Post on 15-Jul-2015
Microsoft Azure ITPro
Önder DEĞERMicrosoft Azure MVP
Bölüm 2 : Microsoft Azure Sanal Ağlar
MVP – Microsoft Azure
Önder Değer; Bilge Adam Bilişim Hizmetleri firmasında Sistem ve Güvenlik biriminde birim müdür yardımcısıdır. Uzun yıllardır Microsoft teknolojilerinde danışmanlıklar yapmış ve eğitimler vermiştir. Microsoft Certified Trainer (MCT) ve Microsoft Azure alanında Most Valuable Professional (MVP) unvanlarına sahiptir. Uzman olduğu teknolojiler System Center ürün ailesi, Office 365 ve Microsoft Azure.
www.msazureturkey.com
www.mshowto.org
Önder DEĞER
Konular
• Sanal Ağların Planlaması
• Sanal Ağ Uygulamaları ve Yönetimi
• Site Bağlantıları
Sanal Ağların Planlaması
1. Sanal Ağlara Genel Bakış
2. Sanal Ağ Özellikleri
3. Bölgesel VNETler Tarafından Desteklenen Özellikler
4. Sanal Ağ Senaryoları
5. Azure Sanal Ağlar İçerisinde IP Adres Space ve Subnet
6. Azure Sanal Ağlar İçerisinde İsim Çözümle
1. Sanal Ağlara Genel Bakış
• Microsoft Azure sanal ağlar, kurumsal ağınızı Microsoft
Azure genişletmeye olanak sağlar.
• Cross-premises bağlantılar ile site to site ve
point to site VPN bağlantıları oluşturabilirsiniz.
• Sanal ağlar üzerinde servisleriniz için DNS sunucuları
özelleştirebilirsiniz.
2. Sanal Ağ Özellikleri
• Bulut Servisleri, VNET ve sanal makineler
• Bölgeler (Regions)
• Yakınlık Grupları (Affinity Groups)
• Uç Noktalar (Enpoints)
• IP adresleri• Sanal IP adresleri(Bulut servis içerisinde bulunan VMlere atanır, internete çıkandır.)
• Rezerve IP adresleri
• Instance-level Public IP adresler
• Dinamik IP adresler(Azure VM’lerin iç IP adresleridir)
• IaaS bulut servis Vmleri için statik IP adresler
• DNS
• VPN
• Azure Load Balancer ve İç Load Balancer
• Azure Traffic Manager
• VMlere direk olarak atayabileceğiniz PIPler kullanabilirsiniz.
• Her abonelik için en fazla 5 adet PIP kullanabilirsiniz.
• Bulut servisinizin VIP:<portnumarası> kullanmadan
Vmlere direk erişebilirsiniz.
Instance-level Genel (Public) IP Adresler
• Rezerve IP adresleri Azure içerisinde sanal IP adreslerinizi rezerve etmeye izin verir ve bunları bulut servislerine atayabilirsiniz.
Reserved (Rezerve) IP Adresler
3. Bölgesel VNETler Tarafından Desteklenen Özellikler
• Daha önceden Azure VNETler Affinity Grouplara bağlıydı.
• Bölgesel VNETler artık tüm bölgeyi kapsamaktadır.
• Bölgesel VNET aşağıdakileri destekler :• Rezerve IP adresler
• İç yükdengeleyiciler
• Instance level public IP adresler
• İlk önce bir Affinity Group oluşturmaya gerek yoktur.
• Aynı bölgesel VNET içerisinde farklı Affinity Grouplar
oluşturulabilir.
• A8 ve A9 gibi büyük boyutlu sanal makineler aynı VNET
içerisindeki diğer Vmler ile kolayca birleşebilir.
4. Sanal Ağ Senaryoları
• Point to Site VPN
• Site to Site VPN
• VNET to VNET
• Atanmış özel sanal ağlar
• Çapraz bağlantı çözümleri
5. Azure Sanal Ağlar İçerisinde IP Adres Space ve Subnet
• IP adres space ve subnetleri aynı iç ağlardaki gibi dizayn
edilir.
• Azure 3 farklı adres alanı sağlar:
• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• Her adres aralığı birden fazla subnet içerebilir.
• Subnet boyutları CIDR yönetimi ile gösterilir.
• Subnetler kurum içi ağlarınız ile aynı adres aralığında
olmamalıdır.
5. Azure Sanal Ağlar İçerisinde İsim ÇözümleElement Konum İsim Çözümleme Koşulları
Roller veya VMler arasında Aynı bulut servisi Microsoft Azure iç isim çözümleme
VMler arasında Aynı VNET Microsoft Azure iç isim çözümleme
Roller veya VMler arasında Aynı VNET ama farklı bulut servisleri Microsoft Azure iç isim çözümleme
Roller veya VMler arasında Aynı bulut servisi ama aynı VNet içerisinde
değil
Bu yapılandırmada VMlerin ve rollerin
dağıtılması mümkün değil.
Roller arasında Farlı bulur servisi ama aynı VNet içerisinde
değil
Farklı bulut servisleri arasındaki rollerin
bağlanması desteklenmez.
VMler arasında Aynı VNET Kendi DNS sunucunuz ile. FQDN çözümlemesi
için Azure isim çözümleme kullanılabilir.
Roller veya VMler arasında ve kurum içi
bilgisayarlarda
Azure <-> kurum içi Kendi DNS sunucunuz ile
Azure trafiği üzerinde Veri merkezleri arasında Traffic Manager
Public uç noktalar ve kurum içi bilgisayarlar
arasında
Kurum içinden Azure’a Microsoft Azure dış isim çözümleme
Sanal Ağ Uygulamaları ve Yönetimi
1. Yönetim Portalı Kullanarak Sanal Ağlar Oluşturmak
ve Yönetmek
2. Ağ Yapılandırma Dosyasının Yapısı
3. Yapılandırma Dosyası Kullanarak Ağları Oluşturmak
ve Yönetmek
4. Sanal Ağ İçerisine VM Dağıtmak
1. Yönetim Portalı Kullanarak Sanal Ağlar Oluşturmak ve Yönetmek
• Sanal ağ ayarları:
• Ağ Adı
• Konum
• DNS Server adı ve IP adresler
• Point-to-site VPN
• ExpressRoute seçeneği ile birlikte Site-to-site VPN
• ExpressRoute ve Point-to-Site VPN birbiri ile
uyumlu değildir
2. Ağ Yapılandırma Dosyasının Yapısı…
<VirtualNetworkSites>
<VirtualNetworkSite name="Main_Network" Location="East Asia">
<AddressSpace>
<AddressPrefix>192.168.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Front-End Subnet">
<AddressPrefix>192.168.0.0/28</AddressPrefix>
</Subnet>
<Subnet name="Mid-Tier Subnet">
<AddressPrefix>192.168.0.16/29</AddressPrefix>
</Subnet>
<Subnet name="Back-End Subnet">
<AddressPrefix>192.168.0.24/29</AddressPrefix>
</Subnet>
</Subnets>
</VirtualNetworkSite>
</VirtualNetworkSites>…
Site adı ve VNet konumu
Genel adres alanı
Adres alanı içerisnde 3
subnet
3. Yapılandırma Dosyası Kullanarak Ağları Oluşturmak ve Yönetmek
• NetworkConfig.XML dosyasını indirin yada
oluşturun
• VNet yapılandırmasını güncellemek yada atamak
için Set-AzureVNetConfig <dosya yolu>
4. Sanal Ağ İçerisine VM Dağıtmak
• VM Oluştururken:
• VM detaylarının girilmesi
• Kimlik bilgilerinin girilmesi
• VM boyutunun girilmesi
• Kaynak grubunun seçilmesi
• Konumun girilmesi
Site Bağlantıları
1. Sitelar Arası Bağlantı Seçenekleri
2. Point-to-Site VPN Yapılandırılması
3. Site-to-Site VPN Planlanması
4. Site-to-Site VPN Yapılandırılması
5. VNET-to-VNET Bağlantı Yapılandırması
6. Sitelar Arası Bağlantı İçin Detaylar
1. Sitelar Arası Bağlantı SeçenekleriSeçenekler Kullanım Gereksinimler
Point-to-Site Bireysel bilgisayarlardan Azure’a bağlanmak için İstemci VPN trafiği internet
üzerinden Azure’a bağlanır. Extra bir
dış IP adresine gerek yoktur.
Site-to-Site İstemci yapılandırması olmadan kurum içi ağı Azure
ortamına bağlamak için
Dış IP adresi ve VPN cihazına ihtiyaç
vardır. (RRAS olabilir)
VNET-to-VNET Azure VNetler içindeki kaynaklara başka bir
bölgeden yada başka bir Azure hesabından erişimler
için
Azure Dynamic Routing VPN
Gateway kullanılmalıdır. Her site için
benzersiz IP aralığı gerekir.
Multi Site Kurum içi ağı Azure üzerinde ve farklı bölgelerde
bulunan Azure VNetlere bağlamak için
Dış IP adresi ve VPN cihazına ihtiyaç
vardır. (RRAS olabilir). Azure
Dynamic Routing VPN Gateway
kullanılmalıdır.
Express Route Azure veri merkezleri ve kurum içi ağ arasında özel
bağlantılar oluşturmak için
ExpressRoute konumuna
bağlanmak yada var olan WAN ağı
ile direk Azure’a bağlanılmalıdır.
2. Point-to-Site VPN Yapılandırılması
• VNet ve Dynamic Routing Gateway Yapılandırması• Sanal ağ oluşturmak
• Dynamic Routing Gateway oluşturmak
• Sertifikaların oluşturulması• Self-signed root sertifikasını oluşturmak
• Yönetim portalına root sertifikasının yüklenmesi
• İstemci sertifikasının oluşturulması
• İstemci sertifikasının dışarı çıkartılması ve kurulması
• VPN client yapılandırılması• VPN client yapılandırma paketinin oluşturulması
• İstemci üzerine VPN yapılandırma paketinin kurulması
• VPN bağlantısının kontrol edilmesi
3. Site-to-Site VPN Planlanması
• Site-to-site VPN yapılandırmanın amacı
• Bağlanılacak IP adres aralığı• Her ağ için barındırılacak host sayısı
• Azure ve iç ağ arası bağlantı• Bağlantı tipi
• Hız
• Gecikme
• Bant Genişliği
• Kullanım
• VPN üzerinde beklenen trafik• İsim çözümleme mekanizması
• Rouitng (Yönlendirme)
4. Site-to-Site VPN Yapılandırılması
1. Yeni bir VNet oluşturma
2. Kurum içi ağ değerlerinin belirlenmesi; Statik Gateway IP
adresi ve iç IP adres aralığı
3. VNet ağ değerlerinin belirlenmesi; VPN ve Gateway IP adresi
4. Gateway oluşturma(Tamamlanması 20-25 dakika
sürmektedir)
5. VPN gateway cihazı için yapılandırma scriptini indirin ve
çalıştırın
6. Kurum içi ağa bağlanın
5. VNET-to-VNET Bağlantı Yapılandırması
1. Örtüşmeyen IP adres aralıklarını planlayın
2. 2 adet sanal ağ oluşturun ancak P2S yada S2S’i aktif etmeyin
3. Her site’a diğer site’ı lokal ağ olarak ekleyin. Ağ geçidi IP
adresi olarak dummy bir IP kullanın.
4. Her VNet için Dynamic Routing Gateway oluşturun. Azure her
site için gerçek gateway IP adresi oluşturacaktır.
5. VPN gateway cihazı için yapılandırma scriptini indirin ve
çalıştırın
6. VPN ağ geçitlerini bağlayın.
6. Sitelar Arası Bağlantı İçin Detaylar
1. Diğer VNET üzerinden yada kurumsal ağ üzerinden
maksimum 10 VPN tüneli kurulabilir.
2. Adres aralıkları çakışmamalıdır.
3. VNETler aynı yada farklı Azure hesaplarında yada
bölgelerinde olabilir.
4. Tüm VPN tünelleri Azure VPN ağ geçidi üzerinden bant
genişliğini paylaşır.
DEMO
TEŞEKKÜRLERÖnder DEĞER
Microsoft Azure MVP
onder.deger@hotmail.com
@onderdeger
tr.linkedin.com/in/onderdeger
www.msazureturkey.com
www.mshowto.org