Azure Site Recovery ile Ağ Güvenlik Grupları

  • Makale

Ağ Güvenlik Grupları, ağ trafiğini bir sanal ağdaki kaynaklarda sınırlamak için kullanılır. Ağ Güvenlik Grubu (NSG), kaynak veya hedef IP adresi, bağlantı noktası ve protokol temelinde gelen veya giden ağ trafiğine izin veren veya reddeden güvenlik kurallarının listesini içerir.

Resource Manager dağıtım modeli altında NSG'ler alt ağlarla veya tek tek ağ arabirimleriyle ilişkilendirilebilir. Bir NSG bir alt ağ ile ilişkilendirildiğinde kurallar alt ağa bağlı tüm kaynaklar için geçerli olur. Trafik, bir NSG'yi zaten ilişkili bir NSG'ye sahip bir alt ağ içindeki tek tek ağ arabirimleriyle ilişkilendirerek de kısıtlanabilir.

Bu makalede, Azure Site Recovery ile Ağ Güvenlik Gruplarını nasıl kullanabileceğiniz açıklanmaktadır.

Ağ Güvenlik Gruplarını Kullanma

Tek bir alt ağın ilişkili NSG'leri sıfır veya bir olabilir. Tek bir ağ arabiriminde de sıfır veya ilişkili bir NSG olabilir. Bu nedenle, bir NSG'yi önce bir alt ağla, ardından başka bir NSG'yi VM'nin ağ arabirimiyle ilişkilendirerek sanal makine için çift trafik kısıtlamasına sahip olabilirsiniz. Bu durumda NSG kurallarının uygulanması, trafiğin yönüne ve uygulanan güvenlik kurallarının önceliğine bağlıdır.

Aşağıdaki gibi tek bir sanal makineyle basit bir örnek düşünün:

  • Sanal makine Contoso Alt Ağı içine yerleştirilir.
  • Contoso Subnet, Alt Ağ NSG ile ilişkilendirilir.
  • VM ağ arabirimi ayrıca VM NSG ile ilişkilendirilir.

Site Recovery ile NSG

Bu örnekte, gelen trafik için önce Alt Ağ NSG'si değerlendirilir. Alt ağ NSG'leri üzerinden izin verilen tüm trafik VM NSG tarafından değerlendirilir. Bunun tersi giden trafik için geçerlidir ve vm NSG ilk olarak değerlendirilir. Vm NSG üzerinden izin verilen tüm trafik alt ağ NSG tarafından değerlendirilir.

Bu, ayrıntılı güvenlik kuralı uygulamasına olanak tanır. Örneğin, alt ağ altındaki birkaç uygulama sanal makinesine (ön uç VM'ler gibi) gelen İnternet erişimine izin vermek, ancak gelen İnternet erişimini diğer VM'lerle (veritabanı ve diğer arka uç VM'leri gibi) kısıtlamak isteyebilirsiniz. Bu durumda Alt Ağ NSG'sinde İnternet trafiğine izin veren ve VM NSG'sine erişimi reddederek belirli VM'lere erişimi kısıtlayan daha yumuşak bir kuralınız olabilir. Aynı şey giden trafik için de uygulanabilir.

Bu tür NSG yapılandırmalarını ayarlarken güvenlik kurallarına doğru önceliklerin uygulandığından emin olun. Kurallar öncelik sırasına göre işleme alınır ve düşük rakamlı kurallar daha yüksek önceliğe sahip olduğundan yüksek rakamlı kurallardan önce uygulanır. Trafik bir kuralla eşleştiğinde işlem durur. Bunun sonucunda yüksek önceliğe sahip olan kurallarla aynı özniteliklere sahip olan önceliği daha düşük olan (yüksek rakamlı) kurallar işleme alınmaz.

Her zaman ağ güvenlik gruplarının hem bir ağ arabirimine hem de alt ağa uygulandığının farkında olmayabilirsiniz. Ağ arabirimi için geçerli güvenlik kurallarını görüntüleyerek ağ arabirimine uygulanan toplama kurallarını doğrulayabilirsiniz. Ağ arabirimine giden veya ağ arabiriminden iletişime izin verilip verilmediğini belirlemek için Azure Ağ İzleyicisi'da IP akışı doğrulama özelliğini de kullanabilirsiniz. Bu araç iletişime izin verilip verilmediğini ve trafiğe izin veren veya onu reddeden ağ güvenlik kuralının hangisi olduğunu belirler.

NSG ile şirket içi Azure'a çoğaltma

Azure Site Recovery, şirket içi Hyper-V sanal makineleri, VMware sanal makineleri ve fiziksel sunucular için olağanüstü durum kurtarma ve Azure'a geçiş sağlar. Tüm şirket içi Azure senaryolarında çoğaltma verileri bir Azure Depolama hesabına gönderilir ve bu hesapta depolanır. Çoğaltma sırasında sanal makine ücreti ödemezsiniz. Azure'a yük devretme çalıştırdığınızda, Site Recovery otomatik olarak Azure IaaS sanal makineleri oluşturur.

Azure'a yük devretme sonrasında VM'ler oluşturulduktan sonra, ağ trafiğini sanal ağ ve VM'lerle sınırlamak için NSG'ler kullanılabilir. Site Recovery, yük devretme işleminin bir parçası olarak NSG oluşturmaz. Yük devretmeyi başlatmadan önce gerekli Azure NSG'lerini oluşturmanızı öneririz. Ardından, Site Recovery'nin güçlü kurtarma planlarıyla otomasyon betiklerini kullanarak yük devretme sırasında vm'lerin yük devretmesi yapılan NSG'leri otomatik olarak ilişkilendirebilirsiniz.

Örneğin, yük devretme sonrası VM yapılandırması yukarıda ayrıntılarıyla belirtilen örnek senaryoya benzerse:

  • Hedef Azure bölgesinde DR planlamasının bir parçası olarak Contoso VNet ve Contoso Alt Ağı oluşturabilirsiniz.
  • Ayrıca aynı DR planlamasının bir parçası olarak hem Alt Ağ NSG'sini hem de VM NSG'sini oluşturabilir ve yapılandırabilirsiniz.
  • Ardından hem NSG hem de alt ağ zaten kullanılabilir olduğundan alt ağ NSG'leri Contoso Alt Ağı ile hemen ilişkilendirilebilir.
  • VM NSG,kurtarma planları kullanılarak yük devretme sırasında VM'lerle ilişkilendirilebilir.

NSG'ler oluşturulduktan ve yapılandırıldıktan sonra, betik oluşturulan NSG ilişkilendirmelerini ve yük devretme sonrası VM bağlantısını doğrulamak için bir yük devretme testi çalıştırmanızı öneririz.

NSG ile Azure'da Azure'a çoğaltma

Azure Site Recovery, Azure sanal makinelerinin olağanüstü durum kurtarmasını sağlar. Site Recovery, Azure VM'leri için çoğaltmayı etkinleştirirken hedef bölgede çoğaltma sanal ağları (alt ağlar ve ağ geçidi alt ağları dahil) oluşturabilir ve kaynak ile hedef sanal ağlar arasında gerekli eşlemeleri oluşturabilir. Ayrıca hedef tarafı ağları ve alt ağları önceden oluşturabilir ve çoğaltmayı etkinleştirirken aynı işlemi kullanabilirsiniz. Site Recovery, yük devretmeden önce hedef Azure bölgesinde herhangi bir VM oluşturmaz.

Azure VM çoğaltması için, kaynak Azure bölgesindeki NSG kurallarının çoğaltma trafiği için giden bağlantıya izin verin. Ayrıca bu gerekli kuralları bu örnek NSG yapılandırması aracılığıyla test edebilir ve doğrulayabilirsiniz.

Site Recovery, yük devretme işleminin bir parçası olarak NSG oluşturmaz veya çoğaltmaz. Yük devretmeyi başlatmadan önce hedef Azure bölgesinde gerekli NSG'lerin oluşturulmasını öneririz. Ardından, Site Recovery'nin güçlü kurtarma planlarıyla otomasyon betiklerini kullanarak yük devretme sırasında vm'lerin yük devretmesi yapılan NSG'leri otomatik olarak ilişkilendirebilirsiniz.

Daha önce açıklanan örnek senaryo göz önünde bulundurularak:

  • Site Recovery, sanal makine için çoğaltma etkinleştirildiğinde hedef Azure bölgesinde Contoso VNet ve Contoso Alt Ağı çoğaltmaları oluşturabilir.
  • Hedef Azure bölgesinde Alt Ağ NSG'sinin ve VM NSG'sinin (sırasıyla Hedef Alt Ağ NSG ve Hedef VM NSG olarak adlandırılır) istenen çoğaltmalarını oluşturabilir ve hedef bölgede gerekli ek kuralların oluşturulmasını sağlayabilirsiniz.
  • Hedef Alt Ağ NSG'leri, hem NSG hem de alt ağ zaten kullanılabilir olduğundan hedef bölge alt ağıyla hemen ilişkilendirilebilir.
  • Hedef VM NSG'leri , kurtarma planları kullanılarak yük devretme sırasında VM'lerle ilişkilendirilebilir.

NSG'ler oluşturulduktan ve yapılandırıldıktan sonra, betik oluşturulan NSG ilişkilendirmelerini ve yük devretme sonrası VM bağlantısını doğrulamak için bir yük devretme testi çalıştırmanızı öneririz.

Sonraki adımlar

  • Ağ Güvenlik Grupları hakkında daha fazla bilgi edinin.
  • NSG güvenlik kuralları hakkında daha fazla bilgi edinin.
  • NSG için geçerli güvenlik kuralları hakkında daha fazla bilgi edinin.
  • Uygulama yük devretmeyi otomatikleştirmek için kurtarma planları hakkında daha fazla bilgi edinin.