Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede uzun süre çalışan oturumların davranışı ve Azure Güvenlik Duvarı için TCP boşta kalma zaman aşımı açıklanmaktadır. Bu kavramları anlamak, ağ güvenliğini korumak, güvenlik duvarı kaynaklarını iyileştirmek ve kritik uygulamalar için kesintisiz bağlantı sağlamak için çok önemlidir.
Uzun süreli TCP oturumları
Uzun süreli oturumlar, uzun süreler boyunca etkin kalan TCP bağlantılarına atıfta bulunur. SSH, RDP, VPN tünelleri ve veritabanı bağlantıları gibi uygulamalar genellikle bu uzun süre çalışan oturumları kullanır. Beklenmeyen bağlantı kesilmelerini önlemek için bu oturumları uygun şekilde yapılandırmanız gerekir. Kararlılığını etkileyen faktörleri anlamak, kesintisiz bağlantı sağlamak için çok önemlidir.
Bazı senaryolar, uzun süre çalışan TCP oturumlarının düşmesine neden olabilir. Azure Güvenlik Duvarı çok sayıda eşzamanlı bağlantıyı işleyecek şekilde tasarlanmıştır, ancak belirli koşullar altında uzun süre çalışan oturumları sürdüremeyebilir.
Azure Güvenlik Duvarı'nda aşağıdaki senaryolar uzun süre çalışan TCP oturumlarının sonlandırılmasına neden olabilir:
Ölçeği küçültme: Azure Güvenlik Duvarı ölçeği küçültüldüğünde, örnek geri dönüştürülmeden önce 90 saniye süreyle bir tahliye moduna girer. İşlem, bu süre sonunda hala etkin olan uzun süre çalışan bağlantıların bağlantısını keser.
Güvenlik duvarı bakımı: Bakım güncelleştirmeleri sırasında Azure Güvenlik Duvarı kısa süreli oturumların tamamlanmasına izin verir. Ancak yeniden başlatma işlemi, tahliye süresinin ötesinde devam eden uzun süreli oturumları sonlandırır.
Otomatik kurtarma: Azure Güvenlik Duvarı örneği yanıt vermez hale gelirse otomatik kurtarma işleminden geçer. Bu kurtarma işlemi, uzun süre çalışan oturumların bağlantısının kesilmesine neden olabilir.
Boşta kalma zaman aşımı: Azure Güvenlik Duvarı, TCP boşta kalma zaman aşımını aşan bir süre boyunca etkin olmayan bağlantıları kapatır.
Boşta kalma zaman aşımı ayarları
TCP boşta kalma zaman aşımı, Azure Güvenlik Duvarı bağlantıyı sonlandırmadan önce bir bağlantının ne kadar süreyle etkin kalmayabileceğini belirtir. Bu ayar, etkin olmayan bağlantıları kapatarak ve genel ağ performansını koruyarak Azure Güvenlik Duvarı'nı iyileştirmeye yardımcı olur.
TCP boşta kalma zaman aşımı birkaç avantaj sağlar:
- Verimli kaynak kullanımı: Azure Güvenlik Duvarı etkin olmayan bağlantıları sonlandırarak bellek ve işlem kaynaklarından tasarruf sağlayarak en iyi performansı sağlar.
- DDoS risk azaltma: Boşta ve kalıcı bağlantılardan yararlanan dağıtılmış hizmet reddi (DDoS) saldırılarına karşı korumaya yardımcı olur.
- Geliştirilmiş ağ performansı: Boşta kalan bağlantıları etkili bir şekilde yöneterek genel aktarım hızını artırır ve gecikme süresini azaltır.
Zaman aşımı davranışı
Azure Güvenlik Duvarı bağlamında , kuzey-güney trafiği Azure Güvenlik Duvarı ile İnternet arasındaki trafiği ifade ederken , doğu-batı trafiği aynı bölgedeki Azure kaynakları ile bölgeler arasında ve Azure VPN, Azure ExpressRoute veya Sanal Ağ Eşlemesi aracılığıyla azure güvenlik duvarı üzerinden bağlanan şirket içi ağlar arasındaki iç trafiği ifade eder.
TCP boşta kalma zaman aşımı davranışı kuzey-güney ve doğu-batı trafiği için farklılık gösterir:
- Kuzey-güney trafiği: Varsayılan TCP boşta kalma zaman aşımı 4 dakikadır. Azure portalı üzerinden bir destek isteği göndererek bu zaman aşımı süresini en fazla 15 dakikaya uzatabilirsiniz.
- Doğu-batı trafiği: TCP boşta kalma zaman aşımı 5 dakikada düzeltilir ve değiştirilemez.
TCP sıfırlama paketleri (RST)
Azure Güvenlik Duvarı boşta kalma zaman aşımı nedeniyle bir TCP bağlantısını sonlandırdığında hem istemciye hem de sunucuya bir TCP sıfırlama paketi (RST) gönderir. Bu paket her iki tarafa da bağlantının kapatıldığını bildirir. TCP sıfırlama paketlerinin davranışı, kuzey-güney ve doğu-batı trafiği için farklılık gösterir.
- Kuzey-güney trafiği: Azure Güvenlik Duvarı, tcp sıfırlama paketi (RST) göndererek boşta kalma zaman aşımı oluştuğunda hem istemciye hem de sunucuya bildirim gönderir.
- Doğu-batı trafiği: Boşta kalma zaman aşımı oluştuğunda Azure Güvenlik Duvarı sıfırlama paketi (RST) göndermez. Bu davranış uygulamalarda beklenmeyen sorunlara neden olabilir. Uygulamanızda uzun süre çalışan oturumları etkin tutmak ve ölçeklendirme, bakım veya otomatik kurtarma olayları sırasında kesintileri önlemek için bir etkin tutma mekanizması yapılandırın.
Geleneksel SAP GUI ve SAP Uzaktan İşlev Çağrısı (RFC) tabanlı uygulamalar gibi bazı uygulamalar oturum sıfırlamalarına duyarlıdır ve oturumlar beklenmedik şekilde sonlandırıldığında bağlantı sorunlarıyla karşılaşabilir. Bu sorunları önlemek için, oturum sıfırlamalarını düzgün bir şekilde işlemek için uygulamanızda yeniden deneme mantığını uygulayın. Bu mekanizma, bağlantıları yeniden kurma ve işlemleri sorunsuz bir şekilde sürdürme mantığını içermelidir.
Uyarı
SAP iş yüklerini bir Azure Güvenlik Duvarı aracılığıyla çalıştırıyorsanız, yapılandırmanızı test edin ve başarılı bir Azure dağıtımı sağlamak için [SAP tasarım belgeleri](/azure/sap/workloads/deployment-check list?tabs=pilot#pilot-phase-strongly-recommended) gözden geçirin.
Ölçek küçültme olaylarında TCP sıfırlama davranışı
Azure Güvenlik Duvarı iç ölçeklendirme yaptığında, temel alınan güvenlik duvarı örneği geri dönüştürülmeden önce 90 saniye boyunca bir drenaj moduna girer.
- İlk 45 saniye: Güvenlik duvarı yeni bağlantıları kabul etmemeye başlar ancak mevcut bağlantıların TCP sıfırlama paketleri göndermeden devam etmesine izin verir.
-
Sonraki 45 saniye: Güvenlik duvarı, geri dönüşümden önce temiz sonlandırmayı sağlamak için tüm etkin oturum akışlarına TCP RST paketleri gönderir. Bu sıfırlamalar, bağlantının temiz bir şekilde kapandığını hem istemciye hem de sunucuya bildirir, böylece altta yatan örnek kullanımdan kaldırıldıktan sonra gelmeyecek paketler için bekleyerek taraflardan hiçbiri süresiz askıda kalmaz.
- hem istemci hem de sunucu uç noktalarının bu sıfırlamaları hemen algıladığından emin olmak için iki yönlü TCP etkin tutma iletilerini 30 saniyelik aralıklarla yapılandırın. Keep-alive yoklamaları, hiçbir uygulama verisi alınmadığında bile düzenli trafik oluşturur ve her iki tarafın da bağlantının kapandığını gerçek zamanlı olarak algılamasına ve yarı-açık oturumların önüne geçmesine yardımcı olur. Bu, bir tarafın diğer taraf bağlantıyı kapattıktan sonra hala bağlantının açık olduğunu düşündüğü durumları önlemek içindir. Bu yapılandırma, uygulamaların ölçek küçültme sırasında bir güvenlik duvarı örneği geri dönüştürüldüğünde bağlantıları düzgün bir şekilde kurtarmasına olanak tanır.
- 30 saniyelik etkin tutma aralığı uygun değilse, uzun süre çalışan bağlantıları kesintiye uğratabilecek ölçek daraltma olaylarının olasılığını azaltarak daha yüksek bir minimum kapasiteyi korumak için ön ölçeklendirmeyi yapılandırmayı göz önünde bulundurun.
Bu ölçek küçültme TCP sıfırlama davranışı hem kuzey-güney hem de doğu-batı trafiği için geçerlidir. Güvenlik duvarı örneği kullanımdan kaldırılmadan önce istemcilerin ve sunucuların düzgün bir şekilde bildirilmesini sağlar. Boşaltma süresi ve sıfırlama davranışı, ölçek küçültme olayları sırasında yapılandırılamaz.
Uyarı
Ölçeklendirme sırasında TCP sıfırlama davranışı boşta kalma zaman aşımı davranışından farklıdır. Boşta kalma zaman aşımı için RST paketleri yalnızca kuzey-güney trafiği için gönderilirken, ölçeği daraltma sırasında RST paketleri hem kuzey-güney hem de doğu-batı trafiği için gönderilir.
Sonraki adımlar
Azure Güvenlik Duvarı performansı hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı performansı.