İç Yük Dengeleyici App Service Ortamı oluşturma ve kullanma

  • Makale

Önemli

Bu makale, Yalıtılmış App Service planlarıyla kullanılan App Service Ortamı v2 hakkındadır. App Service Ortamı v2, 31 Ağustos 2024 tarihinde kullanımdan kaldırılacaktır. Kullanımı daha kolay olan ve daha güçlü bir altyapı üzerinde çalışan yeni bir App Service Ortamı sürümü vardır. Yeni sürüm hakkında daha fazla bilgi edinmek için App Service Ortamı giriş ile başlayın. Şu anda App Service Ortamı v2 kullanıyorsanız, yeni sürüme geçmek için lütfen bu makaledeki adımları izleyin.

29 Ocak 2024 itibarıyla ARM/Bicep şablonları, Azure Portalı, Azure CLI veya REST API gibi kullanılabilir yöntemlerden herhangi birini kullanarak yeni App Service Ortamı v2 kaynakları oluşturamıyabilirsiniz. Kaynak silme ve veri kaybını önlemek için 31 Ağustos 2024'e kadar App Service Ortamı v3'e geçmeniz gerekir.

Azure Uygulaması Hizmet Ortamı, azure sanal ağındaki (VNet) bir alt ağa Azure Uygulaması Hizmeti dağıtımıdır. Bir App Service Ortamı (ASE) iki şekilde dağıtılabilir:

  • Genellikle Dış ASE olarak adlandırılan durumda, bir dış IP adresi üzerindeki VIP ile.
  • Genellikle iç uç nokta bir iç yük dengeleyici (ILB) olduğu için ILB ASE olarak adlandırılan durumda, bir iç IP adresi üzerindeki VIP ile.

Bu makale bir ILB ASE oluşturma işlemini gösterir. ASE’ye genel bakış için bkz. App Service Ortamlarına giriş. Dış ASE oluşturmayı öğrenmek için bkz. [Dış ASE Oluşturma][MakeExternalASE].

Genel bakış

Bir ASE’yi İnternet’ten erişilebilen bir uç nokta ile ya da sanal ağınızdaki bir IP adresi ile dağıtabilirsiniz. IP adresini bir sanal ağ adresine ayarlamak için, ASE’nin ILB ile dağıtılması gerekir. ASE'nizi bir ILB ile dağıtırken ASE'nizin adını sağlamanız gerekir. ASE'nizin adı, ASE'nizdeki uygulamaların etki alanı soneki içinde kullanılır. ILB ASE'nizin etki alanı soneki ASE name.appserviceenvironment.net> şeklindedir<. ILB ASE'de yapılan uygulamalar genel DNS'ye yerleştirilmez.

ILB ASE'nin önceki sürümlerinde, HTTPS bağlantıları için bir etki alanı soneki ve varsayılan sertifika sağlamanız gerekiyordu. Etki alanı soneki artık ILB ASE oluşturma sırasında toplanmaz ve varsayılan sertifika da toplanmaz. Şimdi bir ILB ASE oluşturduğunuzda, varsayılan sertifika Microsoft tarafından sağlanır ve tarayıcı tarafından güvenilirdir. Yine de ASE’nizdeki uygulamalarda özel etki alanı adları ve bu özel alan adlarında sertifikalar ayarlayabilirsiniz.

ILB ASE ile şunları yapabilirsiniz:

  • İntranet uygulamalarını, siteden siteye veya ExpressRoute üzerinden erişebileceğiniz bulutta güvenli bir şekilde barındırın.
  • WAF cihazıyla uygulamaları koruma
  • Genel DNS sunucularında listelenmeyen uygulamaları bulutta barındırma.
  • Ön uç uygulamalarınızın güvenli bir şekilde tümleştirilebileceği, İnternet’ten yalıtılmış arka uç uygulamaları oluşturma.

Devre dışı bırakılan işlevler

ILB ASE’yi kullanırken bazı işlemleri yapamazsınız:

  • IP tabanlı TLS/SSL bağlaması kullanın.
  • Belirli uygulamalara IP adresleri atama.
  • Azure portalı üzerinden bir uygulama ile sertifika satın alma ve kullanma. Sertifikaları doğrudan bir sertifika yetkilisinden alabilir ve uygulamalarınızla kullanabilirsiniz. Sertifikaları Azure portalı üzerinden alamazsınız.

ILB ASE oluşturma

ILB ASE oluşturmak için bkz . Azure Resource Manager şablonu kullanarak ASE oluşturma.

Not

App Service Ortamı adı en fazla 36 karakter olmalıdır.

ILB ASE'de uygulama oluşturma

ILB ASE'de uygulama oluşturma işlemi, normalde bir ASE’de uygulama oluşturma işlemiyle aynıdır.

  1. Azure portalında Kaynak>oluştur Web>Uygulaması'nı seçin.

  2. Uygulamanın adını girin.

  3. Aboneliği seçin.

  4. Kaynak grubunu seçin veya oluşturun.

  5. Yayımlama, Çalışma Zamanı Yığını ve İşletim Sistemi'nizi seçin.

  6. Konumun mevcut bir ILB ASE olduğu konumu seçin.

  7. Bir App Service planı seçin ya da oluşturun.

  8. Gözden Geçir ve Oluştur'u ve hazır olduğunuzda Oluştur'u seçin.

Web işleri, İşlevler ve ILB ASE

Hem İşlevler hem de web işleri ILB ASE’de desteklenir, ancak portalın bunlarla çalışabilmesi için SCM sitesine ağ erişiminiz olmalıdır. Başka bir deyişle, tarayıcınız sanal ağ içinde veya sanal ağa bağlı bir konakta olmalıdır. ILB ASE'nizin appserviceenvironment.net ile bitmeyen bir etki alanı adı varsa, tarayıcınızın scm siteniz tarafından kullanılan HTTPS sertifikasına güvenmesini sağlamanız gerekir.

DNS yapılandırması

Dış ASE kullandığınızda, ASE'nizde yapılan uygulamalar Azure DNS'ye kaydedilir. Dış ASE'de uygulamalarınızın genel kullanıma sunulması için ek adım yoktur. ILB ASE'de kendi DNS'nizi yönetmeniz gerekir. Bunu kendi DNS sunucunuzda veya Azure DNS özel bölgeleriyle yapabilirsiniz.

DNS'yi kendi DNS sunucunuzda ILB ASE'nizle yapılandırmak için:

  1. ASE name.appserviceenvironment.net> için <bölge oluşturma
  2. bu bölgede ILB IP adresine * işaret eden bir A kaydı oluşturun
  3. bu bölgede , @ simgesini ILB IP adresine işaret eden bir A kaydı oluşturun
  4. ASE name.appserviceenvironment.net> adlı scm içinde bir bölge <oluşturma
  5. Scm bölgesinde ILB IP adresine * işaret eden bir A kaydı oluşturma

Azure DNS Özel bölgelerinde DNS'yi yapılandırmak için:

  1. ASE name.appserviceenvironment.net> adlı <bir Azure DNS özel bölgesi oluşturun
  2. bu bölgede ILB IP adresine * işaret eden bir A kaydı oluşturun
  3. bu bölgede , @ simgesini ILB IP adresine işaret eden bir A kaydı oluşturun
  4. *.scm dosyasını ILB IP adresine işaret eden bir A kaydı oluşturun

ASE varsayılan etki alanı sonekinizin DNS ayarları, uygulamalarınızın yalnızca bu adlarla erişilebilir olmasını kısıtlamaz. ILB ASE'deki uygulamalarınızda doğrulama yapmadan özel bir etki alanı adı ayarlayabilirsiniz. Daha sonra contoso.net adlı bir bölge oluşturmak isterseniz, bunu yapabilir ve ILB IP adresine işaret edebilirsiniz. Özel etki alanı adı uygulama istekleri için çalışır, ancak scm sitesi için çalışmaz. Scm sitesi yalnızca appname.scm> adresinde <kullanılabilir.<asename.appserviceenvironment.net>.

adlı bölge.<asename.appserviceenvironment.net> genel olarak benzersizdir. Mayıs 2019'da müşteriler ILB ASE'nin etki alanı son ekini belirtebiliyordu. Etki alanı soneki için .contoso.com kullanmak istiyorsanız, bunu başardınız ve buna scm sitesi de dahildir. Bu modelde zorluklar vardı; varsayılan TLS/SSL sertifikasını yönetme, scm sitesinde çoklu oturum açma olmaması ve joker sertifika kullanma gereksinimi. ILB ASE varsayılan sertifika yükseltme işlemi de kesintiye neden oldu ve uygulamanın yeniden başlatılmasına neden oldu. Bu sorunları çözmek için ILB ASE davranışı, ASE'nin adına göre ve Microsoft'a ait bir soneki içeren bir etki alanı soneki kullanacak şekilde değiştirildi. ILB ASE davranışındaki değişiklik yalnızca Mayıs 2019'da yapılan ILB ASE'lerini etkiler. Önceden var olan ILB ASE'leri, ASE'nin varsayılan sertifikasını ve DNS yapılandırmalarını yönetmeye devam etmelidir.

ILB ASE ile yayımlama

Oluşturulan her uygulama için iki uç nokta vardır. ILB ASE'de uygulama adınız> vardır<.<ILB ASE Etki Alanı> ve <uygulama adı.scm>.<ILB ASE Etki Alanı>.

SCM site adı sizi Azure portalı içinde Gelişmiş portal olarak adlandırılan Kudu konsoluna götürür. Kudu konsolunu kullanarak ortam değişkenlerini görüntüleyebilir, diski keşfedebilir, bir konsolu kullanabilir ve daha fazlasını yapabilirsiniz. Daha fazla bilgi için bkz. Azure App Service için Kudu konsolu.

GitHub ve Azure DevOps gibi İnternet tabanlı CI sistemleri, derleme aracısına İnternet’ten erişilebiliyorsa ve aracı ILB ASE ile aynı ağdaysa ILB ASE ile çalışmaya devam eder. Bu nedenle, Azure DevOps örneğinde derleme aracısı ILB ASE ile aynı sanal ağda (alt ağın farklı olması sorun yaratmaz) oluşturulursa Azure DevOps git’ten kod çekip ILB ASE’ye dağıtabilir. Kendi derleme aracınızı oluşturmak istemiyorsanız çekme modeli kullanan bir CI sistemi (Dropbox gibi) kullanmanız gerekir.

Bir ILB ASE’deki uygulamalar için yayımlama uç noktaları, ILB ASE oluşturulurken kullanılan etki alanını kullanır. Bu etki alanı uygulamanın yayımlama profilinde ve uygulamanın portal dikey penceresinde görünür (Genel Bakış>Temel Bilgiler ve ayrıca Özellikler). ETKI alanı soneki <ASE name.appserviceenvironment.net> olan bir ILB ASE'niz ve mytest adlı bir uygulamanız varsa mytest kullanın.<FTP için ASE name.appserviceenvironment.net> ve MSDeploy dağıtımı için mytest.scm.contoso.net.

WAF cihazıyla ILB ASE yapılandırma

Bir web uygulaması güvenlik duvarı (WAF) cihazını ILB ASE'nizle birleştirerek yalnızca İnternet'te kullanmak istediğiniz uygulamaları kullanıma açabilir ve gerisini yalnızca sanal ağdan erişilebilir durumda tutabilirsiniz. Bu, diğer şeylerin arasında güvenli çok katmanlı uygulamalar oluşturmanıza olanak tanır.

ILB ASE’nizi bir WAF cihazıyla yapılandırma hakkında daha fazla bilgi için bkz. Bir web uygulaması güvenlik duvarını App Service ortamınızla yapılandırma. Bu makalede, bir Barracuda sanal gerecinin ASE’nizle nasıl kullanılacağı gösterilir. Bir diğer seçenek ise Azure Application Gateway’in kullanılmasıdır. Application Gateway, arkasına yerleştirilmiş uygulamaların güvenliğini sağlamak için OWASP temel kurallarını kullanır. Application Gateway hakkında daha fazla bilgi için bkz. Azure web uygulaması güvenlik duvarına giriş.

Mayıs 2019'da yapılan ILB ASE'leri

Mayıs 2019'da yapılan ILB ASE'leri, ASE oluşturma sırasında etki alanı sonekini ayarlamanızı gerektiriyordu. Ayrıca, bu etki alanı sonekini temel alan varsayılan bir sertifikayı karşıya yüklemenizi de gerektiriyordu. Ayrıca, eski bir ILB ASE ile Kudu konsolunda bu ILB ASE'deki uygulamalarla çoklu oturum açma gerçekleştiremezsiniz. DNS'yi eski bir ILB ASE için yapılandırırken, etki alanı sonekinizle eşleşen bir bölgede A joker karakteri kaydını ayarlamanız gerekir. ILB ASE'yi özel etki alanı soneki ile oluşturmak veya değiştirmek için Azure Resource Manager şablonlarını ve 2019'un öncesinde api sürümünü kullanmanız gerekir. Son destek API'si sürümü: 2018-11-01.

Kullanmaya başlayın