{"id":115,"date":"2022-10-28T13:52:00","date_gmt":"2022-10-28T13:52:00","guid":{"rendered":"http:\/\/blog.firatyasar.com\/?p=115"},"modified":"2023-03-19T18:00:47","modified_gmt":"2023-03-19T18:00:47","slug":"azure-design-pattern-virtual-network","status":"publish","type":"post","link":"https:\/\/blog.firatyasar.com\/?p=115","title":{"rendered":"Azure Design Pattern &#8211; Virtual Network"},"content":{"rendered":"\n<p>Azure \u00fczerindeki virtual network\u2019ler b\u00fcy\u00fck fiziksel sistemler \u00fczerinde yap\u0131lan network sanalla\u015ft\u0131rma (software-Defined Network) teknolojisi ile olu\u015fturulurlar. Normal on-premise networklerden bir farklar\u0131 yoktur. Bu network\u2019ler bar\u0131nd\u0131rd\u0131klar\u0131 sanal makinelere \u00f6zel IP atamas\u0131 yaparlar. Bu sayede bu network i\u00e7erisinde bulunan sanal makineler birbirleri ile g\u00fcvenli bir bi\u00e7imde ileti\u015fim kurabilirler.<\/p>\n\n\n\n<p>Virtual network\u2019ler resource group\u2019lar i\u00e7erisinde olu\u015fturulurlar. Olu\u015fturulan network\u2019ler region\u2019lar aras\u0131nda kullan\u0131lacak \u015fekilde geni\u015fletilemezler. Fakat ayn\u0131 regiondaki servisler bu virtual network\u2019\u00fc kullanabilirler.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" width=\"960\" height=\"560\" src=\"\/wp-content\/uploads\/2023\/03\/image-5.png\" alt=\"\" class=\"wp-image-117\" srcset=\"\/wp-content\/uploads\/2023\/03\/image-5.png 960w, \/wp-content\/uploads\/2023\/03\/image-5-300x175.png 300w, \/wp-content\/uploads\/2023\/03\/image-5-768x448.png 768w, \/wp-content\/uploads\/2023\/03\/image-5-660x385.png 660w\" sizes=\"(max-width: 960px) 100vw, 960px\" \/><\/figure>\n\n\n\n<p>Farkl\u0131 region\u2019lar aras\u0131 ileti\u015fim i\u00e7in virtual networkler VNET-TO-VNET ba\u011flant\u0131 tipi ile birbirlerine ba\u011flan\u0131p ileti\u015fim kurabilirler. Ayr\u0131ca site-to-site VPN konfig\u00fcrasyonlar\u0131 ile on-premise network\u2019ler ile de ba\u011flant\u0131 sa\u011flayabilirler.<\/p>\n\n\n\n<p>Azure \u00fczerindeki virtual network\u2019ler birden \u00e7ok ba\u011flant\u0131 tipini desteklerler. Bunlar Site-to-site VPN , point-to-site VPN ve Express Route teknolojileridir.<\/p>\n\n\n\n<p>Her subscriotion i\u00e7in olu\u015fturulabilecek virtual network say\u0131s\u0131 50 ile s\u0131n\u0131rl\u0131d\u0131r. Fakat ihtiyaca g\u00f6re bu miktar Azure support ile ileti\u015fim kurularak artt\u0131r\u0131labilir. Azure virtual network\u2019lerin herhangi bir \u00fccreti yoktur. Ayr\u0131ca ayn\u0131 network i\u00e7erisinde yap\u0131lacak data transferi i\u00e7in de herhangi bir \u00fccret yans\u0131t\u0131lmamaktad\u0131r.<\/p>\n\n\n\n<p>Virtual network\u2019ler ile ilgili ayr\u0131nt\u0131l\u0131 bilgi i\u00e7in a\u015fa\u011f\u0131daki linki kullanabilirsiniz.<\/p>\n\n\n\n<p><a href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/virtual-network\/virtual-networks-overview\">https:\/\/docs.microsoft.com\/en-us\/azure\/virtual-network\/virtual-networks-overview<\/a><\/p>\n\n\n\n<p>\u015eimdi biz mimari a\u00e7\u0131dan yap\u0131lmas\u0131 gereken best practise\u2019ler ile devam edelim.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" width=\"1024\" height=\"588\" src=\"\/wp-content\/uploads\/2023\/03\/image-4-1024x588.png\" alt=\"\" class=\"wp-image-116\" srcset=\"\/wp-content\/uploads\/2023\/03\/image-4-1024x588.png 1024w, \/wp-content\/uploads\/2023\/03\/image-4-300x172.png 300w, \/wp-content\/uploads\/2023\/03\/image-4-768x441.png 768w, \/wp-content\/uploads\/2023\/03\/image-4-1536x882.png 1536w, \/wp-content\/uploads\/2023\/03\/image-4-660x379.png 660w, \/wp-content\/uploads\/2023\/03\/image-4.png 1584w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><strong>Azure \u00fczerinde sanal network\u2019leri tasarlarken dikkat edilmesi gereken \u00f6nemli noktalar:<\/strong><\/p>\n\n\n\n<p>Virtual networklar mimari belirlenirken yap\u0131land\u0131r\u0131lmas\u0131 gereken \u00f6nemli ve en temel Azure resource\u2019lar\u0131d\u0131r. Mimari a\u015famas\u0131n\u0131n en ba\u015f\u0131nda d\u00fczg\u00fcn \u015fekilde belirlenen bir network yap\u0131s\u0131 sonra olu\u015fabilecek sorunlar\u0131nda \u00f6n\u00fcne ge\u00e7ecektir. \u00c7\u00fcnk\u00fc sanal makineler\u0131n mimari bir sebepten \u00f6t\u00fcr\u00fc bulunduklar\u0131 network\u2019ten farkl\u0131 bir network \u00fczerine ta\u015f\u0131nmalar\u0131 gerekirse bu i\u015flemi ger\u00e7ekle\u015ftirmek kolay olmayacakt\u0131r ve kesintiye sebep olacakt\u0131r.<\/p>\n\n\n\n<p>Network dizayn\u0131 mimari olarak planlan\u0131rken g\u00f6z \u00f6n\u00fcnde bulundurulmas\u0131 gereken baz\u0131 bile\u015fenler vard\u0131r. Bu bile\u015fenler \u00f6zetle a\u015fa\u011f\u0131daki gibidir.<\/p>\n\n\n\n<ul><li>Planlama yap\u0131l\u0131rken uygulama bile\u015fenlerinin ayn\u0131 region\u2019da bulundurulmas\u0131 \u00f6nemlidir. E\u011fer mimari bir sebepten \u00f6t\u00fcr\u00fc bile\u015fenler farkl\u0131 region\u2019lara koyulursa, bunlar\u0131n birbirleri ile ileti\u015fimleri i\u00e7in VNET-To-VNET ba\u011flant\u0131 yap\u0131lmas\u0131 gerekir. Bu ba\u011flant\u0131da inbound trafik i\u00e7in herhangi bir \u00fccret al\u0131nmazken outbound data trafi\u011fi \u00fccretlendirilir.<\/li><li>Virtual networkler kendilerine ait olan bir resource group\u2019a deploy edilmeleri gerekir ve network adminlerin bu resource group \u00fczerinde owner yetkisine sahip olmalar\u0131 gereklidir. Di\u011fer tak\u0131m \u00fcyelerinin olu\u015fturduklar\u0131 di\u011fer resource grouplardaki bile\u015fenlerin bu virtual network \u00fczerindeki servislerden hizmet alabilmesi i\u00e7in contributor yetkisine sahip olmalar\u0131 gerekir.<\/li><li>Varsay\u0131lan olarak isim \u00e7\u00f6z\u00fcmleme i\u015flemi i\u00e7in Azure taraf\u0131ndan sa\u011flanan DNS virtual networkler taraf\u0131ndan kullan\u0131l\u0131r. Bu Vnet i\u00e7erisindeki sanal makinelerin gerekti\u011finde internet \u00fczerinden isim \u00e7\u00f6z\u00fcmlemesi yapmas\u0131n\u0131 da sa\u011flar. Belirli durumlarda uygulamalar kendileri i\u00e7in atanm\u0131\u015f bir DNS sunucuya ihtiya\u00e7 duyabilir. B\u00f6yle bir durumda iste\u011fe ba\u011fl\u0131 olarak Azure \u00fczerindeki yada onpremise \u00fczerindeki bir DNS sunucusu isim \u00e7\u00f6z\u00fcmleme i\u015flemlerinde kullan\u0131lmak i\u00e7in konfig\u00fcre edilebilir.<\/li><li>Her virtual network \u00f6nceden tan\u0131mlanm\u0131\u015f bir throughput\u2019a sahiptir. Dolay\u0131s\u0131 ile networkle ilgili kaynaklar\u0131n hepsinin tek bir VNET i\u00e7erisine koyulmas\u0131 network\u2019te t\u0131kanmaya yol a\u00e7abilir. Bu y\u00fczden network performans\u0131n\u0131 artt\u0131rmak i\u00e7in kaynaklar\u0131 farkl\u0131 networklere koymak \u00f6nerilir.<\/li><li>Bir virtual network\u2019\u00fcn s\u0131n\u0131rlar\u0131 bulundu\u011fu region ile s\u0131n\u0131rl\u0131d\u0131r. Virtual network i\u00e7erisinde farkl\u0131 subnette bulunan resource\u2019lar birbirleri ile herhangi bir konfig\u00fcrasyona gerek kalmadan ileti\u015fim kurabilirler. Ancak virtual network region\u2019lar aras\u0131nda geni\u015fletilemez. Bu sebeple farkl\u0131 region\u2019lardaki virtual network\u2019lerin birbirleri ile konu\u015fabilmeleri i\u00e7in virtual netowrk gateway bile\u015fenlerinin yap\u0131land\u0131r\u0131lmas\u0131 gerekir. Organizasyonlar\u0131n gereksinimlerine ba\u011fl\u0131 olarak virtual network\u2019lerin onpremise networkler ile ileti\u015fim kurmas\u0131 istenebilir. Bunun i\u00e7in VPN yada express route denilen teknolojiler kullan\u0131l\u0131r. Bu tarz konfig\u00fcrasyonlarda virtual network\u2019ler birden \u00e7ok paralel ba\u011flant\u0131 ile onpremise yada farkl\u0131 region\u2019lardaki network\u2019ler ile ba\u011flant\u0131 kurabilir. Burada \u00f6nerilen konfigrasyon yap\u0131lan her connection\u2019\u0131n virtual network i\u00e7erisinde kendi atanm\u0131\u015f subnet\u2019ine sahip olmas\u0131d\u0131r.<\/li><li>Subnet\u2019ler virtual network\u2019ler i\u00e7erisindeki izolasyon sa\u011flayan birimlerdir. Security group\u2019lar direk olarak bu subnet\u2019lere uygulanabilir. Security gereksinimleri sebebiyle uygulaman\u0131n belli katmanlar\u0131n\u0131n birbirinden izole olarak sadece belli port ve protokolleri kullanacak \u015fekilde yap\u0131land\u0131r\u0131lmas\u0131 gerekebilir. B\u00f6yle durumlarda virtual network\u2019ler i\u00e7erisinde subnetler olu\u015frutulmas\u0131 gereklidir.<\/li><li>Network\u2019ler i\u00e7in IP adres range ve subnet\u2019leri olu\u015fturulurken se\u00e7ilecek range ve subnet\u2019in gerek di\u011fer virtual network\u2019ler gerekse onpremise IP bloklar\u0131 ile \u00e7ak\u0131\u015fmamas\u0131 gerekir. Kullan\u0131lacak blok belirlendikten sonra mevcut ve gelecekteki gereksinimler g\u00f6z \u00f6n\u00fcnde bulundurularak IP adres range\u2019i gerekli say\u0131da IP i\u00e7erecek \u015fekilde konfig\u00fcre edilmelidir. Sonras\u0131nda bu range kullan\u0131larak istenilen subnet\u2019ler kolayl\u0131kla olu\u015fturulabilir.<\/li><li>Monitoring network dizayn\u0131 yap\u0131l\u0131rken en ba\u015fta entegre edilmesi gereken bile\u015fenler aras\u0131ndad\u0131r. Azure mimarisinde network\u2019\u00fc moniter etmek i\u00e7in Azure Network Watcher servisinden faydalanmak gerekir. Azure Network Watcher ile gelen logging ve diagnostic \u00f6zellikleri ile network\u2019\u00fcn performans ve sa\u011fl\u0131k durumu hakk\u0131nda kolayl\u0131kla \u00f6ng\u00f6r\u00fc kazanabilirsiniz. Bunlara ek olarak network watcher servisi ile sanal makinelerden giden ve gelen trafik denetlenebilir ve kontrol ama\u00e7l\u0131 capture i\u015flemi yap\u0131labilir. E\u011fer network trafi\u011fi performans anlam\u0131nda daha geli\u015fmi\u015f \u015fekilde monitor edilmek istenirse Log Analystic servisi kullan\u0131lmal\u0131d\u0131r. Log analytics ile network\u00fcn sa\u011fl\u0131k durumu, ula\u015f\u0131labilirli\u011fi ve eri\u015filebilirli\u011fi kolayl\u0131kla monitor edilebilir.<\/li><li>Network g\u00fcvenli\u011fi mimari planlama yap\u0131l\u0131rken d\u00fc\u015f\u00fcn\u00fclmesi gereken ilk g\u00fcvenlik \u00f6nlemidir. Bu anlamda Azure \u00fczerindeki bir network\u00fcn g\u00fcvenli\u011fi i\u00e7in kullan\u0131labilecek en \u00f6ndemli g\u00fcvenlik \u00f6nlemi Network Security Group\u2019lard\u0131r.NSG\u2019ler VM ve subnet baz\u0131nda uygulanabilen yaz\u0131l\u0131msal firewall\u2019lard\u0131r. NSG kullanarak VM yada subnet \u00f6zelinde giden ve gelen trafik yasaklanabilir,filtrelenebilir yada izin verilebilir. Yine ayn\u0131 \u015fekilde IP forwarding ve User-Defined Routing (UDR) \u00f6zelliklerini kullanarak trafik y\u00f6nlendirme i\u015flemlerini yapabilirsiniz.<\/li><li>Organizasyonlar\u0131n gereksinimlerini g\u00f6z \u00f6n\u00fcnde bulundurarak Azure \u00fczerinde third-party appliance\u2019lar\u0131 da g\u00fcvenlik ama\u00e7l\u0131 kullanabilirsiniz (\u00f6rn: F5)<\/li><li>Subnetlerinde static ve dynamic ip adresine sahip olacak resource\u2019lara g\u00f6re ayr\u0131\u015ft\u0131r\u0131lmas\u0131 da mimari a\u00e7\u0131dan \u00f6nemlidir.<\/li><\/ul>\n\n\n\n<p>Virtual networkler neredeyse IAAS \u00e7\u00f6z\u00fcmlerin \u00e7o\u011fu i\u00e7in yap\u0131land\u0131r\u0131lmas\u0131 gerekli olan Azure bile\u015fenidir. \u00d6rne\u011fin bir Vm virtual network olmadan deploy edilemez. Virtual networkler temel olarak bar\u0131nd\u0131rd\u0131klar\u0131 resource\u2019lar i\u00e7in 3 \u00f6nemli fayda sa\u011flarlar;<\/p>\n\n\n\n<ul><li><strong>Isolation<\/strong>: Bunu sa\u011flamak i\u00e7in Virtual network and subnet\u2019leri kullan\u0131r.<\/li><li>Security : Network watcher, NSG(Network securtiy group) ve Log Analytics bile\u015fenleri ile filtering ve tracking \u00f6zelikleri sa\u011flan\u0131r.<\/li><li><strong>Extensibility<\/strong>: Kullan\u0131lan mimariye g\u00f6re sadece Lan, Vnet-to-Vnet yada Vnet-to-Onpremise \u015feklinde network dizaynlar\u0131 yap\u0131labilir.<\/li><\/ul>\n\n\n\n<p>Azure \u00fczerinde virtual network farkl\u0131 \u015fekillerde organizasyon iste\u011fine ba\u011fl\u0131 olarak dizayn edilebilir. Dizayn i\u015flemi yap\u0131l\u0131rken genellikle ihtiyaca y\u00f6nelik olarak a\u015fa\u011f\u0131daki \u015fekilde tasar\u0131m ve teknolojiler kullan\u0131l\u0131r.<\/p>\n\n\n\n<ul><li>Ayn\u0131 region\u2019da ve ayn\u0131 subscription\u2019da iki network\u2019\u00fcn ileti\u015fim kurmas\u0131 istenirse : Vnet Peering<\/li><li>Ayn\u0131 region\u2019da ve farkl\u0131 subscription\u2019da iki network\u2019\u00fcn ileti\u015fim kurmas\u0131 istenirse: Vnet Peering yada Vnet-to-Vnet VPN<\/li><li>Farkl\u0131 region\u2019da iki network\u2019\u00fcn ileti\u015fim kurmas\u0131 istenirse: Site-to-site VPN<\/li><li>Onpremize datacenter ile Azure virtual network\u2019\u00fcn ileti\u015fim kurmas\u0131 istenirse: Site-to-site VPN yada Express Route<\/li><\/ul>\n\n\n\n<p>Network dizayn\u0131na ili\u015fkin g\u00f6z \u00f6n\u00fcnde bulundurulmas\u0131 gereken \u00f6nemli k\u0131s\u0131mlar bu \u015fekilde. Bir sonraki b\u00f6l\u00fcmde g\u00f6r\u00fc\u015fmek \u00fczere.<\/p>\n\n\n\n<p>F\u0131rat<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Azure \u00fczerindeki virtual network\u2019ler b\u00fcy\u00fck fiziksel sistemler \u00fczerinde yap\u0131lan network sanalla\u015ft\u0131rma (software-Defined Network) teknolojisi ile olu\u015fturulurlar. Normal on-premise networklerden bir farklar\u0131 yoktur. Bu network\u2019ler bar\u0131nd\u0131rd\u0131klar\u0131 sanal makinelere \u00f6zel IP atamas\u0131 yaparlar. Bu sayede bu network i\u00e7erisinde bulunan sanal makineler birbirleri ile g\u00fcvenli bir bi\u00e7imde ileti\u015fim kurabilirler. Virtual network\u2019ler resource group\u2019lar i\u00e7erisinde olu\u015fturulurlar. Olu\u015fturulan network\u2019ler region\u2019lar\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.firatyasar.com\/?p=115\">Read More &raquo;<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":117,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[56,57,55],"_links":{"self":[{"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/posts\/115"}],"collection":[{"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=115"}],"version-history":[{"count":1,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/posts\/115\/revisions"}],"predecessor-version":[{"id":118,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/posts\/115\/revisions\/118"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=\/wp\/v2\/media\/117"}],"wp:attachment":[{"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.firatyasar.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}