Microsoft Azure ITPro

Önder DEĞERMicrosoft Azure MVP

Bölüm 2 : Microsoft Azure Sanal Ağlar

MVP – Microsoft Azure

Önder Değer; Bilge Adam Bilişim Hizmetleri firmasında Sistem ve Güvenlik biriminde birim müdür yardımcısıdır. Uzun yıllardır Microsoft teknolojilerinde danışmanlıklar yapmış ve eğitimler vermiştir. Microsoft Certified Trainer (MCT) ve Microsoft Azure alanında Most Valuable Professional (MVP) unvanlarına sahiptir. Uzman olduğu teknolojiler System Center ürün ailesi, Office 365 ve Microsoft Azure.

www.msazureturkey.com

www.mshowto.org

Önder DEĞER

Konular

• Sanal Ağların Planlaması

• Sanal Ağ Uygulamaları ve Yönetimi

• Site Bağlantıları

Sanal Ağların Planlaması

1. Sanal Ağlara Genel Bakış

2. Sanal Ağ Özellikleri

3. Bölgesel VNETler Tarafından Desteklenen Özellikler

4. Sanal Ağ Senaryoları

5. Azure Sanal Ağlar İçerisinde IP Adres Space ve Subnet

6. Azure Sanal Ağlar İçerisinde İsim Çözümle

1. Sanal Ağlara Genel Bakış

• Microsoft Azure sanal ağlar, kurumsal ağınızı Microsoft

Azure genişletmeye olanak sağlar.

• Cross-premises bağlantılar ile site to site ve

point to site VPN bağlantıları oluşturabilirsiniz.

• Sanal ağlar üzerinde servisleriniz için DNS sunucuları

özelleştirebilirsiniz.

2. Sanal Ağ Özellikleri

• Bulut Servisleri, VNET ve sanal makineler

• Bölgeler (Regions)

• Yakınlık Grupları (Affinity Groups)

• Uç Noktalar (Enpoints)

• IP adresleri• Sanal IP adresleri(Bulut servis içerisinde bulunan VMlere atanır, internete çıkandır.)

• Rezerve IP adresleri

• Instance-level Public IP adresler

• Dinamik IP adresler(Azure VM’lerin iç IP adresleridir)

• IaaS bulut servis Vmleri için statik IP adresler

• DNS

• VPN

• Azure Load Balancer ve İç Load Balancer

• Azure Traffic Manager

• VMlere direk olarak atayabileceğiniz PIPler kullanabilirsiniz.

• Her abonelik için en fazla 5 adet PIP kullanabilirsiniz.

• Bulut servisinizin VIP:<portnumarası> kullanmadan

Vmlere direk erişebilirsiniz.

Instance-level Genel (Public) IP Adresler

• Rezerve IP adresleri Azure içerisinde sanal IP adreslerinizi rezerve etmeye izin verir ve bunları bulut servislerine atayabilirsiniz.

Reserved (Rezerve) IP Adresler

3. Bölgesel VNETler Tarafından Desteklenen Özellikler

• Daha önceden Azure VNETler Affinity Grouplara bağlıydı.

• Bölgesel VNETler artık tüm bölgeyi kapsamaktadır.

• Bölgesel VNET aşağıdakileri destekler :• Rezerve IP adresler

• İç yükdengeleyiciler

• Instance level public IP adresler

• İlk önce bir Affinity Group oluşturmaya gerek yoktur.

• Aynı bölgesel VNET içerisinde farklı Affinity Grouplar

oluşturulabilir.

• A8 ve A9 gibi büyük boyutlu sanal makineler aynı VNET

içerisindeki diğer Vmler ile kolayca birleşebilir.

4. Sanal Ağ Senaryoları

• Point to Site VPN

• Site to Site VPN

• VNET to VNET

• Atanmış özel sanal ağlar

• Çapraz bağlantı çözümleri

5. Azure Sanal Ağlar İçerisinde IP Adres Space ve Subnet

• IP adres space ve subnetleri aynı iç ağlardaki gibi dizayn

edilir.

• Azure 3 farklı adres alanı sağlar:

• 10.0.0.0/8

• 172.16.0.0/12

• 192.168.0.0/16

• Her adres aralığı birden fazla subnet içerebilir.

• Subnet boyutları CIDR yönetimi ile gösterilir.

• Subnetler kurum içi ağlarınız ile aynı adres aralığında

olmamalıdır.

5. Azure Sanal Ağlar İçerisinde İsim ÇözümleElement Konum İsim Çözümleme Koşulları

Roller veya VMler arasında Aynı bulut servisi Microsoft Azure iç isim çözümleme

VMler arasında Aynı VNET Microsoft Azure iç isim çözümleme

Roller veya VMler arasında Aynı VNET ama farklı bulut servisleri Microsoft Azure iç isim çözümleme

Roller veya VMler arasında Aynı bulut servisi ama aynı VNet içerisinde

değil

Bu yapılandırmada VMlerin ve rollerin

dağıtılması mümkün değil.

Roller arasında Farlı bulur servisi ama aynı VNet içerisinde

değil

Farklı bulut servisleri arasındaki rollerin

bağlanması desteklenmez.

VMler arasında Aynı VNET Kendi DNS sunucunuz ile. FQDN çözümlemesi

için Azure isim çözümleme kullanılabilir.

Roller veya VMler arasında ve kurum içi

bilgisayarlarda

Azure <-> kurum içi Kendi DNS sunucunuz ile

Azure trafiği üzerinde Veri merkezleri arasında Traffic Manager

Public uç noktalar ve kurum içi bilgisayarlar

arasında

Kurum içinden Azure’a Microsoft Azure dış isim çözümleme

Sanal Ağ Uygulamaları ve Yönetimi

1. Yönetim Portalı Kullanarak Sanal Ağlar Oluşturmak

ve Yönetmek

2. Ağ Yapılandırma Dosyasının Yapısı

3. Yapılandırma Dosyası Kullanarak Ağları Oluşturmak

ve Yönetmek

4. Sanal Ağ İçerisine VM Dağıtmak

1. Yönetim Portalı Kullanarak Sanal Ağlar Oluşturmak ve Yönetmek

• Sanal ağ ayarları:

• Ağ Adı

• Konum

• DNS Server adı ve IP adresler

• Point-to-site VPN

• ExpressRoute seçeneği ile birlikte Site-to-site VPN

• ExpressRoute ve Point-to-Site VPN birbiri ile

uyumlu değildir

2. Ağ Yapılandırma Dosyasının Yapısı…

<VirtualNetworkSites>

<VirtualNetworkSite name="Main_Network" Location="East Asia">

<AddressSpace>

<AddressPrefix>192.168.0.0/16</AddressPrefix>

</AddressSpace>

<Subnets>

<Subnet name="Front-End Subnet">

<AddressPrefix>192.168.0.0/28</AddressPrefix>

</Subnet>

<Subnet name="Mid-Tier Subnet">

<AddressPrefix>192.168.0.16/29</AddressPrefix>

</Subnet>

<Subnet name="Back-End Subnet">

<AddressPrefix>192.168.0.24/29</AddressPrefix>

</Subnet>

</Subnets>

</VirtualNetworkSite>

</VirtualNetworkSites>…

Site adı ve VNet konumu

Genel adres alanı

Adres alanı içerisnde 3

subnet

3. Yapılandırma Dosyası Kullanarak Ağları Oluşturmak ve Yönetmek

• NetworkConfig.XML dosyasını indirin yada

oluşturun

• VNet yapılandırmasını güncellemek yada atamak

için Set-AzureVNetConfig <dosya yolu>

4. Sanal Ağ İçerisine VM Dağıtmak

• VM Oluştururken:

• VM detaylarının girilmesi

• Kimlik bilgilerinin girilmesi

• VM boyutunun girilmesi

• Kaynak grubunun seçilmesi

• Konumun girilmesi

Site Bağlantıları

1. Sitelar Arası Bağlantı Seçenekleri

2. Point-to-Site VPN Yapılandırılması

3. Site-to-Site VPN Planlanması

4. Site-to-Site VPN Yapılandırılması

5. VNET-to-VNET Bağlantı Yapılandırması

6. Sitelar Arası Bağlantı İçin Detaylar

1. Sitelar Arası Bağlantı SeçenekleriSeçenekler Kullanım Gereksinimler

Point-to-Site Bireysel bilgisayarlardan Azure’a bağlanmak için İstemci VPN trafiği internet

üzerinden Azure’a bağlanır. Extra bir

dış IP adresine gerek yoktur.

Site-to-Site İstemci yapılandırması olmadan kurum içi ağı Azure

ortamına bağlamak için

Dış IP adresi ve VPN cihazına ihtiyaç

vardır. (RRAS olabilir)

VNET-to-VNET Azure VNetler içindeki kaynaklara başka bir

bölgeden yada başka bir Azure hesabından erişimler

için

Azure Dynamic Routing VPN

Gateway kullanılmalıdır. Her site için

benzersiz IP aralığı gerekir.

Multi Site Kurum içi ağı Azure üzerinde ve farklı bölgelerde

bulunan Azure VNetlere bağlamak için

Dış IP adresi ve VPN cihazına ihtiyaç

vardır. (RRAS olabilir). Azure

Dynamic Routing VPN Gateway

kullanılmalıdır.

Express Route Azure veri merkezleri ve kurum içi ağ arasında özel

bağlantılar oluşturmak için

ExpressRoute konumuna

bağlanmak yada var olan WAN ağı

ile direk Azure’a bağlanılmalıdır.

2. Point-to-Site VPN Yapılandırılması

• VNet ve Dynamic Routing Gateway Yapılandırması• Sanal ağ oluşturmak

• Dynamic Routing Gateway oluşturmak

• Sertifikaların oluşturulması• Self-signed root sertifikasını oluşturmak

• Yönetim portalına root sertifikasının yüklenmesi

• İstemci sertifikasının oluşturulması

• İstemci sertifikasının dışarı çıkartılması ve kurulması

• VPN client yapılandırılması• VPN client yapılandırma paketinin oluşturulması

• İstemci üzerine VPN yapılandırma paketinin kurulması

• VPN bağlantısının kontrol edilmesi

3. Site-to-Site VPN Planlanması

• Site-to-site VPN yapılandırmanın amacı

• Bağlanılacak IP adres aralığı• Her ağ için barındırılacak host sayısı

• Azure ve iç ağ arası bağlantı• Bağlantı tipi

• Hız

• Gecikme

• Bant Genişliği

• Kullanım

• VPN üzerinde beklenen trafik• İsim çözümleme mekanizması

• Rouitng (Yönlendirme)

4. Site-to-Site VPN Yapılandırılması

1. Yeni bir VNet oluşturma

2. Kurum içi ağ değerlerinin belirlenmesi; Statik Gateway IP

adresi ve iç IP adres aralığı

3. VNet ağ değerlerinin belirlenmesi; VPN ve Gateway IP adresi

4. Gateway oluşturma(Tamamlanması 20-25 dakika

sürmektedir)

5. VPN gateway cihazı için yapılandırma scriptini indirin ve

çalıştırın

6. Kurum içi ağa bağlanın

5. VNET-to-VNET Bağlantı Yapılandırması

1. Örtüşmeyen IP adres aralıklarını planlayın

2. 2 adet sanal ağ oluşturun ancak P2S yada S2S’i aktif etmeyin

3. Her site’a diğer site’ı lokal ağ olarak ekleyin. Ağ geçidi IP

adresi olarak dummy bir IP kullanın.

4. Her VNet için Dynamic Routing Gateway oluşturun. Azure her

site için gerçek gateway IP adresi oluşturacaktır.

5. VPN gateway cihazı için yapılandırma scriptini indirin ve

çalıştırın

6. VPN ağ geçitlerini bağlayın.

6. Sitelar Arası Bağlantı İçin Detaylar

1. Diğer VNET üzerinden yada kurumsal ağ üzerinden

maksimum 10 VPN tüneli kurulabilir.

2. Adres aralıkları çakışmamalıdır.

3. VNETler aynı yada farklı Azure hesaplarında yada

bölgelerinde olabilir.

4. Tüm VPN tünelleri Azure VPN ağ geçidi üzerinden bant

genişliğini paylaşır.

DEMO

TEŞEKKÜRLERÖnder DEĞER

Microsoft Azure MVP

onder.deger@hotmail.com

@onderdeger

tr.linkedin.com/in/onderdeger

www.msazureturkey.com

www.mshowto.org