Azure Nat Gateway ile ortamımızda var olan kaynaklarımızın ve iş yüklerimizin internet trafiğini kolaylaştırmak için kullanabildiğimiz bir servistir. Azure ortamımızda yer alan bir sanal sunucularımız üzerine zaten Public IP adresi tanımlayabiliyoruz diyebilirsiniz fakat bildiğiniz üzere SNAT ihtiyaçları duyduğumuz zamanlarımız elbette olacaktır. Burası tamamen sizlerin mevcut yapılarına ve topolojilerine bağlı olarak kullanımlarınız değişkenlik gösterebilir. Az önce de değindiğimiz gibi daha önce bir SNAT ihtiyacı duyduğumuz da bizler firewall ya da farklı virtual appliance gibi kaynakları kullanarak kaynaklarımızın tek bir Public IP adresi üzerinden çıkışları sağlanabilmekteydi. Artık Azure NAT Gateway servisi ile elimizde bu ihtiyacımızı karşılayacak başka bir servisimiz olan Azure NAT Gateway servisi ile sağlayabilmekteyiz.
Azure üzerinde yer alan sanal bir sunucunuz üzerine herhangi bir Public IP ataması yapmadan da internet çıkışını sağlayabilirsiniz bunu yaparken de dinamik adres aralığı ile gerçekleştirmektedir. Dolayısı ile burada üzerinde durduğumuz şey kullanımların doğruluğu ya da yanlışlığı değildir.
Azure NAT Gateway sadece giden internet trafiğini basitleştirir ve oluşturmuş olduğumuz virtual network üzerinde var olan farklı subnet ’lerin Azure NAT Gateway üzerinden çıkışları sağlanabilir. Böylelikle bizlerden istenen IP kısıtlamaları yapıldığı ya da Whitelist oluşturmak için en ideal ve en kolay yöntem olarak kullanılacak bir servistir.
Özetlemek gerekirse basitçe Azure NAT Gateway kullanım amacı giden internet trafiğini tek bir ip adresinden yapabilmektir.
Azure NAT Gateway
- Azure NAT Gateway yalnızca giden İnternet bağlantısını basitleştirir.
- Bir Virtual Network üzerinde yer alan Subnet’ler üzerinde yapılandırıldığında, tüm giden bağlantılar, belirttiğiniz statik genel IP adreslerini kullanır.
- Yük dengeleyici veya doğrudan sanal makinelere bağlı genel IP adresleri olmadan giden bağlantı mümkündür.
- Tamamen yönetilen bir servistir.
Azure NAT Gateway servisini dağıtımını gerçekleştireceğiz. Fakat Azure Nat Gateway dağıtımını gerçekleştirmeden önce bilinmesi gereken ön gereksinimlerden biraz bahsetmek gerekiyor. Azure NAT Gateway servisinin dağıtımını yapılabilmesi için sunucularımız ya da birlikte çalıştırmayı düşündüğümüz Load Balancer gibi servislerimizin standart SKU ‘ya sahip olması gerekmektedir. Basic SKU ’ya sahip Public IP adreslerimiz ,Load Balancer kullanıyor veya kullanacaksak bunun standart SKU ‘ya sahip olması gerekmektedir.
Azure NAT Gateway servisinin dağıtımı için ihtiyaç duyulan ön gereksinimleri belirttikten sonra Azure NAT Gateway servisinin dağıtımını gerçekleştirelim. Bunun için öncelikle Azure Portal üzerinde bir adet resource group oluşturarak başlayacağız.
Resource group ismini RG-CP_Yenal_NetworkServices olarak tanımladık. Resource Group bildiğiniz üzere Azure üzerinde logical bir group olup bizlerin bu kurulum ve dağıtımlarımda, network servislerinin her birini bu resource group altında toplayarak devam edeceğim.
Create seçimini yaparak yeni bir resource group oluşturmuş olacağız. Bir sonraki adımımız da ise Virtual Network oluşturacağız.
Azure portal üzerinden Virtual Network sekmesine geçiyoruz. Yeni bir Virtual Network oluşturmak için isimlendirmemizi yapıyor ve bir önceki adımda oluşturmuş olduğumuz ve RG-CP_Yenal_NetworkServices olarak isimlendirdiğimiz Resource Group altında oluşturmak için tanımlamalarımızı yapıyor ve bir sonraki adıma geçiyoruz.
Ekran görüntüsünde de göreceğiniz üzere Virtual Network olarak 10.0.0.0/16 network tanımını yaptık. Test ortamı olduğundan dolayı aralığı geniş verdim. Oluşturduğumuz bu network’ü alt ağlara snet-websrv,snet,websql ve snet-management olacak şekilde böldük. Bölmüş olduğumuz bu subnet’leri sonraki adımlarda da göreceğimiz ve oluşturacağımız Azure NAT Gateway service arkasına alarak devam edeceğiz.
Security tabında herhangi bir değişiklik yapmadan ilerliyor ve Create diyerek Virtual Network oluşturmaya başlıyoruz.
İlgili Virtual Network’ü oluşturduk ve buna bağlı üç adet farklı alt ağ oluşturmuş olduk. Oluşturduğumuz bu subnet’leri üzerinde üç adet sanal sunucu oluşturacağız.
Yeni bir sanal sunucu oluşturmak için Virtual Machine sekmesine geçiyoruz.
Ekran görüntüsünde de göreceğiniz gibi ilgili tanımlamaları gerçekleştirdikten sonra Disk konfigürasyonunu yapmak için ilerliyoruz.
Disk tabımız da ben herhangi bir değişiklik yapmadan ilerleyeceğim. Bizler için son derece önemli olan ve dikkat edilmesi gereken networking tabına geçiyoruz.
Networking tabımızda daha önce belirttiğimiz üzere Public IP olarak Standard SKU ‘ya sahip olmamız gerekli. Eğer sunucumuz üzerinde Basic SKU’ya sahip bir public IP kullanacak olursak ve kullanacağımız Basic SKU Public IP adresi desteklenmediğinden dolayı Azure NAT Gateway tanımını yapmamıza izin vermeyecektir. Bu sebeple Public IP tanımını Standard SKU’ya sahip bir public ip adresi tanımlayarak sunucumuzu oluşturacağız.
Şimdi ise ikinci sunucumuzu da oluşturacağız. Bu sunucumuzu oluştururken bir önceki sunucumuzdan farklı olarak Public IP tanımı yapmadan ilerleyeceğim. Bunun birinci sebebi makalemizin başında da belirttiğim gibi herhangi bir Public IP adresine sahip olmasak da Azure üzerinde yer alan sunucumuzun dinamik bir Public IP adresi ile internete çıkabileceğini ve yine buna bağlı olarak farklı bir subnet altına alarak bu sunucumuzu oluşturacağız. Daha sonrasında Azure NAT Gateway servisi arkasına farklı bir subnet de yer alacan sunucumuzun giden internet trafiğini bir önce oluşturduğumuz ve farklı bir subnet altında bulunan sunucumuz ile aynı public ip ile internet çıkışını yaptığını göreceğiz.
Ekran görüntüsünde de göreceğiniz gibi ilgili tanımlamaları yaptıktan sonra disk konfigürasyonunu yapacağımız sekmemize geçiyoruz.
Disk konfigürasyonu üzerinde herhangi bir değişiklik yapmadan networking tabına geçiyoruz.
Evet bahsettiğimiz gibi daha önce oluşturduğumu Virtual Network üzerinde yer alan ve snet-websql olarak isimlendirdiğimiz farklı bir subnet üzerine sunucumuzu konumlandırıyoruz. Bununla birlikte yine bahsettiğimiz üzere sunucu üzerinde herhangi bir Public IP tanımı yapmadan Create diyerek sunucumuzu oluşturuyoruz.
Geldiğimiz noktayı özetlemek gerekirse, iki farklı sunucu oluşturduk ve oluşturmuş olduğumuz bu sunucularımızı ise farklı subnet’leri üzerine konumlandırdık. Bir sonraki adımımızda Azure NAT Gateway servisimizin dağıtımını yaparak oluşturduğumuz sunucularımızı konumlandırdığımız iki farklı subnet’i Azure NAT Gateway servisi arkasına alacağız.
Artık Azure NAT Gateway servisinin dağıtımına başlayabiliriz. Bunun için Azure Portal üzerinde NAT Gateway servisimize gidiyoruz.
Ekran görüntüsünde de görüldüğü üzere Create NAT Gateway seçimini yaparak dağıtıma başlıyoruz.
Resource group olarak yine network servislerini topladığımız RG-CP_Yenal_NetworkServices isimli grup altına alıyorum. NAT Gateway için isimlendirmemizi yaparak bir sonraki sekmemiz olan Outbound IP kısmına geçiyoruz.
Public IP için Create a new public IP address seçimini yaparak Azure NAT Gateway servisi için bir adet public ip adresi oluşturuyoruz.
Evet bir adet public ip adresi oluşturduk ve Azure NAT Gateway servisine atadık. Bundan böyle NAT Gateway servisimizin arkasında yer alan ve bir sonraki adımımızda tanımlayacağımız Subnetlerimiz bu IP adresini kullanarak İnternet’e çıkacaklar.
Public IP adresi dışında bir de Public IP Prefix kavramını görüyorsunuz burada yer alan Prefix kısmında tanımlanan bir adres aralığıdır. Böylelikle burada tanımlamış olduğumuz Prefix içerisinde yer alan havuza göre ip adreslerini Azure NAT Gateway servisi kullanabilir . Yani bir adet IP adresi yerine birden fazla örneğin /29 olarak bir public ip havuzu atanabilir ve bu aralığa göre Azure NAT Gateway servisi buna göre düzenlemeyi yapabilir.
Şimdi bir sonraki adımımız olan ve Azure NAT Gateway servisi arkasına alacağımız Subnet tanımlamalarımızı yapmak için ilerliyoruz.
Ekran görüntüsünde göreceğiniz gibi Virtual Network için daha önce oluşturduğumuz VNET-CP-Network seçimini yapıyoruz. Ardından hangi subnetlerin Azure NAT Gateway servisi arkasında olacağını belirliyoruz ve Create diyerek oluşturmaya başlıyoruz.
Azure NAT Gateway servisi dağıtımını yaptık ve sahip olduğu Public IP adresini de gördük. Artık servisimizin arkasında yer alan ve internete giden trafiğin ekran görüntüsünde gördüğümüz public ip adresini kullanarak trafiği oluşturacağınız biliyoruz.
Şimdi daha önce oluşturmuş olduğumuz sunucular üzerinden internet çıkışının hangi ip adresinden çıktığını doğrulayalım.
Websrv01 isimli sunucumuzun IP adresi 10.0.1.0/24 olarak yapılandırdığımız subnet üzerinde koşmaktadır. Public IP adresi olarak ise Azure NAT Gateway servisinin Public IP adresi olduğunu görüyoruz.
Bir diğer sunucumuz ve üzerine public ip ataması yapmadığımız bununla birlikte 10.0.2.0/24 subnet’i üzerinde koşan sunucumuzun da yine Azure NAT Gateway servisinin public ip adresi ile internete çıktığını görebiliriz.
Peki Azure NAT Gateway servisinin limitasyonlarından bahsedecek olur isek
- IPV6 desteği bulunmamaktadır.
- Network Security Group flow logging bulunmamaktadır.
- Azure NAT Gateway servisi birden fazla Virtual Network ile kullanılamaz. Böyle bir ihtiyaç var ise farklı bir NAT Gateway servisinin dağıtımı yapılması gerekmektedir.
Evet artık servisimizin dağıtımını ve dağıtım sonrası nasıl çalıştığını ilgili servisin limitasyonlarını da incelemiş olduk. Bir başka makalede görüşmek üzere.
Eline sağlık.
Hocam elinize sağlık.