Varsayılan olaran bir Vnet içerisindeki tüm kaynaklarınız doğrudan internet erişimi vardır. Bu internet erişimi sanal makinanızın public IP’sinin olması/olmaması yada bir load balancer’in arkadasında olması gibi senaryolarda farklılık göstersede günün sonunda kaynaklarınız internet bağlantısı için default system-defined routing’lerini kullanarak Azure backbone’ları üzerinden internete bağlanırlar. Bu durum yapılan outbound-internet bağlantısı üzerinde her hangi bir denetim ve kontrolünüzün olmadığı anlamına gelir.
işte bu noktada Microsoft Forced Tunneling özelliğini kullanarak tüm outbound-internet trağini Site-to-Site veya ExpressRoute bağlantısı üzerinden şirket için alt yapımıza yöndirerek sahip olduğumuz güvenlik çözümlerini ile internet trafiği üzerinde kontol ve denetim elde edebiliriz. Eğer şirket içi bir alt yapınız yoksa Forced Tunneling özelliğini kullanarak internet trafiğinin Azure üzerinde sahip olduğunuz Azure Firewall yada Fortigate, Cisto gibi 3. Party bir güvenlik çözümü üzerinden akmasınıda sağlayabilirsiniz.
Yukarıda örnekte görebileceğiniz üzere Backed ve Mid-Tier subnetleri Forced Tunnelling yapılandırması ile şirket içi network’e yönlendirilmiş. Frontend subnet’i ise tüm bağlantıları doğrudan internet üzerinden yapmaya devam etmekte.
Site to Site VPN – Forced Tunneling Yapılandırması
Forced Tunnelling yapılandırması için, Next hoop’u Virtual Network Gateway olacak şekilde bir user-defined route (UDR) oluşturmanız ve ilgili subnet’e Default Route olarak atamanız ve son olarakta internet trafiğinin yönlendirileceği şirket için ağının default site olarak (Forced Tunnelling) ayarlamanız gerekmektedir.
Next hop Virtual Network Gateway olacak şekilde User-defined route (UDR) oluşturduktan sonra default site yapılandırması için aşağıdaki komutları kullanabilirsiniz:
$LocalGateway = Get-AzureRmLocalNetworkGateway -Name “LocalNetworkGateway” -ResourceGroupName “ResourceGroup” $VirtualGateway = Get-AzureRmVirtualNetworkGateway -Name “VirtualNetworkGateway” -ResourceGroupName “ResourceGroup” Set-AzureRmVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway |
Daha fazlası için: https://github.com/uglide/azure-content/blob/master/articles/vpn-gateway/vpn-gateway-forced-tunneling-rm.md https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-forced-tunneling-rm |
Görüşmek üzere.