Azure'da SaaS iş yükleri için ağ oluşturma
Ağınız müşterilerin SaaS uygulamanıza erişme şekline yönelik omurgayı sağlar ve çözümünüzün bileşenleri arasında iletişim sağlar. Ağınızı tasarlama yönteminizin çözümünüzün güvenliği, işlemleri, maliyeti, performansı ve güvenilirliği üzerinde doğrudan etkisi vardır. Bulut ortamınız büyüdükçe ağ stratejinize yönelik yapılandırılmış bir yaklaşım daha da önemli hale gelir.
Ağ dağıtım stratejisine ve topolojiye karar verme
SaaS çözümlerinin benzersiz ağ gereksinimleri vardır. Daha fazla müşteri eklediğinizde ve kullanımları arttıkça ağ gereksinimleri de değişir. IP adresi aralıkları gibi sınırlı kaynaklardan dolayı büyümeyi işlemek zor olabilir. Ağ tasarımınız güvenliği ve müşteri yalıtımını etkiler. Ağ stratejinizi planlamak büyümeyi yönetmeye, güvenliği geliştirmeye ve operasyonel karmaşıklığı azaltmaya yardımcı olur.
Tasarımla ilgili dikkat edilecek noktalar
Kiracı modelinize göre ağ dağıtım stratejinizi planlayın. Ağ kaynaklarınızın müşteriler arasında paylaşılıp paylaşılmayacağına, tek bir müşteriye mi yoksa bir birleşime mi ayrılacağını belirleyin. Bu seçenek uygulamanızın işlevselliğini, güvenliğini ve müşteri yalıtımını etkiler.
Sanal ağlar ve Azure Front Door profilleri gibi ağ kaynaklarını birden çok müşteri arasında paylaşmak yaygın bir durumdır. Bu yaklaşım maliyetleri ve operasyonel ek yükü azaltır. Ayrıca bağlantıyı basitleştirir. Müşterinin kaynaklarını paylaşılan depolama hesapları veya denetim düzlemi gibi paylaşılan kaynaklara kolayca bağlayabilirsiniz.
Ancak, yüksek güvenlik ve uyumluluk sağlamak için her müşteri için ayrılmış ağ kaynakları gerekebilir. Örneğin, müşteriler arasında yüksek düzeyde ağ segmentasyonu desteklemek için sınır olarak sanal ağları kullanırsınız. Tüm müşteriler genelindeki ağ kaynaklarının sayısı tek bir paylaşılan ağın kapasitesini aştığında ayrılmış kaynaklar gerekebilir.
Hemen ve gelecekteki gereksinimleri göz önünde bulundurarak her müşterinin ihtiyaç duyacağı ağ kaynağı sayısını planlayın. Müşteri gereksinimleri ve Azure kaynak sınırları belirli sonuçları zorlayabilir. Farklı kaynaklar, müşteriye ait Azure sanal ağlarıyla sanal ağ eşlemesi için ayrı ağlar kullanma gibi farklı dağıtım stratejileri gerektirebilir.
SaaS çözümündeki kaynakları paylaşma hakkında daha fazla bilgi için bkz . SaaS iş yükleri için kaynak kuruluşu.
Ağ topolojilerini anlama. Ağ topolojileri genellikle üç kategoriye ayrılır:
Düz ağ: Segmentlere ayırma için alt ağlara sahip tek ve yalıtılmış bir ağ. Basit bir ağ düzenine sahip tek bir çok kiracılı uygulamanız olduğunda uygundur. Düz ağlar kaynak sınırlarına isabet edebilir ve ölçeklendikçe daha fazla ağ gerektirebilir ve ek yük ve maliyetleri artırır. Aynı sanal ağda birden çok uygulama barındırmayı veya ayrılmış dağıtım damgalarını kullanmayı planlıyorsanız karmaşık bir ağ düzenine ihtiyacınız olabilir.
Merkez-uç: Yalıtılmış uç ağlarına eşlemeye sahip merkezi bir merkez ağı. Her müşterinin veya uygulamanın yalnızca merkezle iletişim kurarak kendi uçları olduğundan yüksek ölçeklenebilirlik ve müşteri yalıtımı için uygundur. Hub'daki kaynakların tüm uçlar tarafından kullanılabilmesi için gerektiğinde daha fazla uç dağıtabilirsiniz. Merkez üzerinden geçişli veya uçlu iletişim varsayılan olarak devre dışı bırakılır ve bu da SaaS çözümlerinde müşteri yalıtımının korunmasına yardımcı olur.
Ağ yok: Sanal ağları dağıtmadan karmaşık iş yüklerini barındırabileceğiniz Azure PaaS hizmetleri için kullanılır. Örneğin Azure Uygulaması Hizmeti, Azure omurga ağı üzerinden diğer PaaS hizmetleriyle doğrudan tümleştirmeye olanak tanır. Bu yaklaşım yönetimi basitleştirse de, güvenlik denetimlerini dağıtma esnekliğini ve performansı iyileştirme becerisini kısıtlar. Bu yaklaşım, buluta özel uygulamalar için iyi çalışabilir. Çözümünüz geliştikçe, zaman içinde merkez-uç topolojisine geçmeyi bekleyebilirsiniz.
Denge: Karmaşıklık ve güvenlik. Tanımlı bir ağ sınırı olmadan başlamak, güvenlik grupları, IP adres alanı ve güvenlik duvarları gibi ağ bileşenlerini yönetmenin operasyonel yükünü azaltabilir. Ancak, ağ çevresi çoğu iş yükü için gereklidir. Ağ güvenlik denetimleri olmadığında, iş yükünüzü kötü amaçlı trafikten korumak için güçlü kimlik ve erişim yönetimine güvenin.
Çok bölgeli mimarinin ağ topolojilerini nasıl etkilediğini anlama. Sanal ağları kullanan çok bölgeli bir mimaride, güvenlik duvarları, sanal ağ geçitleri ve ağ güvenlik grupları bölgeler arasında paylaşılamayacağından ağ kaynaklarının çoğu her bölgeye ayrı olarak dağıtılır.
Tasarım önerileri
| Öneri | Avantaj |
|---|---|
| Hangi ağ bileşenlerinin paylaşıldığına ve hangi bileşenlerin müşteriye adanmış olduğunu belirleyin. Azure Güvenlik Duvarı, Azure Bastion ve Azure Front Door gibi örnek başına ücretlendirilen kaynakları paylaşın. |
Maliyet ve operasyonel yükünüzü azaltırken güvenlik ve yalıtım gereksinimleriniz arasında dengeli destek deneyimi yaşayın. |
| Düz bir topoloji ile başlayın veya ağ yaklaşımı yok. Bu yaklaşımlar sınırlı yalıtım ve trafik denetimleri sunduğu için her zaman önce güvenlik gereksinimlerini gözden geçirin. |
Daha basit ağ topolojilerini kullanarak çözümünüzün karmaşıklığını ve maliyetini azaltabilirsiniz. |
| Karmaşık gereksinimler veya müşteri başına ayrılmış sanal ağlar dağıtırken merkez-uç topolojilerini göz önünde bulundurun. Paylaşılan ağ kaynaklarını müşteri ağları arasında barındırmak için hub'ı kullanın. | Kaynakları merkez ağınız üzerinden paylaşarak daha kolay ölçeklendirebilir ve maliyet verimliliğinizi artırabilirsiniz. |
Güvenli bir ağ çevresi tasarlama
Ağ çevreniz, uygulamanızla İnternet de dahil olmak üzere diğer ağlar arasında güvenlik sınırını oluşturur. Ağ çevrenizi belgeleyerek farklı trafik akışı türlerini ayırt edebilirsiniz:
- Bir dış kaynaktan ağa ulaşan giriş trafiği.
- Ağınızdaki bileşenler arasında geçen iç trafik.
- Ağdan ayrılan çıkış trafiği.
Her akış farklı riskler ve denetimler içerir. Örneğin, giriş trafiğini incelemek ve işlemek için birden çok güvenlik denetimi gerekir.
Önemli
Genel bir en iyi uygulama olarak, her zaman sıfır güven yaklaşımını izleyin. İç trafik de dahil olmak üzere tüm trafiğin denetlendiğinden ve denetlendiğinden emin olun.
Müşterilerinizin mimarinizi etkileyen belirli uyumluluk gereksinimleri de olabilir. Örneğin, SOC 2 uyumluluğuna ihtiyaçları varsa, güvenlik gereksinimlerini karşılamak için güvenlik duvarı, web uygulaması güvenlik duvarı ve ağ güvenlik grupları gibi çeşitli ağ denetimleri uygulamalıdır. Hemen uymanız gerekmeyecek olsa bile mimarinizi tasarlarken bu genişletilebilirlik faktörlerini göz önünde bulundurun.
Tasarımla ilgili dikkat edilecek noktalar
Giriş trafiğini koruyun ve yönetin. Gelen tehditler için bu trafiği inceleyin.
Güvenlik duvarları, yetkisiz erişim girişimlerine karşı koruma sağlamak için kötü amaçlı IP'leri engellemenizi ve gelişmiş analizleri tamamlamanızı sağlar. Ancak güvenlik duvarları maliyetli olabilir. Güvenlik duvarı gerekip gerekmediğini belirlemek için güvenlik gereksinimlerinizi değerlendirin.
Web uygulamaları SQL ekleme, siteler arası betik oluşturma ve diğer OWASP ilk 10 güvenlik açığı gibi yaygın saldırılara karşı savunmasızdır. Azure Web Uygulaması Güvenlik Duvarı bu saldırılara karşı koruma sağlar ve Application Gateway ve Azure Front Door ile tümleşiktir. Hangi WAF özelliklerinin hangi ürünlerde olduğunu anlamak için bu hizmetlerin katmanlarını gözden geçirin.
DDoS saldırıları, İnternet'e yönelik uygulamalar için bir risktir. Azure, temel koruma düzeyini hiçbir ücret ödemeden sağlar. Azure DDoS Koruması , trafik desenlerinizi öğrenerek ve korumaları uygun şekilde ayarlayarak gelişmiş koruma sağlar, ancak bunun bir maliyeti vardır. Front Door kullanıyorsanız yerleşik DDoS özelliklerinden yararlanın.
Güvenliğin ötesinde, önbelleğe alma ve yük dengelemeyi kullanarak giriş trafiğini de işleyerek uygulamanızın performansını geliştirebilirsiniz.
Genel HTTP(S) trafik yönetimi için Azure Front Door gibi bir ters proxy hizmeti kullanmayı göz önünde bulundurun. Alternatif olarak, gelen trafik denetimi için Application Gateway'i veya diğer Azure hizmetlerini kullanın. Azure'daki yük dengeleme seçenekleri hakkında daha fazla bilgi edinmek için bkz . Yük dengeleme seçenekleri.
İç trafiği koruyun. Kötü amaçlı erişimi önlemek için uygulamanızla bileşenleri arasındaki trafiğin güvenli olduğundan emin olun. İnternet üzerinden yönlendirmek yerine iç trafiği kullanarak bu kaynakları koruyun ve performansı geliştirin. Azure Özel Bağlantı yaygın olarak ağınızdaki bir iç IP adresi aracılığıyla Azure kaynaklarına bağlanmak için kullanılır. Bazı kaynak türleri için hizmet uç noktaları daha uygun maliyetli bir alternatif olabilir. Kaynaklarınız için genel İnternet bağlantısını etkinleştirirseniz, YÖNETILEN kimlikler gibi IP adreslerini ve uygulama kimliklerini kullanarak trafiği kısıtlamayı öğrenin.
Çıkış trafiğini koruyun. Bazı çözümlerde, özellikle mevzuat uyumluluğu ve kurumsal müşteriler için veri sızdırmayı önlemek için giden trafiği inceleyin. Çıkış trafiğini yönetmek ve gözden geçirmek, yetkisiz konumlara bağlantıları engellemek için güvenlik duvarlarını kullanın.
Giden bağlantı ve SNAT'nin ölçeğini planlama. Kaynak ağ adresi çevirisi (SNAT) bağlantı noktası tükenmesi çok kiracılı uygulamaları etkileyebilir. Bu uygulamalar genellikle her kiracı için ayrı ağ bağlantılarına ihtiyaç duyar ve müşteriler arasında kaynak paylaşımı, müşteri tabanınız büyüdükçe SNAT tükenmesi riskini artırır. Azure NAT Gateway'i, Azure Güvenlik Duvarı gibi güvenlik duvarlarını veya iki yaklaşımın birleşimini kullanarak SNAT tükenmesini azaltabilirsiniz.
Tasarım önerileri
| Öneri | Avantaj |
|---|---|
| İnternet'e sunulan ağ uç noktalarının kataloğunu koruyun. IP adresi (statikse), ana bilgisayar adı, bağlantı noktaları, kullanılan protokoller ve bağlantılar için gerekçe gibi ayrıntıları yakalayın. Her uç noktayı nasıl korumayı planladığınızı belgeleyebilirsiniz. |
Bu liste, çevre tanımınızın temelini oluşturur ve çözümünüz aracılığıyla trafiği yönetme konusunda açık kararlar vermenizi sağlar. |
| Erişimi sınırlamak ve korumayı geliştirmek için Azure hizmet özelliklerini anlama. Örneğin, depolama hesabı uç noktalarını müşterilere sunmak için paylaşılan erişim imzaları, depolama hesabı güvenlik duvarları ve iç ve dış kullanım için ayrı depolama hesapları kullanma gibi ek denetimler gerekir. |
Güvenlik, maliyet ve performans gereksinimlerinizi karşılayan denetimleri seçebilirsiniz. |
| HTTP(S) tabanlı uygulamalar için Azure Front Door veya Application Gateway gibi bir ters ara sunucu kullanın. | Ters proxy'ler performans geliştirmeleri, dayanıklılık, güvenlik ve operasyonel karmaşıklığı azaltmak için çok çeşitli özellikler sunar. |
| Web uygulaması güvenlik duvarı kullanarak giriş trafiğini inceleyin. App Service veya Azure Kubernetes Service (AKS) gibi web tabanlı kaynakları doğrudan İnternet'e ifşa etmekten kaçının. |
Web uygulamalarınızı yaygın tehditlere karşı daha etkili bir şekilde koruyabilir ve çözümünüzün genel kullanıma sunuluşunu azaltabilirsiniz. |
| Uygulamanızı DDoS saldırılarına karşı koruyun. Genel uç noktalarınız tarafından kullanılan protokollere bağlı olarak Azure Front Door veya Azure DDoS Koruması'nı kullanın. |
Çözümünüzü ortak bir saldırı türünden koruyun. |
| Uygulamanız büyük ölçekte çıkış bağlantısı gerektiriyorsa ek SNAT bağlantı noktaları sağlamak için NAT Ağ Geçidi'ni veya güvenlik duvarını kullanın. | Daha yüksek ölçek düzeylerini destekleyebilirsiniz. |
Ağlar arası bağlantı
Bazı senaryolarda, müşterinin özel ağındaki veriler veya çoklu bulut kurulumunda farklı bir bulut sağlayıcısındaki varlıklar gibi Azure dışındaki kaynaklara bağlanmanız gerekebilir. Bu gereksinimler ağ tasarımınızı karmaşık hale getirerek, özel gereksinimlerinize göre ağlar arası bağlantı uygulamak için çeşitli yaklaşımlar gerektirir.
Tasarımla ilgili dikkat edilecek noktalar
Uygulamanın bağlanması gereken uç noktaları belirleyin. Uygulamanın depolama hizmetleri ve veritabanları gibi diğer hizmetlerle iletişim kurması gerekebilir. Sahiplerini, konumlarını ve bağlantı türlerini belgele. Ardından bu uç noktalara bağlanmak için uygun yöntemi seçebilirsiniz. Yaygın yaklaşımlar şunlardır:
Kaynak konumu Sahip Dikkate alınması gereken bağlantı seçenekleri Azure Customer - Özel uç nokta (Microsoft Entra Id kiracıları genelinde)
- Sanal ağ eşlemesi (Microsoft Entra Id kiracıları arasında)
- Hizmet uç noktası (Microsoft Entra Id kiracıları genelinde)
Başka bir bulut sağlayıcısı ISV veya müşteri - Siteler arası VPN
- ExpressRoute
- İnternet
Şirket içinde ISV veya müşteri - Siteler arası VPN
- ExpressRoute
- İnternet
Özel Bağlantı ve özel uç nokta. Sanal makineler için iç yük dengeleyiciler de dahil olmak üzere çeşitli Azure kaynaklarına güvenli bağlantı sağlayın. Müşteriler için SaaS çözümünüzde özel erişim sağlar, ancak maliyet konusunda dikkat edilmesi gerekenler vardır.
Denge: Güvenlik ve maliyet. Özel bağlantı, trafiğinizin özel ağınızda kalmasını sağlar ve Microsoft Entra kiracıları arasında ağ bağlantısı için önerilir. Ancak her özel uç noktanın maliyetleri vardır ve bu da güvenlik gereksinimlerinize göre birikebilir. Hizmet uç noktaları uygun maliyetli bir alternatif olabilir ve trafiği Microsoft omurga ağında tutarken bir yandan da belirli bir düzeyde özel bağlantı sağlar.Hizmet uç noktası. Microsoft'un omurga ağı aracılığıyla trafiği PaaS kaynaklarına yönlendirir ve hizmet-hizmet iletişimlerinin güvenliğini sağlar. Bunlar yüksek bant genişliğine sahip uygulamalar için uygun maliyetli olabilir, ancak güvenlik için erişim denetim listelerinin yapılandırılmasını ve bakımının yapılmasını gerektirir. Microsoft Entra ID kiracılarında hizmet uç noktaları desteği Azure hizmetine göre değişir. Kullandığınız her hizmetin ürün belgelerine bakın.
Sanal ağ eşlemesi iki sanal ağı birbirine bağlayarak bir ağdaki kaynakların diğer ağdaki IP adreslerine erişmesine olanak tanır. Azure sanal ağındaki özel kaynaklara bağlantıyı kolaylaştırır. Erişim ağ güvenlik grupları kullanılarak yönetilebilir, ancak yalıtımı zorlamak zor olabilir. Bu nedenle, ağ topolojinizi belirli müşteri ihtiyaçlarına göre planlamak önemlidir.
Sanal özel ağlar (VPN'ler), bulut sağlayıcıları ve şirket içi konumlar dahil olmak üzere iki ağ arasında İnternet üzerinden güvenli bir tünel oluşturur. Siteden siteye VPN'ler yapılandırma için her ağdaki ağ gereçlerini kullanır. Düşük maliyetli bir bağlantı seçeneği sunar, ancak kurulum gerektirir ve öngörülebilir aktarım hızını garanti etmemektedir.
ExpressRoute , Azure ile diğer bulut sağlayıcıları veya şirket içi ağlar arasında ayrılmış, yüksek performanslı, özel bir bağlantı sağlar. Tahmin edilebilir performans sağlar ve İnternet trafiğini önler, ancak daha yüksek maliyetlerle birlikte gelir ve daha karmaşık yapılandırma gerektirir.
Hedefe göre planlayın. Özellikle hedef kaynak bir müşterinin Azure aboneliğindeyse, farklı Microsoft Entra Id kiracılarındaki kaynaklara bağlanmanız gerekebilir. Özel uç noktaları, siteden siteye VPN'yi veya sanal ağları eşleyerek kullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Farklı Microsoft Entra ID kiracılarında sanal ağları eşleme.
Başka bir bulut sağlayıcısında barındırılan kaynaklara bağlanmak için genel İnternet bağlantısı, siteden siteye VPN veya ExpressRoute yaygın olarak kullanılır. Daha fazla bilgi için bkz . Diğer bulut sağlayıcılarına bağlantı.
Bağlantının ağ topolojinizdeki etkilerini anlayın. Azure sanal ağı, siteden siteye VPN veya ExpressRoute aracılığıyla birden çok konuma bağlanabilen tek bir sanal ağ geçidine sahip olabilir. Ancak, ağ geçidi üzerinden bağlantı sayısıyla ilgili sınırlar vardır ve müşteri trafiğini yalıtma zor olabilir. Farklı konumlara birden çok bağlantı için, büyük olasılıkla her müşteri için ayrı bir sanal ağ dağıtarak ağ topolojinizi uygun şekilde planlayın.
IP adresi planlamasının etkilerini anlama. Bazı bağlantı yaklaşımları otomatik olarak ağ adresi çevirisi (NAT) sağlar ve çakışan IP adresleriyle ilgili sorunları önler. Ancak, sanal ağ eşlemesi ve ExpressRoute NAT gerçekleştirmez. Bu yöntemleri kullanırken, çakışan IP adresi aralıklarını önlemek ve gelecekteki büyümeyi sağlamak için ağ kaynaklarınızı ve IP adresi ayırmalarınızı dikkatlice planlayın. ÖZELLIKLE müşteriler gibi üçüncü taraflara bağlanırken IP adresi planlaması karmaşık olabilir, bu nedenle IP aralıklarıyla olası çakışmaları göz önünde bulundurun.
Ağ çıkışı faturalamayı anlama. Azure genellikle Microsoft ağından ayrıldığında veya Azure bölgeleri arasında hareket ettiğinde giden ağ trafiğini faturalar. Çok bölgeli veya çok bulutlu çözümler tasarlarken maliyet etkilerini anlamak önemlidir. Azure Front Door veya ExpressRoute kullanma gibi mimari seçenekler, ağ trafiği için faturalandırılan yönteminizi etkileyebilir.
Tasarım önerileri
| Öneri | Avantaj |
|---|---|
| Güvenliği önceliklendirmek için ağlar arasında bağlantı kurmak için özel ağ yaklaşımlarını tercih edin. Yalnızca ilişkili güvenlik ve performans etkilerini değerlendirdikten sonra İnternet üzerinden yönlendirmeyi göz önünde bulundurun. |
Özel trafik, birçok güvenlik riskini azaltmaya yardımcı olan güvenli bir ağ yolundan geçiş gerçekleştirir. |
| Azure ortamlarında barındırılan müşteri kaynaklarına bağlanırken Özel Bağlantı, hizmet uç noktalarını veya sanal ağ eşlemelerini kullanın. | Trafiği Microsoft ağında tutabilirsiniz. Bu, diğer yaklaşımlara kıyasla maliyeti ve operasyonel karmaşıklığı azaltmaya yardımcı olur. |
| Bulut sağlayıcıları arasında veya şirket içi ağlara bağlanırken siteden siteye VPN'leri veya ExpressRoute'u kullanın. | Bu teknolojiler sağlayıcılar arasında güvenli bağlantılar sağlar. |
Müşterilerin sahip olduğu ortamlara dağıtma
İş modeliniz, uygulamayı veya bileşenlerini müşterinin Azure ortamında barındırmanızı gerektirebilir. Müşteri kendi Azure aboneliğini yönetir ve uygulamayı çalıştırmak için gereken kaynakların maliyetini doğrudan öder. Çözüm sağlayıcısı olarak ilk dağıtım, yapılandırma uygulama ve uygulamaya güncelleştirme dağıtma gibi çözümü yönetmek sizin sorumluluğundadır.
Böyle durumlarda müşteriler genellikle kendi ağlarını getirir ve uygulamanızı tanımladıkları bir ağ alanına dağıtır. Azure Yönetilen Uygulamalar bu işlemi kolaylaştıracak özellikler sunar. Daha fazla bilgi için bkz . Azure Yönetilen Uygulamalar ile mevcut sanal ağı kullanma.
Tasarımla ilgili dikkat edilecek noktalar
IP adresi aralıkları ve çakışmaları. Müşteriler sanal ağları dağıtıp yönetirken, ağ çakışmalarını ve ölçeklendirmeyi işlemek onların sorumluluğundadır. Ancak farklı müşteri kullanım senaryolarını tahmin etmelisiniz. IP adreslerini verimli bir şekilde kullanarak minimum IP adresi alanı olan ortamlarda dağıtımları planlayın ve müşteri aralıklarıyla çakışmaları önlemek için IP adresi aralıklarını sabit kodlamaktan kaçının.
Alternatif olarak çözümünüz için ayrılmış bir sanal ağ dağıtabilirsiniz. Müşterilerin kaynaklara bağlanmasını sağlamak için Özel Bağlantı veya sanal ağ eşlemesi kullanabilirsiniz. Bu yaklaşımlar, Ağlar arası bağlantı bölümünde açıklanmıştır. Giriş ve çıkış noktalarını tanımladıysanız, IP adresi çakışmalarından kaynaklanan sorunları ortadan kaldırmak için NAT'yi bir yaklaşım olarak değerlendirin.
Yönetim amacıyla ağ erişimi sağlayın. Müşteri ortamlarına dağıttığınız kaynakları gözden geçirin ve bunları izlemek, yönetmek veya yeniden yapılandırmak için bunlara nasıl erişileceğini planlayın. Kaynaklar özel IP adresleriyle müşteriye ait bir ortama dağıtıldığında, onlara kendi ağınızdan ulaşmak için bir ağ yolunuz olduğundan emin olun. Uygulamanın yeni bir sürümünü gönderme veya Azure kaynak yapılandırmasını güncelleştirme gibi hem uygulama hem de kaynak değişikliklerini nasıl kolaylaştırabileceğinizi düşünün.
Bazı çözümlerde, Azure Yönetilen Uygulamalar tarafından sağlanan tam zamanında erişim ve uygulamalara güncelleştirme dağıtımı gibi özellikleri kullanabilirsiniz. Daha fazla denetime ihtiyacınız varsa, denetim düzleminizin bağlanabileceği bir uç noktayı müşterinin ağı içinde barındırarak kaynaklarınıza erişim sağlayabilirsiniz. Bu yöntem güvenlik, operasyonel ve performans gereksinimlerini karşılamak için ek Azure kaynakları ve geliştirme gerektirir. Bu yaklaşımı uygulama örneği için bkz . Azure Yönetilen Uygulamaları Güncelleştirme Örneği.
Tasarım önerileri
| Öneri | Avantaj |
|---|---|
| Müşteri tarafından dağıtılan kaynakları dağıtmak ve yönetmek için Azure Yönetilen Uygulamaları kullanın. | Azure Yönetilen Uygulamalar, bir müşterinin Azure aboneliği içindeki kaynakları dağıtmanıza ve yönetmenize olanak tanıyan çeşitli özellikler sağlar. |
| Müşterinin sanal ağ alanında kullandığınız IP adresi sayısını en aza indirin. | Müşteriler genellikle IP adresi kullanılabilirliğini kısıtlar. Ayak izinizi en aza indirerek ve ölçeklendirmenizi IP adresi kullanımından ayıran çözümünüzü kullanabilecek müşteri sayısını genişletebilir ve daha yüksek büyüme düzeyleri sağlayabilirsiniz. |
| İzleme, kaynak yapılandırma değişiklikleri ve uygulama güncelleştirmelerini göz önünde bulundurarak müşteri ortamlarındaki kaynakları yönetmek için ağ erişimi elde etmeyi planlayın. | Yönettiğiniz kaynakları doğrudan yapılandırabilirsiniz. |
| Ayrılmış bir sanal ağ dağıtmak mı yoksa müşterinin mevcut sanal ağıyla tümleştirmek mi istediğinize karar verin. | Önceden planlama yaparak müşterilerinizin yalıtım, güvenlik ve diğer sistemleriyle tümleştirme gereksinimlerini karşılayabildiğinizden emin olursunuz. |
| Azure kaynaklarına genel erişimi varsayılan olarak devre dışı bırakın. Mümkün olduğunda özel girişi tercih edin. | Sizin ve müşterilerinizin koruması gereken ağ kaynaklarının kapsamını azaltacaksınız. |
Ek kaynaklar
Çok kiracılılık, SaaS iş yüklerini tasarlamaya yönelik temel bir iş metodolojisidir. Bu makaleler ağ tasarımıyla ilgili daha fazla bilgi sağlar:
- Çok kiracılı çözümlerde ağ iletişimi için mimari yaklaşımlar
- Kiracı modelleri
- Merkez-uç ağ topolojisi
- Çok kiracılılık için Azure NAT Ağ Geçidi ile ilgili dikkat edilmesi gerekenler
- Kiracı tümleştirmesi ve veri erişimi için mimari yaklaşımlar
Sonraki adım
Azure'da SaaS iş yükleri için veri bütünlüğü ve performansı için veri platformunda dikkat edilmesi gerekenler hakkında bilgi edinin.