Kurumsal ağlarda en büyük zorluklardan biri, farklı ağ alanlarının aynı cihaz üzerinde güvenli ve çakışmadan yönetilmesidir. MSP, kamu, finans, sağlık ve çok kiracılı yapılarda her tenant kendi IP planını getirebilir. Aynı CIDR bloğunun farklı müşterilerde tekrar kullanılması sık görülen bir durumdur.
Klasik route ayrımı çoğu zaman yalnızca yönlendirme tablosunu ayırır. Oysa gerçek izolasyon için yalnızca route değil; arayüz, ARP, firewall, socket ve bağlantı davranışı da ayrılmalıdır. Aksi halde Tenant A'nın `10.0.0.5` adresi ile Tenant B'nin `10.0.0.5` adresi operasyon ve güvenlik açısından riskli hale gelir.
Bir diğer sorun, servislerin farklı ağ alanlarında kalması gerektiği durumlarda ortaya çıkar. VIP DMZ tarafında dinlemeli, kurum servisi iç ağda kalmalı, yönetim trafiği ayrı bir Route Tablosu üzerinde tutulmalı veya migration sırasında eski ve yeni ağlar aynı anda çalışmalıdır. Bu alanlar zorla birleştirilirse güvenlik segmentasyonu ve operasyonel düzen bozulur.
Doğru yaklaşım, her ağ alanını kendi Route Tablosu içinde izole etmek ve vService seviyesinde bu alanlar arasında kontrollü geçiş sağlamaktır. Bir vService, birden fazla Route Tablosunda dinleyebilmeli ve trafiği farklı Route Tablolarındaki kurum servislerine yönlendirebilmelidir.
TR7 Çapraz-NS Yönlendirme bu ihtiyacı karşılar: aynı cihaz üzerinde izole ağ alanları oluşturur, çakışan IP planlarını ayırır ve vService'i Route Tabloları arasında kontrollü trafik köprüsüne dönüştürür.
TR7, çoklu ağ alanı mimarisini Route Tablosu izolasyonu, çapraz yönlendirme, ayrı süreç yönetimi ve UI üzerinden yaşam döngüsüyle uygular.
Her Route Tablosu kendi yönlendirme, arayüz, ARP, firewall ve socket alanına sahiptir. Böylece tenant'lar, servis bölgeleri veya test ortamları aynı cihaz üzerinde birbirine karışmadan çalışabilir.
Bir vService birden fazla Route Tablosu üzerinde VIP dinleyebilir ve trafiği farklı Route Tablolarındaki kurum servislerine taşıyabilir. Bu, ağları düzleştirmeden kontrollü servis geçişi sağlar.
TR7, her Route Tablosu için ayrı ağ izleme ve yönetim süreci çalıştırabilir. Link, IP, route, istatistik ve servis durumu her ağ alanı için bağımsız toplanır.
Operatör Route Tablosu oluşturabilir, silebilir, isimlendirebilir, DNS ve hosts ayarlarını tanımlayabilir. Arayüzlerin hangi Route Tablosunda çalışacağı da yönetim ekranından değiştirilebilir.
Çoklu Namespace Mimarisi, tenant izolasyonundan çapraz servis yönlendirmeye kadar farklı ağ alanlarını tek ADC üzerinde yönetilebilir hale getirir.
TR7 Route Tablosu, yalnızca ayrı bir route listesi değildir. Arayüz, ARP, firewall, socket ve bağlantı davranışı da bu alan içinde bağımsız çalışır. Bu sayede bir tenant'ın ağ davranışı diğer tenant'ın ağına karışmaz. Operasyon ekipleri aynı cihaz üzerinde çoklu ağ alanlarını daha güvenli ve okunabilir biçimde yönetir.
Çok kiracılı ortamlarda farklı müşteriler aynı özel IP bloklarını kullanabilir. TR7 Route Tabloları, bu çakışan adres planlarını ayrı ağ alanlarında tutarak birbirinden ayırır. Tenant A'nın `10.0.0.5` adresi ile Tenant B'nin `10.0.0.5` adresi aynı cihaz üzerinde farklı anlamlara sahip olabilir. Bu, MSP ve sovereign cloud mimarilerinde büyük IP planı esnekliği sağlar.
vService frontend tarafı tek bir ağ alanıyla sınırlı değildir. Aynı servis, prod, DMZ, yönetim veya tenant Route Tablolarında farklı VIP'ler üzerinden dinleyebilir. İstemcinin hangi Route Tablosundan geldiğine göre farklı politika veya kurum servisi seçimi yapılabilir. Bu model, çok ağlı yayın senaryolarını ayrı ayrı servis kopyaları oluşturmadan sadeleştirir.
TR7, bir Route Tablosu üzerinde gelen trafiği başka bir Route Tablosu üzerindeki kurum servisine taşıyabilir. VIP DMZ'de kalırken kurum servisi iç ağda, tenant ağı ayrı kalırken ortak servis ağı başka Route Tablosunda bulunabilir. Ağları birleştirmeden, yalnızca izin verilen servis akışı TR7 üzerinden geçirilir. Bu, segmentasyonu korurken uygulama erişimini kolaylaştırır.
Bir fiziksel veya sanal arayüzün hangi Route Tablosunda çalışacağı TR7 üzerinden yönetilebilir. Bu özellik migration, tenant taşıma veya testten production'a geçiş sırasında pratiklik sağlar. Arayüz taşınırken ilgili route, IP ve servis etkisi görünür biçimde yönetilmelidir. Operasyon ekibi ağ alanlarını statik ve değişmez yapılar olarak görmek zorunda kalmaz.
V-ETH(peer), iki farklı Route Tablosu arasında kontrollü sanal bağlantı kurmak için kullanılabilir. Bu yapı, tamamen ayrılmış ağ alanları arasında yalnızca tanımlı trafik yolları açmak için değerlidir. Test, migration, servis paylaşımı veya tenant ortak servis erişimi gibi senaryolarda kullanılabilir. Bağlantı yine TR7 politikaları ve firewall kurallarıyla denetlenir.
Her Route Tablosu kendi DNS ve hosts kayıtlarıyla çalışabilir. Aynı hostname farklı tenant'larda farklı IP'ye çözülebilir veya test ortamı production'dan farklı isim çözümleme kullanabilir. Bu ayrım, çok kiracılı yapılarda ve migration senaryolarında isim çakışmalarını azaltır. Operatör DNS davranışını global değil, ağ alanı bazında yönetir.
Her dinamik Route Tablosu kendi yönlendirme süreciyle çalışabilir. BGP, OSPF veya benzeri dinamik yönlendirme davranışları tenant veya ağ alanı bazında izole edilebilir. Bir tenant'ın route değişikliği diğer tenant'ın yönlendirme düzlemini etkilemez. Bu, MSP ve çok bölgeli kurumsal yapılarda önemli bir güvenlik ve operasyon avantajıdır.
TR7, her Route Tablosu için ayrı firewall yönetimi uygulayabilir. Kurallar, ipset'ler ve trafik izinleri ilgili ağ alanı içinde çalışır. Böylece bir tenant için açılan port veya izin, diğer tenant'ın servislerine otomatik olarak yayılmaz. Güvenlik ekipleri politika kapsamını daha net belirler.
Link, IP, route ve trafik istatistikleri her Route Tablosu için ayrı toplanabilir. Operasyon ekipleri hangi ağ alanında hangi linkin, hangi IP'nin veya hangi route'un sorun ürettiğini ayrı görebilir. Bu görünürlük, çoklu ağ alanı bulunan yapılarda troubleshooting süresini azaltır. Tek cihaz üzerinde çalışan ortamlar birbirinden ayrıştırılmış biçimde izlenir.
Health check yalnızca kurum servisinin ayakta olup olmadığını değil, ilgili Route Tablosundan erişilebilir olup olmadığını da doğrulayabilir. Frontend tarafındaki ağ alanından farklı bir kurum servisi Route Tablosuna yapılan kontrol, gerçek trafik yolunu test eder. Böylece yalnızca servis değil, route, ARP ve firewall yolu da doğrulanmış olur. Bu, çapraz ağ yönlendirmelerinde kritik operasyonel güven sağlar.
Çoklu Route Tablosu davranışı TR7'nin doğal ağ mimarisi içinde sunulur. Operatör her tenant için ayrı sanal cihaz mantığına geçmek zorunda kalmaz. Aynı ADC üzerinde izolasyon, yönlendirme ve servis geçişi tek yönetim düzleminde kalır. Bu, hem kaynak kullanımını hem de operasyonel karmaşıklığı azaltır.
Çoklu Route Tablosu mimarisi; yaşam döngüsü, arayüz taşıma, süreç kurtarma, DNS/hosts ayrımı ve çapraz durum bilgisinin yönetimiyle birlikte işletilir.
Operatör yeni Route Tablosu oluşturduğunda TR7 bu ağ alanı için ayrı çalışma bağlamı hazırlar. Bu alan kendi arayüz, route ve firewall davranışını taşır. İsimlendirme ve açıklama bilgisi operasyon ekiplerinin tenant veya servis alanını ayırt etmesini kolaylaştırır.
Bir Route Tablosu silinirken üzerinde arayüz bulunması riskli kabul edilir. Varsayılan güvenli davranış, arayüzler taşınmadan silme işlemini engellemelidir. Gerekirse arayüzler varsayılan alana geri çekilerek silme işlemi kontrollü yapılabilir.
Her Route Tablosu için çalışan izleme ve yönetim süreci beklenmedik şekilde kapanırsa otomatik olarak yeniden başlatılabilir. Bu, çoklu ağ alanı izleme davranışının sürekliliğini korur. Operasyon ekibi tek bir süreç hatası nedeniyle ilgili ağ alanını kalıcı olarak görünmez kaybetmez.
Arayüz bir Route Tablosundan başka bir Route Tablosuna taşındığında IP, route, servis ve firewall etkileri birlikte değerlendirilmelidir. Bu işlem migration için güçlüdür; ancak üretim ortamında planlı yapılmalıdır. TR7 bu davranışı UI üzerinden görünür hale getirerek hatalı taşıma riskini azaltır.
Ana yönetim süreci ile her Route Tablosu süreci arasında olay tabanlı iletişim kurulabilir. Link durumu, IP state, GTM bilgisi ve servis sinyalleri ilgili ağ alanına ayrı ayrı iletilir. Bu, global yönetim ile izole ağ alanları arasında kontrollü koordinasyon sağlar.
Her Route Tablosu için indeks değeri atanabilir. Bu indeks; dinamik yönlendirme portları, sanal yönlendirici ID ofsetleri veya servis bazlı yardımcı süreçler için kullanılabilir. Böylece çoklu ağ alanlarında port ve kimlik çakışması riski azaltılır.
Bir MSP, aynı `10.0.0.0/8` adres bloğunu kullanan birden fazla müşteriyi tek TR7 ADC üzerinde ayrı Route Tablolarında çalıştırabilir. IP çakışması yaşanmadan her tenant kendi ağ alanında izole kalır.
Kurumlar VIP'i DMZ Route Tablosunda dinletip kurum servisini iç Route Tablosunda tutabilir. TR7, iki alanı birleştirmeden yalnızca izin verilen servis trafiğini kontrollü biçimde taşır.
Bir servis eski tenant ağından yeni Route Tablosuna taşınırken vService trafiği kontrollü şekilde yönlendirilebilir. Bu sayede IP planı ve servis erişimi migration sürecinde birlikte yönetilir.
Test Route Tablosu production benzeri ayarlarla çalışabilir, fakat production trafiğine doğrudan karışmaz. Operasyon ekibi gerektiğinde belirli servisleri çapraz yönlendirme ile test eder ve izolasyonu korur.
Çakışan IP planları, DMZ-to-iç-ağ yönlendirme ve çok kiracılı Route Tablosu mimarisi. Kendi ortamınızda canlı bir kurulumda gezdirelim.