Ağ geçidi için gerekli sanal ağ tümleştirmeyi yapılandırma

Ağ geçidi için gerekli sanal ağ tümleştirmesi, başka bir bölgedeki bir sanal ağa veya klasik bir sanal ağa bağlanmayı destekler. Ağ geçidi için gerekli sanal ağ tümleştirmesi yalnızca Windows planları için çalışır. Sanal ağlarla tümleştirmek için bölgesel sanal ağ tümleştirmesi kullanmanızı öneririz.

Ağ geçidi için gerekli sanal ağ tümleştirmesi:

  • Bir uygulamanın aynı anda yalnızca bir sanal ağa bağlanmasını sağlar.
  • App Service planında en fazla beş sanal ağın tümleştirilmesini sağlar.
  • App Service planı tarafından kullanılabilecek toplam sayıyı etkilemeden aynı sanal ağın bir App Service planındaki birden çok uygulama tarafından kullanılmasına izin verir. Aynı App Service planında kullanılan bir sanal ağ olarak sayılan aynı sanal ağı kullanan altı uygulamanız varsa.
  • Ağ geçidindeki SLA, genel SLA'yı etkileyebilir.
  • Uygulamalarınızın sanal ağın yapılandırıldığı DNS'yi kullanmasını sağlar.
  • Bir uygulamaya bağlanabilmek için SSTP noktadan siteye VPN ile yapılandırılmış bir sanal ağ yolu tabanlı ağ geçidi gerektirir.

Ağ geçidi için gerekli sanal ağ tümleştirmesi kullanamazsınız:

  • ExpressRoute'a bağlı bir sanal ağ ile.
  • Linux uygulamasından.
  • Bir Windows kapsayıcısından.
  • Hizmet uç noktası güvenli kaynaklarına erişmek için.
  • Ağ korumalı bir Key Vault'a başvuran Uygulama Ayarlarını çözümlemek için.
  • Hem ExpressRoute hem de noktadan siteye veya siteden siteye VPN'leri destekleyen bir birlikte var olan ağ geçidi ile.

Bölgesel sanal ağ tümleştirmesi , yukarıda belirtilen sınırlamaları azaltır.

Azure sanal ağınızda ağ geçidi ayarlama

Ağ geçidi oluşturmak için:

  1. VPN ağ geçidini ve alt ağı oluşturun. Rota tabanlı bir VPN türü seçin.

  2. Noktadan siteye adresleri ayarlayın. Ağ geçidi temel SKU'da değilse noktadan siteye yapılandırmasında IKEV2 devre dışı bırakılmalı ve SSTP seçilmelidir. Noktadan siteye adres alanı RFC 1918 adres bloklarında 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 olmalıdır.

Ağ geçidini ağ geçidi için gerekli sanal ağ tümleştirmesi ile kullanmak üzere oluşturursanız, sertifika yüklemeniz gerekmez. Ağ geçidinin oluşturulması 30 dakika sürebilir. Ağ geçidi oluşturulana kadar uygulamanızı sanal ağınızla tümleştiremezsiniz.

Ağ geçidi için gerekli sanal ağ tümleştirmesi nasıl çalışır?

Ağ geçidi için gerekli sanal ağ tümleştirmesi, noktadan siteye VPN teknolojisinin üzerine kurulmuştur. Noktadan siteye VPN'ler, uygulamayı barındıran sanal makineye ağ erişimini sınırlar. Uygulamalar yalnızca karma bağlantılar veya sanal ağ tümleştirmesi aracılığıyla İnternet'e trafik göndermek için kısıtlanmıştır. Uygulamanız portalla ağ geçidi için gerekli sanal ağ tümleştirmesini kullanacak şekilde yapılandırıldığında, ağ geçidinde ve uygulama tarafında sertifika oluşturmak ve atamak için sizin adınıza karmaşık bir anlaşma yönetilir. Sonuç olarak, uygulamalarınızı barındırmak için kullanılan çalışanlar seçilen sanal ağdaki sanal ağ geçidine doğrudan bağlanabilir.

Ağ geçidi için gerekli sanal ağ tümleştirmenin nasıl çalıştığını gösteren diyagram.

Şirket içi kaynaklara erişme

Uygulamalar, siteden siteye bağlantıları olan sanal ağlarla tümleştirerek şirket içi kaynaklara erişebilir. Ağ geçidi için gerekli sanal ağ tümleştirmesi kullanıyorsanız, şirket içi VPN ağ geçidi yollarınızı noktadan siteye adres bloklarınızla güncelleştirin. Siteden siteye VPN ilk kez ayarlandığında, bunu yapılandırmak için kullanılan betikler yolları düzgün ayarlamalıdır. Siteden siteye VPN'nizi oluşturduktan sonra noktadan siteye adresleri eklerseniz yolları el ile güncelleştirmeniz gerekir. Bunun nasıl yapılacağının ayrıntıları ağ geçidine göre değişir ve burada açıklanmamıştır.

Şirket içinden BGP yolları otomatik olarak App Service'e yayılmaz. Bu belgedeki P2S VPN istemcileri için özel yolları tanıtma adımlarını kullanarak bunları noktadan siteye yapılandırmada el ile yaymalısınız.

Not

Ağ geçidi için gerekli sanal ağ tümleştirme özelliği, bir uygulamayı ExpressRoute ağ geçidine sahip bir sanal ağ ile tümleştirmez. ExpressRoute ağ geçidi birlikte bulunma modunda yapılandırılsa bile, sanal ağ tümleştirmesi çalışmaz. Kaynaklara ExpressRoute bağlantısı üzerinden erişmeniz gerekiyorsa, bölgesel sanal ağ tümleştirme özelliğini veya sanal ağınızda çalışan bir App Service Ortamı kullanın.

Eşleme

Eşleme ile ağ geçidi için gerekli sanal ağ tümleştirmesi kullanıyorsanız birkaç öğe daha yapılandırmanız gerekir. Eşlemeyi uygulamanızla çalışacak şekilde yapılandırmak için:

  1. Uygulamanızın bağlandığınız sanal ağa bir eşleme bağlantısı ekleyin. Eşleme bağlantısını eklediğinizde Sanal ağ erişimine izin ver'i etkinleştirin ve İletilen trafiğe izin ver ve Ağ geçidi aktarımına izin ver'i seçin.
  2. Bağlandığınız sanal ağ ile eşlenen sanal ağa bir eşleme bağlantısı ekleyin. Hedef sanal ağa eşleme bağlantısı eklediğinizde, Sanal ağ erişimine izin ver'i etkinleştirin ve İletilen trafiğe izin ver ve Uzak ağ geçitlerine izin ver'i seçin.
  3. Portalda App Service planı>Ağ sanal ağ>tümleştirmesi'ne gidin. Uygulamanızın bağlanacak sanal ağı seçin. Yönlendirme bölümünün altında, uygulamanızın bağlı olduğu sanal ağ ile eşlenen sanal ağın adres aralığını ekleyin.

Sanal ağ tümleştirmeyi yönetme

Sanal ağ ile bağlantı kurma ve bağlantıyı kesme, uygulama düzeyindedir. Birden çok uygulama arasında sanal ağ tümleştirmesini etkileyebilecek işlemler App Service planı düzeyindedir. Ağ >sanal ağ>tümleştirme portalından sanal ağınızla ilgili ayrıntıları alabilirsiniz. Benzer bilgileri App Service planı düzeyinde App Service planı>Ağ sanal ağ>tümleştirme portalında görebilirsiniz.

Sanal ağ tümleştirme örneğinizin uygulama görünümünde gerçekleştirebileceğiniz tek işlem, uygulamanızın bağlı olduğu sanal ağ ile bağlantısını kesmektir. Uygulamanızın sanal ağ bağlantısını kesmek için Bağlantıyı Kes'i seçin. Sanal ağ bağlantısını kestiğinizde uygulamanız yeniden başlatılır. Bağlantıyı kesmek sanal ağınızı değiştirmez. Alt ağ veya ağ geçidi kaldırılmaz. Daha sonra sanal ağınızı silmek istiyorsanız, önce uygulamanızın sanal ağ bağlantısını kesin ve ağ geçitleri gibi içindeki kaynakları silin.

App Service planı sanal ağ tümleştirme kullanıcı arabirimi, App Service planınızdaki uygulamalar tarafından kullanılan tüm sanal ağ tümleştirmelerini gösterir. Her sanal ağın ayrıntılarını görmek için ilgilendiğiniz sanal ağı seçin. Ağ geçidi için gerekli sanal ağ tümleştirmesi için burada gerçekleştirebileceğiniz iki eylem vardır:

  • Eşitleme ağı: Eşitleme ağı işlemi yalnızca ağ geçidi için gerekli sanal ağ tümleştirme özelliği için kullanılır. Eşitleme ağ işlemi gerçekleştirmek, sertifikalarınızın ve ağ bilgilerinizin eşitlenmiş olmasını sağlar. Sanal ağınızın DNS'sini ekler veya değiştirirseniz, bir eşitleme ağı işlemi gerçekleştirin. Bu işlem, bu sanal ağı kullanan tüm uygulamaları yeniden başlatır. Farklı aboneliklere ait bir uygulama ve sanal ağ kullanıyorsanız bu işlem çalışmaz.
  • Yol ekleme: Yolların eklenmesi, giden trafiği sanal ağınıza yönlendirir.

Örneğe atanan özel IP, WEBSITE_PRIVATE_IP ortam değişkeni aracılığıyla kullanıma sunulur. Kudu konsol kullanıcı arabirimi, web uygulamasında kullanılabilen ortam değişkenlerinin listesini de gösterir. Bu IP, sanal ağ geçidinde yapılandırılan noktadan siteye adres havuzunun adres aralığından bir IP'dir. Bu IP, azure sanal ağı üzerinden kaynaklara bağlanmak için web uygulaması tarafından kullanılır.

Not

WEBSITE_PRIVATE_IP değeri değişebilir. Ancak, noktadan siteye adres aralığının adres aralığındaki bir IP olacaktır, bu nedenle adres aralığının tamamından erişime izin vermeniz gerekir.

Ağ geçidi için gerekli sanal ağ tümleştirme yönlendirmesi

Sanal ağınızda tanımlanan yollar, trafiği uygulamanızdan sanal ağınıza yönlendirmek için kullanılır. Sanal ağa daha fazla giden trafik göndermek için bu adres bloklarını buraya ekleyin. Bu özellik yalnızca ağ geçidi için gerekli sanal ağ tümleştirmesiyle çalışır. Yol tabloları, ağ geçidi için gerekli sanal ağ tümleştirmesini kullandığınızda uygulama trafiğinizi etkilemez.

Ağ geçidi için gerekli sanal ağ tümleştirme sertifikaları

Ağ geçidi için gerekli sanal ağ tümleştirmesi etkinleştirildiğinde, bağlantının güvenliğini sağlamak için gerekli bir sertifika değişimi yapılır. Sertifikalarla birlikte DNS yapılandırması, yollar ve ağı tanımlayan diğer benzer öğeler vardır.

Sertifikalar veya ağ bilgileri değiştirilirse, Ağı Eşitle'yi seçin. Ağı Eşitle'yi seçtiğinizde, uygulamanızla sanal ağınız arasındaki bağlantıda kısa bir kesintiye neden olursunuz. Uygulamanız yeniden başlatılmadı, ancak bağlantı kaybı sitenizin düzgün çalışmamasına neden olabilir.

Sertifika yenileme

Ağ geçidi için gerekli sanal ağ tümleştirmesi tarafından kullanılan sertifikanın kullanım ömrü 8 yıldır. Ağ geçidi gerektiren sanal ağ tümleştirmeleri daha uzun süre yaşayan uygulamalarınız varsa sertifikayı yenilemeniz gerekir. Azure portalındaki Sanal Ağ Tümleştirme sayfasını ziyaret ederek sertifikanızın süresinin dolduğunu veya süresi 6 aydan kısa olup olmadığını doğrulayabilirsiniz.

Süresi dolmakta olan ağ geçidi gerektiren sanal ağ tümleştirme sertifikalarını gösteren ekran görüntüsü.

Portalda süresi dolmakta olan veya süresi dolan bir sertifika gösterildiğinde sertifikanızı yenileyebilirsiniz. Sertifikayı yenilemek için sanal ağın bağlantısını kesmeniz ve yeniden bağlamanız gerekir. Yeniden bağlanmak, uygulamanızla sanal ağınız arasındaki bağlantıda kısa bir kesintiye neden olur. Uygulamanız yeniden başlatılmadı, ancak bağlantı kaybı sitenizin düzgün çalışmamasına neden olabilir.

Fiyatlandırma ayrıntıları

Ağ geçidi için gerekli sanal ağ tümleştirme özelliğinin kullanımıyla ilgili üç ücret alınır:

  • App Service planı fiyatlandırma katmanı ücretleri: Uygulamalarınızın Temel, Standart, Premium, Premium v2 veya Premium v3 App Service planında olması gerekir. Bu maliyetler hakkında daha fazla bilgi için bkz . App Service fiyatlandırması.
  • Veri aktarımı maliyetleri: Sanal ağ aynı veri merkezinde olsa bile veri çıkışı için ücret uygulanır. Bu ücretler Veri aktarımı fiyatlandırma ayrıntıları bölümünde açıklanmıştır.
  • VPN ağ geçidi maliyetleri: Noktadan siteye VPN için gereken bir sanal ağ geçidi maliyeti vardır. Daha fazla bilgi için bkz . VPN ağ geçidi fiyatlandırması.

Sorun giderme

Birçok şey uygulamanızın belirli bir ana bilgisayara ve bağlantı noktasına ulaşmasını engelleyebilir. Çoğu zaman şu şeylerden biridir:

  • Güvenlik duvarı yolda. Bu yolda bir güvenlik duvarınız varsa TCP zaman aşımına çarptınız. Bu durumda TCP zaman aşımı 21 saniyedir. Bağlantıyı test etmek için tcpping aracını kullanın. TCP zaman aşımları, güvenlik duvarlarının ötesinde birçok şeyden kaynaklanabilir, ancak buradan başlayın.
  • DNS erişilebilir değil. DNS zaman aşımı, DNS sunucusu başına 3 saniyedir. İki DNS sunucunuz varsa zaman aşımı 6 saniyedir. DNS'nin çalışıp çalışmadiğini görmek için nameresolver kullanın. Sanal ağınızın yapılandırıldığı DNS'yi kullanmadığından nslookup kullanamazsınız. Erişilemiyorsa, DNS'ye erişimi engelleyen bir güvenlik duvarınız veya NSG'niz olabilir veya devre dışı olabilir.

Bu öğeler sorunlarınızı yanıtlamıyorsa, önce aşağıdakiler gibi şeyler arayın:

  • RFC 1918 aralıklarındaki noktadan siteye adres aralığıdır (10.0.0.0-10.255.255.255 / 172.16.2 0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Ağ geçidi portalda görünüyor mu? Ağ geçidiniz çalışmıyorsa yeniden açın.
  • Sertifikalar eşitlenmiş olarak mı gösteriliyor yoksa ağ yapılandırmasının değiştirildiğinden mi şüpheleniyorsunuz? Sertifikalarınız eşitlenmemişse veya sanal ağ yapılandırmanızda ASP'lerinizle eşitlenmemiş bir değişiklik yapıldığından şüpheleniyorsanız Ağı Eşitle'yi seçin.
  • Bir VPN üzerinden gidiyorsanız, şirket içi ağ geçidi trafiği Azure'a geri yönlendirmek için yapılandırılmış mı? Sanal ağınızdaki uç noktalara ulaşabiliyor ancak şirket içinde ulaşamıyorsanız rotalarınızı denetleyin.
  • Hem noktadan siteye hem de ExpressRoute'u destekleyen bir birlikte var olan ağ geçidi mi kullanmaya çalışıyorsunuz? Bir arada bulunma ağ geçitleri sanal ağ tümleştirmesi ile desteklenmez.

Belirli bir konak:bağlantı noktası bileşimine erişimi engelleyen özellikleri göremediğinizden ağ sorunlarının hatalarını ayıklamak zor bir sorundur. Bazı nedenler şunlardır:

  • Ana bilgisayarınızda noktadan siteye IP aralığınızdan uygulama bağlantı noktasına erişimi engelleyen bir güvenlik duvarınız var. Alt ağları aşmak genellikle genel erişim gerektirir.
  • Hedef konağınız çalışmıyor.
  • Uygulamanız çalışmıyor.
  • Yanlış IP veya ana bilgisayar adına sahipsiniz.
  • Uygulamanız beklediğinizden farklı bir bağlantı noktasında dinliyor. İşlem kimliğinizi, uç nokta ana bilgisayarında "netstat -aon" kullanarak dinleme bağlantı noktasıyla eşleştirebilirsiniz.
  • Ağ güvenlik gruplarınız, noktadan siteye IP aralığınızdan uygulama konağınıza ve bağlantı noktanıza erişimi engelleyecek şekilde yapılandırılır.

Uygulamanızın gerçekte hangi adresi kullandığını bilmiyorsunuz. Noktadan siteye adres aralığındaki herhangi bir adres olabilir, bu nedenle adres aralığının tamamından erişime izin vermeniz gerekir.

Diğer hata ayıklama adımları şunlardır:

  • Sanal ağınızdaki bir VM'ye bağlanın ve oradan kaynak konağınıza:bağlantı noktasına erişmeye çalışabilirsiniz. TCP erişimini test etmek için Test-NetConnection PowerShell komutunu kullanın. Söz dizimi aşağıdaki gibidir:
Test-NetConnection hostname [optional: -Port]
  • VM'de bir uygulama getirin ve tcpping kullanarak uygulamanızdan konsoldan bu konağa ve bağlantı noktasına erişimi test edin.

Şirket içi kaynaklar

Uygulamanız şirket içi bir kaynağa ulaşamıyorsa, sanal ağınızdan kaynağa ulaşılıp ulaşılamadığını denetleyin. TCP erişimini denetlemek için Test-NetConnection PowerShell komutunu kullanın. VM'niz şirket içi kaynağınıza ulaşamıyorsa VPN veya ExpressRoute bağlantınız düzgün yapılandırılmamış olabilir.

Sanal ağ tarafından barındırılan VM'niz şirket içi sisteminize ulaşabiliyorsa ancak uygulamanız ulaşamıyorsa, bunun nedeni büyük olasılıkla aşağıdaki nedenlerden biridir:

  • Yollarınız, şirket içi ağ geçidinizde alt ağınızla veya noktadan siteye adres aralıklarınızla yapılandırılmaz.
  • Ağ güvenlik gruplarınız noktadan siteye IP aralığınız için erişimi engelliyor.
  • Şirket içi güvenlik duvarlarınız noktadan siteye IP aralığınızdan gelen trafiği engelliyor.
  • Bölgesel sanal ağ tümleştirme özelliğini kullanarak RFC 1918 olmayan bir adrese ulaşmaya çalışıyorsunuz.

Daha fazla bilgi için bkz . sanal ağ tümleştirme sorunlarını giderme kılavuzu.