Azure Hybrid Mimarilerinde Yüksek Erişilebilir VPN Senaryoları

Konu onpremise sistemler olduğunda, yedeklilik için cihaz sayısını iki veya daha fazla olacak şekilde planlarız. Bu sayede oluşabilecek planlanmış yada planlanmamış kesintilerde sistemin durmasının önüne geçmiş oluruz. On-premise sistemlerde yapılan bu planlama cloud sistemleri planlanırken de düşünülmesi gereken en önemli konulardan birisidir. Bugün sizlere hem on-premise hemde Azure tarafında site-to-site VPN bağlantısı yapılandırırken konumlandırmanız gereken firewall’ların yedekli çalışmaları için nasıl konfigüre edilmeleri gerektiğini anlatacağım. Şimdiden keyifli okumalar.

Azure cloud ortamınız ile onpremise ortamınızı bir VPN bağlantısı ile birbirine bağlamanız için onpremise ortamınızda bir firewall’a, Azure üzerinde de Virtual Network Gateway’e ihtiyaç duyarsınız. Virtual Network Gateway dediğimiz resource Azure üzerinde gerek site-to-site VPN, gerekse point-to-site VPN bağlantısı kurmanızı sağlayan bir bileşendir. Route-based yada Policy -based bağlantıları desteklemektedir.

Ayrıntılı bilgi için aşağıdaki linkten faydalanabilirsiniz.

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways

Şimdi özet olarak bu bilgiyi verdikten sonra sorular ile ilerleyerek bu bileşenin yüksek erişilebilirlik senaryolarında nasıl konumlandırılması gerektiğini anlatmaya çalışalım.

Soru 1 – Azure VPN Gateway üzerinde yaşanacak planlı veya plansız bir kesinti durumunda VPN bağlantısının durumu ne olur?

Azure üzerinde konumlandıracağınız her bir VPN gateway platform üzerinde active-standby şeklinde konfigüre edilecektir. Yani sahip olduğunuz virtual network gateway’in standby’da bekleyen bir yedeği mevcuttur. Planlanan bir bakım durumunda bu yedek 10-15 saniye içerisinde devreye girerken, plansız bir kesintide bu süre 1 ile 1.5 dakikayı bulmaktadır. Tabi bu söylediklerim site-to-site VPN bağlantısı için geçerli sürelerdir. Ofis dışından Azure platformuna bağlanan point-to-site VPN kullanıcılarının böyle bir durumda bağlantıları kopacaktır. Tekrar bağlantı sağlamaları gerekir.

Azure VPN Gateway High Availability Seçenekleri

Soru 2 – Onpremise ortamına yedekli çalışması için konumlandırılmış iki adet firewall cihazı varsa bunların Azure üzerindeki Virtual Network Gateway ile bağlantısı nasıl sağlanır?

Bu sorunun cevabına şöyle başlayabiliriz. Bir Azure Virtual Network Gateway kaynağına aynı onpremise ortamında bulunan firewall cihazları aynı anda bağlanabilirler. Yani Azure Virtual Network Gateway birden çok bağlantıyı sağlayabilir. Daha profesyonel deyimle diğer VPN cihazları ile birden çok active tunnel oluşturabilir. Oluşturulan bu mimaride her bir on-premise cihazının public IP’ye ihtiyacı vardır. Böyle bir mimaride onpremise ortamınızda bulunan her bir VPN cihazı için Azure üzerinde local network gateway tanımlaması yapmanız gerekir. Böyle bir konfigürasyona BGP’nin etkinleştirilmesi gerekir. Bu sayede VPN cihazları BGP peer IP adresine sahip olurlar. Bu ip adresine BGP Peer IP adresi adı verilir ve bu adresler /32 CIDR formatındadır. Bu mimaride protocol olarak ECMP kullanılması gerekir. (Equal-cost multi-path routing) Azure VPN Gateway’in yapabileceği tunnel sayısı kullanılan tier’lara göre farklılık göstermektedir. Yani yapılabilecek tunnel sayısının bir limiti vardır. Bu mimaride gateway’in tunel limitinden 2 adet kullanmış olursunuz.

Soru 3 – Azure üzerindeki Virtual Network Gateway Active-Active çalışabilir mi?

Azure üzerindeki Virtual Network Gateway Active-Active çalışacak şekilde konfigüre edilebilir. Böyle bir konfigürasyonda Active-Active modda çalışan her bir Virtual Network Gateway onpremise üzerindeki firewall ile ayrı tunel bağlantısı kurar.

Azure VPN Gateway High Availability

Burada her bir Azure Virtual Network Gateway’in kendi public IP’si olması gerekir. Ayrıca böyle bir mimaride. IKEv2 protokolü kullanılır. Burada anlaşılması gereken önemli nokta onpremise cihaz ile bağlantılı olan iki tunel bağlantısı da aynı bağlantının parçaları gibi çalışırlar. Yani trafik bu iki tunel üzerinden eş zamanlı olarak yönlendirilir. Tabi burada bir tunnel üzerinden yapılan TCP ve UDP akışı aynı tunel üzerinden geriye döner. Fakat hat üzerinde planlı yada plansız bir kesinti olması durumunda trafik diğer tunele yönlendirilir. Planlı yada plansız kesinti durumunda tunellerden biri down olduğunda bu tunele karşılık gelen route Azure üzerinde otomatik olarak silinir. Böylece trafik ayakta olan diğer tunel üzerinden yönlendirilir. Onpremise tarafta ise VPN cihazı üzerinde manuel olarak bu route silinmelidir.

Soru 4 – Hem On-Premise hemde Azure üzerinde VPN cihazları yedekli olarak yapılandırılabilir mi?

Kuşkusuz mimarinin en güvenilir hali bu dur. Çünkü böyle bir mimaride hem Azure üzrindeki Virtual Network Gateway kaynakları hem de on-premise üzerindeki VPN cihazları active-active hizmet verecek şekilde konfigüre edilir.

Azure VPN Gateway High Availability

Böyle bir mimarinin temel özellikleri aşağıdaki gibidir:

  • Toplam 4 adet IPsec tunel yapılandırılmış olur.
  • Bir önceki mimaride olduğu gibi trafik eş zamanlı olarak tuneller içerisinde gönderilir.
  • TCP ve UDP flowlarının geri dönüşleri aynı tunel içerisinden sağlanır.
  • Onpremise ve Azure arasında yapılandırılacak en guvenilir ve nispeten diğerlerine göredaha iyi throughput’a sahip mimari bu dur.

Dördüncü soruyu açıklamışken bu kısma bir ekleme yapmak istiyorum. Azure’un sertifikasyon sınavlarından AZ-300 kodlu Microsoft Azure Architect Technologies sınavında bu konu ile alaklı bir soruya rastladım. Soru en güvenilir mimaride kullanılan bileşenler ve sayılarının neler olduğunu soruyordu. Artık bu yazıdan sonra bunu tahmin etmek çok zor olmayacak diye düşünüyorum En güvenilen mimarinin 4. Sorudaki mimari olduğunu söylemiştik. Bu mimaride;

  • 2 Adet Azure Virtual Network Gateway
  • 2 Adet Local Network Gateway (Yani local Firewall)
  • 4 Adet Public IP

gereklidir. Dört temel mimariden, mimari yapılarından ve genel özelliklerinden bahsetmiş olduk. Artık sahip olma maliyeti,performans ve yönetim maliyetlerini göz önünde bulundurarak sizin için en uygun olan mimariyi yapınıza uygun olarak seçebilirsiniz.

Bir sonraki makalede görüşmek üzere.

Kaynak:

Benzer İçerikler

Tüm Hakları Saklıdır – © Netaş Telekomünikasyon A.Ş. 2020