Sanal gereç senaryosu
Büyük Azure müşterileri arasında yaygın bir senaryo, şirket içi veri merkezinden arka katmana erişim izni verirken İnternet'e açık iki katmanlı bir uygulama sağlama gereksinimidir. Bu belge, aşağıdaki gereksinimleri karşılayan iki katmanlı bir ortam dağıtmak için yol tablolarını, VPN Gateway ve ağ sanal gereçlerini kullanan bir senaryoda size yol gösterir:
Web uygulamasına yalnızca genel İnternet'ten erişilebilir olmalıdır.
Uygulamayı barındıran web sunucusunun bir arka uç uygulama sunucusuna erişebilmesi gerekir.
İnternet'ten web uygulamasına giden tüm trafik bir güvenlik duvarı sanal gerecinden geçmelidir. Bu sanal gereç yalnızca İnternet trafiği için kullanılır.
Uygulama sunucusuna giden tüm trafik bir güvenlik duvarı sanal gerecinin üzerinden geçmelidir. Bu sanal gereç, arka uç sunucusuna erişim ve bir VPN Gateway aracılığıyla şirket içi ağdan gelen erişim için kullanılır.
Yöneticiler, yalnızca yönetim amacıyla kullanılan üçüncü bir güvenlik duvarı sanal gereci kullanarak şirket içi bilgisayarlarından güvenlik duvarı sanal gereçlerini yönetebilmelidir.
Bu örnek, DMZ ve korumalı ağ içeren standart bir çevre ağı (DMZ olarak da bilinir) senaryosudur. Bu tür bir senaryo Azure'da NSG'ler, güvenlik duvarı sanal gereçleri veya her ikisinin birleşimi kullanılarak oluşturulabilir.
Aşağıdaki tabloda NSG'ler ve güvenlik duvarı sanal gereçleri arasındaki bazı artılar ve dezavantajlar gösterilmektedir.
| Öğe | Avantajlar | Dezavantajlar |
|---|---|---|
| NSG | Maliyet yok. Azure rol tabanlı erişimle tümleşik. Kurallar Azure Resource Manager şablonlarında oluşturulabilir. |
Karmaşıklık daha büyük ortamlarda farklılık gösterebilir. |
| Güvenlik duvarı | Veri düzlemi üzerinde tam denetim. Güvenlik duvarı konsolu aracılığıyla merkezi yönetim. |
Güvenlik duvarı gerecinin maliyeti. Azure rol tabanlı erişimle tümleştirilmemiş. |
Aşağıdaki çözüm, bir çevre ağı (DMZ)/korumalı ağ senaryosu uygulamak için güvenlik duvarı sanal gereçlerini kullanır.
Dikkat edilmesi gerekenler
Azure'da daha önce açıklanan ortamı, bugün kullanılabilen farklı özellikleri kullanarak aşağıdaki gibi dağıtabilirsiniz.
Sanal ağ. Azure sanal ağı, şirket içi ağa benzer şekilde hareket eder ve trafik yalıtımı ve sorun ayrımı sağlamak için bir veya daha fazla alt ağa bölünebilir.
Sanal gereç. Çeşitli iş ortakları, Azure Market daha önce açıklanan üç güvenlik duvarı için kullanılabilecek sanal gereçler sağlar.
Yol tabloları. Rota tabloları, Azure ağı tarafından bir sanal ağ içindeki paket akışını denetlemek için kullanılır. Bu yol tabloları alt ağlara uygulanabilir. GatewaySubnet'e, karma bağlantıdan Azure sanal ağına giren tüm trafiği bir sanal gereci ileten bir yol tablosu uygulayabilirsiniz.
IP İletme. Varsayılan olarak, Azure ağ altyapısı paketleri yalnızca paket hedef IP adresi NIC IP adresiyle eşleşiyorsa sanal ağ arabirim kartlarına (NIC) iletir. Bu nedenle, bir yol tablosu bir paketin belirli bir sanal gerece gönderilmesi gerektiğini tanımlarsa, Azure ağ altyapısı bu paketi bırakır. Paketin, paketin gerçek hedefi olmayan bir VM'ye (bu örnekte bir sanal gereç) teslim edilmesini sağlamak için sanal gerecin IP İletmesini etkinleştirin.
Ağ Güvenlik Grupları (NSG). Aşağıdaki örnek NSG'leri kullanmaz, ancak bu çözümdeki alt ağlara ve/veya NIC'lere uygulanan NSG'leri kullanabilirsiniz. NSG'ler bu alt ağlara ve NIC'lere gelen ve giden trafiği daha fazla filtrelemektedir.
Bu örnekte, aşağıdaki öğeleri içeren bir abonelik vardır:
Diyagramda gösterilmeyen iki kaynak grubu.
ONPREMRG. Şirket içi ağın benzetimini yapmak için gereken tüm kaynakları içerir.
AZURERG. Azure sanal ağ ortamı için gereken tüm kaynakları içerir.
Şirket içi veri merkezini taklit etmek için aşağıdaki gibi segmentlere ayrılmış onpremvnet adlı bir sanal ağ.
onpremsn1. Bir şirket içi sunucuyu taklit etmek için Linux dağıtımı çalıştıran bir sanal makine (VM) içeren alt ağ.
onpremsn2. Yönetici tarafından kullanılan bir şirket içi bilgisayarı taklit etmek için Linux dağıtımı çalıştıran bir VM içeren alt ağ.
onpremvnet üzerinde azurevnet tünelinin bakımını yapmak için kullanılan OPFW adlı bir güvenlik duvarı sanal gereci vardır.
azurevnet adlı bir sanal ağ aşağıdaki gibi segmentlere ayrılmıştır.
azsn1. Dış güvenlik duvarı alt ağı yalnızca dış güvenlik duvarı için kullanılır. Tüm İnternet trafiği bu alt ağ üzerinden gelir. Bu alt ağ yalnızca dış güvenlik duvarına bağlı bir NIC içerir.
azsn2. İnternet'ten erişilen bir web sunucusu olarak çalışan bir VM'yi barındıran ön uç alt ağı.
azsn3. Ön uç web sunucusu tarafından erişilen bir arka uç uygulama sunucusu çalıştıran bir VM'yi barındıran arka uç alt ağı.
azsn4. Tüm güvenlik duvarı sanal gereçlerine yönetim erişimi sağlamak için özel olarak kullanılan yönetim alt ağı. Bu alt ağ yalnızca çözümde kullanılan her güvenlik duvarı sanal gereci için bir NIC içerir.
GatewaySubnet. Azure sanal ağları ile diğer ağlar arasında bağlantı sağlamak için ExpressRoute ve VPN Gateway için Azure karma bağlantı alt ağı gerekir.
azurevnet ağında 3 güvenlik duvarı sanal gereç vardır.
AZF1. Azure'da genel IP adresi kaynağı kullanılarak genel İnternet'e sunulan dış güvenlik duvarı. Market'ten veya doğrudan 3-NIC sanal gereci dağıtan alet satıcınızdan bir şablona sahip olduğunuzdan emin olmanız gerekir.
AZF2. azsn2 ile azsn3 arasındaki trafiği denetlemek için kullanılan iç güvenlik duvarı. Bu güvenlik duvarı aynı zamanda bir 3-NIC sanal gerecidir.
AZF3. Yönetim güvenlik duvarı, şirket içi veri merkezinden yöneticiler tarafından erişilebilir ve tüm güvenlik duvarı gereçlerini yönetmek için kullanılan bir yönetim alt ağından bağlanır. Market'te 2-NIC sanal gereç şablonları bulabilir veya doğrudan alet satıcınızdan bir tane isteyebilirsiniz.
Yol tabloları
Azure'daki her alt ağ, bu alt ağda başlatılan trafiğin nasıl yönlendirildiğini tanımlamak için kullanılan bir yönlendirme tablosuna bağlanabilir. Hiçbir UDR tanımlanmamışsa Azure, trafiğin bir alt ağdan diğerine akmasına izin vermek için varsayılan yolları kullanır. Yönlendirme tablolarını ve trafik yönlendirmesini daha iyi anlamak için bkz. Azure sanal ağ trafiği yönlendirme.
İletişimin doğru güvenlik duvarı gereci üzerinden yapıldığından emin olmak için, daha önce listelenen son gereksinime bağlı olarak azurevnet'te aşağıdaki yol tablosunu oluşturmanız gerekir.
azgwudr
Bu senaryoda, azf3'e bağlanarak güvenlik duvarlarını yönetmek için şirket içinden Azure'a akan tek trafik kullanılır ve bu trafiğin iç güvenlik duvarı olan AZF2'den geçmesi gerekir. Bu nedenle, GatewaySubnet'te aşağıda gösterildiği gibi yalnızca bir yol gereklidir.
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | Şirket içi trafiğin yönetim güvenlik duvarı AZF3'e erişmesine izin verir |
azsn2udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | AZF2 aracılığıyla uygulama sunucusunu barındıran arka uç alt aağı trafiğine izin verir |
| 0.0.0.0/0 | 10.0.2.10 | Diğer tüm trafiğin AZF1 üzerinden yönlendirilmesine izin verir |
azsn3udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | AZF2 aracılığıyla azsn2'ye giden trafiğin uygulama sunucusundan web sunucusuna akmasına izin verir |
Şirket içi veri merkezini taklit etmek için şirket içi ağ içindeki alt ağlar için de yol tabloları oluşturmanız gerekir.
onpremsn1udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | OPFW aracılığıyla onpremsn2 trafiğine izin verir |
onpremsn2udr
| Hedef | Sonraki atlama | Açıklama |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | OPFW aracılığıyla Azure'da desteklenen alt ağa gelen trafiğe izin verir |
| 192.168.1.0/24 | 192.168.2.4 | OPFW aracılığıyla onpremsn1 trafiğine izin verir |
IP İletimi
Yönlendirme tabloları ve IP İletme, azure Sanal Ağ trafik akışını denetlemek için sanal gereçlerin kullanılmasına izin vermek için birlikte kullanabileceğiniz özelliklerdir. Sanal gereç, güvenlik duvarı veya NAT cihazı gibi ağ trafiğini işlemek için kullanılan bir uygulamayı çalıştıran bir VM'den fazlası değildir.
Bu sanal gereç VM'sinde kendisine adreslenmemiş gelen trafik alınabiliyor olmalıdır. Bir VM'nin başka hedeflere yönelik trafiği alabilmesine izin vermek için VM'de IP İletimini etkinleştirmeniz gerekir. Bu ayar bir Azure ayarıdır, konuk işletim sistemindeki bir ayar değildir. Sanal gerecinizin yine de gelen trafiği işlemek ve uygun şekilde yönlendirmek için bir tür uygulama çalıştırması gerekir.
IP İletme hakkında daha fazla bilgi edinmek için bkz. Azure sanal ağ trafiği yönlendirme.
Örneğin, bir Azure sanal asında aşağıdaki kuruluma sahip olduğunuzu düşünün:
Onpremsn1 alt ağı onpremvm1 adlı bir VM içerir.
Onpremsn2 alt ağı onpremvm2 adlı bir VM içerir.
OPFW adlı bir sanal gereç onpremsn1 ve onpremsn2'ye bağlanır.
onpremsn1'e bağlı bir kullanıcı tanımlı yol, onpremsn2'ye giden tüm trafiğinOPFW'ye gönderilmesi gerektiğini belirtir.
Bu noktada, onpremvm1 onpremvm2 ile bağlantı kurmayı denerse, UDR kullanılır ve trafik sonraki atlama olarak OPFW'ye gönderilir. Gerçek paket hedefinin değiştirilmediğini, yine de hedefin onpremvm2 olduğunu belirttiğini unutmayın.
OPFW için IP İletme etkinleştirilmeden Azure sanal ağ mantığı paketleri bırakır çünkü paketlerin yalnızca paketin hedefi VM'nin IP adresi olması durumunda vm'ye gönderilmesine izin verir.
IP İletme ile Azure sanal ağ mantığı, paketleri özgün hedef adresini değiştirmeden OPFW'ye iletir. OPFW ' nin paketleri işlemesi ve bunlarla ne yapacağını belirlemesi gerekir.
Senaryonun daha önce çalışması için, yönlendirme için kullanılan OPFW, AZF1, AZF2 ve AZF3 NIC'lerinde IP İletme'yi etkinleştirmeniz gerekir (yönetim alt ağıyla bağlantılı olanlar dışındaki tüm NIC'ler).
Güvenlik Duvarı Kuralları
Daha önce açıklandığı gibi IP İletme yalnızca paketlerin sanal gereçlere gönderilmesini sağlar. Aletinizin yine de bu paketlerle ne yapacağına karar vermesi gerekir. Önceki senaryoda, gereçlerinizde aşağıdaki kuralları oluşturmanız gerekir:
OPFW
OPFW, aşağıdaki kuralları içeren bir şirket içi cihazı temsil eder:
Yol: 10.0.0.0/16'ya (azurevnet) giden tüm trafik ONPREMAZURE tüneli üzerinden gönderilmelidir.
İlke: Bağlantı noktası2 ile ONPREMAZURE arasındaki tüm çift yönlü trafiğe izin verin.
AZF1
AZF1, aşağıdaki kuralları içeren bir Azure sanal gerecini temsil eder:
- İlke: Bağlantı noktası1 ile bağlantı noktası2 arasındaki tüm çift yönlü trafiğe izin verin.
AZF2
AZF2, aşağıdaki kuralları içeren bir Azure sanal gerecini temsil eder:
- İlke: Bağlantı noktası1 ile bağlantı noktası2 arasındaki tüm çift yönlü trafiğe izin verin.
AZF3
AZF3, aşağıdaki kuralları içeren bir Azure sanal gerecini temsil eder:
- Yol: 192.168.0.0/16'ya (onpremvnet) giden tüm trafik, bağlantı noktası1 üzerinden Azure ağ geçidi IP adresine (10.0.0.1) gönderilmelidir.
Ağ Güvenlik Grupları (NSG)
Bu senaryoda NSG'ler kullanılmıyor. Ancak, gelen ve giden trafiği kısıtlamak için her alt ağa NSG'ler uygulayabilirsiniz. Örneğin, dış FW alt ağına aşağıdaki NSG kurallarını uygulayabilirsiniz.
Gelen
Alt bilgisayarınızda İnternet'ten 80 numaralı bağlantı noktasına gelen tüm TCP trafiğine izin verin.
İnternet'ten gelen diğer tüm trafiği reddedin.
Giden
- İnternet'e gelen tüm trafiği reddedin.
Üst düzey adımlar
Bu senaryoyu dağıtmak için aşağıdaki üst düzey adımları kullanın.
Azure Aboneliğinizde oturum açın.
Şirket içi ağı taklit etmek için bir sanal ağ dağıtmak istiyorsanız, ONPREMRG'nin parçası olan kaynakları dağıtın.
AZURERG'nin parçası olan kaynakları dağıtın.
Tüneli onpremvnet'ten azurevnet'e dağıtın.
Tüm kaynaklar sağlandıktan sonra, onpremsn2 ile azsn3 arasındaki bağlantıyı test etmek için onpremvm2 ve ping 10.0.3.101'de oturum açın.