Azure VPN Network Gateway Nedir ?
Azure, şirket için yada diğer bulut sağlayılarını aynı anda kullanmak durumunda kaldığınız hybrid bir ortamınız varsa yada farklı Azure üyeliği altında bulunan sanal network’leriniz bulunuyorsa bu ortamların network’sel olarak birbirine güvenli bir şekilde bağlanması gibi bir ihtiyacınız olabilir. Güvenliden kastımız aradaki trafiğin şfirelenmiş olması ve iki ortam arasında erişilmek istenen servislerin kontrolsüz şekilde diğer network’lerden erişilemez olmasıdır. Azure Virtual Network Gateway farklı ortamlarda bulunan network’leri IPSEC ve IKE gibi endüstri standardı protokolleri kullanarak internet üzerinden diğer network’ler ile güvenli bağlantılar oluşturamanıza izin veren bulut tablanlı bir ağ geçididir.
Azure VPN Gateway ile:
- Site to Site VPN: S2S VPN IPsec/IKE (IKEv1 veya IKEv2) VPN tüneli üzerinden public IP’ye sahip şirket için yada diğer bulut sağlayıcı ortamlarında bulunan VPN cihazına yapılacak bağlantı türüdür.
- Point to Site VPN: P2S VPN Azure sanal ağınız ile bireysel bir makina arasında yapılacak güvenli bir bağlantı türüdür. P2S bağlantı istemci yani client tarafından başlatılır. S2S ‘den farklı olarak istemcinin Public IP yada VPN cihazına sahip olması gerekmek.
- VNet to VNet VPN: Azure VNet’in başka bir Azure VNet’ine bağlamak için kullanılacak bağlantı türüdür. S2S’da olduğu gibi aradaki bağlantı IPsec/IKE kullanır ve şifrelidir. Her iki network’de ağ geçidi olarak Azure VPN gateway kullanarak birbirine bağlanır.
VNet to VNet bağlantı ile Azure VNet’ini:
- Aynı yada farklı bir Azure bölgesinde bulunan bir VNet’e,
- Aynı yada farklı bir Azure üyeliğinde bulunan bir VNet’e,
- Aynı yada farklı deployment(ARM yada ASM) modeli kullanan bir VNet’e bağlayabilirsiniz.
- ExpressRoute: WAN ağınızdan Azure network’ünüze yapılan özel bağlantı türüdür. ExpressRoute Nedir ne değildir ayrıntılarına buradan erilebilirsiniz.
Vnet to Vnet bağlantı yerine Peering kullanarakta birbirine bağlayabilrisiniz. Peki ne farkı var derseniz;
| Vnet to Vnet (VPN Gateway) | Peering | |
| Farklı Azure bölgelerinki Vnet’ler arasında bağlantı ? | Destekleniyor | Destekleniyor |
| Farklı Azure tenant’larındaki Vnet’ler arasında bağlantı ? | Destekleniyor | Destekleniyor |
| Farklı Azure Uyelikleri arasındaki Vnet’ler arasında bağlantı ? | Destekleniyor | Destekleniyor |
| Limitasyon | Her bir Vnet en fazla bir VPN Gateway dağıtımına sahip olabilir | Bir Vnet ile en fazla 500 farklı Vnet’e peering |
| Ücretlendirme | VPN Gateway + giden trafik | Gelen + Giden trafik |
| Şifreleme | Custom IPsec/IKE policy | Yazılım düzeyinde şifreleme önerilir |
| Bandwidth Limiti | VPN Gatway SKU’suna göre değişmekte. | Yok |
| Private | Public IP vardır. | Public uç noktası yoktur. Trafik Microsoft omurgası üzerinden iletilir. |
| Geçiş ilişkisi | A-B ve B-C VNet’lari birbirine VPN Gateway kullanarak bağlı ise ve BGP aktif ise A ve C network’ü birbiri ile görüşebilir. | A-B ve B-C VNet’lari arasında peering olsa dahi A ve C network’leri birbiri ile görüşemez. (Spoke-to-spoke mimariyi daha sonra inceleyeceğiz) |
| İlk kurulum | 25-40 dk arası (Gateway SKU’suna bağlı) | 20-25 sn arası |
Bölge Yedekli Azure vNet Gateway Dağıtımları ile ilgili yazıma buradan erişebilirsiniz.
VPN Gateway ve ExpressRoute Gateway
Azure üzerinde VPN Gateway ve ExpressRoute Gateway olmak üzere iki farklı tür Virtual Network Gateway bulunmaktadır.
Yukarıda bahsetmiş olduğumuz S2S, S2P ve VNet bağlantıları için VPN Gateway, ExpressRoute için ExpressRoute gateway oluşturmanız gerekir.
Fiyatlandırma ?
Azure VPN Gateway fiyatlandırması saatlik compute ücreti (Yukarıda bahsettiğimiz Instance) ve gateway üzerinde işlenen trafik miktarı ile ölçülür. Compute ücreti seçtiğiniz gateway SKU’suna göre değişir. İşlenen trafik ücretlendirmesi VPN Gateway ‘den gönderdiğiniz trafiğin nereye olduğuna göre değişir;
- Şirket içi network’üne – Giden trafik ücretlendirilir (VPN)
- Farklı bir Azure bölgesideki VNet’e: Fiyatlandırna Azure bölgesine göre değişir (Inter-VNET)
- Aynı Azure bölgesindeki bir VNet’e: Ücretsiz
Fiyat ayrıntılarına erişmek için Azure Hesaplayıcısını kullanabilirsiniz.
https://azure.microsoft.com/en-us/pricing/calculator
Deskteklenen Cihazlar
Azure VPN Gateway ile şirket içi Site to Site bağlantı oluşturmak istediğinizde, şirket içinde kullanacağınız Firewall’un Microsoft tarafından onaylanmış bir cihaz olması önemlidir. Onaylanmış olması demek o Firewall’un Azure VPN Gateway ile test edilmiş ve çalıştığı onaylanmış yada belirli yapılandırmalarının Azure VPN Gateway ile desteklenmediği belirlenmiş cihazlardır. Ayrıda desteklenen Firewall modelleri için buradan yapılandırma talimatına erilşebilirsiniz. Listede olmayan cihazlar ile VPN yapılandırmanız yine çalışabilir fakat bir sorun olması durumunda Microsoft’tan destek alamazsınız.
IPsec/IKE parameters
Şirket için network’ünüz ile Azure VPN Gateway kullanarak S2S bağlantı oluşturmaya karar verdiğiniz zaman eğer Firewall cihazını siz yönetmiyorsanız Network ekibinden duyacağınız ilk bir kaç sorudan biri phase-1, phase-2 parametreleri neler olacaktır ? 😊 İşte bu phase1 ve phase-2 ayarları IPsec ve IKE parametrelerinin belirlendiği aşamadır. Oluşturulacak bağlantıda iki tarafta birbirine aynı IPsec, IKE protokolleri ve şifreleme algoritmaları ile gelmelidir ki bağlantı kurulabilsin.
Azure VPN Gateway ile desklenen IPsec ve IKE parametrelerine buradan erişebilirsiniz. Eğer Azure tarafında bu parametreleri manuel olarak ayarlamanız gerekirse connection içerisinden bunu yapabilirsiniz.
Gateway SKUs
Virtual Network Gateway oluştururken, sahip olacağınız connection sayısına, aktarım hızına ve SLA ihtiyaclarınıza göre gateway SKU’nuzu belirlemeniz gerekir. Detaylı listeye buradan erişebilirsiniz.
| VPN Gateway Generation | SKU | S2S/VNet-to-VNet Tunnels | Aggregate Throughput Benchmark | Zone Redundant |
| Generation1 | Basic | Max. 10 | 100 Mbps | No |
| Generation1 | VpnGw1 | Max. 30 | 650 Mbps | No |
| Generation1 | VpnGw2 | Max. 30 | 1 Gbps | No |
| Generation1 | VpnGw3 | Max. 30 | 1.25 Gbps | No |
| Generation1 | VpnGw1AZ | Max. 30 | 650 Mbps | Yes |
| Generation1 | VpnGw2AZ | Max. 30 | 1 Gbps | Yes |
| Generation1 | VpnGw3AZ | Max. 30 | 1.25 Gbps | Yes |
| Generation2 | VpnGw2 | Max. 30 | 1.25 Gbps | No |
| Generation2 | VpnGw3 | Max. 30 | 2.5 Gbps | No |
| Generation2 | VpnGw4 | Max. 100* | 5 Gbps | No |
| Generation2 | VpnGw5 | Max. 100* | 10 Gbps | No |
| Generation2 | VpnGw2AZ | Max. 30 | 1.25 Gbps | Yes |
| Generation2 | VpnGw3AZ | Max. 30 | 2.5 Gbps | Yes |
| Generation2 | VpnGw4AZ | Max. 100* | 5 Gbps | Yes |
| Generation2 | VpnGw5AZ | Max. 100* | 10 Gbps | Yes |
Bir sonraki yazımızda birlikte Azure ve Şirket içi network’ünüz ile S2S VPN Yapılandırmasına göz atacağız. Buradan erişebilirsiniz.
Görüşmek üzere.
