Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure App Service uygulamalarınız için özel uç nokta kullanabilirsiniz. Özel uç nokta, özel ağınızda bulunan istemcilerin Azure Özel Bağlantı üzerinden bir uygulamaya güvenli bir şekilde erişmesini sağlar. Özel uç nokta, Azure sanal ağ adres alanınızdan bir IP adresi kullanır. Özel ağınızdaki bir istemci ile uygulama arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki Özel Bağlantı üzerinden gider. Bu yapılandırma, genel İnternet'ten etkilenmeyi ortadan kaldırır.
Uygulamanız için özel uç nokta kullandığınızda şunları yapabilirsiniz:
- Özel uç noktayı yapılandırırken uygulamanızın güvenliğini sağlayın ve genel ağ erişimini devre dışı bırakın; böylece genel kullanıma açık kalma ortadan kalkar.
- VPN veya ExpressRoute özel eşlemesi kullanarak sanal ağa bağlanan şirket içi ağlardan uygulamanıza güvenli bir şekilde bağlanın.
- Sanal ağınızdan veri sızdırmaktan kaçının.
Önemli
Windows ve Linux uygulamaları, kapsayıca sahip olup olmamasına bakılmaksızın, aşağıdaki App Service planlarında kullanılabilen özel uç noktalarla desteklenmiştir: Temel, Standart, PremiumV2, PremiumV3, PremiumV4, IsolatedV2, İşlevler Premium (bazen Elastik Premium planı olarak da adlandırılır).
Kavramsal genel bakış
Özel uç nokta, sanal ağınızdaki bir alt ağdaki App Service uygulamanız için bir ağ arabirimidir.
Uygulamanız için özel bir uç nokta oluşturduğunuzda, özel ağınızdaki istemciler ile uygulamanız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP Adresi atanır. Özel uç nokta ile uygulama arasındaki bağlantı güvenli bir Özel Bağlantı kullanır. Özel uç nokta yalnızca uygulamanıza gelen trafik için kullanılır. Giden trafik özel uç noktayı kullanmaz. Sanal ağ tümleştirme özelliği aracılığıyla giden trafiği ağınıza farklı bir alt ağa ekleyebilirsiniz.
Bir uygulamanın her slotu ayrı olarak yapılandırılır. Bir yuva için en fazla 100 özel uç nokta kullanabilirsiniz. Özel bir uç noktayı slotlar arasında paylaşamazsınız. Yuvanın subresource adı sites-<slot-name>’dir.
Özel uç noktayı takmak için kullandığınız alt ağ içinde başka kaynaklar olabilir. Ayrılmış boş bir alt ağa ihtiyacınız yoktur.
Özel uç noktayı uygulamanızdan farklı bir bölgeye de dağıtabilirsiniz.
Uyarı
Sanal ağ tümleştirme özelliği, özel uç noktayla aynı alt ağı kullanamaz.
Güvenlikle ilgili dikkat edilmesi gerekenler
Özel uç noktalar ve genel erişim bir uygulamada birlikte bulunabilir. Daha fazla bilgi için erişim kısıtlamalarına genel bakış konusuna bakın.
Yalıtımı sağlamak için, uygulamanızda özel uç noktaları etkinleştirdiğinizde genel ağ erişimini devre dışı bırakdığınızdan emin olun. Diğer bölgelerdeki sanal ağlar da dahil olmak üzere diğer sanal ağlarda ve alt ağlarda birden çok özel uç noktayı etkinleştirebilirsiniz.
Uygulamanızın erişim kısıtlama kuralları özel uç nokta üzerinden gelen trafik için değerlendirilmez. Sanal ağdan veri sızdırma riskini ortadan kaldırabilirsiniz. Hedefi "İnternet" veya "Azure hizmetleri" olarak belirten tüm ağ güvenlik grubu (NSG) kurallarını kaldırın.
İstemci kaynak IP'sini uygulamanızın web HTTP günlüklerinde bulabilirsiniz. Bu özellik, istemci IP özelliğini uygulamaya ileten iletim denetimi protokolü (TCP) ara sunucusu kullanılarak uygulanır. Daha fazla bilgi için bkz . TCP Ara Sunucusu v2 kullanarak bağlantı bilgilerini alma.
DNS (Alan Adı Sistemi)
App Service uygulamaları için özel uç nokta kullandığınızda, istenen URL uygulamanızın adresiyle eşleşmelidir. Varsayılan olarak, özel uç nokta olmadan web uygulamanızın genel adı kümenin kurallı adıdır. Örneğin, ad çözümlemesi şöyledir:
| Adı | Türü | Değer |
|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
Özel bir uç nokta dağıttığınızda, yöntem, etki alanı adı sistemi (DNS) kaydını kurallı isme işaret edecek şekilde günceller: mywebapp.privatelink.azurewebsites.net.
Örneğin, ad çözümlemesi şöyledir:
| Adı | Türü | Değer | Açıklama |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
|
mywebapp.privatelink.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
|
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
|
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
<--Bu genel IP sizin özel uç noktanız değil. 403 hatası alıyorsunuz. |
Özel bir DNS sunucusu veya Azure DNS özel bölgesi ayarlamanız gerekir. Testler için test makinenizin host dosyasını değiştirebilirsiniz. Oluşturmanız gereken DNS bölgesi: privatelink.azurewebsites.net. Uygulamanızın kaydını bir A kayıt ve özel uç nokta IP'siyle kaydedin.
Azure Özel DNS Bölge Grupları ile DNS kayıtları otomatik olarak Özel DNS bölgesine eklenir.
Örneğin, ad çözümlemesi şöyledir:
| Adı | Türü | Değer | Açıklama |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
<--Azure bu CNAME girdiyi Azure Genel DNS'de oluşturarak uygulama adresini özel uç nokta adresine yönlendirir. |
mywebapp.privatelink.azurewebsites.net |
A |
10.10.10.8 |
<--Özel uç nokta IP adresinize işaret etmek için bu girdiyi DNS sisteminizde yönetirsiniz. |
Bu DNS yapılandırmasını ayarladığınızda, uygulamanıza varsayılan adı olan mywebapp.azurewebsites.net ile özel olarak erişebilirsiniz. Bu adı kullanmanız gerekir, çünkü varsayılan sertifika *.azurewebsites.net için verildi.
Özel alan adı
Uygulamanıza özel bir alan adı eklemeniz gerekiyorsa, özel adınızı ekleyin. Genel DNS çözümlemesini kullanarak özel adı herhangi bir özel ad gibi doğrulamanız gerekir. Daha fazla bilgi için bkz . özel DNS doğrulaması.
Özel DNS bölgenizde, DNS kaydını özel uç noktaya işaret eden şekilde güncelleştirmeniz gerekir. Uygulamanız varsayılan ana bilgisayar adı için DNS çözümlemesiyle zaten yapılandırılmışsa, tercih edilen yol, özel etki alanı için CNAME kaydını mywebapp.azurewebsites.net öğesine işaret edecek şekilde eklemektir. Özel etki alanı adının yalnızca özel uç noktaya çözümlenmesi istiyorsanız, doğrudan özel uç nokta IP'sine sahip bir A kayıt ekleyebilirsiniz.
Kudu/scm uç noktası
Kudu konsolu veya Kudu REST API için (örneğin, Azure DevOps Services şirket içinde barındırılan aracılarla dağıtım için) Azure DNS özel bölgenizdeki veya özel DNS sunucunuzdaki özel uç nokta IP'sine işaret eden ikinci bir kayıt oluşturmanız gerekir. Birincisi uygulamanız için, ikincisi ise uygulamanızın SCM'sine (kaynak denetimi yönetimi) yöneliktir. Azure Özel DNS Bölgesi gruplarıyla scm uç noktası otomatik olarak eklenir.
| Adı | Türü | Değer |
|---|---|---|
mywebapp.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
mywebapp.scm.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
v3 App Service Ortamı için özel dikkate alınması gerekenler
IsolatedV2 planında (App Service Ortamı v3) barındırılan uygulamalar için özel uç noktayı etkinleştirmek için özel uç nokta desteğini App Service Ortamı düzeyinde etkinleştirin. App Service Ortamı yapılandırma bölmesindeki Azure portalını kullanarak veya aşağıdaki CLI aracılığıyla özelliği etkinleştirebilirsiniz:
az appservice ase update --name myasename --allow-new-private-endpoint-connections true
Belirli gereksinimler
Sanal ağ uygulamadan farklı bir abonelikteyse, sanal ağa sahip aboneliğin kaynak sağlayıcısı için Microsoft.Web kayıtlı olduğundan emin olun. Sağlayıcıyı açıkça kaydetmek için Kaynak sağlayıcısını kaydetme bölümüne bakın. Bir abonelikte ilk web uygulamasını oluşturduğunuzda sağlayıcıyı otomatik olarak kaydedersiniz.
Fiyatlandırma
Fiyatlandırma ayrıntıları için bkz. Azure Özel Bağlantı fiyatlandırma.
Sınırlamalar
- Elastik Premium planında özel uç nokta ile bir Azure işlevi kullandığınızda, işlevi Azure portalında çalıştırmak için doğrudan ağ erişimine sahip olmanız gerekir. Aksi takdirde, bir HTTP 403 hatası alırsınız. İşlevi Azure portalından çalıştırmak için tarayıcınızın özel uç noktaya ulaşabilmesi gerekir.
- Belirli bir uygulamaya en fazla 100 özel uç nokta bağlayabilirsiniz.
- Uzaktan hata ayıklama işlevi özel uç nokta üzerinden kullanılamaz. Kodu bir yuvaya dağıtmanızı ve orada uzaktan hata ayıklamanızı öneririz.
- FTP erişimi, gelen genel IP adresi üzerinden sağlanır. Özel uç nokta, uygulamaya FTP erişimini desteklemez.
- IP tabanlı TLS, özel uç noktalarda desteklenmez.
- Özel uç noktalarla yapılandırdığınız uygulamalar, hizmet uç noktası etkinleştirilmiş alt ağlardan
Microsoft.Webgelen genel trafiği alamaz ve hizmet uç noktası tabanlı erişim kısıtlama kurallarını kullanamaz. - Özel uç nokta adlandırma türündeki kaynaklar
Microsoft.Network/privateEndpointsiçin tanımlanan kurallara uymalıdır. Daha fazla bilgi için bkz . Adlandırma kuralları ve kısıtlamaları.
Sınırlamalar hakkında up-totarihi itibarıyla bilgi için bu belgelere bakın.
İlgili içerik
- Hızlı Başlangıç: Azure portalını kullanarak özel uç nokta oluşturma
- Hızlı Başlangıç: Azure CLI kullanarak özel uç nokta oluşturma
- Hızlı Başlangıç: Azure PowerShell kullanarak özel uç nokta oluşturma
- Hızlı Başlangıç: ARM şablonu kullanarak özel uç nokta oluşturma
- Hızlı Başlangıç: Sanal ağ tümleştirmesi ve özel uç nokta ile ön uç uygulamasını güvenli bir arka uç uygulamasına bağlama şablonu
- Betik: İki web uygulamasını güvenli bir şekilde özel uç nokta ve sanal ağ entegrasyonu ile bağlama (Terraform)