Sanal ağ hizmet uç noktalarını açıklama
ERP sistemi için mevcut uygulama ve veritabanı sunucularınızı Azure’a sanal makine olarak geçirdiniz. Şimdi maliyetlerinizi ve yönetim gereksinimlerinizi azaltmak için Azure’ın bazı hizmet olarak platform (PaaS) hizmetlerini kullanmayı düşünüyorsunuz. Depolama hizmetleri mühendislik diyagramları gibi bazı büyük dosya varlıklarını tutacak. Bu mühendislik diyagramları özel bilgilere sahiptir ve yetkisiz erişime karşı güvenli kalmalıdır. Bu dosyalara yalnızca belirli sistemlerden erişilebilmelidir.
Bu ünitede desteklenen Azure hizmetlerinin güvenliğini sağlamak için sanal ağ hizmet uç noktalarının nasıl kullanıldığını gözden geçireceksiniz.
Sanal ağ hizmet uç noktası nedir?
Sanal ağ hizmet uç noktalarını Azure hizmetlerinize doğrudan bağlantı sağlayarak Azure'da özel adres alanınızı genişletmek için kullanın. Hizmet uç noktaları Azure kaynaklarınızın güvenliğini yalnızca sanal ağınızda kalacak şekilde korur. Hizmet trafiği Azure omurgasında kalır ve İnternet'e gitmez.
Varsayılan olarak Azure hizmetlerinin tümü doğrudan İnternet erişimi için tasarlanmıştır. Tüm Azure hizmetlerinin genel IP adresleri vardır ve bunlara Azure SQL Veritabanı ve Azure Depolama gibi PaaS hizmetleri de dahildir. Bu hizmetler İnternet'e açık olduğundan, potansiyel olarak Azure hizmetlerinize herkes erişebilir.
Hizmet uç noktaları bazı PaaS hizmetlerini Azure’da özel adres alanınıza doğrudan bağlayabilir, dolayısıyla bunlar aynı sanal ağdaymış gibi çalışabilir. PaaS hizmetlerine doğrudan bağlanmak için özel adres alanınızı kullanın Hizmet uç noktalarının eklenmesi genel uç noktayı kaldırmaz. Yalnızca trafiğin yeniden yönlendirilmesini sağlar.
Hizmet Uç Noktalarını Uygulamaya Hazırlanma
Hizmet Uç Noktasını etkinleştirmek için aşağıdaki iki işlemi yapmanız gerekir:
- Hizmete genel erişimi kapatma.
- Hizmet Uç Noktasını bir sanal ağa ekleyin.
Bir Hizmet Uç Noktasını etkinleştirdiğinizde trafik akışını kısıtlar ve Azure VM'lerinizin hizmete doğrudan özel adres alanınızdan erişmesini sağlarsınız. Cihazlar genel ağ üzerinden hizmete erişemez. Dağıtılmış bir VM vNIC'sinde Etkili yollar'a bakarsanız Sonraki Atlama Türü olarak Hizmet Uç Noktası'nı fark edersiniz.
Bu, hizmet uç noktasını etkinleştirmeden önce örnek bir yol tablosudur:
| KAYNAK | DURUM | ADRES ÖN EKLERI | SONRAKI ATLAMA TÜRÜ |
|---|---|---|---|
| Varsayılan | Etkin | 10.1.1.0/24 | Sanal Ağ |
| Varsayılan | Etkin | 0.0.0.0./0 | İnternet |
| Varsayılan | Etkin | 10.0.0.0/8 | Hiçbiri |
| Varsayılan | Etkin | 100.64.0.0./ | Hiçbiri |
| Varsayılan | Etkin | 192.168.0.0/16 | Hiçbiri |
Sanal ağa iki Hizmet Uç Noktası ekledikten sonra örnek bir yol tablosu aşağıda verilmiştir:
| KAYNAK | DURUM | ADRES ÖN EKLERI | SONRAKI ATLAMA TÜRÜ |
|---|---|---|---|
| Varsayılan | Etkin | 10.1.1.0/24 | Sanal Ağ |
| Varsayılan | Etkin | 0.0.0.0./0 | İnternet |
| Varsayılan | Etkin | 10.0.0.0/8 | Hiçbiri |
| Varsayılan | Etkin | 100.64.0.0./ | Hiçbiri |
| Varsayılan | Etkin | 192.168.0.0/16 | Hiçbiri |
| Varsayılan | Etkin | 20.38.106.0/23, 10 tane daha | VirtualNetworkServiceEndpoint |
| Varsayılan | Etkin | 20.150.2.0/23, 9 tane daha | VirtualNetworkServiceEndpoint |
Hizmetin tüm trafiği artık Sanal Ağ Hizmet Uç Noktasına yönlendirilir ve Azure'da kalır.
Hizmet Uç Noktaları Oluşturma
Ağ mühendisi olarak hassas mühendislik diyagramı dosyalarını Azure Depolama'a taşımayı planlıyorsunuz. Dosyaların yalnızca şirket ağının içindeki bilgisayarlardan erişilebilir olması gerekiyor. Depolama hesaplarınıza bağlantının güvenliğini sağlamak amacıyla Azure Depolama için bir sanal ağ Hizmet Uç Noktası oluşturmak istiyorsunuz.
Hizmet uç noktası öğreticisinde şunların nasıl yapılacağını öğreneceksiniz:
- Alt ağda hizmet uç noktasını etkinleştirme
- Azure Depolama erişimini kısıtlamak için ağ kurallarını kullanma
- Azure Depolama için sanal ağ hizmet uç noktaları oluşturma
- Erişimin uygun şekilde reddedildiğini doğrulayın
Hizmet etiketlerini yapılandırma
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir.
Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Api Management gibi hizmet etiketi adını bir kuralın uygun kaynak veya hedef alanında belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.
Mart 2021 itibarıyla, kullanıcı tanımlı yollarda açık IP aralıkları yerine Hizmet Etiketlerini de kullanabilirsiniz. Bu özellik şu anda Genel Önizlemededir.
Hizmet etiketlerini kullanarak ağ yalıtımı elde edebilir ve genel uç noktaları olan Azure hizmetlerine erişirken Azure kaynaklarınızı genel İnternet'ten koruyabilirsiniz. İnternet'e giden/giden trafiği reddetmek ve Belirli Azure hizmetlerinin AzureCloud veya diğer kullanılabilir hizmet etiketlerine gelen/giden trafiğe izin vermek için gelen/giden ağ güvenlik grubu kuralları oluşturun.
Kullanılabilir hizmet etiketleri
Aşağıdaki tablo, ağ güvenlik grubu kurallarında kullanılabilen tüm hizmet etiketlerini içerir.
Sütunlar etiketin olup olmadığını gösterir:
- Gelen veya giden trafiği kapsayan kurallar için uygundur.
- Bölgesel kapsamı destekler.
- Azure Güvenlik Duvarı kurallarında kullanılabilir.
Hizmet etiketleri varsayılan olarak tüm buluta yönelik aralıkları yansıtır. Bazı hizmet etiketleri, ilgili IP aralıklarını belirtilen bir bölgeyle kısıtlayarak daha ayrıntılı denetime de olanak sağlar. Örneğin, hizmet etiketi Depolama bulutun tamamı için Azure Depolama temsil eder ancak Depolama. WestUS, aralığı yalnızca WestUS bölgesindeki depolama IP adresi aralıklarına daraltıyor. Aşağıdaki tabloda her hizmet etiketinin bu tür bölgesel kapsamı destekleyip desteklemediği gösterilir.
Azure hizmetlerinin hizmet etiketleri, kullanılmakta olan bulutun adres ön eklerini belirtir. Örneğin, Azure Genel bulutundaki SQL etiket değerine karşılık gelen temel IP aralıkları, Azure Çin bulutundaki temel aralıklardan farklı olacaktır.
Azure Depolama veya Azure SQL Veritabanı gibi bir hizmet için sanal ağ Hizmet Uç Noktası uygularsanız, Azure hizmet için bir sanal ağ alt ağına bir yol ekler. Yoldaki adres ön ekleri, ilgili hizmet etiketindekilerle aynı adres ön ekleri veya CIDR aralıklarıdır.