Güvenilirlik ve Azure Sanal Ağ
Özel ağınız için temel bir yapı taşı olan Azure Sanal Ağ, Azure kaynaklarının birbirleriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar.
Azure Sanal Ağ temel özellikleri şunlardır:
- Azure kaynaklarıyla iletişim
- İnternet ile iletişim
- Şirket içi kaynaklarla iletişim
- Ağ trafiği filtreleme
Daha fazla bilgi için bkz. Azure Sanal Ağ nedir?
Azure Sanal Ağ'ın güvenilir bir iş yükünü nasıl desteklediğini anlamak için aşağıdaki konulara başvurun:
- Öğretici: Azure VM'lerini bölgeler arasında taşıma
- Hızlı başlangıç: Azure portalını kullanarak bir sanal ağ oluşturma
- Sanal Ağ – İş Sürekliliği
Tasarım konusunda dikkat edilmesi gerekenler
Sanal Ağ (VNet), güvenilir bir Azure iş yükü için aşağıdaki tasarım konularını içerir:
- Şirket içi ve Azure bölgelerindeki IP adresi alanlarının çakışması, büyük çekişme zorluklarına neden olur.
- Oluşturulduktan sonra bir Sanal Ağ adres alanı eklense de, Sanal Ağ eşleme aracılığıyla başka bir Sanal Ağ zaten bağlıysa bu işlem bir kesinti gerektirir. Sanal Ağ eşlemesi silindiğinden ve yeniden oluşturulduğundan bir kesinti gereklidir.
- Eşlenen Sanal Ağları yeniden boyutlandırma genel önizleme aşamasındadır (20 Ağustos 2021).
- Bazı Azure hizmetleri için ayrılmış alt ağlar gerekir, örneğin:
- Azure Güvenlik Duvarı
- Azure Bastion
- Sanal Ağ Geçidi
- Alt ağlar, alt ağ içinde bu hizmetin örneklerini oluşturmak için belirli hizmetlere temsilci atanabilir.
- Azure her alt ağ içinde beş IP adresi ayırır. Sanal Ağlar ve kapsadığı alt ağlar boyutlandırılırken dikkate alınması gerekir.
Denetim Listesi
Azure Sanal Ağ güvenilirlik göz önünde bulundurularak yapılandırıldı mı?
- Müşteri Sanal Ağlarında barındırılan tüm genel uç noktaları korumak için Azure DDoS Standart Koruma Planlarını kullanın.
- Kurumsal müşterilerin, göz önünde bulundurulan şirket içi konumlarda ve Azure bölgelerinde çakışan IP adresi alanı olmadığından emin olmak için Azure'da IP adreslemeyi planlamaları gerekir.
- Özel internetler için adres ayırmadaki IP adreslerini kullanın (Açıklama İsteği (RFC) 1918).
- Sınırlı özel IP adresleri (RFC 1918) kullanılabilirliği olan ortamlar için IPv6 kullanmayı göz önünde bulundurun.
- GEREKSIZ yere büyük Sanal Ağlar oluşturmayın (örneğin:
/16) IP adresi alanı gereksiz yere boşa harcanmadığından emin olun. - Gerekli adres alanını önceden planlamadan Sanal Ağlar oluşturmayın.
- Özellikle genel IP adresleri müşteriye ait değilse, Sanal Ağlar için genel IP adreslerini kullanmayın.
- Müşteri sanal ağı içinden Hizmet Olarak Azure Platformu (PaaS) hizmetlerine erişimin güvenliğini sağlamak için VNet Hizmet Uç Noktalarını kullanın.
- Hizmet Uç Noktalarıyla ilgili veri sızdırma sorunlarını gidermek için Azure Depolama için Ağ Sanal Gereci (NVA) filtreleme ve Sanal Ağ Hizmet Uç Noktası İlkeleri'ni kullanın.
- Azure'dan Azure kaynaklarına iletişimi etkinleştirmek için zorlamalı tünel uygulamayın.
- Şirket içinden ExpressRoute Özel Eşleme aracılığıyla Azure PaaS hizmetlerine erişin.
- Sanal ağ ekleme veya Özel Bağlantı kullanılamadığında şirket içi ağlardan Azure PaaS hizmetlerine erişmek için veri sızdırma endişeleri olmadığında Microsoft Eşleme ile ExpressRoute'u kullanın.
- Şirket içi çevre ağı (DMZ, arındırılmış bölge ve denetimli alt ağ olarak da bilinir) kavramlarını ve mimarilerini Azure'a çoğaltmayın.
- Bir Sanal Ağ eklenen Azure PaaS hizmetleri arasındaki iletişimin kullanıcı tanımlı yollar (UDR) ve ağ güvenlik grupları (NSG) kullanılarak Sanal Ağ içinde kilitlendiğinden emin olun.
- NVA filtrelemesi kullanılmadığı sürece veri sızdırma sorunları olduğunda VNet Hizmet Uç Noktalarını kullanmayın.
- Sanal Ağ Hizmet Uç Noktalarını tüm alt ağlarda varsayılan olarak etkinleştirmeyin.
Yapılandırma önerileri
Azure Sanal Ağ yapılandırırken güvenilirliği iyileştirmek için aşağıdaki önerileri göz önünde bulundurun:
| Öneri | Description |
|---|---|
| Gerekli adres alanını önceden planlamadan Sanal Ağlar oluşturmayın. | Adres alanı eklemek, Sanal Ağ Sanal Ağ eşleme aracılığıyla bağlandıktan sonra kesintiye neden olur. |
| Müşteri sanal ağı içinden Hizmet Olarak Azure Platformu (PaaS) hizmetlerine erişimin güvenliğini sağlamak için VNet Hizmet Uç Noktalarını kullanın. | Yalnızca Özel Bağlantı kullanılamadığında ve veri sızdırma endişeleri olmadığında. |
| Şirket içinden ExpressRoute Özel Eşleme aracılığıyla Azure PaaS hizmetlerine erişin. | Ayrılmış Azure hizmetleri için sanal ağ ekleme veya kullanılabilir paylaşılan Azure hizmetleri için Azure Özel Bağlantı kullanın. |
| Sanal ağ ekleme veya Özel Bağlantı kullanılamadığında şirket içi ağlardan Azure PaaS hizmetlerine erişmek için veri sızdırma endişeleri olmadığında Microsoft Eşleme ile ExpressRoute'u kullanın. | Genel İnternet üzerinden geçişten kaçınıyor. |
| Şirket içi çevre ağı (DMZ, arındırılmış bölge ve denetimli alt ağ olarak da bilinir) kavramlarını ve mimarilerini Azure'a çoğaltmayın. | Müşteriler Azure'da şirket içiyle benzer güvenlik özelliklerine sahip olabilir, ancak uygulama ve mimarinin buluta uyarlanması gerekir. |
| Bir Sanal Ağ eklenen Azure PaaS hizmetleri arasındaki iletişimin kullanıcı tanımlı yollar (UDR) ve ağ güvenlik grupları (NSG) kullanılarak Sanal Ağ içinde kilitlendiğinden emin olun. | Bir Sanal Ağ eklenen Azure PaaS hizmetleri, genel IP adreslerini kullanarak yönetim düzlemi işlemlerini gerçekleştirmeye devam eder. |