Application Gateway hakkında sık sorulan sorular

Not

Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Azure Application Gateway hakkında sık sorulan sorular aşağıdadır.

Genel

Application Gateway Nedir?

Azure Application Gateway hizmet olarak bir uygulama teslim denetleyicisi (ADC) sağlar. Uygulamalarınız için çeşitli katman 7 yük dengeleme özellikleri sunar. Bu hizmet yüksek oranda kullanılabilir, ölçeklenebilir ve Azure tarafından tam olarak yönetilir.

Application Gateway hangi özellikleri destekler?

Application Gateway otomatik ölçeklendirme, TLS boşaltma ve uçtan uca TLS, bir web uygulaması güvenlik duvarı (WAF), tanımlama bilgisi tabanlı oturum benşimi, URL yolu tabanlı yönlendirme, çoklu site barındırma ve diğer özellikleri destekler. Desteklenen özelliklerin tam listesi için bkz. Application Gateway giriş.

Application Gateway ve Azure Load Balancer arasındaki fark nedir?

Application Gateway, katman 7 yük dengeleyicidir; yani yalnızca web trafiğiyle (HTTP, HTTPS, WebSocket ve HTTP/2) çalışır. TLS sonlandırma, tanımlama bilgisi tabanlı oturum benzitesi ve yük dengeleme trafiği için hepsini bir kez deneme gibi özellikleri destekler. Load Balancer, 4. katmandaki (TCP veya UDP) trafiğin yükünü dengeler.

Application Gateway hangi protokolleri destekler?

Application Gateway HTTP, HTTPS, HTTP/2 ve WebSocket'i destekler.

Application Gateway HTTP/2'i nasıl destekler?

Arka uç havuzunun bir parçası olarak hangi kaynaklar desteklenir?

Hangi bölgelerde Application Gateway kullanılabilir?

Application Gateway v1 (Standart ve WAF), küresel Azure'ın tüm bölgelerinde kullanılabilir. Azure China 21Vianet ve Azure Kamu'da da kullanılabilir.

Application Gateway v2 (Standard_v2 ve WAF_v2) kullanılabilirliği için bkz. Application Gateway v2 için desteklenen bölgeler

Bu dağıtım aboneliğim için ayrılmış mı yoksa müşteriler arasında mı paylaşılıyor?

Application Gateway, sanal ağınızdaki ayrılmış bir dağıtımdır.

Application Gateway HTTP'den HTTPS'ye yeniden yönlendirmeyi destekliyor mu?

Yeniden yönlendirme desteklenir. Bkz. yeniden yönlendirmeye genel bakış Application Gateway.

Dinleyiciler hangi sırada işlenir?

Application Gateway IP ve DNS'yi nerede bulabilirim?

Uç nokta olarak genel IP adresi kullanıyorsanız IP ve DNS bilgilerini genel IP adresi kaynağında bulabilirsiniz. Veya portalda, uygulama ağ geçidinin genel bakış sayfasında bulabilirsiniz. İç IP adresleri kullanıyorsanız bilgileri genel bakış sayfasında bulabilirsiniz.

v2 SKU'su için genel IP kaynağını açın ve Yapılandırma'yı seçin. DNS adını yapılandırmak için DNS ad etiketi (isteğe bağlı) alanı kullanılabilir.

Keep-Alive zaman aşımı ve TCP boşta kalma zaman aşımı ayarları nelerdir?

Etkin Tutma zaman aşımı, Application Gateway yeniden kullanmadan veya kapatmadan önce istemcinin kalıcı bir bağlantıda başka bir HTTP isteği göndermesini bekleyeceği süreyi yönetir. TCP boşta kalma zaman aşımı , etkinlik yoksa TCP bağlantısının ne kadar süre açık tutulduğunu yönetir.

Application Gateway v1 SKU'sunda Etkin Tutma zaman aşımı 120 saniye, v2 SKU'da ise 75 saniyedir. TCP boşta kalma zaman aşımı, Application Gateway hem v1 hem de v2 SKU'sunun ön uç sanal IP'sinde (VIP) 4 dakikalık varsayılandır. v1 ve v2 Application Gateway'lerde TCP boşta kalma zaman aşımı değerini 4 dakika ile 30 dakika arasında olacak şekilde yapılandırabilirsiniz. Hem v1 hem de v2 Application Gateway'ler için, Application Gateway genel IP'sine gitmeniz ve Portaldaki genel IP'nin "Yapılandırma" dikey penceresinin altında TCP boşta kalma zaman aşımını değiştirmeniz gerekir. Özel IP adresinin değerinin değiştirilmesi desteklenmez. Aşağıdaki komutları çalıştırarak PowerShell aracılığıyla genel IP'nin TCP boşta kalma zaman aşımı değerini ayarlayabilirsiniz:

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

Application Gateway v2 SKU'sunun ön uç IP adresine yapılan HTTP/2 bağlantıları için boşta kalma zaman aşımı 180 saniye olarak ayarlanır ve yapılandırılamaz.

Application Gateway kaynağımı yeniden adlandırabilir miyim?

Hayır. bir Application Gateway kaynağını yeniden adlandırmanın hiçbir yolu yoktur. Farklı bir ada sahip yeni bir kaynak oluşturmanız gerekir.

Silinmiş bir Application Gateway ve genel IP'sini geri yüklemenin bir yolu var mı?

Hayır. Bir Application Gateway kaynağını veya genel IP'sini silindikten sonra geri yüklemenin hiçbir yolu yoktur. Yeni bir kaynak oluşturmanız gerekir.

IP veya DNS adı, uygulama ağ geçidinin kullanım ömrü boyunca değişir mi?

Application Gateway V1 SKU'sunda, uygulama ağ geçidini durdurup başlattığınızda VIP değişebilir. Ancak uygulama ağ geçidiyle ilişkili DNS adı, ağ geçidinin kullanım ömrü boyunca değişmez. DNS adı değişmediğinden, bir CNAME diğer adı kullanmanız ve bunu uygulama ağ geçidinin DNS adresine yönlendirmeniz gerekir. Application Gateway V2 SKU'sunda IP adresini statik olarak ayarlayabilirsiniz, böylece IP ve DNS adı uygulama ağ geçidinin kullanım ömrü boyunca değişmez.

Application Gateway statik IP'yi destekliyor mu?

Evet, Application Gateway v2 SKU'su statik genel IP adreslerini ve statik iç IP'leri destekler. v1 SKU'su statik iç IP'leri destekler.

Application Gateway ağ geçidinde birden çok genel IP'yi destekliyor mu?

Uygulama ağ geçidi yalnızca bir genel IP adresini destekler.

Alt ağımı Application Gateway için ne kadar büyük yapmalıyım?

Tek bir alt ağa birden fazla Application Gateway kaynağı dağıtabilir miyim?

Evet. Belirli bir Application Gateway dağıtımının birden çok örneğine ek olarak, farklı bir Application Gateway kaynağı içeren mevcut bir alt ağa başka bir benzersiz Application Gateway kaynağı sağlayabilirsiniz.

Tek bir alt ağ hem v2 hem de v1 Application Gateway SKU'larını destekleyemez.

Application Gateway v2, kullanıcı tanımlı yolları (UDR) destekliyor mu?

Evet, ancak yalnızca belirli senaryolar. Daha fazla bilgi için bkz. altyapı yapılandırması Application Gateway.

Application Gateway x-forwarded-for üst bilgilerini destekliyor mu?

Bir uygulama ağ geçidinin dağıtılması ne kadar sürer? Uygulama ağ geçidim güncelleştirilirken çalışacak mı?

Yeni Application Gateway v1 SKU dağıtımlarının sağlanması 20 dakika kadar sürebilir. Örnek boyutu veya sayısındaki değişiklikler kesintiye neden olmaz ve ağ geçidi bu süre boyunca etkin kalır.

v2 SKU kullanan çoğu dağıtımın sağlanması yaklaşık 6 dakika sürer. Ancak, dağıtımın türüne bağlı olarak daha uzun sürebilir. Örneğin, birden çok örneği olan birden çok Kullanılabilirlik Alanları yapılan dağıtımlar 6 dakikadan fazla sürebilir.

Uygulama ağ geçidi rutin bakımı nasıl işler?

Application Gateway için başlatılan Güncelleştirmeler, ağ geçidinin dağıtıldığı bölgenin çalışma saatleri dışında bir kerede bir güncelleştirme etki alanı uygulanır. Her güncelleştirme etki alanının örnekleri güncelleştirildikçe, diğer güncelleştirme etki alanlarındaki kalan örnekler trafiğe hizmet etmeye devam eder. Etkin bağlantılar, güncelleştirme başlamadan önce farklı bir güncelleştirme etki alanındaki örneklere bağlantı kurulmasına yardımcı olmak için 5 dakikaya kadar güncelleştirilen örneklerden düzgün bir şekilde boşaltılır. Güncelleştirme sırasında Application Gateway, yapılandırılan örnek sayısına göre belirlenen azaltılmış maksimum kapasitede geçici olarak çalışır. Güncelleştirme işlemi, yalnızca geçerli örnek kümesi başarıyla yükseltildiyse sonraki örnek kümesine devam eder.

Application Gateway arka uç olarak Exchange Server kullanabilir miyim?

Application Gateway SMTP, IMAP ve POP3 gibi e-posta protokollerini desteklemez. OWA, ActiveSync ve AutoDiscovery trafiği gibi HTTP/HTTPS hizmetleri Application Gateway akabilir, ancak WAF sku'su kullanılıyorsa WAF dışlamaları gerekebilir.

v1 SKU'dan v2 SKU'ya geçiş için kullanılabilir yönergeler var mı?

Application Gateway v1 SKU'su desteklenmeye devam edecek mi?

Evet. Application Gateway v1 SKU'su desteklenmeye devam edecektir. Ancak, söz konusu SKU'daki özellik güncelleştirmelerinden yararlanmak için v2'ye geçmenizi kesinlikle öneririz. v1 ve v2 özellikleri arasındaki farklar hakkında daha fazla bilgi için bkz. Otomatik Ölçeklendirme ve Alanlar arası yedekli Application Gateway v2. v1-v2 geçiş belgemizi izleyerek Application Gateway v1 sku dağıtımlarını v2'ye el ile geçirebilirsiniz.

Application Gateway V2, NTLM kimlik doğrulamasıyla ara sunucu isteklerini destekliyor mu?

Hayır. Application Gateway V2, NTLM kimlik doğrulamasıyla ara sunucu isteklerini desteklemez.

İstekler uygulamama iletildiğinde neden bazı üst bilgi değerleri mevcut değil?

İstek üst bilgisi adları alfasayısal karakterler ve kısa çizgiler içerebilir. Arka uç hedefine bir istek gönderildiğinde, diğer karakterleri içeren istek üst bilgisi adları atılır. Yanıt üst bilgisi adları , rfc 7230'da tanımlanan alfasayısal karakterleri ve belirli simgeleri içerebilir; alt çizgi (_) dışında.

Application Gateway benşim tanımlama bilgisi SameSite özniteliğini destekliyor mu?

Evet, Chromium tarayıcıv80 güncelleştirmesi, SameSite özniteliği olmayan HTTP tanımlama bilgileri üzerinde SameSite=Lax olarak değerlendirilmesini zorunlu kılınmıştı. Bu, Application Gateway benzim tanımlama bilgisinin tarayıcı tarafından üçüncü taraf bağlamında gönderilmeyeceği anlamına gelir.

Bu senaryoyu desteklemek için Application Gateway mevcut ApplicationGatewayAffinity tanımlama bilgisine ek olarak ApplicationGatewayAffinityCORS adlı başka bir tanımlama bilgisi ekler. Bu tanımlama bilgileri benzerdir, ancak ApplicationGatewayAffinityCORS tanımlama bilgisine iki öznitelik daha eklenmiştir: SameSite=None; Güvenli. Bu öznitelikler, çıkış noktaları arası istekler için bile yapışkan oturumlar tutar. Daha fazla bilgi için tanımlama bilgisi tabanlı benzim bölümüne bakın.

Etkin dinleyici ile etkin olmayan dinleyici karşılaştırması ne olarak kabul edilir?

Etkin dinleyici, bir kuralla ilişkilendirilmiş ve arka uç havuzuna trafik gönderen bir dinleyicidir. Yalnızca trafiği yeniden yönlendiren dinleyiciler etkin bir dinleyici değildir. Yeniden yönlendirme kurallarıyla ilişkili dinleyiciler etkin olarak kabul edilmez. Yeniden yönlendirme kuralı yol tabanlı bir kuralsa, bu yeniden yönlendirme kuralındaki tüm yolların trafiği yeniden yönlendirmesi gerekir, aksi takdirde dinleyici etkin olarak kabul edilir. Bileşen sınırı ayrıntıları için bkz. Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar .

Performans

Application Gateway yüksek kullanılabilirliği ve ölçeklenebilirliği nasıl destekler?

Application Gateway v1 SKU'su, iki veya daha fazla örnek dağıttığınızda yüksek kullanılabilirlik senaryolarını destekler. Azure, örneklerin tümünün aynı anda başarısız olmamasını sağlamak için bu örnekleri güncelleştirme ve hata etki alanları arasında dağıtır. v1 SKU'su, yükü paylaşmak için aynı ağ geçidinin birden çok örneğini ekleyerek ölçeklenebilirliği destekler.

v2 SKU'su, yeni örneklerin hata etki alanlarına ve güncelleştirme etki alanlarına yayılmasını otomatik olarak sağlar. Alanlar arası yedekliliği seçerseniz, en yeni örnekler bölgesel hata dayanıklılığı sunmak için kullanılabilirlik alanlarına da yayılır.

Application Gateway kullanarak veri merkezleri arasında bir DR senaryosu Nasıl yaparım??

Trafiği farklı veri merkezlerindeki birden çok uygulama ağ geçidi arasında dağıtmak için Traffic Manager'ı kullanın.

Application Gateway bağlantı boşaltmayı destekliyor mu?

Evet. Arka uç havuzundaki üyeleri kesinti olmadan değiştirmek için bağlantı boşaltmayı ayarlayabilirsiniz. Daha fazla bilgi için Application Gateway bağlantı boşaltma bölümüne bakın.

Application Gateway otomatik ölçeklendirmeyi destekliyor mu?

Evet, Application Gateway v2 SKU'su otomatik ölçeklendirmeyi destekler. Daha fazla bilgi için bkz. Otomatik ölçeklendirme ve Alanlar arası yedekli Application Gateway.

El ile veya otomatik olarak ölçeği artırma veya azaltma kapalı kalma süresine neden oluyor mu?

Hayır. Örnekler, yükseltme etki alanları ve hata etki alanları arasında dağıtılır.

Kesinti olmadan Standart'tan WAF sku'ya geçiş yapabilir miyim?

Evet.

Kesinti olmadan örnek boyutunu ortadan büyüke değiştirebilir miyim?

Evet.

Yapılandırma

Application Gateway her zaman bir sanal ağa dağıtılır mı?

Evet. Application Gateway her zaman bir sanal ağ alt ağına dağıtılır. Bu alt ağ yalnızca uygulama ağ geçitlerini içerebilir. Daha fazla bilgi için bkz. sanal ağ ve alt ağ gereksinimleri.

Application Gateway sanal ağı dışındaki veya aboneliğinin dışındaki örneklerle iletişim kurabilir mi?

IP bağlantınız olduğu sürece, Application Gateway içinde yer alan sanal ağın dışındaki örneklerle iletişim kurabilir. Application Gateway, içinde yer alan aboneliğin dışındaki örneklerle de iletişim kurabilir. Arka uç havuzu üyeleri olarak iç IP'leri kullanmayı planlıyorsanız sanal ağ eşlemesini veya Azure VPN Gateway kullanın.

Uygulama ağ geçidi alt akında başka bir şey dağıtabilir miyim?

Hayır. Ancak alt ağda diğer uygulama ağ geçitlerini dağıtabilirsiniz.

Mevcut bir Application Gateway için sanal ağı veya alt ağı değiştirebilir miyim?

Bir Application Gateway yalnızca aynı sanal ağ içindeki alt ağlar arasında taşıyabilirsiniz. Genel ve özel ön uçlu V1 ve yalnızca genel ön uçlu V2 ile desteklenir. Bu eylemi gerçekleştirmek için Application Gateway Durduruldu durumunda olması gerektiğini de unutmayın. V1'i durdurmanın/başlatmanın genel IP'yi değiştireceğini unutmayın. Bu işlem yalnızca aşağıdaki komutlar çalıştırılarak Azure PowerShell ve Azure CLI kullanılarak gerçekleştirilebilir:

Azure PowerShell

$VNet = Get-AzVirtualNetwork -Name "<VNetName>" -ResourceGroupName "<ResourceGroup>"
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name "<NewSubnetName>" -VirtualNetwork $VNet
$AppGw = Get-AzApplicationGateway -Name "<ApplicationGatewayName>" -ResourceGroupName "<ResourceGroup>"
Stop-AzApplicationGateway -ApplicationGateway $AppGw
$AppGw = Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $AppGw -Name $AppGw.GatewayIPConfigurations.Name -Subnet $Subnet
#If you have a private frontend IP configuration, uncomment and run the next line:
#$AppGw = Set-AzApplicationGatewayFrontendIPConfig -Name $AppGw.FrontendIPConfigurations.Name[1] -Subnet $Subnet -ApplicationGateway $AppGw
Set-AzApplicationGateway -ApplicationGateway $AppGw

Daha fazla bilgi için bkz. Set-AzApplicationGatewayIPConfiguration.

Azure CLI

az network application-gateway stop -g <ResourceGroup> -n <ApplicationGatewayName>
az network application-gateway update -g <ResourceGroup> -n <ApplicationGatewayName> --set gatewayIpConfigurations[0].subnet.id=<subnetID>

Ağ güvenlik grupları uygulama ağ geçidi alt ağında destekleniyor mu?

Uygulama ağ geçidi alt ağı kullanıcı tanımlı yolları destekliyor mu?

Hizmet uç noktası ilkeleri Application Gateway alt asında destekleniyor mu?

Hayır. Depolama hesapları için hizmet uç noktası ilkeleri Application Gateway alt ağda desteklenmez ve bunu yapılandırmak Azure altyapı trafiğini engeller.

Application Gateway sınırları nelerdir? Bu sınırları artırabilir miyim?

Application Gateway hem dış hem de iç trafik için aynı anda kullanabilir miyim?

Evet. Application Gateway, uygulama ağ geçidi başına bir iç IP ve bir dış IP destekler.

Application Gateway sanal ağ eşlemesini destekliyor mu?

Evet. Sanal ağ eşlemesi, diğer sanal ağlardaki trafiğin yükünü dengelemeye yardımcı olur.

Şirket içi sunucularla ExpressRoute veya VPN tünelleri ile bağlandıklarında konuşabilir miyim?

Evet, trafiğe izin verildiğinde.

Bir arka uç havuzu farklı bağlantı noktalarında birçok uygulamaya hizmet verebilir mi?

Mikro hizmet mimarisi desteklenir. Farklı bağlantı noktalarını araştırmak için birden çok HTTP ayarı yapılandırmanız gerekir.

Özel yoklamalar yanıt verilerinde joker karakterleri veya regex'i destekliyor mu?

Hayır.

yönlendirme kuralları Application Gateway nasıl işlenir?

Özel yoklamalar için Konak alanı neyi ifade eder?

Ana Bilgisayar alanı, Application Gateway'de çoklu siteyi yapılandırdığınızda yoklamanın gönderilmeyen adını belirtir. Aksi takdirde '127.0.0.1' kullanın. Bu değer, sanal makine ana bilgisayar adından farklıdır. Biçimi protocol>://<host>:<port><yoludur<>.

Application Gateway yalnızca birkaç kaynak IP adresine erişim izni verebilir miyim?

Hem genel hem de özel kullanıma yönelik dinleyiciler için aynı bağlantı noktasını kullanabilir miyim?

Hayır.

Application Gateway IPv6'Application Gateway destekliyor mu?

Application Gateway v2 şu anda IPv6'ları desteklemez. Yalnızca IPv4 kullanılarak çift yığınlı bir sanal ağda çalışabilir, ancak ağ geçidi alt ağı yalnızca IPv4 olmalıdır. Application Gateway v1, çift yığınlı sanal ağları desteklemez.

Nasıl yaparım? yalnızca özel ön uç IP adresiyle Application Gateway V2 kullanıyor musunuz?

Application Gateway V2 şu anda yalnızca özel IP modunu desteklemez. Aşağıdaki birleşimleri destekler

  • Özel IP ve Genel IP
  • Yalnızca genel IP

Ancak Application Gateway V2'yi yalnızca özel IP ile kullanmak isterseniz aşağıdaki işlemi izleyebilirsiniz:

  1. Hem genel hem de özel ön uç IP adresiyle Application Gateway oluşturma

  2. Genel ön uç IP adresi için dinleyici oluşturmayın. Application Gateway, dinleyici oluşturulmadıysa genel IP adresi üzerindeki trafiği dinlemez.

  3. Application Gateway alt ağı için öncelik sırasına göre aşağıdaki yapılandırmaya sahip bir Ağ Güvenlik Grubu oluşturun ve ekleyin:

    a. GatewayManager hizmet etiketi olarak Kaynaktan gelen trafiğe ve Herhangi bir bağlantı noktası olarak Hedef ve 65200-65535 olarak Hedef bağlantı noktasına izin verin. Bu bağlantı noktası aralığı Azure altyapısı iletişimi için gereklidir. Bu bağlantı noktaları sertifika kimlik doğrulaması tarafından korunur (kilitlenir). Ağ Geçidi kullanıcı yöneticileri de dahil olmak üzere dış varlıklar, uygun sertifikalar olmadan bu uç noktalarda değişiklik başlatamaz

    b. Kaynaktan gelen trafiğe AzureLoadBalancer hizmet etiketi ve hedef bağlantı noktası olarak Any olarak izin ver

    c. Kaynaktan gelen tüm trafiği İnternet hizmet etiketi olarak ve hedef bağlantı noktasını Tümü olarak reddedin. Gelen kurallarında bu kurala en düşük önceliği verin

    d. Özel IP adresine erişimin engellenmemesi için VirtualNetwork'e gelen erişime izin verme gibi varsayılan kuralları koruyun

    e. Giden İnternet bağlantısı engellenemez. Aksi takdirde, günlüğe kaydetme, ölçümler vb. ile ilgili sorunlarla karşılaşırsınız.

Yalnızca özel IP erişimi için örnek NSG yapılandırması: yalnızca özel IP erişimi için Application Gateway V2 NSG Yapılandırması

Azure Application Gateway nasıl durdurup başlatabilirim?

Azure Application Gateway durdurmak ve başlatmak için Azure PowerShell veya Azure CLI'yi kullanabilirsiniz. Application Gateway durdurup başlattığınızda faturalama da durdurulur ve başlar.

# Stop an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Stop-AzApplicationGateway -ApplicationGateway $appGateway       
# Start an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Start-AzApplicationGateway -ApplicationGateway $appGateway           
# Stop an existing Azure Application Gateway instance

az network application-gateway stop -g MyResourceGroup -n MyAppGateway
# Start an existing Azure Application Gateway instance

az network application-gateway start -g MyResourceGroup -n MyAppGateway

Yapılandırma - TLS

Application Gateway hangi sertifikaları destekler?

Application Gateway otomatik olarak imzalanan sertifikaları, sertifika yetkilisi (CA) sertifikalarını, Genişletilmiş Doğrulama (EV) sertifikalarını, çok etki alanı (SAN) sertifikalarını ve joker sertifikaları destekler.

Application Gateway hangi şifre paketlerini destekler?

Application Gateway aşağıdaki şifre paketlerini destekler.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

TLS seçeneklerini özelleştirme hakkında bilgi için bkz. Application Gateway üzerinde TLS ilke sürümlerini ve şifre paketlerini yapılandırma.

Application Gateway arka uçtan trafiğin yeniden şifrelenmesini destekliyor mu?

Evet. Application Gateway, arka uca trafiği yeniden şifreleyen TLS yük boşaltma ve uçtan uca TLS'yi destekler.

TLS protokol sürümlerini denetlemek için TLS ilkesini yapılandırabilir miyim?

Evet. Application Gateway TLS1.0, TLS1.1 ve TLS1.2'yi reddedecek şekilde yapılandırabilirsiniz. Varsayılan olarak SSL 2.0 ve 3.0 zaten devre dışıdır ve yapılandırılamaz.

Şifre paketlerini ve ilke sırasını yapılandırabilir miyim?

Evet. Application Gateway'da şifre paketlerini yapılandırabilirsiniz. Özel bir ilke tanımlamak için aşağıdaki şifre paketlerinden en az birini etkinleştirin.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway arka uç yönetimi için SHA256 kullanır.

Application Gateway kaç TLS/SSL sertifikayı destekler?

Application Gateway en fazla 100 TLS/SSL sertifikasını destekler.

Application Gateway OCSP ve OCSP zımbalama desteği var mı?

Evet, Application Gateway OCSP uzantılarına sahip sertifikaları ve sunucu sertifikaları için OCSP zımbalamayı destekler.

Application Gateway arka uç yeniden şifrelemesi için kaç kimlik doğrulama sertifikası destekler?

Application Gateway en fazla 100 kimlik doğrulama sertifikasını destekler.

Application Gateway Azure Key Vault ile yerel olarak tümleştirilsin mi?

Evet, Application Gateway v2 SKU'su Key Vault destekler. Daha fazla bilgi için bkz. Key Vault sertifikalarıyla TLS sonlandırma.

.com ve .net siteleri için HTTPS dinleyicilerini yapılandırmak Nasıl yaparım??

Birden çok etki alanı tabanlı (konak tabanlı) yönlendirme için çok siteli dinleyiciler oluşturabilir, protokol olarak HTTPS kullanan dinleyiciler ayarlayabilir ve dinleyicileri yönlendirme kurallarıyla ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Application Gateway kullanarak birden çok site barındırma.

.pfx dosya parolamda özel karakterler kullanabilir miyim?

Hayır, .pfx dosya parolanızda yalnızca alfasayısal karakterler kullanın.

EV sertifikam DigiCert tarafından verildi ve ara sertifikam iptal edildi. Application Gateway'da sertifikamı yenilemek Nasıl yaparım??

Sertifika Yetkilisi (CA) Tarayıcı üyeleri yakın zamanda, müşterilerimizin, Microsoft ve genel olarak güvenilen CA'lar için endüstri standartlarına uygun olmayan daha büyük teknoloji topluluğunun kullandığı CA satıcıları tarafından verilen birden çok sertifikayı ayrıntılı olarak gösteren raporlar yayımladı. Uyumlu olmayan CA'larla ilgili raporlar burada bulunabilir:

Sektörün uyumluluk gereksinimlerine göre CA satıcıları uyumlu olmayan CA'ları iptal etmeye ve müşterilerin sertifikalarını yeniden vermelerini gerektiren uyumlu CA'ları vermeye başladı. Microsoft, Azure Hizmetleri üzerindeki olası etkiyi en aza indirmek için bu satıcılarla yakın işbirliği içindedir, ancak "Kendi Sertifikanızı Getir" (KCG) senaryolarında kullanılan kendi verdiği sertifikalarınız veya sertifikalarınız beklenmedik bir şekilde iptal edilme riskiyle karşı karşıyadır.

Uygulamanız tarafından kullanılan sertifikaların iptal edilmiş olup olmadığını denetlemek için DigiCert Duyurusu'na ve Sertifika İptal İzleyicisi'ne başvurun. Sertifikalarınız iptal edildiyse veya iptal edilecekse, uygulamalarınızda kullanılan CA satıcısından yeni sertifikalar istemeniz gerekir. Sertifikalar beklenmedik şekilde iptal edildiği için uygulamanızın kullanılabilirliğinin kesintiye uğramasını önlemek veya iptal edilmiş bir sertifikayı güncelleştirmek için LÜTFEN BYOC'yi destekleyen çeşitli Azure hizmetlerinin düzeltme bağlantıları için Azure güncelleştirmeleri gönderimize bakın: https://azure.microsoft.com/updates/certificateauthorityrevocation/

Belirli Application Gateway bilgi için aşağıya bakın -

İptal edilen ICA'lardan biri tarafından verilen bir sertifika kullanıyorsanız, uygulamanızın kullanılabilirliği kesintiye uğrayabilir ve uygulamanıza bağlı olarak aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli hata iletileri alabilirsiniz:

  1. Geçersiz sertifika/iptal edilen sertifika
  2. Bağlantı zaman aşımına uğradı
  3. HTTP 502

Bu sorun nedeniyle uygulamanızın kesintiye uğramasını önlemek veya iptal edilmiş bir CA'yı yeniden vermek için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

  1. Sertifikalarınızı yeniden verme hakkında sertifika sağlayıcınıza başvurun.
  2. Yeniden yayımlandıktan sonra, Azure Application Gateway/WAF üzerindeki sertifikalarınızı tam güven zinciriyle (yaprak, ara, kök sertifika) güncelleştirin. Sertifikanızı nerede kullandığınıza bağlı olarak, dinleyicide veya Application Gateway HTTP ayarlarında sertifikaları güncelleştirmek için aşağıdaki adımları izleyin ve daha fazla bilgi için bahsedilen belge bağlantılarını gözden geçirin.
  3. Arka uç uygulama sunucularınızı yeniden sağlanan sertifikayı kullanacak şekilde güncelleştirin. Kullandığınız arka uç sunucusuna bağlı olarak, sertifika güncelleştirme adımlarınız farklılık gösterebilir. Lütfen satıcınızdan gelen belgeleri denetleyin.

Dinleyicinizdeki sertifikayı güncelleştirmek için:

  1. Azure portal Application Gateway kaynağınızı açın.
  2. Sertifikanızla ilişkili dinleyici ayarlarını açın.
  3. "Seçili sertifikayı yenile veya düzenle"ye tıklayın.
  4. Yeni PFX sertifikanızı parolayla karşıya yükleyin ve Kaydet'e tıklayın.
  5. Web sitesine erişin ve sitenin beklendiği gibi çalışıp çalışmadığını doğrulayın. Daha fazla bilgi için bkz. Application Gateway sertifikalarını yenileme.

Application Gateway dinleyicinizde Azure KeyVault'tan sertifikalara başvuruyorsanız, hızlı bir değişiklik için aşağıdaki adımları öneririz:

  1. Azure portal Application Gateway ilişkili Azure KeyVault ayarlarınıza gidin.
  2. Yeniden sunulan sertifikayı deponuza ekleyin/içeri aktarın. Nasıl yapılır hakkında daha fazla bilgi için buradaki belgelere bakın.
  3. Sertifika içeri aktarıldıktan sonra, Application Gateway dinleyici ayarlarınıza gidin ve "Key Vault bir sertifika seçin" altında "Sertifika" açılan menüsüne tıklayın ve son eklenen sertifikayı seçin
  4. Kaydet'e tıklayın Key Vault sertifikalara sahip Application Gateway TLS sonlandırması hakkında daha fazla bilgi için bkz. Key Vault sertifikalarla TLS sonlandırma.

HTTP Ayarlarınızdaki sertifikayı güncelleştirmek için:

Application Gateway/WAF hizmetinin V1 SKU'su kullanıyorsanız, arka uç kimlik doğrulama sertifikanız olarak yeni sertifikayı karşıya yüklemeniz gerekir.

  1. Azure portal Application Gateway kaynağınızı açın.
  2. Sertifikanızla ilişkili HTTP ayarlarını açın.
  3. "Sertifika ekle" seçeneğine tıklayın, yeniden sunulan sertifikayı karşıya yükleyin ve kaydet'e tıklayın.
  4. Daha sonra "..." öğesine tıklayarak eski sertifikayı kaldırabilirsiniz eski sertifikanın yanındaki seçenekler düğmesi ve sil'i seçip Kaydet'e tıklayın. Daha fazla bilgi için bkz. Portalda Application Gateway kullanarak uçtan uca TLS'yi yapılandırma.

Application Gateway/WAF hizmetinin V2 SKU'su kullanıyorsanız, V2 SKU'su "güvenilen kök sertifikalar" kullandığından ve burada herhangi bir işlem yapılması gerekmediğinden, http ayarlarında yeni sertifikayı karşıya yüklemeniz gerekmez.

Yapılandırma - AKS için giriş denetleyicisi

Giriş Denetleyicisi nedir?

Kubernetes, kümede deployment bir grup podu dahili olarak kullanıma sunma amacıyla ve service kaynağı oluşturulmasına olanak tanır. Aynı hizmeti dışarıdan kullanıma sunmak için yük dengeleme, TLS sonlandırma ve ad tabanlı sanal barındırma sağlayan bir Ingress kaynak tanımlanır. Bu Ingress kaynağı karşılamak için, kaynaklarda yapılan değişiklikleri Ingress dinleyen ve yük dengeleyici ilkelerini yapılandıran bir Giriş Denetleyicisi gerekir.

Application Gateway Giriş Denetleyicisi (AGIC), Azure Application Gateway AKS kümesi olarak da bilinen bir Azure Kubernetes Service giriş olarak kullanılmasını sağlar.

Tek bir giriş denetleyicisi örneği birden çok Application Gateway'i yönetebilir mi?

Şu anda bir Giriş Denetleyicisi örneği yalnızca bir Application Gateway ilişkilendirilebilir.

Kubenet içeren AKS kümem neden AGIC ile çalışmıyor?

AGIC, yönlendirme tablosu kaynağını otomatik olarak Application Gateway alt ağıyla ilişkilendirmeye çalışır, ancak AGIC izinlerinin olmaması nedeniyle bunu yapamayabilir. AGIC, yol tablosunu Application Gateway alt ağıyla ilişkilendiremezse AGIC günlüklerinde bunu söyleyen bir hata oluşur ve bu durumda AKS kümesi tarafından oluşturulan yol tablosunu Application Gateway alt ağıyla el ile ilişkilendirmeniz gerekir. Daha fazla bilgi için bkz . Desteklenen kullanıcı tanımlı yollar.

AKS kümemi ve Application Gateway ayrı sanal ağlara bağlayabilir miyim?

Evet, sanal ağlar eşlendiği ve çakışan adres alanları olmadığı sürece. AKS'yi kubenet ile çalıştırıyorsanız AKS tarafından oluşturulan yol tablosunu Application Gateway alt ağıyla ilişkilendirdiğinizden emin olun.

AGIC eklentisinde hangi özellikler desteklenmez?

Helm aracılığıyla dağıtılan AGIC ile AKS eklentisi olarak dağıtılan AGIC arasındaki farkları burada görebilirsiniz

Helm dağıtımı yerine eklentiyi ne zaman kullanmalıyım?

Özellikle AKS eklentisi yerine Helm aracılığıyla dağıtılan AGIC ile AKS eklentisi olarak dağıtılan AGIC arasındaki farkları , özellikle de AGIC'nin Helm aracılığıyla dağıtılan hangi senaryoların desteklendiğini belgeleyen tablolara bakın. Genel olarak Helm aracılığıyla dağıtım yapmak, beta özelliklerini ve sürüm adaylarını resmi bir sürümden önce test etmenizi sağlar.

Eklentiyle hangi AGIC sürümünün dağıtılacağını denetleyebiliyorum?

Hayır, AGIC eklentisi yönetilen bir hizmettir ve Microsoft eklentiyi otomatik olarak en son kararlı sürüme güncelleştirir.

Yapılandırma - karşılıklı kimlik doğrulaması

Karşılıklı kimlik doğrulaması nedir?

Karşılıklı kimlik doğrulaması, istemci ile sunucu arasında iki yönlü kimlik doğrulamasıdır. Application Gateway ile karşılıklı kimlik doğrulaması şu anda ağ geçidinin isteği gönderen istemciyi (istemci kimlik doğrulaması) doğrulamasını sağlar. Genellikle istemci, Application Gateway kimliğini doğrulayan tek istemcidir. Application Gateway artık istemcinin kimliğini de doğrulayabileceğinden, Application Gateway ve istemcinin birbirinin kimliğini doğruladığı karşılıklı kimlik doğrulaması olur.

Application Gateway ve arka uç havuzları arasında karşılıklı kimlik doğrulaması kullanılabilir mi?

Hayır, karşılıklı kimlik doğrulaması şu anda yalnızca ön uç istemcisiyle Application Gateway arasındadır. Arka uç karşılıklı kimlik doğrulaması şu anda desteklenmiyor.

Tanılama ve günlüğe kaydetme

Application Gateway ne tür günlükler sağlar?

Application Gateway üç günlük sağlar:

  • ApplicationGatewayAccessLog: Erişim günlüğü, uygulama ağ geçidi ön ucuna gönderilen her isteği içerir. Veriler, çağıranın IP'sini, istenen URL'sini, yanıt gecikmesini, dönüş kodunu ve gelen ve giden baytları içerir. Uygulama ağ geçidi başına bir kayıt içerir.
  • ApplicationGatewayPerformanceLog: Performans günlüğü, her bir uygulama ağ geçidi için performans bilgilerini yakalar. Bilgiler bayt cinsinden aktarım hızını, sunulan toplam istekleri, başarısız istek sayısını ve iyi durumda ve iyi durumda olmayan arka uç örneği sayısını içerir.
  • ApplicationGatewayFirewallLog: WAF ile yapılandırdığınız uygulama ağ geçitleri için güvenlik duvarı günlüğü algılama modu veya önleme modu aracılığıyla günlüğe kaydedilen istekleri içerir.

Tüm günlükler 60 saniyede bir toplanır. Daha fazla bilgi için bkz. Application Gateway için arka uç durumu, tanılama günlükleri ve ölçümler.

Arka uç havuzu üyelerimin iyi durumda olup olmadığını Nasıl yaparım? biliyor musunuz?

PowerShell cmdlet'ini Get-AzApplicationGatewayBackendHealth veya portalı kullanarak sistem durumunu doğrulayın. Daha fazla bilgi için bkz. tanılama Application Gateway.

Tanılama günlükleri için bekletme ilkesi nedir?

Tanılama günlükleri müşterinin depolama hesabına akar. Müşteriler bekletme ilkesini tercihlerine göre ayarlayabilir. Tanılama günlükleri bir olay hub'ına veya Azure İzleyici günlüklerine de gönderilebilir. Daha fazla bilgi için bkz. tanılama Application Gateway.

Application Gateway için denetim günlüklerini Nasıl yaparım? alın?

Portalda, bir uygulama ağ geçidinin menü dikey penceresinde Etkinlik Günlüğü'nü seçerek denetim günlüğüne erişin.

Application Gateway ile uyarı ayarlayabilir miyim?

Evet. Application Gateway'da uyarılar ölçümler üzerinde yapılandırılır. Daha fazla bilgi için bkz. Application Gateway ölçümleri ve Uyarı bildirimlerini alma.

Application Gateway için trafik istatistiklerini analiz Nasıl yaparım??

Erişim günlüklerini çeşitli yollarla görüntüleyebilir ve analiz edebilirsiniz. Azure İzleyici günlüklerini, Excel'i, Power BI'ı vb. kullanın.

Ayrıca, Application Gateway erişim günlükleri için popüler GoAccess günlük çözümleyicisini yükleyen ve çalıştıran bir Resource Manager şablonu da kullanabilirsiniz. GoAccess benzersiz ziyaretçiler, istenen dosyalar, konaklar, işletim sistemleri, tarayıcılar ve HTTP durum kodları gibi değerli HTTP trafik istatistikleri sağlar. Daha fazla bilgi için GitHub'da Resource Manager şablon klasöründeki Benioku dosyasına bakın.

Arka uç durumunun bilinmeyen bir durum döndürmesine ne neden olabilir?

Genellikle arka uca erişim, uygulama ağ geçidi alt ağındaki bir ağ güvenlik grubu (NSG), özel DNS veya kullanıcı tanımlı yönlendirme (UDR) tarafından engellendiğinde bilinmeyen bir durumla karşılaşırsınız. Daha fazla bilgi için bkz. Application Gateway için arka uç durumu, tanılama günlüğü ve ölçümler.

NSG akış günlükleri Application Gateway v2 alt ağıyla ilişkili NSG'lerde destekleniyor mu?

Geçerli platform sınırlamaları nedeniyle, Application Gateway v2 (Standard_v2, WAF_v2) alt ağına bir NSG'niz varsa ve bu alt ağda NSG akış günlüklerini etkinleştirdiyseniz, belirleyici olmayan davranışlar görürsünüz ve bu senaryo şu anda desteklenmemektedir.

Application Gateway müşteri verilerini nerede depolar?

Application Gateway müşteri verilerini dağıtılan bölgenin dışına taşımaz veya depolamaz.

Sonraki adımlar

Application Gateway hakkında daha fazla bilgi edinmek için bkz. Azure Application Gateway nedir?. APPLICATION GATEWAY ile TLS sonlandırma ve uçtan uca TLS hakkında bilgi edinmek için bkz. Azure Application Gateway uçtan uca TLS'yi etkinleştirme.