Azure ağ hizmetlerine genel bakış

  • Makale

Azure'daki ağ hizmetleri, birlikte veya ayrı olarak kullanılabilecek çeşitli ağ özellikleri sağlar. Bunlar hakkında daha fazla bilgi edinmek için aşağıdaki temel özelliklerden birini seçin:

  • Bağlan ivity services: Sanal Ağ (VNet), Sanal WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Eşleme hizmeti, Azure Sanal Ağ Manager, Route Server ve Azure Bastion'da bu ağ hizmetlerinin herhangi bir veya bir bileşimini kullanarak Azure kaynaklarını ve şirket içi kaynakları Bağlan.
  • Uygulama koruma hizmetleri: Azure'da bu ağ hizmetlerinin herhangi birini veya bir bileşimini kullanarak uygulamalarınızı koruyun - Load Balancer, Özel Bağlantı, DDoS koruması, Güvenlik Duvarı, Ağ Güvenlik Grupları, Web Uygulaması Güvenlik Duvarı ve Sanal Ağ Uç Noktaları.
  • Uygulama teslim hizmetleri: Azure -Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer ve Load Balancer'da bu ağ hizmetlerinin herhangi birini veya bir bileşimini kullanarak Azure ağındaki uygulamaları teslim edin.
  • Ağ izleme: Ağ İzleyicisi, ExpressRoute İzleyici, Azure İzleyici veya VNet Terminal Erişim Noktası (TAP) gibi Azure'daki bu ağ hizmetlerinin herhangi birini veya bir bileşimini kullanarak ağ kaynaklarınızı izleyin.

Bağlantı hizmetleri

Bu bölümde Azure kaynakları arasında bağlantı, şirket içi ağdan Azure kaynaklarına bağlantı ve Azure - Sanal Ağ (VNet), ExpressRoute, VPN Gateway, Sanal WAN, Sanal ağ NAT Ağ Geçidi, Azure DNS, Eşleme hizmeti, Yönlendirme Sunucusu ve Azure Bastion'da daldan dallara bağlantı sağlayan hizmetler açıklanmaktadır.

Sanal ağ

Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağları kullanarak:

  • Azure kaynakları arasında iletişim kurma: Sanal makineleri ve Azure Uygulaması Hizmet Ortamları, Azure Kubernetes Service (AKS) ve Azure Sanal Makine Ölçek Kümeleri gibi diğer çeşitli Azure kaynaklarını sanal ağa dağıtabilirsiniz. Bir sanal ağa dağıtabileceğiniz Azure kaynaklarının tam listesini görüntülemek için bkz. Sanal ağ hizmeti tümleştirmesi.
  • Birbiriyle iletişim kurma: Sanal ağları birbirine bağlayarak sanal ağ eşlemesini veya Azure Sanal Ağ Manager'ı kullanarak sanal ağdaki kaynakların birbiriyle iletişim kurmasını sağlayabilirsiniz. Bağlandığınız sanal ağlar aynı veya farklı Azure bölgelerinde bulunabilir. Daha fazla bilgi için bkz. Sanal ağ eşlemesi ve Azure Sanal Ağ Yöneticisi.
  • İnternet'e iletişim kurma: Sanal ağ içindeki tüm kaynaklar varsayılan olarak İnternet'e giden iletişim kurabilir. Bir kaynağa genel IP adresi veya genel Load Balancer atayarak o kaynağa gelen yönde iletişim kurabilirsiniz. Giden bağlantılarınızı yönetmek için Genel IP adreslerini veya genel Load Balancer'ı da kullanabilirsiniz.
  • Şirket içi ağlarla iletişim kurma: VPN Gateway veya ExpressRoute kullanarak şirket içi bilgisayarlarınızı ve ağlarınızı bir sanal ağa bağlayabilirsiniz.
  • Kaynaklar arasındaki trafiği şifreleme: Sanal ağ şifrelemesini kullanarak bir sanal ağdaki kaynaklar arasındaki trafiği şifreleyebilirsiniz.

Azure Sanal Ağ Yöneticisi

Azure Sanal Ağ Yöneticisi, sanal ağları farklı aboneliklerde gruplandırmanıza, yapılandırmanıza, dağıtmanıza ve yönetmenize olanak tanıyan bir yönetim hizmetidir. Sanal Ağ Yöneticisi ile sanal ağlarınızı tanımlamak ve mantıksal olarak segmentlere ayırmak için ağ grupları tanımlayabilirsiniz. Ardından, istediğiniz bağlantı ve güvenlik yapılandırmalarını belirleyebilir ve bunları aynı anda ağ gruplarındaki tüm seçili sanal ağlara uygulayabilirsiniz.

Azure sanal ağ yöneticisi ile bir ağ sanal ağ topolojisi için dağıtılan kaynakların diyagramı.

ExpressRoute

ExpressRoute , bir bağlantı sağlayıcısı tarafından kolaylaştırılan özel bir bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanır. Bu bağlantı özeldir. Trafik İnternet üzerinden gitmez. ExpressRoute'u kullanarak Microsoft Azure, Microsoft 365 ve Dynamics 365 gibi Microsoft bulut hizmetleriyle bağlantı kurabilirsiniz.

Azure ExpressRoute

VPN Gateway

VPN Gateway , şirket içi konumlardan sanal ağınıza şifreli şirket içi bağlantılar oluşturmanıza veya sanal ağlar arasında şifrelenmiş bağlantılar oluşturmanıza yardımcı olur. VPN Gateway bağlantıları için farklı yapılandırmalar mevcuttur. Ana özelliklerden bazıları şunlardır:

  • Siteden siteye VPN bağlantısı
  • Noktadan siteye VPN bağlantısı
  • Sanal Ağdan Sanal Ağa VPN bağlantısı

Aşağıdaki diyagramda aynı sanal ağa yönelik birden çok siteden siteye VPN bağlantısı gösterilmektedir. Daha fazla bağlantı diyagramı görüntülemek için bkz . VPN Gateway - tasarım.

Birden çok siteden siteye Azure VPN Gateway bağlantısını gösteren diyagram.

Sanal WAN

Azure Sanal WAN, tek bir işlem arabirimi sağlamak için birçok ağ, güvenlik ve yönlendirme işlevini bir araya getiren bir ağ hizmetidir. Azure sanal ağlarına Bağlan üretkenliği, sanal ağ bağlantıları kullanılarak oluşturulur. Ana özelliklerden bazıları şunlardır:

  • Dal bağlantısı (SD-WAN veya VPN CPE gibi Sanal WAN İş ortağı cihazlarından bağlantı otomasyonu aracılığıyla)
  • Siteden siteye VPN bağlantısı
  • Uzak kullanıcı VPN bağlantısı (noktadan siteye)
  • Özel bağlantı (ExpressRoute)
  • Bulut içi bağlantı (sanal ağlar için geçişli bağlantı)
  • İç bağlantı yönlendirme için VPN ExpressRoute
  • Özel bağlantı için yönlendirme, Azure Güvenlik Duvarı ve şifreleme

Sanal WAN diyagramı.

Azure DNS

Azure DNS , Microsoft Azure altyapısını kullanarak DNS barındırma ve çözümleme sağlar. Azure DNS üç hizmetlerden oluşur:

  • Azure Genel DNS , DNS etki alanları için bir barındırma hizmetidir. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz.
  • Azure Özel DNS, sanal ağlarınız için bir DNS hizmetidir. Azure Özel DNS, özel bir DNS çözümü yapılandırmaya gerek kalmadan sanal ağdaki etki alanı adlarını yönetir ve çözümler.
  • Azure DNS Özel Çözümleyicisi , VM tabanlı DNS sunucuları dağıtmadan şirket içi ortamdan Azure DNS özel bölgelerini sorgulamanızı sağlayan bir hizmettir.

Azure DNS kullanarak genel etki alanlarını barındırabilir ve çözümleyebilir, sanal ağlarınızda DNS çözümlemesini yönetebilir ve Azure ile şirket içi kaynaklarınız arasında ad çözümlemesini etkinleştirebilirsiniz.

Azure Bastion

Azure Bastion , tarayıcınızı ve Azure portalını kullanarak veya yerel bilgisayarınızda zaten yüklü olan yerel SSH veya RDP istemcisi aracılığıyla bir sanal makineye bağlanmanıza olanak sağlamak için dağıtabileceğiniz bir hizmettir. Azure Bastion hizmeti, sanal ağınıza dağıttığınız tam platform tarafından yönetilen bir PaaS hizmetidir. Doğrudan Azure portalda TLS üzerinden sanal makinelere güvenli ve sorunsuz bir şekilde RDP/SSH bağlantısı sunar. Azure Bastion aracılığıyla bağlandığınızda sanal makinelerinizin genel IP adresine, aracıya veya özel istemci yazılımına ihtiyacı olmaz. Azure Bastion için çeşitli SKU'lar/katmanlar mevcuttur. Seçtiğiniz katman kullanılabilir özellikleri etkiler. Daha fazla bilgi için bkz . Bastion yapılandırma ayarları hakkında.

Azure Bastion mimarisini gösteren diyagram.

NAT Ağ Geçidi

Sanal Ağ NAT(ağ adresi çevirisi), sanal ağlar için yalnızca giden İnternet bağlantısını basitleştirir. Bir alt ağda yapılandırıldığında, tüm giden bağlantılar belirtilen statik genel IP adreslerinizi kullanır. Doğrudan sanal makinelere bağlı yük dengeleyici veya genel IP adresleri olmadan giden bağlantı mümkündür. Daha fazla bilgi için bkz. Azure NAT ağ geçidi nedir?

Sanal ağ NAT ağ geçidi

Yönlendirme Sunucusu

Azure Route Server , ağ sanal gereciniz (NVA) ile sanal ağınız arasında dinamik yönlendirmeyi basitleştirir. Yönlendirme tablolarını el ile yapılandırmanıza veya bakımını yapmanıza gerek kalmadan, bgp yönlendirme protokollerini destekleyen herhangi bir NVA ile Azure Sanal Ağ (VNet) içindeki Azure Yazılım Tanımlı Ağ (SDN) arasında doğrudan Sınır Ağ Geçidi Protokolü (BGP) yönlendirme protokolü aracılığıyla yönlendirme bilgileri alışverişinde bulunmanıza olanak tanır.

Eşleme Hizmeti

Azure Eşleme Hizmeti, Microsoft 365, Dynamics 365, hizmet olarak yazılım (SaaS) hizmetleri, Azure veya genel İnternet üzerinden erişilebilen herhangi bir Microsoft hizmetleri gibi Microsoft bulut hizmetlerine müşteri bağlantısını geliştirir.

Uygulama koruma hizmetleri

Bu bölümde Azure'daki ağ kaynaklarınızın korunmasına yardımcı olan ağ hizmetleri açıklanmaktadır: Azure'da bu ağ hizmetlerini kullanarak uygulamalarınızı koruma - DDoS koruması, Özel Bağlantı, Güvenlik Duvarı, Web Uygulaması Güvenlik Duvarı, Ağ Güvenlik Grupları ve Sanal Ağ Hizmet Uç Noktaları.

DDOS Koruması

Azure DDoS Koruması , en gelişmiş DDoS tehditlerine karşı önlemler sağlar. Hizmet, uygulamanız ve sanal ağlarınıza dağıtılan kaynaklar için gelişmiş DDoS azaltma özellikleri sağlar. Ayrıca Azure DDoS Koruması kullanan müşteriler, etkin bir saldırı sırasında DDoS uzmanlarıyla etkileşim kurmak için DDoS Hızlı Yanıt desteğine erişebilir.

Azure DDoS Koruması iki katmandan oluşur:

  • DDoS Ağ Koruması, uygulama tasarımı en iyi yöntemleriyle birlikte DDoS saldırılarına karşı savunmak için gelişmiş DDoS azaltma özellikleri sağlar. Sanal ağdaki belirli Azure kaynaklarınızın korunmasına yardımcı olmak için otomatik olarak ayarlanmıştır.
  • DDoS IP Koruması korumalı bir IP modelidir. DDoS IP Koruması, DDoS Ağ Koruması ile aynı temel mühendislik özelliklerini içerir, ancak aşağıdaki katma değerli hizmetlerde farklılık gösterir: DDoS hızlı yanıt desteği, maliyet koruması ve WAF indirimleri.

DDoS korumalı PaaS web uygulaması için başvuru mimarisinin diyagramı.

Azure Özel Bağlantı, Azure PaaS Hizmetleri'ne (örneğin, Azure Depolama ve SQL Veritabanı) ve Azure'da barındırılan müşteriye/iş ortağı hizmetlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Sanal ağınız ile hizmet arasındaki trafik Microsoft omurga ağı üzerinden gider. Hizmetinizi genel İnternet'te kullanıma açmak artık gerekli değildir. Sanal ağınızda kendi özel bağlantı hizmetinizi oluşturup müşterilerinize teslim edebilirsiniz.

Özel uç noktaya genel bakış

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Azure Güvenlik Duvarı kullanarak, abonelikler ve sanal ağlar arasında uygulama ve ağ bağlantı ilkelerini merkezi olarak oluşturabilir, zorunlu kılabilir ve günlüğe kaydedebilirsiniz. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır.

Güvenlik duvarına genel bakış

Web Uygulaması Güvenlik Duvarı

Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınıza SQL ekleme ve siteler arası betik oluşturma gibi yaygın web açıklarından ve güvenlik açıklarından koruma sağlar. Azure WAF, yönetilen kurallar aracılığıyla OWASP ilk 10 güvenlik açığına karşı kullanıma açık koruma sağlar. Ayrıca müşteriler, kaynak IP aralığına göre ek koruma sağlamak için müşteri tarafından yönetilen kurallar olan özel kuralları ve üst bilgiler, tanımlama bilgileri, form veri alanları veya sorgu dizesi parametreleri gibi istek özniteliklerini yapılandırabilir.

Müşteriler, genel ve özel adres alanında bulunan varlıklara bölgesel koruma sağlayan Application Gateway ile Azure WAF'yi dağıtmayı seçebilir. Müşteriler, ağ uç noktasında genel uç noktalara koruma sağlayan Front Door ile Azure WAF dağıtmayı da seçebilir.

Web Uygulaması Güvenlik Duvarı

Ağ güvenlik grupları

Ağ güvenlik grupları ile bir Azure sanal ağı içindeki Azure kaynaklarına gelen ve bu kaynaklardan giden ağ trafiğini filtreleyebilirsiniz. Daha fazla bilgi için bkz . Ağ güvenlik grupları.

Hizmet uç noktaları

Sanal Ağ (VNet) hizmet uç noktaları, sanal ağ özel adres alanınızı ve sanal ağınızın kimliğini doğrudan bağlantı üzerinden Azure hizmetlerine genişletir. Uç noktalar kritik Azure hizmeti kaynaklarınızı sanal ağlarınızla sınırlayarak güvenliğini sağlamanıza imkan verir. Sanal ağınızdan Azure hizmetine giden trafik her zaman Microsoft Azure omurga ağında kalır.

Sanal ağ hizmet uç noktaları

Uygulama teslim hizmetleri

Bu bölümde, Uygulama Teslim Ağı, Azure Front Door Service, Traffic Manager, Load Balancer ve Application Gateway gibi uygulamaların teslim edilmesine yardımcı olan Azure ağ hizmetleri açıklanmaktadır.

Azure Front Door

Azure Front Door , yüksek kullanılabilirlik için en iyi performansı ve anlık genel yük devretmeyi iyileştirerek web trafiğiniz için genel yönlendirmeyi tanımlamanıza, yönetmenize ve izlemenize olanak tanır. Front Door ile, genel (çok bölgeli) tüketici ve kurumsal uygulamalarınızı Azure ile küresel çapta bir hedef kitleye ulaşan sağlam, yüksek performanslı, kişiselleştirilmiş modern uygulamalara, API’lere ve içeriğe dönüştürebilirsiniz.

Web Uygulaması Güvenlik Duvarı ile Azure Front Door hizmetinin diyagramı.

Traffic Manager

Azure Traffic Manager. , yüksek kullanılabilirlik ve yanıt süresi sağlarken trafiği genel Azure bölgelerindeki hizmetlere en iyi şekilde dağıtmanızı sağlayan DNS tabanlı bir trafik yük dengeleyicidir. Traffic Manager, öncelik, ağırlıklı, performans, coğrafi, çok değerli veya alt ağ gibi trafiği dağıtmak için bir dizi trafik yönlendirme yöntemi sağlar.

Aşağıdaki diyagramda Traffic Manager ile uç nokta önceliği tabanlı yönlendirme gösterilmektedir:

Azure Traffic Manager 'Priority' trafik yönlendirme yöntemi

Traffic Manager hakkında daha fazla bilgi için bkz. Azure Traffic Manager nedir?

Load Balancer

Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli Katman 4 yük dengelemesi sağlar. Gelen ve giden bağlantıları yönetir. Genel ve iç yük dengeli uç noktaları yapılandırabilirsiniz. Hizmet kullanılabilirliğini yönetmek için TCP ve HTTP sistem durumu yoklama seçeneklerini kullanarak gelen bağlantıları arka uç havuzu hedeflerine eşlemek için kurallar tanımlayabilirsiniz.

Azure Load Balancer Standart, Bölgesel ve Ağ Geçidi SKU'larında kullanılabilir.

Aşağıdaki resimde hem dış hem de iç yük dengeleyicileri kullanan İnternet'e yönelik çok katmanlı bir uygulama gösterilmektedir:

Azure Load Balancer örneği

Application Gateway

Azure Application Gateway, web uygulamalarınıza trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicisidir. Uygulamalarınız için çeşitli katman 7 yük dengeleme özellikleri sunan bir hizmet olarak Application Delivery Controller (ADC) hizmetidir.

Aşağıdaki diyagramda Application Gateway ile url yolu tabanlı yönlendirme gösterilmektedir.

Application Gateway örneği

Content Delivery Network

Azure Content Delivery Network (CDN). geliştiricilere, dünyanın farklı yerlerindeki stratejik fiziksel düğümlerde içeriklerini önbelleğe alarak yüksek bant genişliğine sahip içerikleri kullanıcılara hızlı bir şekilde sunmak için küresel bir çözüm sunar.

Azure CDN

Ağ izleme hizmetleri

Bu bölümde Azure Ağ İzleyicisi, Azure İzleyici Ağ Analizler, Azure İzleyici ve ExpressRoute İzleyici gibi ağ kaynaklarınızı izlemeye yardımcı olan Azure ağ hizmetleri açıklanmaktadır.

Azure Ağ İzleyicisi

Azure Ağ İzleyicisi, Azure sanal ağındaki kaynaklarda izleme, tanılama, ölçümleri görüntüleme ve günlükleri etkinleştirme veya devre dışı bırakma işlemleri için araçlar sağlar. Daha fazla bilgi için bkz. [Ağ İzleyicisi nedir?

Azure İzleyici

Azure İzleyici, bulut ve şirket içi ortamlarınızdaki telemetri verilerini toplama, analiz etme ve onları kullanarak harekete geçme amacıyla kapsamlı bir çözüm sunarak uygulamalarınızın kullanılabilirliğini ve performansını en üst düzeye çıkarır. Uygulamalarınızın performansını anlamanıza ve uygulamalarla bağlı oldukları kaynakları etkileyen sorunları önceden tespit etmenize yardımcı olur. Daha fazla bilgi için bkz. [Azure İzleyici'ye Genel Bakış

ExpressRoute İzleyicisi

ExpressRoute bağlantı hattı ölçümlerini, kaynak günlüklerini ve uyarılarını görüntüleme hakkında bilgi edinmek için bkz . ExpressRoute izleme, ölçümler ve uyarılar.

Ağ İçgörüleri

Ağlar için Azure İzleyici (Ağ Analizler). , herhangi bir yapılandırma gerektirmeden tüm dağıtılan ağ kaynakları için sistem durumu ve ölçümlerin kapsamlı bir görünümünü sağlar.

Sonraki adımlar