ILB App Service Ortamınızı Azure Application Gateway ile Tümleştirme

  • Makale

App Service Ortamı, müşterinin Azure sanal ağının alt ağında Azure Uygulaması Hizmeti dağıtımıdır. Uygulama erişimi için bir dış veya iç uç nokta ile dağıtılabilir. App Service ortamının iç uç nokta ile dağıtımına iç yük dengeleyici (ILB) App Service ortamı (ASE) adı verilir.

Web uygulaması güvenlik duvarları SQL eklemelerini, Siteler Arası Betikleri, kötü amaçlı yazılım yüklemelerini ve uygulama DDoS'larını ve diğer saldırıları engellemek için gelen web trafiğini inceleyerek web uygulamalarınızın güvenliğini sağlamaya yardımcı olur. Azure Market bir WAF cihazı alabilir veya Azure Uygulaması lication Gateway'i kullanabilirsiniz.

Azure Uygulaması lication Gateway, katman 7 yük dengeleme, TLS/SSL boşaltma ve web uygulaması güvenlik duvarı (WAF) koruması sağlayan bir sanal gereçtir. Genel IP adresini dinleyebilir ve trafiği uygulama uç noktanıza yönlendirebilir. Aşağıdaki bilgiler, WAF tarafından yapılandırılmış bir uygulama ağ geçidini ILB App Service ortamındaki bir uygulamayla tümleştirmeyi açıklar.

Uygulama ağ geçidinin ILB App Service ortamıyla tümleştirilmesi bir uygulama düzeyindedir. Uygulama ağ geçidini ILB App Service ortamınızla yapılandırdığınızda, bunu ILB App Service ortamınızdaki belirli uygulamalar için yaparsınız. Bu teknik, güvenli çok kiracılı uygulamaların tek bir ILB App Service ortamında barındırılmalarını sağlar.

Screenshot of High level integration diagram

Bu bölümde şunları yapacaksınız:

  • bir Azure Uygulaması lication Ağ Geçidi oluşturun.
  • Uygulama ağ geçidini ILB App Service ortamınızdaki bir uygulamaya işaret eden şekilde yapılandırın.
  • Uygulama ağ geçidinize işaret eden genel DNS ana bilgisayar adını düzenleyin.

Önkoşullar

Uygulama ağ geçidinizi ILB App Service ortamınızla tümleştirmek için şunları yapmanız gerekir:

  • ILB App Service ortamı.
  • ILB App Service ortamı için özel bir DNS bölgesi.
  • ILB App Service ortamında çalışan bir uygulama.
  • Daha sonra uygulama ağ geçidinize işaret etmek için kullanılan bir genel DNS adı.
  • Uygulama ağ geçidinde TLS/SSL şifrelemesi kullanmanız gerekiyorsa, uygulama ağ geçidinize bağlanmak için kullanılan geçerli bir genel sertifika gereklidir.

ILB App Service ortamı

ILB App Service ortamı oluşturma hakkında ayrıntılı bilgi için bkz . Azure portalında ASE oluşturma ve ARM şablonuyla ASE oluşturma.

  • ILB ASE oluşturulduktan sonra varsayılan etki alanı şeklindedir <YourAseName>.appserviceenvironment.net.

    Screenshot of ILB ASE Overview

  • Gelen erişim için bir iç yük dengeleyici sağlanır. ASE Ayarlar altındaki IP adreslerinde Gelen adresini de kontrol edebilirsiniz. Daha sonra bu IP adresine eşlenmiş bir özel DNS bölgesi oluşturabilirsiniz.

    Screenshot of getting the inbound address from ILB ASE IP addresses settings.

Özel DNS bölgesi

İç ad çözümlemesi için özel bir DNS bölgesi gerekir. Aşağıdaki tabloda gösterilen kayıt kümelerini kullanarak ASE adını kullanarak oluşturun (yönergeler için bkz . Hızlı Başlangıç - Azure portalını kullanarak Azure özel DNS bölgesi oluşturma).

Adı Tür Değer
* A ASE gelen adresi
@ A ASE gelen adresi
@ SOA ASE DNS adı
*.Scm A ASE gelen adresi

ILB ASE'de App Service

ILB ASE'nizde bir App Service planı ve bir uygulama oluşturmanız gerekir. Uygulamayı portalda oluştururken Bölge olarak ILB ASE'nizi seçin.

Uygulama ağ geçidine genel DNS adı

İnternet'ten uygulama ağ geçidine bağlanmak için yönlendirilebilir bir etki alanı adı gerekir. Bu durumda, yönlendirilebilir bir etki alanı adı kullandım ve bu etki alanı adıyla asabuludemo.comapp.asabuludemo.combir App Service'e bağlanmayı planlıyordum. Uygulama ağ geçidi oluşturulduktan sonra bu uygulama etki alanı adına eşlenen IP adresinin Application Gateway Genel IP adresi olarak ayarlanması gerekir. Uygulama ağ geçidine eşlenmiş bir genel etki alanı ile App Service'te özel bir etki alanı yapılandırmanız gerekmez. App Service Etki Alanları ile özel bir etki alanı adı satın alabilirsiniz.

Geçerli bir ortak sertifika

Güvenlik geliştirmesi için oturum şifrelemesi için TLS/SSL sertifikası bağlamanız önerilir. TLS/SSL sertifikasını uygulama ağ geçidine bağlamak için aşağıdaki bilgileri içeren geçerli bir genel sertifika gereklidir. App Service sertifikaları ile bir TLS/SSL sertifikası satın alabilir ve .pfx biçiminde dışarı aktarabilirsiniz.

Veri Akışı Adı Değer Açıklama
Ortak Ad <yourappname>.<yourdomainname>, örneğin: app.asabuludemo.com
veya *.<yourdomainname>, örneğin: *.asabuludemo.com		 Uygulama ağ geçidi için standart bir sertifika veya joker sertifika
Konu Alternatif Adı <yourappname>.scm.<yourdomainname>, örneğin: app.scm.asabuludemo.com
veya *.scm.<yourdomainname>, örneğin: *.scm.asabuludemo.com		 App Service kudu hizmetine bağlanmaya izin veren SAN. App Service kudu hizmetini İnternet'e yayımlamak istemiyorsanız bu isteğe bağlı bir ayardır.

Sertifika dosyasının özel anahtarı olmalıdır ve .pfx biçiminde kaydedilmelidir, daha sonra uygulama ağ geçidine aktarılacaktır.

Uygulama ağ geçidi oluşturma

Temel uygulama ağ geçidi oluşturma işlemi için Öğretici: Azure portalını kullanarak Web Uygulaması Güvenlik Duvarı ile uygulama ağ geçidi oluşturma makalesine bakın.

Bu öğreticide, ILB App Service ortamıyla bir uygulama ağ geçidi oluşturmak için Azure portalını kullanacağız.

Azure portalında Yeni>Ağ>Uygulaması Ağ Geçidi'ni seçerek bir uygulama ağ geçidi oluşturun.

  1. Temel bilgiler ayarı

    Katman açılan listesinde Standart V2 veya WAF V2'yi seçerek uygulama ağ geçidinde WAF özelliğini etkinleştirebilirsiniz.

  2. Ön uçlar ayarı

    Ön uç IP adresi türünü Genel, Özel veya Her İkisi olarak seçin. Özel veya Her İkisi olarak ayarlarsanız, uygulama ağ geçidi alt ağ aralığında statik bir IP adresi atamanız gerekir. Bu durumda, yalnızca genel uç nokta için Genel IP olarak ayarlanır.

    • Genel IP adresi - Uygulama ağ geçidi genel erişimi için bir genel IP adresi ilişkilendirmeniz gerekir. Bu IP adresini kaydedin, daha sonra DNS hizmetinize bir kayıt eklemeniz gerekir.

      Screenshot of getting a public IP address from the application gateway frontends setting.

  3. Arka uçlar ayarı

    Bir arka uç havuzu adı girin ve Hedef türünde Uygulama Hizmetleri'ni, IP adresini veya FQDN'yiseçin. Bu durumda, Uygulama hizmetleri olarak ayarlanır ve hedef açılan listeden App Service adı'nı seçeriz.

    Screenshot of adding a backend pool name in backends setting.

  4. Yapılandırma ayarı

    Yapılandırma ayarı'nda, Yönlendirme kuralı ekle simgesini seçerek bir yönlendirme kuralı eklemeniz gerekir.

    Screenshot of adding a routing rule in configuration setting.

    Bir yönlendirme kuralında Dinleyici ve Arka uç hedefleri yapılandırmanız gerekir. Kavram kanıtı dağıtımı için bir HTTP dinleyicisi ekleyebilir veya güvenlik geliştirmesi için bir HTTPS dinleyicisi ekleyebilirsiniz.

    • HTTP protokolü ile uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz.

      Parametre Değer Açıklama
      Kural adı Örneğin: http-routingrule Yönlendirme adı
      Dinleyici adı Örneğin: http-listener Dinleyici adı
      Ön uç IP adresi Genel İnternet erişimi için Genel olarak ayarlayın
      Protokol HTTP TLS/SSL şifrelemesi kullanma
      Bağlantı noktası 80 Varsayılan HTTP Bağlantı Noktası
      Dinleyici türü Çoklu site Uygulama ağ geçidinde birden çok siteyi dinlemeye izin ver
      Host type Birden Çok/Joker Karakter Dinleyici türü birden çok site olarak ayarlandıysa, birden çok veya joker karakter web sitesi adı olarak ayarlayın.
      Konak adı Örneğin: app.asabuludemo.com App Service için yönlendirilebilir bir etki alanı adı olarak ayarlayın

      Screenshot of HTTP Listener of the application gateway Routing Rule.

    • TLS/SSL şifrelemesi ile uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz.

      Parametre Değer Açıklama
      Kural adı Örneğin: https-routingrule Yönlendirme adı
      Dinleyici adı Örneğin: https-listener Dinleyici adı
      Ön uç IP adresi Genel İnternet erişimi için Genel olarak ayarlayın
      Protokol HTTPS TLS/SSL şifrelemesi kullanma
      Bağlantı noktası 443 Varsayılan HTTPS Bağlantı Noktası
      Https Ayarları Sertifikayı karşıya yükleyin Bir sertifikayı karşıya yüklemek için CN ve .pfx biçimindeki özel anahtar bulunur.
      Dinleyici türü Çoklu site Uygulama ağ geçidinde birden çok siteyi dinlemeye izin ver
      Host type Birden Çok/Joker Karakter Dinleyici türü birden çok site olarak ayarlandıysa, birden çok veya joker karakter web sitesi adı olarak ayarlayın.
      Konak adı Örneğin: app.asabuludemo.com App Service için yönlendirilebilir bir etki alanı adı olarak ayarlayın

      HTTPS listener of the application gateway Routing Rule.

    • Arka uç hedeflerinde bir Arka Uç Havuzu ve HTTP ayarı yapılandırmanız gerekir. Arka uç havuzu daha önceki adımlarda yapılandırıldı. HTTP ayarı eklemek için Yeni bağlantı ekle'yi seçin.

      Screenshot of adding new link to add an H T T P setting.

    • Aşağıda listelenen HTTP ayarları:

      Parametre Değer Açıklama
      HTTP ayarı adı Örneğin: https-setting HTTP ayarı adı
      Arka uç protokolü HTTPS TLS/SSL şifrelemesi kullanma
      Arka uç bağlantı noktası 443 Varsayılan HTTPS Bağlantı Noktası
      İyi bilinen CA sertifikası kullanma Yes ILB ASE'nin varsayılan etki alanı adıdır .appserviceenvironment.net, bu etki alanının sertifikası genel güvenilen bir kök yetkili tarafından verilir. Güvenilen kök sertifika ayarında, iyi bilinen CA güvenilen kök sertifikasını kullanacak şekilde ayarlayabilirsiniz.
      Yeni ana bilgisayar adıyla geçersiz kıl Yes ILB ASE'de uygulamaya bağlanırken ana bilgisayar adı üst bilgisi üzerine yazılır
      Ana bilgisayar adı geçersiz kılma Arka uç hedefinden ana bilgisayar adını seçin Arka uç havuzunu App Service olarak ayarlarken arka uç hedefinden konak seçebilirsiniz
      Özel yoklamalar oluşturma Hayır Varsayılan sistem durumu araştırmasını kullan

      Screenshot of **Add an H T T P setting** dialog.

ILB ASE ile uygulama ağ geçidi tümleştirmesi yapılandırma

ILB ASE'ye uygulama ağ geçidinden erişmek için özel DNS bölgesine sanal ağ bağlantısı olup olmadığını denetlemeniz gerekir. Uygulama ağ geçidinizin sanal ağına bağlı bir sanal ağ yoksa, aşağıdaki adımları içeren bir sanal ağ bağlantısı ekleyin.

  • Sanal ağ bağlantısını özel DNS bölgesiyle yapılandırmak için özel DNS bölgesi yapılandırma düzlemine gidin. Ekle sanal ağ bağlantılarını>seçin

Add a virtual network link to private DNS zone.

  • Bağlantı adını girin ve uygulama ağ geçidinin bulunduğu ilgili aboneliği ve sanal ağı seçin.

Screenshot of input link name details to virtual network links setting in private DNS zone.

  • Arka uç sistem durumunu uygulama ağ geçidi düzleminde Arka uç sistem durumundan doğrulayabilirsiniz.

Screenshot of confirm the backend health status from backend health.

Genel DNS kaydı ekleme

İnternet'ten uygulama ağ geçidine erişim için uygun bir DNS eşlemesi yapılandırmanız gerekir.

  • Uygulama ağ geçidinin genel IP adresi, uygulama ağ geçidi düzlemindeki Ön uç IP yapılandırmalarında bulunabilir.

Application gateway frontend IP address can be found in Frontend IP configuration.

  • Örnek olarak Azure DNS hizmetini kullanın, uygulama etki alanı adını uygulama ağ geçidinin genel IP adresine eşlemek için bir kayıt kümesi ekleyebilirsiniz.

Screenshot of adding a record set to map the app domain name to the public IP address of the application gateway.

Bağlantıyı doğrulama

  • İnternet'ten makine erişiminde, uygulama etki alanı adının ad çözümlemesini uygulama ağ geçidi genel IP adresine doğrulayabilirsiniz.

validate the name resolution from a command prompt.

  • İnternet'ten makine erişiminde, tarayıcıdan web erişimini test edin.

Screenshot of opening a browser, access to the web.