Mayıs 2023’te, tüm Sanal WAN müşterileri için Yönlendirme amacı ve yönlendirme ilkelerinin genel kullanıma sunulduğunu duyurmuştuk. Bu özellik, Sanal WAN yönlendirme altyapısı tarafından desteklenir ve Azure Güvenlik Duvarı müşterilerinin özel ve İnternet trafiği için ilkeler ayarlamasına olanak tanır. Ayrıca, aynı yönlendirme özelliklerini, Ağ Sanal Gereçleri ve Güvenlik Duvarı özellikleri sağlayan hizmet olarak yazılım (SaaS) çözümleri de dahil olmak üzere Azure Sanal WAN içinde dağıtılan tüm Güvenlik Duvarı çözümlerine genişletiyoruz.
Yönlendirme Amacı ayrıca, kullanıcıların Sanal WAN hub’ları arasındaki trafiğin güvenliğini sağlamanın yanı sıra Sanal WAN hub’ları üzerinden geçiş yapan farklı şirket içi (dal/ExpressRoute/SD-WAN) arasındaki trafiği inceleyebileceği iki güvenli hub kullanım örneğini de tamamlar.
Azure Sanal WAN (vWAN), hizmet olarak ağ, Azure’da ağı basitleştirmek için ağ, güvenlik ve yönlendirme işlevlerini bir araya getirir. Yerleşik kullanım kolaylığı ve basitliği ile vWAN, geniş alan ağınızı bağlamak, korumak, yönlendirmek ve izlemek için tek durak noktasıdır.
Bu blogda ilk olarak yönlendirme amacı kullanım örneklerini, ürün deneyimlerini açıklayacağız ve Sanal WAN ile yönlendirme amacını kullanmaya yönelik bazı ek hususlar ve kaynaklarla özetleyeceğiz.
Sanal WAN için kullanım örnekleri
Sanal WAN içindeki trafiği birden çok şekilde tasarlamak için Yönlendirme Amacı’nı kullanabilirsiniz. İşte ana kullanım durumları:
Sanal Ağlar ve şirket içi için yönlendirme ilkeleri uygulama
Çok sayıda rotaya sahip merkez-uç ağ mimarileri uygulayan müşteriler genellikle ağlarını anlamakta, bakımını yapmakta ve sorun gidermekte zorlanırlar. Sanal WAN’da bu yollar, Azure Sanal Ağları ile şirket içi (ExpressRoute, VPN ve SD-WAN) arasındaki trafik için basitleştirilebilir.
Sanal WAN, müşterilerin basit ve bildirim temelli özel yönlendirme ilkeleri yapılandırmasına olanak tanıyarak müşteriler için bunu kolaylaştırır. Özel yönlendirme ilkelerinin tüm Azure Sanal Ağları ve Sanal WAN’a bağlı şirket içi ağlar için uygulanacağı varsayılır. Sanal Ağ ve şirket içi ön ekler için daha fazla özelleştirme şu anda desteklenmemektedir. Özel yönlendirme ilkeleri, Sanal WAN’a, Sanal Hub’da dağıtılan bir güvenlik çözümü aracılığıyla iki farklı şirket içi (1) arasında geçişi etkinleştirmek için temel alınan Sanal WAN yönlendirme altyapısını programlamasını bildirir. Ayrıca, Sanal Hub’da dağıtılan bir güvenlik çözümü aracılığıyla iki Azure Sanal Ağ (2) arasında veya bir Azure Sanal Ağ ile şirket içi uç nokta (3) arasında trafik geçişine olanak tanır. Aynı trafik kullanım örnekleri Azure Güvenlik Duvarı, Ağ Sanal Gereçleri ve hub’da dağıtılan hizmet olarak yazılım çözümleri için de desteklenir.
Şekil 1: Örnek özel trafik akışlarını (şirket içi ile Azure arasında) gösteren bir Sanal Hub diyagramı.
İnternet trafiği için yönlendirme ilkeleri uygulama
Sanal WAN, Azure Sanal Ağlarınıza ve şirket içi platformlarınıza varsayılan (0.0.0.0/0) bir yol tanıtmak için İnternet trafiği için yönlendirme ilkeleri ayarlamanıza olanak tanır. İnternet trafiği yönlendirme yapılandırmaları, Azure Sanal Ağlarını ve şirket içi ağları, hub’daki güvenlik gereçlerine İnternet giden trafiğini (1) gönderecek şekilde yapılandırmanıza olanak tanır. Dış kullanıcılara Azure Sanal Ağ veya şirket içi uygulamalara erişim sağlamak istiyorsanız güvenlik gerecinizin Hedef Ağ Adresi Çevirisi (DNAT) özelliklerinden de yararlanabilirsiniz (2).
Şekil 2: İnternet giden ve gelen DNAT trafik akışlarını gösteren bir Sanal Hub diyagramı.
Hub’lar arası bölgeler arası trafik için yönlendirme ilkeleri uygulama
Sanal WAN, tüm Sanal Hub’ları Sanal WAN’ınıza tam bir ağda otomatik olarak dağıtır ve Microsoft küresel omurgasını kullanarak bölgeden bölgeye ve hub’dan hub’a el değmeden bağlantı sağlar. Yönlendirme ilkeleri, iki Azure Sanal Ağ (1), iki şirket içi (2) ve farklı hub’lara bağlı Azure Sanal Ağları ile şirket içi (3) arasındaki hub’lar arası ve bölgeler arası trafiği incelemek için Sanal WAN programını programlar. Hub’a giren veya hub’dan çıkan her paket, son hedefine yönlendirilmeden önce Sanal Hub’da dağıtılan güvenlik çözümüne yönlendirilir.
Şekil 3: Hub’daki güvenlik çözümleri tarafından denetlenen bölgeler arası ve merkezler arası trafik akışlarının diyagramı.
Yönlendirme amacı için kullanıcı deneyimi
Yönlendirme amacını kullanmak için Sanal WAN hub’ınıza gidin. Yönlendirme’nin altında Yönlendirme Amacı ve yönlendirme ilkeleri’ni seçin.
Sonraki atlama türünü (Azure Güvenlik Duvarı, Ağ Sanal Gereci veya SaaS çözümü) ve ilgili sonraki atlama kaynağını seçerek hub’da dağıtılan bir güvenlik çözümüne trafik göndermek için bir İnternet veya Özel Yönlendirme İlkesi yapılandırın.
Şekil 4: Sanal WAN Portalı’nda hem Özel hem de İnternet yönlendirme ilkesiyle yönlendirme amacının örnek yapılandırması.
Azure Güvenlik Duvarı müşterileri, ‘hub’lar arası’ ayarını etkinleştirerek Azure Güvenlik Duvarı Yöneticisi’ni kullanarak yönlendirme amacını da yapılandırabilir.
Şekil 5: Azure Güvenlik Duvarı Yöneticisi aracılığıyla Yönlendirme Amacını Etkinleştirme.
Yönlendirme amacını yapılandırdıktan sonra, Sanal Hub’ınıza giderek güvenlik çözümünün etkili yollarını görüntüleyebilir, ardından Yönlendirme’yi seçebilir ve Etkili Yollar’a tıklayabilirsiniz. Güvenlik çözümünün etkili yolları, Sanal WAN’ın Sanal hub’ın güvenlik çözümü tarafından incelenen trafiği nasıl yönlendirdiğini gidermek için ek görünürlük sağlar.
Şekil 6: Hub’da dağıtılan bir güvenlik çözümünde etkili yolları alma görünümü.
Bu özelliği kullanmaya başlamadan önce dikkat edilmesi gereken bazı önemli noktalar şunlardır:
- Bu özellik, Sanal Ağ ve şirket içi trafiği özel trafik olarak kabul eden kullanıcılara hitap eder. Sanal WAN, tüm Sanal Ağlara ve şirket içi trafiğe özel yönlendirme ilkeleri uygular.
- Yönlendirme amacı, Sanal WAN’a bağlı bir Sanal Ağ ucuna dağıtılan Ağ Sanal Gerecine (NVA) işaret eden ‘defaultRouteTable’ içindeki özel yönlendirme ve statik yollarla birbirini dışlar. Sonuç olarak, kullanıcıların özel yol tabloları veya NVA-in-spoke kullanım örnekleri kullandığı kullanım örnekleri geçerli değildir.
- Yönlendirme Amacı, şirket içi ağlara yönelik tüm Sanal WAN bağlantılarına karşılık gelen ön ekleri tanıtır. Kullanıcılar, rotaları özetlemek ve toplamak ve tanımlanmış eşleşme koşullarına göre filtrelemek için Rota Haritalarını kullanabilir.