Buluta adım attığınız zaman, rolünüz ne olursa olsun, asla göz ardı edemeyeceğiniz konulardan biri de sanal ağlardır. Azure ile ilk tanıştığım zamanlarda, ben network uzmanı değilim ki diyerek çok üzerinde durmadığım sanal network konusunun , zaman içinde , Azure’a dokunan herkesi ilgilendiren önemli konulardan biri olduğunu gördüm ve hatta tecrübe ettim 🙂 . Network uzmanı olmasak da bilmemiz gerekenleri kısa maddeler halinde anlatmaya çalıştım.

Azure Virtual Network(VNet), Azure üzerinde sunulan servislerden biridir ve Azure’da bulunan kaynaklarınızı sanal ağlarla (VNet) güvenli bir şekilde birbirine bağlamanızı sağlar. Azure VNet, sizin buluttaki networkünüzdür ve sahip olduğunuz Azure subscription ‘a (abonelik) özgüdür. Azure VNet ile kurum içi (on-prem) ağınız arasında da bağlantı kurabilirsiniz.

Azure VNet’in yetenekleri:

1. Sahip olduğunuz Azure subscription (abonelik) ve Azure regionları (datacenter bölgeler) içinde çoklu VNet’ler oluşturabilirsiniz ve bu VNet’ler birbirlerinden izoledir. Ayrıca VNet’i birden çok subnet’e (alt ağ) bölebilirsiniz.
2. Bir VNet’e bağlı tüm Azure Virtual Machine (VM) ve Cloud Services rol instance’ları varsayılan olarak internete bağlanabilir. Dilerseniz, özel routing ve traffic filtering uygulayarak varsayılan bağlantıyı değiştirebilirsiniz
3. Azure’daki kaynaklar aynı VNet’e bağlanabilirler. Azure VNet, subnetler ve on-prem network için default routing sağlar. Böylece route’ları konfigure etmenize ve yönetmenize gerek kalmaz. VM’ler VNet içindeki bir subnet’e bir ağ arabirimi yani NIC (network interface card) aracılığı ile bağlanır. Azure VNet’e VM’ ler eklediğinizde bunların otomatik olarak birbirleriyle iletişim kurabildiklerini görebilirsiniz. VM’ler farklı subnetlerde olsa bile bir gateway (ağ geçidi) belirlemenize gerek yok. Aynı durum on-prem ve Azure arasında hibrit bağlantı olduğunda da geçerlidir.
4. VNet’ler birbirleri ile bağlantı kurabilirler ve böylece farklı VNet’lerde yer alan kaynaklar arasında da iletişim sağlanmış olur. VNet’leri birbirine bağlamak için iki yöntem kullanılır.

– Peering: Azure backbone sayesinde, aynı bölgedeki (region) iki VNet’i birbirine bağlamanızı sağlar.

– VNet-to-VNet connection: Bir VNet’in başka bir VNet ile bağlanmasıdır. Bağladığınız VNet’ler farklı bölgelerde veya farklı subscriptionlarda (abonelik) olabilir.

5. VNet’ler onprem networkünüzle private bağlantı kurabilir. Bunun 3 yolu vardır:

Site-to-Site VPN: On-prem’deki VPN cihazı ile Azure VPN Gateway arasında kurulan bir bağlantıdır. Güvenlik için IPSec/IKE protokülünü kullanır.

Point to Site VPN: Ağınıza bağlı tek bir bilgisayar ile VNet arasında bağlantı kurabilirsiniz. Developerlar için uygun bir bağlantı şeklidir. PC ve VNet arasında şifreli iletişim için SSTP protokolünü kullanır.

ExpressRoute: Kurum ağınızdan direk Azure datacenterına giden bağlantı şeklidir. Bu bağlantı internet hattını kullanmaz ve size özeldir.

Aynı sanal ağ içindeki S2S VPN ve Express Route yapılandırması

6. Network trafiği inbound ve outbound olarak filtrelenebilir. Filtrelemeler, Ip adresi, port ve protokole göre yapılabilir. Network Security Group (NSG), Network Virtual Appliance (NVA) ağ trafiğini filtrelemek için kullanabileceğiniz yöntemlerdir.

7. Routing de VNet için bilmemiz gereken bir diğer kavramdır. Varsayılan yönlendirme dışında kendiniz de bir network gateway kullanarak routing yapabilirsiniz. Kendiniz route yapmak isterseniz kullanabileceğiniz iki yöntem var: User defined -routes ve BGP (Border Gateway Protocol) Routes.

Azure VNet ile ilgili temel birkaç konuya değinmiş olduk. Son zamanlarda security konusunun IT’nin her alanında gündemin baş sıralarında olması sebebiyle, “Azure network security best practices” şeklinde bir içerik ile Azure VNet konusu üzerinde değerlendirmeler yapmaya devam edeceğiz.