Aracılığıyla paylaş

Application Gateway'de Web Uygulaması Güvenlik Duvarı ile Azure Container Apps'i koruma

  • Makale

Uygulamalarınızı veya mikro hizmetlerinizi Azure Container Apps'te barındırdığınızda, bunları her zaman doğrudan İnternet'te yayımlamak istemeyebilirsiniz. Bunun yerine, bunları ters ara sunucu aracılığıyla kullanıma açmak isteyebilirsiniz.

Ters ara sunucu, bir veya daha fazla hizmetin önünde yer alan, gelen trafiği durduran ve uygun hedefe yönlendiren bir hizmettir.

Ters proxy'ler, uygulamalarınızın önüne aşağıdakiler gibi çapraz kesme işlevlerini destekleyen hizmetler yerleştirmenizi sağlar:

  • Yönlendirme
  • Önbelleğe Alma
  • Hız sınırlaması
  • Yük dengeleme
  • Güvenlik katmanları
  • İstek filtreleme

Bu makalede, kapsayıcı uygulamalarınızı bir iç Container Apps ortamıyla Azure Uygulaması lication Gateway üzerinde Web Uygulaması Güvenlik Duvarı (WAF) kullanarak nasıl koruyacağınız gösterilmektedir.

Container Apps'teki ağ kavramları hakkında daha fazla bilgi için bkz . Azure Container Apps'te Ağ Ortamı.

Ön koşullar

  • Özel sanal ağ ile iç ortam: İç ortamda bulunan ve özel bir sanal ağ ile tümleştirilmiş bir kapsayıcı uygulamasına sahip olun. Özel sanal ağ tümleşik uygulaması oluşturma hakkında daha fazla bilgi için bkz . İç Azure Container Apps ortamına sanal ağ sağlama.

  • Güvenlik sertifikaları: Uygulama ağ geçidinde TLS/SSL şifrelemesi kullanmanız gerekiyorsa, uygulama ağ geçidinize bağlanmak için kullanılan geçerli bir genel sertifika gerekir.

Kapsayıcı uygulamanızın etki alanını alma

Özel DNS Bölgenizi ayarlamak için varsayılan etki alanının ve statik IP'nin değerlerini almak için aşağıdaki adımları kullanın.

  1. Portaldaki kaynak grubunun Genel Bakış penceresinden kapsayıcı uygulamanızı seçin.

  2. Kapsayıcı uygulaması kaynağınızın Genel Bakış penceresinde Container Apps Ortamı bağlantısını seçin

  3. Kapsayıcı uygulaması ortamı kaynağınızın Genel Bakış penceresinde, kapsayıcı uygulamaları ortamının JSON gösterimini görüntülemek için sayfanın sağ üst köşesindeki JSON Görünümü'nü seçin.

  4. defaultDomain ve staticIp özelliklerinin değerlerini kopyalayın ve bir metin düzenleyicisine yapıştırın. Sonraki bölümde varsayılan etki alanı için bu değerleri kullanarak özel bir DNS bölgesi oluşturacaksınız.

Azure Özel DNS bölgesi oluşturma ve yapılandırma

  1. Azure portalı menüsünde veya Giriş sayfasında Kaynak oluştur'u seçin.

  2. Özel DNS Bölgesi'ni arayın ve arama sonuçlarından Özel DNS Bölge'yi seçin.

  3. Oluştur düğmesini seçin.

  4. Aşağıdaki değerleri girin:

    Ayar Eylem
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Kapsayıcı uygulamanızın kaynak grubunu seçin.
    Ad Önceki bölümde yer alan Container Apps Ortamının defaultDomain özelliğini girin.
    Kaynak grubu konumu Varsayılan olarak bırakın. Özel DNS Bölgeleri genel olduğundan bir değer gerekmez.

  5. Gözden geçir ve oluştur’u seçin. Doğrulama tamamlandıktan sonra Oluştur'u seçin.

  6. Özel DNS bölgesi oluşturulduktan sonra Kaynağa git'i seçin.

  7. Genel Bakış penceresinde + Kayıt kümesi'ni seçerek yeni bir kayıt kümesi ekleyin.

  8. Kayıt kümesi ekle penceresinde aşağıdaki değerleri girin:

    Ayar Eylem
    Ad * girin.
    Tür Adres Kaydı'nı seçin.
    TTL Varsayılan değerleri koruyun.
    TTL birimi Varsayılan değerleri koruyun.
    IP Adresi Önceki bölümde yer alan Container Apps Ortamının staticIp özelliğini girin.

  9. Kayıt kümesini oluşturmak için Tamam'ı seçin.

  10. İkinci bir kayıt kümesi eklemek için +Kayıt kümesi'ne yeniden tıklayın.

  11. Kayıt kümesi ekle penceresinde aşağıdaki değerleri girin:

    Ayar Eylem
    Ad @ girin.
    Tür Adres Kaydı'nı seçin.
    TTL Varsayılan değerleri koruyun.
    TTL birimi Varsayılan değerleri koruyun.
    IP Adresi Önceki bölümde yer alan Container Apps Ortamının staticIp özelliğini girin.

  12. Kayıt kümesini oluşturmak için Tamam'ı seçin.

  13. Sayfanın sol tarafındaki menüden Sanal ağ bağlantıları penceresini seçin.

  14. Aşağıdaki değerlere sahip yeni bir bağlantı oluşturmak için +Ekle'yi seçin:

    Ayar Eylem
    Bağlantı adı my-custom-vnet-pdns-link girin.
    Sanal ağın kaynak kimliğini biliyorum İşaretsiz bırakın.
    Sanal ağ Kapsayıcı uygulamanızın tümleşik olduğu sanal ağı seçin.
    Otomatik kaydı etkinleştir İşaretsiz bırakın.

  15. Sanal ağ bağlantısını oluşturmak için Tamam'ı seçin.

Azure Application Gateway oluşturma ve yapılandırma

Temel Bilgiler sekmesi

  1. Proje ayrıntıları bölümüne aşağıdaki değerleri girin.

    Ayar Eylem
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Kapsayıcı uygulamanız için kaynak grubunu seçin.
    Uygulama ağ geçidi adı my-container-apps-agw girin.
    Region Kapsayıcı Uygulamanızın sağlandığı konumu seçin.
    Katman WAF V2'yi seçin. WAF'ye ihtiyacınız yoksa Standart V2'yi kullanabilirsiniz.
    Otomatik ölçeklendirmeyi etkinleştirme Varsayılan değerde bırakın. Üretim ortamları için otomatik ölçeklendirme önerilir. Bkz. otomatik ölçeklendirme Azure Uygulaması lication Gateway.
    Availability zone Hiçbiri seçeneğini belirtin. Üretim ortamlarında daha yüksek kullanılabilirlik için Kullanılabilirlik Alanları önerilir.
    HTTP2 Varsayılan değeri değiştirmeyin.
    WAF İlkesi Yeni oluştur'u seçin ve WAF İlkesi için my-waf-policy girin. Tamam'ı seçin. Katman için Standart V2'yi seçtiyseniz bu adımı atlayın.
    Sanal ağ Kapsayıcı uygulamanızın tümleşik olduğu sanal ağı seçin.
    Alt ağ Alt ağ yapılandırmasını yönet'i seçin. Kullanmak istediğiniz bir alt ağınız zaten varsa, bunun yerine bunu kullanın ve Ön Uçlar bölümüne atlayın.

  2. my-custom-vnet'in Alt Ağlar penceresinde +Alt Ağ'ı seçin ve aşağıdaki değerleri girin:

    Ayar Eylem
    Ad appgateway-subnet girin.
    Alt ağ adres aralığı Varsayılan değerleri koruyun.

  3. Ayarların geri kalanı için varsayılan değerleri koruyun.

  4. Yeni alt ağı oluşturmak için Kaydet'i seçin.

  5. Uygulama ağ geçidi oluştur penceresine dönmek için Alt Ağlar penceresini kapatın.

  6. Aşağıdaki değerleri seçin:

    Ayar Eylem
    Alt ağ Oluşturduğunuz appgateway-subnet öğesini seçin.

  7. Devam etmek için İleri: Ön uçlar'ı seçin.

Ön uçlar sekmesi

  1. Ön Uçlar sekmesinde aşağıdaki değerleri girin:

    Ayar Eylem
    Ön uç IP adresi türü Genel’i seçin.
    Genel IP adresi Yeni ekle'yi seçin. Ön ucunuzun adı için my-frontend girin ve Tamam'ı seçin

    Dekont

    Application Gateway v2 SKU'su için Genel ön uç IP'sinin olması gerekir. Hem genel hem de özel ön uç IP yapılandırmasına sahip olabilirsiniz, ancak genel IP olmayan yalnızca özel ön uç IP yapılandırması şu anda v2 SKU'da desteklenmediğinden. Daha fazla bilgi edinmek için burayı okuyun.

  2. İleri: Arka uçlar'ı seçin.

Arka uçlar sekmesi

Arka uç havuzu, istekleri uygun arka uç sunucularına yönlendirmek için kullanılır. Arka uç havuzları aşağıdaki kaynakların herhangi bir bileşiminden oluşabilir:

  • NIC’ler
  • Genel IP adresleri
  • İç IP adresleri
  • Sanal Makine Ölçek Kümeleri
  • Tam etki alanı adları (FQDN)
  • Azure Uygulaması Hizmeti ve Container Apps gibi çok kiracılı arka uçlar

Bu örnekte, kapsayıcı uygulamanızı hedefleyen bir arka uç havuzu oluşturacaksınız.

  1. Arka uç havuzu ekle'yi seçin.

  2. Yeni bir sekme açın ve kapsayıcı uygulamanıza gidin.

  3. Kapsayıcı Uygulamasının Genel Bakış penceresinde Uygulama Url'sini bulun ve kopyalayın.

  4. Arka uçlar sekmesine dönün ve Arka uç havuzu ekle penceresine aşağıdaki değerleri girin:

    Ayar Eylem
    Ad my-agw-backend-pool girin.
    Hedefleri olmayan arka uç havuzu ekleme Hayır'ı seçin.
    Hedef türü IP adresi veya FQDN'yi seçin.
    Hedef Kopyaladığınız Container App Uygulama Url'sini girin ve https:// ön ekini kaldırın. Bu konum, kapsayıcı uygulamanızın FQDN'sini gösterir.

  5. Ekle'yi seçin.

  6. Arka Uçlar sekmesinde İleri: Yapılandırma'yı seçin.

Yapılandırma sekmesi

Yapılandırma sekmesinde, oluşturduğunuz ön uç ve arka uç havuzunu bir yönlendirme kuralı kullanarak bağlarsınız.

  1. Yönlendirme kuralı ekle'yi seçin. Aşağıdaki değerleri girin:

    Ayar Eylem
    Ad my-agw-routing-rule girin.
    Öncelik 1 girin.

  2. Dinleyici sekmesinde aşağıdaki değerleri girin:

    Ayar Eylem
    Dinleyici adı My-agw-listener yazın.
    Ön uç IP adresi Genel’i seçin.
    Protokol HTTPS'yi seçin. Kullanmak istediğiniz bir sertifikanız yoksa HTTP'yi seçebilirsiniz
    Bağlantı noktası 443 girin. Protokolünüzün HTTP'sini seçtiyseniz 80 girin ve varsayılan/özel etki alanı bölümüne atlayın.
    Sertifika Seçin Sertifikayı karşıya yükle'yi seçin. Sertifikanız Key Vault'ta depolanıyorsa Key Vault'tan sertifika seçin'i seçebilirsiniz.
    Sertifika adı Sertifikanız için bir ad girin.
    PFX sertifika dosyası Geçerli genel sertifikanızı seçin.
    Password Sertifika parolanızı girin.

    Varsayılan etki alanını kullanmak istiyorsanız aşağıdaki değerleri girin:

    Ayar Eylem
    Dinleyici Türü Temel'i seçin
    Hata sayfası URL'si Hayır olarak bırak

    Alternatif olarak, özel bir etki alanı kullanmak istiyorsanız aşağıdaki değerleri girin:

    Ayar Eylem
    Dinleyici Türü Çoklu site'yi seçin
    Host type Tek Seç
    Konak Adları Kullanmak istediğiniz Özel Etki Alanını girin.
    Hata sayfası URL'si Hayır olarak bırak

  3. Arka uç hedefleri sekmesini seçin ve aşağıdaki değerleri girin:

  4. Arka uç hedefleri sekmesine geçiş yapın ve aşağıdaki değerleri girin:

    Ayar Eylem
    Hedef türü Daha önce oluşturduğunuz my-agw-backend-pool öğesini seçin.
    Arka uç ayarları Yeni ekle'yi seçin.

  5. Arka uç ayarı ekle penceresinde aşağıdaki değerleri girin:

    Ayar Eylem
    Arka uç ayarları adı my-agw-backend-setting girin.
    Arka uç protokolü HTTPS'yi seçin.
    Arka uç bağlantı noktası 443 girin.
    İyi bilinen CA sertifikası kullanma Evet'i seçin.
    Yeni ana bilgisayar adıyla geçersiz kıl Evet'i seçin.
    Ana bilgisayar adı geçersiz kılma Arka uç hedefinden konak adını seçin'i seçin.
    Özel yoklamalar oluşturma Hayır'ı seçin.

  6. Arka uç ayarlarını eklemek için Ekle'yi seçin.

  7. Yönlendirme kuralı ekle penceresinde Yeniden Ekle'yi seçin.

  8. İleri: Etiketler'i seçin.

  9. İleri: gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

Application Gateway'inizin sanal ağ üzerinden arka uçta Container App'inizle iletişim kurmasına olanak sağladığından özel bağlantı oluşturarak yalnızca iç kapsayıcı uygulaması ortamlarına güvenli bir bağlantı kurabilirsiniz.

  1. Application Gateway oluşturulduktan sonra Kaynağa git'i seçin.

  2. Soldaki menüden Özel bağlantı'yı ve ardından Ekle'yi seçin.

  3. Aşağıdaki değerleri girin:

    Ayar Eylem
    Ad my-agw-private-link girin.
    Özel bağlantı alt ağı Özel bağlantıyı oluşturmak istediğiniz alt ağı seçin.
    Ön Uç IP Yapılandırması Application Gateway'iniz için ön uç IP'sini seçin.

  4. Özel IP adresi ayarları'nın altında Ekle'yi seçin.

  5. Pencerenin alt kısmındaki Ekle'yi seçin.

Kapsayıcı uygulamasını doğrulama

  1. Uygulama ağ geçidinin genel IP adresini Genel Bakış sayfasında bulabilir veya adresi arayabilirsiniz. Arama yapmak için Tüm kaynaklar'ı seçin ve arama kutusuna my-container-apps-agw-pip yazın. Ardından arama sonuçlarında IP'yi seçin.

  2. Uygulama ağ geçidinin genel IP adresine gidin.

  3. İsteğiniz otomatik olarak kapsayıcı uygulamasına yönlendirilir ve bu da uygulama ağ geçidinin başarıyla oluşturulduğunu doğrular.

Kaynakları temizleme

Oluşturduğunuz kaynaklara artık ihtiyacınız kalmadığında kaynak grubunu silin. Kaynak grubunu sildiğinizde, tüm ilgili kaynakları da kaldırırsınız.

Kaynak grubunu silmek için:

  1. Azure portalı menüsünde Kaynak grupları'nı seçin veya Kaynak grupları'nı arayıp seçin.

  2. Kaynak grupları sayfasında my-container-apps öğesini arayın ve seçin.

  3. Kaynak grubu sayfasında Kaynak grubunu sil'i seçin.

  4. KAYNAK GRUBU ADI YAZıN bölümüne my-container-apps yazın ve Sil'i seçin

Sonraki adımlar

Azure Container Apps'te Azure Güvenlik Duvarı