Application Gateway altyapı yapılandırması
Azure Uygulaması lication Gateway altyapısı sanal ağı, alt ağları, ağ güvenlik gruplarını (NSG) ve kullanıcı tanımlı yolları (UDR) içerir.
Sanal ağ ve ayrılmış alt ağ
Uygulama ağ geçidi, sanal ağınızdaki ayrılmış bir dağıtımdır. Sanal ağınızda, uygulama ağ geçidi için ayrılmış bir alt ağ gerekir. Bir alt ağda belirli bir Application Gateway dağıtımının birden çok örneğine sahip olabilirsiniz. Alt ağda diğer uygulama ağ geçitlerini de dağıtabilirsiniz. Ancak Application Gateway alt akında başka bir kaynak dağıtamazsınız. Aynı alt ağda v1 ve v2 Application Gateway SKU'larını karıştıramazsınız.
Not
Sanal ağ hizmet uç noktası ilkeleri şu anda Application Gateway alt ağında desteklenmiyor.
Alt ağın boyutu
Application Gateway örnek başına bir özel IP adresi ve özel bir ön uç IP'si yapılandırılmışsa başka bir özel IP adresi kullanır.
Azure ayrıca iç kullanım için her alt ağda beş IP adresi ayırır. bunlar ilk dört adres ve son IP adresleridir. Örneğin, özel ön uç IP'si olmayan 15 Application Gateway örneğini göz önünde bulundurun. Bu alt ağ için en az 20 IP adresine ihtiyacınız var. İç kullanım için 5 ve Application Gateway örnekleri için 15 gerekir.
27 Application Gateway örneğine ve özel ön uç IP'si için IP adresine sahip bir alt ağ düşünün. Bu durumda, 33 IP adresine ihtiyacınız vardır. Application Gateway örnekleri için 27, özel ön uç için bir tane ve iç kullanım için 5 gerekir.
Application Gateway (Standart veya WAF SKU), en fazla 32 örneği (32 örnek IP adresi + 1 özel ön uç IP yapılandırması + 5 Azure ayrılmış) destekleyebilir. En düşük alt ağ boyutu /26 olmalıdır.
Application Gateway (Standard_v2 veya WAF_v2 SKU), en fazla 125 örneği (125 örnek IP adresi + 1 özel ön uç IP yapılandırması + 5 Azure ayrılmış) destekleyebilir. En düşük alt ağ boyutu /24 olmalıdır.
Mevcut uygulama ağ geçitlerinin sağlandığı bir alt ağın kullanılabilir kapasitesini belirlemek için alt ağın boyutunu alın ve platform tarafından ayrılmış alt ağın beş ayrılmış IP adresini çıkarın. Ardından, her ağ geçidini alın ve en yüksek örnek sayısını çıkarın. Özel ön uç IP yapılandırması olan her ağ geçidi için ağ geçidi başına bir IP adresi daha çıkarın.
Örneğin, farklı boyutlarda üç ağ geçidine sahip bir alt ağ için kullanılabilir adreslemeyi şu şekilde hesaplayabilirsiniz:
- Ağ Geçidi 1: En fazla 10 örnek. Özel bir ön uç IP yapılandırması kullanır.
- Ağ Geçidi 2: En fazla 2 örnek. Özel ön uç IP yapılandırması yok.
- Ağ Geçidi 3: En fazla 15 örnek. Özel bir ön uç IP yapılandırması kullanır.
- Alt ağ boyutu: /24
- Alt ağ boyutu /24 = 256 IP adresi - platformdan ayrılmış 5 = 251 kullanılabilir adres
- 251: Ağ geçidi 1 (10) - 1 özel ön uç IP yapılandırması = 240
- 240: Ağ Geçidi 2 (2) = 238
- 238: Ağ geçidi 3 (15) - 1 özel ön uç IP yapılandırması = 222
Önemli
Application Gateway v2 SKU dağıtımı başına /24 alt ağı gerekli olmasa da, bunu kesinlikle öneririz. /24 alt ağı, Application Gateway v2'nin genişletme ve bakım yükseltmelerini otomatik ölçeklendirmek için yeterli alana sahip olmasını sağlar.
Application Gateway v2 alt ağından beklenen maksimum trafiğe hizmet vermek için gereken örnek sayısını karşılamak için yeterli adres alanına sahip olduğundan emin olmalısınız. En fazla örnek sayısını belirtirseniz alt ağın en az bu kadar adres için kapasitesi olmalıdır. Örnek sayısıyla ilgili kapasite planlaması için bkz . Örnek sayısı ayrıntıları.
adlı GatewaySubnet alt ağ VPN ağ geçitleri için ayrılmıştır. Alt ağı kullanan Application Gateway v1 kaynaklarının GatewaySubnet , denetim düzlemi hatalarını ve platform tutarsızlıklarını önlemek için 30 Eylül 2023'ten önce farklı bir alt ağa taşınması veya v2 SKU'ya geçirilmesi gerekir. Mevcut bir Application Gateway örneğinin alt akını değiştirme hakkında bilgi için bkz . Application Gateway hakkında sık sorulan sorular.
İpucu
IP adresleri, ağ geçidi örnekleri için tanımlanan alt ağ alanının başından ayrılır. Ağ geçitlerinin oluşturulması veya olayları ölçeklendirme nedeniyle örnekler oluşturulup kaldırıldığından, alt ağda bir sonraki kullanılabilir adresin ne olduğunu anlamak zor olabilir. Gelecekteki bir ağ geçidi için kullanılacak bir sonraki adresi belirleyebilmek ve ön uç IP'leri için bitişik bir adresleme temasına sahip olmak için, tanımlanan alt küme alanının üst yarısından ön uç IP adresleri atamayı göz önünde bulundurun.
Örneğin, alt ağ adres alanı 10.5.5.0/24 ise, Ağ geçitlerinizin özel ön uç IP yapılandırmasını 10.5.5.254 ile başlayıp 10.5.5.253, 10.5.5.252, 10.5.5.251 vb. ile ayarlamayı göz önünde bulundurun.
Aynı sanal ağ içindeki mevcut bir Application Gateway örneğinin alt ağını değiştirmek mümkündür. Bu değişikliği yapmak için Azure PowerShell'i veya Azure CLI'yı kullanın. Daha fazla bilgi için bkz . Application Gateway hakkında sık sorulan sorular.
Ad çözümlemesi için DNS sunucuları
Sanal ağ kaynağı, Azure tarafından sağlanan varsayılan veya özel DNS sunucuları arasında seçim yapmanızı sağlayan DNS sunucusu yapılandırmasını destekler. Uygulama ağ geçidinizin örnekleri de herhangi bir ad çözümlemesi için bu DNS yapılandırmasını kabul eder. Bu ayarı değiştirdikten sonra, bu değişikliklerin örnekler üzerinde etkili olması için uygulama ağ geçidinizi yeniden başlatmanız (Durdur ve Başlat) gerekir.
Not
Application Gateway sanal ağında özel DNS sunucuları kullanıyorsanız, DNS sunucusunun genel İnternet adlarını çözümleyebilmesi gerekir. Application Gateway bu özelliği gerektirir.
Sanal ağ izni
Application Gateway kaynağı bir sanal ağ içinde dağıtıldığından, sanal ağ kaynağı üzerindeki izni doğrulamak için denetimler de gerçekleştirilir. Bu doğrulama hem oluşturma hem de yönetim işlemleri sırasında gerçekleştirilir ve Application Gateway Giriş Denetleyicisi için yönetilen kimlikler için de geçerlidir.
Uygulama ağ geçitlerini çalıştıran kullanıcıların (ve hizmet sorumlularının) sanal ağ veya alt ağ üzerinde en az Microsoft.Network/virtualNetworks/subnets/join/action iznine sahip olduğunu doğrulamak için Azure rol tabanlı erişim denetiminizi denetleyin. Bu doğrulama, Application Gateway Giriş Denetleyicisi için yönetilen kimlikler için de geçerlidir.
Bu izinleri zaten destekleyen Ağ katkıda bulunanı gibi yerleşik rolleri kullanabilirsiniz. Yerleşik bir rol doğru izni sağlamıyorsa, özel bir rol oluşturabilir ve atayabilirsiniz. Alt ağ izinlerini yönetme hakkında daha fazla bilgi edinin.
Not
Rol ataması değiştikten sonra Azure Resource Manager önbellek yenilemesi için yeterli süreye izin vermek zorunda olabilirsiniz.
Aboneliğiniz için etkilenen kullanıcıları veya hizmet sorumlularını belirleme
Hesabınız için Azure Danışmanı'nın ziyaretini ziyaret ederek aboneliğinizde yetersiz izne sahip kullanıcı veya hizmet sorumlusu olup olmadığını doğrulayabilirsiniz. Bu önerinin ayrıntıları aşağıdaki gibidir:
Başlık: Application Gateway kullanıcılarının sanal ağ iznini güncelleştirme Kategori: Güvenilirlik Etkisi: Yüksek
Geçici Azure Özellik Açığa Çıkarma Denetimi (AFEC) bayrağını kullanma
Geçici bir uzantı olarak abonelik düzeyinde bir Azure Özellik Açığa Çıkarma Denetimi (AFEC) kullanıma sunulmuştur. AFEC'ye kaydolabilir ve tüm kullanıcılarınızın ve hizmet sorumlularınızın izinlerini düzeltene kadar bunu kullanabilirsiniz. Azure aboneliğiniz için önizleme özelliği kaydıyla aynı adımları izleyerek özelliğe kaydolun.
Ad: Microsoft.Network/DisableApplicationGatewaySubnetPermissionCheck Description: Disable Application Gateway Subnet Permission Check ProviderNamespace: Microsoft.Network EnrollmentType: AutoApprove
Not
Doğru izni atayana kadar AFEC sağlamasını yalnızca geçici risk azaltma olarak kullanmanızı öneririz. Tüm geçerli kullanıcıların (ve hizmet sorumlularının) izinlerini düzeltmeye öncelik vermeli ve ardından sanal ağ kaynağında izin doğrulamasını yeniden etkinleştirmek için bu AFEC bayrağının kaydını kaldırmalısınız. Gelecekte kaldırılacağı için bu AFEC yöntemine kalıcı olarak bağımlı olmadığınızı öneririz.
Azure Sanal Ağ Yöneticisi
Azure Sanal Ağ Yöneticisi, sanal ağları abonelikler arasında genel olarak gruplandırmanıza, yapılandırmanıza, dağıtmanıza ve yönetmenize olanak tanıyan bir yönetim hizmetidir. Sanal Ağ Yöneticisi ile sanal ağlarınızı tanımlamak ve mantıksal olarak segmentlere ayırmak için ağ grupları tanımlayabilirsiniz. Bundan sonra, istediğiniz bağlantı ve güvenlik yapılandırmalarını belirleyebilir ve bunları ağ gruplarındaki tüm seçili sanal ağlara aynı anda uygulayabilirsiniz.
Azure Sanal Ağ Manager'da güvenlik yöneticisi kuralı yapılandırması, büyük ölçekte güvenlik ilkeleri tanımlamanıza ve bunları aynı anda birden çok sanal ağa uygulamanıza olanak tanır.
Not
Azure Sanal Ağ Manager'ın güvenlik yöneticisi kuralları yalnızca Ağ Yalıtımı etkinleştirilmiş uygulama ağ geçitleri içeren Application Gateway alt ağları için geçerlidir. Ağ Yalıtımı devre dışı bırakılmış uygulama ağ geçitlerine sahip alt ağların güvenlik yöneticisi kuralları yoktur.
Ağ güvenlik grupları
Application Gateway alt ağınız için NSG'leri kullanabilirsiniz, ancak bazı önemli noktalara ve kısıtlamalara dikkat edin.
Önemli
Özel Application Gateway dağıtımı (önizleme) kullandığınızda bu NSG sınırlamaları gevşetilir.
Gerekli güvenlik kuralları
Uygulama ağ geçidinizle NSG kullanmak için bazı temel güvenlik kuralları oluşturmanız veya korumanız gerekir. Önceliklerini aynı sırada ayarlayabilirsiniz.
Gelen kuralları
İstemci trafiği: Beklenen istemcilerden gelen trafiğe (kaynak IP veya IP aralığı olarak) ve hedef için uygulama ağ geçidinizin tüm alt ağ IP ön eki ve gelen erişim bağlantı noktaları olarak izin verin. Örneğin, 80 ve 443 bağlantı noktaları için yapılandırılmış dinleyicileriniz varsa, bu bağlantı noktalarına izin vermelisiniz. Bu kuralı olarak Anyda ayarlayabilirsiniz.
| Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Access |
|---|---|---|---|---|---|
<as per need> |
Tümü | <Subnet IP Prefix> |
<listener ports> |
TCP | İzin Ver |
Etkin genel ve özel dinleyicileri (kurallarla) aynı bağlantı noktası numarasıyla yapılandırdıktan sonra, uygulama ağ geçidiniz tüm gelen akışların Hedefini ağ geçidinizin ön uç IP'lerine değiştirir. Bu değişiklik, herhangi bir bağlantı noktasını paylaşmayen dinleyiciler için bile gerçekleşir. Aynı bağlantı noktası yapılandırmasını kullandığınızda ağ geçidinizin ön uç genel ve özel IP adreslerini gelen kuralın Hedefine eklemeniz gerekir.
| Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Access |
|---|---|---|---|---|---|
<as per need> |
Tümü | <Public and Private<br/>frontend IPs> |
<listener ports> |
TCP | İzin Ver |
Altyapı bağlantı noktaları: Kaynaktan gelen isteklere GatewayManager hizmet etiketi ve Herhangi bir hedef olarak izin verin. Hedef bağlantı noktası aralığı SKU'ya göre farklılık gösterir ve arka uç durumunun iletilmesi için gereklidir. Bu bağlantı noktaları Azure sertifikaları tarafından korunur/kilitlenir. Dış varlıklar uygun sertifikalar olmadan bu uç noktalarda değişiklik başlatamaz.
- V2: Bağlantı noktaları 65200-65535
- V1: Bağlantı noktaları 65503-65534
| Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Access |
|---|---|---|---|---|---|
| GatewayManager | Herhangi biri | Herhangi biri | <as per SKU given above> |
TCP | İzin Ver |
Azure Load Balancer yoklamaları: Kaynaktan gelen trafiğe AzureLoadBalancer hizmet etiketi olarak izin verin. Bu kural NSG'ler için varsayılan olarak oluşturulur. Uygulama ağ geçidinizin düzgün çalışmasını sağlamak için el ile Reddetme kuralıyla geçersiz kılmamalısınız.
| Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Access |
|---|---|---|---|---|---|
| AzureLoadBalancer | Herhangi biri | Herhangi biri | Herhangi biri | Herhangi biri | İzin Ver |
Tümünü Reddet kuralı kullanarak diğer tüm gelen trafiği engelleyebilirsiniz.
Giden kuralları
İnternet'e giden: Tüm hedefler için İnternet'e giden trafiğe izin verin. Bu kural NSG'ler için varsayılan olarak oluşturulur. Uygulama ağ geçidinizin düzgün çalışmasını sağlamak için el ile Reddetme kuralıyla geçersiz kılmamalısınız. Giden bağlantıyı reddeden giden NSG kuralları oluşturulmamalıdır.
| Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Access |
|---|---|---|---|---|---|
| Herhangi biri | Herhangi biri | İnternet | Herhangi biri | Herhangi biri | İzin Ver |
Not
Ağ Yalıtımı etkin olmayan Application Gateway'ler, Uzak sanal ağa giden trafiğe izin ver devre dışı bırakıldığında eşlenmiş sanal ağlar arasında trafiğin gönderilmesine izin vermez.
Desteklenen kullanıcı tanımlı yollar
Application Gateway alt ağı üzerinde yönlendirme tablosu kuralları aracılığıyla ayrıntılı denetim genel önizlemede mümkündür. Daha fazla bilgi için bkz . Özel Application Gateway dağıtımı (önizleme).
Geçerli işlevlerde bazı kısıtlamalar vardır:
Önemli
Application Gateway alt akında UDR'leri kullanmak, arka uç sistem durumu görünümünde sistem durumunun Bilinmiyor olarak görünmesine neden olabilir. Ayrıca Application Gateway günlüklerinin ve ölçümlerinin oluşturulmasının başarısız olmasına neden olabilir. Arka uç durumunu, günlüklerini ve ölçümleri görüntüleyebilmeniz için Application Gateway alt ağından UDR'leri kullanmamanızı öneririz.
v1: v1 SKU'su için UDR'ler uçtan uca istek/yanıt iletişimini değiştirmezlerse Application Gateway alt aklarında desteklenir. Örneğin, Application Gateway alt ağında paket incelemesi için bir güvenlik duvarı cihazına işaret edecek bir UDR ayarlayabilirsiniz. Ancak, incelemeden sonra paketin amaçlanan hedefine ulaşabileceğinden emin olmalısınız. Bunun yapılmaması, yanlış sistem durumu yoklamasına veya trafik yönlendirme davranışına yol açabilir. Sanal ağdaki Azure ExpressRoute veya VPN ağ geçitleri tarafından yayılan öğrenilen yollar veya varsayılan 0.0.0.0/0 yolları da dahildir.
v2: v2 SKU'su için desteklenen ve desteklenmeyen senaryolar vardır.
v2 tarafından desteklenen senaryolar
Uyarı
Yol tablosunun yanlış yapılandırılması, Application Gateway v2'de asimetrik yönlendirmeye neden olabilir. Tüm yönetim/kontrol düzlemi trafiğinin sanal gereç üzerinden değil doğrudan İnternet'e gönderildiğinden emin olun. Günlük kaydı, ölçümler ve CRL denetimleri de etkilenebilir.
Senaryo 1: Sınır Ağ Geçidi Protokolü (BGP) yolunun Application Gateway alt aağına yayılmasını devre dışı bırakmak için UDR
Bazen varsayılan ağ geçidi yolu (0.0.0.0/0), Application Gateway sanal ağıyla ilişkilendirilmiş ExpressRoute veya VPN ağ geçitleri aracılığıyla tanıtılır. Bu davranış, İnternet'e doğrudan bir yol gerektiren yönetim düzlemi trafiğini bozar. Bu tür senaryolarda BGP yol yayma özelliğini devre dışı bırakmak için UDR kullanabilirsiniz.
BGP yol yayma özelliğini devre dışı bırakmak için:
- Azure'da bir yol tablosu kaynağı oluşturun.
- Sanal ağ geçidi yol yayma parametresini devre dışı bırakın.
- Yol tablosunu uygun alt ağ ile ilişkilendirin.
Bu senaryo için UDR'nin etkinleştirilmesi mevcut kurulumları bozmamalıdır.
Senaryo 2: UDR, 0.0.0.0/0'ı İnternet'e yönlendirmek için
0.0.0.0/0 trafiğini doğrudan İnternet'e göndermek için bir UDR oluşturabilirsiniz.
Senaryo 3: Kubenet ile Azure Kubernetes Service (AKS) için UDR
AKS ve Application Gateway Giriş Denetleyicisi ile kubenet kullanıyorsanız Application Gateway'den podlara gönderilen trafiğin doğru düğüme yönlendirilmesine izin vermek için bir yol tablosuna ihtiyacınız vardır. Azure Container Networking Interface kullanıyorsanız yönlendirme tablosu kullanmanız gerekmez.
Kubenet'in çalışmasına izin vermek için yol tablosunu kullanmak için:
AKS tarafından oluşturulan kaynak grubuna gidin. Kaynak grubunun adı ile
MC_başlamalıdır.Aks tarafından oluşturulan yol tablosunu bu kaynak grubunda bulun. Yol tablosu aşağıdaki bilgilerle doldurulmalıdır:
- Adres ön eki, AKS'de ulaşmak istediğiniz podların IP aralığı olmalıdır.
- Sonraki atlama türü sanal gereç olmalıdır.
- Sonraki atlama adresi, podları barındıran düğümün IP adresi olmalıdır.
Bu yol tablosunu Application Gateway alt ağıyla ilişkilendirin.
v2 desteklenmeyen senaryolar
Senaryo 1: Sanal gereçler için UDR
0.0.0.0/0'ın sanal gereç, merkez/uç sanal ağı veya şirket içi (zorlamalı tünel) üzerinden yeniden yönlendirilmesi gereken tüm senaryolar v2 için desteklenmez.