Azure Site Recovery ile Ağ Güvenlik Grupları

Ağ Güvenlik Grupları, ağ trafiğini bir sanal ağdaki kaynaklarda sınırlamak için kullanılır. Ağ Güvenlik Grubu (NSG), kaynak veya hedef IP adresi, bağlantı noktası ve protokol temelinde gelen veya giden ağ trafiğine izin veren veya reddeden güvenlik kurallarının listesini içerir.

Resource Manager dağıtım modeli altında NSG'ler alt ağlarla veya tek tek ağ arabirimleriyle ilişkilendirilebilir. Bir NSG bir alt ağ ile ilişkilendirildiğinde kurallar alt ağa bağlı tüm kaynaklar için geçerli olur. Trafik, bir NSG'yi zaten ilişkili bir NSG'ye sahip bir alt ağ içindeki tek tek ağ arabirimleriyle ilişkilendirerek de kısıtlanabilir.

Bu makalede Azure Site Recovery ile Ağ Güvenlik Gruplarını nasıl kullanabileceğiniz açıklanır.

Ağ Güvenlik Gruplarını Kullanma

Tek bir alt ağ, ilişkili sıfır veya bir NSG'ye sahip olabilir. Tek bir ağ arabirimi, ilişkili sıfır veya bir NSG'ye de sahip olabilir. Bu nedenle, bir NSG'yi önce bir alt ağ ile, ardından başka bir NSG'yi VM'nin ağ arabirimiyle ilişkilendirerek sanal makine için çift trafik kısıtlamasına sahip olabilirsiniz. Bu durumda NSG kurallarının uygulanması, trafiğin yönüne ve uygulanan güvenlik kurallarının önceliğine bağlıdır.

Aşağıdaki gibi bir sanal makine içeren basit bir örneği göz önünde bulundurun:

• Sanal makine Contoso Alt Ağı içine yerleştirilir.
• Contoso Subnet , Alt Ağ NSG'siyle ilişkilendirilir.
• VM ağ arabirimi ayrıca VM NSG ile ilişkilendirilir.

Bu örnekte, gelen trafik için önce Alt Ağ NSG'si değerlendirilir. Alt ağ NSG'leri üzerinden izin verilen tüm trafik VM NSG tarafından değerlendirilir. Bunun tersi giden trafik için geçerlidir ve vm NSG ilk olarak değerlendirilir. VM NSG üzerinden izin verilen tüm trafik alt ağ NSG'leri tarafından değerlendirilir.

Bu, ayrıntılı güvenlik kuralı uygulamasına olanak tanır. Örneğin, bir alt ağ altındaki birkaç uygulama VM'sine (ön uç VM'ler gibi) gelen İnternet erişimine izin vermek, ancak gelen İnternet erişimini diğer VM'lere (veritabanı ve diğer arka uç VM'ler gibi) kısıtlamak isteyebilirsiniz. Bu durumda, Alt Ağ NSG'sinde İnternet trafiğine izin veren ve VM NSG'sine erişimi reddederek belirli VM'lere erişimi kısıtlayan daha yumuşak bir kuralınız olabilir. Aynı şey giden trafik için de uygulanabilir.

Bu tür NSG yapılandırmalarını ayarlarken güvenlik kurallarına doğru önceliklerin uygulandığından emin olun. Kurallar öncelik sırasına göre işleme alınır ve düşük rakamlı kurallar daha yüksek önceliğe sahip olduğundan yüksek rakamlı kurallardan önce uygulanır. Trafik bir kuralla eşleştiğinde işlem durur. Bunun sonucunda yüksek önceliğe sahip olan kurallarla aynı özniteliklere sahip olan önceliği daha düşük olan (yüksek rakamlı) kurallar işleme alınmaz.

Her zaman ağ güvenlik gruplarının hem bir ağ arabirimine hem de alt ağa uygulandığının farkında olmayabilirsiniz. Ağ arabirimi için geçerli güvenlik kurallarını görüntüleyerek ağ arabirimine uygulanan toplama kurallarını doğrulayabilirsiniz. Ağ arabirimine giden veya ağ arabiriminden iletişime izin verilip verilmediğini belirlemek için Azure Ağ İzleyicisiIP akışı doğrulama özelliğini de kullanabilirsiniz. Bu araç iletişime izin verilip verilmediğini ve trafiğe izin veren veya onu reddeden ağ güvenlik kuralının hangisi olduğunu belirler.

NSG ile şirket içi ortamdan Azure'a çoğaltma

Azure Site Recovery, şirket içi Hyper-V sanal makineleri, VMware sanal makineleri ve fiziksel sunucular için Azure'a olağanüstü durum kurtarma ve geçiş sağlar. Tüm şirket içi Azure senaryoları için çoğaltma verileri bir Azure Depolama hesabına gönderilir ve bu hesapta depolanır. Çoğaltma sırasında herhangi bir sanal makine ücreti ödemezsiniz. Azure'a yük devretme çalıştırdığınızda Site Recovery otomatik olarak Azure IaaS sanal makineleri oluşturur.

Azure'a yük devretme sonrasında VM'ler oluşturulduktan sonra NSG'ler sanal ağ ve VM'lerle ağ trafiğini sınırlamak için kullanılabilir. Site Recovery, yük devretme işleminin bir parçası olarak NSG oluşturmaz. Yük devretmeyi başlatmadan önce gerekli Azure NSG'lerini oluşturmanızı öneririz. Daha sonra yük devretme sırasında yük devredilecek VM'ler için NSG'leri otomatik olarak ilişkilendirebilir ve Site Recovery'ın güçlü kurtarma planlarıyla otomasyon betiklerini kullanabilirsiniz.

Örneğin, yük devretme sonrası VM yapılandırması yukarıda ayrıntılarıyla belirtilen örnek senaryoya benzerse:

• Hedef Azure bölgesinde DR planlamasının bir parçası olarak Contoso VNet ve Contoso Alt Ağı oluşturabilirsiniz.
• Ayrıca aynı DR planlamasının bir parçası olarak hem Alt Ağ NSG'sini hem de VM NSG'sini oluşturabilir ve yapılandırabilirsiniz.
• Ardından hem NSG hem de alt ağ zaten kullanılabilir olduğundan alt ağ NSG'leri Contoso Alt Ağı ile hemen ilişkilendirilebilir.
• Vm NSG,kurtarma planları kullanılarak yük devretme sırasında VM'lerle ilişkilendirilebilir.

NSG'ler oluşturulup yapılandırıldıktan sonra, betikle oluşturulan NSG ilişkilendirmelerini ve yük devretme sonrası VM bağlantısını doğrulamak için yük devretme testi çalıştırmanızı öneririz.

NSG ile Azure'da Azure'a çoğaltma

Azure Site Recovery, Azure sanal makinelerinin olağanüstü durum kurtarmasını sağlar. Azure VM'leri için çoğaltmayı etkinleştirirken Site Recovery hedef bölgede çoğaltma sanal ağları (alt ağlar ve ağ geçidi alt ağları dahil) oluşturabilir ve kaynak ile hedef sanal ağlar arasında gerekli eşlemeleri oluşturabilir. Ayrıca hedef tarafı ağları ve alt ağları önceden oluşturabilir ve çoğaltmayı etkinleştirirken aynı işlemi kullanabilirsiniz. Site Recovery, yük devretmeden önce hedef Azure bölgesinde herhangi bir VM oluşturmaz.

Azure VM çoğaltması için, kaynak Azure bölgesindeki NSG kurallarının çoğaltma trafiği için giden bağlantıya izin verin. Ayrıca bu örnek NSG yapılandırması aracılığıyla bu gerekli kuralları test edebilir ve doğrulayabilirsiniz.

Site Recovery yük devretme işleminin bir parçası olarak NSG oluşturmaz veya çoğaltmaz. Yük devretmeyi başlatmadan önce hedef Azure bölgesinde gerekli NSG'leri oluşturmanızı öneririz. Daha sonra yük devretme sırasında yük devredilecek VM'ler için NSG'leri otomatik olarak ilişkilendirebilir ve Site Recovery'ın güçlü kurtarma planlarıyla otomasyon betiklerini kullanabilirsiniz.

Daha önce açıklanan örnek senaryo göz önünde bulundurularak:

• Site Recovery, sanal makine için çoğaltma etkinleştirildiğinde hedef Azure bölgesinde Contoso VNet ve Contoso Alt Ağı çoğaltmaları oluşturabilir.
• Hedef Azure bölgesinde Alt Ağ NSG'sinin ve VM NSG'sinin istenen çoğaltmalarını (sırasıyla Hedef Alt Ağ NSG'sini ve Hedef VM NSG'sini) oluşturarak hedef bölgede gerekli ek kuralların oluşturulmasını sağlayabilirsiniz.
• Hem NSG hem de alt ağ zaten kullanılabilir olduğundan hedef Alt Ağ NSG'sini hedef bölge alt ağıyla hemen ilişkilendirebilirsiniz.
• Kurtarma planları kullanılarak yük devretme sırasında hedef VM NSG'leri VM'lerle ilişkilendirilebilir.

NSG'ler oluşturulup yapılandırıldıktan sonra, betikle oluşturulan NSG ilişkilendirmelerini ve yük devretme sonrası VM bağlantısını doğrulamak için yük devretme testi çalıştırmanızı öneririz.

Sonraki adımlar

• Ağ Güvenlik Grupları hakkında daha fazla bilgi edinin.
• NSG güvenlik kuralları hakkında daha fazla bilgi edinin.
• NSG için etkili güvenlik kuralları hakkında daha fazla bilgi edinin.
• Uygulama yük devretmeyi otomatikleştirmek için kurtarma planları hakkında daha fazla bilgi edinin.