Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Arka Uç Ayarları, bir uygulama ağ geçidi kaynağından arka uç havuzundaki bir sunucuya kurulan arka uç bağlantılarının yapılandırmalarını yönetmenizi sağlar. Arka Uç Ayarları yapılandırması bir veya daha fazla Yönlendirme kuralıyla ilişkilendirilebilir.
Application Gateway'de Arka Uç Ayarları Türleri
Portal kullanıcıları yalnızca "Arka Uç Ayarları" seçeneğini görürken, API kullanıcıları iki tür ayara erişebilir. Protokole göre doğru yapılandırmayı kullanmanız gerekir.
- Arka uç HTTP ayarları - HTTP ve HTTPS protokollerini destekleyen Katman 7 proxy yapılandırmaları içindir.
- Arka uç ayarları - TLS ve TCP protokollerini destekleyen Katman 4 ara sunucu (Önizleme) yapılandırmaları içindir.
Tanımlama çerezlerine dayalı yakınlık
Azure Application Gateway kullanıcı oturumlarını korumak için ağ geçidi tarafından yönetilen tanımlama bilgilerini kullanır. Kullanıcı, Application Gateway'e ilk isteği gönderdiğinde, yanıt olarak oturum ayrıntılarını içeren bir hash değeri olan bir ilgili çerez ayarlar. Bu işlem, bağlılık tanımlama bilgisini taşıyan sonraki isteklerin aynı arka uç sunucusuna yönlendirilmesine olanak tanır ve bu nedenle bütünlüğü korur.
Bu özellik, bir kullanıcı oturumunu aynı sunucuda tutmak istediğinizde ve oturum durumu bir kullanıcı oturumu için sunucuda yerel olarak kaydedildiğinde kullanışlıdır. Uygulama tanımlama bilgisi tabanlı bağlılığı işleyemiyorsa bu özelliği kullanamazsınız. Bunu kullanmak için müşterilerin çerezleri desteklediğinden emin olun.
Uyarı
Bazı güvenlik açığı taramaları, Güvenli veya HttpOnly bayrakları ayarlanmadığı için Application Gateway afinlik çerezini işaretleyebilir. Bu taramalar, tanımlama bilgisindeki verilerin tek yönlü karma kullanılarak oluşturulduğunu dikkate almaz. Tanımlama bilgisi herhangi bir kullanıcı bilgisi içermez ve yalnızca yönlendirme için kullanılır.
Chromium tarayıcısının v80 güncellemesi, SameSite özniteliği bulunmayan HTTP çerezlerinin SameSite=Lax olarak ele alınması gerektiği bir görev getirdi. CORS (Çıkış Noktaları Arası Kaynak Paylaşımı) istekleri için tanımlama bilgisinin üçüncü taraf bağlamında gönderilmesi gerekiyorsa SameSite=None; Secure özniteliklerini kullanmalı ve yalnızca HTTPS üzerinden gönderilmelidir. Aksi takdirde, yalnızca HTTP senaryosunda tarayıcı tanımlama bilgilerini üçüncü taraf bağlamında göndermez. Chrome'dan gelen bu güncelleştirmenin amacı güvenliği artırmak ve Siteler Arası İstek Sahteciliği (CSRF) saldırılarını önlemektir.
Bu değişikliği desteklemek için, 17 Şubat 2020'den itibaren Application Gateway (tüm SKU türleri), mevcut ApplicationGatewayAffinity tanımlama bilgisine ek olarak ApplicationGatewayAffinityCORS adlı başka bir tanımlama bilgisi ekler. ApplicationGatewayAffinityCORS tanımlama bilgisine iki öznitelik daha eklenmiştir ("SameSite=None; Güvenli") bu sayede, çapraz kaynak istekleri için bile yapışkan oturumlar korunur.
Varsayılan çerez adı ApplicationGatewayAffinity ve bunu değiştirebilirsiniz. Ağ topolojinizde birden çok uygulama ağ geçidi ardışık olarak dağıtıyorsanız, her kaynak için benzersiz çerez adları ayarlamanız gerekir. Özel ilişki çerezi adı kullanıyorsanız, soneki olarak CORS ile başka bir çerez eklenir. Örneğin: CustomCookieNameCORS.
Uyarı
SameSite=None özniteliği ayarlanırsa, tanımlama bilgisinin Güvenli bayrağını da içermesi ve HTTPS üzerinden gönderilmesi zorunludur. CORS üzerinden oturum benzitesi gerekiyorsa, iş yükünüzü HTTPS'ye geçirmeniz gerekir. Application Gateway için TLS boşaltma ve Uçtan Uca TLS belgelerine bakın. SSL'ye genel bakış bölümüne bakın TLS sonlandırmaile uygulama ağ geçidi yapılandırma ve uçtan uca TLS yapılandırma.
Bağlantı drenajı
Bağlantı boşaltma, planlı hizmet güncelleştirmeleri, sıralı dağıtımlar, ölçek daraltma olayları veya ağ geçidi yapılandırma güncelleştirmeleri sırasında arka uç havuzu üyelerini zarif bir şekilde kaldırmanıza yardımcı olur. Arka uç örnekleri arka uç havuzundan açıkça kaldırıldığında aralıklı 502 hatalarını ve bağlantı kaybını azaltmak için bağlantı boşaltmayı kullanın.
Bu ayarı, Arka Uç Ayarı'nda Bağlantı Boşaltma'yı etkinleştirerek tüm arka uç havuzu üyelerine uygulayabilirsiniz. Bir arka uç havuzundaki tüm kayıt kaldırma örneklerinin yeni istek/bağlantı almamasını sağlarken, yapılandırılan zaman aşımı değerine kadar mevcut bağlantıları korur. Bu işlem WebSocket bağlantıları için de geçerlidir.
| Yapılandırma Türü | Değer |
|---|---|
| Arka Uç Ayarında Bağlantı Boşaltma etkinleştirilmediğinde varsayılan değer | 30 saniye |
| Arka Uç Ayarında Bağlantı Boşaltma etkinleştirildiğinde kullanıcı tanımlı değer | 1 - 3.600 saniye |
Bu işlemin tek istisnası, ağ geçidi tarafından yönetilen oturum bağımlılığı nedeniyle sunucu örneklerinin kaydının silinmesine yönelik isteklerdir. Bu istekler kayıt kaldırma örneklerine iletilmeye devam eder.
Uyarı
Bağlantı boşaltma zaman aşımından sonra yapılandırma güncellemesi, devam eden bağlantıları sonlandıracak bir sınırlama vardır. Bu sınırlamayı gidermek için arka uç ayarlarında bağlantı boşaltma zaman aşımını beklenen en yüksek istemci indirme süresinden daha yüksek bir değere artırmanız gerekir.
Bağlantı boşaltma zaman aşımını Azure CLI güncelleştirmek için az network application-gateway http-settings update çalıştırın ve arka uç HTTP ayarlarında --connection-draining-timeout ayarlayın. 0 değeri bağlantı boşaltmayı devre dışı bırakır ve 1 ile 3.600 saniye arasındaki değerler bunu etkinleştirir.
Uyarı
Dağıtımlar, sıralı güncelleştirmeler veya ölçek daraltma olayları sırasında aralıklı 502 hataları gözlemlerseniz, bağlantı boşaltma zaman aşımı çok kısa olabilir.
--connection-draining-timeout değerini, beklenen en uzun istemci aktarım süresinden daha büyük bir değere yükseltin.
Protokol
Application Gateway, istekleri arka uç sunucularına yönlendirmek için hem HTTP hem de HTTPS'yi destekler. HTTP'yi seçerseniz arka uç sunucularına gelen trafik şifrelenmemiş olur. Şifrelenmemiş iletişim kabul edilebilir değilse HTTPS'yi seçin.
Dinleyicide HTTPS ile birlikte bu ayar uçtan uca TLS'yi destekler. Bu, şifrelenmiş hassas verileri arka uca güvenli bir şekilde iletmenizi sağlar. Arka uç havuzundaki uçtan uca TLS'nin etkinleştirildiği her arka uç sunucusu, güvenli iletişime izin vermek için bir sertifikayla yapılandırılmalıdır.
Liman
Bu ayar, arka uç sunucularının uygulama ağ geçidinden gelen trafiği dinlediği bağlantı noktasını belirtir. 1 ile 65535 arasında bir bağlantı noktası yapılandırabilirsiniz.
Güvenilen kök sertifika
Arka uç ayarlarında HTTPS protokolü seçildiğinde, uygulama ağ geçidi kaynağı arka uç sunucusu tarafından sağlanan sertifikanın zincirini ve orijinalliğini doğrulamak için varsayılan Güvenilen Kök CA sertifika deposunu kullanır.
Varsayılan olarak, Application Gateway kaynağı popüler CA sertifikalarını içerir ve arka uç sunucu sertifikası Genel CA tarafından verildiğinde sorunsuz arka uç TLS bağlantılarına olanak sağlar. Ancak, tam TLS doğrulamasıyla Özel CA veya kendi kendine oluşturulan bir sertifika kullanmayı planlıyorsanız, Arka Uç Ayarları yapılandırmasında karşılık gelen Kök CA sertifikasını (.cer) sağlamanız gerekir.
Arka uç HTTPS doğrulama ayarları
Azure Application Gateway Arka Uç Ayarları'nda HTTPS seçildiğinde, ağ geçidi arka uç sunucularıyla güvenli bir bağlantı kurarken tam TLS el sıkışması doğrulaması gerçekleştirir. Bu doğrulamalar şunlardır:
- Sertifikanın güvenilir olduğundan emin olmak için sertifika zincirini doğrulama.
- Application Gateway tarafından gönderilen Sunucu Adı Göstergesi 'ne (SNI) göre sertifikanın Konu Adını doğrulama.
- Sertifikanın hala geçerli olup olmadığını onaylamak için sertifikanın süresinin dolmadığını doğrulama.
Varsayılan doğrulama ayarları, ağ geçidi ve arka uç hizmetleri arasında güvenli TLS iletişimi sağlar. Bazı senaryolarda, bu doğrulama ayarlarından bir veya daha fazlasının ayarlanması gerekebilir. Application Gateway, çeşitli müşteri gereksinimlerini karşılamak için aşağıdaki yapılandırılabilir seçenekleri sunar. Gerektiğinde seçeneklerin birini veya her ikisini de kullanabilirsiniz.
| Özellikler | Değerler |
|---|---|
| validateCertChainAndExpiration | Tür: Boole (true veya false). Varsayılan ayar true'dur. Bu, hem sertifika zincirini hem de süre sonu doğrulamalarını doğrular veya atlar. |
| SNI'yi doğrula | Tür: Boole (true veya false). Varsayılan ayar true'dur. Arka uç sunucusu tarafından sağlanan sertifikanın Ortak Adı'nın Application Gateway tarafından gönderilen Sunucu Adı Göstergesi (SNI) değeriyle eşleşip eşleşmediğini doğrular. |
| sniName | Tür: Dize. Bu özellik yalnızca validateSNI true olarak ayarlandığında gereklidir. Arka uçta sertifikanın ortak adıyla eşleşecek bir SNI değeri belirtebilirsiniz. Varsayılan olarak, uygulama ağ geçidi gelen isteğin ana bilgisayar üst bilgisini SNI olarak kullanır. |
Uyarı
- Üretim ortamları için tüm doğrulamaları etkin tutmanızı öneririz. Doğrulamaların bir kısmını veya tümünü devre dışı bırakmak, yalnızca otomatik olarak imzalanan sertifikaların kullanılması gibi test ve geliştirme amaçları için önerilir.
- Bu ayarlar, özel Durum Yoklaması eklerken yoklama işlevselliğini test etmek için geçerli değildir. Sonuç olarak, periyodik sağlık denetimleri ile karşılaştırırken sonuçlarda farklılıklar görebilirsiniz.
- Şu anda TLS proxy'si için desteklenmiyor.
- PowerShell ve CLI yakında desteklenecektir.
İstek zamanaşımı
Bu ayar, uygulama ağ geçidinin arka uç sunucusundan yanıt almak için beklediği saniye sayısıdır. Varsayılan değer 20 saniyedir. Ancak, bu ayarı uygulamanızın gereksinimlerine göre ayarlamak isteyebilirsiniz. Kabul edilebilir değerler 1 saniyeden 86400 saniyeye (24 saat) kadardır.
Arka uç yolunu geçersiz kıl
Bu ayar, istek arka uca iletildiğinde kullanmak üzere isteğe bağlı bir özel iletme yolu yapılandırmanızı sağlar. Gelen yolun, "geçersiz kılma arka uç yolu" alanındaki özel yolla eşleşen herhangi bir bölümü, iletilen yola kopyalanır. Aşağıdaki tabloda bu özelliğin nasıl çalıştığı gösterilmektedir:
HTTP ayarı temel bir istek yönlendirme kuralına eklendiğinde:
Özgün istek Arka uç yolunu geçersiz kıl İstek arka uca yönlendirildi /ana/ /geçersiz kılmak/ /override/home/ /home/ikinci_ev/ /geçersiz kılmak/ /override/home/secondhome/ HTTP ayarı yol tabanlı bir istek yönlendirme kuralına eklendiğinde:
Özgün istek Yol kuralı Arka uç yolunu geçersiz kıl İstek arka uca yönlendirildi /pathrule/home/ /pathrule* /geçersiz kılmak/ /override/home/ /pathrule/home/secondhome/ /pathrule* /geçersiz kılmak/ /override/home/secondhome/ /ana/ /pathrule* /geçersiz kılmak/ /override/home/ /home/ikinci_ev/ /pathrule* /geçersiz kılmak/ /override/home/secondhome/ /pathrule/home/ /pathrule/home* /geçersiz kılmak/ /geçersiz kılmak/ /pathrule/home/secondhome/ /pathrule/home* /geçersiz kılmak/ /override/secondhome/ /pathrule/ /pathrule/ /geçersiz kılmak/ /geçersiz kılmak/
Özel yoklama kullanma
Bu ayar, özel bir probu bir HTTP ayarıyla ilişkilendirir. HTTP ayarıyla yalnızca bir özel prob ilişkilendirebilirsiniz. Özel bir araştırmayı açıkça ilişkilendirmezseniz, arka ucun durumunu izlemek için varsayılan yoklama kullanılır. Arka uç sunucularınızın sistem durumu izlemesi üzerinde daha fazla kontrol için özel amaçlı bir yoklama oluşturmanızı öneririz.
Uyarı
Özel yoklama, karşılık gelen HTTP ayarı bir dinleyiciyle açıkça ilişkilendirilmediği sürece arka uç havuzunun durumunu izlemez.
Ana bilgisayar adını yapılandırma
Application Gateway, arka uçla kurulan bağlantının, istemci tarafından Application Gateway'e bağlanmak için kullanılandan farklı bir ana bilgisayar adı kullanmasına olanak tanır. Bu yapılandırma bazı durumlarda yararlı olabilir ancak hostname'i uygulama ağ geçidi ile istemci arasında, arka uç hedefindekinden farklı olacak şekilde geçersiz kılarken dikkatli olun.
Üretim ortamlarında istemciden uygulamaya ağ geçidi bağlantısı ve arka uç hedef bağlantısına uygulama ağ geçidi için aynı ana bilgisayar adını kullanmak en iyi yöntemdir. Bu uygulama mutlak URL'ler, yeniden yönlendirme URL'leri ve konağa bağlı tanımlama bilgileriyle ilgili olası sorunları önler.
Bu yapılandırmadan farklı bir Application Gateway kurmadan önce, Architecture Center'da daha ayrıntılı olarak açıklandığı gibi bu yapılandırmanın etkilerini gözden geçirin: Ters ara sunucu ile arka uç web uygulaması arasında orijinal HTTP ana bilgisayar adını koruma
Bir HTTP ayarının, Application Gateway tarafından arka uça bağlanmak için kullanılan HTTP üst bilgisini etkileyen Host iki yönü vardır:
- "Arka uç adresinden ana bilgisayar adını seçin"
- "Ana bilgisayar adı geçersiz kılma"
Arka plandaki adresten ana bilgisayar adını seçin
Bu özellik, istekteki konak üst bilgisini, arka uç havuzu sunucu adı olacak şekilde dinamik olarak ayarlar. Bir IP adresi veya FQDN kullanır.
Bu özellik, arka uç sunucunun etki alanı adı uygulama geçidinin DNS adından farklı olduğunda ve arka uç sunucu doğru uç noktaya ulaşmak için belirli bir ana bilgisayar üst bilgisine bağlı olduğunda yardımcı olur.
Örnek olarak, arka uçta çok kiracılı hizmetler kullanılabilir. Uygulama hizmeti, tek bir IP adresiyle paylaşılan alan kullanan çok kiracılı bir hizmettir. Bu nedenle, bir uygulama hizmetine yalnızca özel etki alanı ayarlarında yapılandırılan konak adları aracılığıyla erişilebilir.
Varsayılan olarak, özel alan adı example.azurewebsites.net. Uygulama hizmetinize, uygulama hizmetinde açıkça kayıtlı olmayan bir ana bilgisayar adı veya uygulama ağ geçidinin FQDN'sini kullanarak erişmek için, uygulama hizmetinin alan adına yapılan özgün istekte ana bilgisayar adını geçersiz kılabilirsiniz. Bunu yapmak için arka uç adres ayarından konak adını seçin ayarını etkinleştirin.
Mevcut özel DNS adı uygulama hizmetine eşlenen özel bir etki alanı için, önerilen yapılandırma, arka uç adresinden ana bilgisayar adını seçme işlemi etkinleştirmek değildir.
Uyarı
Bu ayar, ayrılmış bir dağıtım olan App Service Ortamı için gerekli değildir.
Sunucu adı geçersiz kılma
Bu özellik, uygulama ağ geçidinde gelen istekteki konak üst bilgisini belirttiğiniz konak adıyla değiştirir.
Örneğin, www.contoso.com ayarında belirtilirse, istek arka uç sunucusuna iletildiğinde özgün istek *https://appgw.eastus.cloudapp.azure.com/path1 olarak değiştirilirhttps://www.contoso.com/path1.
Özel Backend Bağlantısı
Azure Application Gateway, hem Application Gateway hem de arka uç sunucusu için TCP bağlantılarının kaynak kullanımını iyileştirmek üzere varsayılan olarak boşta arka uç bağlantılarını yeniden kullanır. İstemci başına benzersiz arka uç bağlantıları gerektiren müşteri veri yollarındaki güvenlik işlevlerini desteklemek için Azure Application Gateway V2 arka uç sunucularına ayrılmış bağlantılar sağlar.
Bu özellik, ön uç ve arka uç bağlantıları arasında doğrudan, bire bir eşleme oluşturarak her bir istemci için kalıcı bağlantı sağlar.
Önemli
Application Gateway'de Ayrılmış Arka Uç Bağlantısını etkinleştirmeden önce aşağıdaki noktaları gözden geçirin:
- NTLM/Kerberos Desteği: NTLM ve Kerberos geçiş kimlik doğrulaması, oturum bütünlüğünü korumak için ön uç ve arka uç bağlantıları arasında bire bir eşleme gerektirir. Bu protokolleri desteklemek için Ayrılmış Arka Uç Bağlantısı'nı açın.
- Eski istemciler: MSIE6 gibi eski istemciler veya eski Kullanıcı Aracısı imzalarını kullanan uygulamalar modern HTTP özelliklerini ve bağlantı yönetimi davranışlarını tam olarak destekleyemez. Güvenilirliği artırmak ve eksik veya bozuk yanıtlar gibi sorunların önlenmesine yardımcı olmak için Azure Application Gateway varsayılan olarak ek uyumluluk işleme uygular. Ayrılmış Arka Uç Bağlantısı özelliği etkinleştirildiğinde, bu uyumluluk işleme NTLM ile eski istemciler için bağlantı davranışında farklılıklara neden olabilir ve bağlantı tutarsızlıklarına yol açabilir. En iyi güvenilirlik ve öngörülebilir davranış için modern, standartlara uyumlu istemciler kullanmanız veya mümkün olduğunca eski istemcileri yükseltmeniz önerilir.
- Kapasite planlaması: Ayrılmış arka uç bağlantısı, arka uç bağlantı sayısının artmasına neden olur ve bu nedenle Application Gateway ve arka uç sunucularında artan eşzamanlı bağlantıları desteklemek için daha fazla kaynak gerektirebilir. Application Gateway'de örnek sayısını artırın veya yükü karşılamak için otomatik ölçeklendirmeyi etkinleştirin.
- SNAT bağlantı noktası tüketimi: Arka uç uzak bir sunucu olduğunda, her istemci bağlantısı ayrılmış bir SNAT bağlantı noktası tüketir ve bu da SNAT bağlantı noktası tükenme riskini artırır. Yönergeler için bkz. Mimarinin en iyi yöntemleri.
- Protokol desteği: Ayrılmış Arka Uç Bağlantısı HTTP/2 ile desteklenmez.
Ayrılmış Arka Uç Bağlantılarında 4xx Hatalarını Giderme
Arka uç ayarı için Ayrılmış Arka Uç Bağlantıları etkinleştirildiğinde ve arka uç uygulaması 4xx durum kodları döndürdüğünde, sorunu tanılamak ve çözmek için aşağıdaki kılavuzu kullanın.
NTLM ve Kerberos gibi Hizmet Asıl Adı (SPN) Yapılandırma Kimlik Doğrulaması mekanizmalarının doğru kaydedilmiş Hizmet Asıl Adları gerektirdiğini doğrulayın. Başarılı kimlik doğrulamasına izin vermek için SPN'lerin düzgün yapılandırıldığından ve dizinde benzersiz olduğundan emin olun. Daha fazla bilgi için Kerberos belgelerine bakın.
Alt Durum Kodları için Arka Plan Sunucusu Günlüklerini gözden geçirin - Application Gateway yalnızca birincil HTTP durumunu (örneğin, 401 Yetkisiz) gösterir. Temel nedeni belirlemek için daha ayrıntılı alt durum bilgileri için arka uç sunucu günlüklerini gözden geçirin. Yönergeler için bkz. Windows Authentication configuration.