MS Azure Turkey

My Other Computer is Azure

Azure Virtual WAN, Ağ Gereksinimlerini Basitleştirir

by · 21 Ekim 2022

Geçtiğimiz günlerde, tek bir operasyonel arabirim sağlamak için ağ oluşturma, güvenlik ve yönlendirme işlevlerini bir araya getiren bir hizmet olarak ağ oluşturma olan Azure Virtual WAN’ın (vWAN) birden çok alanında duyurular yapıldı. Kuruluşlar maliyetlerini düşürürken bulutu giderek daha fazla benimserken, WAN’ları birleştirmek, hızlandırmak ve hatta yenilemek isteyen BT ekipleri Azure Virtual WAN’ı düşünmelidir. Virtual WAN’ı kullanmaya başlamak için tüm bu kullanım durumlarına sahip olmanıza gerek yoktur; yalnızca bir tanesiyle başlayabilirsiniz. Yerleşik kullanım kolaylığı ve basitliği ile vWAN, geniş alan ağınızı bağlamak, korumak, trafiği yönlendirmek ve izlemek için tek durak noktasıdır.

Uzak kullanıcı bağlantısı (point-to-site VPN olarak da bilinir)

Uzak kullanıcı (noktadan siteye) VPN için çoklu havuz kullanıcı grubu desteği, bağlanan kullanıcılara kimlik bilgilerine göre farklı IP adresi havuzları atamanıza olanak tanır. Bu özellikle, uzaktaki kullanıcılarınızı farklı gruplara ayırabilir, her gruba benzersiz IP adresleri atayabilir ve atanan IP’leri hem Azure’da hem de şirket içinde barındırılan iş açısından kritik uygulamalara erişimi kontrol etmek ve kısıtlamak için kullanabilirsiniz.

Bir Sanal WAN içindeki kullanıcı grupları, Azure Active Directory üyeliği, Sertifika Ortak Adı etki alanı veya özel RADIUS özniteliklerine göre tanımlanabilir.

Yukarıdaki örnekte, üç departman vardır: insan kaynakları, finans ve mühendislik. Ayrıca bir ExpressRoute devresi aracılığıyla Sanal WAN’a bağlı çeşitli iş uygulamalarını barındıran şirket içi bir veri merkezine sahiptir. Farklı IP’leri İK, finans ve mühendislik kullanıcılarına ayırmak ve atamak için Azure Active Directory gruplarından ve Sanal WAN uzak kullanıcı/noktadan siteye VPN gruplarından yararlanır.

Daha sonra Azure Güvenlik Duvarı’nı ve şirket içi Güvenlik Duvarı kurallarını, her işlevsel departmanın yalnızca ilgili uygulamalara erişmesine izin verecek şekilde yapılandırılır. Örneğin, Azure Güvenlik Duvarı, İK Sanal Ağı’ndaki uygulamalara erişimi İK Kullanıcıları ile sınırlandıracak şekilde yapılandırılmıştır. Aynı şekilde şirket içi güvenlik duvarları da kullanıcıların ihtiyaca göre uygulamalara erişmesine izin verecek şekilde yapılandırılmıştır.

Routing

Routing amacı ve routing ilkeleri, Azure Sanal WAN dağıtımlarınızın güvenliğini basitleştirmenizi sağlar. Tek bir tıklama ile tüm trafiği (bölgeler arası ve şubeler arası dahil) Azure Güvenlik Duvarı tarafından incelenmek üzere gönderebilir veya sanal WAN hub’ında dağıtılan Yeni Nesil Güvenlik Duvarı (NGFW) Ağ Sanal Cihazlarını seçebilirsiniz. Sanal WAN’ın yönlendiricisi, hataya açık yapılandırmalardan kaçınabilmeniz için BGP’yi kullanarak tüm bunları sizin için dinamik olarak yönetir.

Bir hub üzerinde bir yönlendirme ilkesi yapılandırmak, bu hub’ı bölgesel bir güvenlik sınırı yapar; bu hub’a giren veya bu hub’dan ayrılan tüm trafik, hedefine iletilmeden önce incelenmek üzere Azure Güvenlik Duvarı’na veya tercih edilen NVA’ya gönderilir. Yönlendirme ilkeleri, Azure Güvenlik Duvarı/NVA’yı Doğu-Batı (VNet’ten VNet’e, şubeden şubeye (ExpressRoute, P2S VPN, S2S VPN), Kuzey-Güney) denetlemek için kablolu bir çözüm olarak dağıtmanıza olanak tanır. Azure Güvenlik Duvarı veya bir Ağ sanal cihazı Güvenlik Duvarı, Sanal Ağlar ve şirket içi internet trafiği için çıkış noktası görevi de görebilir.

Bir sanal hub yönlendiricisi, şirket içinde bir hedef rota ön eki için S2S VPN, ER ve SD-WAN NVA bağlantıları genelinde birden fazla rota öğrendiğinde, sanal hub yönlendiricisi yerleşik bir rota seçimi algoritması kullanarak yönlendirme kararları verir. Sanal merkez yönlendirme tercihini seçebilmek, şirket içine doğru akan trafik için bir sanal merkez yönlendiricideki yönlendirme kararlarını etkileme yeteneği sağlar.

Hub yönlendirme tercihi, bir sanal hub yönlendiricisi S2S VPN, ER ve SD-WAN NVA bağlantıları genelinde birden çok yol öğrendiğinde trafiğinizin nasıl yönlendirileceğini seçmenize izin vererek altyapınız üzerinde daha fazla kontrol sahibi olmanızı sağlar. Hub yönlendirme tercihi, istediğiniz trafik akışını oluşturmak için ExpressRoute, AS Path ve VPN arasında seçim yapma olanağı sağlar.

Rotalar aşağıdaki sırayla seçilir:

  • En Uzun Önek Eşleşmesine (LPM) sahip rotaları seçin.
  • BGP rotaları yerine statik rotaları tercih edin.
  • Hub yönlendirme tercihi, ExpressRoute, AS Yolu ve VPN arasında seçim yapmanızı sağlar.

Sanal WAN’ların en popüler yönlendirme kullanım durumlarından biri, sanal bir WAN hub’ına bağlı bir bağlı sanal ağda bir NVA dağıtmak ve ardından trafiği NVA aracılığıyla yönlendirmektir. Sanal WAN hub’ına bağlı bir bağlı sanal ağ içindeki iş yükleri için sonraki atlama IP’sinin atlanması, herhangi bir ek yapılandırma gerekmeden NVA’nızla sanal ağdaki diğer kaynakları dağıtmanıza ve bunlara erişmenize olanak tanır.

Sanal WAN hub’ına bağlı bir bağlı sanal ağ içindeki iş yükleri için sonraki atlama IP’sini atlamak, NVA’ları nasıl dağıtacağınız konusunda daha fazla esnekliğe sahip olmanızı sağlar. Bu özellik, tüm trafiği NVA üzerinden zorlamadan NVA’ları ve diğer iş yüklerini aynı VNet’e dağıtmanıza olanak tanır.

Bir sanal hub ile BGP Eşlemesi, BGP yönlendirme protokolünü kullanarak doğrudan sanal hub yönlendiricisiyle eşleme becerisini ortaya çıkarır. Bu özellik artık bir Ağ Sanal Cihazı (NVA) ile sanal hub yönlendiricisi arasındaki statik yolları yapılandırma ihtiyacını ortadan kaldırıyor.

Bir sanal hub ile BGP Eşleme, bir bağlı sanal ağda bir NVA dağıtmanıza ve şubeniz ve şirket içi sitelerinizle dinamik olarak yol alışverişi yapmanıza olanak tanır. Daha sonra aynı NVA’yı BGP kullanarak dinamik olarak sanal hub ile eşleyebilirsiniz. Artık şubeniz ile sanal merkez arasında statik rotalar kullanmadan rota alışverişi yapabilirsiniz!

Tags:

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.