Öncelikle Azure Virtual WAN Nedir ?
Azure üzerinde Hub-Spoke bir mimariye sahip olmak istediğinizde bu yönetilmesi ve yapılandırılması gereken bir çok network bağlantısı, yönlendirmelere ve alınması gereken güvenlik tedbirleri anlamına gelir. Birde işin içine bir çok şirket içi network’ünün dahil edilmesi gereken hybrid bir yapınız olduğunda tüm bu network alt yapısının güvenli bir şekilde yönetilmesi zor bir hal alabilir. Azure Virtual WAN sanal ağlarınız için gerekli tüm bu bağlantı (Peering, S2S, PS2, ExpressRoute), yönlendirme (UDRs) ve güvenlik (Azure Firewall yada 3. Party) katmanını tek bir arayüzden merkezi olarak yönetebilmemizi sağlayan bir Network servisidir.
Azure VWAN’ın temel özellikleri:
- Şube bağlantısı (SD-WAN veya VPN CPE gibi Sanal WAN İş Ortağı cihazlarından bağlantı otomasyonu yoluyla).
- Siteden siteye VPN bağlantısı. (site-to-site)
- Uzak kullanıcı VPN bağlantısı (point-to-site).
- Özel bağlantı (ExpressRoute).
- Bulut içi bağlantı (transitive connectivity).
- VPN ExpressRoute inter-connectivity.
- Routing, Azure Firewall, ve private connectivity için şifreleme.
Azure üzerinde iki farklı Virtual WAN SKU’su bulunmaktadır:
Virtual WAN | HUB | Mevcut Yapılandırma |
Basic | Basic | Sadece Site to Site |
Standard | Standard | Express Route Site to Site VPN Point to Site VPN Firewall (NVA) üzerinden merkezler arası ve Vnet-to-vnet erişimi |
Şimdi gelelim esas soruya… Azure üzerinde Hub-Spoke mimarisinde karar kıldınız, Güvenlik içinde Azure Firewall’u seçtiniz. Burada iki seçeneğiniz var:
Hub Virtual Network: Manuel olarak oluşturup yönettiği standart bir Virtual network’tür. Sırasıyla; Virtual network, subnet, peering, UDR vs. oluşturup sonrasında güvenlik, yönlendirme politikaları ve Azure Firewall ile ilişkilendirdiğinizde artık bu hub virtual network olarak isimlendirilir.
Secured Virtual Hub: Virtual WAN Hub kaynakları Microsoft tarafından yönetilir. Yani VWAN ile hub-spoke mimarisi için Virtual Network’ler, Subnet’ler, UDR’ler hepsi VWAN üzerinden oluşturulur bu sebeble işin içine VWAN girdiği zaman bu mimari Managed Hub olarakta isimlendirilir. Birde bu Managed Hub güvenlik, yönlendirme politikaları ve Azure Firewall ile ilişkilendirildiğinde bu mimariye Secured Virtual Hub denir. Peki sizin ihtiyacınız olan hangisi ? Hub Virtual Network ve Secured Virtual Hub kıyaslaması için aşağıdaki tablodan yararlanabilirsiniz:
Hub virtual network | Secured virtual hub | |
Temel Kaynak | Virtual network | Virtual WAN Hub |
Hub & Spoke | Virtual Network Peering | Hub sanal ağ bağlantısı kullanılarak otomatik bağlantı |
Şirket İçi Bağlantı | 10 Gbps’ye kadar VPN Ağ Geçidi ve 30 S2S bağlantısı; EkspresRoute | 20 Gbps’ye ve 1000 S2S bağlantısına kadar daha ölçeklenebilir VPN Ağ Geçidi; EkspresRoute |
SDWAN kullanarak otomatik Şube Bağlantısı | Desteklenmiyor | Destekleniyor |
Her bir Azure bölgesi için Hub | Bölge başına birden fazla Sanal Ağ | Bölge başına birden fazla Virtual Hub |
Azure Güvenlik Duvarı – Birden çok Public IP | Müşteri tarafından oluşturulur | Otomatik oluşturulur |
Azure Firewall Availability Zones | Destekleniyor | Destekleniyor |
Third-party iş ortaklarıyla Gelişmiş İnternet Güvenliği | Müşterinin tercih ettiği iş ortağı hizmetine kurulan ve yönetilen VPN bağlantısı | Güvenlik iş ortağı sağlayıcı akışı ve iş ortağı yönetimi deneyimi ile otomatikleştirilmiş |
Merkezi Route Management | User Defined Route kullanarak | BGP kullanarak Destekleniyor |
Çoklu Güvenlik Sağlayıcı Desteği | Rorced tunneling yapilandirmasi ile. | İki güvenlik sağlayıcısı için otomatik destek: Özel trafik filtreleme için Azure Firewall ve İnternet filtreleme için Third Party. |