Bu makalede NVA'lar ve sanal ağlar arasındaki dinamik yönlendirmeyi yönetmeye yönelik bir çözüm sunulur. Çözümün merkezinde Azure Route Server yer alır. Bu hizmet sanal ağınızdaki NVA'ların yapılandırmasını, bakımını ve dağıtımını basitleştirir. Yönlendirme Sunucusu'nu kullandığınızda, sanal ağ adresleriniz değiştiğinde NVA yol tablolarını el ile güncelleştirmeniz gerekmez.
Mimari
Bu mimarinin bir Visio dosyasını indirin.
İş Akışı
Bu merkez-uç mimarisinde bir merkez sanal ağı ve bir uç sanal ağı vardır. Merkez sanal ağının her birinde sanal makine (VM) bulunan birden çok alt ağı vardır.
Her sanal ağın adres alanı, adres aralıklarını tanımlar. Bu aralıkların her biri için Azure, bu aralığın adres ön ekini içeren bir yol oluşturur. Azure bu yolları yönlendirme tablolarına ekler. Her sanal ağın birden çok alt ağı vardır ve her alt ağın bağlantıyı denetleyebilen bir ağ arabirim kartı (NIC) vardır. Azure, her sanal ağın yönlendirme tablosunu alt ağların NIC'lerine ekler.
Bu varsayılan sistem yollarını oluşturamaz veya kaldıramazsınız. Ancak şunu yapabilirsiniz:
Yerel ağlar, birlikte var olan bir yapılandırmada merkez sanal ağına bağlanmak için Azure VPN Gateway ve ExpressRoute ağ geçidi kullanır. VPN ağ geçidini eklediğinizde, bir sonraki yol olarak ağ geçidini içeren yollar yol tablolarına eklenir. ExpressRoute eklediğinizde rota tabloları da güncelleştirilir. Bu yollar tüm alt ağlara yayılır.
Sınır ağ geçidi protokolü (BGP), şirket içi ve Azure bileşenleri arasında IP adreslerinin değişimini mümkün kılar. Bu protokol paketleri otonom sistemler arasında yönlendirir. Bu tür sistemler, tek bir kuruluşun çalıştırmış olduğu küçük ağlar veya büyük yönlendirici havuzlarıdır.
Merkez sanal ağı ile uç sanal ağı arasında bir sanal ağ eşlemesi vardır. Eşlemeyi oluşturduğunuzda Azure, yol tablosunu güncelleştirir. Özellikle, Azure merkez adres alanında veya uç adres alanında bulunan her adres aralığı için bir yol ekler. Bu yollar tüm alt ağlara yayılır.
Merkez sanal ağındaki bir alt ağ, Azure Depolama için bir hizmet uç noktası kullanır. Azure, Depolama için bu alt ağın yol tablosuna bir genel IP adresi ekler.
Merkez sanal ağı iki NVA içerir. NVA'lar ağ geçitleri, yazılım tanımlı geniş alan ağları (SD-WAN'ler) veya güvenlik gereci güvenlik duvarları olabilir. Route Server NVA, ağ uygulaması ve ağ geçidi yollarını şu şekilde değiştirir:
- Azure Sanal Makine Ölçek Kümeleri örneği oluşturma. Ölçek kümesindeki her VM'nin bir IP adresi vardır. Ağ geçidi IP adreslerinde olduğu gibi Yönlendirme Sunucusu'nun da VM IP adreslerine erişimi vardır.
- Her NVA ile ölçek kümesindeki bir VM arasında BGP eşleri oluşturma.
- VM IP adreslerini sanal ağdaki ve bağlı ağlardaki tüm yönlendirme tablolarına ekleme.
Buna gerek yoktur:
- Kullanıcı tanımlı yolları el ile ekleyin.
- Yol tablolarını el ile oluşturun.
- Yolları yaymak için yönlendirme tablolarını alt ağa bağlayın.
- IP adresleri değiştiğinde rota tablolarını güncelleştirin.
Bileşenler
Route Server , BGP ve sanal ağları destekleyen NVA'lar arasında dinamik yönlendirmeyi basitleştirir. Bu hizmet, yol tablolarını korumanın yönetim yükünü ortadan kaldırır.
Sanal Ağ, Azure'daki özel ağlar için temel yapı taşıdır. VM'ler gibi Azure kaynakları Sanal Ağ aracılığıyla birbirleriyle, internetle ve şirket içi ağlarla güvenli bir şekilde iletişim kurabilir.
Sanal ağ eşlemesi iki veya daha fazla Azure sanal ağını bağlar. Eşlemeler, farklı sanal ağlardaki kaynaklar arasında düşük gecikme süreli ve yüksek bant genişliğine sahip bağlantılar sağlar. Eşlenmiş sanal ağlardaki VM'ler arasındaki trafik yalnızca Microsoft özel ağını kullanır.
VPN Gateway , belirli bir sanal ağ geçidi türüdür. Şifrelenmiş trafik göndermek için VPN Gateway'i kullanabilirsiniz:
- Azure sanal ağı ile genel İnternet üzerinden şirket içi konum arasında.
- Azure omurga ağı üzerinden Azure sanal ağları arasında.
ExpressRoute , şirket içi ağları Microsoft bulutuna genişletir. ExpressRoute, bağlantı sağlayıcısı kullanarak Azure hizmetleri ve Microsoft 365 gibi bulut bileşenlerine özel bağlantılar kurar.
Hizmet uç noktası , sanal ağdaki özel IP adreslerinden bir Azure hizmetine güvenli ve doğrudan bağlantı sağlar. Hizmet uç noktası, Azure hizmetine sanal ağın kimliğini sağlar. Bu nedenle sanal ağ kaynaklarının hizmete erişmek için genel IP adreslerine ihtiyacı yoktur ve uç nokta yalnızca belirtilen sanal ağdan gelen trafiğe izin vererek hizmeti korur. Bağlantılar, Azure omurga ağı üzerinden iyileştirilmiş yollar kullanır.
NVA, güvenlik duvarı güvenliği ve yük dengeleme gibi ağ özellikleri sunan bir sanal gereçtir.
Azure Depolama nesne, dosya, disk, kuyruk ve tablo depolamayı içeren bir bulut depolama çözümüdür. Hizmetler arasında verileri aktarmaya, paylaşmaya ve yedeklemeye yönelik karma depolama çözümleri ve araçları bulunur.
Alternatifler
Bu çözümde hizmet uç noktasını Depolama bağlamanız gerekmez. Bunun yerine diğer Azure hizmetlerini kullanabilirsiniz. Hizmet uç noktalarıyla güvenlik altına alınabilecek hizmetlerin listesi için bkz. hizmet uç noktalarını Sanal Ağ.
Route Server kullanmak yerine, her alt ağın yol tablosuna kullanıcı tanımlı yollar ekleyebilirsiniz. Kullanıcı tanımlı yollar hakkında daha fazla bilgi için bkz . Sanal ağ trafiği yönlendirmesinde kullanıcı tanımlı.
Senaryo ayrıntıları
Ağ yönlendirme, trafiğin bir hedefe ulaşmak için ağlar arasında izlediği yolu belirleme işlemidir. Yönlendirme tabloları, yönlendirme yollarını belirlemek için yararlı olan ağ topolojisi bilgilerini listeler.
Sanal ağınız bir ağ sanal gereci (NVA) içeriyorsa, yol tablolarınızı el ile yapılandırmanız ve güncelleştirmeniz gerekir.
Bu makalede NVA'lar ve sanal ağlar arasındaki dinamik yönlendirmeyi yönetmeye yönelik bir çözüm sunulur. Çözümün merkezinde Azure Route Server yer alır. Bu hizmet sanal ağınızdaki NVA'ların yapılandırmasını, bakımını ve dağıtımını basitleştirir. Yönlendirme Sunucusu'nu kullandığınızda, sanal ağ adresleriniz değiştiğinde NVA yol tablolarını el ile güncelleştirmeniz gerekmez.
Olası kullanım örnekleri
Bu çözüm aşağıdaki senaryolar için geçerlidir:
- Çift girişli ağları kullanın. Yönlendirici Sunucusu, tipik merkez-uç ağ topolojilerinin yanı sıra çift girişli ağ topolojilerini de destekler. Bu tür bir yapılandırma, iki veya daha fazla merkez sanal ağı olan uç sanal ağını eşler. Ayrıntılı bilgi için bkz . Azure Route Server ile çift girişli ağ hakkında.
- NVA'ları Azure ExpressRoute'a Bağlan. Bazı sanal ağlar Route Server, ExpressRoute ağ geçidi ve NVA içerir. Varsayılan olarak, Yol Sunucusu NVA yollarını ExpressRoute'a yaymaz. Route Server ayrıca ExpressRoute yollarını NVA'ya yaymaz. Route Server'da rota değişimi işlevini açarak ExpressRoute'u ve NVA'nın yolları değiştirmesini sağlayabilirsiniz. Ayrıntılı bilgi için bkz . ExpressRoute ve Azure VPN için Azure Route Server desteği hakkında.
- Şirket içi bir sistemden İnternet'e bağlanmak için Azure'ı kullanın. İnternet erişimi iyi olmayan kuruluşlar bu yapılandırmayı kullanabilir. İnternet proxy'lerini Zaten Azure'a geçirmiş sistemler diğer olasılıklardır. Route Server bu kurulumu mümkün kılar.
Dikkat edilmesi gereken noktalar
Bu çözümü uygularken şu noktaları göz önünde bulundurun:
Route Server, bağlantılar kurar ve yolları değiştirir. Veri paketlerini aktarmaz. Sonuç olarak, Route Server'ın arka ucunda çalıştığı VM'ler önemli CPU gücü veya hesaplama gücü gerektirmez.
Route Server'ı dağıttığınızda, adlı ve IPv4 alt ağ maskesi
/27
kullanan bir alt ağRouteServerSubnet
oluşturun. Route Server'ı bu alt ağa yerleştirin.Azure ağ geçitlerinde Temel fiyatlandırma katmanı, birlikte bulunan ExpressRoute ve VPN Gateway bağlantılarını desteklemez. Birlikte var olan yapılandırmalarla ilgili diğer sınırlamalar için bkz . Sınırlar ve sınırlamalar.
Sanal ağda kullanabileceğiniz hizmet uç noktası sayısı sınırı yoktur. Ancak Depolama gibi bazı Azure hizmetleri, kaynağın güvenliğini sağlamak için kullanabileceğiniz alt ağ sayısına sınırlamalar uygular. Daha fazla bilgi için bkz. Sanal Ağ hizmet uç noktalarındaki sonraki adımlar.
Bu çözümü değerlendirirken, aşağıdaki bölümlerde yer alan noktaları da aklınızda bulundurun.
Kullanılabilirlik
Route Server, yüksek kullanılabilirlik sunan tam olarak yönetilen bir hizmettir. Bu hizmetin kullanılabilirlik garantisi için bkz . Azure Route Server için SLA.
Ölçeklenebilirlik
Bu çözümdeki bileşenlerin çoğu otomatik olarak ölçeklendirilen yönetilen hizmetlerdir. Ancak birkaç özel durum vardır:
- Yol Sunucusu ExpressRoute'a veya VPN ağ geçidine en fazla 200 yol tanıtabilir.
- Route Server, eşlenmiş sanal ağlar da dahil olmak üzere sanal ağ başına en fazla 2.000 VM'yi destekleyebilir.
Güvenlik
- Azure'da uygulamalarınızın ve verilerinizin güvenliğini iyileştirme konusunda rehberlik için bkz . Azure Güvenlik Karşılaştırması'na (v1) genel bakış.
- Sanal Ağ özgü Azure Güvenlik Karşılaştırması sürüm 1.0'dan yönergeler için bkz. Sanal Ağ için Azure güvenlik temeli.
Dayanıklılık
Bu çözüm yalnızca yönetilen bileşenleri kullanır. Bölgesel düzeyde, tüm bu bileşenler otomatik olarak dayanıklıdır. Route Server yüksek kullanılabilirlik sunar. Route Server'ı kullanılabilirlik alanlarını destekleyen bir Azure bölgesine dağıttığınızda, uygulamanız bölge düzeyinde yedekliliğe sahiptir. Kullanılabilirlik alanları hakkında daha fazla bilgi için bkz . Bölgeler ve kullanılabilirlik alanları.
Maliyet iyileştirme
Bu çözümü uygulama maliyetini tahmin etmek için bkz . Azure fiyatlandırma hesaplayıcısı. Gereksiz giderleri azaltma hakkında genel bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.
Aşağıdaki bölümlerde, çözümün bileşenlerine ilişkin fiyatlandırma bilgileri açıklanmıştır.
Yönlendirme Sunucusu
Şu anda Route Server için peşin maliyet veya sonlandırma ücreti yoktur. Fiyatlandırma bilgileri için bkz . Azure Route Server fiyatlandırması.
Sanal Ağ
Sanal Ağ ücretsiz olarak kullanabilirsiniz. Azure aboneliğiyle tüm bölgelerde en fazla 50 sanal ağ oluşturabilirsiniz. Sanal ağın sınırları içinde yer alan trafik ücretsizdir. Sonuç olarak, aynı sanal ağdaki iki VM arasındaki iletişim için ücret alınmaz.
VPN Gateway
VPN Gateway kullandığınızda tüm gelen trafik ücretsizdir. Yalnızca giden trafik için ücretlendirilirsiniz. İNTERNET bant genişliği maliyetleri VPN giden trafiğiyle uygulanır. Daha fazla bilgi için bkz . VPN Gateway fiyatlandırması.
ExpressRoute
Gelen ExpressRoute veri aktarımları ücretsizdir. Giden veri aktarımı için önceden belirlenmiş bir ücretlendirilirsiniz. Sabit aylık bağlantı noktası ücreti de geçerlidir. Daha fazla bilgi için bkz . Azure ExpressRoute fiyatlandırması.
Hizmet uç noktaları
Hizmet uç noktalarını kullanmak için ücret alınmaz.
NVA'lar
NVA'lar, kullandığınız alete göre ücretlendirilir. Ayrıca dağıttığınız Azure VM'leri ve depolama ve ağ gibi kullandığınız temel altyapı kaynakları için ücretlendirilirsiniz. Daha fazla bilgi için bkz. Linux Sanal Makineler Fiyatlandırması.
Sonraki adımlar
- Hızlı Başlangıç: Azure portalını kullanarak Yönlendirme Sunucusu oluşturma ve yapılandırma
- ExpressRoute ve Azure VPN için Azure Route Server desteği hakkında
- Azure Route Server hakkında SSS
- Azure yol haritası
- Ağ blogu
- Azure Route Server için SLA
- Azure Route Server nedir?
İlgili kaynaklar
- Azure Güvenlik Duvarı mimarisine genel bakış
- Sanal ağ eşlemesi ile VPN ağ geçitleri arasında seçim yapma
- Kullanılabilirlik alanlarını ve bölgeleri kullanmak için öneriler
- Yüksek oranda kullanılabilir NVA'ları dağıtma
- Azure Güvenlik Duvarı ve Application Gateway ile web uygulamaları için sıfır güven ağı