VPN Gateway topolojisi ve tasarımı
VPN Gateway bağlantıları için birçok farklı yapılandırma seçeneği vardır. Gereksinimlerinizi karşılayan bağlantı topolojisini seçmenize yardımcı olması için aşağıdaki bölümlerde yer alan diyagramları ve açıklamaları kullanın. Diyagramlar ana temel topolojileri gösterir, ancak diyagramları kılavuz olarak kullanarak daha karmaşık yapılandırmalar oluşturmak mümkündür.
Siteler arası VPN
Siteden siteye (S2S) VPN ağ geçidi bağlantısı, IPsec/IKE (IKEv1 veya IKEv2) VPN tüneli üzerinden yapılan bir bağlantıdır. Siteden siteye bağlantılar, şirket içi ve şirket dışı karışık yapılandırmalar ile karma yapılandırmalar için kullanılabilir. Siteden siteye bağlantı, şirket içinde bulunan ve kendisine atanmış bir genel IP adresi olan bir VPN cihazı gerektirir. VPN cihazı seçme hakkında daha fazla bilgi için bkz. VPN Gateway SSS - VPN cihazları.
VPN Gateway, bir genel IP kullanılarak etkin bekleme modunda veya iki genel IP kullanılarak etkin-etkin modda yapılandırılabilir. Etkin bekleme modunda, bir IPsec tüneli etkindir ve diğer tünel beklemededir. Bu kurulumda, trafik etkin tünelden akar ve bu tünelde bir sorun olursa, trafik bekleme tüneline geçer. VPN Gateway'in etkin-etkin modda ayarlanması önerilir ve her iki IPsec tüneli de aynı anda etkindir ve her iki tünelden de aynı anda veri akışı yapılır. Etkin-etkin modun bir diğer avantajı da müşterilerin daha yüksek aktarım hızına sahip olmasıdır.
Sanal ağ geçidinizden, genellikle birden çok şirket içi siteye bağlanarak birden fazla VPN bağlantısı oluşturabilirsiniz. Birden fazla bağlantıyla çalışırken Yol Tabanlı VPN türü (klasik sanal ağlar ile çalışırken “dinamik ağ geçidi” adıyla kullanılır) kullanmanız gerekir. Her sanal ağın yalnızca bir VPN ağ geçidi olabileceğinden, ağ geçidi boyunca tüm bağlantılar mevcut bant genişliğini paylaşır. Bu bağlantı türü bazen "çok siteli" bağlantı olarak adlandırılır.
S2S için dağıtım modelleri ve yöntemleri
| Dağıtım modeli/yöntemi | Azure portalı | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Öğretici | Öğretici | Öğretici |
| Klasik (eski dağıtım modeli) | Öğretici** | Öğretici | Desteklenmiyor |
( ** ) bu yöntemin PowerShell gerektiren adımlar içerdiğini gösterir.
Noktadan siteye VPN
Noktadan siteye (P2S) VPN ağ geçidi bağlantıları, bağımsız bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı kurmanıza olanak sağlar. Noktadan siteye bağlantı, istemci bilgisayardan başlatılarak kurulur. Bu çözüm, Azure Sanal Ağlarına uzak bir konumdan (örneğin, evden veya bir konferanstan) bağlanmak isteyen uzaktan çalışan kişiler için kullanışlıdır. Noktadan siteye VPN, sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda siteden siteye VPN yerine kullanmak için kullanışlı bir çözümdür.
Siteden siteye bağlantılardan farklı olarak noktadan siteye bağlantılar için şirket içi genel kullanıma yönelik IP adresi veya VPN cihazı gerekmez. Her iki bağlantının tüm yapılandırma gereksinimleri uyumlu olduğu sürece noktadan siteye bağlantılar aynı VPN ağ geçidi üzerinden siteden siteye bağlantılarla kullanılabilir. Noktadan siteye bağlantılar hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.
P2S için dağıtım modelleri ve yöntemleri
| Azure yerel sertifika doğrulaması | Dağıtım modeli/yöntemi | Azure portalı | PowerShell |
|---|---|---|---|
| Resource Manager | Öğretici | Öğretici | |
| Klasik (eski dağıtım modeli) | Öğretici | Desteklenir |
| Microsoft Entra doğrulaması | Dağıtım modeli/yöntemi | Makale |
|---|---|---|
| Resource Manager | Kiracı oluşturma | |
| Resource Manager | Erişimi yapılandırma- kullanıcılar ve gruplar |
| RADIUS kimlik doğrulaması | Dağıtım modeli/yöntemi | Azure portalı | PowerShell |
|---|---|---|---|
| Resource Manager | Desteklenir | Öğretici | |
| Klasik (eski dağıtım modeli) | Desteklenmiyor | Desteklenmiyor |
P2S VPN istemci yapılandırması
| Kimlik Doğrulaması | Tünel türü | Yapılandırma dosyaları oluşturma | VPN istemciyi yapılandırma |
|---|---|---|---|
| Azure sertifikası | IKEv2, SSTP | Windows | Yerel VPN istemcisi |
| Azure sertifikası | OpenVPN | Windows | - OpenVPN istemcisi - Azure VPN istemcisi |
| Azure sertifikası | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Azure sertifikası | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra Kimlik | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra Kimlik | OpenVPN (SSL) | macOS | macOS |
| RADIUS - sertifika | - | Makale | Makale |
| RADIUS - parola | - | Makale | Makale |
| RADIUS - diğer yöntemler | - | Makale | Makale |
Sanal Ağdan Sanal Ağa bağlantılar (IPsec/IKE VPN tüneli)
Sanal ağı başka bir sanal ağa (VNet-VNet) Bağlan, bir sanal ağı şirket içi site konumuna bağlamaya benzer. Her iki bağlantı türü de IPsec/IKE kullanarak güvenli bir tünel sunmak üzere bir VPN ağ geçidi kullanır. Hatta Sanal Ağdan Sanal Ağa iletişimini çok siteli bağlantı yapılandırmalarıyla bile birleştirebilirsiniz. Bu özellik şirket içi ve şirket dışı bağlantıyla ağ içi bağlantıyı birleştiren ağ topolojileri kurabilmenize olanak sağlar.
Bağladığınız sanal ağlar şu şekilde olabilir:
- aynı veya farklı bölgelerde olabilir
- aynı veya farklı aboneliklerde olabilir
- aynı veya farklı dağıtım modellerinde olabilir
Sanal Ağdan Sanal Ağa dağıtım modelleri ve yöntemleri
| Dağıtım modeli/yöntemi | Azure portalı | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Öğretici+ | Öğretici | Öğretici |
| Klasik (eski dağıtım modeli) | Öğretici* | Desteklenir | Desteklenmiyor |
| Resource Manager ile Klasik (eski) dağıtım modelleri arasındaki Bağlan | Öğretici* | Öğretici | Desteklenmiyor |
(+), bu dağıtım yönteminin yalnızca aynı abonelikteki VNet'ler için kullanılabildiğini gösterir.
( * ) bu dağıtım yönteminin PowerShell de gerektirdiğini gösterir.
Bazı durumlarda, sanal ağlarınızı bağlamak için sanal ağdan sanal ağa eşleme yerine sanal ağ eşlemesi kullanmak isteyebilirsiniz. Sanal ağ eşlemesi sanal ağ geçidi kullanmaz. Daha fazla bilgi için bkz . Sanal ağ eşlemesi.
Siteden siteye ve ExpressRoute eşzamanlı bağlantıları
ExpressRoute , WAN'ınızdan (genel İnternet üzerinden değil) Azure dahil olmak üzere Microsoft Hizmetleri'ne doğrudan, özel bir bağlantıdır. Siteden siteye VPN trafiği genel İnternet üzerinden şifrelenir. Aynı sanal ağ için siteden siteye VPN ve ExpressRoute bağlantılarını yapılandırabilmenin çeşitli avantajları vardır.
Bir siteden siteye VPN'i ExpressRoute için güvenli bir yük devretme yolu olarak yapılandırabilir veya ağınızın parçası olmayan ancak ExpressRoute aracılığıyla bağlanan sitelere bağlanmak için siteden siteye VPN'leri kullanabilirsiniz. Bu yapılandırmanın aynı sanal ağ için biri Vpn ağ geçidi türünü, diğeri de ExpressRoute ağ geçidi türünü kullanan iki sanal ağ geçidi gerektirdiğine dikkat edin.
Birlikte var olan S2S ve ExpressRoute bağlantıları için dağıtım modelleri ve yöntemleri
| Dağıtım modeli/yöntemi | Azure portalı | PowerShell |
|---|---|---|
| Resource Manager | Destekleniyor | Öğretici |
| Klasik (eski dağıtım modeli) | Desteklenmiyor | Öğretici |
Yüksek oranda kullanılabilir bağlantılar
Yüksek oranda kullanılabilir bağlantıları planlamak ve tasarlamak için bkz . Yüksek oranda kullanılabilir bağlantılar.
Sonraki adımlar
Daha fazla bilgi edinmek için VPN Gateway ile ilgili SSS makalesini görüntüleyin.
VPN Gateway yapılandırma ayarları hakkında daha fazla bilgi edinin.
VPN Gateway BGP ile ilgili önemli noktalar için bkz . BGP Hakkında.
Abonelik ve hizmet sınırlamaları makalesini görüntüleyin.
Azure'un diğer önemli ağ özelliklerinden bazıları hakkında bilgi edinin.