Çok merkezli ve uçlu bir topolojiyi yönlendirmek için Azure Güvenlik Duvarı kullanma
Merkez-uç topolojisi, Azure'da yaygın bir ağ mimarisi desenidir. Merkez, şirket içi ağınıza yönelik merkezi bir bağlantı noktası görevini gören Azure’daki bir sanal ağdır (VNet). Uçlar ise merkezle eşleştirilmiş bir ağdır ve iş yüklerini yalıtmak için kullanılabilir. Merkez, uçlar arasındaki trafiği yalıtmak ve güvenliğini sağlamak için kullanılabilir. Merkez, uçlar arasındaki trafiği yönlendirmek için de kullanılabilir. Merkez, çeşitli yöntemler kullanılarak uçlar arasındaki trafiği yönlendirmek için kullanılabilir.
Örneğin, uçlar arasındaki trafiği yönlendirmek için Azure Route Server'ı dinamik yönlendirme ve ağ sanal gereçleriyle (NVA'lar) kullanabilirsiniz. Bu oldukça karmaşık bir dağıtım olabilir. Daha az karmaşık bir yöntem, uçlar arasındaki trafiği yönlendirmek için Azure Güvenlik Duvarı ve statik yollar kullanır.
Bu makalede, çok merkezli ve uç topolojisini yönlendirmek için statik kullanıcı tanımlı yollar (UDR) ile Azure Güvenlik Duvarı nasıl kullanabileceğiniz gösterilmektedir. Aşağıdaki diyagramda topoloji gösterilmektedir:
Temel mimari
Azure Güvenlik Duvarı ağ trafiğinin güvenliğini sağlar ve denetler, ancak sanal ağlar arasındaki trafiği de yönlendirir. Yerel Sanal Ağ Ağ Geçidi tarafından öğrenilen yerel uçlara, hub'a ve şirket içi ön eklerine otomatik olarak sistem yolları oluşturan yönetilen bir kaynaktır. Bir NVA'nın hub'a yerleştirilmesi ve geçerli yolların sorgulanması, Azure Güvenlik Duvarı içinde bulunana benzeyen bir yol tablosuna neden olur.
Bu statik yönlendirme mimarisi olduğundan, hub'lar arasında genel sanal ağ eşlemesi kullanılarak başka bir hub'a giden en kısa yol yapılabilir. Bu nedenle hub'lar birbirini bilir ve her yerel güvenlik duvarı, doğrudan bağlı hub'ların yol tablosunu içerir. Ancak yerel merkezler yalnızca yerel uçlarını bilir. Ayrıca, bu hub'lar aynı bölgede veya farklı bir bölgede olabilir.
Güvenlik duvarı alt ağı üzerinde yönlendirme
Her yerel güvenlik duvarının diğer uzak uçlara nasıl ulaşacağını bilmesi gerekir, bu nedenle güvenlik duvarı alt ağlarında UDR'ler oluşturmanız gerekir. Bunu yapmak için önce herhangi bir türde varsayılan bir yol oluşturmanız gerekir ve bu da diğer uçlara daha belirli yollar oluşturmanıza olanak tanır. Örneğin, aşağıdaki ekran görüntüleri iki hub sanal ağı için yol tablosunu gösterir:
Hub-01 yönlendirme tablosu
Hub-02 yol tablosu
Uç alt ağlarında yönlendirme
Bu topolojiyi uygulamanın avantajı, trafiğin bir merkezden diğerine ulaşmasıyla, genel eşleme aracılığıyla doğrudan bağlanan bir sonraki atlamaya ulaşabilmenizdir.
Diyagramda gösterildiği gibi, sonraki atlama olarak yerel güvenlik duvarı ile 0/0 yolu (varsayılan ağ geçidi) olan uç alt ağlarına bir UDR yerleştirmek daha iyidir. Bu, yerel güvenlik duvarı olarak tek bir sonraki atlama çıkış noktasına kilitler. Ayrıca, şirket içi ortamınızdan trafiğin güvenlik duvarını atlamasına neden olabilecek daha belirli ön ekler öğrendiğinde asimetrik yönlendirme riskini azaltır. Daha fazla bilgi için bkz. Azure Routes'unuzun sizi ısırmasına izin verme.
Hub-01'e bağlı uç alt ağları için örnek bir yol tablosu aşağıda verilmiştir: