Aracılığıyla paylaş


Azure Front Door Premium'da Özel Bağlantı ile Kaynak Sunucunuzun Güvenliğini Sağlayın

Şunlar için geçerlidir: ✔️ Front Door Premium

Azure Özel Bağlantı, sanal ağınızdaki özel bir uç nokta üzerinden Azure'da barındırılan Azure PaaS hizmetlerine ve hizmetlerine erişmenizi sağlar. Sanal ağınız ile hizmet arasındaki trafik Microsoft omurga ağını aşarak genel İnternet'e maruz kalma durumunu ortadan kaldırır.

Azure Front Door Premium, Özel Bağlantı kullanarak kaynağınıza bağlanabilir. Kaynağınız, bir sanal ağda veya Azure Web App ya da Azure Depolama gibi bir PaaS hizmetinde barındırılabilir. Özel Bağlantı kaynağınıza genel erişim gereksinimini ortadan kaldırır.

Özel Bağlantı etkinleştirilmiş Azure Front Door diyagramı.

Azure Front Door Premium'da kaynağınıza Özel Bağlantı etkinleştirdiğinizde, Front Door, Azure Front Door tarafından yönetilen bölgesel bir özel ağdan sizin yerinize özel bir uç nokta oluşturur. Onayınızı bekleyen bir Azure Front Door özel uç nokta isteğini kaynağında alırsınız.

Trafiğin çıkış noktasına özel olarak geçebilmesi için önce özel uç nokta bağlantısını onaylamanız gerekir. Azure portalını, Azure CLI'yı veya Azure PowerShell'i kullanarak özel uç nokta bağlantılarını onaylayabilirsiniz. Daha fazla bilgi için bkz . Özel Uç Nokta bağlantısını yönetme.

Özel Bağlantı için bir kaynağı etkinleştirdikten ve özel uç nokta bağlantısını onayladıktan sonra, bağlantının kurulması birkaç dakika sürebilir. Bu süre boyunca, kaynaklara yapılan istekler bir Azure Front Door hata iletisi alır. Bağlantı kurulduktan sonra hata iletisi kaybolur.

İsteğiniz onaylandıktan sonra, Trafiğinizi Azure Front Door tarafından yönetilen sanal ağdan yönlendirmek için ayrılmış bir özel uç nokta atanır. İstemcilerinizden gelen trafik Azure Front Door Genel POP'larına ulaşır ve ardından Microsoft omurga ağı üzerinden ayrılmış özel uç noktayı içeren yönetilen sanal ağı barındıran AFD bölgesel kümesine yönlendirilir. Trafik daha sonra Microsoft omurga ağı üzerinden özel bağlantı platformu aracılığıyla kaynağınıza yönlendirilir. Bu nedenle kaynağınıza gelen trafik, Azure Front Door'a ulaştığında güvenli hale gelir.

Not

  • Bu özellik yalnızca AFD'nizden kaynağınıza özel bağlantı bağlantısını destekler. İstemciden AFD'ye özel bağlantı desteklenmez.

Desteklenen kaynaklar

Doğrudan özel uç nokta bağlantısı için kaynak desteği şu anda aşağıdaki kaynak türleriyle sınırlıdır.

Kaynak türü Dokümantasyon
App Service (Web Uygulaması, İşlev Uygulaması) Özel Bağlantı ile AFD'yi bir Web Uygulamasına / İşlev Uygulaması kaynağına bağlayın.
Blob Depolama Özel Bağlantı ile AFD'yi bir depolama hesabı kaynağına bağlayın.
Statik Depolama Web Sitesi Özel Bağlantı ile AFD'yi depolama statik web sitesi kaynağına bağlayın.
İç yük dengeleyiciler veya Azure Kubernetes Service veya Azure Red Hat OpenShift gibi iç yük dengeleyicileri kullanıma sunan hizmetler Özel Bağlantı ile AFD'yi bir iç yük dengeleyici kaynağına bağlayın.
API Yönetimi Özel Bağlantı ile AFD'yi bir API Management kaynağına bağlayın.
Application Gateway Özel Bağlantı ile AFD'yi bir uygulama ağ geçidi kaynağına bağlayın.
Azure Konteyner Uygulamaları AfD'yi Özel Bağlantı ile bir Azure Container Apps kaynağına bağlayın.

Not

  • Bu özellik Azure App Service slotları ve Azure Static Web Apps ile desteklenmez.

Bölgesel kullanılabilirlik

Azure Front Door özel bağlantısı aşağıdaki bölgelerde kullanılabilir:

Amerika kıtaları Avrupa Afrika Asya Pasifik
Güney Brezilya Orta Fransa Güney Afrika Kuzey Doğu Avustralya
Orta Kanada Orta Batı Almanya Orta Hindistan
Merkezi ABD Kuzey Avrupa Doğu Japonya
Doğu ABD Norveç Doğu Güney Kore - Orta
Doğu ABD 2 Güney Birleşik Krallık Doğu Asya
Orta Güney ABD Batı Avrupa Güneydoğu Asya
Batı ABD 2 Orta İsveç
Batı ABD 3
ABD Hükümeti Arizona
ABD Hükümeti Teksas
ABD Hükümeti Virginia

Azure Front Door Özel Bağlantı özelliği bölgeden bağımsızdır ancak en iyi gecikme süresi için Azure Front Door Özel Bağlantı uç noktasını etkinleştirmeyi seçerken her zaman kaynağınıza en yakın Azure bölgesini seçmeniz gerekir. Kaynağınızın bölgesi AFD Özel Bağlantı tarafından desteklenen bölgeler listesinde desteklenmiyorsa, en yakın sonraki bölgeyi seçin. Gecikme süresi açısından en yakın sonraki bölgeyi belirlemek için Azure ağ gidiş dönüş gecikmesi istatistiklerini kullanabilirsiniz.

  • Azure Front Door, ortak ve özel çıkış noktalarının aynı kaynak grubunda karıştırılmasına izin vermez. Bunun yapılması, yapılandırma sırasında veya AFD genel/özel çıkış noktalarına trafik göndermeye çalışırken hatalara neden olabilir. Tüm genel kaynaklarınızı tek bir kaynak grubunda tutun ve tüm özel kaynaklarınızı farklı bir kaynak grubunda tutun.
  • Fazlalık ve Yedekliliği Geliştirme
    • Kaynak düzeyinde yedekliliği geliştirmek için, AFD'nin trafiği uygulamanın birden çok örneğine dağıtabilmesi için aynı kaynak grubunda birden çok özel bağlantının etkinleştirildiği çıkış noktalarına sahip olduğunuzdan emin olun. Bir örnek kullanılamıyorsa, diğer kaynaklar trafik almaya devam edebilir.
    • Özel Bağlantı trafiğini yönlendirmek için istekler AFD POP'larından AFD bölgesel kümelerinde barındırılan AFD yönetilen sanal ağına yönlendirilir. Bölgesel kümeye erişilememesi durumunda yedekliliğe sahip olmak için, aynı AFD kaynak grubu altında birden çok kaynağın (her biri farklı bir Özel Bağlantı bölgesine sahip) yapılandırılması önerilir. Bu şekilde, bir bölgesel küme kullanılamıyor olsa bile, diğer kaynaklar farklı bir bölgesel küme üzerinden trafik almaya devam edebilir. Aşağıda hem kaynak düzeyi hem de bölge düzeyinde yedekliliğe sahip bir kaynak grubunun nasıl görüneceği gösterilir. Hem kaynak düzeyi hem de bölge düzeyi yedekliliği olan bir kaynak grubunu gösteren diyagram.
  • Özel uç nokta bağlantısını onaylarken veya özel uç nokta bağlantısını onayladıktan sonra, özel uç noktaya çift tıklarsanız şu hata iletisini görürsünüz: "Erişiminiz yok. Hata ayrıntılarını kopyalayın ve bu sayfaya erişmek için yöneticilerinize gönderin." Özel uç nokta Azure Front Door tarafından yönetilen bir abonelikte barındırılırken bu beklenen bir durumdur.
  • Platform koruması için her AFD bölgesel kümesinin AFD profili başına 7200 RPS (saniye başına istek sayısı) sınırı vardır. 7200 RPS'nin ötesindeki istekler "429 Çok Fazla İstek" ile sınırlı olacaktır. 7200 RPS'den fazla trafik ekliyor veya bekliyorsanız, trafiğin birden çok AFD bölgesel kümesine yayılması için birden çok çıkış noktası (her biri farklı bir Özel Bağlantı bölgesine sahip) dağıtmanızı öneririz. Kaynak düzeyinde yedekliliği geliştirmek için her kaynağın uygulamanızın ayrı bir örneği olması önerilir. Ancak ayrı örnekleri koruyamıyorsanız, yine de AFD düzeyinde birden fazla kaynak yapılandırabilirsiniz ve her bir kaynak aynı ana bilgisayar adına işaret eder, ancak bölgeler farklı tutulur. Bu şekilde AFD trafiği aynı örneğe ancak farklı bölgesel kümeler aracılığıyla yönlendirir.

Azure Front Door profiliyle özel uç nokta ilişkilendirmesi

Özel uç nokta oluşturma

Tek bir Azure Front Door profilinde, aynı kaynak kimliği, grup kimliği ve bölge kümesiyle iki veya daha fazla Özel Bağlantı etkin kaynak oluşturulursa, bu tür tüm kaynaklar için yalnızca bir özel uç nokta oluşturulur. Arka uç bağlantıları bu özel uç nokta kullanılarak etkinleştirilebilir. Bu kurulum, yalnızca bir özel uç nokta oluşturulduğundan özel uç noktayı yalnızca bir kez onaylamanız gerekdiği anlamına gelir. Aynı Özel Bağlantı konumu, kaynak kimliği ve grup kimliği kümesini kullanarak daha fazla Özel Bağlantı etkin kaynak oluşturursanız, daha fazla özel uç noktayı onaylamanız gerekmez.

Uyarı

Her kaynak farklı bir HTTP veya HTTPS bağlantı noktası kullanıyorsa, aynı kaynağa işaret eden birden çok özel bağlantı etkin çıkış noktası (aynı kaynak kimliği, grup kimliği ve bölge ile) yapılandırmaktan kaçının. Bu kurulum, platform sınırlaması nedeniyle Front Door ile kaynak arasında yönlendirme sorunlarına yol açabilir.

Tek özel uç nokta

Örneğin, aşağıdaki tabloda gösterildiği gibi, farklı kaynak gruplarındaki tüm farklı çıkış noktaları için ancak aynı Azure Front Door profilinde tek bir özel uç nokta oluşturulur:

Aynı Azure Front Door profilinde oluşturulan çıkış noktaları için oluşturulan tek bir özel uç noktayı gösteren diyagram.

Birden çok özel uç nokta

Aşağıdaki senaryoda yeni bir özel uç nokta oluşturulur:

  • Bölge, kaynak kimliği veya grup kimliği değişirse AFD, Özel Bağlantı konumunun ve konak adının değiştiğini ve dolayısıyla ek özel uç noktaların oluşturulduğunu ve her birinin onaylanması gerektiğini dikkate alır.

    Kaynak bölge ve kaynak kimliğindeki değişiklikler nedeniyle oluşturulan birden çok özel uç noktayı gösteren diyagram.

  • Farklı Front Door profillerindeki çıkış noktaları için Özel Bağlantı etkinleştirildiğinde fazladan özel uç noktalar oluşturulur ve her biri için onay gerekir.

    Kaynak birden çok Azure Front Door profiliyle ilişkilendirildiğinden oluşturulan birden çok özel uç noktayı gösteren diyagram.

Özel uç nokta kaldırma

Bir Azure Front Door profili silindiğinde, profille ilişkili özel uç noktalar da silinir.

Tek özel uç nokta

AFD-Profile-1 silinirse, tüm kaynaklarda PE1 özel uç noktası da silinir.

AFD-Profile-1 silindiğinde, tüm kaynaklardaki PE1'in silineceğini gösteren diyagram.

Birden çok özel uç nokta

  • AFD-Profile-1 silinirse, PE1'den PE4'e kadar tüm özel uç noktalar silinir.

    AFD-Profile-1'in silinip silinmediğini, PE1 ile PE4 arasında tüm özel uç noktaların silindiğini gösteren diyagram.

  • Azure Front Door profilinin silinmesi, farklı bir Front Door profili için oluşturulan özel uç noktaları etkilemez.

    Azure Front Door profilinin silindiğini ancak diğer Front Door profillerindeki özel uç noktaları etkilemediğini gösteren diyagram.

    Örneğin:

    • AFD-Profile-2 silinirse yalnızca PE5 kaldırılır.
    • AFD-Profile-3 silinirse yalnızca PE6 kaldırılır.
    • AFD-Profile-4 silinirse yalnızca PE7 kaldırılır.
    • AFD-Profile-5 silinirse yalnızca PE8 kaldırılır.

Sonraki adımlar