Azure Virtual Şəbəkəsi

 

Azure Virtual şəbəkə infrastrukturu (Azure Virtual Network Structure)

Azure-da serverlərin yerləşdirilməsi üçün virtual maşından istifadə olunur. Onlar şəbəkəyə necə qoşulurlar? Virtual maşınlar Azure Virtual Network ilə birləşir. Hansılar ki, Hyper-V istifadə edir. Virtual maşın interfeysləri  Hyper-V virtual switch-lərə qoşulur.

İzolyasiya problemini həll etmək üçün Microsoft Windows Server software-defined networking stack istifadə edir. Bu texnologiyanı bəzən, Hyper-V Network Virtualization (HNV) adlandırırlar. HNV vasitəsilə izolyasiya prosesi, yəni bütün müştəri şəbəkələrini bir-birindən ayrılması –  Generic Routing Encapsulation (GRE) vasitəsilə həyata keçirilir. Burada hər bir müştəri paketi ayrıca field-ilə işarələnir. Nəticədə eyni İP sxemi işlətməsinə baxmayaraq müştərilərin virtual şəbəkəsi, bir-birindən tam izolyasiya olunur.

Virtual maşınları yaratmamışdan əvvəl, Azure Virtual Network hazırlamaq lazımdır, çünki  bütün virtual maşınlar bu və ya digər virtual şəbəkədə yerləşir. Burada local şəbəkələrdə olduğu kimi, İP-adress sxemini diqqətlə hazırlanmalıdır, xüsusən də, əgər siz Azure Virtual Network-ü öz local şəbəkənizə qoşmağa hazırlaşırsınızsa. Belə ssenaridə siz əmin olmalısınız ki, sizin local şəbəkənin adreslərinin diapazonu ilə Azure Virtual Network adresləri kəsişmir.

Ümumiyyətlə Virtual Şəbəkə (Vnet) sizin cloud -da yerləşən şəbəkə infrastrukturunuzun məntiqi abstraksiyasıdır, təsviridir. Azure Virtual Network servisinin bir çox özəlliyi vardır. Şəbəkəyə aid olan proseslərin hamısı demək olar ki yalnız bu servisin vasitəsilə konfiqurasiya edilir. Azure Virtual Network tərəfindən təqdim olunan bəzi imkanları xatrılayaq.

 

  • İzolyasiya və Seqmentasiya.
    • Azure virtual şəbəkədə virtual maşın və ya digər hər hansı bir resurs yaradarkən, bu  resurslar digər hesablardakı resurslardan tamamilə izolyasiya edilir. Yəni sizin Vnet daxilində yaratdığınız virtual maşınlar default olaraq, İnternet (Outbound trafikdən başqa) və digər Azure virtual şəbəkəsində yerləşən resurslar ilə bir birbaşa əlaqə qura bilmir. Müəyyən icazə konfiqurasiyalarından sonra izolyasiyanı aradan qaldırmaq mümkündür. Eyni Virtual şəbəkə daxilində olan virtual maşınlar arasında seqmentasiya prosesini icra etmək üçün altşəbəkələrdən (Subnets) istifadə edə bilərsiniz.
  • Kommunikasiya imkanları.
    • Azure Virtual Şəbəkəsində yerləşən resursları 3 növ əlaqə ilə təmin etmək mümkündür.
      • İnternet əlaqəsi – Virtual şəbəkədə yerləşən bütün resursların default olaraq internet ilə yalnız birtərəfli (Outbound) əlaqəsi olur. İnbound trafik üçün public İP ünvan verilməli və ya Load Balancer vasitəsilə internet əlaqəsi yaratmaq mümkündür.
      • Resurslar arası əlaqə – Eyni Virtual şəbəkə daxilində yaradılan bütün virtual maşınlar öz aralarından təhlükəsiz formada əlaqə saxlaya bilirlər. Hər hansı bir digər Azure resursu ilə (Storage, Azure Sql və s) əlaqə saxlamaq üçün isə Service Enpoint -lərdən istifadə olunur.
      • On-premise resurslar ilə əlaqə – Azure Vnet sizin lokal şəbəkə infrastrukturu ilə bir neçə metodla əlaqə yaratmaq imkanlarına malikdir. Point to Site VPN, Site to Sİte VPN və yaxud ExpressRoute bu seçimlər arasındadır.
    • Trafik Kontrol imkanları
      • Digər şəbəkə və resurslarla kommunikasiya yaratmaq funksiyalarından əlavə olaraq, Aure Vnet bu əlaqələr nəticəsində şəbəkə üzərindən axan trafikin kontrolu üçün bəzi imkanlara da sahibdir.
        • Şəbəkə trafikinin filteri – Bu məqsədlə siz Network Security Group, Application Security Group, Azure Firewall və ya digər vendorlardan olan virtual şəbəkə ekranlarından istifadə edə bilərsiniz. Nümunə üçün, Siz Azure Firewall vasitəsilə öz virtual şəbəkənizdən çıxan və ya yaxud şəbəyə daxil olan bütün trafikləri filter edərək icazə və qadağalar tətbiq edə bilərsiniz.
        • Şəbəkə trafikini Routing edilməsi – Digər trafik kontrol həlli Route Table-lar vasitəsilə trafikin yönləndirilməsidir. UDR (User Defined Routes) yəni istifadəçi tərəfindən təyin olunmuş route-lar vasitəsilə biz bütün trafiki Firewall və ya hər hansı başqa bir şəbəkə təhlükəsizlik servisinə yönləndirə bilərik. Aralarından əlaqə olmamasını istədiyimiz şəbəkələrə isə ümumiyyətlə route-u ləğv edərək trafik axının qarsısın almaq olar.
        • Şəbəkə trafikinin monitorinqi – Trafik kontorlunun digər vacib aspekti onların monitorinq edilə bilməsidir. Azure Vnet-lərdə şəbəkəyə daxil olan və şəbəkədən çıxan bütün trafiki bir çox alətlərlə monitorinq etmək mümkündür.

 

 

Təhlükəsizlik baxımından Subnet-lərin sayını və ölçüsünü müəyyən etmək vacibdir, çünki gələcəkdə sizə bir Subnetdən digərinə giriş etmək imkanları lazım ola bilər. Bəzi təşkilatlarda Subnet-lərin köməyi ilə təhlükəsizlik zonalarını təyin edirlər, sonra isə təhlükəsizlik şəbəkələri vasitəsilə və ya virtual appliance ilə bu Subnet-lər arasında idarəetmənin girişin konfiqurasiya edirlər.

Azure DHCP serverlər

Siz Azure Virtual Network yaratdığınızdan və orada virtual maşını yerləşdirdikdən sonra, bu virtual maşına İP-adres təyin etmək lazım olacaq ki, o başqa Azure Virtual Network-də  başqa virtual maşınlarla (həmçinin lokal resurslarla və İnternet düyünləri ilə) əlaqə yarada bilsin.

Bildiymiz kimi, Virtual maşınlara iki növ İP-ünvan təyin etmək olar:

  • Statik İP ünvanlar
  • Dinamik İP ünvanlar

Hər iki növ adresləri idarə etmək üçün Azure DCHP server istifadə edilir. Xüsusilə də dinamik İp ünvanları.

Virtual maşınların adresi bütün başqa DHCP təyin etdiyi adreslər kimi, adreslər pool-undan götürülür, hansı ki Azure virtual şəbəkə üçün seçilmiş ip ünvan aralığından təyin olunur.

Adətən belə adreslər vaxt keçdikcə dəyişmir. Əgər siz virtual maşını bir daha quraşdırsanız, ona köhnə adres təyin ediləcək. Ancaq bəzi hallarda Azure strukturunda virtual maşını başqa Node-a keçirmək zərurəti yaranır, bu halda İP-adres dəyişə bilər. Dəyişilməyən İP-adres tələb edən virtual maşınlar üçün dinamik ünvanlanmanı istifadə etməyin.

Əgər virtual maşının rolları, statik İP-adresi tələb edirsə, onda tələbə uyğun təyin etmək lazımdır. Nəzərinizdə saxlayın ki: statik İP-adresli virtual maşına şəbəkə interfeysi quraşdırılmır.

Bunun üçün İp ünvanı əvvəlcə dinamik ünvana keçirtmək sonra istənilən dəyişikliyi həyata keçirtmək lazımdır.

Virtual maşının şəbəkə interfeysinin parametrlərini, əməliyyat sistemi vasitəsilə dəyişmək məsləhət deyil. Bütün dəyişiklikləri Azure portalında və ya PowerShell vasitəsilə konfiqurasiya etmək lazımdır. Əks halda, əgər Vm-in içərisindən NİC-da hər hansı dəyişiklik etsəniz, RDP seansınız bağlanacaq və VM-ə qoşula bilməyəcəksiniz. Bu halda, azure portaldan yeni interface card əlavə etməli olacaqsınız.

 

Azure DNS serverlər 

Azure Virtual Network name resolution üçün nəzərdə tutulmuş iki metod var.

  • Azure DNS server
  • Private DNS server

 

Azure virtual şəbəkəni yaratdığınızda, avtomatik olaraq, ödəmə tələb etməyən sadə DNS server əldə edirsiniz. Bu DNS server sizin eyni şəbəkədə yerləşən bütün VM-lərin name resolution işlərin görür.


 

Siz öz DNS serverinizi Azure Virtual Network-də yarada bilərsiniz. Bu Microsoft-un standalone DNS serveri, Active Directory inteqrasiya olan DNS server və ya linux platformalı server ola bilər.

Çox vaxt şirkətlər öz DNS serverlərini hibrid şəbəkələr üçün istifadə edir, yəni on-premise şəbəkənin Azure Virtual Network-ə qoşulması üçün.

Səs: 0. Bəyənilsin Zəifdir

Müəllif: MirCeyhun Musayev

Şərh yazın