Azure Sanal Ağ
SANAL AĞLARI YAPILANDIRMA
– Sanal ağları yapılandırma adımlarına başlamadan önce planlama ve tasarım yapmak önemlidir. Sanal ağları bir kez tasarladıktan ve yapılandırdıktan sonra içerisine ekleyeceğimiz kaynakları ekledikten sonra bazı değişiklikleri yapmak zor olabilir. Bu nedenle planlama çok önemlidir.
– Kurum içindeki yapı ile Azure içindeki yapının birbirine benzemesi (IP adresleri hariç, aynı ağları kullanamayız) bu noktada önemlidir.
– Buluta benzer bir sanal ağ oluşturmamız gerekir.
– Planlama sırasında veri merkezini nasıl eşleştireceğimiz de önemlidir.
– Sanal ağları yapılandırırken, bu sanal ağlar içerisine konumlandıracağımız alt ağları (subnet) iyi yapılandırmak gereklidir. Alt ağların birbiriyle çakışmaması gerekmektedir.
– Sanal ağ yapılandırırken vereceğimiz IP adresini değiştiremiyoruz, fakat alt ağları değiştirebiliyoruz.
SANAL AĞ OLUŞTURMA
– Azure Portal, Azure CLI, Azure PowerShell veya ARM şablonlarını kullanarak sanal ağ oluşturmak mümkündür.
– Sanal ağ oluştururken bazı parametrelere bilgi girmek gereklidir.
– Hangi Subscription’da ve kaynak grubunda oluşturacağımız, oluşturduğumuz sanal ağın Vnet’i hangi bölgede olacağını,
– Sanal ağın IP aralığı ne olacak ve bu IP aralığı içerisine hangi subnet’leri tanımlayacağımızı,
– Sanal ağı bir Azure Firewall ile ya da DDoS Protection ile korumak istiyorsak, bu seçenekleri aktif hale getirebiliriz.
– Sanal ağı etiketlerle belirtebiliriz. Dikkat etmemiz gereken şey, örtüşen adresleri kullanmamamız gerektiğidir. Adres alanımızın ileride kullanacağımız yeterli alana sahip olması gereklidir.
IP ADRESLERİNİ PLANLAMA
– Genel ve özel IP adreslerini birlikte kullanmamız gerekmemektedir. Bir Azure VM yapılandırdığımızda, bu VM’in Vnet’ini nereye konumlandırdıysak oraya özel bir IP adresi tanımlamamız gerekiyor.
– Özel IP adresler olmazsa olmazdır. İnternete açık servislerde kullanıldığı için genel IP’ler isteğe bağlıdır. Bu IP’lerin planlamasının yapılması gereklidir.
GENEL IP ADRESLERİ OLUŞTURMA
– Genel IP adreslerini statik ya da dinamik olarak yapılandırabiliriz. Yani bir VM oluşturduğumuzda, VM’in internete bakacak olan IP adresinin dinamik ya da statik olmasını belirleyebiliriz. IPv4 veya IPv6 her ikisi de mevcuttur.
– Dinamik: VM açılır, kapanır ya da tekrar başlatılırsa genel IP adresi değişebilir. Bu durumda DNS’te sürekli değişiklik yapmamız gerekebilir. İstersek statik hale getirebiliriz.
– Statik: Alt ağın adres aralığında herhangi bir atanmamış veya ayrılmamış IP adresini seçer ve atarız.
– Genel IP adresleri şunlar için kullanılabilir: Virtual Machine, Internal Load Balancer, Application Gateway.
AĞ GÜVENLİK GRUPLARINI YAPILANDIRMA
– Ağ güvenlik grupları, temel güvenlik gereksinimlerindendir.
Ağ Güvenlik Grupları (NSG) Nedir?
– NSG’lerdeki güvenlik kuralları, sanal ağ alt ağlarına ve ağ arabirimlerine giren ve çıkan ağ trafiğini filtrelememize olanak tanır. Varsayılan güvenlik kuralları vardır. Varsayılan kuralları silemezsiniz, ancak daha yüksek önceliğe sahip başka kurallar ekleyebilirsiniz.
– Vnet üzerinde ve subnetlerimize, ethernet kartlarına ekleyebileceğimiz, gelen giden trafiği yönetebileceğimiz basit bir firewall’dur. Trafikte gelen ve giden ağa müdahale yapabiliriz, dilediğimiz gibi kural tanımlayabiliriz. Ağ güvenlik gruplarını birden fazla subnet’e, birden fazla ethernet kartına atayabiliriz.
Ağ Güvenlik Grupları (NSG) Etkili Kurallarını Belirleme
– NSG’ler, alt ağ ve NIC (Ethernet kartı) için bağımsız olarak değerlendirilir.
– Trafiğin kabul edilebilmesi için her iki düzeyde de bir “izin ver” kuralı bulunmalıdır.
– Hangi güvenlik kurallarının uygulandığından emin değilseniz, “Etkili Kurallar” bağlantısını kullanabilirsiniz.
Ağ Güvenlik Kuralları Oluşturma
– Çok çeşitli hizmetler arasından seçim yapabilirsiniz.
– Hizmet: Bu kural için hedef protokol ve bağlantı noktası aralığı.
– Bağlantı noktası aralıkları: Tek bağlantı noktası veya birden çok bağlantı noktası.
– Öncelik: Sayı ne kadar düşükse, öncelik o kadar yüksek olur.