Azure Sanal Ağ hakkında sık sorulan sorular (SSS)

Sanal Ağ temel bilgileri

Azure Sanal Ağ (VNet) nedir?

Azure Sanal Ağ (VNet), buluttaki kendi ağın bir gösterimidir. Azure bulutunun aboneliğinize adanmış mantıksal bir yalıtımıdır. Sanal ağları kullanarak Azure'da sanal özel ağlar (VPN) s sağlama ve yönetme ve isteğe bağlı olarak sanal ağları Azure'daki diğer sanal ağlarla veya şirket içi IT altyapınız ile bağarak karma veya şirket içi çözümler oluşturabilirsiniz. Kendi CIDR bloğuna sahip olan her sanal ağ, CIDR blokları çakışmazken diğer sanal ağlara ve şirket içi ağlara bağlanabilir. Ayrıca VNet'ler için DNS sunucusu ayarlarını ve sanal ağın alt ağlara segmentlere göre bölümlemesini de kontrol edebilirsiniz.

VNet'leri kullanarak:

• Ayrılmış bir yalnızca bulut sanal ağı oluşturun. Bazen çözümünüz için şirket içi ve şirket içi ve şirket içi yapılandırma gerekli değildir. Bir sanal ağ oluşturduklarında, sanal ağ içindeki hizmetleriniz ve VM'ler bulutta birbirleriyle doğrudan ve güvenli bir şekilde iletişim kurabilir. Çözümünüz kapsamında İnternet iletişimi gerektiren VM'ler ve hizmetler için uç nokta bağlantılarını yapılandırmaya devam edersiniz.

• Veri merkezinizi güvenli bir şekilde genişletme. Sanal ağlarla, veri merkezi kapasitenizi güvenli bir şekilde ölçeklendirmek için geleneksel siteden siteye (S2S) VPN'ler kurabilirsiniz. S2S VPN'leri, kurumsal VPN ağ geçidiniz ile Azure arasında güvenli bir bağlantı sağlamak için IPSEC kullanır.

• Hibrit bulut senaryolarını etkinleştirme. VNet'ler size bir dizi hibrit bulut senaryosunu destekleme esnekliği sağlar. Bulut tabanlı uygulamaları ana bilgisayarlar ve Unix sistemleri gibi herhangi bir tür şirket içi sisteme güvenli bir şekilde bağlanabilirsiniz.

Nasıl kullanmaya başlayabilirim?

Çalışmaya başlamanız için Sanal ağ belgelerini ziyaret edin. Bu içerik, tüm sanal ağ özellikleri için genel bakış ve dağıtım bilgileri sağlar.

Şirket içi ve şirket içi bağlantı olmadan sanal ağ kullanabilir miyim?

Evet. Bir sanal ağı şirket içinize bağlamadan kullanabilirsiniz. Örneğin, Microsoft etki alanı denetleyicilerini Windows Server Active Directory ve SharePoint bir Azure sanal a ağı içinde çalıştırabilirsiniz.

Sanal ağ veya sanal ağ ile şirket içi veri merkezim arasında WAN iyileştirmesi gerçekleştirebilirsiniz.

Evet. Wan iyileştirme ağı sanal aletini çeşitli satıcılardan wan iyileştirme ağı sanal gereçleri Azure Market.

Yapılandırma

Sanal ağ oluşturmak için hangi araçları kullanabilirim?

Sanal ağ oluşturmak veya yapılandırmak için aşağıdaki araçları kullanabilirsiniz:

• Azure portal
• PowerShell
• Azure CLI
• Ağ yapılandırma dosyası (netcfg - yalnızca klasik sanal ağlar için). Ağ yapılandırma dosyası kullanarak sanal ağ yapılandırma makalesine bakın.

Sanal ağlarımda hangi adres aralıklarını kullanabilirim?

Özel, yönlendirilebilir olmayan adres alanları için IETF tarafından bir kenara ayarlanmış RFC 1918'denumaralandırmış adres aralıklarını öneririz:

• 10.0.0.0 - 10.255.255.255 (10/8 ön eki)
• 172.16.0.0 - 172.31.255.255 (172.16/12 ön eki)
• 192.168.0.0 - 192.168.255.255 (192.168/16 ön eki)

Diğer adres alanları işe yarayabilirsiniz ancak istenmeyen yan etkileri olabilir.

Ayrıca, aşağıdaki adres aralıklarını ekamazsiniz:

• 224.0.0.0/4 (Çok Noktaya Yayın)
• 255.255.255.255/32 (Yayın)
• 127.0.0.0/8 (Geri Döngü)
• 169.254.0.0/16 (Bağlantı-yerel)
• 168.63.129.16/32 (İç DNS)

Sanal ağlarımda genel IP adresleri olabilir mi?

Evet. Genel IP adresi aralıkları hakkında daha fazla bilgi için bkz. Sanal ağ oluşturma. Genel IP adreslerine İnternet'den doğrudan erişilemez.

Sanal ağımda alt ağ sayısı için bir sınır var mı?

Evet. Ayrıntılar için bkz. Azure sınırları. Alt ağ adres alanları birbiriyle çakışamaz.

Bu alt ağlarda IP adreslerini kullanmayla ilgili herhangi bir kısıtlama var mı?

Evet. Azure, her alt ağ içindeki 5 IP adresini ayırır. Bunlar x.x.x.0-x.x.x.3 ve alt ağın son adresidir. x.x.x.1-x.x.x.3, Azure hizmetleri için her alt ağda ayrılmıştır.

• x.x.x.0: Ağ adresi
• x.x.x.1: Varsayılan ağ geçidi için Azure tarafından ayrılmıştır
• x.x.x.2, x.x.x.3: Azure tarafından ayrılmıştır ve Azure DNS sanal ağ alanıyla eşler
• x.x.x.255: /25 ve daha büyük boyuttaki alt ağlar için ağ yayın adresi. Bu, daha küçük alt ağlarda farklı bir adres olacak.

Sanal ağlar ve alt ağlar ne kadar küçük ve ne kadar büyük olabilir?

Desteklenen en küçük IPv4 alt ağı /29, en büyük alt ağ /2'dir (CIDR alt ağ tanımları kullanılarak). IPv6 alt ağların tam olarak /64 boyutunda olması gerekir.

VNET'leri kullanarak VLAN'lerimi Azure'a getirebilir miyim?

Hayır. VNet'ler Katman 3 katmandır. Azure herhangi bir Katman 2 semantiği desteklemez.

Sanal ağlarımda ve alt ağlarda özel yönlendirme ilkeleri belirte miyim?

Evet. Bir yol tablosu oluşturabilir ve bunu bir alt ağ ile ilişkilendirmek için bu tabloyu oluşturabilirsiniz. Azure'da yönlendirme hakkında daha fazla bilgi için bkz. Yönlendirmeye genel bakış.

VNet'ler çok noktaya yayını veya yayını destekliyor mu?

Hayır. Çok noktaya yayın ve yayın desteklenmiyor.

Sanal ağlarda hangi protokolleri kullanabilirim?

Sanal ağların içinde TCP, UDP ve ICMP TCP/IP protokollerini kullanabilirsiniz. Sanal ağların içinde Tek Noktaya Yayın desteklenir ama Tek Noktaya Yayın üzerinden Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) (kaynak bağlantı noktası UDP/68 / hedef bağlantı noktası UDP/67) ve konak için ayrılmış olan UDP kaynak bağlantı noktası 65330 desteklenmez. Sanal ağların içinde çok noktaya yayın, yanı, IP içinde IP kapsüllenmiş paketleri ve Genel Yol Kapsülleme (GRE) paketleri engellenir.

Bir sanal ağ içindeki varsayılan yönlendiricilerime ping atarak devam miyim?

Hayır.

Bağlantı tanılamak için tracert kullanabilir miyim?

Hayır.

Sanal ağ oluşturulduktan sonra alt ağlar ekleyebilir miyim?

Evet. Alt ağ adres aralığı başka bir alt ağın parçası değil ve sanal ağın adres aralığında kalan kullanılabilir alan olduğu sürece, alt ağlar herhangi bir zamanda sanal ağlara eklenebilir.

Alt ağın boyutunu oluşturduk sonra değiştirebilir miyim?

Evet. Alt ağın içinde dağıtılmış VM'ler veya hizmetler yoksa alt ağı ekleyebilir, kaldırabilir, genişletebilir veya daraltabilirsiniz.

Sanal ağı oluşturduktan sonra değiştirebilir miyim?

Evet. Sanal ağ tarafından kullanılan CIDR bloklarını ekleyebilir, kaldırabilir ve değiştirebilirsiniz.

Hizmetlerimi bir VNet 'te çalıştırdım, internet 'e bağlanabilir miyim?

Evet. Bir sanal ağ içinde dağıtılan tüm hizmetler Internet 'e bağlanabilir. Azure 'da giden internet bağlantıları hakkında daha fazla bilgi edinmek için bkz. giden bağlantılar. Kaynak Yöneticisi aracılığıyla dağıtılan bir kaynağa gelen bağlantı kurmak istiyorsanız, kaynağa atanmış bir genel IP adresi olmalıdır. Genel IP adresleri hakkında daha fazla bilgi için bkz. genel IP adresleri. Azure 'da dağıtılan her Azure bulut hizmetine, kendisine atanmış genel olarak adreslenebilir bir VIP vardır. Bu hizmetlerin İnternet 'ten gelen bağlantıları kabul etmesine olanak tanımak için sanal makinelerin PaaS rolleri ve uç noktaları için giriş uç noktaları tanımlarsınız.

VNET 'ler IPv6 'Yı destekliyor mu?

Evet, sanal ağlar yalnızca IPv4-veya ikili yığın (IPv4 + IPv6) olabilir. Ayrıntılar için bkz. Azure sanal ağları Için IPv6 'Ya genel bakış.

Bir VNet span bölgesi olabilir mi?

Hayır. VNet, tek bir bölgeyle sınırlıdır. Ancak, bir sanal ağ, kullanım alanı kullanılabilirlik bölgelerini de kapsar. Kullanılabilirlik alanları hakkında daha fazla bilgi için bkz. Kullanılabilirlik alanlarına genel bakış. Sanal ağ eşlemesi ile farklı bölgelerdeki sanal ağları bağlayabilirsiniz. Ayrıntılar için bkz. sanal ağ eşlemesine genel bakış

Azure 'da bir sanal ağı başka bir VNet 'e bağlayabilirim miyim?

Evet. Aşağıdakilerden birini kullanarak bir sanal ağı başka bir VNet 'e bağlayabilirsiniz:

• Sanal ağ eşlemesi: Ayrıntılar için bkz. VNET eşlemesi genel bakış
• Azure VPN Gateway: Ayrıntılar için bkz. VNET 'ten VNET 'e bağlantı yapılandırma.

Ad çözümlemesi (DNS)

Sanal ağlar için DNS seçeneklerim nelerdir?

Kullanılabilir tüm DNS seçeneklerinde size rehberlik etmek için VM 'ler ve rol örnekleri Için ad çözümlemesi sayfasında karar tablosunu kullanın.

VNet için DNS sunucularını belirtebilir miyim?

Evet. Sanal ağ ayarlarında DNS sunucusu IP adresleri belirtebilirsiniz. Ayar, VNet 'teki tüm VM 'Ler için varsayılan DNS sunucuları olarak uygulanır.

Kaç DNS sunucusu belirtmem gerekiyor?

Başvuru Azure Limitleri.

Ağı oluşturduktan sonra DNS sunucularımı değiştirebilir miyim?

Evet. Sanal ağınız için DNS sunucusu listesini dilediğiniz zaman değiştirebilirsiniz. DNS sunucusu listenizi değiştirirseniz, yeni DNS ayarlarının etkili olabilmesi için, VNet 'teki tüm etkilenen VM 'lerde bir DHCP kira yenilemesi gerçekleştirmeniz gerekir. Windows işletim sistemi çalıştıran vm 'ler için ipconfig /renew doğrudan VM 'ye yazarak bunu yapabilirsiniz. Diğer işletim sistemi türleri için, belirli işletim sistemi türü için DHCP kira yenileme belgelerine bakın.

Azure tarafından sunulan DNS nedir ve VNET ile birlikte çalışır mı?

Azure tarafından sağlanan DNS, Microsoft tarafından sunulan çok kiracılı bir DNS hizmetidir. Azure, tüm VM 'lerinizi ve bulut hizmeti rol örneklerinizi bu hizmette kaydeder. Bu hizmet, aynı bulut hizmetinde yer alan VM 'Ler ve rol örnekleri için ana bilgisayar adına ve aynı VNet 'teki VM 'Ler ve rol örnekleri için FQDN ile ad çözümlemesi sağlar. DNS hakkında daha fazla bilgi edinmek için bkz. VM 'ler Için ad çözümleme ve rol örnekleri Cloud Services.

Azure tarafından sunulan DNS kullanılarak platformlar arası ad çözümlemesi için bir VNet 'te ilk 100 bulut hizmeti sınırlaması vardır. Kendi DNS sunucunuzu kullanıyorsanız, bu sınırlama uygulanmaz.

DNS ayarlarımı VM başına veya bulut hizmeti temelinde geçersiz kılabilir miyim?

Evet. Varsayılan ağ ayarlarını geçersiz kılmak için, VM veya bulut hizmeti başına DNS sunucuları ayarlayabilirsiniz. Ancak, ağ genelindeki DNS 'yi mümkün olduğunca çok kullanmanız önerilir.

Kendi DNS son ekini getirebilir miyim?

Hayır. Sanal ağlarınız için özel bir DNS soneki belirtemezsiniz.

Sanal makineleri bağlama

VM 'Leri VNet 'e dağıtabilir miyim?

Evet. Kaynak Yöneticisi dağıtım modeliyle dağıtılan bir VM 'ye bağlı tüm ağ arabirimleri (NIC) bir sanal ağa bağlı olmalıdır. Klasik dağıtım modeli aracılığıyla dağıtılan VM 'Ler, isteğe bağlı olarak bir VNet 'e bağlanabilir.

VM 'lere atayabildiğim farklı IP adresi türleri nelerdir?

• Özel: Her VM 'deki her NIC 'ye atanır. Adres static ya da Dynamic yöntemi kullanılarak atanır. Özel IP adresleri, sanal ağınızın alt ağ ayarlarında belirttiğiniz aralıktan atanır. Klasik dağıtım modeliyle dağıtılan kaynaklara, sanal ağa bağlı olmasalar bile özel IP adresleri atanır. Ayırma yönteminin davranışı, bir kaynağın Kaynak Yöneticisi veya klasik dağıtım modeliyle dağıtıldığına bağlı olarak farklılık belirtir:

  • Kaynak Yöneticisi: dinamik veya statik yöntemle atanan özel IP adresi, kaynak silinene kadar bir sanal makineye (Kaynak Yöneticisi) atanmış olarak kalır. Fark, statik kullanırken atanacak adresi seçtiğinizde Azure 'un dinamik kullanılırken seçtiği bir adrestir.
  • Klasik: sanal makine (klasık) VM durdurulmuş (serbest bırakıldı) durumda olduktan sonra yeniden başlatıldığında dinamik yöntemle atanan özel IP adresi değişebilir. Klasik dağıtım modeliyle dağıtılan bir kaynağın özel IP adresinin hiçbir şekilde değişmeyeceğinden emin olmanız gerekiyorsa, statik metoda sahip bir özel IP adresi atayın.

• Ortak: İsteğe bağlı olarak, Azure Resource Manager dağıtım modeliyle dağıtılan VM 'lere bağlı NIC 'lere atanır. Adres, statik veya dinamik ayırma yöntemiyle atanabilir. Klasik dağıtım modeli aracılığıyla dağıtılan tüm VM 'Ler ve Cloud Services rol örnekleri, dinamik, genel sanal IP (VIP) adresi atanmış bir bulut hizmeti içinde bulunur. Ayrılmış IP adresiolarak adlandırılan genel statik IP adresı isteğe bağlı olarak VIP olarak atanabilir. Genel IP adreslerini tek tek VM 'lere atayabilir veya klasik dağıtım modeliyle dağıtılan rol örneklerine Cloud Services. Bu adreslere, örnek düzeyi genel IP (ıLPıP) adresleri denir ve dinamik olarak atanabilir.

Daha sonra oluşturacağınız bir VM için özel IP adresini ayırabilir miyim?

Hayır. Özel bir IP adresi ayıramazsınız. Özel bir IP adresi varsa, DHCP sunucusu tarafından bir VM veya rol örneğine atanır. VM, özel IP adresinin atanmasını istediğiniz bir tane olabilir veya olmayabilir. Bununla birlikte, zaten oluşturulmuş bir VM 'nin özel IP adresini kullanılabilir bir özel IP adresine değiştirebilirsiniz.

VNet 'teki VM 'Ler için özel IP adresleri değişikliği yapılsın mı?

Duruma göre değişir. VM Kaynak Yöneticisi üzerinden dağıtılmışsa, IP adresinin statik veya dinamik ayırma yöntemiyle atanıp atanmadığına bakılmaksızın, hayır. VM, klasik dağıtım modeli üzerinden dağıtılmışsa, bir VM durdurulmuş (serbest bırakıldı) durumda olduktan sonra başlatıldığında dinamik IP adresleri değişebilir. Adres, VM silindiğinde dağıtım modeli aracılığıyla dağıtılan bir VM 'den serbest bırakılır.

IP adreslerini VM işletim sistemi içindeki NIC 'lere el ile atayabilir miyim?

Evet, ancak bir sanal makineye birden çok IP adresi atarken olduğu gibi gerekmedikçe bu önerilmez. Ayrıntılar için bkz. sanal makineye birden çok IP adresi ekleme. Bir sanal makineye bağlı bir Azure NIC 'sine atanan IP adresi değişirse ve VM işletim sistemi içindeki IP adresi farklıysa, VM bağlantısı kaybedilir.

Bir bulut hizmeti dağıtım yuvasını durdurur veya bir VM 'yi işletim sistemi içinden kapatırsanız, IP Adreslerime ne olur?

Hiçbir şey. IP adresleri (genel VIP, genel ve özel), bulut hizmeti dağıtım yuvasına veya VM 'ye atanmaya devam eder.

VM 'Leri yeniden dağıtmaya gerek kalmadan bir alt ağdan başka bir alt ağa taşıyabilir miyim?

Evet. BIR VM veya rol örneğini farklı bir alt ağa taşıma hakkında daha fazla bilgi edinebilirsiniz.

VM 'im için statik bir MAC adresi yapılandırabilir miyim?

Hayır. MAC adresi statik olarak yapılandırılamaz.

MAC adresi, VM 'imde oluşturulduktan sonra aynı kalır mi?

Evet, MAC adresi, silinene kadar hem Kaynak Yöneticisi hem de klasik dağıtım modelleriyle dağıtılan bir VM için aynı kalır. Daha önce, VM durdurulmuşsa (serbest bırakıldı), MAC adresi serbest bırakılır, ancak artık VM serbest bırakılmış durumdaysa bile MAC adresi korunur. Ağ arabirimi silinene veya birincil ağ arabiriminin birincil IP yapılandırmasına atanan özel IP adresi değiştirilene kadar MAC adresi ağ arabirimine atanmış olarak kalır.

Sanal ağdaki bir VM'den İnternet'e bağlanamıyor musunuz?

Evet. Bir sanal ağ içinde Cloud Services tüm VM'ler ve sanal ağ rol örnekleri İnternet'e bağlanabilirsiniz.

Sanal ağlara bağlanan Azure hizmetleri

Sanal ağ ile Azure App Service Web Apps kullanabilir miyim?

Evet. AsE Web Apps (App Service Ortamı) kullanarak bir sanal ağ içinde sanal ağ dağıtabilir, sanal ağ tümleştirmesi ile uygulama arka uçlarınızı sanal ağlara bağabilir ve hizmet uç noktalarıyla uygulamanıza gelen trafiği kilitlersiniz. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

• App Service ağ özellikleri
• Bir Web Apps içinde App Service Ortamı
• Uygulamanızı bir Azure Sanal Ağı ile tümleştirme
• App Service kısıtlamaları

Bir sanal Cloud Services web ve çalışan rolleri (PaaS) ile sanal ağ dağıtıyor olabilir miyim?

Evet. Sanal ağların içindeki rol Cloud Services (isteğe bağlı olarak) dağıtın. Bunu yapmak için hizmet yapılandırmanın ağ yapılandırması bölümünde sanal ağ adını ve rol/alt ağ eşlemelerini belirtirsiniz. Herhangi bir ikili güncelleştirmeyi gerek yok.

Bir sanal makine ölçek kümesine sanal ağ bağ miyim?

Evet. Sanal makine ölçek kümesine sanal ağ bağlamanız gerekir.

Bir sanal ağdan kaynak dağıtan Azure hizmetlerinin tam listesi var mı?

Evet, Ayrıntılar için bkz. Azure hizmetleri için sanal ağ tümleştirmesi.

Sanal ağdan Azure PaaS kaynaklarına erişimi nasıl kısıt bilmiyorum?

Bazı Azure PaaS hizmetleri (Azure Depolama ve Azure SQL Veritabanı gibi) aracılığıyla dağıtılan kaynaklar, sanal ağ hizmet uç noktalarını veya sanal ağ uç noktalarını kullanarak sanal ağa Azure Özel Bağlantı. Ayrıntılar için bkz. Sanal ağ hizmet uç noktalarına genel bakış,Azure Özel Bağlantı genel bakış

Hizmetlerimi sanal ağlara veya sanal ağlardan dışarı taşımam gerekir mi?

Hayır. Hizmetleri sanal ağlara ve sanal ağlardan dışarı taşıyamazsiniz. Bir kaynağı başka bir VNet'e taşımak için kaynağı silmeniz ve yeniden atamanız gerekir.

Güvenlik

Sanal ağların güvenlik modeli nedir?

VNet'ler, azure altyapısında barındırılan diğer hizmetlerden ve diğer hizmetlerden yalıtılmış olur. Sanal ağ bir güven sınırıdır.

Gelen veya giden trafik akışını sanal ağa bağlı kaynaklarda kısıtlar musunuz?

Evet. Ağ Güvenlik Gruplarını bir sanal ağ içindeki tek tek alt ağlara, bir VNet'e bağlı NIC'lere veya her iki ağa da uygulayabilirsiniz.

Sanal ağa bağlı kaynaklar arasında güvenlik duvarı uygulamam gerekir mi?

Evet. Güvenlik duvarı ağı sanal aletini çeşitli satıcılardan güvenlik duvarı Azure Market.

Sanal ağların güvenliğini sağlama hakkında bilgi var mı?

Evet. Ayrıntılar için bkz. Azure Ağ Güvenliğe Genel Bakış.

Sanal Ağlar müşteri verilerini depolar mı?

Hayır. Sanal Ağlar hiçbir müşteri verisi depolamaz.

Aboneliğin tamamı için FlowTimeoutInMinutes özelliğini ayarlamam gerekir mi?

Hayır. Bu, sanal ağ üzerinden ayar olmalıdır. Aşağıdakiler, daha büyük abonelikler için bu özelliği ayarlamayı otomatikleştirmeye yardımcı olabilir:

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to enable tracking, or null to disable tracking. $null to disable. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API'ler, şemalar ve araçlar

Sanal ağları koddan yönetebilir miyim?

Evet. Sanal ağlarda REST API'leri, Azure Resource Manager dağıtım modellerinde kullanabilirsiniz.

VNet'ler için araç desteği var mı?

Evet. Kullanma hakkında daha fazla bilgi edinmek için:

• Sanal Azure portal ve klasik dağıtım modellerinde sanal Azure Resource Manager dağıtabilirsiniz.
• Sanal ağ ve klasik dağıtım modellerinde dağıtılan sanal Resource Manager yönetmek için PowerShell.
• Sanal ağ ve klasik dağıtım modellerinde dağıtılan sanal ağları dağıtmak ve yönetmek için Azure komut Resource Manager arabirimi (CLI).

VNet eşlemesi

VNet eşlemesi nedir?

VNet eşlemesi (veya sanal ağ eşlemesi), sanal ağları bağlamanıza olanak sağlar. Sanal ağlar arasındaki sanal ağ eşleme bağlantısı, aralarındaki trafiği IPv4 adresleri üzerinden özel olarak yönlendirmeye olanak sağlar. Eşli sanal ağlarda bulunan sanal makineler, aynı ağ içinde gibi birbirleriyle iletişim kurabilir. Bu sanal ağlar aynı bölgede veya farklı bölgelerde (Genel Sanal Ağ Eşlemesi olarak da bilinir) olabilir. Azure abonelikleri arasında sanal ağ eşleme bağlantıları da oluşturulabilir.

Farklı bir bölgedeki sanal ağ ile eşleme bağlantısı oluşturabilir miyim?

Evet. Genel VNet eşlemesi, farklı bölgelerdeki sanal ağları eşlemeye olanak sağlar. Küresel sanal ağ eşlemesi tüm Azure genel bölgelerinde, Çin bulut bölgelerinde ve Kamu bulut bölgelerinde kullanılabilir. Azure genel bölgelerinden ulusal bulut bölgelerine genel olarak eş olamaz.

Genel Sanal Ağ Eşlemesi ve Yük Dengeleri ile ilgili kısıtlamalar nedir?

İki farklı bölgede bulunan iki sanal ağ Genel Sanal Ağ Eşlemesi üzerinden eşli ise, temel ağların arkasındaki kaynaklara, Load Balancer'nin Ön Uç IP'sini kullanarak Load Balancer. Bu kısıtlama bir Standart Load Balancer. Aşağıdaki kaynaklar Temel Load Balancer'ları kullanabilir ve bu da Load Balancer Sanal Ağ Eşlemesi üzerinden Load Balancer'nin Ön Uç IP'sini kullanarak ulaşamayabilirsiniz. Ancak, izin verilirse genel sanal ağ eşlemesini kullanarak kaynaklara özel sanal ağ IP'leri üzerinden doğrudan ulaşabilirsiniz.

• Temel Yük Dengecilerin arkasındaki VM'ler
• Temel Load Balancer'lar ile sanal makine ölçek kümeleri
• Redis Cache
• Application Gateway (v1) SKU
• Service Fabric
• API Management (stv1)
• Active Directory Etki Alanı Hizmeti (ADDS)
• Logic Apps
• HDInsight
• Azure Batch
• App Service Ortamı

Bu kaynaklara, Sanal Ağ Geçitleri aracılığıyla ExpressRoute veya Sanal Ağdan Sanal Ağa bağlantı kurarak bağlanın.

Sanal ağlarım farklı kiracılar içindeki aboneliklere aitse VNet Eşlemeyi Azure Active Directory miyim?

Evet. Abonelikleriniz farklı kiracılara aitse VNet Eşlemesi (yerel veya küresel) Azure Active Directory mümkündür. Bunu Portal, PowerShell veya CLI aracılığıyla da kullanabilirsiniz.

Sanal ağ eşleme bağlantım Başlatıldı durumda, neden bağlanamıyor?

Eşleme bağlantınız Başlatıldı durumda ise yalnızca bir bağlantı oluşturduğunuz anlamına gelir. Başarılı bir bağlantı kurmak için çift yönlü bağlantı oluşturularak. Örneğin, A sanal asını VNet B ile eşlemek için VNetA'dan VNetB'ye ve VNetB'den VNetA'ya bir bağlantı oluşturularak. Her iki bağlantının da oluşturulması durumu Bağlı olarak değiştirir.

Sanal ağ eşleme bağlantım Bağlantısı kesildi, neden eşleme bağlantısı oluşturılamıyor?

Sanal ağ eşleme bağlantınız Bağlantısı kesildi durumda ise, oluşturulan bağlantılardan birinin silinmiş olduğu anlamına gelir. Bir eşleme bağlantısını yeniden kurmak için bağlantıyı silip yeniden oluşturmanız gerekir.

VNET 'umu farklı bir abonelikte VNet 'e eşleyebilir miyim?

Evet. Abonelikler arasında ve bölgeler arasında sanal ağlar oluşturabilirsiniz.

Eşleşen veya çakışan adres aralıkları ile iki sanal ağı eşleyebilir miyim?

Hayır. VNet eşlemesini etkinleştirmek için adres alanları çakışmamalıdır.

Her iki eşleme üzerinde de ' uzak ağ geçidini kullan ' seçeneği etkin olan iki farklı VNet 'e sahip olabilir miyim?

Hayır. Sanal ağlardan birine bir eşleme üzerinde yalnızca ' uzak ağ geçidini kullan ' seçeneğini etkinleştirebilirsiniz.

VNet eşleme bağlantı maliyeti ne kadar?

VNet eşleme bağlantısı oluşturmak için ücret alınmaz. Eşleme bağlantıları arasında veri aktarımı ücretlendirilir. Buraya bakın.

VNet eşleme trafiği şifrelendi mı?

Azure trafiği, veri merkezleri arasında (Microsoft veya Microsoft tarafından denetlenmeden fiziksel sınırlar dışında) taşınırsa, arka plandaki Ağ donanımında MACsec veri bağlantısı katmanı şifrelemesi kullanılır. Bu, VNet eşleme trafiği için geçerlidir.

Neden eşleme bağlantıdır bağlantısı kesik durumda?

VNET eşleme bağlantıları, bir VNet eşleme bağlantısı silindiğinde bağlantısı kesik duruma geçer. Başarılı bir eşleme bağlantısını yeniden kurmak için her iki bağlantıyı da silmelisiniz.

VNetB ve I eşi vnetb 'ye eş ağlarım varsa, bu, VNetA ve VNetC 'nin eşlenme anlamına gelir.

Hayır. Geçişli eşleme desteklenmiyor. Bunun gerçekleşmesi için VNET ve VNetC eşdüzey olmalıdır.

Eşleme bağlantıları için herhangi bir bant genişliği sınırlaması var mı?

Hayır. Yerel veya genel olan VNet eşlemesi, herhangi bir bant genişliği kısıtlaması uygulamaz. Bant genişliği yalnızca VM veya işlem kaynağı tarafından sınırlandırılır.

VNet eşleme sorunlarını nasıl giderebilirim?

Deneyebileceğiniz bir sorun giderici Kılavuzu aşağıda verilmiştir.

Sanal ağ TAP

Sanal ağ dokunarak hangi Azure bölgeleri kullanılabilir?

Sanal ağ dokunma önizleme tüm Azure bölgelerinde kullanılabilir. İzlenen ağ arabirimleri, sanal ağ kaynağı ' na dokunun ve toplayıcı ya da analiz çözümünün aynı bölgede dağıtılması gerekir.

Sanal ağ dokunma, yansıtılmış paketlerde herhangi bir filtreleme özelliğini destekliyor mu?

Filtre özellikleri sanal ağ Önizleme ' ye dokunarak desteklenmez. Bir dokunma yapılandırması ağ arabirimine eklendiğinde, ağ arabirimindeki tüm giriş ve çıkış trafiğinin ayrıntılı bir kopyası, dokunma hedefine akışla kaydedilir.

İzlenen bir ağ arabirimine birden çok dokunma yapılandırmasına izin eklenebilir mi?

İzlenen bir ağ arabirimi yalnızca bir dokunma yapılandırmasına sahip olabilir. DOKUNMA trafiğinin birden çok kopyasını istediğiniz analiz araçlarına akışını sağlamak için bağımsız bir iş ortağı çözümüne danışın.

Aynı sanal ağ, birden fazla sanal ağdaki izlenen ağ arabirimlerinden kaynak toplu trafiğine DOKUNABILIR mi?

Evet. Aynı abonelikte veya farklı bir abonelikte eşlenmiş sanal ağlardaki izlenen ağ arabirimlerinden yansıtılmış trafiği toplamak için aynı sanal ağ dokunma kaynağı kullanılabilir. Sanal ağ dokunma kaynağı ve hedef yük dengeleyici veya hedef ağ arabirimi aynı abonelikte olmalıdır. tüm abonelikler aynı Azure Active Directory kiracısında olmalıdır.

Bir ağ arabirimindeki bir sanal ağ yapılandırmasına izin etkinleştirdiğimde üretim trafiği üzerinde herhangi bir performans konusunda dikkate alınması gereken noktalar var mı?

Sanal ağ dokunma önizlemededir. Önizleme süresince hizmet düzeyi sözleşmesi yoktur. Yetenek, üretim iş yükleri için kullanılmamalıdır. Bir sanal makine ağ arabirimi bir dokunma yapılandırması ile etkinleştirildiğinde, Azure ana bilgisayarında üretim trafiğini göndermek için ayrılan kaynaklar, yansıtma işlevini gerçekleştirmek ve yansıtılan paketleri göndermek için kullanılır. sanal makinenin üretim trafiğini ve yansıtmalı trafiği gönderebilmesi için yeterli kaynak olduğundan emin olmak için doğru Linux veya Windows sanal makine boyutunu seçin.

Linux için hızlandırılmış ağ veya Windows sanal ağ dokunarak destekleniyor mu?

Hızlandırılmış ağ ile etkinleştirilen bir sanal makineye bağlı bir ağ arabirimine bir dokunma yapılandırması ekleyebileceksiniz. Ancak, yansıtma trafiği için yük boşaltma Şu anda Azure hızlandırılmış ağ tarafından desteklenmediğinden, sanal makinedeki performans ve gecikme süresi, bir dokunma yapılandırması eklenerek etkilenecektir.

Sanal ağ hizmet uç noktaları

Hizmet uç noktalarını bir Azure hizmetine ayarlamaya yönelik işlemlerin doğru sırası nedir?

Hizmet uç noktaları aracılığıyla bir Azure hizmet kaynağını güvenli hale getirmek için iki adım vardır:

1. Azure hizmeti için hizmet uç noktalarını açın.
2. Azure hizmetinde VNet ACL 'Lerini ayarlayın.

İlk adım bir ağ tarafı işlemidir ve ikinci adım bir hizmet kaynak tarafı işlemidir. Her iki adım da yönetici rolüne verilen Azure RBAC izinlerine bağlı olarak aynı yönetici veya farklı yöneticiler tarafından gerçekleştirilebilir. Azure hizmet tarafında VNet ACL 'Lerini ayarlamadan önce sanal ağınızın hizmet uç noktalarını etkinleştirmenizi öneririz. Bu nedenle, adımların VNet hizmet uç noktalarını ayarlamak için yukarıda listelenen sırayla gerçekleştirilmesi gerekir.

bazı hizmetler (SQL ve cosmosdb gibi), ıgnoremissingvnetserviceendpoint bayrağıyla yukarıdaki sırada özel durumlara izin verir. Flag değeri true olarak ayarlandığında, ağ tarafında hizmet uç noktaları ayarlamadan önce Azure hizmet tarafında VNET ACL 'leri ayarlanabilir. Azure Hizmetleri, belirli IP güvenlik duvarlarının Azure hizmetlerinde yapılandırıldığı ve ağ tarafında hizmet uç noktalarının açık olduğu ve kaynak IP ortak bir IPv4 adresinden özel bir adrese değiştiği için bir bağlantı bırakmaya neden olabilecek müşterilere yardımcı olmak için bu bayrağı sunar. Ağ tarafında hizmet uç noktaları ayarlamadan önce Azure hizmet tarafında VNet ACL 'Lerinin kurulması bağlantı kesmesinden kaçınılmasını sağlayabilir.

Tüm Azure hizmetleri müşteri tarafından sunulan Azure sanal ağında mi var? VNet hizmeti uç noktası Azure hizmetleriyle nasıl çalışır?

Hayır, tüm Azure hizmetleri müşterinin sanal ağında yer alır. azure Depolama, azure SQL ve Azure Cosmos DB gibi azure veri hizmetlerinin çoğu, genel ıp adreslerinden erişilebilen çok kiracılı hizmetlerdir. Azure hizmetleri için sanal ağ tümleştirmesi hakkında buradandaha fazla bilgi edinebilirsiniz.

VNet hizmet uç noktaları özelliğini kullandığınızda (ağ tarafında VNet hizmet uç noktasını açıp Azure hizmet tarafında uygun VNet ACL 'Lerini ayarlarken), bir Azure hizmetine erişim izin verilen VNet ve alt ağ ile kısıtlanır.

VNet hizmeti uç noktası güvenlik nasıl sağlanır?

VNet hizmeti uç noktası özelliği (ağ tarafında VNet hizmet uç noktasını açma ve Azure hizmet tarafında uygun VNet ACL 'Lerini ayarlama), Azure hizmeti erişimini izin verilen VNet ve alt ağa göre sınırlandırır ve bu sayede Azure hizmet trafiğinin bir ağ düzeyi güvenliği ve yalıtımının sağlanması sağlanır. VNet hizmet uç noktalarını kullanan tüm trafik Microsoft omurga üzerinden akar ve bu sayede genel İnternet 'ten başka bir yalıtım katmanı sağlar. Ayrıca, müşteriler, Azure hizmet kaynaklarına genel Internet erişimini tamamen kaldırmayı ve IP güvenlik duvarı ve VNet ACL 'Leri aracılığıyla yalnızca sanal ağınızdan gelen trafiğe izin vermeyi seçebilir ve bu sayede Azure hizmet kaynaklarını yetkisiz erişimden koryükleyebilir.

VNet hizmeti uç noktası koruma-VNet kaynakları veya Azure hizmeti nedir?

VNet hizmet uç noktaları, Azure hizmet kaynaklarını korumanıza yardımcı olur. VNet kaynakları ağ güvenlik grupları (NSG 'ler) ile korunur.

VNet hizmet uç noktalarını kullanmak için herhangi bir maliyet var mı?

Hayır, VNet hizmet uç noktalarının kullanılmasına yönelik ek bir maliyet yoktur.

Sanal ağ ve Azure hizmet kaynakları farklı aboneliklere aitse VNet hizmet uç noktalarını açabilir ve VNet ACL 'Lerini ayarlayabilirim miyim?

Evet, olabilir. Sanal ağlar ve Azure hizmet kaynakları aynı ya da farklı aboneliklerde olabilir. Tek gereksinim, hem sanal ağ hem de Azure hizmet kaynaklarının aynı Active Directory (AD) kiracısı altında olması gerekir.

Sanal ağ ve Azure hizmet kaynakları farklı AD kiracılarına aitse VNet hizmet uç noktalarını açıp VNet ACL 'Lerini ayarlayabilirim miyim?

evet, Azure Depolama ve Azure Key Vault için hizmet uç noktaları kullanılırken mümkündür. Hizmetler 'in geri kalanı için, VNet hizmet uç noktaları ve VNet ACL 'Leri AD kiracılar arasında desteklenmez.

Azure sanal ağ geçidi (VPN) veya ExpressRoute ağ geçidi üzerinden bağlı olan bir şirket içi cihazın IP adresi, VNet hizmet uç noktaları üzerinden Azure PaaS hizmeti 'ne erişebilir mi?

Varsayılan olarak sanal ağlara ayrılmış olan Azure hizmeti kaynaklarına şirket içi ağlardan erişmek mümkün değildir. Şirket içinden gelen trafiğe izin vermek istiyorsanız şirket içi veya ExpressRoute 'un genel (genellikle NAT) IP adreslerine de izin vermeniz gerekir. Bu IP adresleri, Azure hizmet kaynakları için IP güvenlik duvarı yapılandırması üzerinden eklenebilir.

Azure hizmetini bir sanal ağ içindeki veya birden çok sanal ağ arasında birden çok alt ağa güvenli hale getirmek için VNet hizmeti uç noktası özelliğini kullanabilir miyim?

Azure hizmetlerinin bir sanal ağ içindeki veya birden çok sanal ağ arasında birden çok alt ağa güvenliğini sağlamak için, alt ağların her birinde ağ tarafında bulunan hizmet uç noktalarını bağımsız olarak etkinleştirin ve ardından Azure hizmet tarafında uygun VNet ACL 'Leri ayarlayarak Azure hizmet kaynaklarını tüm alt ağlara koruyun.

Bir sanal ağdan Azure hizmetlerine giden trafiği filtreleyip hizmet uç noktalarını kullanmaya devam edebilir miyim?

Bir sanal ağdan bir Azure hizmetine giden trafiği incelemek veya filtrelemek istiyorsanız, sanal ağ içinde bir ağ sanal gereci dağıtabilirsiniz. Daha sonra hizmet uç noktalarını ağ sanal ağın dağıtılacağı alt ağa uygulayabilir ve Azure hizmet kaynaklarını sanal ağ ACL'leri aracılığıyla yalnızca bu alt ağa güvenli hale uygulayabilirsiniz. Bu senaryo, ağ sanal gereç filtrelemesi kullanarak Azure hizmet erişimini sanal ağınıza yalnızca belirli Azure kaynaklarıyla kısıtlamak isterseniz de yararlı olabilir. Daha fazla bilgi için bkz. Ağ sanal gereçleri ile çıkış.

Sanal ağ dışından etkinleştirilmiş bir sanal ağ erişim denetim listesi (ACL) olan bir Azure hizmet hesabına erişildiğinde ne olur?

HTTP 403 veya HTTP 404 hatası döndürülür.

Farklı bölgelerde oluşturulan bir sanal ağın alt ağlarının başka bir bölgedeki Azure hizmet hesabına erişmesine izin veriliyor mu?

Evet, Azure hizmetlerinin çoğunda, farklı bölgelerde oluşturulan sanal ağlar sanal ağ hizmet uç noktaları üzerinden başka bir bölgedeki Azure hizmetlerine erişebilirsiniz. Örneğin, bir Azure Cosmos DB hesabı Batı ABD veya Doğu ABD ve sanal ağlar birden çok bölgede yer alırsa, sanal ağ Azure Cosmos DB'ye erişebilirsiniz. Depolama SQL özel durumlardır ve doğası gereği bölgeseldir ve hem sanal ağın hem de Azure hizmetinin aynı bölgede olması gerekir.

Bir Azure hizmetinin hem sanal ağ ACL'si hem de IP güvenlik duvarı olabilir mi?

Evet, sanal ağ ACL'sini ve IP güvenlik duvarını birlikte bulundurabilirsiniz. Yalıtım ve güvenlik sağlamak için her iki özellik de birbirini tamamlar.

Azure hizmeti için hizmet uç noktası açık olan bir sanal ağı veya alt ağı silerken ne olur?

Sanal ağların ve alt ağların silinmesi bağımsız işlemlerdir ve Azure hizmetleri için hizmet uç noktaları açık olduğunda bile desteklenir. Azure hizmetlerinin sanal ağ ACL'leri ayarlanmış olduğu durumlarda, bu sanal ağlar ve alt ağlar için, sanal ağ hizmet uç noktası açık olan bir sanal ağ veya alt ağ silindiğinde bu Azure hizmetiyle ilişkili VNet ACL bilgileri devre dışı bırakılır.

Sanal Ağ Hizmet uç noktasının etkin olduğu bir Azure hizmet hesabı silinirse ne olur?

Azure hizmet hesabının silinmesi bağımsız bir işlemdir ve ağ tarafında hizmet uç noktası etkinleştirildiğinde ve Sanal Ağ ACL'leri Azure hizmet tarafında ayarlanmış olsa bile de desteklenir.

Sanal ağ hizmet uç noktasının etkin olduğu bir kaynağın (bir alt ağdaki VM gibi) kaynak IP adresine ne olur?

Sanal ağ hizmet uç noktaları etkinleştirildiğinde, sanal ağ alt ağınız içinde yer alan kaynakların kaynak IP adresleri genel IPV4 adreslerinden Azure hizmetine gelen trafik için Azure sanal ağının özel IP adreslerine geçiş yapıyor. Bunun, Daha önce Azure hizmetlerde genel IPV4 adresine ayarlanmış belirli IP güvenlik duvarlarında hataya neden olduğunu unutmayın.

Hizmet uç noktası yolu her zaman öncelikli mi?

Hizmet uç noktaları, BGP yollarına göre öncelikli olan ve hizmet uç noktası trafiği için en uygun yönlendirmeyi sağlayan bir sistem yolu ekler. Hizmet uç noktaları hizmet trafiğini her zaman doğrudan sanal ağdan omurga ağının Microsoft Azure alır. Azure'ın yol seçmesi hakkında daha fazla bilgi için bkz. Azure Sanal ağ trafiği yönlendirme.

Hizmet uç noktaları ICMP ile çalışır mı?

Hayır, hizmet uç noktalarının etkin olduğu bir alt ağdan gelen ICMP trafiği, hizmet tüneli yolunu istenen uç noktasına almaz. Hizmet uç noktaları yalnızca TCP trafiğini işler. Bu, hizmet uç noktaları aracılığıyla bir uç noktanın gecikme süresini veya bağlantısını test etmek için ping ve tracert gibi araçların alt ağ içindeki kaynakların gerçek yolunu göstermeyecek olduğu anlamına gelir.

Bir alt ağ üzerinde NSG hizmet uç noktalarıyla nasıl çalışır?

Azure hizmetine ulaşmak için NSG'lerin giden bağlantılara izin vermeleri gerekir. NSG'leriniz tüm İnternet giden trafiğine açıksa hizmet uç noktası trafiği çalışır. Giden trafiği yalnızca Hizmet etiketlerini kullanarak hizmet IP'leri ile sınırlandırabilirsiniz.

Hizmet uç noktalarını ayarlamak için hangi izinlere ihtiyacım var?

Hizmet uç noktaları, sanal ağa yazma erişimi olan bir kullanıcı tarafından bir sanal ağ üzerinde bağımsız olarak yalıtılabilir. Azure hizmet kaynaklarını bir sanal ağ ile güvenli hale almak için kullanıcının eklenen alt ağlar için Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action iznine sahip olması gerekir. Bu izin varsayılan olarak yerleşik hizmet yöneticisi rolüne dahil edilir ve özel roller oluşturarak değiştirilebilir. Yerleşik roller ve özel rollere belirli izinlerin atanması hakkında daha fazla bilgi edinin.

Sanal ağ hizmet uç noktaları üzerinden yalnızca belirli Azure hizmet kaynaklarına izin vererek Azure hizmetleri için sanal ağ trafiğini filtreleye miyim?

Sanal ağ (VNet) hizmet uç noktası ilkeleri, Azure hizmetleri için sanal ağ trafiğini filtrelemeye olanak sağlayarak hizmet uç noktaları üzerinden yalnızca belirli Azure hizmet kaynaklarına izin verir. Uç nokta ilkeleri, sanal ağ trafiğinden Azure hizmetlerine ayrıntılı erişim denetimi sağlar. Hizmet uç noktası ilkeleri hakkında daha fazla bilgi için buraya bakabilirsiniz.

Sanal Azure Active Directory (Azure AD) sanal ağ hizmet uç noktalarını destekliyor mu?

Azure Active Directory (Azure AD) hizmet uç noktalarını yerel olarak desteklemez. Sanal ağ hizmet uç noktalarını destekleyen Azure Hizmetlerinin tam listesi burada görülebilir. Hizmet uç noktalarını destekleyen hizmetler altında listelenen "Microsoft.AzureActiveDirectory" etiketinin ADLS 1. Nesil'e yönelik hizmet uç noktalarını desteklemek için kullanılacı olduğunu unutmayın. ADLS 1. Nesil için Azure Data Lake Depolama 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinin içinde ek güvenlik talepleri oluşturmak üzere sanal ağınız ile Azure Active Directory (Azure AD) arasında sanal ağ hizmet uç noktası güvenliğini kullanır. Ardından bu talepler sanal ağınız için Data Lake Storage 1. Nesil hesabınızda kimlik doğrulaması gerçekleştirme ve erişim izni verme amacıyla kullanılır. Azure Sanal Ağ Tümleştirmesi Data Lake Store 1. Nesil hakkında daha fazla bilgi edinin

Sanal ağımdan kaç sanal ağ hizmet uç noktası ayarlay bilmiyorum?

Bir sanal ağdaki sanal ağ hizmet uç noktalarının toplam sayısına bir sınır yoktur. Azure hizmet kaynağı (Azure Depolama hesabı gibi) için hizmetler, kaynağın güvenliğini sağlamak için kullanılan alt ağ sayısına yönelik sınırları zorlar. Aşağıdaki tabloda bazı örnek limitler yer alır: