Şirketler, ana ofisleri ile şubeleri arasında güvenli bir iletişim kurabilmek ve kaynaklarını tek merkezden yönetebilmek için genellikle VPN çözümlerini kullanırlar. Artık şirketler bazı kaynaklarını bulut üzerinde konumlandırdıkları için Şirket ve Azure arasında da güvenli bir iletişim kurmak gerekiyor. Bunun iki geçerli yolu var: Azure VPN Gateway veya ExpressRoute. ExpressRoute; Azure kaynaklarınız ve şirketiniz arasında uçtan uca kablolu ve izole bir bağlantı anlamına gelir. Fakat tahmin edebileceğiniz gibi bu bağlantıyı uygulamak oldukça maliyetli. Bu sebeple VPN Gateway çok daha fazla tercih edilen bir yöntemdir.
Azure VPN Gateway, Azure ağınız ve şirket ağınız arasında şifrelenmiş güvenli bir bağlantı sağlamak için kullanılır. Aslında bildiğimiz VPN bağlantısı bu senaryoda bir Azure kaynağı olarak karşımıza çıkıyor. Azure VPN Gateway bize üç farklı bağlantı türü sağlıyor;
- Site to Site: İki ağ arasında şifreli ve izole bir bağlantı sağlar.
- Point to site: Bir istemciden sanal ağınıza güvenli bağlantı sağlar.
- Vnet to Vnet: Azure sanal ağlarını diğer Azure sanal ağlarına bağlar.
VPN bağlantısında veriler İnternet’ten geçerken özel bir tünelde şifrelenir. IPSEC protokolüne dayanan bu tünel aracılığıyla ulaştırılan paketlerde şifreleme anlaşması için Internet Key Exchange (IKEv1 ya da IKEv2) kullanılır.
Azure VPN Gateway Route based ve Policy based olarak ikiye ayrılır ve bu iki türün arasındaki temel fark trafiğin nasıl şifreleneceğidir. Örneğin: Policy based IKEv2’ti desteklemez.
VPN Gateway sürümleri ise aşağıdaki gibidir:
| SKU | Siteden siteye/Sanal Ağdan Sanal Ağa tüneller | Toplu aktarım hızı karşılaştırması | Sınır Ağ Geçidi Protokolü (BGP) desteği |
| Basic* | Maksimum: 10 | 100 Mb/sn | Desteklenmez |
| VpnGw1/Az | Maksimum: 30 | 650 Mb/sn | Desteklenir |
| VpnGw2/Az | Maksimum: 30 | 1 Gb/sn | Desteklenir |
| VpnGw3/Az | Maksimum: 30 | 1,25 Gb/sn | Desteklenir |
Azure ile şirketiniz arasında VPN bağlantısı kurmak için gereken unsurlar ise şunlardır:
Virtual Network: Azure üzerinde oluşturduğunuz sanal ağ anlamına gelir. Her bir sanal ağ için bir adet VPN Gateway atayabilirsiniz.
Gateway Subnet: VPN Gateway kullanımına özel bir alt ağ dağıtımı yapmalısınız. İleriye dönük daha esnek olmak adına Subnet mask olarak /27 kullanmanız tavsiye edilir.
Public IP (Basic SKU): VPN Gateway’inizi şirket içerisinde bulunan VPN cihazınıza hedef olarak tanıtmak için Public bir IP adresi. Dinamik bir IP adresi olsa da siz VPN Gateway’i silip yeniden oluşturmadıkça değişmeyecektir. Dolayısıyla temelde Basic SKU bir Publc IP işinizi görür.
Local Network Gateway: VPN cihazınıza atayacağınız şirketinizin Azure tarafından hedef olarak algılanmasını sağlayacak IPv4 adresi.
Virtual Gateway: Şirket içi network, Azure ve diğer sanal ağlar arasındaki yönlendirmeler için bir sanal gateway oluşturmalısınız.
Gerekli tüm kaynaklar sağlandığında Şirketiniz ve Azure kaynaklarınız arasında bağlantı oluşturabilirsiniz.
Oluşturacağınız bu VPN bağlantısı Route base Site-to-Site VPN türüne bir örnektir.
Şüphesiz hiçbir şirket böylesine önemli bir bağlantı kesintiye uğrasın istemez. Bunun için HA (High Availability) senaryosu ise şöyle.
Aktif ve Pasif olmak üzere iki adet VPN Gateway çalışır. Aktif VPN Gateway üzerindeki planlı kesintilerde birkaç saniye, plansız kesintilerde ise 90 saniye içerisinde otomatik olarak pasif VPN Gateway Aktif rolünü üstlenerek bağlantının sürekliliğini sağlar.
Basic SKU dışındaki VPN Gateway’ler ile etkin/etkin bir yapılandırma da uygulayabilirsiniz. Bu yapılandırmada şirket ağı ve Azure üzerindeki Gateway’lere birer genel IP adresi atarsınız. Sonrasında şirkette bulunan VPN cihazından her IP adresine ayrı tüneller oluşturarak çapraz bağlantıya olanak sağlarsınız. Ayrıca şirkette ek bir VPN cihazı konumlandırarak HA kapsamını genişletebilirsiniz.
Umarım faydalı bir yazı olmuştur, bir sonraki yazımda görüşmek üzere.
Eline sağlık Tayfun.
Teşekkürler Hakan Hocam.
Merhaba
Local tarafta sql database var. Yurt dışında aplication Server. Şirket içinden den bağlantıda programın açılması 10 sn vpn yapınca 40/50 sn bu sunucuyu cload taşırsak bağlantı hızı normal vpn bağlantı gibimi olur.