Sanal veri merkezi: Ağ perspektifi
Şirket içinden geçirilen uygulamalar, en düşük uygulama değişiklikleriyle bile Azure'ın güvenli, uygun maliyetli altyapısından yararlanabilir. Kuruluşlar çevikliği geliştirmek ve Azure'ın özelliklerinden yararlanmak için mimarilerini uyarlamak isteyebilir.
Microsoft Azure, kurumsal düzeyde özellikler ve güvenilirlik ile hiper ölçek hizmetleri ve altyapısı sunar. Bu hizmetler ve altyapı, müşterilerin bunlara internet veya özel ağ bağlantısı üzerinden erişmesine olanak tanıyan karma bağlantıda birçok seçenek sunar. Microsoft iş ortakları, Azure'da çalışacak şekilde iyileştirilmiş güvenlik hizmetleri ve sanal gereçler sunarak gelişmiş özellikler de sağlayabilir.
Müşteriler Azure'ı kullanarak altyapılarını sorunsuz bir şekilde buluta genişletebilir ve çok katmanlı mimariler oluşturabilir.
Sanal veri merkezi nedir?
Bulut, genel kullanıma yönelik uygulamaları barındırmaya yönelik bir platform olarak başladı. Kuruluşlar bulutun değerini fark etti ve iç iş kolu uygulamalarını geçirmeye başladı. Bu uygulamalar, bulut hizmetlerini sunarken daha fazla esneklik gerektiren daha fazla güvenlik, güvenilirlik, performans ve maliyet konuları getirdi. Yeni altyapı ve ağ hizmetleri esneklik sağlayacak şekilde tasarlanmıştır. Yeni özellikler esnek ölçek, olağanüstü durum kurtarma ve diğer önemli noktalar sağlar.
Bulut çözümleri başlangıçta birkaç yıl boyunca iyi çalışan tek ve nispeten yalıtılmış uygulamaları genel spektrumda barındıracak şekilde tasarlanmıştır. Bulut çözümlerinin avantajları netleştikçe bulutta birden çok büyük ölçekli iş yükü barındırıldı. Güvenlik, güvenilirlik, performans ve maliyet sorunlarının giderilmesi, bulut hizmetinizin dağıtımı ve yaşam döngüsü için çok önemlidir.
Aşağıdaki örnek bulut dağıtım diyagramında, kırmızı kutu bir güvenlik açığını vurgular. Sarı kutu, iş yükleri arasında ağ sanal gereçlerini iyileştirme fırsatı gösterir.
Sanal veri merkezleri, kurumsal iş yükleri için gereken ölçeğin elde edilebilmesine yardımcı olur. Ölçek, büyük ölçekli uygulamaları genel bulutta çalıştırırken ortaya çıkacak zorlukları ele almalıdır.
Sanal veri merkezi uygulaması, buluttaki uygulama iş yüklerinden daha fazlasını içerir. Ayrıca ağ, güvenlik, yönetim, DNS ve Active Directory hizmetleri sağlar. Kuruluşlar Azure'a daha fazla iş yükü geçirirken, bu iş yüklerini destekleyen altyapıyı ve nesneleri göz önünde bulundurun. İyi kaynak yönetimi bağımsız veri akışları, güvenlik modelleri ve uyumluluk güçlükleri ile ayrı olarak yönetilen "iş yükü adalarının" artırılmasını önlemeye yardımcı olur.
Sanal veri merkezi kavramı, ayrı ama ilgili varlıklardan oluşan bir koleksiyon uygulamaya yönelik öneriler ve üst düzey tasarımlar sağlar. Bu varlıklar genellikle ortak destekleyici işlevlere, özelliklere ve altyapıya sahiptir. İş yüklerinizi sanal veri merkezi olarak görüntülemek, ölçek ekonomilerinden daha düşük maliyet elde edilmesine yardımcı olur. Ayrıca bileşen ve veri akışı merkezileştirmesi ve daha kolay işlemler, yönetim ve uyumluluk denetimleri aracılığıyla en iyi duruma getirilmiş güvenlik konusunda yardımcı olur.
Not
Sanal veri merkezi belirli bir Azure hizmeti değildir. Bunun yerine, gereksinimlerinizi karşılamak için çeşitli Azure özellikleri ve özellikleri birleştirilir. Sanal veri merkezi, buluttaki kaynaklarınızı ve yeteneklerinizi iyileştirmek için iş yüklerinizi ve Azure kullanımınızı düşünmenin bir yoludur. Azure'da BT hizmetleri sağlamaya yönelik modüler bir yaklaşım sunarken, kuruluşun kuruluş rollerine ve sorumluluklarına da dikkat eder.
Sanal veri merkezi, kuruluşların aşağıdaki senaryolar için Azure'da iş yüklerini ve uygulamaları dağıtmalarına yardımcı olur:
- Birden çok ilgili iş yükünü barındırır.
- İş yüklerini şirket içi ortamdan Azure'a geçirme.
- İş yükleri arasında paylaşılan veya merkezi güvenlik ve erişim gereksinimlerini uygulayın.
- DevOps ve merkezi BT'leri büyük bir kuruluş için uygun şekilde karıştırın.
Kimler sanal veri merkezi uygulamalıdır?
Azure'ı benimsemeye karar veren tüm müşteriler, tüm uygulamaların ortak kullanımı için bir kaynak kümesi yapılandırma verimliliğinden yararlanabilir. Boyuta bağlı olarak, tek uygulamalar bile bir VDC uygulaması oluşturmak için kullanılan desenleri ve bileşenleri kullanmaktan yararlanabilir.
Bazı kuruluşların BT, ağ, güvenlik veya uyumluluk için merkezi ekipleri veya departmanları vardır. VDC uygulamak ilke noktalarını zorunlu kılmaya, sorumlulukları ayırmaya ve temel alınan ortak bileşenlerin tutarlılığını sağlamaya yardımcı olabilir. Uygulama ekipleri, gereksinimleri için uygun olan özgürlüğü ve denetimi koruyabilir.
DevOps yaklaşımına sahip kuruluşlar, Azure kaynaklarının yetkili ceplerini sağlamak için VDC kavramlarını da kullanabilir. Bu yöntem, DevOps gruplarının bu gruplandırma içinde abonelik düzeyinde veya ortak bir abonelikteki kaynak grupları içinde toplam denetime sahip olmasını sağlar. Aynı zamanda ağ ve güvenlik sınırları da uyumlu kalır. Uyumluluk, merkez ağındaki merkezi bir ilke ve merkezi olarak yönetilen kaynak grubu tarafından tanımlanır.
Sanal veri merkezi uygulama konusunda dikkat edilmesi gerekenler
Sanal veri merkezi tasarlarken şu özet sorunları göz önünde bulundurun:
Kimlik ve dizin hizmeti
Kimlik ve dizin hizmetleri hem şirket içi hem de bulut veri merkezlerinin temel özellikleridir. Kimlik, bir VDC uygulaması içindeki hizmetlere erişim ve yetkilendirmenin tüm yönlerini kapsar. Azure kaynaklarınıza yalnızca yetkili kullanıcıların ve işlemlerin erişmesini sağlamak için Azure, kimlik doğrulaması için hesap parolaları, şifreleme anahtarları, dijital imzalar ve sertifikalar gibi çeşitli kimlik bilgileri kullanır. Microsoft Entra çok faktörlü kimlik doğrulaması , Azure hizmetlerine erişmek için ek bir güvenlik katmanı sağlar. Bir dizi kolay doğrulama seçeneği (telefon araması, kısa mesaj veya mobil uygulama bildirimi) ile güçlü bir kimlik doğrulaması, müşterilerin tercih ettikleri yöntemi seçmesine olanak tanır.
Büyük kuruluşların tek tek kimliklerin yönetimini, bunların kimlik doğrulamasını, yetkilendirmesini, rollerini ve VDC'leri içindeki veya VDC'leri genelindeki ayrıcalıklarını tanımlayan kimlik yönetimi süreçlerini tanımlaması gerekir. Bu sürecin hedefleri güvenliği ve üretkenliği artırırken maliyeti, kapalı kalma süresini ve yinelenen el ile gerçekleştirilen görevleri azaltabilir.
Kurumsal kuruluşlar, farklı iş kolu için zorlu bir hizmet karışımı gerektirebilir. Çalışanlar genellikle farklı projelere dahil olduğunda farklı rollere sahiptir. VDC, sistemlerin iyi idareyle çalışmasını sağlamak için her birinin belirli rol tanımlarına sahip farklı ekipler arasında iyi bir işbirliğine ihtiyaç duyar. Sorumluluklar, erişim ve haklar matrisi karmaşık olabilir. VDC'de kimlik yönetimi, Microsoft Entra Id ve Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla uygulanır.
Dizin hizmeti, günlük öğeleri ve ağ kaynaklarını bulan, yöneten, yöneten ve düzenleyen paylaşılan bir bilgi altyapısıdır. Bu kaynaklar birimleri, klasörleri, dosyaları, yazıcıları, kullanıcıları, grupları, cihazları ve diğer nesneleri içerebilir. Ağdaki her kaynak, dizin sunucusu tarafından bir nesne olarak kabul edilir. Bir kaynak hakkındaki bilgiler, bu kaynak veya nesneyle ilişkili öznitelik koleksiyonu olarak depolanır.
Tüm Microsoft çevrimiçi iş hizmetleri, oturum açma ve diğer kimlik gereksinimleri için Microsoft Entra Id kullanır. Microsoft Entra Id, temel dizin hizmetlerini, gelişmiş kimlik idaresini ve uygulama erişim yönetimini birleştiren kapsamlı, yüksek oranda kullanılabilir bir kimlik ve erişim yönetimi bulut çözümüdür. Microsoft Entra ID, tüm bulut tabanlı ve yerel olarak barındırılan şirket içi uygulamalarda çoklu oturum açmayı etkinleştirmek için şirket içi Active Directory ile tümleştirebilir. şirket içi Active Directory kullanıcı öznitelikleri Microsoft Entra Id ile otomatik olarak eşitlenebilir.
Dizin Hizmeti'ndeki her bölüm, kullanıcı grubu veya hizmet, bir VDC uygulamasında kendi kaynaklarını yönetmek için gereken en düşük izinlere sahip olmalıdır. Yapılandırma izinleri dengeleme gerektirir. Çok fazla izin, performans verimliliğini engelleyebilir ve çok az veya gevşek izinler güvenlik risklerini artırabilir. Azure rol tabanlı erişim denetimi (Azure RBAC), bir VDC uygulamasındaki kaynaklar için ayrıntılı erişim yönetimi sunarak bu sorunu gidermeye yardımcı olur.
Güvenlik altyapısı
Güvenlik altyapısı, bir VDC uygulamasının belirli sanal ağ kesimindeki trafiğin ayrıştırması anlamına gelir. Bu altyapı, bir VDC uygulamasında girişin ve çıkışın nasıl denetleniyor olduğunu belirtir. Azure, dağıtımlar arasındaki yetkisiz ve istenmeyen trafiği önleyen çok kiracılı bir mimariyi temel alır. Bu işlem sanal ağ yalıtımı, erişim denetim listeleri, yük dengeleyiciler, IP filtreleri ve trafik akışı ilkeleri kullanılarak yapılır. Ağ adresi çevirisi (NAT), iç ağ trafiğini dış trafikten ayırır.
Azure dokusu, altyapı kaynaklarını kiracı iş yüklerine ayırır ve Sanal Makineler (VM) ile iletişimleri yönetir. Azure hiper yöneticisi VM'ler arasında bellek ve işlem ayrımı uygular ve ağ trafiğini konuk işletim sistemi kiracılarına güvenli bir şekilde yönlendirir.
Bulut bağlantısı
Sanal veri merkezi, müşterilere, iş ortaklarına veya iç kullanıcılara hizmet sunmak için dış ağlara bağlantı gerektirir. Bu bağlantı gereksinimi yalnızca İnternet'i değil, şirket içi ağları ve veri merkezlerini de ifade eder.
Müşteriler genel İnternet'ten erişilebilen ve erişilebilen hizmetleri denetler. Bu erişim, Azure Güvenlik Duvarı veya diğer sanal ağ gereçleri (NVA) türleri, kullanıcı tanımlı yollar kullanılarak özel yönlendirme ilkeleri ve ağ güvenlik grupları kullanılarak ağ filtreleme kullanılarak denetlenmektedir. İnternet'e yönelik tüm kaynakların Azure DDoS Koruması tarafından korunmasını öneririz.
Kuruluşların sanal veri merkezlerini şirket içi veri merkezlerine veya diğer kaynaklara bağlaması gerekebilir. Azure ile şirket içi ağlar arasındaki bu bağlantı, etkili bir mimari tasarlanırken önemli bir unsurdur. Kuruluşların bu bağlantıyı oluşturmak için iki farklı yolu vardır: İnternet üzerinden veya özel doğrudan bağlantılar aracılığıyla geçiş.
Azure Siteden Siteye VPN, şirket içi ağları Azure'daki sanal veri merkezinize bağlar. Bağlantı güvenli şifrelenmiş bağlantılar (IPsec tünelleri) aracılığıyla oluşturulur. Azure Siteden Siteye VPN bağlantıları esnektir, oluşturması hızlıdır ve genellikle daha fazla donanım tedariki gerektirmez. Endüstri standardı protokollere bağlı olarak, geçerli ağ cihazlarının çoğu İnternet üzerinden veya mevcut bağlantı yolları üzerinden Azure'a VPN bağlantıları oluşturabilir.
ExpressRoute , sanal veri merkezinizle şirket içi ağlar arasında özel bağlantılar sağlar. ExpressRoute bağlantıları genel İnternet üzerinden gitmez ve tutarlı gecikme süresiyle birlikte daha yüksek güvenlik, güvenilirlik ve daha yüksek hızlar (100 Gb/sn'ye kadar) sunar. ExpressRoute, özel bağlantılarla ilişkili uyumluluk kurallarının avantajlarını sağlar. ExpressRoute Direct ile 10 Gb/sn veya 100 Gb/sn hızında doğrudan Microsoft yönlendiricilerine bağlanabilirsiniz.
ExpressRoute bağlantılarının dağıtılması genellikle bir ExpressRoute hizmet sağlayıcısıyla (ExpressRoute Direct özel durum olarak) etkileşimde bulunmayı içerir. Hızlı başlaması gereken müşteriler için, başlangıçta sanal veri merkezi ile şirket içi kaynaklar arasında bağlantı kurmak için Siteden Siteye VPN kullanmak yaygın bir durumdur. Hizmet sağlayıcınızla fiziksel bağlantınız tamamlandıktan sonra ExpressRoute bağlantınız üzerinden bağlantıyı geçirin.
Çok sayıda VPN veya ExpressRoute bağlantısı için Azure Sanal WAN, Azure aracılığıyla en iyi duruma getirilmiş ve otomatik dallar arası bağlantı sağlayan bir ağ hizmetidir. Sanal WAN, dal cihazlarına bağlanmanızı ve Azure ile iletişim kuracak şekilde yapılandırmanızı sağlar. Bağlanma ve yapılandırma, el ile veya Sanal WAN iş ortağı aracılığıyla tercih edilen sağlayıcı cihazları kullanılarak yapılabilir. Tercih edilen sağlayıcı cihazlarının kullanılması, kullanım kolaylığına, bağlantının basitleştirilmesine ve yapılandırma yönetimine olanak tanır. Azure WAN yerleşik panosu, zamandan tasarruf etmenize yardımcı olabilecek anında sorun giderme içgörüleri sağlar ve büyük ölçekli siteden siteye bağlantıyı görüntülemenin kolay bir yolunu sunar. Sanal WAN ayrıca Sanal WAN hub'ınızda isteğe bağlı bir Azure Güvenlik Duvarı ve Güvenlik Duvarı Yöneticisi ile güvenlik hizmetleri sağlar.
Buluttaki bağlantı
Azure Sanal Ağ ve sanal ağ eşlemesi, bir sanal veri merkezinde temel ağ bileşenleridir. Sanal ağ, sanal veri merkezi kaynakları için yalıtım sınırını garanti eder. Eşleme, aynı Azure bölgesindeki farklı sanal ağlar arasında, bölgeler arasında ve hatta farklı aboneliklerdeki ağlar arasında iletişime olanak tanır. Trafik akışları ağ güvenlik grupları, güvenlik duvarı ilkeleri (Azure Güvenlik Duvarı veya ağ sanal gereçleri) ve özel kullanıcı tanımlı yollar için belirtilen güvenlik kuralları kümeleri tarafından sanal ağların içinde ve arasında denetlenebilir.
Sanal ağlar, hizmet olarak platform (PaaS) Azure ürünlerini (Azure Depolama, Azure SQL ve genel uç noktaları olan diğer tümleşik genel hizmetler) tümleştirmeye yönelik bağlantı noktalarıdır. Hizmet uç noktaları ve Azure Özel Bağlantı ile genel hizmetlerinizi özel ağınızla tümleştirebilirsiniz. Genel hizmetlerinizi özel olarak da kullanabilirsiniz, ancak Yine de Azure tarafından yönetilen PaaS hizmetlerinin avantajlarından yararlanabilirsiniz.
Sanal veri merkezine genel bakış
Topolojiler
Sanal veri merkezi, gereksinimlerinize ve ölçek gereksinimlerinize göre bu üst düzey topolojilerden biri kullanılarak oluşturulabilir:
Düz topolojide tüm kaynaklar tek bir sanal ağda dağıtılır. Alt ağlar akış denetimine ve ayrıştırmaya olanak tanır.
Bir Mesh topolojisinde, sanal ağ eşlemesi tüm sanal ağları birbirine doğrudan bağlar.
Eşleme merkezi ve uç topolojisi, dağıtılmış uygulamalar ve temsilci sorumlulukları olan ekipler için uygundur.
Azure Sanal WAN topolojisi büyük ölçekli şube ofis senaryolarını ve genel WAN hizmetlerini destekleyebilir.
Eşleme merkezi ve uç topolojisi ve Azure Sanal WAN topolojisi iletişim, paylaşılan kaynaklar ve merkezi güvenlik ilkesi için en uygun olan merkez-uç tasarımını kullanır. Hub'lar bir sanal ağ eşleme hub'ı (diyagramda olduğu gibi Hub Virtual Network
etiketlenir) veya Sanal WAN hub'ı (diyagramda olduğu gibi Azure Virtual WAN
etiketlenir) kullanılarak oluşturulur. Azure Sanal WAN, büyük ölçekli daldan dala ve daldan Azure'a iletişimler için veya tüm bileşenleri tek tek bir sanal ağ eşleme hub'ında oluşturmanın karmaşıklıklarından kaçınmak için tasarlanmıştır. Bazı durumlarda gereksinimleriniz, hub'da ağ sanal gereçleri gereksinimi gibi bir sanal ağ eşleme hub'ı tasarımı gerektirebilir.
Merkez-uç topolojilerinde merkez, internet, şirket içi ve uçlar gibi farklı bölgeler arasındaki tüm trafiği denetleyen ve denetleyen merkezi ağ bölgesidir. Merkez-uç topolojisi, BT departmanının güvenlik ilkelerini merkezi olarak zorunlu kılmaya yardımcı olur. Ayrıca, yanlış yapılandırma ve risklere maruz kalma olasılığını da azaltır.
Merkez genellikle uçlar tarafından kullanılan ortak hizmet bileşenlerini içerir. Ortak merkezi hizmetlere ait örnekler aşağıdadır:
- Windows Active Directory altyapısı, güvenilmeyen ağlardan erişen üçüncü tarafların uçtaki iş yüklerine erişmeden önce kullanıcı kimlik doğrulaması için gereklidir. İlgili Active Directory Federasyon Hizmetleri (AD FS) (AD FS) içerir
- Dağıtılmış Ad Sistemi (DNS) hizmeti, uçlardaki iş yükünün adlandırmasını çözümlemek ve Azure DNS kullanılmıyorsa şirket içi ve İnternet üzerindeki kaynaklara erişmek için kullanılır
- İş yüklerinde çoklu oturum açma uygulamak için ortak anahtar altyapısı (PKI) kullanılır
- Uç ağ bölgeleri ile internet arasındaki TCP ve UDP trafiğinin akış denetimi
- Uçlar ve şirket içi arasında akış denetimi
- Gerekirse, bir uç ile başka bir uç arasında akış denetimi
Sanal veri merkezi, birden çok uç arasında paylaşılan merkez altyapısını kullanarak genel maliyeti azaltır.
Her uç rolü farklı iş yükü türlerini barındırabilir. Uçlar ayrıca aynı iş yüklerinin yinelenebilir dağıtımlarına yönelik modüler bir yaklaşım sağlar. Geliştirme/test, kullanıcı kabul testi, ön üretim ve üretim örnekleri verilebilir. Uçlar ayrıca, kuruluşunuzdaki farklı grupları da ayırt edebilir ve etkinleştirebilir. DevOps grupları, uçların neler yapabileceğinin iyi bir örneğidir. Uç içinde, temel iş yükü dağıtmak veya katmanlar arasında trafik denetimiyle karmaşık, çok katmanlı iş yüklerini dağıtmak mümkündür.
Abonelik limitleri ve birden çok merkez
Önemli
Azure dağıtımlarınızın boyutuna bağlı olarak, birden çok hub stratejisine ihtiyacınız olabilir. Merkez-uç stratejinizi tasarlarken "Bu tasarım, bu bölgedeki başka bir merkez sanal ağını kullanacak şekilde ölçeklendirilebilir mi?" ve "Bu tasarım ölçeği birden çok bölgeyi barındırabilir mi?" sorusunu sorun. Ölçeklendirilen ve gerekmeyen bir tasarım planlamak, planlamayı başarısız olmaktan ve ihtiyaç duymaktan çok daha iyidir.
İkincil (veya daha fazla) hub'a ne zaman ölçeklendirilecekleri, genellikle ölçek üzerindeki doğal sınırlara bağlı olarak çeşitli faktörlere bağlıdır. Ölçek tasarlarken abonelik, sanal ağ ve sanal makine sınırlarını gözden geçirmeyi unutmayın.
Azure’da, türü ne olursa olsun her bileşen bir Azure aboneliğinde dağıtılır. Farklı Azure aboneliklerindeki Azure bileşenlerinin yalıtımı, farklı erişim ve yetkilendirme düzeylerini ayarlama gibi farklı iş kolu gereksinimlerini karşılayabilir.
Tek bir VDC uygulaması çok sayıda uç ölçeğini artırabilir. Her BT sisteminde olduğu gibi platform sınırları da vardır. Hub dağıtımı, kısıtlamaları ve sınırları (örneğin, en fazla sanal ağ eşlemesi sayısı) olan belirli bir Azure aboneliğine bağlıdır. Ayrıntılar için bkz. Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar). Sınırların sorun oluşturabileceği durumlarda mimari, modeli tek bir merkez-uçtan merkez-uç kümesine genişleterek daha fazla ölçeklendirilebilir. Bir veya daha fazla Azure bölgesinde birden çok hub sanal ağ eşlemesi, ExpressRoute, Sanal WAN veya Siteden Siteye VPN kullanılarak bağlanabilir.
Birden çok hub'ın kullanıma sunulması, sistemin maliyetini ve yönetim çabasını artırır. Yalnızca ölçeklenebilirlik, sistem sınırları, yedeklilik, son kullanıcı performansı için bölgesel çoğaltma veya olağanüstü durum kurtarma nedeniyle gerekçelendirilir. Birden çok hub gerektiren senaryolarda, tüm hub'lar operasyonel kolaylık için aynı hizmet kümesini sunmaya çalışmalıdır.
Uçlar arasında bağlantı
Tek bir uçta veya düz ağ tasarımında karmaşık çok katmanlı iş yükleri uygulamak mümkündür. Çok katmanlı yapılandırmalar, aynı sanal ağdaki her katman veya uygulama için bir tane olan alt ağlar kullanılarak uygulanabilir. Trafik denetimi ve filtreleme, ağ güvenlik grupları ve kullanıcı tanımlı yollar kullanılarak yapılır.
Bir mimar, çok katmanlı iş yükünü birden çok sanal ağa dağıtmak isteyebilir. Sanal ağ eşlemesi sayesinde uçlar aynı merkezdeki veya farklı merkezlerdeki diğer uçlara bağlanabilir. Bu senaryoya tipik bir örnek, uygulama işleme sunucularının tek uçta veya sanal ağda olmasıdır. Veritabanı farklı bir uçta veya sanal ağda dağıtılır. Bu durumda uçları sanal ağ eşlemesi ile birbirine bağlamak kolaydır ve bu da hub'dan geçişten kaçınıyor. Hub'ı atlamanın yalnızca hub'da mevcut olabilecek önemli güvenlik veya denetim noktalarını atlamadığından emin olmak için dikkatli bir mimari ve güvenlik gözden geçirmesi tamamlayın.
Uçlar, merkez görevi gören bir uçla da birbirine bağlanabilir. Bu yaklaşım iki düzeyli bir hiyerarşi oluşturur. Daha yüksek düzeydeki uç (düzey 0), hiyerarşinin alt uçlarının (düzey 1) hub'ı olur. Bir VDC uygulamasının uçları, trafiği merkezi hub'a iletmek için gereklidir. Trafik daha sonra şirket içi ağda veya genel İnternet'te hedefine geçiş yapabilir. İki hub düzeyine sahip bir mimari, basit bir merkez-uç ilişkisinin avantajlarını kaldıran karmaşık yönlendirmeyi tanıtır.
Azure karmaşık topolojilere izin veriyor olsa da, VDC kavramının temel ilkelerinden biri yinelenebilirlik ve basitliktir. Yönetim çalışmalarını en aza indirmek için basit merkez-uç tasarımı, önerdiğimiz VDC başvuru mimarisidir.
Bileşenler
Sanal veri merkezi dört temel bileşen türünden oluşur: Altyapı, Çevre Ağları, İş Yükleri ve İzleme.
Her bileşen türü çeşitli Azure özelliklerinden ve kaynaklarından oluşur. VDC uygulamanız birden çok bileşen türünün örneklerinden ve aynı bileşen türünün birden çok varyasyondan oluşur. Örneğin, farklı uygulamaları temsil eden birçok farklı, mantıksal olarak ayrılmış iş yükü örneğiniz olabilir. VDC'yi oluşturmak için bu farklı bileşen türlerini ve örneklerini kullanırsınız.
VDC'nin yukarıdaki üst düzey kavramsal mimarisi, merkez-uç topolojisinin farklı bölgelerinde kullanılan farklı bileşen türlerini gösterir. Diyagram, mimarinin çeşitli bölümlerindeki altyapı bileşenlerini gösterir.
Genel olarak iyi bir uygulama olarak, erişim hakları ve ayrıcalıklar grup tabanlı olabilir. Tek tek kullanıcılar yerine gruplarla ilgilenmek, yapılandırma hatalarını en aza indirmeye yardımcı olan, ekipler arasında yönetmek için tutarlı bir yol sağlayarak erişim ilkelerinin bakımını kolaylaştırır. Kullanıcıları uygun gruplara atamak ve kaldırmak, belirli bir kullanıcının ayrıcalıklarını güncel tutmaya yardımcı olur.
Her rol grubunun adlarında benzersiz bir ön ek olabilir. Bu ön ek, bir grubun hangi iş yüküyle ilişkili olduğunu belirlemeyi kolaylaştırır. Örneğin, kimlik doğrulama hizmetini barındıran bir iş yükünün AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps ve AuthServiceInfraOps adlı grupları olabilir. Merkezi roller veya belirli bir hizmetle ilgili olmayan roller Corp ile önceden oluşturulmuş olabilir. CorpNetOps örneğidir.
Birçok kuruluş, rollerin önemli bir dökümünü sağlamak için aşağıdaki grupların bir çeşitlemini kullanır:
- Corp adlı merkezi BT ekibi, altyapı bileşenlerini denetlemek için sahiplik haklarına sahiptir. Örnek olarak ağ ve güvenlik verilebilir. Grubun abonelikte katkıda bulunan rolüne, merkezin denetimine ve uçlarda ağ katkıda bulunanı haklarına sahip olması gerekir. Büyük kuruluşlar genellikle bu yönetim sorumluluklarını birden çok ekip arasında ayırır. Örnek olarak, özel olarak ağa odaklanan bir ağ operasyonları CorpNetOps grubu ve güvenlik duvarı ve güvenlik ilkesinden sorumlu bir güvenlik operasyonları CorpSecOps grubu verilebilir. Bu özel durumda, bu özel rollerin atanacağı iki farklı grubun oluşturulması gerekir.
- AppDevOps adlı geliştirme/test grubu, uygulama veya hizmet iş yüklerini dağıtma sorumluluğuna sahiptir. Bu grup, IaaS dağıtımları veya bir veya daha fazla PaaS katkıda bulunanı rolü için sanal makine katkıda bulunanı rolünü alır. Daha fazla bilgi için bkz. Azure yerleşik rolleri. İsteğe bağlı olarak geliştirme/test ekibinin merkez veya belirli bir uç içindeki güvenlik ilkeleri (ağ güvenlik grupları) ve yönlendirme ilkeleri (kullanıcı tanımlı yollar) üzerinde görünürlüğe ihtiyacı olabilir. İş yükleri için katkıda bulunan rolüne ek olarak, bu grubun ağ okuyucu rolüne de ihtiyacı olacaktır.
- CorpInfraOps veya AppInfraOps adlı işlem ve bakım grubu, üretimdeki iş yüklerini yönetme sorumluluğuna sahiptir. Bu grubun herhangi bir üretim aboneliğindeki iş yüklerinde abonelik katkıda bulunanı olması gerekir. Bazı kuruluşlar, üretimde abonelik katkıda bulunanı rolüne ve merkezi merkez aboneliğine sahip bir yükseltme destek ekip grubuna ihtiyaç olup olmadığını da değerlendirebilir. Diğer grup, üretim ortamındaki olası yapılandırma sorunlarını düzeltir.
VDC, hub'ı yöneten merkezi BT ekip gruplarının iş yükü düzeyinde ilgili gruplara sahip olması için tasarlanmıştır. Merkez kaynaklarını yönetmeye ek olarak, merkezi BT ekibi abonelik üzerindeki dış erişimi ve üst düzey izinleri de denetleyebiliyor. İş yükü grupları, sanal ağlarının kaynaklarını ve izinlerini merkezi BT ekibinden bağımsız olarak denetleyebilir.
Sanal veri merkezi, farklı iş kolunda birden çok projenin güvenli bir şekilde barındırılıyor olması için bölümlenmiştir. Tüm projeler farklı yalıtılmış ortamlar (geliştirme, UAT ve üretim) gerektirir. Bu ortamların her biri için ayrı Azure abonelikleri doğal yalıtım sağlayabilir.
Yukarıdaki diyagramda bir kuruluşun projeleri, kullanıcıları, grupları ve Azure bileşenlerinin dağıtıldığı ortamlar arasındaki ilişki gösterilmektedir.
Genellikle BT'de ortam (veya katman), birden çok uygulamanın dağıtıldığı ve yürütüldiği bir sistemdir. Büyük kuruluşlar bir geliştirme ortamı (değişikliklerin yapıldığı ve test edildiği) ve bir üretim ortamı (son kullanıcıların kullandığı ortam) kullanır. Bu ortamlar, genellikle aralarında birkaç hazırlama ortamıyla ayrılmıştır ve sorunlar ortaya çıktığında aşamalı dağıtım (dağıtım), test ve geri alma işlemlerine izin verir. Dağıtım mimarileri önemli ölçüde farklılık gösterir, ancak genellikle geliştirme aşamasında (DEV) başlayıp üretimde (PROD) biten temel süreç yine de izlenir.
Bu tür çok katmanlı ortamlar için yaygın mimarilerden biri geliştirme ve test için DevOps, hazırlama için UAT ve üretim ortamlarıdır. Kuruluşlar, bu ortamlara erişimi ve hakları tanımlamak için tek veya birden çok Microsoft Entra kiracısı kullanabilir. Önceki diyagramda biri DevOps ve UAT, diğeri ise yalnızca üretim için olmak üzere iki farklı Microsoft Entra kiracısının kullanıldığı bir durum gösterilmektedir.
Farklı Microsoft Entra kiracılarının varlığı ortamlar arasındaki ayrımı zorlar. Merkezi BT ekibi gibi aynı kullanıcı grubunun farklı bir Microsoft Entra kiracısına erişmek için farklı bir URI kullanarak kimlik doğrulaması yapması gerekir. Bu, ekibin bir projenin DevOps veya üretim ortamlarının rollerini veya izinlerini değiştirmesine olanak tanır. Farklı ortamlara erişmek için farklı kullanıcı kimlik doğrulamalarının bulunması olası kesintileri ve insan hatalarının neden olduğu diğer sorunları azaltır.
Bileşen türü: altyapı
Bu bileşen türü, destekleyici altyapının çoğunun bulunduğu yerdir. Merkezi BT, güvenlik ve uyumluluk ekiplerinizin de zamanının çoğunu harcadığı yerdir.
Altyapı bileşenleri, VDC uygulamasının farklı bileşenleri için bir bağlantı sağlar ve hem merkez hem de uçlarda bulunur. Altyapı bileşenlerini yönetme ve koruma sorumluluğu genellikle merkezi BT ekibine veya güvenlik ekibine atanır.
BT altyapısı ekibinin birincil görevlerinden biri, kuruluş genelinde IP adresi şemalarının tutarlılığını garanti etmektir. Bir VDC uygulamasına atanan özel IP adresi alanı tutarlı olmalı ve şirket içi ağlarınızda atanan özel IP adresleriyle çakışmamalıdır.
Şirket içi uç yönlendiricilerde veya Azure ortamlarında NAT, IP adresi çakışmalarını önleyebilir ancak altyapı bileşenlerinize karmaşıklıklar ekler. Yönetimin basitliği, VDC'nin temel hedeflerinden biridir. GEÇERLI bir çözüm olsa da IP sorunlarını işlemek için NAT kullanmak önerilen bir çözüm değildir.
Altyapı bileşenleri aşağıdaki işlevlere sahiptir:
- Kimlik ve dizin hizmetleri: Azure'daki her kaynak türüne erişim, dizin hizmetinde depolanan bir kimlik tarafından denetleniyor. Dizin hizmeti yalnızca kullanıcı listesini değil, aynı zamanda belirli bir Azure aboneliğindeki kaynaklara erişim haklarını da depolar. Bu hizmetler bulutta bulunabilir veya Active Directory'de depolanan şirket içi kimlikle eşitlenebilir.
- Sanal ağlar: Sanal ağlar VDC'nin ana bileşenlerinden biridir ve Azure platformunda bir trafik yalıtım sınırı oluşturmanıza olanak tanır. Sanal ağ, her biri belirli bir IP ağı ön ekiyle (IPv4 veya çift yığınlı IPv4/IPv6) tek veya birden çok sanal ağ kesiminden oluşur. Sanal ağ, IaaS sanal makinelerinin ve PaaS hizmetlerinin özel iletişim kurabileceği bir iç çevre alanı tanımlar. Bir sanal ağdaki VM'ler (ve PaaS hizmetleri), farklı bir sanal ağdaki VM'lerle (ve PaaS hizmetleriyle) doğrudan iletişim kuramaz. Her iki sanal ağ da aynı abonelik altında aynı müşteri tarafından oluşturulsa bile bu durum geçerlidir. Yalıtım, müşteri VM'lerinin ve iletişimin bir sanal ağ içinde özel kalmasını sağlayan kritik bir özelliktir. Ağlar arası bağlantının istendiği durumlarda, aşağıdaki özellikler bunun nasıl gerçekleştirilebileceğini açıklar.
- Sanal ağ eşlemesi: Bir VDC'nin altyapısını oluşturmak için kullanılan temel özellik, aynı bölgedeki iki sanal ağı bağlayan sanal ağ eşlemedir. Bu bağlantı, Azure veri merkezi ağı üzerinden veya bölgeler arasında azure dünya çapında omurga kullanılarak gerçekleşir.
- hizmet uç noktalarını Sanal Ağ: Hizmet uç noktaları, sanal ağ özel adres alanınızı PaaS alanınızı içerecek şekilde genişletir. Uç noktalar ayrıca sanal ağınızın kimliğini doğrudan bağlantı üzerinden Azure hizmetlerine genişletir. Uç noktalar, kritik Azure hizmet kaynaklarınızın güvenliğini sanal ağlarınızda korumanıza olanak sağlar.
- Özel Bağlantı: Azure Özel Bağlantı, Sanal ağınızdaki Özel Uç Nokta üzerinden Azure PaaS Hizmetleri'ne (örneğin Azure Depolama, Azure Cosmos DB ve Azure SQL Veritabanı) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Ayrıca sanal ağınızda kendi Özel Bağlantı Hizmetinizi oluşturabilir ve müşterilerinize özel olarak sunabilirsiniz. Azure Özel Bağlantı kullanarak kurulum ve tüketim deneyimi Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetleri arasında tutarlıdır.
- Kullanıcı tanımlı yollar: Sanal ağdaki trafik, sistem yönlendirme tablosuna göre varsayılan olarak yönlendirilir. Kullanıcı tanımlı yol, ağ yöneticilerinin sistem yönlendirme tablosunun davranışını geçersiz kılmak için bir veya daha fazla alt ağ ile ilişkilendirebileceği ve sanal ağ içinde bir iletişim yolu tanımlayabildiği özel bir yönlendirme tablosudur. Kullanıcı tanımlı yolların varlığı, hem merkez hem de uçlarda bulunan belirli özel VM'ler veya ağ sanal gereçleri ve yük dengeleyiciler aracılığıyla uç geçişinden gelen trafiği garanti eder.
- Ağ güvenlik grupları: Ağ güvenlik grubu, IP kaynakları, IP hedefleri, protokoller, IP kaynak bağlantı noktaları ve IP hedef bağlantı noktaları (Katman 4 beş tanımlama grubu olarak da adlandırılır) üzerinde trafik filtrelemesi görevi üstleyen güvenlik kurallarının listesidir. Ağ güvenlik grubu bir alt ağa, Azure VM ile ilişkilendirilmiş bir Sanal NIC'ye veya her ikisine de uygulanabilir. Ağ güvenlik grupları, merkez ve uçlarda doğru akış denetimi uygulamak için gereklidir. Ağ güvenlik grubunun sağladığı güvenlik düzeyi, hangi bağlantı noktalarını ve hangi amaçla açtığınızı gösteren bir işlevdir. Müşteriler iptable'lar veya Windows Güvenlik Duvarı gibi konak tabanlı güvenlik duvarlarıyla VM başına daha fazla filtre uygulayabilir.
- DNS: DNS, bir sanal veri merkezindeki kaynaklar için ad çözümlemesi sağlar. Azure hem genel hem de özel ad çözümlemesi için DNS hizmetleri sağlar. Özel bölgeler, bir sanal ağ içinde ve sanal ağlar arasında ad çözümlemesi sağlar. Özel bölgeler aynı bölgedeki sanal ağlara, bölgelere ve aboneliklere yayılabilir. Genel çözüm için Azure DNS, MICROSOFT Azure altyapısını kullanarak ad çözümlemesi sağlayan DNS etki alanları için bir barındırma hizmeti sağlar. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz.
- Yönetim grubu, abonelik ve kaynak grubu yönetimi. Abonelik, Azure'da birden çok kaynak grubu oluşturmak için doğal bir sınır tanımlar. Bu ayrım işlev, rol ayrımı veya faturalama için olabilir. Abonelikteki kaynaklar, kaynak grupları olarak bilinen mantıksal kapsayıcılarda bir araya getirilir. Kaynak grubu, sanal veri merkezinde kaynakları düzenlemek için bir mantıksal grubu temsil eder. Kuruluşunuzun çok sayıda aboneliği varsa, söz konusu aboneliklerde erişimi, ilkeleri ve uyumluluğu yönetmek için verimli bir yönteme ihtiyacınız olabilir. Azure yönetim grupları aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri yönetim grupları olarak bilinen kapsayıcılar halinde düzenler ve yönetim koşullarınızı yönetim gruplarına uygularsınız. Bir yönetim grubu içindeki aboneliklerin tümü otomatik olarak yönetim grubuna uygulanmış olan koşulları devralır. Hiyerarşi görünümünde bu üç özelliği görmek için bkz. Bulut Benimseme Çerçevesi kaynaklarınızı düzenleme.
- Azure rol tabanlı erişim denetimi (Azure RBAC):Azure RBAC belirli Azure kaynaklarına erişmek için kuruluş rollerini ve haklarını eşleyebilir. Bu, kullanıcıları yalnızca belirli bir eylem alt kümesiyle kısıtlamanıza olanak tanır. Microsoft Entra ID'yi bir şirket içi Active Directory ile eşitlerseniz, Azure'da şirket içinde kullandığınız Active Directory gruplarının aynısını kullanabilirsiniz. Azure RBAC ile ilgili kapsamdaki kullanıcılara, gruplara ve uygulamalara uygun rolü atayarak erişim verebilirsiniz. Rol atamasının kapsamı bir Azure aboneliği, kaynak grubu veya tek bir kaynak olabilir. Azure RBAC izinlerin devralınmasına izin verir. Üst kapsamda atanan bir rol, içinde yer alan alt öğelere de erişim verir. Azure RBAC ile görevleri ayrıştırabilir ve yalnızca işlerini gerçekleştirmek için ihtiyaç duydukları kullanıcılara erişim sağlayabilirsiniz. Örneğin, bir çalışan abonelikteki sanal makineleri yönetebilirken, başka bir çalışan da aynı abonelikteki SQL Server veritabanlarını yönetebilir.
Bileşen Türü: Çevre Ağları
Çevre ağının bileşenleri (bazen DMZ ağı olarak adlandırılır) şirket içi veya fiziksel veri merkezi ağlarınızı ve tüm İnternet bağlantılarınızı bağlar. Çevre genellikle ağ ve güvenlik ekiplerinizin önemli bir zaman yatırımını gerektirir.
Gelen paketler, uçlardaki arka uç sunucularına ve hizmetlerine ulaşmadan önce merkezdeki güvenlik gereçleri üzerinden akabilir. Örnek olarak güvenlik duvarı, IDS ve IPS verilebilir. Ağdan ayrılmadan önce, iş yüklerinden İnternet'e bağlı paketler çevre ağındaki güvenlik gereçleri üzerinden de akabilir. Bu akış ilke uygulama, denetleme ve denetim sağlar.
Çevre ağı bileşenleri şunlardır:
- Sanal ağlar, kullanıcı tanımlı yollar ve ağ güvenlik grupları
- Ağ sanal gereçleri
- Azure Load Balancer
- Web uygulaması güvenlik duvarı (WAF) ile Azure Uygulaması Lication Gateway
- Genel IP’ler
- Web uygulaması güvenlik duvarı (WAF) ile Azure Front Door
- Azure Güvenlik Duvarı ve Azure Güvenlik Duvarı Yöneticisi
- Standart DDoS Koruması
Genellikle çevre ağlarının gereksinim tanımı ve çalışması için merkezi BT ekibi ve güvenlik ekipleri sorumludur.
Yukarıdaki diyagramda, her ikisi de DMZ hub'ında yerleşik olarak bulunan, İnternet'e ve şirket içi ağa erişimi olan iki çevrenin uygulanması gösterilmektedir. DMZ hub'ında, İnternet'e yönelik çevre ağı, birden çok Web Uygulaması Güvenlik Duvarı grubu (WAF) veya Azure Güvenlik Duvarı kullanarak birçok iş hattını destekleyecek şekilde ölçeklendirilebilir. Hub ayrıca gerektiğinde VPN veya ExpressRoute üzerinden şirket içi bağlantıya da olanak tanır.
Not
Yukarıdaki diyagramda, içindeDMZ Hub
, aşağıdaki özelliklerin çoğu bir Azure Sanal WAN hub'ında (sanal ağlar, kullanıcı tanımlı yollar, ağ güvenlik grupları, VPN ağ geçitleri, ExpressRoute ağ geçitleri, Azure Load Balancer'lar, Azure Güvenlik Duvarı'ler, Güvenlik Duvarı Yöneticisi ve DDOS gibi) birlikte paketlenebilir. Azure Sanal WAN hub'larının kullanılması, bir Azure Sanal WAN hub'ı dağıttığınızda mühendislik karmaşıklığının çoğu Sizin için Azure tarafından işlendiğinden merkez sanal ağı ve VDC'nin oluşturulmasını çok daha kolay hale getirebilir.
Sanal ağlar. Hub genellikle farklı hizmet türlerini barındıran birden çok alt ağa sahip bir sanal ağ üzerinde oluşturulur. Bu hizmetler Azure Güvenlik Duvarı, NVA'lar, WAF ve Azure Uygulaması lication Gateway örnekleri aracılığıyla İnternet'e gelen veya İnternet'ten gelen trafiği filtreleyip inceler.
Kullanıcı tanımlı yollar. Müşteriler, kullanıcı tanımlı yolları kullanarak güvenlik duvarları, IDS/IPS ve diğer sanal aletlerin dağıtımını yapabilir. Güvenlik sınırı ilkesi uygulama, denetleme ve denetleme için bu güvenlik gereçleri aracılığıyla ağ trafiğini yönlendirebilirler. Kullanıcı tanımlı yollar, bir VDC uygulaması tarafından kullanılan belirli özel VM'ler, Ağ Sanal Gereçleri ve yük dengeleyiciler aracılığıyla trafik geçişlerinin garanti altına alınması için hem merkez hem de uçlarda oluşturulabilir. Uçtaki sanal makinelerden oluşturulan trafiğin doğru sanal gereçlere geçişini sağlamak için uç alt ağlarında kullanıcı tanımlı bir yolun ayarlanması gerekir. Bu, iç yük dengeleyicinin ön uç IP adresi sonraki atlama olarak ayarlanarak yapılır. Dahili yük dengeleyici, dahili trafiği sanal aletlere (yük dengeleyici arka uç havuzu) dağıtır.
Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen bir ağ güvenlik hizmetidir. Yüksek kullanılabilirliğe ve bulut ölçeklenebilirliğine sahip durum bilgisi olan bir yönetilen güvenlik duvarıdır. Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz. Azure Güvenlik Duvarı, sanal ağ kaynaklarınız için statik bir genel IP adresi kullanır. Dış güvenlik duvarlarının sanal ağınızdan gelen trafiği belirlemesini sağlar. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.
Azure Sanal WAN topolojisini kullanıyorsanız Azure Güvenlik Duvarı Yöneticisi, bulut tabanlı güvenlik çevreleri için merkezi güvenlik ilkesi ve rota yönetimi sağlayan bir güvenlik yönetimi hizmetidir. Kolayca merkez-uç mimarileri oluşturmanıza olanak tanıyan Microsoft tarafından yönetilen bir kaynak olan Azure Sanal WAN hub ile çalışır. Güvenlik ve yönlendirme ilkeleri bir hub ile ilişkilendirildiğinde güvenli sanal hub olarak adlandırılır.
Ağ sanal gereçleri. Hub'da İnternet'e erişimi olan çevre ağı normalde bir Azure Güvenlik Duvarı örneği ya da bir güvenlik duvarı grubu ya da web uygulaması güvenlik duvarı (WAF) üzerinden yönetilir.
Farklı iş alanları genellikle çeşitli güvenlik açıklarından ve olası açıklardan muzdarip olan birçok web uygulaması kullanır. Web uygulaması güvenlik duvarları, web uygulamalarına ve HTTP/HTTPS'ye yönelik saldırıları genel bir güvenlik duvarından daha etkili bir şekilde algılamak için kullanılan özel bir ürün türüdür. Geleneksel güvenlik duvarı teknolojisiyle karşılaştırıldığında, WAF'ler iç web sunucularını tehditlere karşı korumak için bir dizi özel özelliğe sahiptir.
Azure Güvenlik Duvarı veya NVA güvenlik duvarı, uçlarda barındırılan iş yüklerini korumak ve şirket içi ağlara erişimi denetlemek için bir dizi güvenlik kuralı içeren ortak bir yönetim düzlemi kullanır. Azure Güvenlik Duvarı yerleşik ölçeklenebilirlik özelliğine sahipken, NVA güvenlik duvarları yük dengeleyicinin arkasında el ile ölçeklendirilebilir. Genel olarak, güvenlik duvarı grubu WAF ile karşılaştırıldığında daha az özelleştirilmiş yazılıma sahiptir, ancak çıkış ve girişteki her türlü trafiği filtrelemek ve incelemek için daha geniş bir uygulama kapsamına sahiptir. NVA yaklaşımı kullanılırsa, bu yaklaşımlar Azure Market bulunabilir ve dağıtılabilir.
İnternet'te kaynaklanan trafik için tek bir Azure Güvenlik Duvarı örneği veya NVA kümesi kullanmanızı öneririz. Şirket içi kaynaklı trafik için başka bir tane kullanın. her ikisi için de yalnızca bir güvenlik duvarı kümesi kullanılması, iki ağ trafiği kümesi arasında güvenlik çevresi sağlamaz. Ayrı güvenlik duvarı katmanlarının kullanılması, güvenlik kurallarını denetleme karmaşıklığını azaltır ve hangi kuralların hangi gelen ağ isteğine karşılık olduğunu netleştirir.
Azure Load Balancer , gelen trafiği yük dengeli bir kümede tanımlanan hizmet örnekleri arasında dağıtabilen yüksek kullanılabilirlik katmanı 4 (TCP/UDP) hizmeti sunar. Ön uç uç uç noktalarından (genel IP uç noktaları veya özel IP uç noktaları) yük dengeleyiciye gönderilen trafik, adres çevirisi ile veya olmadan bir dizi arka uç IP adresi havuzuna (ağ sanal gereçleri veya sanal makineler gibi) yeniden dağıtılabilir.
Azure Load Balancer çeşitli sunucu örneklerinin durumunu araştırabilir. Örnek, yoklamaya yanıt veremediğinde yük dengeleyici, iyi durumda olmayan örneklere trafiği göndermeyi durdurur. Sanal veri merkezinde merkez ve uçlara bir dış yük dengeleyici dağıtılır. Hub'da yük dengeleyici, trafiği güvenlik duvarı örnekleri arasında verimli bir şekilde yönlendirmek için kullanılır. Uçlarda yük dengeleyiciler uygulama trafiğini yönetmek için kullanılır.
Azure Front Door (AFD), Microsoft'un yüksek oranda kullanılabilir ve ölçeklenebilir web uygulaması hızlandırma platformu, genel HTTP yük dengeleyicisi, uygulama koruması ve içerik teslim ağıdır. Microsoft'un Genel Ağı'nın kenarında 100'den fazla konumda çalışan AFD, dinamik web uygulamanızı ve statik içeriğinizi oluşturmanızı, çalıştırmanızı ve ölçeğini genişletmenizi sağlar. AFD, uygulamanıza birinci sınıf son kullanıcı performansı, birleşik bölgesel/damga bakım otomasyonu, BCDR otomasyonu, birleşik istemci/kullanıcı bilgileri, önbelleğe alma ve hizmet içgörüleri sağlar.
Platform şu teklifleri sunar:
- Performans, güvenilirlik ve hizmet düzeyi sözleşmelerini (SLA' lar) destekler.
- Uyumluluk sertifikaları.
- Azure tarafından geliştirilen, çalıştırılan ve yerel olarak desteklenen denetlenebilir güvenlik uygulamaları.
Azure Front Door ayrıca web uygulamalarını yaygın güvenlik açıklarına ve açıklara karşı koruyan bir web uygulaması güvenlik duvarı (WAF) sağlar.
Azure Uygulaması lication Gateway, yönetilen uygulama teslim denetleyicisi sağlayan ayrılmış bir sanal gereçtir. Uygulamanız için çeşitli Katman 7 yük dengeleme özellikleri sunar. Yoğun CPU kullanan SSL sonlandırmasını uygulama ağ geçidine boşaltarak web grubu performansını iyileştirmenize olanak tanır. Ayrıca gelen trafiğin hepsini bir kez deneme dağıtımı, tanımlama bilgisi tabanlı oturum benzimi, URL yolu tabanlı yönlendirme ve tek bir uygulama ağ geçidinin arkasında birden çok web sitesi barındırma gibi diğer Katman 7 yönlendirme özelliklerini de sağlar. Application gateway WAF SKU’su kapsamında bir web uygulaması güvenlik duvarı da (WAF) sağlanır. Bu SKU, web uygulamaları için yaygın web güvenlik açıklarına ve açıklardan yararlanmaya karşı koruma sağlar. Uygulama ağ geçidi İnternet'e yönelik ağ geçidi, yalnızca iç ağ geçidi veya her ikisinin birleşimi olarak yapılandırılabilir.
Genel IP'ler. Bazı Azure özellikleriyle, hizmetinizin İnternet'ten erişilebilir olması için hizmet uç noktalarını bir genel IP adresiyle ilişkilendirebilirsiniz. Bu uç nokta, trafiği Azure'daki sanal ağdaki iç adrese ve bağlantı noktasına yönlendirmek için NAT kullanır. Bu yol, dış trafiğin sanal ağa geçmesi için birincil yoldur. Hangi trafiğin geçirildiğini ve sanal ağa nasıl ve nerede çevrildiğini belirlemek için genel IP adreslerini yapılandırabilirsiniz.
Azure DDoS Koruması, temel hizmet katmanı üzerinden azure sanal ağ kaynaklarına özel olarak ayarlanmış daha fazla azaltma özelliği sağlar. DDoS Koruması'nın etkinleştirilmesi kolaydır ve uygulama değişikliği gerektirmez. Koruma ilkeleri adanmış trafik izleme ve makine öğrenimi algoritmalarıyla düzenlenir. İlkeler, sanal ağlarda dağıtılan kaynaklarla ilişkili genel IP adreslerine uygulanır. Örnek olarak Azure yük dengeleyici, Azure uygulama ağ geçidi ve Azure service fabric örnekleri verilebilir. Neredeyse gerçek zamanlı olarak, sistem tarafından oluşturulan günlükler bir saldırı sırasında ve geçmiş için Azure izleyici görünümleri aracılığıyla kullanılabilir. Uygulama katmanı koruması, Azure application gateway web uygulaması güvenlik duvarı aracılığıyla eklenebilir. IPv4 ve IPv6 Azure genel IP adresleri için koruma sağlanır.
Merkez-uç topolojisi, trafiği düzgün yönlendirmek için sanal ağ eşlemesini ve kullanıcı tanımlı yolları kullanır.
Diyagramda kullanıcı tanımlı yol, ExpressRoute ağ geçidi üzerinden şirket içi ortama geçmeden önce trafiğin uçtan güvenlik duvarına akmasını sağlar (güvenlik duvarı ilkesi bu akışa izin veriyorsa).
Bileşen türü: izleme
İzleme bileşenleri diğer tüm bileşen türlerinden görünürlük ve uyarı sağlar. Tüm ekipler erişim sahibi oldukları bileşenler ve hizmetler için izleme erişimine sahip olabilir. Merkezi bir yardım masanız veya operasyon ekipleriniz varsa, bu bileşenler tarafından sağlanan verilere tümleşik erişim gerektirir.
Azure, Azure tarafından barındırılan kaynakların davranışını izlemek için farklı türde günlük ve izleme hizmetleri sunar. Azure'daki iş yüklerinin idaresi ve denetimi yalnızca günlük verilerini toplamaya değil, aynı zamanda bildirilen belirli olaylara göre eylemleri tetikleme özelliğine de dayanır.
Azure İzleyici. Azure, izleme alanında belirli bir rolü veya görevi tek tek gerçekleştiren birden çok hizmet içerir. Bu hizmetler birlikte, uygulamalarınızdan ve bunları destekleyen Azure kaynaklarından sistem tarafından oluşturulan günlükleri toplamak, analiz etmek ve bunlar üzerinde hareket etmek için kapsamlı bir çözüm sunar. Karma izleme ortamı sağlamak için kritik şirket içi kaynakları izlemek için de çalışabilirler. Kullanılabilir araçları ve verileri anlamak, uygulamalarınız için eksiksiz bir izleme stratejisi geliştirmenin ilk adımıdır.
Azure İzleyici'de iki temel günlük türü vardır:
Ölçümler , sistemin belirli bir zaman noktasındaki bazı yönlerini açıklayan sayısal değerlerdir. Bunlar hafiftir ve neredeyse gerçek zamanlı senaryoları destekleyebilecek kapasitededir. Birçok Azure kaynağı için Azure İzleyici tarafından toplanan verileri doğrudan Azure portalındaki genel bakış sayfasında görürsünüz. Örnek olarak, herhangi bir sanal makineye baktığınızda performans ölçümlerini görüntüleyen birkaç grafik görürsünüz. Verileri Azure portalında ölçüm gezgininde açmak için graflardan herhangi birini seçin. Bu sayede zaman içinde birden çok ölçümün değerlerini grafikleyebilirsiniz. Grafikleri etkileşimli olarak görüntüleyebilir veya diğer görselleştirmelerle görüntülemek için bir panoya sabitleyebilirsiniz.
Günlükler , her tür için farklı özellik kümelerine sahip kayıtlarda düzenlenmiş farklı türde veriler içerir. Olaylar ve izlemeler, performans verileriyle birlikte günlük olarak depolanır ve bunların hepsi analiz için birleştirilebilir. Azure İzleyici tarafından toplanan günlük verileri, toplanan verileri hızla almak, birleştirmek ve analiz etmek için sorgularla analiz edilebilir. Günlükler log analytics'ten depolanır ve sorgulanır. Azure portalında log analytics kullanarak sorgular oluşturup test edebilir ve bu araçları kullanarak verileri doğrudan analiz edebilir veya görselleştirmeler veya uyarı kurallarıyla kullanmak üzere sorguları kaydedebilirsiniz.
Azure İzleyici çeşitli kaynaklardan veri toplayabilir. Uygulamalarınız için verileri uygulamanızdan, herhangi bir işletim sisteminden ve bağlı olduğu hizmetlerden Azure platformunun kendisine kadar uzanan katmanlarda izleyebilirsiniz. Azure İzleyici aşağıdaki katmanların her birinden veri toplar:
- Uygulama izleme verileri: Platformundan bağımsız olarak yazdığınız kodun performansı ve işlevselliği hakkında veriler.
- Konuk işletim sistemi izleme verileri: Uygulamanızın üzerinde çalıştığı işletim sistemi hakkındaki veriler. Bu işletim sistemi Azure'da, başka bir bulutta veya şirket içinde çalışıyor olabilir.
- Azure kaynak izleme verileri: Azure kaynağının çalışmasına ilişkin veriler.
- Azure aboneliği izleme verileri: Azure aboneliğinin işlemi ve yönetimi ile Azure'ın sistem durumu ve işleyişi hakkında veriler.
- Azure kiracı izleme verileri: Microsoft Entra Id gibi kiracı düzeyindeKimlik Azure hizmetlerinin işleyişiyle ilgili veriler.
- Özel kaynaklar: Şirket içi kaynaklardan gönderilen günlükler de eklenebilir. Örnek olarak şirket içi sunucu olayları veya ağ cihazı syslog çıkışı verilebilir.
İzleme verileri yalnızca bilgi işlem ortamınızın işleyişine ilişkin görünürlüğünüzü artırabiliyorsa yararlıdır. Azure İzleyici, uygulamalarınız ve bağımlı oldukları diğer kaynaklar hakkında değerli içgörüler sağlayan çeşitli özellikler ve araçlar içerir. Uygulama içgörüleri ve kapsayıcılar için Azure İzleyici gibi izleme çözümleri ve özellikleri, uygulamanızın ve belirli Azure hizmetlerinin farklı yönleri hakkında ayrıntılı içgörüler sağlar.
Azure İzleyici'deki izleme çözümleri, belirli bir uygulama veya hizmet için içgörü sağlayan paketlenmiş mantık kümeleridir. Bunlar uygulama veya hizmet için izleme verilerini toplama mantığını, bu verileri analiz etmek için sorguları ve görselleştirme görünümlerini içerir. Çeşitli Azure hizmetleri ve diğer uygulamalar için izleme sağlamak üzere Microsoft ve iş ortaklarından izleme çözümleri sağlanır.
Bu kadar zengin veri koleksiyonu sayesinde ortamınızda gerçekleşen olaylar üzerinde, özellikle de tek başına el ile yapılan sorguların yeterli olmayacağı durumlarda proaktif işlemler yapmak önemlidir. Azure İzleyici'deki uyarılar, kritik koşullar hakkında sizi proaktif olarak bilgilendirir ve düzeltici eylem gerçekleştirmeye çalışır. Ölçümlere dayalı uyarı kuralları, sayısal değerlere göre neredeyse gerçek zamanlı uyarı sağlar. Günlükleri temel alan uyarı kuralları, birden çok kaynaktan gelen veriler arasında karmaşık mantık oluşturmanızı sağlar. Azure İzleyici'deki uyarı kuralları, birden çok kural arasında paylaşılabilen benzersiz alıcı kümeleri ve eylemler içeren eylem gruplarını kullanır. Gereksinimlerinize bağlı olarak, eylem grupları dış eylemleri başlatmak veya ITSM araçlarınızla tümleştirmek için uyarıların neden olduğu web kancalarını kullanabilir.
Azure İzleyici, özel panoların oluşturulmasına da olanak tanır. Azure panoları, hem ölçümler hem de günlükler dahil olmak üzere farklı veri türlerini Azure portalında tek bir bölmede birleştirmenizi sağlar. İsteğe bağlı olarak panoyu diğer Azure kullanıcılarıyla paylaşabilirsiniz. Azure İzleyici genelindeki öğeler, herhangi bir günlük sorgusunun veya ölçüm grafiğinin çıkışına ek olarak bir Azure panosuna eklenebilir. Örneğin, ölçümlerin grafiğini, etkinlik günlükleri tablosunu, uygulama içgörülerinden bir kullanım grafiğini ve günlük sorgusunun çıkışını gösteren kutucukları birleştiren bir pano oluşturabilirsiniz.
Son olarak, Azure İzleyici verileri Power BI için yerel bir kaynaktır. Power BI, çeşitli veri kaynaklarında etkileşimli görselleştirmeler sağlayan bir iş analizi hizmetidir. Ayrıca, verileri kuruluşunuzun içindeki ve dışındaki diğer kişilerin kullanımına sunmanın etkili bir aracıdır. Power BI'ı, bu daha fazla görselleştirmeden yararlanmak için Azure İzleyici'den günlük verilerini otomatik olarak içeri aktaracak şekilde yapılandırabilirsiniz.
Azure Ağ İzleyicisi ölçümleri izlemek, tanılamak ve görüntülemek ve Azure'daki bir sanal ağdaki kaynaklar için günlükleri etkinleştirmek veya devre dışı bırakmak için araçlar sağlar. Bu, aşağıdaki işlevlere ve daha fazlasına izin veren çok yönlü bir hizmettir:
- Sanal makine ile uç nokta arasındaki iletişimi izleyin.
- Sanal ağdaki kaynakları ve bunların ilişkilerini görüntüleme.
- Vm'ye giden veya vm'den gelen ağ trafiği filtreleme sorunlarını tanılayın.
- Vm'den ağ yönlendirme sorunlarını tanılama.
- Vm'den giden bağlantıları tanılama.
- Vm'ye gelen ve vm'den gelen paketleri yakalayın.
- Sanal ağ geçidi ve bağlantılarla ilgili sorunları tanılama.
- Azure bölgeleri ile İnternet servis sağlayıcıları arasındaki göreli gecikme sürelerini belirleyin.
- Ağ arabirimi için güvenlik kurallarını görüntüleyin.
- Ağ ölçümlerini görüntüleyin.
- Ağ güvenlik grubuna gelen veya bu gruptan gelen trafiği analiz edin.
- Ağ kaynakları için tanılama günlüklerini görüntüleyin.
Bileşen türü: İş yükleri
İş yükü bileşenleri, gerçek uygulama ve hizmetlerinizin bulunduğu yerdir. Uygulama geliştirme ekiplerinizin zamanının çoğunu burada geçiriyor.
İş yükü olasılıkları sonsuzdur. Olası iş yükü türlerinden yalnızca birkaçı şunlardır:
İç uygulamalar: İş kolu uygulamaları kurumsal operasyonlar için kritik öneme sahiptir. Bu uygulamaların bazı ortak özellikleri vardır:
- Etkileşimli: Veriler girilir ve sonuçlar veya raporlar döndürülür.
- Veri odaklı: Veritabanlarına veya diğer depolamaya sık erişimle yoğun veri.
- Tümleşik: Kuruluş içindeki veya dışındaki diğer sistemlerle tümleştirme sunar.
Müşteriye yönelik web siteleri (İnternet'e yönelik veya şirket içinde kullanıma yönelik): İnternet uygulamalarının çoğu web siteleridir. Azure, bir web sitesini IaaS sanal makinesi veya Azure Web Apps sitesi (PaaS) aracılığıyla çalıştırabilir. Azure web uygulamaları, uç ağ bölgesine web uygulamaları dağıtmak için sanal ağlarla tümleşir. Kaynaklara özel sanal ağdan özel internet yönlendirilebilir olmayan adresler aracılığıyla erişilebildiği için şirket içinde kullanıma sunan web sitelerinin genel bir İnternet uç noktasını kullanıma sunmaları gerekmez.
Büyük veri analizi: Verilerin ölçeğini daha büyük birimlere artırması gerektiğinde, ilişkisel veritabanları aşırı yük altında veya verilerin yapılandırılmamış doğası altında iyi performans gösteremeyebilir. Azure HDInsight , kuruluşlar için bulutta yönetilen, tam spektrumlu bir açık kaynak analiz hizmetidir. Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm ve R. HDInsight gibi açık kaynak çerçeveleri kullanabilirsiniz. Bu, sanal veri merkezinin bir uçtaki bir kümeye dağıtılabilen konum tabanlı bir sanal ağa dağıtmayı destekler.
Olaylar ve mesajlaşma: Azure Event Hubs büyük bir veri akışı platformu ve olay alımı hizmetidir. Saniyede milyonlarca olayı alabilir ve işleyebilir. Düşük gecikme süresi ve yapılandırılabilir zaman saklama olanağı sunarak Azure'a çok miktarda veri almanızı ve bunları birden çok uygulamadan okumanızı sağlar. Tek bir akış hem gerçek zamanlı hem de toplu işlem hatlarını destekleyebilir.
Azure Service Bus aracılığıyla uygulamalar ve hizmetler arasında son derece güvenilir bir bulut mesajlaşma hizmeti uygulayabilirsiniz. İstemci ve sunucu arasında zaman uyumsuz aracılı mesajlaşma, yapılandırılmış ilk çıkış (FIFO) mesajlaşması sunar ve yayımlama ve abone olma özellikleri sunar.
Bu örnekler, Azure'da oluşturabileceğiniz iş yükü türlerinin yüzeyini zar zor çizer. Temel bir Web ve SQL uygulamasından IoT, büyük veri, makine öğrenmesi, yapay zeka ve çok daha fazlası için en son sürüme kadar her şeyi oluşturabilirsiniz.
Yüksek oranda kullanılabilirlik: birden çok sanal veri merkezi
Şimdiye kadar, bu makale dayanıklılığa katkıda bulunan temel bileşenleri ve mimarileri açıklayan tek bir VDC tasarımına odaklanmıştır. Azure Load Balancer, NVA'lar, kullanılabilirlik alanları, kullanılabilirlik kümeleri, ölçek kümeleri ve üretim hizmetlerinize katı SLA düzeyleri eklemenize yardımcı olan diğer özellikler gibi Azure özellikleri.
Ancak, bir sanal veri merkezi genellikle tek bir bölge içinde uygulandığından, bölgenin tamamını etkileyen kesintilere karşı savunmasız olabilir. Yüksek kullanılabilirlik gerektiren müşterilerin, farklı bölgelere dağıtılan iki veya daha fazla VDC uygulamasında aynı projenin dağıtımları aracılığıyla hizmetleri koruması gerekir.
SLA endişelerine ek olarak, çeşitli yaygın senaryolar birden çok sanal veri merkezi çalıştırmanın avantajını da sağlar:
- Son kullanıcılarınızın veya iş ortaklarınızın bölgesel veya küresel varlığı.
- Olağanüstü durum kurtarma gereksinimleri.
- Yük veya performans için veri merkezleri arasındaki trafiği yönlendirme mekanizması.
Bölgesel/küresel iletişim durumu
Azure veri merkezleri dünya çapında birçok bölgede bulunur. Birden çok Azure veri merkezini seçerken iki ilgili faktörü göz önünde bulundurun: coğrafi uzaklıklar ve gecikme süresi. Kullanıcı deneyimini iyileştirmek için, her sanal veri merkezi arasındaki uzaklığı ve her sanal veri merkezinden son kullanıcılara olan uzaklığı değerlendirin.
Sanal veri merkezinizi barındıran bir Azure bölgesi, kuruluşunuzun faaliyet gösterdiği herhangi bir yasal yargı alanının mevzuat gereksinimlerine uygun olmalıdır.
Olağanüstü durum kurtarma
Olağanüstü durum kurtarma planının tasarımı, iş yükü türlerine ve bu iş yüklerinin durumunu farklı VDC uygulamaları arasında eşitleme yeteneğine bağlıdır. İdeal olarak, müşterilerin çoğu hızlı bir yük devretme mekanizması ister ve bu gereksinim birden çok VDC uygulamasında çalışan dağıtımlar arasında uygulama veri eşitlemesi gerekebilir. Ancak olağanüstü durum kurtarma planları tasarlarken çoğu uygulamanın bu veri eşitlemesinin neden olabileceği gecikme süresine duyarlı olduğunu göz önünde bulundurmak önemlidir.
Farklı VDC uygulamalarında uygulamaların eşitlenmesi ve sinyal izlemesi için ağ üzerinden iletişim kurmaları gerekir. Farklı bölgelerdeki birden çok VDC uygulaması şu aracılığıyla bağlanabilir:
- Aynı Sanal WAN bölgeler arasında Azure Sanal WAN hub'larında yerleşik olarak bulunan merkez-merkez iletişimi.
- Hub'ları bölgeler arasında bağlamak için sanal ağ eşlemesi.
- Her VDC uygulamasındaki hub'lar aynı ExpressRoute bağlantı hattına bağlandığında ExpressRoute özel eşlemesi.
- Kurumsal omurganız aracılığıyla bağlanan birden çok ExpressRoute bağlantı hattı ve ExpressRoute bağlantı hatlarına bağlı birden çok VDC uygulamanız.
- Her Azure bölgesindeki VDC uygulamalarınızın merkez bölgesi arasında Siteden Siteye VPN bağlantıları.
Genellikle Sanal WAN hub'ları, sanal ağ eşlemesi veya ExpressRoute bağlantıları, Microsoft omurgasını geçirirken daha yüksek bant genişliği ve tutarlı gecikme düzeyleri nedeniyle ağ bağlantısı için tercih edilir.
Bu bağlantıların gecikme süresini ve bant genişliğini doğrulamak için ağ niteleme testleri çalıştırın ve sonuç temelinde zaman uyumlu veya zaman uyumsuz veri çoğaltmanın uygun olup olmadığına karar verin. En uygun kurtarma süresi hedefi (RTO) açısından bu sonuçların tartılması da önemlidir.
Olağanüstü durum kurtarma: Trafiği bir bölgeden diğerine yönlendirme
Hem Azure Traffic Manager hem de Azure Front Door, farklı VDC uygulamalarında dinleme uç noktalarının hizmet durumunu düzenli aralıklarla denetler. Bu uç noktalar başarısız olursa, Azure Traffic Manager ve Azure Front Door otomatik olarak bir sonraki en yakın VDC'ye yönlendirilir. Traffic Manager, kullanıcıları en yakına (veya hata sırasında bir sonraki en yakına) yönlendirmek için gerçek zamanlı kullanıcı ölçümleri ve DNS kullanır. Azure Front Door, kullanıcıları en yakın dinleme uç noktasına yönlendirmek için herhangi bir yayını kullanan 100'den fazla Microsoft omurga uç yerinde ters ara sunucudur.
Özet
Geçişe yönelik sanal veri merkezi yaklaşımı, Azure kaynak kullanımını iyileştiren, maliyetleri düşüren ve sistem idaresini basitleştiren ölçeklenebilir bir mimari oluşturmaktır. Sanal veri merkezi, merkez-uç ağ topolojilerine (sanal ağ eşlemesi veya Sanal WAN hub'ları kullanılarak) göre tipiktir. Merkez'de sağlanan ortak paylaşılan hizmetler ve belirli uygulamalar ve iş yükleri uçlara dağıtılır. Sanal veri merkezi, merkezi BT, DevOps ve operasyon ve bakım gibi farklı departmanların belirli rollerini gerçekleştirirken birlikte çalıştığı şirket rollerinin yapısıyla da eşleşir. Sanal veri merkezi mevcut şirket içi iş yüklerinin Azure'a geçirilmesini destekler, ancak buluta özel dağıtımlara da birçok avantaj sağlar.
Başvurular
Bu belgede ele alınan Azure özellikleri hakkında daha fazla bilgi edinin.
Ağ özellikleri
Azure Sanal Ağlar
Ağ Güvenlik Grupları
Hizmet Uç Noktaları
Özel Bağlantı
Kullanıcı Tanımlı Yollar
Ağ Sanal Gereçleri
Genel IP Adresleri
Azure DNS
Kimlik
Microsoft Entra ID
Microsoft Entra çok faktörlü kimlik doğrulaması
Azure rol tabanlı erişim denetimi
Azure yerleşik rolleri
En iyi uygulamalar
Yönetim Grubu
Abonelik Yönetimi
Kaynak Grubu Yönetimi
Azure Abonelik Sınırları
Güvenlik
Azure Güvenlik Duvarı
Güvenlik Duvarı Yöneticisi
Application Gateway WAF
Front Door WAF
Azure DDoS
Diğer Azure hizmetleri
Azure Depolama
Azure SQL
Azure Web Uygulamaları
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Azure Machine Learning
Sonraki adımlar
- Merkez ve uç topolojilerinin temel teknolojisi olan sanal ağ eşlemesi hakkında daha fazla bilgi edinin.
- Azure rol tabanlı erişim denetimini kullanmak için Microsoft Entra Id uygulayın.
- Kuruluşunuzun yapısına, gereksinimlerine ve ilkelerine uyan Azure rol tabanlı erişim denetimini kullanarak abonelik ve kaynak yönetimi modeli geliştirin. En önemli etkinlik planlamadır. Yeniden düzenlemelerin, birleştirmelerin, yeni ürün hatlarının ve diğer önemli noktaların, gelecekteki ihtiyaçları ve büyümeyi karşılayacak şekilde ölçeklendirebilmenizi sağlamak için ilk modellerinizi nasıl etkileyeceğini analiz edin.