4. Sanal Ağları Planlama
Kendi ağınızın
mantıksal temsili
Yalnızca buluta özel bir
sanal ağ oluşturun
Veri merkezinizi sanal ağlarla
güvenli bir şekilde genişletin
Hibrit bulut
senaryolarını
etkinleştirin
5. Sanal Ağları Planlama
Bir sanal ağ, bir
veya daha fazla alt
ağa bölünebilir
Alt ağlar, ağınız içinde
mantıksal bölünmeler
sağlar
Alt ağlar, güvenliği artırmaya,
performansı artırmaya ve ağı
yönetmeyi kolaylaştırmaya
yardımcı olabilir
Her alt ağın benzersiz
bir adres aralığı
olmalıdır - abonelikteki
sanal ağdaki diğer alt
ağlarla çakışamaz
6. Sanal Ağlar Oluşturma
• İstediğiniz zaman yeni sanal ağlar
oluşturun
• Bir sanal makine oluşturduğunuzda
sanal ağla ekleyin
• Adres alanını ve en az bir alt ağı
tanımlamanız gerekiyor
• Örtüşen adreslere dikkat edin
7. IP Adreslemeyi Planlama
Özel IP adresleri - ağınızı Azure'a
genişletmek için bir VPN ağ geçidi
veya ExpressRoute devresi
kullandığınızda bir Azure sanal ağı
(VNet) ve şirket içi ağınızda
kullanılır.
Genel IP adresleri - Azure
herkese açık hizmetler de
dahil olmak üzere İnternet
ile iletişim için kullanılır.
8. Genel IP Adresleri Oluşturma
• IPv4 veya IPv6 veya her ikisinde de
mevcuttur
• Temel veve Standart SK
• Dinamik veya Statik
• Bölge yedekli – Zone Reduntant
(Standart SKU)
• Prefix olarak kullanılabilen bitişik adres
aralığı
9. Genel IP Adreslerini İlişkilendirme
Genel IP adresleri IP adresi ilişkilendirmesi Dinamik Statik
Virtual Machine NIC Evet Evet
Load Balancer Ön uç yapılandırması Evet Evet
VPN Gateway Ağ geçidi IP yapılandırması Evet Evet*
Application Gateway Ön uç yapılandırması Evet Evet*
Genel bir IP adresi kaynağı, sanal makine ağ arabirimleri, internete yönelik yük dengeleyiciler, VPN ağ geçitleri
ve uygulama ağ geçitleriyle ilişkilendirilebilir.
*Statik IP adresleri yalnızca belirli SKU'larda mevcuttur.
10. Özel IP Adreslerini İlişkilendirme
Genel IP adresleri IP adresi ilişkilendirmesi Dinamik Statik
Virtual Machine NIC Evet Evet
Internal Load Balancer Ön uç yapılandırması Evet Evet
Application Gateway Ön uç yapılandırması Evet Evet
Dinamik (varsayılan) Azure, alt ağın adres aralığındaki bir sonraki kullanılabilir atanmamış veya ayrılmamış IP
adresini atar
Statik Alt ağın adres aralığında herhangi bir atanmamış veya ayrılmamış IP adresini seçer ve atarsınız.
12. Ağ Güvenlik Grupları (NSG)
Ağ trafiğini sanal bir
ağdaki kaynaklarla
sınırlar
Gelen veya giden ağ
trafiğine izin veren veya
reddeden güvenlik
kurallarını listeler
Bir alt ağ veya ağ arabirimiyle
ilişkili
Birden çok kez
ilişkilendirilebilir
13. NSG Kurallarını Belirleme
NSG'lerdeki güvenlik kuralları, sanal ağ alt
ağlarına ve ağ arabirimlerine giren ve çıkan
ağ trafiğini filtrelemenize olanak tanır.
Varsayılan güvenlik kuralları vardır. Varsayılan kuralları
silemezsiniz, ancak daha yüksek önceliğe sahip başka
kurallar ekleyebilirsiniz.
14. NSG Etkili Kurallarını Belirleme
• NSG'ler, alt ağ ve NIC için bağımsız
olarak değerlendirilir
• Trafiğin kabul edilebilmesi için her iki
düzeyde de bir "izin ver" kuralı
bulunmalıdır
• Hangi güvenlik kurallarının
uygulandığından emin değilseniz Etkili
Kurallar bağlantısını kullanın.
15. NSG Kuralları Oluşturma
• Çok çeşitli hizmetler arasından seçim
yapın
• Hizmet – Bu kural için hedef protokol
ve bağlantı noktası aralığı
• Bağlantı noktası aralıkları – Tek
bağlantı noktası veya birden çok
bağlantı noktası
• Öncelik – Sayı ne kadar düşükse,
öncelik o kadar yüksek olur
19. VNet Eşleme Hususları
Farklı bölgelerdeki eşleme sanal
ağlarına Global VNet Eşleştirme adı
verilir.
Adres aralıkları eklemek veya
kaldırmak için, eşlemeyi silin, adres
aralıklarını ekleyin veya kaldırın,
ardından eşlemeyi yeniden
oluşturun.
Global VNet eşlemesi, bir bölge
içindeki VNet eşlemesinden daha
maliyetlidir
Bir sanal ağ eşlendikten sonra
adres aralıkları sanal ağa
eklenemez veya sanal ağa
silinemez
21. Ağ Geçidi Geçişi ve Bağlantı
Ağ geçidi geçişi, eşlenen sanal ağların ağ
geçidini paylaşmasına ve kaynaklara
erişmesine olanak tanır.
Eşlenen sanal ağda VPN ağ geçidi
gerekmez.
Varsayılan VNet eşlemesi tam bağlantı
sağlar.
Bağlı ağların IP adresi alanları çakışamaz.
22. Service Chaining
Özel yönlendirmeyi uygulamak için kullanıcı
tanımlı rotalardan ve hizmet
zincirlemesinden yararlanın.
Bir sanal ağ cihazı veya bir VPN ağ
geçidi ile bir VNet hub'ı uygulayın.
Hizmet zincirleme, trafiği bir sanal ağdan
sanal bir cihaza veya sanal ağ geçidine,
eşlenmiş bir sanal ağda, kullanıcı tanımlı
yollar aracılığıyla yönlendirmenizi sağlar.
23. VNet Eşleme vs VPN Ağ Geçitleri
VNet Peering VPN Gateway
Limitler VNet başına 500'e kadar VNet başına bir (SKU'ya bağlı)
Ücret modeli Giriş/Çıkış Saatlik + Çıkış
Şifreleme Uçtan uca şifreleme IPsec/IKE
Bant genişliği Limit yok SKU'ya bağlı
Public endpoints Hayır Evet
Geçişlik Hayır Evet(yönlendirmeye bağlı)
İlk kurulum süresi Hızlı ~30 dakika
Tipik senaryolar Veri çoğaltma, veritabanı yük devretme
ve büyük verilerin sık sık
yedeklenmesini gerektiren diğer
senaryolar.
Gecikme süresine duyarlı olmayan ve
baştan sona yüksek olması gerekmeyen
şifrelemeye özgü senaryolar.
25. VPN Ağ Geçidi Kullanımları
Site-to-site bağlantılar,
şirket içi veri
merkezlerini Azure
sanal ağlarına bağlar
VNet-to-VNet
bağlantıları Azure
sanal ağlarını bağlar
Point-to-site (Kullanıcı
VPN) bağlantıları, ayrı
cihazları Azure sanal
ağlarına bağlar
26. Site-to-site Bağlantı Oluşturma
Ağ yapılandırmanızı
dikkatlice planlamak
için zaman ayırın
Şirket içi bölüm,
yalnızca Site-to-site
yapılandırıyorsanız
gereklidir
Bağlantılarınızı her
zaman doğrulayın ve
test edin
27. Ağ Geçidi Alt Ağını Oluşturma
• Ağ geçidi alt ağı, IP adreslerini içerir;
mümkünse, /28 veya /27'lik bir CIDR
bloğu kullanın
• Ağ geçidi alt ağınızı oluşturduğunuzda,
ağ geçidi sanal makineleri ağ geçidi alt
ağına dağıtılır ve gerekli VPN ağ geçidi
ayarlarıyla yapılandırılır.
• Ağ geçidi alt ağına asla başka kaynaklar
(örneğin, ek VM'ler) dağıtmayın
28. VPN Ağ Geçidi Oluşturma
• Çoğu VPN türü Rota tabanlıdır
• Ağ geçidi SKU seçiminiz, sahip
olabileceğiniz bağlantı sayısını ve toplu
aktarım hızı karşılaştırmasını etkiler
• Ağ geçidi alt ağını içeren bir sanal ağı
ilişkilendirin
• Ağ geçidinin genel bir IP adresine
ihtiyacı var
*** VPN ağ geçidinin sağlanması 45 dakika kadar sürebilir
29. VPN Ağ Geçidi Türleri
• Rota tabanlı VPN'ler, paketleri
yönlendirmek için IP iletme veya
yönlendirme tablosundaki yolları
kullanır:
• IKEv2 desteği
• Dinamik yönlendirme
protokollerini kullanabilir
• İlke tabanlı VPN'ler, paketleri IPsec
ilkelerine dayalı olarak IPsec tünelleri
aracılığıyla şifreler ve yönlendirir:
• Yalnızca IKEv1 desteği
• Eski şirket içi VPN cihazları
Çoğu VPN ağ geçidi yapılandırması, Rota
tabanlı bir VPN gerektirir
30. VPN Gateway SKU ve Nesil
Nesil SKU
S2S/VNet-to-VNet
Tünelleri
P2S IKEv2
Bağlantıları
Throughput
Benchmark
1 VpnGw1/Az Max. 30 Max. 250 650 Mbps
1 VpnGw2/Az Max. 30 Max. 500 1.0 Gbps
2 VpnGw2/Az Max. 30 Max. 500 1.25 Gbps
1 VpnGw3/Az Max. 30 Max. 1000 1.25 Gbps
2 VpnGw3/Az Max. 30 Max. 1000 2.5 Gbps
2 VpnGw4/Az Max. 30 Max. 5000 5.0 Gbps
Ağ Geçidi SKU'su
bağlantıları ve verimi
etkiler
Nesil içinde yeniden
boyutlandırmaya izin
verilir
Temel SKU eskidir ve
kullanılmamalıdır
31. Yerel Ağ Ağ Geçidi
• Şirket içi ağ yapılandırmasını yansıtır
• Siteye Azure'un başvurabileceği bir ad
verin
• Yerel Ağ Ağ Geçidi Uç Noktası için
genel bir IP adresi veya FQDN kullanın
• Ağ geçidi üzerinden VPN cihazına
yönlendirilecek IP adresi öneklerini
belirtin
32. Şirket İçi VPN Cihazı
Desteklenen VPN
cihazlarının listesine
bakın (Cisco, Juniper,
Ubiquiti, Barracuda
Networks)
Bir VPN cihazı
yapılandırma komut
dosyası mevcut olabilir
Azure bağlantısı
için paylaşılan
anahtar
Virtual
Network
VPN VIP VPN VIP
On-premises
Network 2
Genel IP adresini
belirtin
33. VPN Bağlantısı
• VPN ağ geçitleriniz oluşturulduktan ve
şirket içi cihaz yapılandırıldıktan sonra
bir bağlantı nesnesi oluşturun
• Bağlantı için bir ad yapılandırın ve türü
Siteden siteye (IPsec) olarak belirtin
• VPN ağ geçidini ve Yerel Ağ Ağ
Geçidini seçin
• Bağlantı için Paylaşılan anahtarı girin
34. Yüksek Kullanılabilirlik Senaryoları
VPN ağ geçitleri iki
örnek olarak dağıtılır
Daha yüksek kullanılabilirlik
için aktif/aktif modu
etkinleştirin
Active/standby (default) Active/active
36. ExpressRoute Kullanımları
Şirket içi ağınız ve
Microsoft veri
merkezleri arasındaki
özel bağlantılar
Bağlantılar genel
İnternet üzerinden
geçmez
Güvenli, güvenilir, düşük
gecikmeli, yüksek hızlı
bağlantılar
37. ExpressRoute Yetenekleri
• Yedekli katman 3 bağlantısı
• Bir coğrafyadaki tüm bölgelere bağlantı
• ExpressRoute premium eklentisiyle
küresel bağlantı
• ExpressRoute Global Reach ile şirket içi
bağlantı
• Bant genişliği seçenekleri – 50 Mbps -
100 Gbps
• Faturalandırma modelleri – Sınırsız,
ölçülü, premium
38. Site-to-site ve ExpressRoute Birlikte Kullanımı
ExpressRoute için
güvenli bir yük
devretme yolu olarak
S2S VPN kullanın
ExpressRoute ile bağlı
olmayan sitelere
bağlanmak için S2S
VPN'leri kullanın
Aynı sanal ağ için iki
VNet ağ geçidine dikkat
edin
39. Siteler Arası Bağlantı Seçeneklerini Karşılaştırın
Bağlantı Azure hizmetleri desteği Bant genişliği Protokoller Tipik kullanım durumu
Virtual network,
point-to-site
Azure IaaS services, Azure
Virtual Machines
Ağ geçidi
SKU'sunu temel
alır
Active/passive Bulut hizmetleri ve
sanal makineler için
geliştirme, test ve
laboratuvar ortamları
Virtual network,
site-to-site
Azure IaaS services, Azure
Virtual Machines
Tipik olarak <1
Gb/sn toplam
Active/passive
Active/active
Geliştirme, test ve
laboratuvar ortamları.
Küçük ölçekli üretim iş
yükleri ve sanal
makineler
ExpressRoute Azure IaaS ve PaaS services,
Microsoft 365 services
50 Mbps'den
100 Gbps'ye
kadar
Active/active Kurumsal sınıf ve görev
açısından kritik iş
yükleri. Büyük veri
çözümleri
40. Sanal WAN Kullanımı
• S2S, P2S ve ExpressRoute'u bir araya
getirir
• Bir hub ve bağlı bağlantı modeli
kullanarak tümleşik bağlantı
• Sanal ağları ve iş yüklerini Azure
hub'ına otomatik olarak bağlayın
• Azure içinde uçtan uca akışı
görselleştirin
• İki tip: Temel ve Standart
43. Azure Load Balancer ile Trafiği Dağıtın
Trafiği aşağıdakilere göre dağıtın:
• Kaynak IP
• Kaynak bağlantı noktası
• Hedef IP
• hedef bağlantı noktası
• Protokol türü
45. Azure Load Balancer ile Trafiği Dağıtın
Availability Zone senaryolarını destekler
46. Bir Azure Load Balancer SKU seçin
Basic Load Balancers
• Bağlantı noktası yönlendirme (Port
forwarding)
• Otomatik yeniden yapılandırma
• Health probe
• Kaynak ağ adresi çevirisi (SNAT)
aracılığıyla giden bağlantılar
• Public yük dengeleyiciler için Azure
Log Analytics aracılığıyla diagnostics
Standard Load Balancers
• Tüm temel özellikler
• HTTPS health probe
• Kullanılabilirlik alanları
• Çok boyutlu ölçümler için Azure
Monitor aracılığıyla tanılama
• Yüksek kullanılabilirlik (HA) bağlantı
noktaları
• Giden kurallar
• Farklı bölgelerdeki iki veya daha
fazla sanal makine için garantili bir
SLA (%99,99)
50. ApplicationGateway Özellikleri
• Secure Sockets Layer (SSL/TLS) sonlandırma
• Otomatik ölçeklendirme
• Bölge yedekliliği
• Statik VIP
• Web Application Firewall
• URL tabanlı filtreleme
• Birden çok site barındırma
• Yeniden yönlendirme
• Session Affinity
52. Web Application Firewall
• OWASP Core Rule Set (CRS)
aracılığıyla koruma
• Azure Monitor aracılığıyla izleme
• Kuralları veya siteye özel ilkeleri
kullanarak özelleştirme
• Azure Application Gateway, Front
Door ve Content Delivery Network
desteği (önizleme)
54. Azure Front Door
• Microsoft'un küresel uç
ağında çalışır
• Azure ve Azure olmayan
hostları destekler
• OSI Layer 7 firewall
• Çeşitli yönlendirme
yöntemleri sunar: gecikme
önceliği, ağırlıklı ve oturum
yakınlığı
55. Azure Front Door
• İsteğe bağlı CDN ile uygulama performansını hızlandırın
• Akıllı sistem durumu araştırmalarıyla uygulama
kullanılabilirliğini artırın
• URL-based routing
• Multiple-site hosting
• TSL sonlandırma
• Özel etki alanları ve sertifika yönetimi
• URL yönlendirmesi
• URL rewrite
• IPv6 ve HTTP/2
56. Azure Front Door
Web Application Firewall özelliği
Azure Front Door için
etkinleştirilebilir.
58. Azure Traffic Manager
• İstekleri en uygun uç noktaya yönlendirmek
için DNS'den yararlanır
• Yapılandırılmış trafik yönlendirme yöntemine
göre uç noktaları seçer
• Uç nokta sağlık kontrolleri ve otomatik yük
devretme sağlar
59. Azure Traffic Manager Yönlendirme Metodları
Trafiğin uç noktalar arasında eşit olarak
veya farklı ağırlıklar kullanarak dağıtılması
Öncelikli bir hizmet uç noktaları listesi
kullanmak
Weighted
Priority
60. Azure Traffic Manager Yönlendirme Metodları
Kullanıcıları en iyi performansa sahip uç
noktaya göndermek
Kullanıcıları, DNS sorgularının nereden
kaynaklandığına göre yönlendirmek
Performance Geographic
61. Yük Dengeleme Hizmeti Karşılaştırması
Hizmet Load Balancer Application Gateway Traffic Manager Front Door
Ağ Bağlantısı Dış ve iç Dış ve iç Dış Dış ve iç
Arka Uçlar veya Uç
Noktalar
Sanal makineler ve
sanal makine ölçek
kümeleri
Azure Sanal
Makineleri ve Sanal
Makine Ölçek
Kümeleri, Azure
Uygulama Hizmetleri,
IP Adresleri ve Ana
Bilgisayar Adları
Azure Bulut
Hizmetleri, Azure
Uygulama Hizmetleri,
Azure Uygulama
Hizmeti Yuvaları ve
Genel IP Adresleri
Azure içinde veya
dışında barındırılan
İnternete yönelik
hizmetler
63. Azure Firewall
• Hizmet olarak güvenlik duvarı
• Sınırsız bulut ölçeklenebilirliği ile
yerleşik yüksek kullanılabilirlik
• Zorlama ve ağ bağlantısı ilkeleri
oluşturma
• Tehdit istihbaratına dayalı filtreleme
• Günlüğe kaydetme ve analiz için Azure
Monitor ile tamamen entegre
• VPN ve ExpressRoute Ağ Geçitlerinin
arkasına dağıtım yoluyla hibrit bağlantı
desteği
64. Azure Firewall Oluşturma
Hub-Spoke ağ
topolojisi önerilir
Paylaşılan hizmetler, hub
sanal ağına yerleştirilir
İzolasyonu korumak için her
ortam bir spoke dağıtılır
65. Azure Firewall Oluşturma
NAT kuralları. Gelen
bağlantılara izin
vermek için DNAT
kurallarını
yapılandırın
Ağ kuralları. Kaynak
adresleri, protokolleri,
hedef bağlantı
noktalarını ve hedef
adresleri içeren kuralları
yapılandırın
Uygulama kuralları. Bir alt ağdan
erişilebilen tam etki alanı adlarını
(FQDN'ler) yapılandırın
66. Azure Firewall Manager
• Manuel olarak oluşturulan hub sanal
ağlarını ve güvenli sanal hub'ları
(VWAN) yönetir
• Merkezi Azure Güvenlik Duvarı dağıtımı
ve yapılandırması
• Hiyerarşik politikalar
• Güvenli sanal merkezler için 3. taraf
ürünlerle entegre
68. Azure Bastion
Özel bir alt ağda dağıtılır - SSL
üzerinden Portal aracılığıyla
RDP/SSH
Genel IP adresi veya
NSG'leri yönetme yok
Bağlantı noktası
taramasına ve zero-day
açıklarına karşı koruma
71. Etki Alanları ve Özel Etki Alanları
• Bir Azure aboneliği oluşturduğunuzda,
sizin için bir Azure AD etki alanı
oluşturulur
• Etki alanının ilk etki alanı adı
domainname.onmicrosoft.com
biçimindedir
• Adı özelleştirebilir/değiştirebilirsiniz
• Özel ad eklendikten sonra
doğrulanmalıdır
72. Özel Alan Adlarını Doğrulama
• Doğrulama, alan adının sahipliğini
gösterir
• Azure tarafından sağlanan bir DNS
kaydını (MX veya TXT) şirketinizin DNS
bölgesine ekleyin
• Azure, kaydın varlığı için DNS etki
alanını sorgulayacaktır
73. Azure DNS Bölgeleri Oluşturma
• DNS bölgesi, bir etki alanı için DNS kayıtlarını
barındırır
• Bölgenin adı, kaynak grubu içinde benzersiz
olmalıdır
• Birden çok bölgenin aynı adı paylaştığı
durumlarda, her örneğe farklı ad sunucusu
adresleri atanır
• Kök/Üst etki alanı, kayıt şirketinde kayıtlıdır ve
Azure NS'ye yönlendirilir
74. DNS Etki Alanlarını Yetkileme
• Azure DNS'e bir etki alanı atadığınızda, Azure
DNS tarafından sağlanan ad sunucusu adlarını
kullanmanız gerekir - dördünü de kullanın
• DNS bölgesi oluşturulduktan sonra üst kayıt
kuruluşunu güncelleyin
• Alt bölgeler için, üst etki alanında NS kayıtlarını
kaydedin
75. DNS Kayıt Kümeleri Ekleme
• Kayıt kümesi, bir bölgedeki aynı ada ve aynı
türe sahip kayıtlar topluluğudur.
• Herhangi bir kayıt kümesine en fazla 20 kayıt
ekleyebilirsiniz.
• Bir kayıt kümesi iki özdeş kayıt içeremez
76. Özel DNS Bölgeleri için Planma
• Kendi özel alan adlarınızı kullanın
• Bir VNet içindeki ve VNet'ler arasındaki VM'ler
için ad çözümlemesi sağlar
• Otomatik ana bilgisayar adı kayıt yönetimi
• Özel DNS çözümlerine olan ihtiyacı ortadan
kaldırır
• Tüm yaygın DNS kayıt türlerini kullanın
• Tüm Azure bölgelerinde kullanılabilir