Şifreleme için arka uç havuzlarını yapılandırma

  • 10 dakika

Arka uç havuzu uygulamayı kullanan sunucuları içerir. Azure Application Gateway, istekleri bu sunuculara yönlendirir ve bu sunucular arasındaki trafik yükünü dengeleyebilir.

Sevkiyat portalında, arka uç havuzundaki uygulama sunucuları Application Gateway ile arka uç havuzundaki sunucular arasında geçiş yapan verileri şifrelemek için SSL kullanmalıdır. Application Gateway, verileri şifrelemek için bir ortak anahtar ile birlikte SSL sertifikası kullanır. Sunucular, alınan verilerin şifresini çözmek için ilgili özel anahtarı kullanır. Bu ünitede, arka uç havuzunun nasıl oluşturulacağını ve Application Gateway'de gerekli sertifikaların nasıl yükleneceğini göreceksiniz. Bu sertifikalar, arka uç havuzuna gönderilen ve arka uç havuzundan gönderilen iletilerin korunmasına yardımcı olur.

Application Gateway’den arka uç havuzuna şifreleme

Arka uç havuzu tek tek sanal makinelere, bir sanal makine ölçek kümesine, gerçek bilgisayarların IP adreslerine (şirket içinde veya uzaktan çalışan) veya Azure App Service üzerinden barındırılan hizmetlere başvurabilir. Arka uç havuzundaki sunucuların tümü, güvenlik ayarları da dahil olmak üzere aynı şekilde yapılandırılmalıdır.

Diagram showing how Application Gateway routes a request to a web server.

Arka uç havuzuna yönlendirilen trafik SSL üzerinden yönlendiriliyorsa, arka uç havuzundaki her sunucu uygun bir sertifika sağlamalıdır. Test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Üretim ortamında her zaman bir sertifika yetkilisinin (CA) kimliğini doğrulayabileceği bir sertifika oluşturmalı veya satın almalısınız.

Şu anda iki Application Gateway sürümü mevcuttur: v1 ve v2. Bunlar benzer özelliklere sahiptir, ancak biraz farklı uygulama ayrıntılarına sahiptir. v2 sürümü daha fazla özellik ve performans geliştirmesi sağlar.

Application Gateway v1'de sertifika yapılandırması

Application Gateway v1, ağ geçidi yapılandırmasındaki sunucular için kimlik doğrulama sertifikası yüklemenizi gerektirir. Bu sertifika, Application Gateway'in iletileri şifrelemek ve sunucularınızın kimliğini doğrulamak için kullandığı ortak anahtarı içerir. Bu sertifikayı, sunucudan dışarı aktararak oluşturabilirsiniz. Uygulama sunucusu, bu iletilerin şifresini çözmek için ilgili özel anahtarı kullanır. Bu özel anahtar yalnızca uygulama sunucularınızda depolanmalıdır.

Application Gateway’e Azure CLI’dan az network application-gateway auth-cert create komutunu kullanarak bir kimlik doğrulama sertifikası ekleyebilirsiniz. Aşağıdaki örnekte bu komutun söz dizimi gösterilmektedir. Sertifika CER (Claim, Evidence and Reasoning) biçiminde olmalıdır.

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway, kimlik doğrulama sertifikalarını listelemek ve yönetmek için kullanabileceğiniz diğer komutları sağlar. Örneğin:

  • az network application-gateway auth-cert list komutu yüklenmiş olan sertifikaları gösterir.
  • Sertifikayı az network application-gateway auth-cert update değiştirmek için komutunu kullanabilirsiniz.
  • az network application-gateway auth-cert delete komutu sertifikayı kaldırır.

Application Gateway v2'de sertifika yapılandırması

Application Gateway v2 biraz farklı kimlik doğrulama gereksinimlerine sahiptir. Arka uç havuzundaki sunucular için SSL sertifikasının kimlik doğrulamasını yapmış sertifika yetkilisine sertifika sağlarsınız. Bu sertifikayı Application Gateway’e güvenilir kök sertifika olarak eklersiniz. Azure CLI’dan az network application-gateway root-cert create komutunu kullanın.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Sunucularınız otomatik olarak imzalanan bir sertifika kullanıyorsa, bu sertifikayı Application Gateway’e güvenilir kök sertifika olarak ekleyin.

HTTP ayarları

Application Gateway, gelen bağlantı noktasında aldığı iletilerin arka uç havuzundaki sunuculara nasıl yönlendirileceğini belirtmek için bir kural kullanır. Sunucular SSL kullanıyorsa, kuralı şunları gösterecek şekilde yapılandırmalısınız:

  • Sunucular HTTPS protokolü üzerinden trafik bekler.
  • Trafiği şifrelemek ve sunucuyla bağlantının kimliğini doğrulamak için hangi sertifikanın kullanılacağı.

Bu yapılandırma bilgilerini bir HTTP ayarı kullanarak tanımlarsınız.

Azure CLI'daki komutunu kullanarak az network application-gateway http-settings create bir HTTP ayarı tanımlayabilirsiniz. Aşağıdaki örnekte, HTTPS protokolü kullanarak trafiği arka uç havuzundaki sunucuların 443 numaralı bağlantı noktasına yönlendiren bir ayar oluşturmaya yönelik söz dizimi gösterilir. Application Gateway v1 kullanıyorsanız, --auth-certs parametresi daha önce Application Gateway’e eklediğiniz kimlik doğrulama sertifikasının adıdır.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Application Gateway v2 kullanıyorsanız --auth-certs parametresini çıkarın. Application Gateway arka uç sunucusuyla iletişim kurar. Sunucu tarafından sunulan sertifikanın orijinalliğini, güvenilir kök sertifikaları listesi ile belirtilen CA’lara göre doğrular. Eşleşme yoksa, Application Gateway arka uç sunucusuna bağlanmaz ve bir HTTP 502 (Hatalı Ağ Geçidi) hatasıyla başarısız olur.