Klasik dağıtım modelini kullanarak zorlamalı tünel yapılandırma
Zorlamalı tünel oluşturma, İnternet’e yönelik tüm trafiğin inceleme ve denetim amacıyla Siteden Siteye VPN tüneli aracılığıyla şirket içi konumunuza geri yönlendirilmesini veya “zorlanmasını” sağlamanızı mümkün kılar. Bu, çoğu kurumsal IT ilkeleri için kritik bir güvenlik gereksinimidir. Zorlamalı tünel olmadan, Azure'daki VM'lerden İnternet'e bağlı trafik, trafiği incelemenize veya denetlemenize izin verme seçeneği olmadan her zaman Azure ağ altyapısından doğrudan İnternet'e geçişler. Yetkisiz İnternet erişimi, bilgilerin açığa çıkması veya diğer güvenlik ihlali türlerine neden olabilir.
Azure şu anda iki dağıtım modeliyle çalışır: Resource Manager ve klasik. İki model birbiriyle tam olarak uyumlu değildir. Başlamadan önce hangi modelle çalışmak istediğinizi bilmeniz gerekir. Dağıtım modelleri hakkında bilgi için bkz. Dağıtım modellerini anlama. Azure'da yeniyseniz, Resource Manager dağıtım modeli kullanmanız önerilir.
Bu makalede klasik dağıtım modeli kullanılarak oluşturulan sanal ağlar için zorlamalı tünel yapılandırma işlemi size yol gösterir. Zorlamalı tünel, portal üzerinden değil PowerShell kullanılarak yalıtabilirsiniz. Resource Manager dağıtım modeli için zorlamalı tünel yapılandırmakiçin aşağıdaki Resource Manager makalesini seçin:
Gereksinimler ve dikkat edilmesi gerekenler
Azure'da zorlamalı tünel, kullanıcı tanımlı sanal yollar (UDR) aracılığıyla yapılandırılır. Trafiğin şirket içi bir siteye yeniden yönlendirilmesi, Azure VPN ağ geçidine varsayılan yol olarak ifade edilir. Aşağıdaki bölümde Bir Azure Sanal Ağı için yönlendirme tablosunun ve yollarının geçerli sınırlaması listelemektedir:
Her sanal ağ alt ağının yerleşik bir sistem yönlendirme tablosu vardır. Sistem yönlendirme tablosunda aşağıdaki üç yol grubu vardır:
- Yerel sanal ağ yolları: Doğrudan aynı sanal ağ üzerinde hedef VM'lere.
- Şirket içi yollar: Azure VPN ağ geçidine.
- Varsayılan yol: Doğrudan İnternet'e. Önceki iki yolu kapsıyor özel IP adreslerini hedef alan paketler bırakılır.
Kullanıcı tanımlı yolların sürümüyle, varsayılan yol eklemek için bir yönlendirme tablosu oluşturabilir ve ardından yönlendirme tablosunu sanal ağ alt ağlarla ilişkilendirilerek bu alt ağlarda zorlamalı tünel etkinleştirabilirsiniz.
Sanal ağa bağlı şirket içi ve şirket içi ve şirket içi siteler arasında bir "varsayılan site" ayarlayabilirsiniz.
Zorlamalı tünel, dinamik yönlendirme VPN ağ geçidine (statik ağ geçidi değil) sahip bir sanal ağ ile ilişkili olmalıdır.
ExpressRoute zorlamalı tünel bu mekanizma aracılığıyla yapılandırılmaz, ancak bunun yerine ExpressRoute BGP eşleme oturumları aracılığıyla varsayılan bir yol tanıtım yoluyla etkinleştirilir. Daha fazla bilgi için bkz. ExpressRoute nedir?.
Yapılandırmaya genel bakış
Aşağıdaki örnekte, Ön uç alt ağı zorlamalı tünel değildir. Ön uç alt ağının iş yükleri, müşteri isteklerini doğrudan İnternet'te kabul etmeye ve yanıtlamaya devam eder. Orta katman ve Arka uç alt ağlarında zorlamalı tünel kullanılır. Bu iki alt ağdan İnternet'e giden bağlantılar, ağ tünellerinden biri aracılığıyla şirket içi bir siteye S2S VPN.
Bu sayede Azure'daki sanal makinelerinize veya bulut hizmetlerinize İnternet erişimini kısıtlar ve incelerken gerekli çok katmanlı hizmet mimarinizi etkinleştirmeye devam edin. Sanal ağlarında İnternet'e yönelik iş yükleri yoksa, sanal ağların tamamına zorlamalı tünel de uygulayabilirsiniz.
Önkoşullar
Yapılandırmaya başlamadan önce aşağıdaki öğelerin bulunduğunu doğrulayın:
- Azure aboneliği. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.
- Yapılandırılmış bir sanal ağ.
- Klasik dağıtım modeliyle çalışırken Azure Cloud Shell kullanamazsınız. Bunun yerine, Azure hizmet yönetimi (SM) PowerShell cmdlet 'lerinin en son sürümünü bilgisayarınıza yerel olarak yüklemelisiniz. Bu cmdlet 'ler Azurerd veya az cmdlet 'lerden farklıdır. SM cmdlet 'lerini yüklemek için bkz. hizmet yönetimi cmdlet 'Lerini yüklemek. Genel olarak Azure PowerShell hakkında daha fazla bilgi için Azure PowerShell belgelerinebakın.
Zorlamalı tünel yapılandırma
Aşağıdaki yordam, bir sanal ağ için zorlamalı tünel belirtmenize yardımcı olur. Yapılandırma adımları, sanal ağ ağ yapılandırma dosyasına karşılık gelen adımlardır. Bu örnekte, 'MultiTier-VNet' sanal ağının üç alt ağı vardır: 'Frontend', 'Midtier' ve 'Backend' alt ağları, dört şirket içi ve dışı bağlantı ile : 'DefaultSiteHQ', ve üç Dal.
<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
<AddressSpace>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Frontend">
<AddressPrefix>10.1.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="Midtier">
<AddressPrefix>10.1.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="Backend">
<AddressPrefix>10.1.2.0/23</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.1.200.0/28</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="DefaultSiteHQ">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch2">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch3">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSite>
Aşağıdaki adımlar zorlamalı tünel için varsayılan site bağlantısı olarak 'DefaultSiteHQ' ayarlar ve Midtier ile Arka uç alt ağlarını zorlamalı tünel kullanmak üzere yapılandıracak.
PowerShell konsolunuzu yükseltilmiş haklarla açın. Bağlan örneği kullanarak hesabınızla oturum açın:
Add-AzureAccountYönlendirme tablosu oluşturun. Yol tabloyu oluşturmak için aşağıdaki cmdlet'i kullanın.
New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"Yönlendirme tablosuna varsayılan bir yol ekleyin.
Aşağıdaki örnek, 1. Adımda oluşturulan yönlendirme tablosuna varsayılan bir yol ekler. Desteklenen tek yol, "VPNGateway" NextHop'a "0.0.0.0/0" hedef ön ekidir.
Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGatewayYönlendirme tablosunu alt ağlara ilişkilendirme.
Yönlendirme tablosu oluşturulduktan ve bir yol eklendikten sonra, yol tablosunu bir sanal ağ alt ağıyla eklemek veya ilişkilendirmek için aşağıdaki örneği kullanın. Örnek, "MyRouteTable" yol tablosuna MultiTier-VNet sanal ağının Orta ve Arka uç alt ağlarını ekler.
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable" Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"Zorlamalı tünel için varsayılan bir site attayabilirsiniz.
Önceki adımda, örnek cmdlet betikleri yönlendirme tablosunu oluşturdu ve yönlendirme tablosunu iki sanal ağ alt ağıyla ilişkilendirildi. Kalan adım, varsayılan site veya tünel olarak sanal ağın çok siteli bağlantıları arasında bir yerel site seçmektir.
$DefaultSite = @("DefaultSiteHQ") Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
Ek PowerShell cmdlet'leri
Yol tablosu silmek için
Remove-AzureRouteTable -Name <routeTableName>
Yol tablosu listesi için
Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]
Rota tablosundan bir yolu silmek için
Remove-AzureRouteTable –Name <routeTableName>
Bir alt ağdan bir yolu kaldırmak için
Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Bir alt ağ ile ilişkili yol tablolarını listele
Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Sanal ağ VPN ağ geçidinden varsayılan siteyi kaldırmak için
Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>