Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Introduction
Geçmişte Application Gateway v2 SKU'ları ve belirli bir ölçüde v1, hizmetin yönetimini etkinleştirmek için genel IP adresleme gerektirdi. Bu gereksinim, Ağ Güvenlik Grupları ve Yol Tablolarında ayrıntılı denetimlerin kullanılmasına çeşitli sınırlamalar getirmiştir. Özellikle, aşağıdaki zorluklar gözlemlenmiştir:
- Ağ Geçidi Yöneticisi hizmet etiketiyle iletişimi etkinleştirmek için tüm Application Gateways v2 dağıtımları genel kullanıma yönelik ön uç IP yapılandırması içermelidir.
- Ağ Güvenlik Grubu ilişkilendirmeleri, GatewayManager'dan gelen giriş erişimine ve İnternet'e çıkış erişimine izin vermek için kurallar gerektirir.
- Trafiği İnternet dışında herhangi bir yere iletmek için varsayılan bir yol (0.0.0.0/0) kullanıma sunulurken ağ geçidinin ölçümleri, izlemesi ve güncelleştirmeleri başarısız duruma neden olur.
Application Gateway v2 artık veri sızdırma riskini ortadan kaldırmak ve sanal ağ içinden iletişim gizliliğini denetlemek için bu öğelerin her birini ele alabilir. Bu değişiklikler aşağıdaki özellikleri içerir:
- Özel IP adresi yalnızca önyüz IP yapılandırması
- Genel IP adresi kaynağı gerekmez
- Ağ Güvenlik Grubu aracılığıyla GatewayManager hizmet etiketinden gelen trafiğin ortadan kaldırılması
- İnternet'e giden trafiği kısıtlamak için Hepsini Reddet çıkış Network Security Group (NSG) kuralı tanımlama yeteneği
- Varsayılan İnternet yolunu geçersiz kılma özelliği (0.0.0.0/0)
- Sanal ağdaki tanımlı çözümleyiciler aracılığıyla DNS çözümlemesi Özel bağlantı özel DNS bölgeleri de dahil olmak üzere daha fazla bilgi edinin.
Bu özelliklerin her biri bağımsız olarak yapılandırılabilir. Örneğin, İnternet'ten gelen trafiğe izin vermek için bir genel IP adresi kullanılabilir ve veri sızdırmayı önlemek için ağ güvenlik grubu yapılandırmasında Tümünü Reddet giden kuralı tanımlayabilirsiniz.
Özelliğe ekleme
Özel IP ön uç yapılandırmasının yeni denetimlerinin işlevselliği, NSG kuralları üzerinde denetim ve rota tabloları üzerinde denetim genel olarak kullanılabilir ve üretimde desteklenir. Özellikleri kullanmak için Azure portalı, PowerShell, CLI veya REST API'yi kullanarak deneyimi kabul etmeniz gerekir.
Kaydedildiğinde, tüm yeni Application Gateway'ler NSG, Yönlendirme Tablosu veya özel IP yapılandırma özelliklerinin herhangi bir bileşimini tanımlama özelliği sağlar. Yeni işlevsellikten vazgeçmek isterseniz, özelliğin kaydını kaldırarak bunu yapabilirsiniz.
Özelliği kaydet
Azure portalı aracılığıyla gelişmiş Application Gateway ağ denetimleri özelliğine kaydolmak için aşağıdaki adımları kullanın:
Azure portalınaoturum açın.
Arama kutusuna abonelikler yazın ve Abonelikler'i seçin.
Aboneliğinizin adına ait bağlantıyı seçin.
Soldaki menüden Ayarlar'ın altında Önizleme özellikleri'ni seçin.
Kullanılabilir özelliklerin listesini ve geçerli kayıt durumunuzu görürsünüz.
Önizleme özelliklerindenEnableApplicationGatewayNetworkIsolation filtre kutusuna yazın, özelliği işaretleyin ve Kaydet'e tıklayın.
Note
Özellik kaydının Kaydolma durumundan Kayıtlı durumuna geçmesi 30 dakika kadar sürebilir.
Özelliğin kaydını kaldırma
Portal aracılığıyla gelişmiş Application Gateway ağ denetimleri özelliğini geri çevirmek için aşağıdaki adımları kullanın:
Azure portalınaoturum açın.
Arama kutusuna abonelikler yazın ve Abonelikler'i seçin.
Aboneliğinizin adına ait bağlantıyı seçin.
Soldaki menüden Ayarlar'ın altında Önizleme özellikleri'ni seçin.
Kullanılabilir özelliklerin listesini ve geçerli kayıt durumunuzu görürsünüz.
Önizleme özelliklerindenEnableApplicationGatewayNetworkIsolation filtre kutusuna yazın, özelliği işaretleyin ve Kaydı Kaldır'a tıklayın.
Ağ denetimlerinin yapılandırması
Özelliği kaydettikten sonra NSG, Yol Tablosu ve özel IP adresi ön uç yapılandırması herhangi bir yöntem kullanılarak gerçekleştirilebilir. Örneğin: REST API, ARM Şablonu, Bicep dağıtımı, Terraform, PowerShell, CLI veya Portal.
Application Gateway Alt Ağı
Application Gateway Alt Ağı, Application Gateway Kaynaklarının dağıtılacağı Sanal Ağ içindeki alt ağdır. Ön Uç Özel Ip yapılandırmasında, bu alt ağın kullanıma sunulan uygulamanıza veya sitenize bağlanmak isteyen kaynaklara özel olarak ulaşabilmesi önemlidir.
Note
5 Mayıs 2025 itibarıyla yeni ve mevcut Özel Uygulama Geçidi dağıtımları için Alt Ağ Yetkilendirmesi gerekir Microsoft.Network/applicationGateways.
Alt Ağ Temsilcisini yapılandırmak için lütfen bu adımları izleyin.
Giden İnternet bağlantısı
Yalnızca özel bir ön uç IP yapılandırması içeren Application Gateway dağıtımları (istek yönlendirme kuralıyla ilişkilendirilmiş bir genel IP ön uç yapılandırması yoktur) İnternet'e yönelik trafiğin çıkışını yapamaz. Bu yapılandırma, İnternet üzerinden genel olarak erişilebilen arka uç hedefleriyle iletişimi etkiler.
Application Gateway'inizden İnternet'e yönelik arka uç hedefine giden bağlantıyı etkinleştirmek için Sanal Ağ NAT'sini kullanabilir veya trafiği İnternet erişimi olan bir sanal gereci iletebilirsiniz.
Sanal Ağ NAT'sı, hangi IP adresinin veya ön ekin kullanılması gerektiği üzerinde denetim ve yapılandırılabilir boşta kalma zaman aşımı sunar. Yapılandırmak için genel IP adresi veya genel ön eki olan yeni bir NAT Ağ Geçidi oluşturun ve bunu Application Gateway içeren alt ağ ile ilişkilendirin.
İnternet çıkışı için bir sanal gereç gerekiyorsa, bu belgedeki yol tablosu denetimi bölümüne bakın.
Genel IP kullanımının gerekli olduğu yaygın senaryolar:
- Özel uç noktaları veya hizmet uç noktalarını kullanmadan Key Vault ile iletişim
- Doğrudan Application Gateway'e yüklenen pfx dosyaları için giden iletişim gerekli değildir
- İnternet üzerinden arka uç hedeflerine iletişim
- İnternet'e yönelik CRL veya OCSP uç noktalarıyla iletişim
Ağ Güvenlik Grubu Denetimi
Application Gateway alt ağıyla ilişkili ağ güvenlik grupları artık GatewayManager için gelen trafiği kontrol eden kuralları gerektirmez ve İnternet'e dışa giden trafiğe erişim gerektirmez. Sistem durumu yoklamalarının ağ geçidine ulaştığından emin olmak için gerekli tek kural AzureLoadBalancer'dan gelenlere izin ver kuralıdır.
Aşağıdaki yapılandırma, Azure sistem durumu yoklamaları dışında tüm trafiği reddeden en kısıtlayıcı gelen kuralların bir örneğidir. Tanımlanan kurallara ek olarak, istemci trafiğinin ağ geçidinin dinleyicisine ulaşmasını sağlamak için açık kurallar tanımlanır.
Note
Application Gateway, DenyAll kuralı yanlışlıkla sistem durumu yoklamalarına erişimi kısıtlarsa LoadBalanceRule'a İzin Ver seçeneğinin belirtildiğinden emin olmak isteyen bir uyarı görüntüler.
Örnek senaryo
Bu örnek, Aşağıdaki kurallarla Azure portalını kullanarak NSG oluşturma işleminde yol göstermektedir:
- Internet'ten gelen istemci isteklerinden Application Gateway'e ulaşacak olan 80 ve 8080 numaralı bağlantı noktalarına gelen trafiğe izin ver
- Diğer tüm gelen trafiği reddet
- Başka bir sanal ağdaki arka uç hedefine giden trafiğe izin verme
- İnternete erişebilen bir arka uç hedefe giden çıkış trafiğine izin ver
- Diğer tüm giden trafiği reddet
İlk olarak bir ağ güvenlik grubu oluşturun. Bu güvenlik grubu, gelen ve giden kurallarınızı içerir.
Gelen Bağlantı Kuralları
Güvenlik grubunda zaten üç gelen varsayılan kural sağlanmış. Aşağıdaki örneğe bakın:
Ardından aşağıdaki dört yeni gelen güvenlik kuralı oluşturun:
- İnternet'ten gelen (herhangi bir kaynaktan) bağlantı noktası 80, TCP'ye izin ver.
- İnternet'ten gelen bağlantı noktası 8080, tcp'ye izin ver (herhangi biri)
- AzureLoadBalancer'dan gelenlere izin ver
- Herhangi bir geleni reddet
Bu kuralları oluşturmak için:
- Gelen güvenlik kurallarını seçin
- Ekle'yi seçin
- Gelen güvenlik kuralı ekle bölmesine her kural için aşağıdaki bilgileri girin.
- Bilgileri girdiğinizde, kuralı oluşturmak için Ekle'yi seçin.
- Her kuralın oluşturulması biraz zaman alır.
| Kural # | Source | Kaynak hizmeti etiketi | Kaynak bağlantı noktası aralıkları | Destination | Service | Dest bağlantı noktası aralıkları | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Any | * | Any | HTTP | 80 | TCP | Allow | 1028 | AllowWeb | |
| 2 | Any | * | Any | Custom | 8080 | TCP | Allow | 1029 | AllowWeb8080 | |
| 3 | Hizmet Etiketi | AzureLoadBalancer | * | Any | Custom | * | Any | Allow | 1045 | AllowLB |
| 4 | Any | * | Any | Custom | * | Any | Deny | 4095 | DenyAllInbound |
Sağlama tamamlandığında tüm kuralları gözden geçirmek için Yenile'yi seçin.
Dışa dönük kurallar
Önceliği 65000, 65001 ve 65500 olan üç varsayılan giden kural zaten hazırlandı.
Aşağıdaki üç yeni giden güvenlik kuralı oluşturun:
- TCP 443'e 10.10.4.0/24'ten 203.0.113.1 arka uç hedefine izin ver
- 10.10.4.0/24 kaynağından 10.13.0.4 hedefine TCP 80'e izin ver
- DenyTüm trafik kuralı
Bu kurallara sırasıyla 400, 401 ve 4096 öncelikleri atanır.
Note
- 10.10.4.0/24, Application Gateway alt ağ adres alanıdır.
- 10.13.0.4, eşlenmiş bir sanal ağda bulunan bir sanal makinedir.
- 203.0.113.1 arka uç hedef VM'dir.
Bu kuralları oluşturmak için:
- Giden güvenlik kurallarını seçin
- Ekle'yi seçin
- Giden güvenlik kuralı ekle bölmesine her kural için aşağıdaki bilgileri girin.
- Bilgileri girdiğinizde, kuralı oluşturmak için Ekle'yi seçin.
- Her kuralın oluşturulması biraz zaman alır.
| Kural # | Source | Kaynak IP adresleri/CIDR aralıkları | Kaynak bağlantı noktası aralıkları | Destination | Hedef IP adresleri/CIDR aralıkları | Service | Dest bağlantı noktası aralıkları | Protocol | Action | Priority | Name |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | IP Adresleri | 10.10.4.0/24 | * | IP Adresleri | 203.0.113.1 | HTTPS | 443 | TCP | Allow | 400 | AllowToBackendTarget |
| 2 | IP Adresleri | 10.10.4.0/24 | * | IP Adresleri | 10.13.0.4 | HTTP | 80 | TCP | Allow | 401 | AllowToPeeredVnetVM |
| 3 | Any | * | Any | Custom | * | Any | Deny | 4096 | DenyAll |
Sağlama tamamlandığında tüm kuralları gözden geçirmek için Yenile'yi seçin.
NSG'yi alt ağ ile ilişkilendirme
Son adım, ağ güvenlik grubunu Application Gateway'inizi içeren alt ağ ile ilişkilendirmektir.
Result:
Important
Erişime izin vermek istediğiniz istemcilerden gelen trafiği yanlışlıkla reddedebileceğiniz için DenyAll kurallarını tanımlarken dikkatli olun. Ayrıca, arka uç hedefine giden trafiği istemeden engelleyerek arka uç sağlığının bozulmasına ve 5XX yanıtları üretmesine neden olabilirsiniz.
Yönlendirme Tablosu Denetimi
Application Gateway'in mevcut teklifinde, sanal cihaz olarak bir sonraki atlama ile 0.0.0.0/0 olarak tanımlanan bir kuralla (veya kuralın oluşturulması) bir yol tablosu ilişkilendirmesi desteklenmez, böylece Application Gateway'in düzgün yönetimi sağlanır.
Özelliğin kaydından sonra, sanal gerecin trafiği bir sanal gereci iletme özelliği artık Sanal Gerecin sonraki atlamasıyla 0.0.0.0/0'ı tanımlayan bir yönlendirme tablosu kuralının tanımıyla mümkündür.
Zorunlu Tünelleme veya BGP reklamları aracılığıyla 0.0.0.0/0 yolunun öğrenilmesi, Application Gateway durumunu etkilemez ve trafik akışı için saygı gösterilir. Bu senaryo VPN, ExpressRoute, Yönlendirme Sunucusu veya Sanal WAN kullanılırken uygulanabilir.
Örnek senaryo
Aşağıdaki örnekte, bir yönlendirme tablosu oluşturup bunu Application Gateway alt ağıyla ilişkilendirerek alt ağdan giden İnternet erişiminin bir sanal gereçten çıkış yapacağından emin olacağız. Üst düzeyde, aşağıdaki tasarım Şekil 1'de özetlenmiştir:
- Application Gateway, uç sanal ağında yer alıyor.
- Hub ağında bir ağ sanal gereci (sanal makine) vardır
- Sanal gerecin varsayılan yolu (0.0.0.0/0) olan bir yol tablosu Application Gateway alt ağıyla ilişkilendirilir
Şekil 1: Sanal gereç aracılığıyla İnternet çıkış trafiği
Bir yönlendirme tablosu oluşturmak ve bunu Application Gateway alt ağıyla ilişkilendirmek için:
- Yollar'ı seçin ve 0.0.0.0/0 için sonraki atlama kuralını oluşturun ve hedefi VM'nizin IP adresi olacak şekilde yapılandırın:
- Alt ağlar'ı seçin ve yol tablosunu Application Gateway alt ağıyla ilişkilendirin:
- Trafiğin sanal gereçten geçtiğini doğrulayın.
Sınırlamalar / Bilinen Sorunlar
Aşağıdaki sınırlamalar geçerlidir:
Özel bağlantı yapılandırması
Özel bağlantı yapılandırması desteği, trafiği özel uç noktalar üzerinden Application Gateway'e tünellemek için yalnızca özel olan ağ geçitlerinde desteklenmez.
WAF Hız Sınırlama
Application Gateway WAF v2 için hız sınırlaması özel kuralları şu anda desteklenmiyor.
Yalnızca AGIC ile özel IP ön uç yapılandırması
AGIC v1.7 yalnızca özel ön uç IP'sine yönelik destek sağlamak için kullanılmalıdır.
Küresel VNet Eşlemesi aracılığıyla Özel Uç Nokta iletişimi
Application Gateway'de, genel sanal ağ eşleştirmesi yoluyla erişilebilen bir sanal ağda bulunan özel uç noktaya yönelik bir arka uç hedefi veya anahtar kasasına atıf varsa, trafik engellenir ve bu da sağlıksız bir duruma neden olur.
Ağ İzleyici tümleştirmesi
Bağlantı sorunlarını giderme ve NSG tanılamaları, denetim ve tanılama testlerini çalıştırırken bir hata döndürür.
Gelişmiş ağ denetimini etkinleştirmeden önce oluşturulan bir arada var olan v2 Application Gateway'ler
Bir alt ağ, gelişmiş ağ denetimi işlevselliğinin etkinleştirilmesinin öncesinde ve sonrasında oluşturulmuş Application Gateway v2 dağıtımlarını paylaşıyorsa, Ağ Güvenlik Grubu (NSG) ve Yol Tablosu işlevselliği önceki ağ geçidi dağıtımıyla sınırlıdır. Yeni işlevselliği etkinleştirmeden önce sağlanan uygulama ağ geçitlerinin yeniden sağlanması veya yeni oluşturulan ağ geçitlerinin gelişmiş ağ güvenlik grubu ve yönlendirme tablosu özelliklerini etkinleştirmek için farklı bir alt ağ kullanması gerekir.
- Yeni işlevselliği etkinleştirmeden önce dağıtılan bir ağ geçidi alt ağda varsa, aşağıdaki gibi hatalar görebilirsiniz:
For routes associated to subnet containing Application Gateway V2, please ensure '0.0.0.0/0' uses Next Hop Type as 'Internet'yol tablosu girdileri eklerken. - Alt ağa ağ güvenlik grubu kuralları eklerken şunları görebilirsiniz:
Failed to create security rule 'DenyAnyCustomAnyOutbound'. Error: Network security group \<NSG-name\> blocks outgoing Internet traffic on subnet \<AppGWSubnetId\>, associated with Application Gateway \<AppGWResourceId\>. This isn't permitted for Application Gateways that have fast update enabled or have V2 Sku.
Sonraki Adımlar
- Daha fazla güvenlik en iyi uygulaması için bkz. Application Gateway için Azure güvenlik temeli .