denemek için bir sanal ağ oluşturmak oldukça kolaydır, ancak olasılığınızı, kuruluşunuzun üretim ihtiyaçlarını desteklemek için zaman içinde birden çok sanal ağı dağıtacaksınız. Bazı planlamayla, sanal ağlar dağıtabilir ve ihtiyacınız olan kaynakları daha verimli bir şekilde bağlayabilirsiniz. Bu makaledeki bilgiler, sanal ağları zaten biliyorsanız ve bunlarla çalışan bir deneyim varsa en çok yardımcı olur. Sanal ağlar hakkında bilgi sahibi değilseniz, sanal ağa genel bakış' ı okumanız önerilir.

Adlandırma

Tüm Azure kaynakları bir ada sahiptir. Ad, her kaynak türü için değişebilen bir kapsam içinde benzersiz olmalıdır. Örneğin, bir sanal ağın adı bir kaynak grubuiçinde benzersiz olmalıdır, ancak bir abonelik veya Azure bölgesiiçinde yinelenebilir. Zaman içinde birkaç ağ kaynağını yönetirken, kaynak adlandırma yararlı olduğunda tutarlı bir şekilde kullanabileceğiniz bir adlandırma kuralı tanımlama. Öneriler için bkz. adlandırma kuralları.

Bölgeler

Tüm Azure kaynakları bir Azure bölgesinde ve aboneliğinde oluşturulur. Kaynak, kaynak ile aynı bölgede ve abonelikte bulunan bir sanal ağda oluşturulabilir. Bununla birlikte, farklı aboneliklerde ve bölgelerde bulunan sanal ağları bağlayabilirsiniz. Daha fazla bilgi için bkz. bağlantı. İçindeki kaynakları dağıtmak için hangi bölgelere karar verirken, kaynakların tüketicilerinin fiziksel olarak bulunduğu yeri göz önünde bulundurun:

  • Kaynak tüketicileri genellikle kaynakları için en düşük ağ gecikmesini ister. Belirtilen bir konum ile Azure bölgesi arasındaki göreli gecikmeleri öğrenmek için bkz. göreli gecikme sürelerini görüntüleme.
  • Veri yerleşimi, egemenlik, uyumluluk veya dayanıklılık gereksinimleriniz var mı? Bu durumda, gereksinimlere göre hizalanan bölgenin seçilmesi kritik öneme sahiptir. Daha fazla bilgi için bkz. Azure coğrafi lıkları.
  • Dağıttığınız kaynaklar için aynı Azure bölgesindeki Azure Kullanılabilirlik Alanları dayanıklılık gerektirsin mi? Sanal makineler (VM) gibi kaynakları, aynı sanal ağ içindeki farklı kullanılabilirlik bölgelerine dağıtabilirsiniz. Ancak tüm Azure bölgeleri kullanılabilirlik bölgelerini desteklemez. Kullanılabilirlik alanları ve bunları destekleyen bölgeler hakkında daha fazla bilgi edinmek için bkz. kullanılabilirlik alanları.

Abonelikler

Her abonelik için gereken sayıda sanal ağı en fazla sınırakadar dağıtabilirsiniz. Bazı kuruluşların, örneğin farklı departmanlar için farklı abonelikleri vardır. Abonelikler hakkında daha fazla bilgi ve ilgili konular için bkz. abonelikİdaresi.

Kesimleme

Her bir abonelik ve bölge başına birden çok sanal ağ oluşturabilirsiniz. Her bir sanal ağ içinde birden çok alt ağ oluşturabilirsiniz. Aşağıdaki önemli noktalar, kaç sanal ağın ve alt ağın gerekli olduğunu belirlemenize yardımcı olur:

Sanal ağlar

Sanal ağ, Azure genel ağının sanal, yalıtılmış bir parçasıdır. Her sanal ağ aboneliğinize ayrılmıştır. Bir abonelikte bir sanal ağ veya birden çok sanal ağ oluşturma konusunda karar verirken dikkate almanız gerekenler:

  • Trafiği ayrı sanal ağlara yalıtmak için herhangi bir kuruluş güvenlik gereksinimi var mı? Sanal ağları bağlamayı tercih edebilirsiniz. Sanal ağları bağladığınızda, sanal ağlar arasındaki trafik akışını denetlemek için güvenlik duvarı gibi bir ağ sanal gereci uygulayabilirsiniz. Daha fazla bilgi için bkz. güvenlik ve bağlantı.
  • Sanal ağları ayrı aboneliklerde veya bölgelerdeyalıtmak için herhangi bir kuruluş gereksinimi var mı?
  • Bir ağ arabirimi , BIR VM 'nin diğer kaynaklarla iletişim kurmasını sağlar. Her ağ arabirimine atanmış bir veya daha fazla özel IP adresi vardır. Bir sanal ağda kaç ağ arabirimi ve özel IP adresi gerekir? Bir sanal ağ içinde sahip olabilirsiniz ağ arabirimlerinin ve özel IP adreslerinin sayısı için sınırlar vardır.
  • Sanal ağı başka bir sanal ağa veya şirket içi ağa bağlamak istiyor musunuz? Bazı sanal ağları birbirlerine veya şirket içi ağlara bağlamayı tercih edebilirsiniz, ancak diğerlerini kullanamazsınız. Daha fazla bilgi için bkz. bağlantı. Başka bir sanal ağa veya şirket içi ağa bağlandığınız her sanal ağ, benzersiz bir adres alanına sahip olmalıdır. Her sanal ağın adres alanına atanan bir veya daha fazla ortak veya özel adres aralığı vardır. Bir adres aralığı, sınıfsız Internet etki alanı yönlendirme (CıDR) biçiminde belirtilir, örneğin 10.0.0.0/16. Sanal ağların adres aralıkları hakkında daha fazla bilgi edinin.
  • Farklı sanal ağlardaki kaynaklar için herhangi bir kuruluş yönetim gereksinimleriniz var mı? Bu durumda, kuruluşunuzdaki bireylere izin atamasını kolaylaştırmak veya farklı sanal ağlara farklı ilkeler atamak için kaynakları ayrı sanal ağa ayırabilirsiniz.
  • Bazı Azure hizmet kaynaklarını bir sanal ağa dağıttığınızda, kendi sanal ağını oluşturamazlar. Bir Azure hizmetinin kendi sanal ağını oluşturup oluşturmadığını öğrenmek için, bir sanal ağa dağıtılabilecek her bir Azure hizmetiiçin bilgiler bölümüne bakın.

Alt ağlar

Bir sanal ağ, sınırlarakadar bir veya daha fazla alt ağa ayrılabilir. Bir abonelikte tek bir alt ağ veya birden çok sanal ağ oluşturma konusunda karar verirken dikkate almanız gerekenler:

  • Her alt ağ, sanal ağın adres alanı içinde CıDR biçiminde belirtilen benzersiz bir adres aralığına sahip olmalıdır. Adres aralığı, sanal ağdaki diğer alt ağlarla çakışamaz.
  • Bazı Azure hizmet kaynaklarını bir sanal ağa dağıtmayı planlıyorsanız, kendi alt ağını gerektirebilir veya oluşturabilir, bu nedenle bunlar için yeterli ayrılmamış alan olması gerekir. Bir Azure hizmetinin kendi alt ağını oluşturup oluşturmadığını öğrenmek için, bir sanal ağa dağıtılabilecek her bir Azure hizmetiiçin bilgiler bölümüne bakın. Örneğin, bir sanal ağı Azure VPN Gateway kullanarak şirket içi bir ağa bağladığınızda, sanal ağın ağ geçidi için ayrılmış bir alt ağı olmalıdır. Ağ geçidi alt ağlarıhakkında daha fazla bilgi edinin.
  • Azure, varsayılan olarak bir sanal ağdaki tüm alt ağlar arasında ağ trafiğini yönlendirir. Alt ağlar arasında Azure yönlendirmeyi engellemek veya örneğin bir ağ sanal gereci aracılığıyla trafiği alt ağlar arasında yönlendirmek için Azure 'un varsayılan yönlendirmesini geçersiz kılabilirsiniz. Bir ağ sanal gereci (NVA) üzerinden aynı sanal ağ akışındaki kaynaklar arasında bu trafiğe ihtiyaç duyuyorsanız, kaynakları farklı alt ağlara dağıtın. Güvenlikbölümünde daha fazla bilgi edinin.
  • bir azure depolama hesabı veya Azure SQL Veritabanı gibi azure kaynaklarına erişimi, sanal ağ hizmeti uç noktasıyla belirli alt ağlara sınırlayabilirsiniz. Ayrıca, internet 'ten kaynaklara erişimi reddedebilirsiniz. Birden çok alt ağ oluşturabilir ve bazı alt ağlar için bir hizmet uç noktası etkinleştirebilirsiniz, ancak diğerlerini kullanamazsınız. Hizmet uç noktalarıve bunları Için etkinleştirebileceğiniz Azure kaynakları hakkında daha fazla bilgi edinin.
  • Sıfır veya bir ağ güvenlik grubunu bir sanal ağ içindeki her alt ağ ile ilişkilendirebilirsiniz. Aynı veya farklı bir ağ güvenlik grubunu her alt ağ ile ilişkilendirebilirsiniz. Her ağ güvenlik grubu, kaynak ve hedeflere giden ve giden trafiğe izin veren ya da reddeden kurallar içerir. Ağ güvenlik gruplarıhakkında daha fazla bilgi edinin.

Güvenlik

Ağ güvenlik gruplarını ve ağ sanal gereçlerini kullanarak bir sanal ağdaki kaynaklardan gelen ve giden ağ trafiğini filtreleyebilirsiniz. Azure 'un alt ağlardan gelen trafiği nasıl yönlendirdiğini denetleyebilirsiniz. Ayrıca, kuruluşunuzdaki kimlerin sanal ağlardaki kaynaklarla çalışmasını sınırlayabilirsiniz.

Trafik filtreleme

  • Bir ağ güvenlik grubu, ağ trafiğini filtreleyen bir NVA veya her ikisini kullanarak bir sanal ağdaki kaynaklar arasındaki ağ trafiğini filtreleyebilirsiniz. Ağ trafiğini filtrelemek için güvenlik duvarı gibi bir NVA dağıtmak için bkz. Azure Marketi. Bir NVA kullanırken, trafiği alt ağlardan NVA 'ya yönlendirmek için özel yollar da oluşturursunuz. Trafik yönlendirmehakkında daha fazla bilgi edinin.
  • Bir ağ güvenlik grubu, kaynaklara ya da kaynaklardan gelen trafiğe izin veren veya reddeden çeşitli varsayılan güvenlik kuralları içerir. Bir ağ güvenlik grubu bir ağ arabirimiyle, ağ arabiriminin içinde bulunduğu alt ağ veya her ikisi ile ilişkilendirilebilir. Güvenlik kurallarının yönetimini basitleştirmek için, ağ güvenlik grubunu alt ağ içindeki bireysel ağ arabirimleri yerine ayrı alt ağlarla ilişkilendirmeniz önerilir.
  • Bir alt ağ içindeki farklı VM 'lere farklı güvenlik kuralları uygulanmışsa, VM 'deki ağ arabirimini bir veya daha fazla uygulama güvenlik grubu ile ilişkilendirebilirsiniz. Bir güvenlik kuralı, bir uygulama güvenlik grubunu kaynağında, hedefinde veya her ikisinde belirtebilir. Bu kural daha sonra yalnızca uygulama güvenlik grubunun üyesi olan ağ arabirimleri için geçerlidir. Ağ güvenlik grupları ve uygulama güvenlik gruplarıhakkında daha fazla bilgi edinin.
  • Azure, her ağ güvenlik grubu içinde çeşitli varsayılan güvenlik kuralları oluşturur. Bir varsayılan kural, tüm trafiğin bir sanal ağdaki tüm kaynaklar arasında akışa almasına izin verir. Bu davranışı geçersiz kılmak için ağ güvenlik grupları, bir NVA 'ya trafiği yönlendirmek için özel yönlendirme veya her ikisini de kullanın. Azure'ın tüm varsayılan güvenlik kurallarını tanımanız ve bir kaynağa ağ güvenlik grubu kurallarının nasıl uygulandığını anlamanız önerilir.

NVA kullanarak Azure ile İnternet arasında çevre ağı (DMZ olarak da bilinir) uygulamak için örnek tasarımları görüntüebilirsiniz.

Trafik yönlendirme

Azure, bir alt ağdan giden trafik için birkaç varsayılan yol oluşturur. Bir yol tablosu oluşturarak ve bunu bir alt ağ ile bağ oluşturarak Azure'ın varsayılan yönlendirmesini geçersiz kılabilirsiniz. Azure'ın varsayılan yönlendirmeyi geçersiz kılmanın yaygın nedenleri:

  • Alt ağlar arasındaki trafiğin bir NVA üzerinden akmalarını istediğiniz için. NVA üzerinden trafiği zorlamak için rota tablolarını yapılandırma hakkında daha fazla bilgi edinmek için.
  • İnternet'e bağlı tüm trafiği bir Azure VPN ağ geçidi üzerinden bir NVA üzerinden veya şirket içinde zorlamak istediğinizden. İnternet trafiğinin şirket içinde inceleme ve günlüğe kaydetme için zorlanmaları genellikle zorlamalı tünel olarak adlandırılır. Zorlamalı tünel yapılandırma hakkında daha fazla bilgi.

Özel yönlendirmeyi uygulamanız gerekirse, Azure'da yönlendirmeyi tanımanız önerilir.

Bağlantı

Sanal ağ eşlemesi kullanarak bir sanal ağı diğer sanal ağlara veya azure VPN ağ geçidini kullanarak şirket içi ağınıza bağlanabilirsiniz.

Eşleme

Sanal ağ eşlemesi kullanılırken,sanal ağlar aynı veya farklı desteklenen Azure bölgelerinde olabilir. Sanal ağlar aynı veya farklı Azure abonelikleri (hatta farklı kiracılara ait abonelikler) Azure Active Directory olabilir. Eşleme oluşturmadan önce tüm eşleme gereksinimlerini ve kısıtlamalarını tanımanız önerilir. Aynı bölgede eşli sanal ağlarda yer alan kaynaklar arasındaki bant genişliği, kaynakların aynı sanal ağ içinde olmasıyla aynıdır.

VPN ağ geçidi

Siteden siteye VPN VPN Gateway bir sanal ağı şirket içi ağınıza bağlamak veya Azure ExpressRoute ile ayrılmış bir bağlantı kullanmak için Azure VPN Gateway hizmetini kullanabilirsiniz.

Eşlemeyi ve VPN ağ geçidini birleştirerek merkez ve bağlı sunucu ağlarını oluşturabilirsiniz. Burada, bağlı olan sanal ağlar bir merkez sanal ağına bağlanır ve merkez de şirket içi ağa bağlanır.

Ad çözümlemesi

Bir sanal ağ içinde yer alan kaynaklar, Azure'ın yerleşik DNS'sini kullanarak eşli sanal ağ içinde yer alan kaynakların adlarını çözümleyemezse. Eşli bir sanal ağ içinde adları çözümlemek için kendi DNS sunucunuza dağıtınveya özel etki Azure DNS kullanın. Bir sanal ağ ve şirket içi ağlarda kaynaklar arasındaki adları çözümlemek için kendi DNS sunucularınızı da dağıtmanız gerekir.

İzinler

Azure, kaynaklara Azure rol tabanlı erişim denetimi (Azure RBAC) kullanır. İzinler şu hiyerarşide bir kapsama atanır: yönetim grubu, abonelik, kaynak grubu ve tek tek kaynak. Hiyerarşi hakkında daha fazla bilgi edinmek için bkz. Kaynaklarınızı düzenleme. Azure sanal ağlarıyla ve eşleme, ağ güvenlik grupları, hizmet uç noktaları ve yol tabloları gibi tüm ilgili özellikleriyle çalışmak için, kuruluş üyelerini yerleşik Sahip,Katkıda Bulunan veya Ağ katılımcısı rollerine atayabilirsiniz ve ardından rolü uygun kapsama atabilirsiniz. Sanal ağ yeteneklerinin bir alt kümesine belirli izinler atamak için özel bir rol oluşturun ve sanal ağlar, alt ağlar ve hizmet uç noktaları, ağ arabirimleri, eşleme,ağ ve uygulama güvenlik grupları veya yol tabloları için gereken belirli izinleri role at uygun şekilde attayabilirsiniz.

İlke

Azure İlkesi, ilke tanımları oluşturmanızı, atamanızı ve yönetmenizi sağlar. İlke tanımları, kaynaklarınız üzerinde farklı kurallar zorunlu kılınarak kaynakların kurumsal standartlarınız ve hizmet düzeyi sözleşmeleriyle uyumlu kalmasını sağlar. Azure İlkesi değerlendirmesini çalıştırarak sahip olduğu ilke tanımları ile uyumlu olmayan kaynakları tarar. Örneğin, yalnızca belirli bir kaynak grubunda veya bölgede sanal ağ oluşturulmasına izin veren bir ilke tanımlayabilir ve uygulayabilirsiniz. Başka bir ilke, her alt ağ ile ilişkilendirilmiş bir ağ güvenlik grubu gerektirir. Ardından, kaynaklar oluşturulurken ve güncelleştirilerek ilkeler değerlendirilir.

İlkeler şu hiyerarşiye uygulanır: yönetim grubu, abonelik ve kaynak grubu. Tanımları kullanarak Azure İlkesi veya bazı sanal ağ dağıtımları hakkında Azure İlkesi bilgi.

Sonraki adımlar

Sanal ağ, alt ağ ve hizmet uç noktası, ağ arabirimi, eşleme, ağ ve uygulama güvenlik grubu veya yönlendirme tablosu için tüm görevler,ayarlar ve seçenekler hakkında bilgi edinebilirsiniz.