Aracılığıyla paylaş

ILB App Service Ortamınızı Azure Application Gateway ile Tümleştirme

App Service Ortamı, müşterinin Azure sanal ağının alt ağında Azure Uygulaması Hizmeti dağıtımıdır. Uygulama erişimi için bir dış veya iç uç nokta ile dağıtılabilir. İç uç nokta ile App Service Ortamı dağıtımına iç yük dengeleyici (ILB) App Service Ortamı adı verilir.

Web uygulaması güvenlik duvarları SQL eklemelerini, Siteler Arası Betikleri, kötü amaçlı yazılım yüklemelerini ve uygulama DDoS'larını ve diğer saldırıları engellemek için gelen web trafiğini inceleyerek web uygulamalarınızın güvenliğini sağlamaya yardımcı olur. Azure Marketplace'den bir WAF cihazı alabilir veya Azure Application Gateway'i kullanabilirsiniz.

Azure Uygulama Ağ Geçidi, katman 7 yük dengeleme, TLS deşarj etme ve web uygulaması güvenlik duvarı (WAF) koruması sağlayan bir sanal gereçtir. Genel IP adresini dinleyebilir ve trafiği uygulama uç noktanıza yönlendirebilir. Aşağıdaki bilgiler, WAF yapılandırmalı bir uygulama ağ geçidini ILB Uygulama Hizmeti Çalışma Ortamındaki bir uygulamayla tümleştirmeyi açıklar.

Uygulama ağ geçidinin ILB App Service Ortamı ile tümleştirilmesi uygulama seviyesinde gerçekleştirilir. Uygulama ağ geçidini ILB App Service Ortamı yapılandırdığınızda, bunu ILB App Service Ortamı belirli uygulamalar için yaparsınız.

Üst düzey tümleştirme diyagramının ekran görüntüsü

Bu bölümde şunları yapacaksınız:

  • Azure Uygulama Ağ Geçidi oluşturun.
  • Uygulama ağ geçidini, ILB App Service Ortamı'ndaki bir uygulamaya yönlendirilecek şekilde yapılandırın.
  • Uygulama ağ geçidinize işaret eden genel DNS ana bilgisayar adını düzenleyin.

Önkoşullar

Uygulama ağ geçidinizi ILB App Service Ortamı ile tümleştirmek için şunları yapmanız gerekir:

  • An ILB App Service Environment.
  • ILB App Service Ortamı için özel bir DNS bölgesi.
  • ILB App Service Ortamı çalışan bir uygulama.
  • Uygulama ağ geçidiniz için genel bir DNS adı.
  • Uygulama ağ geçidinde TLS şifrelemesi kullanmanız gerekiyorsa, uygulama ağ geçidinize bağlanmak için kullanılan geçerli bir genel sertifika gereklidir.

ILB App Service Environment

ILB App Service Ortamı oluşturma hakkında ayrıntılı bilgi için bkz. Azure portalında App Service Ortamı Oluşturma ve Azure Resource Manager şablonu ile App Service Ortamı Oluşturma.

  • ILB App Service Ortamı oluşturulduktan sonra varsayılan etki alanı <YourAseName>.appserviceenvironment.net olarak belirlenir.

    Screenshot of ILB App Service Environment Overview.

  • Gelen erişim için bir iç yük dengeleyici sağlanır. You can check the Inbound address in the IP addresses under App Service Environment Settings. Daha sonra bu IP adresine eşlenmiş bir özel DNS bölgesi oluşturabilirsiniz.

    ILB App Service Ortamı IP adresleri ayarlarından gelen adresi alma işleminin ekran görüntüsü.

Özel DNS bölgesi

İç ad çözümlemesi için özel bir DNS bölgesi gerekir. Aşağıdaki tabloda gösterilen kayıt kümelerini kullanarak App Service Ortamı adını kullanarak oluşturun (yönergeler için bkz. Hızlı Başlangıç - Azure portalını kullanarak Azure özel DNS bölgesi oluşturma).

Adı Type Value
* A App Service Environment inbound address
@ A App Service Environment inbound address
@ SOA App Service Environment DNS name
*.scm A App Service Environment inbound address

App Service on ILB App Service Environment

ILB App Service Ortamınızda bir App Service Planı ve uygulama oluşturmanız gerekir. Uygulamayı portalda oluştururken Bölge olarak ILB App Service Ortamı'nı seçin.

Uygulama ağ geçidine genel DNS adı

İnternet'ten uygulama ağ geçidine bağlanmak için yönlendirilebilir bir etki alanı adı gerekir. In this case, I used a routable domain name asabuludemo.com and planning to connect to an App Service with this domain name app.asabuludemo.com. Uygulama ağ geçidi oluşturulduktan sonra bu uygulama etki alanı adına eşlenen IP adresinin Application Gateway Public IP adresi olarak ayarlanması gerekmektedir. Uygulama ağ geçidine eşlenmiş bir genel etki alanı ile App Service'te özel bir etki alanı yapılandırmanız gerekmez. You can buy a custom domain name with App Service Domains.

Geçerli bir umumi sertifika

Güvenlik geliştirmesi için, oturum şifrelemesi için bir TLS sertifikası bağlayın. TLS sertifikasını uygulama ağ geçidine bağlamak için aşağıdaki bilgileri içeren geçerli bir genel sertifika gereklidir. App Service sertifikaları ile bir TLS sertifikası satın alabilir ve .pfx formatında dışa aktarabilirsiniz.

Adı Value Açıklama
Common Name <yourappname>.<yourdomainname>, örneğin: app.asabuludemo.com
veya *.<yourdomainname>, örneğin: *.asabuludemo.com		 A standard certificate or a wildcard certificate for the application gateway
Konu Alternatif Adı <yourappname>.scm.<yourdomainname>, örneğin: app.scm.asabuludemo.com
veya *.scm.<yourdomainname>, örneğin: *.scm.asabuludemo.com		 App Service kudu hizmetine bağlanmaya izin veren SAN. App Service kudu hizmetini İnternet'e yayımlamak istemiyorsanız bu isteğe bağlı bir ayardır.

Sertifika dosyasında özel bir anahtar bulunmalı ve .pfx formatında kaydedilmelidir. Sertifika daha sonra uygulama ağ geçidine aktarılır.

Uygulama ağ geçidi oluşturma

Temel uygulama ağ geçidi oluşturma işlemi için Öğretici: Azure portalını kullanarak Web Uygulaması Güvenlik Duvarı ile uygulama ağ geçidi oluşturma makalesine bakın.

Bu öğreticide, ILB App Service Ortamı ile bir uygulama ağ geçidi oluşturmak için Azure portalını kullanacağız.

Azure portalında Yeni>>Uygulama Ağ Geçidi'ni seçerek bir uygulama ağ geçidi oluşturun.

  1. Temel ayarlar

    Katman açılır listesinden Standart V2 veya WAF V2'yi seçerek uygulama ağ geçidinde WAF özelliğini etkinleştirebilirsiniz.

  2. Frontends setting

    Ön uç IP adresi türünü Genel, Özel veya Her İkisi olarak seçin. Özel veya Her İkisi olarak ayarlarsanız, uygulama ağ geçidi alt ağ aralığında statik bir IP adresi atamanız gerekir. In this case, we set to Public IP for public endpoint only.

    • Genel IP adresi - Uygulama ağ geçidi genel erişimi için bir genel IP adresi ilişkilendirmeniz gerekir. Bu IP adresini kaydedin, daha sonra DNS hizmetinize bir kayıt eklemeniz gerekir.

      Uygulama ağ geçidi ön uçları ayarından genel IP adresi alma işleminin ekran görüntüsü.

  3. Backends setting

    Bir arka uç havuzu adı girin ve Hedef türü olarak Uygulama Hizmetleri veya IP adresi ya da FQDN seçin. Bu durumda, Uygulama hizmetleri olarak ayarlıyoruz ve hedef açılan listeden Uygulama Hizmeti adını seçiyoruz.

    Arka uç ayarlarında bir arka uç havuzu adının eklenme ekran görüntüsü.

  4. Yapılandırma ayarı

    Yapılandırma ayarı'nda, Yönlendirme kuralı ekle simgesini seçerek bir yönlendirme kuralı eklemeniz gerekir.

    Yapılandırma ayarına yönlendirme kuralı ekleme ekran görüntüsü.

    Bir yönlendirme kuralında Dinleyici ve Arka uç hedefleri yapılandırmanız gerekir. Kavram kanıtı dağıtımı için bir HTTP dinleyicisi ekleyebilir veya güvenlik geliştirmesi için bir HTTPS dinleyicisi ekleyebilirsiniz.

    • HTTP protokolü ile uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz.

      Parameter Value Açıklama
      Kural adı Örneğin: http-routingrule Yönlendirme adı
      Dinleyici adı Örneğin: http-listener Dinleyici adı
      Frontend IP Public İnternet erişimi için Genel olarak ayarlayın
      Protokol HTTP Don't use TLS encryption
      Liman 80 Varsayılan HTTP Bağlantı Noktası
      Dinleyici türü Çoklu site Uygulama ağ geçidinde birden çok siteyi dinlemeye izin ver
      Sunucu türü Multiple/Wildcard Set to multiple or wildcard website name if listener type is set to multi-sites.
      Konak adı Örneğin: app.asabuludemo.com Set to a routable domain name for App Service

      Uygulama ağ geçidi Yönlendirme Kuralı'nın HTTP Dinleyicisi'nin ekran görüntüsü.

    • TLS şifrelemesi ile uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz:

      Parameter Value Açıklama
      Kural adı Örneğin: https-routingrule Yönlendirme adı
      Dinleyici adı Örneğin: https-listener Dinleyici adı
      Frontend IP Public İnternet erişimi için Genel olarak ayarlayın
      Protokol HTTPS TLS şifrelemesi kullanma
      Liman 443 Varsayılan HTTPS Bağlantı Noktası
      Https Ayarları Bir sertifika yükleyin .pfx formatında CN ve özel anahtarla birlikte bir sertifika yükleyin.
      Dinleyici türü Çoklu site Uygulama ağ geçidinde birden çok siteyi dinlemeye izin ver
      Sunucu türü Multiple/Wildcard Set to multiple or wildcard website name if listener type is set to multi-sites.
      Konak adı Örneğin: app.asabuludemo.com Set to a routable domain name for App Service

      HTTPS listener of the application gateway Routing Rule.

    • Arka uç hedeflerinde bir Arka Uç Havuzu ve HTTP ayarı yapılandırmanız gerekir. Arka uç havuzu daha önceki adımlarda yapılandırıldı. HTTP ayarı eklemek için Yeni bağlantı ekle'yi seçin.

      H T T P ayarı eklemek için yeni bağlantı ekleme ekran görüntüsü.

    • Aşağıdaki tabloda listelenen HTTP ayarları:

      Parameter Value Açıklama
      HTTP ayarı adı Örneğin: https-setting HTTP ayarı adı
      Arka uç protokolü HTTPS TLS şifrelemesi kullanma
      Arka uç bağlantı noktası 443 Varsayılan HTTPS Bağlantı Noktası
      İyi bilinen CA sertifikası kullanma Yes The default domain name of ILB App Service Environment is .appserviceenvironment.net. Bu alan adının sertifikası, güvenilir bir kök kamu otoritesi tarafından verilmiştir. Güvenilen kök sertifika ayarında, iyi bilinen CA güvenilen kök sertifikasını kullanacak şekilde ayarlayabilirsiniz.
      Override with new host name Yes The host name header is overwritten on connecting to the app on ILB App Service Environment
      Host name override Pick host name from backend target When setting backend pool to App Service, you can pick host from backend target
      Özel yoklamalar oluşturma Hayır Varsayılan sağlık denetleyicisini kullan

      **H T T P ayarı ekle** iletişim kutusunun ekran görüntüsü.

Uygulama ağ geçidi tümleştirmesini, ILB App Service Ortamı ile yapılandırın.

Uygulama ağ geçidinden ILB App Service Ortamı erişmek için özel DNS bölgesine sanal ağ bağlantısı olup olmadığını denetlemeniz gerekir. Uygulama ağ geçidinizin sanal ağına bağlı bir sanal ağ yoksa, aşağıdaki adımları içeren bir sanal ağ bağlantısı ekleyin.

  • Sanal ağ bağlantısını özel DNS bölgesiyle yapılandırmak için özel DNS bölgesi yapılandırma düzlemine gidin. Sanal ağ bağlantılarını seçin>Ekle

Özel DNS bölgesine bir sanal ağ bağlantısı ekleyin.

  • Bağlantı adını girin ve uygulama ağ geçidinin bulunduğu ilgili aboneliği ve sanal ağı seçin.

Özel DNS bölgesinde sanal ağ bağlantı ayarlarına ilişkin giriş bağlantı adı ayrıntılarının ekran görüntüsü.

  • Arka uç sistem durumunu uygulama ağ geçidi düzleminde Arka uç sistem durumundan doğrulayabilirsiniz.

Screenshot of confirm the backend health status from backend health.

Genel DNS kaydı ekleme

İnternet'ten uygulama ağ geçidine erişim için uygun bir DNS eşlemesi yapılandırmanız gerekir.

  • Uygulama ağ geçidinin genel IP adresi, uygulama ağ geçidi düzlemindeki Ön uç IP yapılandırmalarında bulunabilir.

Uygulama ağ geçidi ön uç IP adresi Ön uç IP yapılandırmasında bulunabilir.

  • Örnek olarak Azure DNS hizmetini kullanın, uygulama etki alanı adını uygulama ağ geçidinin genel IP adresine eşlemek için bir kayıt kümesi ekleyebilirsiniz.

Uygulama etki alanı adını uygulama ağ geçidinin genel IP adresine eşlemek için bir kayıt kümesi ekleme işleminin ekran görüntüsü.

Bağlantıyı doğrulama

  • On a machine access from internet, you can verify the name resolution for the app domain name to the application gateway public IP address.

komut isteminden ad çözümlemesini doğrulayın.

  • İnternet'ten makine erişiminde, tarayıcıdan web erişimini test edin.

Tarayıcıyı açma, web'e erişim ekran görüntüsü.