Azure Uygulaması Lication Gateway özellikleri
Azure Application Gateway, web uygulamalarınıza trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicisidir.
Not
Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS koruması ve web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı kullanmaktır. Azure Front Door, ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar. Daha fazla bilgi için bkz . Azure hizmetleri için güvenlik temeli.
Application Gateway aşağıdaki özellikleri içerir:
Güvenli Yuva Katmanı (SSL/TLS) sonlandırma
Application Gateway, ağ geçidinde SSL/TLS sonlandırmasını destekler ve bundan sonra trafik genellikle arka uç sunucularına şifrelenmemiş olarak akar. Bu özellik, web sunucularının maliyetli şifreleme ve şifre çözme ek yükünden kurtulmasını sağlar. Ancak bazen sunuculara şifrelenmemiş iletişim kabul edilebilir bir seçenek değildir. Bunun nedeni güvenlik gereksinimleri, uyumluluk gereksinimleri olabilir veya uygulama yalnızca güvenli bir bağlantı kabul edebilir. Bu uygulamalar için application gateway uçtan uca SSL/TLS şifrelemesini destekler.
Daha fazla bilgi için bkz . Application Gateway ile SSL sonlandırma ve uçtan uca SSL'ye genel bakış
Otomatik ölçeklendirme
Application Gateway Standard_v2 otomatik ölçeklendirmeyi destekler ve değişen trafik yükü desenlerine göre ölçeği artırıp azaltabilir. Otomatik ölçeklendirme ayrıca sağlama sırasında dağıtım boyutu veya örnek sayısı seçme gereksinimini de ortadan kaldırır.
Application Gateway Standard_v2 özellikleri hakkında daha fazla bilgi için bkz. Azure Uygulaması lication Gateway v2 nedir?
Bölge yedekliliği
Standard_v2 Application Gateway birden çok Kullanılabilirlik Alanları yayılarak daha iyi hata dayanıklılığı sunar ve her bölgede ayrı Application Gateway'ler sağlama gereksinimini ortadan kaldırır.
Statik VIP
SKU Standard_v2 uygulama ağ geçidi özel olarak statik VIP türünü destekler. Bu, application gateway ile ilişkili VIP'nin Application Gateway'in ömrü boyunca bile değişmemesini sağlar.
Web Uygulaması Güvenlik Duvarı
Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızı yaygın açıklardan yararlanmalara ve güvenlik açıklarına karşı merkezi koruma sağlayan bir hizmettir. WAF, OWASP (Open Web Application Security Project) çekirdek kural kümeleri 3.1 (yalnızca WAF_v2), 3.0 ve 2.2.9'dan gelen kuralları temel alır.
Web uygulamaları, bilinen yaygın güvenlik açıklarından yararlanan kötü amaçlı saldırıların giderek daha fazla hedefi olmaktadır. Bu açıklardan yararlanma örnekleri arasında SQL ekleme saldırıları, siteler arası komut dosyası saldırıları yaygındır. Uygulama kodunda bu tür saldırıların önlenmesi zor olabilir ve uygulama topolojisinin birçok katmanında ayrıntılı bakım, düzeltme eki uygulama ve izleme işlemleri gerektirebilir. Merkezi bir web uygulaması güvenlik duvarı, güvenlik yönetimini çok daha kolay hale getirir ve yetkisiz erişim ya da izinsiz giriş tehditlerine karşı uygulama yöneticilerine daha iyi güvence verir. Bir WAF çözümü, bilinen bir güvenlik açığına merkezi bir konumda düzeltme eki uygulayarak güvenlik tehdidine karşı, web uygulamalarının her birinin güvenliğini sağlamaya göre daha hızlı tepki verebilir. Mevcut uygulama ağ geçitleri kolayca Web Uygulaması Güvenlik Duvarı etkinleştirilmiş bir uygulama ağ geçidine dönüştürülebilir.
DDoS saldırılarına karşı koruma sağlamak için Azure WAF'yi Application Gateway ile kullanma yönergeleri için Uygulama DDoS koruması'na bakın. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?
AKS için Giriş Denetleyicisi
Application Gateway Giriş Denetleyicisi (AGIC), Bir Azure Kubernetes Service (AKS) kümesi için giriş olarak Application Gateway kullanmanıza olanak tanır.
Giriş denetleyicisi AKS kümesinde bir pod olarak çalışır ve Kubernetes Giriş Kaynakları'nı kullanır ve ağ geçidinin Kubernetes podlarına yönelik trafiği yük dengelemesine olanak tanıyan bir Application Gateway yapılandırmasına dönüştürür. Giriş denetleyicisi yalnızca Application Gateway Standard_v2 ve WAF_v2 SKU'larını destekler.
Daha fazla bilgi için bkz . Application Gateway Giriş Denetleyicisi (AGIC).
URL tabanlı yönlendirme
URL Yolu Tabanlı Yönlendirme, isteğin URL Yollarına göre trafiği arka uç sunucu havuzlarına yönlendirmenizi sağlar. Senaryolardan biri, farklı içerik türleri için istekleri farklı havuzlara yönlendirmektir.
Örneğin, http://contoso.com/video/* için istekler VideoServerPool’a ve http://contoso.com/images/* için istekler ImageServerPool’a yönlendirilir. Yol desenlerinden hiçbiri eşleşmiyorsa DefaultServerPool seçilir.
Daha fazla bilgi için bkz . URL Yolu Tabanlı Yönlendirmeye genel bakış.
Birden çok site barındırma
Application Gateway ile, aynı uygulama ağ geçidindeki birden fazla web uygulaması için ana bilgisayar adına veya etki alanı adına göre yönlendirmeyi yapılandırabilirsiniz. Bir uygulama ağ geçidine 100'den fazla web sitesi ekleyerek dağıtımlarınız için daha verimli bir topoloji yapılandırmanıza olanak tanır. Her web sitesi, kendi arka uç havuzuna yönlendirilebilir. Örneğin contoso.com, fabrikam.com ve adatum.com olmak üzere üç etki alanı, uygulama ağ geçidinin IP adresine işaret eder. Üç çoklu site dinleyicisi oluşturup her dinleyiciyi ilgili bağlantı noktası ve protokol ayarına göre yapılandırabilirsiniz.
için istekler http://contoso.com ContosoServerPool'a yönlendirilir, http://fabrikam.com FabrikamServerPool'a yönlendirilir ve bu şekilde devam eder.
Benzer şekilde, aynı üst etki alanının iki alt etki alanı, aynı uygulama ağ geçidi dağıtımında barındırılabilir. Alt etki alanı kullanım örnekleri, tek bir uygulama ağ geçidi dağıtımında barındırılan http://blog.contoso.com ve http://app.contoso.com öğelerini içerebilir. Daha fazla bilgi için bkz . Application Gateway birden çok site barındırma.
Ayrıca çoklu site dinleyicisinde joker karakter ana bilgisayar adı tanımlayabilir ve bunu dinleyici başına en fazla 5 ana bilgisayar adı için yapabilirsiniz. Daha fazla bilgi edinmek için bkz . Dinleyicide joker konak adları.
Yönlendirme
Birçok web uygulaması için yaygın bir senaryo, bir uygulama ile kullanıcıları arasındaki tüm iletişimin şifrelenmiş bir yol üzerinden yapıldığından emin olmak için otomatik HTTP’yi HTTPS’ye dönüştürme yeniden yönlendirmesini desteklemektir.
Geçmişte, tek amacı HTTP'de aldığı istekleri HTTPS'ye yeniden yönlendirmek olan ayrılmış havuz oluşturma gibi teknikler kullanmış olabilirsiniz. Uygulama ağ geçidi, Application Gateway’de trafiği yeniden yönlendirme özelliğini destekler. Bu uygulama yapılandırmasını basitleştirir, kaynak kullanımını en iyi duruma getirir ve genel ve yol tabanlı yeniden yönlendirme dahil yeni yeniden yönlendirme senaryolarını destekler. Application Gateway yeniden yönlendirme desteği yalnızca HTTPS yeniden yönlendirmesi için HTTP ile sınırlı değildir. Bu, kuralları kullanarak tanımladığınız herhangi bir bağlantı noktasından ve bağlantı noktasına yeniden yönlendirebilmeniz için genel bir yeniden yönlendirme mekanizmasıdır. Ayrıca, bir dış siteye yönlendirmeyi de destekler.
Application Gateway yeniden yönlendirme desteği aşağıdaki özellikleri sunar:
- Ağ Geçidi üzerindeki bir bağlantı noktasından başka bir bağlantı noktasına genel yeniden yönlendirme. Bu özellik, bir sitede HTTP’den HTTPS’ye yeniden yönlendirmeyi sağlar.
- Yol tabanlı yönlendirme. Bu tür yeniden yönlendirmeler, HTTP’den HTTPS’ye yeniden yönlendirmeyi yalnızca belirli bir site alanında (örneğin
/cart/*tarafından belirtilen bir alışveriş sepetinde) etkinleştirir. - Dış siteye yeniden yönlendirme.
Daha fazla bilgi için bkz . Application Gateway yeniden yönlendirmesine genel bakış.
Oturum benzeşimi
Tanımlama bilgilerine dayalı oturum benzeşimi özelliği, bir kullanıcı oturumunu aynı sunucuda tutmak istediğinizde kullanışlıdır. Application Gateway, ağ geçidi tarafından yönetilen tanımlama bilgilerini kullanarak bir kullanıcı oturumundan sonraki trafiği işlenmek üzere aynı sunucuya yönlendirebilir. Bu, oturum durumunun bir kullanıcı oturumuna ait sunucuya yerel olarak kaydedildiği durumlarda önemlidir.
Daha fazla bilgi için bkz . Uygulama ağ geçidi nasıl çalışır?
Websocket ve HTTP/2 trafiği
Application Gateway, WebSocket ve HTTP/2 protokolleri için yerel destek sağlar. WebSocket desteğini isteğe bağlı olarak etkinleştirmek veya devre dışı bırakmak için kullanıcı tarafından yapılandırılabilen bir ayar yoktur.
WebSocket ve HTTP/2 protokolleri, uzun süre çalışan bir TCP bağlantısı üzerinden bir sunucu ile bir istemci arasında tam çift yönlü iletişimi etkinleştirir. Bu, web sunucusu ile istemci arasında HTTP tabanlı uygulamalarda gerektiği gibi yoklama olmadan çift yönlü olabilen daha etkileşimli bir iletişime olanak sağlar. Bu protokoller HTTP'den farklı olarak düşük ek yüke sahiptir ve aynı TCP bağlantısını birden çok istek/yanıt için yeniden kullanabilir ve bu da daha verimli bir kaynak kullanımına neden olabilir. Bu protokoller, geleneksel HTTP bağlantı noktaları 80 ve 443 üzerinden çalışmak üzere tasarlanmıştır.
Daha fazla bilgi için bkz . WebSocket desteği ve HTTP/2 desteği.
Bağlantı boşaltma
Bağlan boşaltma, planlı hizmet güncelleştirmeleri veya arka uç durumuyla ilgili sorunlar sırasında arka uç havuzu üyelerinin düzgün bir şekilde kaldırılmasına yardımcı olur. Bu ayar Arka Uç Ayarı aracılığıyla etkinleştirilir ve kural oluşturma sırasında tüm arka uç havuzu üyelerine uygulanır. Uygulama ağ geçidi etkinleştirildikten sonra, bir arka uç havuzunun tüm kayıt silme örneklerinin yeni istek almamasını sağlar ve mevcut isteklerin yapılandırılmış bir zaman sınırı içinde tamamlanmasını sağlar. Arka uç örneklerinin olduğu durumlar için geçerlidir:
- kullanıcı tarafından yapılan yapılandırma değişikliğinden sonra arka uç havuzundan açıkça kaldırıldı
- sistem durumu yoklamaları tarafından iyi durumda değil olarak bildirilir veya
- ölçeklendirme işlemi sırasında kaldırıldı
Tek özel durum, ağ geçidi tarafından yönetilen oturum benzimi nedeniyle isteklerin kayıt kaldırma örneklerine yakın olmaya devam etmesidir.
Bağlantı boşaltma, WebSocket bağlantıları için de kabul edilir. Bağlan boşaltma, ağ geçidindeki her güncelleştirme için çağrılır. Arka uç havuzunun mevcut üyelerine bağlantı kaybını önlemek için bağlantı boşaltmayı etkinleştirdiğinizden emin olun.
Zaman sınırları hakkında bilgi için bkz. Arka uç Ayarlar yapılandırması.
Özel hata sayfaları
Application Gateway, varsayılan hata sayfalarını göstermek yerine özel hata sayfaları oluşturmanızı sağlar. Özel hata sayfası sayesinde kendi logonuzu ve sayfa düzeninizi kullanabilirsiniz.
Daha fazla bilgi için bkz . Özel Hatalar.
HTTP üst bilgilerini ve URL’sini yeniden yazma
HTTP üst bilgileri, istemcinin ve sunucunun istek veya yanıtla birlikte ek bilgi geçirmesine olanak tanır. Bu HTTP üst bilgilerinin yeniden yazılması, aşağıdakiler gibi çeşitli önemli senaryoları gerçekleştirmenize yardımcı olur:
- HSTS/ X-XSS-Protection gibi güvenlikle ilgili üst bilgi alanları ekleme.
- Hassas bilgileri ortaya çıkarabilecek yanıt üst bilgisi alanları kaldırılıyor.
- X-Forwarded-For üst bilgilerinden bağlantı noktası bilgileri çıkarılır.
Application Gateway ve WAF v2 SKU'su HTTP isteği ve yanıt üst bilgilerini ekleme, kaldırma veya güncelleştirme özelliğini desteklerken, istek ve yanıt paketleri istemci ve arka uç havuzları arasında hareket eder. Ayrıca URL’leri, sorgu dizesi parametrelerini ve konak adını yeniden yazabilirsiniz. URL yeniden yazma ve URL yolu tabanlı yönlendirme ile, istekleri özgün yola göre arka uç havuzlarından birine yönlendirmeyi veya yol eşlemesini yeniden değerlendir seçeneğini kullanarak yeniden yazmayı seçebilirsiniz.
Belirtilen üst bilgi ve URL’nin yalnızca belirli koşullar karşılandığında yeniden yazılmasını sağlamak için bu koşulları eklemenize de olanak tanır. Bu koşullar istek ve yanıt bilgilerine dayanır.
Daha fazla bilgi için bkz . HTTP üst bilgilerini ve URL'yi yeniden yazma.
Boyutlandırma
Application Gateway Standard_v2 otomatik ölçeklendirme veya sabit boyutlu dağıtımlar için yapılandırılabilir. v2 SKU'su farklı örnek boyutları sunmaz. v2 performansı ve fiyatlandırması hakkında daha fazla bilgi için bkz . V2'yi otomatik ölçeklendirme ve Fiyatlandırmayı anlama.
Application Gateway Standard (v1) üç boyutta sunulur: Küçük, Orta ve Büyük. Küçük örnek boyutları, geliştirme ve test senaryolarına yöneliktir.
Application Gateway limitlerinin tam listesi için bkz. Application Gateway hizmet limitleri.
Aşağıdaki tabloda, SSL boşaltma etkinleştirilmiş her bir uygulama ağ geçidi v1 örneği için ortalama performans aktarım hızı gösterilmektedir:
| Ortalama arka uç sayfası yanıt boyutu | Küçük | Orta | Büyük |
|---|---|---|---|
| 6 KB | 7,5 Mbps | 13 Mbps | 50 Mb/sn |
| 100 KB | 35 Mbps | 100 Mb/sn | 200 Mb/sn |
Not
Bu değerler bir uygulama ağ geçidi verimliliği için yaklaşık değerlerdir. Gerçek aktarım hızı, ortalama sayfa boyutu, arka uç örneklerinin konumu ve sayfaya hizmet vermek için işleme süresi gibi çeşitli ortam ayrıntılarına bağlıdır. Tam performans rakamlarına ulaşmak için kendi testlerinizi çalıştırmanız gerekir. Bu değerler yalnızca kapasite planlama konusunda yardımcı olmak için verilmiştir.
Sürüm özelliği karşılaştırması
Application Gateway v1-v2 özellik karşılaştırması için bkz. Azure Uygulaması lication Gateway v2 nedir?