ExpressRoute kullanarak şirket içi ağı Azure'a bağlama

Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile Azure ExpressRoute kullanarak bir şirket içi ağı Azure sanal ağına bağlamayı gösterir.

Mimari

ExpressRoute ve VPN ağ geçidi kullanan yüksek oranda kullanılabilir bir karma ağ mimarisi için başvuru mimarisi.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Mimari aşağıdaki bileşenlerden oluşur.

  • Şirket içi ağı. Bir kuruluşun içinde çalışan özel bir yerel ağ.

  • Azure sanal ağları. Her sanal ağ tek bir Azure bölgesinde bulunur ve birden çok uygulama katmanı barındırabilir. Her sanal ağdaki alt ağları kullanarak uygulama katmanlarını segmentlere ayırabilirsiniz.

    • Ağ geçidi alt ağı. Sanal ağ geçitleri aynı alt ağda bulunur.

  • VPN gereci. Şirket içi ağa dış bağlantı sağlayan bir cihaz veya hizmet. VPN gereci bir donanım cihazı veya Windows Server 2012'deki Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) gibi bir yazılım çözümü olabilir. Desteklenen VPN gereçlerinin listesini görmek ve Azure'a bağlanmak için belirli VPN gereçlerini yapılandırma hakkında bilgi edinmek istiyorsanız bkz. Siteden siteye VPN Gateway bağlantıları için VPN cihazları hakkında.

  • ExpressRoute bağlantı hattı. Bağlantı sağlayıcısı tarafından şirket içi ağı uç yönlendiricileri üzerinden Azure’a bağlayan bir katman 2 veya katman 3 bağlantı hattı sağlanabilir. Bağlantı hattı, bağlantı sağlayıcısı tarafından yönetilen donanım altyapısını kullanır.

    • Yerel uç yönlendiricileri. Şirket içi ağı sağlayıcı tarafından yönetilen bağlantı hattına bağlayan yönlendiriciler. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

    • Microsoft uç yönlendiricileri. Etkin-etkin, yüksek oranda kullanılabilir bir yapılandırmada iki yönlendirici. Bu yönlendiriciler, bağlantı sağlayıcılarının bağlantı hatlarını doğrudan veri merkezlerine bağlamasına olanak sağlar. Bağlantınızın nasıl sağlandığına bağlı olarak, yönlendiricilerin kullandığı genel IP adreslerini sağlamanız gerekebilir.

  • ExpressRoute sanal ağ geçidi. ExpressRoute sanal ağ geçidi, Azure sanal ağının şirket içi ağınızla bağlantı için kullanılan ExpressRoute bağlantı hattına bağlanmasını sağlar.

  • VPN sanal ağ geçidi. VPN sanal ağ geçidi, Azure sanal ağının şirket içi ağdaki VPN aletine bağlanmasına olanak tanır. VPN sanal ağ geçidi, şirket içi ağdan gelen istekleri yalnızca VPN gereci üzerinden kabul edecek şekilde yapılandırılır. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama.

  • VPN bağlantısı. Bağlantının bağlantı türünü (IPSec) ve trafiğin şifrelenmesi için şirket içi VPN gereci ile paylaşılan anahtarı belirten özellikleri vardır.

  • Azure genel hizmetleri. Hibrit bir uygulama içinde kullanılabilen Azure hizmetleri. Bu hizmetler İnternet üzerinden de kullanılabilir, ancak expressRoute bağlantı hattı kullanarak bunlara erişmek düşük gecikme süresi ve daha öngörülebilir performans sağlar, çünkü trafik İnternet üzerinden gitmez.

  • Microsoft 365 hizmetleri. Microsoft'un sağladığı genel kullanıma açık Microsoft 365 uygulamaları ve hizmetleri. Bağlantılar, kuruluşunuza ait olan veya bağlantı sağlayıcınız tarafından sağlanan Microsoft eşlemesini ve adreslerini kullanır. Microsoft eşlemesini kullanarak doğrudan Microsoft CRM Online'a da bağlanabilirsiniz.

  • Bağlantı sağlayıcıları (gösterilmemiştir). Veri merkezinizle Azure veri merkezi arasında katman 2 veya katman 3 bağlantısını kullanarak bağlantı sağlayan şirketler.

Bileşenler

  • Azure ExpressRoute. ExpressRoute'u kullanarak şirket içi ağlarınızı bir bağlantı sağlayıcısının yardımıyla özel bir bağlantı üzerinden Microsoft bulutuna genişletebilirsiniz. ExpressRoute ile Azure ve Microsoft 365 gibi Microsoft bulut hizmetlerine bağlantı kurabilirsiniz.

  • Azure Sanal Ağı. Azure Sanal Ağ, Azure'da özel ağınız için temel yapı taşıdır. Sanal Ağ, Azure sanal makineleri gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla gelişmiş güvenlikle iletişim kurmasını sağlar.

  • Azure VPN Gateway. VPN Gateway, siteden siteye sanal özel ağ (VPN) bağlantısı kullanarak şirket içi ağınızı bir Azure sanal ağına bağlamanızı sağlayan bir sanal ağ geçididir.

Senaryo ayrıntıları

Bu başvuru mimarisi, yük devretme bağlantısı olarak siteden siteye sanal özel ağ (VPN) ile ExpressRoute kullanarak bir şirket içi ağı azure sanal ağına bağlamayı gösterir. ExpressRoute bağlantısı üzerinden şirket içi ağ ile Azure sanal ağı arasındaki trafik akışları. ExpressRoute bağlantı hattında bağlantı kaybı olursa trafik bir IPSec VPN tüneli üzerinden yönlendirilir. Bu çözümü dağıtın.

ExpressRoute bağlantı hattı kullanılamıyorsa, VPN yolu yalnızca özel eşleme bağlantılarını işler. Genel eşleme ve Microsoft eşleme bağlantıları İnternet üzerinden geçer.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Bağlantı sağlayıcıları

Konumunuz için uygun bir ExpressRoute bağlantı sağlayıcısı seçin. Bulunduğunuz konumda bulunan bağlantı sağlayıcılarının listesini almak için aşağıdaki PowerShell komutunu kullanın:

Get-AzExpressRouteServiceProvider

ExpressRoute bağlantı sağlayıcıları, veri merkezinizi Microsoft'a bağlamak için aşağıdaki yolları kullanır:

  • Bulut değişiminde ortak yerleşim. Bulut değişimi olan bir tesiste birlikte bulunuyorsanız, ortak konum sağlayıcısının Ethernet değişimi aracılığıyla Azure'a sanal çapraz bağlantılar sipariş edebilirsiniz. Ortak konum sağlayıcıları, ortak konum tesisi ile Azure'daki altyapınız arasında katman 2 çapraz bağlantıları veya yönetilen katman 3 çapraz bağlantıları sunabilir.

  • Noktadan noktaya Ethernet bağlantıları. Noktadan noktaya Ethernet bağlantılarını kullanarak şirket içi veri merkezlerinizi/ofislerinizi Azure'a bağlayabilirsiniz. Noktadan noktaya Ethernet sağlayıcıları, siteniz ile Azure arasında katman 2 bağlantıları veya yönetilen katman 3 bağlantıları sağlayabilir.

  • Herhangi bir ağdan herhangi bir ağa (IPVPN). Geniş alan ağınızı (WAN) Azure ile tümleştirebilirsiniz. İnternet protokolü sanal özel ağ (IPVPN) sağlayıcıları, şube ofisleriniz ve veri merkezleriniz arasında herhangi bir bağlantı sunar. (IPVPN genellikle çok protokollü bir etiket değiştirme VPN'idir.) Azure, wan'ınıza bağlanarak diğer şube ofisleri gibi görünmesini sağlayabilir. WAN sağlayıcıları genel olarak yönetilen katman 3 bağlantısı sağlar.

Bağlantı sağlayıcıları hakkında daha fazla bilgi için bkz. ExpressRoute'a giriş.

ExpressRoute bağlantı hattı

ExpressRoute bağlantı hattı oluşturmak için aşağıdaki adımları kullanabilirsiniz.

  1. Aşağıdaki PowerShell komutunu çalıştırın:

    New-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group> -Location <location> -SkuTier <SKU-tier> -SkuFamily <SKU-family> -ServiceProviderName <service-provider-name> -PeeringLocation <peering-location> -BandwidthInMbps <bandwidth-in-Mbps>

  2. Yeni bağlantı hattına ait ServiceKey değerini hizmet sağlayıcısına gönderin.

  3. Sağlayıcının bağlantı hattını sağlamasını bekleyin. Bağlantı hattının sağlanma durumunu doğrulamak için aşağıdaki PowerShell komutunu çalıştırın:

    Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

    Çıkışın Provisioning state Service Provider bölümündeki alan, devre hazır olduğunda olarak değişir NotProvisioned Provisioned .

    Not

    Katman 3 bağlantısı kullanıyorsanız, sağlayıcı yönlendirmeyi sizin için yapılandırmalı ve yönetmelidir. Sağlayıcının uygun yolları uygulamasına olanak tanıyacak bilgileri sunmanız gerekir.

  4. Katman 2 bağlantısı kullanıyorsanız:

    1. Uygulamak istediğiniz her eşleme türü için geçerli genel IP adreslerinden oluşan iki /30 alt ağı ayırın. Bu /30 alt ağları, bağlantı hattı için kullanılan yönlendiricilerin IP adreslerini sağlamak için kullanılır. Özel ve Microsoft eşlemesi uyguluyorsanız, geçerli genel IP adreslerine sahip dört /30 alt ağınız olmalıdır.

    2. ExpressRoute bağlantı hattı için yönlendirmeyi yapılandırın. Hem özel hem de Microsoft eşlemesi için aşağıdaki PowerShell komutlarını çalıştırın. Daha fazla bilgi için bkz. ExpressRoute bağlantı hattına ait yönlendirmeyi oluşturma ve değiştirme.

      Set-AzExpressRouteCircuitPeeringConfig -Name <peering-name> -ExpressRouteCircuit <circuit-name> -PeeringType <peering-type> -PeerASN <peer-ASN> -PrimaryPeerAddressPrefix <primary-peer-address-prefix> -SecondaryPeerAddressPrefix <secondary-peer-address-prefix> -VlanId <vlan-ID>

Set-AzExpressRouteCircuit -ExpressRouteCircuit <circuit-name>

    3. Microsoft eşlemesi için ağ adresi çevirisi (NAT) için kullanılacak başka bir genel IP adresi havuzu ayırın. Her eşleme için farklı bir havuza sahip olmanız önerilir. Bu aralıklar için Sınır Ağ Geçidi Protokolü (BGP) tanıtımlarını yapılandırabilmesi için bağlantı sağlayıcınıza havuzu belirtin.

VPN ve ExpressRoute ağ geçitleri

Azure sanal ağınızda zaten bir VPN sanal ağ geçidi varsa, mevcut sanal ağ geçidini silmenize gerek kalmadan ExpressRoute sanal ağ geçidi oluşturabilirsiniz.

ExpressRoute bağlantınızı kurmak için Azure ExpressRoute ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

VPN sanal ağ geçidi bağlantınızı kurmak için Azure ve şirket içi VPN ile karma ağ mimarisi yapılandırma başlığındaki yönergeleri izleyin.

Sanal ağ geçidi bağlantılarını oluşturduktan sonra aşağıdaki adımları izleyerek ortamı test edin:

  1. Şirket içi ağınızdan Azure sanal ağınıza bağlanabildiğinizden emin olun.
  2. Test amaçlı olarak ExpressRoute bağlantınızın durdurulması için sağlayıcınıza başvurun.
  3. VPN sanal ağ geçidi bağlantısını kullanarak şirket içi ağınızdan Azure sanal ağınıza hala bağlanabildiğinizi doğrulayın.
  4. ExpressRoute bağlantınızın yeniden kurulması için sağlayıcınıza başvurun.

Sorun giderme

Daha önce çalışan bir ExpressRoute bağlantı hattı bağlanamıyorsa ve şirket içinde veya özel sanal ağınızda yapılandırma değişikliği yoksa, sorunu düzeltmek için bağlantı sağlayıcısına başvurmanız ve onlarla çalışmanız gerekebilir. ExpressRoute bağlantı hattının doğru şekilde sağlandığını doğrulamak için aşağıdaki PowerShell komutlarını kullanın:

Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Bu komutun çıktısı, burada gösterildiği gibi bağlantı hattınız için , CircuitProvisioningStateve ServiceProviderProvisioningStategibi ProvisioningStateçeşitli özellikleri gösterir:

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Yeni bir bağlantı hattı oluşturmaya çalıştıktan sonra olarak ayarlı Succeeded değilseProvisioningState, aşağıdaki komutu kullanarak devreyi kaldırın ve yeniden oluşturmayı deneyin.

Remove-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

Sağlayıcınız bağlantı hattını zaten sağladıysa ve ProvisioningState olarak ayarlandıysa Failed veya CircuitProvisioningState değilse Enabledyardım için sağlayıcınıza başvurun.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Ölçeklenebilirlik

ExpressRoute bağlantı hatları, ağlar arasında yüksek bant genişliğine sahip bir yol sağlar. Genel olarak bant genişliği ne kadar yüksek olursa maliyet de o kadar yüksek olur.

ExpressRoute iki fiyatlandırma planı sunar: Tarifeli Plan ve Sınırsız Veri planı. Ücretler, bağlantı hattı bant genişliğine göre değişir. Kullanılabilir bant genişliği büyük olasılıkla sağlayıcıdan sağlayıcıya farklılık gösterir. Bölgenizdeki sağlayıcıları ve sundukları bant genişliklerini görmek için Get-AzExpressRouteServiceProvider cmdlet’ini kullanın.

Tek bir ExpressRoute bağlantı hattı belirli sayıda eşlemeyi ve sanal ağ bağlantısını destekleyebilir. Daha fazla bilgi için bkz. ExpressRoute sınırları.

ExpressRoute Premium eklentisi aşağıdakileri sağlar:

  • Özel eşleme için yol sınırları artırıldı.
  • ExpressRoute bağlantı hattı başına artan sayıda sanal ağ bağlantısı.
  • Hizmetler için genel bağlantı.

Ayrıntılı bilgi almak için ExpressRoute fiyatlandırması sayfasına bakın.

Bazı sağlayıcılar bant genişliğinizi değiştirmenize izin verse de, gereksinimlerinizi aşan ve büyüme için yer sağlayan bir başlangıç bant genişliği seçtiğinizden emin olun. Gelecekte bant genişliğini artırmanız gerekiyorsa iki seçeneğiniz vardır:

  • Bant genişliğini artırın. Bu seçenekten mümkün olduğunca kaçının. Tüm sağlayıcılar bant genişliğini dinamik olarak artırmanıza izin vermez. Ancak bant genişliği artışına ihtiyacınız varsa, PowerShell komutlarını kullanarak ExpressRoute bant genişliği özelliklerinin değiştirilmesini desteklediğinden emin olmak için sağlayıcınıza başvurun. Bunu yaparlarsa aşağıdaki komutları çalıştırın:

    $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>
$ckt.ServiceProviderProperties.BandwidthInMbps = <bandwidth-in-Mbps>
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

    Bant genişliğini, bağlantı kaybı yaşamadan arttırabilirsiniz. Bağlantı hattını silmeniz ve yeni yapılandırmayla yeniden oluşturmanız gerektiğinden bant genişliğini düşürmek bağlantıyı kesintiye uğratır.

  • Fiyatlandırma planınızın değiştirin ve/veya Premium’a geçiş yapın. Bunun için aşağıdaki komutları çalıştırın. Sku.Tier özelliği veya PremiumolabilirStandard. Sku.Name özelliği veya UnlimitedDataolabilirMeteredData.

    $ckt = Get-AzExpressRouteCircuit -Name <circuit-name> -ResourceGroupName <resource-group>

$ckt.Sku.Tier = "Premium"
$ckt.Sku.Family = "MeteredData"
$ckt.Sku.Name = "Premium_MeteredData"

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

    Önemli

    özelliğinin Sku.Name ve Sku.Familyile eşleştiğinden Sku.Tier emin olun. Aileyi ve katmanı değiştirir ancak adı değiştirmezseniz, bağlantınız devre dışı bırakılır.

    SKU'yu kesinti olmadan yükseltebilirsiniz, ancak sınırsız fiyatlandırma planından tarifeli plana geçemezsiniz. SKU'yu eski sürüme düşürürseniz bant genişliği tüketiminiz Standart SKU'nun varsayılan sınırı içinde kalmalıdır.

Kullanılabilirlik

ExpressRoute, yüksek kullanılabilirlik için Etkin Bekleme Yönlendirme Protokolü (HSRP) ve Sanal Yönlendirici Yedeklilik Protokolü (VRRP) gibi yönlendirici yedeklilik protokollerini desteklemez. Bunun yerine, eşleme başına bir çift yedekli BGP oturumu kullanır. Azure, ağınıza yüksek oranda kullanılabilir bağlantıları kolaylaştırmak için etkin-etkin bir yapılandırmada iki yönlendiricide (Microsoft edge'in bir parçası) iki yedekli bağlantı noktası sağlar.

BGP oturumları için varsayılan olarak 60 saniyelik bir boşta kalma zaman aşımı değeri kullanılır. Oturum üç kez zaman aşımına uğrarsa (toplam 180 saniye), yönlendirici kullanılamıyor olarak işaretlenir ve tüm trafik kalan yönlendiriciye yönlendirilir. Bu 180 saniyelik zaman aşımı, kritik uygulamalar açısından çok uzun olabilir. Gerekirse, şirket içi yönlendiricideki BGP zaman aşımı ayarlarınızı daha kısa bir süreye değiştirebilirsiniz. ExpressRoute, özel eşleme üzerinden çift yönlü iletme algılamasını (BFD) da destekler. ExpressRoute üzerinden BFD'yi etkinleştirerek, Microsoft Enterprise Edge (MSEE) cihazları ile ExpressRoute bağlantı hattını sonlandırdığınız yönlendiriciler arasında bağlantı hatası algılamayı hızlandırabilirsiniz. ExpressRoute'u Müşteri Uç yönlendirme cihazları veya İş Ortağı Edge yönlendirme cihazları üzerinden sonlandırabilirsiniz (yönetilen katman 3 bağlantı hizmetiniz varsa).

Kullandığınız sağlayıcı türüne ve yapılandırmak istediğiniz ExpressRoute bağlantı hatlarının ve sanal ağ geçidi bağlantılarının sayısına bağlı olarak Azure bağlantınız için yüksek kullanılabilirliği farklı şekillerde yapılandırabilirsiniz. Kullanılabilirlik seçeneklerinizin özeti aşağıdadır:

  • Katman 2 bağlantısı kullanıyorsanız, şirket içi ağınızdaki yedekli yönlendiricileri etkin-etkin bir yapılandırmada dağıtın. Birincil bağlantı hattını bir yönlendiriciye, ikincil devreyi de diğerine bağlayın. Bu yapılandırma her iki uçta da yüksek oranda kullanılabilir bir bağlantı sağlar. ExpressRoute hizmet düzeyi sözleşmesine (SLA) ihtiyacınız varsa bu yapılandırma gereklidir. Ayrıntılı bilgi almak için bkz. Azure ExpressRoute için SLA.

    Aşağıdaki diyagramda, yedekli şirket içi yönlendiricilerin birincil ve ikincil bağlantı hatlarına bağlı olduğu bir yapılandırma gösterilmektedir. Her bağlantı hattı, özel eşleme için trafiği işler. (Her eşleme, önceki bölümde açıklandığı gibi bir çift /30 adres alanı olarak atanır.)

    ExpressRoute birincil ve ikincil devreleri ile yedekli yönlendiricilerin kullanılmasını gösteren diyagram.

  • Katman 3 bağlantısı kullanıyorsanız, bunun sizin için kullanılabilirliği işleyen yedekli BGP oturumları sağladığını doğrulayın.

  • Sanal ağı farklı hizmet sağlayıcıları tarafından sağlanan birden çok ExpressRoute bağlantı hattına bağlayın. Bu strateji daha fazla yüksek kullanılabilirlik ve olağanüstü durum kurtarma özelliği sağlar.

  • ExpressRoute için bir yük devretme yolu olarak siteden siteye bir VPN yapılandırın. Bu seçenek hakkında daha fazla bilgi için bkz . VPN yük devretmesi ile ExpressRoute kullanarak şirket içi ağı Azure'a bağlama. Bu seçenek, yalnızca özel eşleme için geçerlidir. Azure ve Microsoft 365 hizmetleri için tek yük devretme yolu İnternet'tir.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Azure bağlantınıza yönelik güvenlik seçeneklerini, güvenlikle ilgili endişelerinize ve uyumluluk gereksinimlerinize bağlı olarak farklı şekillerde yapılandırabilirsiniz.

ExpressRoute katman 3’te çalışır. Trafiği meşru kaynaklarla kısıtlayan bir ağ güvenlik gereci kullanarak uygulama katmanındaki tehditlere karşı koruma sağlayabilirsiniz.

Güvenliği en üst düzeye çıkarmak için şirket içi ağınız ile sağlayıcı uç yönlendiricileri arasına ağ güvenlik gereçleri ekleyin. Bu, sanal ağdan yetkisiz trafik akışını kısıtlamaya yardımcı olur:

Şirket içi ağa güvenlik cihazları eklemeyi gösteren diyagram.

Denetim veya uyumluluk için sanal ağda çalışan bileşenler için doğrudan İnternet erişimini engellemeniz ve zorlamalı tünel uygulamanız gerekebilir. Bu durumda, İnternet trafiği şirket içinde çalışan ve denetlenebileceği bir ara sunucu üzerinden yeniden yönlendirilmelidir. Proxy'yi yetkisiz trafiğin dışarı akmasını engelleyecek ve kötü amaçlı olabilecek gelen trafiği filtreleyecek şekilde yapılandırabilirsiniz.

İnternet'e bağlı trafiği denetlemek için zorlamalı tünel kullanmayı gösteren diyagram.

Güvenliği en üst düzeye çıkarmak için VM'leriniz için genel IP adresini etkinleştirmeyin ve NSG'leri kullanarak bu VM'lerin genel olarak erişilebilir olmadığından emin olun. VM'ler yalnızca iç IP adresi aracılığıyla kullanılabilir olmalıdır. Bu adresleri ExpressRoute ağı üzerinden erişilebilir hale getirebilirsiniz. Bu sayede şirket içi DevOps personeli yapılandırma veya bakım gerçekleştirebilir.

VM'ler için yönetim uç noktalarını bir dış ağda kullanıma sunmanız gerekiyorsa, NSG'leri veya erişim denetim listelerini kullanarak bu bağlantı noktalarının görünürlüğünü IP adresleri veya ağların izin verilenler listesiyle kısıtlayın.

Not

Azure portalı aracılığıyla dağıtılan Azure VM'leri, oturum açma erişimi sağlayan bir genel IP adresi içerebilir. Ancak, bu erişimi yasaklamanın en iyi yöntemidir.

Azure güvenliğiyle ilgili dikkat edilmesi gereken genel noktalar için bkz. Microsoft bulut hizmetleri ve ağ güvenliği.

Ağ izleme

Ağ bileşenlerini izlemek ve sorunlarını gidermek için Azure Ağ İzleyicisi kullanın. Trafik analizi gibi araçlar, sanal ağlarınızda en çok trafik oluşturan sistemleri tanımlar, böylece sorun haline gelmeden önce performans sorunlarını görsel olarak belirleyebilirsiniz. Bağlantı izleyicisi ExpressRoute bağlantı hatlarını izleyebilir.

Şirket içi veri merkezinizle Azure arasındaki bağlantıyı izlemek için Azure Bağlantı Araç Seti'ni (AzureCT) de kullanabilirsiniz.

Daha fazla bilgi için bkz . DevOps için İzleme.

Maliyet İyileştirmesi

Maliyet İyileştirme gereksiz giderleri azaltmak ve operasyonel verimlilikleri iyileştirmektir. Daha fazla bilgi için bkz . Maliyet İyileştirme sütununa genel bakış.

ExpressRoute maliyetle ilgili dikkat edilmesi gerekenler için şu makalelere bakın:

  • Azure ExpressRoute ile Karma Ağ Mimarisi yapılandırmada maliyetle ilgili dikkat edilmesi gerekenler.

ExpressRoute

Bu mimaride, uç yönlendiriciler aracılığıyla şirket içi ağı Azure ile birleştirmek için bir ExpressRoute bağlantı hattı kullanılır.

ExpressRoute iki fiyatlandırma planı sunar. Tarifeli Veri planıyla tüm gelen veri aktarımı ücretsizdir. Tüm giden veri aktarımı, önceden belirlenmiş bir ücrete göre ücretlendirilir.

Sınırsız Veri planı ile tüm gelen ve giden veri aktarımı ücretsizdir. Yüksek kullanılabilirlik çift bağlantı noktası temelinde sabit aylık bağlantı noktası ücreti alınır.

Kullanımınızı hesaplayın ve buna göre bir faturalama planı seçin. Kullanımın yaklaşık %68'ini aşarsanız Sınırsız Veri planını öneririz.

Daha fazla bilgi için bkz . Azure ExpressRoute fiyatlandırması.

Azure Sanal Ağ

Tüm uygulama katmanları tek bir sanal ağda barındırılır ve alt ağlara ayrılır.

Azure Sanal Ağ ücretsizdir. Her abonelik için tüm bölgelerde en fazla 50 sanal ağ oluşturabilirsiniz. Bir sanal ağın sınırları içinde gerçekleşen tüm trafik ücretsizdir, bu nedenle tek bir sanal ağdaki iki VM arasındaki iletişim ücretsizdir.

Operasyonel Mükemmellik

Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel Mükemmellik sütununa genel bakış.

ExpressRoute DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ExpressRoute ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Siteden siteye VPN DevOps ile ilgili dikkat edilmesi gerekenler için Bkz . Azure ve Şirket içi VPN ile Karma Ağ Mimarisi Yapılandırma kılavuzu.

Bu senaryoyu dağıtın

Önkoşullar. Zaten uygun bir ağ gereci ile yapılandırılmış mevcut bir şirket içi altyapınız olmalıdır.

Çözümü dağıtmak için aşağıdaki adımları gerçekleştirin.

  1. Aşağıdaki bağlantıyı seçin:

    Azure'a dağıtmak için düğme simgesi.

  2. Bağlantının Azure portalında açılmasını bekleyin, ardından bu kaynakları dağıtmak veya yeni bir kaynak grubu oluşturmak istediğiniz Kaynak grubunu seçin. Bölge ve Konum, kaynak grubuyla eşleşecek şekilde otomatik olarak değişir.

  3. Ortamınız için kaynak adlarını, sağlayıcıları, SKU'yu veya ağ IP adreslerini değiştirmek istiyorsanız kalan alanları güncelleştirin.

  4. Bu kaynakları dağıtmak için Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

  5. Dağıtımın tamamlanmasını bekleyin.

    Not

    Bu şablon dağıtımı yalnızca aşağıdaki kaynakları dağıtır:

    • Kaynak grubu (yeni oluşturursanız)
    • ExpressRoute bağlantı hattı
    • Azure sanal ağı
    • ExpressRoute sanal ağ geçidi

    Şirket içinden ExpressRoute bağlantı hattına özel eşleme bağlantısı kurmak için hizmet sağlayıcınıza devre hizmet anahtarını sağlamanız gerekir. Hizmet anahtarını ExpressRoute bağlantı hattı kaynağının genel bakış sayfasında bulabilirsiniz. ExpressRoute bağlantı hattınızı yapılandırma hakkında daha fazla bilgi için bkz . Eşleme yapılandırmasını oluşturma veya değiştirme. Özel eşlemeyi yapılandırdıktan sonra ExpressRoute sanal ağ geçidini bağlantı hattına bağlayabilirsiniz. Daha fazla bilgi için bkz . Öğretici: Azure portalını kullanarak bir sanal ağı ExpressRoute bağlantı hattına bağlama.

  6. Siteden siteye VPN'in ExpressRoute'a yedek olarak dağıtımını tamamlamak için bkz . Siteden siteye VPN bağlantısı oluşturma.

  7. ExpressRoute'u yapılandırdığınız aynı şirket içi ağa vpn bağlantısını başarıyla yapılandırdıktan sonra eşleme konumunda toplam hata olması durumunda ExpressRoute bağlantınızı yedekleme kurulumunu tamamlamış olursunuz.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

Ürün belgeleri:

Microsoft Learn modülleri: