Azure'da bir web uygulaması barındırmak için bölünmüş beyin DNS yapılandırması kullanma

İş yüklerini yöneten ekipler genellikle müşteri erişimi için tam etki alanı adlarına (FQDN) güvenir. FQDN'ler genellikle Aktarım Katmanı Güvenliği (TLS) Sunucu Adı Göstergesi (SNI) ile birleştirilir. Bu yaklaşımla, genel müşteriler genel İnternet'ten bir iş yüküne eriştiğinde veya kurumsal müşteriler bir iş yüküne dahili olarak eriştiğinde, uygulamaya yönlendirme sabit yolları izleyebilir ve çeşitli güvenlik veya hizmet kalitesi (QoS) düzeylerine sahip olabilir.

Aşağıdaki mimaride, trafiğin Etki Alanı Adı Sistemi'ne (DNS) göre nasıl ele alındığını ve müşterinin İnternet'ten mi yoksa şirket ağından mı kaynaklandığını ayırt etmeye yönelik bir yaklaşım gösterilmektedir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Aşağıdaki iş akışı bölümlerinde iki yapılandırma açıklanmaktadır: genel İnternet iş akışı ve özel iş akışı. Bölünmüş beyin barındırma mimarisini uygulamak için iki iş akışını birleştirin.

Genel İnternet iş akışı

Bu mimarinin bir Visio dosyasını indirin.

1. Müşteriler, uygulama için app.contoso.com genel İnternet üzerinden bir istek gönderir.

2. contoso.com etki alanı için bir Azure DNS bölgesi yapılandırılır. Azure Front Door uç noktaları için uygun kurallı ad (CNAME) girişleri yapılandırılır.

3. Dış müşteriler, genel yük dengeleyici ve web uygulaması güvenlik duvarı (WAF) olarak işlev gösteren Azure Front Door aracılığıyla web uygulamasına erişmektedir.

   • Azure Front Door içinde, app.contoso.com yapılandırılmış bir uç nokta üzerindeki yollar aracılığıyla FQDN olarak atanır. Azure Front Door, uygulamalar için TLS SNI sertifikalarını da barındırıyor.

     Not

     Azure Front Door otomatik olarak imzalanan sertifikaları desteklemez.

   • Azure Front Door, istekleri müşterinin Host HTTP üst bilgisine göre yapılandırılan kaynak grubuna yönlendirir.

   • Kaynak grubu, Application Gateway'in genel IP adresi aracılığıyla Azure Uygulaması lication Gateway örneğine işaret etmek üzere yapılandırılır.

4. AzureFrontDoor.Backend hizmet etiketinden 80 numaralı bağlantı noktası ve 443 numaralı bağlantı noktasında gelen erişime izin vermek için AppGW alt ağında bir ağ güvenlik grubu (NSG) yapılandırılır. NSG, internet hizmet etiketinden 80 numaralı bağlantı noktası ve 443 numaralı bağlantı noktasında gelen trafiğe izin vermez.

   Not

   AzureFrontDoor.Backend hizmet etiketi trafiği yalnızca Azure Front Door örneğiniz ile sınırlamaz. Doğrulama bir sonraki aşamada gerçekleşir.

5. Application Gateway örneğinin 443 numaralı bağlantı noktasında bir dinleyicisi vardır. Trafik, dinleyicide belirtilen ana bilgisayar adına göre arka uca yönlendirilir.

   • Trafiğin Azure Front Door profilinizden kaynaklanmasını sağlamak için, üst bilgi değerini denetlemek X-Azure-FDID için özel bir WAF kuralı yapılandırın.

   • Azure, her Azure Front Door profili için benzersiz bir tanımlayıcı oluşturur. Benzersiz tanımlayıcı, Azure portalının genel bakış sayfasında bulunan Front Door Id değeridir.

6. Trafik, Application Gateway'de arka uç havuzu olarak yapılandırılan işlem kaynağına ulaşır.

Özel kurumsal iş akışı

Bu mimarinin bir Visio dosyasını indirin.

1. Müşteriler, şirket içi ortamdan app.contoso.com uygulama için bir istek başlatır.

2. Uygulama FQDN'leri şirket içi DNS sağlayıcısında yapılandırılır. Bu DNS sağlayıcısı şirket içi Windows Server Active Directory DNS sunucuları veya diğer iş ortağı çözümleri olabilir. Uygulama FQDN'lerinin her biri için DNS girişleri, Application Gateway örneğinin özel IP adresine işaret etmek üzere yapılandırılır.

3. Azure ExpressRoute bağlantı hattı veya siteden siteye VPN, Application Gateway'e erişimi kolaylaştırır.

4. Bir NSG, trafiğin kaynaklandığı şirket içi müşteri ağlarından gelen özel isteklere izin vermek için AppGW alt ağında yapılandırılır. Bu yapılandırma, diğer özel trafik kaynaklarının Application Gateway'in özel IP adresine doğrudan ulaşamasını sağlar.

5. Application Gateway'de 80 numaralı bağlantı noktası ve 443 numaralı bağlantı noktası üzerinde yapılandırılmış bir dinleyici vardır. Trafik, dinleyicide belirtilen ana bilgisayar adına göre arka uca yönlendirilir.

6. Application Gateway'de arka uç havuzu olarak yapılandırılan işlem yalnızca özel ağ trafiğine ulaşır.

Bileşenler

• DNS: Genel bir İnternet iş akışı için, Azure Front Door uç noktası FQDN'sinin uygun CNAME'i ile genel bir Azure DNS bölgesi yapılandırmanız gerekir. Özel (kuruluş) tarafında, yerel DNS sağlayıcısını (Windows Server Active Directory DNS veya iş ortağı çözümü) her uygulama FQDN'sini Application Gateway'in özel IP adresine işaret etmek üzere yapılandırın.

• Azure DNS Özel Çözümleyicisi: Şirket içi müşterilerin çözümü için DNS Özel Çözümleyici'yi kullanabilirsiniz. Kurumsal müşteriler, genel İnternet'ten geçmeden uygulamalara erişim elde etmek için bu bölünmüş beyin DNS çözümünü kullanabilir.

• Azure Front Door: Azure Front Door, dünyanın dört bir yanındaki müşterilere hızlı ve güvenli web uygulaması teslimi sağlayan küresel bir yük dengeleyici ve WAF'dir. Bu mimaride, Azure Front Door dış müşterileri Application Gateway örneğine yönlendirir ve müşteri deneyimini geliştirmek için önbelleğe alma ve iyileştirme seçenekleri sağlar.

• Application Gateway: Application Gateway, web uygulamaları için yüksek kullanılabilirlik, ölçeklenebilirlik ve güvenlik sağlayan bölgesel bir yük dengeleyici ve WAF'dir. Bu mimaride Application Gateway, dış ve iç müşteri isteklerini arka uç işlemlerine yönlendirir ve web uygulamasını yaygın web saldırılarına karşı korur.

  Hem Azure Front Door hem de Application Gateway WAF özellikleri sağlar, ancak bu çözümdeki özel iş akışı Azure Front Door kullanmaz. Bu nedenle, her iki mimari de Application Gateway'in WAF işlevini kullanır.

• ExpressRoute: ExpressRoute'u kullanarak şirket içi ağlarınızı bir bağlantı sağlayıcısının yardımıyla özel bir bağlantı aracılığıyla Microsoft Bulut'a genişletebilirsiniz. Bu mimaride, şirket içi müşteriler için Application Gateway'e özel bağlantıyı kolaylaştırmak için ExpressRoute'u kullanabilirsiniz.

Alternatifler

Alternatif bir çözüm olarak, Azure Front Door'ı kaldırabilir ve bunun yerine genel Azure DNS kaydını Application Gateway'in genel IP adresine işaret edebilirsiniz. Bu mimarinin gereksinimlerine bağlı olarak, Azure'a giriş noktasında önbelleğe alma ve iyileştirme yapmanız gerekir. Bu nedenle, alternatif çözüm bu senaryo için bir seçenek değildir. Daha fazla bilgi için bkz . Maliyet iyileştirme.

Bu mimarinin bir Visio dosyasını indirin.

Bu mimarideki genel giriş trafiği için diğer olası alternatifler şunlardır:

• Azure Traffic Manager: Traffic Manager, trafiği çeşitli bölgelere ve uç noktalara dağıtan DNS tabanlı bir trafik yönlendirme hizmetidir. Dış müşterileri en yakın Application Gateway örneğine yönlendirmek için Azure Front Door yerine Traffic Manager'ı kullanabilirsiniz. Ancak Azure Front Door WAF özellikleri, önbelleğe alma ve oturum benzini gibi özellikler sağlar. Traffic Manager bu özellikleri sağlamaz.

• Azure Load Balancer: Azure Load Balancer, İletim Denetimi Protokolü (TCP) ve Kullanıcı Veri Birimi Protokolü (UDP) trafiği için yüksek kullanılabilirlik ve ölçeklenebilirlik sağlayan bir ağ yük dengeleyicidir. Dış ve iç müşteri isteklerini arka uç web sunucularına yönlendirmek için Application Gateway yerine Load Balancer kullanabilirsiniz. Ancak, Application Gateway WAF özellikleri, Güvenli Yuva Katmanı (SSL) sonlandırma ve tanımlama bilgisi tabanlı oturum benzimliği gibi özellikler sağlar. Load Balancer bu özellikleri sağlamaz.

Senaryo ayrıntıları

Bu senaryo, hem dış hem de iç müşterilere hizmet veren bir web uygulaması barındırma sorununu çözer. Bu mimari, trafiğin müşterinin kaynağına göre uygun bir yol izlemesini sağlar. Bu mimari:

• Dünyanın dört bir yanındaki kurumsal olmayan müşteriler için bir web uygulamasına İnternet üzerinden hızlı ve güvenilir erişim sağlar.

• Kurumsal müşterilere genel İnternet'ten geçmeden bir uygulamaya erişme olanağı sağlar.

• Bir web uygulamasını yaygın web saldırılarına ve kötü amaçlı trafiğe karşı korur.

Olası kullanım örnekleri

Şunları gerektiren senaryolar için bu mimariyi kullanın:

• Bölünmüş beyin DNS: Bu çözümde dış müşteriler için Azure Front Door ve her hizmet için farklı DNS kayıtlarıyla iç müşteriler için Application Gateway kullanılır. Bu yaklaşım, çeşitli müşteriler için ağ performansını, güvenliğini ve kullanılabilirliğini iyileştirmeye yardımcı olur.

• Uygulama ölçeklenebilirliği: Bu çözüm, trafiği yapılandırılmış arka uç işlem kaynakları arasında dağıtabilen Application Gateway'i kullanır. Bu yaklaşım, uygulama performansını ve kullanılabilirliğini geliştirmeye yardımcı olur ve yatay ölçeklendirmeyi destekler.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik için tasarım gözden geçirme denetim listesi.

• Hata noktalarını tanımlama: Bu bölünmüş beyin DNS mimarisinde güvenilirlik, Azure Front Door, Application Gateway ve DNS yapılandırmaları gibi önemli bileşenlerin doğru çalışmasına bağlıdır. Yanlış yapılandırmalar, SSL sertifika sorunları veya kapasite aşırı yüklemeleri gibi olası hata noktalarını tanımlamanız gerekir.

• Etkiyi değerlendirme: Hataların etkisini değerlendirmeniz gerekir. Dış müşteriler için ağ geçidi olarak hizmet veren Azure Front Door'daki tüm kesintiler genel erişimi etkileyebilir. İç müşteriler için Application Gateway'de herhangi bir kesinti kurumsal işlemleri engelleyebilecektir.

• Risk azaltma stratejilerini uygulama: Riskleri azaltmak, birden çok kullanılabilirlik alanında yedeklilik uygulamak, gerçek zamanlı izleme için sistem durumu yoklamalarını kullanın ve hem dış hem de iç trafik için DNS yönlendirmesinin doğru yapılandırmasını sağlayın. DNS kayıtlarını düzenli olarak güncelleştirdiğinizden ve olağanüstü durum kurtarma planına sahip olduğunuzdan emin olun.

• Sürekli izleme: Sisteminizin durumunu dikkatli bir şekilde izlemek için Azure İzleyici özelliklerini devreye alma. Anomaliler için uyarılar ayarlayın ve olası sorunları hemen gidermek için bir olay yanıt planı hazırlayın.

Güçlüklere dayanabilen ve hizmet sürekliliğini koruyabilen sağlam ve güvenilir bir sistem sağlamak için bu ilkelere uyun.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik için tasarım gözden geçirme denetim listesi.

• Sıfır Güven yaklaşımını kullanın: Bölünmüş beyin DNS kurulumunda Sıfır Güven yaklaşımını uygulayın. Müşterinin kimliğini, İnternet'ten mi yoksa şirket ağından mı kaynaklandığını açıkça doğrulayın. Bu yaklaşım yalnızca güvenilen varlıkların yetkili eylemler gerçekleştirmesini sağlar.

• Uygulama: Güçlü kimlik yönetimi için Microsoft Entra Id uygulayın. Müşteri bağlamı, cihaz durumu ve konum temelinde katı erişim denetimleri uygulamak için Microsoft Entra Koşullu Erişim ilkelerini kullanın.

• Güvenlik etkinliğini değerlendirme: Aşağıdakileri uygulayarak çift erişimli iş yükünüz için güvenlik önlemlerinin verimliliğini değerlendirin:

  • Savunma yatırımları: Azure Front Door ve Application Gateway'in verimliliğini düzenli olarak değerlendirin. Tehditlere karşı anlamlı koruma sağladıklarından emin olun.

  • Patlama yarıçapı kısıtlaması: Sınırlı bir kapsam dahilinde güvenlik ihlalleri içerdiğinden emin olun. Örneğin, dış ve iç trafik akışlarını etkili bir şekilde yalıtma.

• İhlal olduğunu varsay: Saldırganların güvenlik denetimlerini ihlal ettiğini kabul edin. Bu tür senaryolara hazırlanın.

• Güvenlik önlemleri uygulama: Ağ segmentasyonu, mikro segmentasyon ve NSG'ler uygulayın. Bir saldırganın erişim kazanabileceğini ve uygun şekilde telafi denetimleri tasarlayabileceğini varsayalım.

İş yükünüzün iç ve dış erişimini koruyan sağlam ve dayanıklı bir sistem oluşturmak için bu güvenlik ilkelerini bölünmüş beyin DNS mimarinizle tümleştirin.

Diğer güvenlik geliştirmeleri

• Application Gateway: Web uygulamalarınızı yaygın web güvenlik açıklarından ve açıklardan yararlanmalardan korumak için Application Gateway'de WAF kullanabilirsiniz. Arka uç uygulama sunucularınıza Application Gateway'den genel İnternet'e sunmadan güvenli bir şekilde erişmek için de Azure Özel Bağlantı kullanabilirsiniz.

• Azure Güvenlik Duvarı: Hub sanal ağına bir Azure güvenlik duvarı ekleyebilir ve bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen kötü amaçlı trafiği engellemek için Azure Güvenlik Duvarı tehdit bilgilerini kullanabilirsiniz. DNS trafiğini kesmek ve incelemek ve DNS filtreleme kurallarını uygulamak için dns ara sunucusu olarak da Azure Güvenlik Duvarı kullanabilirsiniz.

• Azure Front Door: Azure Web Uygulaması Güvenlik Duvarı kullanarak web uygulamalarınızı yaygın web güvenlik açıklarına ve uçta açıklardan yararlanmaya karşı koruyabilirsiniz. Özel Bağlantı Azure Front Door Premium katmanıyla birlikte kullanarak arka uç uygulama sunucularınızı genel İnternet'e göstermeden Azure Front Door'dan güvenli bir şekilde erişebilirsiniz.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet İyileştirme için tasarım gözden geçirme denetim listesi.

• Arka uç işlem: SKU seçimi, çoğaltma sayısı ve bölge gibi birçok faktör arka uç işlem hizmetlerini çalıştırma maliyetini düşürür. İş yükünüz için en iyi seçeneği belirlemeden önce işlem kaynağının tüm öğelerini göz önünde bulundurduğunuzdan emin olun.

• Application Gateway: Application Gateway maliyetleri örnek sayısına, örneklerin boyutuna ve işlenen veri miktarına bağlıdır. Trafik talebine göre örnek sayısını ayarlamak için otomatik ölçeklendirmeyi kullanarak maliyeti iyileştirebilirsiniz. Ayrıca, yüksek kullanılabilirlik için ek örneklere olan ihtiyacı azaltmak için alanlar arası yedekli SKU'ları kullanılabilirlik alanları arasında dağıtabilirsiniz.

• Azure Front Door: Azure Front Door maliyetleri yönlendirme kurallarının sayısına, HTTP veya HTTPS isteklerinin sayısına ve aktarılan veri miktarına bağlıdır. Azure Content Delivery Network, Azure Web Uygulaması Güvenlik Duvarı ve Özel Bağlantı ile birleşik bir deneyim elde etmek için Azure Front Door Standart katmanını veya Premium katmanını kullanabilirsiniz. Trafik yönetimini özelleştirmek, performansı ve maliyeti iyileştirmek için Azure Front Door kural altyapısı özelliğini de kullanabilirsiniz.

  Senaryonuzda genel erişim veya Azure Front Door'un ek özellikleri gerekmiyorsa bu çözümü yalnızca Application Gateway ile kullanabilirsiniz. Tüm genel DNS kayıtlarını Application Gateway dinleyicilerinde yapılandırılan genel IP adresine işaret edebilirsiniz.

Bu mimarideki bileşenlerin tipik kullanımına yaklaşık olarak bu çözümün bir örneğine bakın. Maliyetleri senaryonuza uyacak şekilde ayarlayın.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Troy Hite | Üst Düzey Bulut Çözümü Mimarı

Diğer katkıda bulunanlar:

• Mays Algebary | Kıdemli Azure Networking Global Blackbelt
• Adem Torkar | Kıdemli Azure Networking Global Blackbelt
• Michael McKechney | Baş Azure Teknoloji Uzmanı

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Application Gateway altyapı yapılandırması
• Azure Front Door ile uçtan uca TLS
• Azure Front Door'a özel etki alanı ekleyin
• Azure Front Door için bir etki alanında coğrafi filtreleme nedir?

İlgili kaynaklar

• Sanal ağlar için Güvenlik Duvarı ve Application Gateway
• Azure Front Door'ı çok kiracılı bir çözümde kullanma