İç ağ oluşturma ve Load Balancer App Service Ortamı

  • Makale
  • Okumak için 6 dakika

Not

Bu makale Yalıtılmış App Service Ortamı planlarında kullanılan App Service hakkındadır

Bu Azure App Service Ortamı, Azure sanal Azure App Service (VNet) bir alt ağa dağıtımıdır. Bir App Service Ortamı (ASE) iki şekilde dağıtılabilir:

  • Genellikle Dış ASE olarak adlandırılan durumda, bir dış IP adresi üzerindeki VIP ile.
  • Genellikle iç uç nokta bir iç yük dengeleyici (ILB) olduğu için ILB ASE olarak adlandırılan durumda, bir iç IP adresi üzerindeki VIP ile.

Bu makale bir ILB ASE oluşturma işlemini gösterir. ASE’ye genel bakış için bkz. App Service Ortamlarına giriş. Dış ASE oluşturma hakkında bilgi almak için bkz. Dış ASE Oluşturma.

Genel Bakış

Bir ASE’yi İnternet’ten erişilebilen bir uç nokta ile ya da sanal ağınızdaki bir IP adresi ile dağıtabilirsiniz. IP adresini bir sanal ağ adresine ayarlamak için, ASE’nin ILB ile dağıtılması gerekir. ASE'nizi bir ILB ile dağıtırken ASE'nizin adını sağlanız gerekir. ASE'nizin adı, ASE'nizin uygulamaları için etki alanı soneki içinde kullanılır. ILB ASE'nizin etki alanı soneki < ASE adı > .appserviceenvironment.net. ILB ASE'de yapılan uygulamalar genel DNS'ye yerleştirilmez.

ILB ASE'nin önceki sürümleri, HTTPS bağlantıları için bir etki alanı soneki ve varsayılan sertifika sağlamanız gerektirdi. Etki alanı soneki artık ILB ASE oluşturma sırasında toplanmaz ve varsayılan sertifika da toplanmaz. Şimdi bir ILB ASE sanız, varsayılan sertifika Microsoft tarafından sağlanır ve tarayıcı tarafından güvenilirdir. ASE'nizin uygulamaları üzerinde özel etki alanı adları ayarlamaya ve bu özel etki alanı adlarında sertifikalar ayarlamaya devam ediyor.

ILB ASE ile şunların gibi şeyler yapabiliriz:

  • İntranet uygulamalarını, siteden siteye veya ExpressRoute üzerinden erişilen bulutta güvenli bir şekilde barındırın.
  • WaF cihazıyla uygulamaları koruma
  • Genel DNS sunucularında listelenmeyen uygulamaları bulutta barındırma.
  • Ön uç uygulamalarınızın güvenli bir şekilde tümleştirilebileceği, İnternet’ten yalıtılmış arka uç uygulamaları oluşturma.

Devre dışı bırakılan işlevler

ILB ASE’yi kullanırken bazı işlemleri yapamazsınız:

  • IP tabanlı TLS/SSL bağlaması kullanın.
  • Belirli uygulamalara IP adresleri atama.
  • Azure portalı üzerinden bir uygulama ile sertifika satın alma ve kullanma. Sertifikaları doğrudan bir sertifika yetkilisinden alabilir ve uygulamalarınızla kullanabilirsiniz. Sertifikaları Azure portalı üzerinden alamazsınız.

ILB ASE oluşturma

ILB ASE oluşturmak için:

  1. Kaynak Azure portal Web kaynağı oluştur'App Service Ortamı. > >

  2. Aboneliğinizi seçin.

  3. Kaynak grubunu seçin veya oluşturun.

  4. Dosyanın adını App Service Ortamı.

  5. Sanal IP türü İç'i seçin.

    ASE oluşturma

Not

Ad App Service Ortamı 37 karakterden uzun olamaz.

  1. Ağ'ı seçin

  2. Sanal Ağ seçin veya oluşturun. Burada yeni bir sanal ağ oluşturmanız, 192.168.250.0/23 adres aralığıyla tanımlanır. ASE'den farklı bir adres aralığına veya farklı bir kaynak grubuna sahip bir VNet oluşturmak için Azure Sanal Ağ oluşturma portalını kullanın.

  3. Boş bir alt ağ seçin veya oluşturun. Bir alt ağ seçmek için, alt ağ boş olmalı ve temsilci seçmemalıdır. ASE oluşturulduktan sonra alt ağ boyutu değiştirilemez. 256 adres içeren ve en büyük boyutlu ASE’yi işleyebilen ve ölçeklendirme ihtiyaçlarını karşılayabilen /24 dosya boyutu önerilir.

    ASE ağı

  4. Gözden Geçir ve Oluştur'a ve ardından Oluştur'a seçin.

ILB ASE'de uygulama oluşturma

ILB ASE'de uygulama oluşturma işlemi, normalde bir ASE’de uygulama oluşturma işlemiyle aynıdır.

  1. Kaynak Azure portal Web Web Uygulaması > oluştur'a > seçin.

  2. Uygulamanın adını girin.

  3. Aboneliği seçin.

  4. Kaynak grubunu seçin veya oluşturun.

  5. Yayımla, Çalışma Zamanı Yığını ve İşletim Sistemi'nizi seçin.

  6. Konumun mevcut bir ILB ASE olduğu bir konum seçin. Yalıtılmış uygulama planı seçerek uygulama oluşturma sırasında yeni bir ASE App Service oluşturabilirsiniz. Yeni bir ASE oluşturmak isterseniz ASE'nin içinde oluşturulacak bölgeyi seçin.

  7. Bir App Service planı seçin ya da oluşturun.

  8. Gözden Geçir ve Oluştur'a ve ardından hazır olduğunda Oluştur'a seçin.

Web işleri, İşlevler ve ILB ASE

Hem İşlevler hem de web işleri ILB ASE’de desteklenir, ancak portalın bunlarla çalışabilmesi için SCM sitesine ağ erişiminiz olmalıdır. Başka bir deyişle, tarayıcınız sanal ağ içinde veya sanal ağa bağlı bir konakta olmalıdır. ILB ASE'nizin appserviceenvironment.net ile bitmeyen bir etki alanı adı varsa, tarayıcınızın scm siteniz tarafından kullanılan HTTPS sertifikasına güvenmesini sağlamanız gerekir.

DNS yapılandırması

Dış ASE'ler kullanıyorsanız ASE'nize yapılan uygulamalar Azure DNS. Uygulamalarınız için dış ASE'de genel kullanıma açık olacak ek adımlar yoktur. ILB ASE'de kendi DNS'nizi yönetmeniz gerekir. Bunu kendi DNS sunucunuzda veya özel bölgelerle Azure DNS kullanabilirsiniz.

ILB ASE'niz ile kendi DNS sunucunuzda DNS yapılandırmak için:

  1. ASE adı < > .appserviceenvironment.net için bölge oluşturma
  2. bu bölgede ILB IP adresine * göre bir A kaydı oluşturun
  3. bu bölgede ILB IP adresine @ adresinin yer alan bir A kaydı oluşturma
  4. ASE adı < > .appserviceenvironment.net scm adlı bir bölge oluşturma
  5. scm bölgesinde ILB IP adresine * göre bir A kaydı oluşturma

Özel bölgelerde DNS'Azure DNS için:

  1. ASE Azure DNS < .appserviceenvironment.net adlı bir > özel bölge appserviceenvironment.net
  2. bu bölgede ILB IP adresine * göre bir A kaydı oluşturun
  3. bu bölgede ILB IP adresine @ adresinin yer alan bir A kaydı oluşturma
  4. bu bölgede *.scm'yi ILB IP adresine göre bir A kaydı oluşturun

ASE varsayılan etki alanı sonekinizin DNS ayarları, uygulamalarınızı yalnızca bu adlarla erişilebilir olacak şekilde kısıtlamaz. ILB ASE'de uygulamalarınız üzerinde doğrulama yapmadan özel bir etki alanı adı oluşturabilirsiniz. Daha sonra contoso.net adlı bir bölge oluşturmak contoso.net, bunu ILB IP adresine işaret ediyor olabilir. Özel etki alanı adı uygulama istekleri için çalışır, ancak scm sitesi için çalışmaz. scm sitesi yalnızca < appname > .scm'de kullanılabilir. < asename > .appserviceenvironment.net.

adlı bölge. < asename > .appserviceenvironment.net genel olarak benzersizdir. Mayıs 2019'dan önce, müşteriler ILB ASE'nin etki alanı son eklerini belirtebildi. Etki alanı soneki için .contoso.com kullanmak istediyebilirsiniz ve bu scm sitesini içerecektir. Bu modelde şu zorluklar vardı: varsayılan TLS/SSL sertifikasını yönetme, scm sitesinde çoklu oturum açma olmaması ve joker karakter sertifikası kullanma gereksinimi. ILB ASE varsayılan sertifika yükseltme işlemi de kesintiye neden oldu ve uygulamanın yeniden başlatılmasına neden oldu. Bu sorunları çözmek için ILB ASE davranışı, ASE'nin adına ve Microsoft'a ait son eke göre bir etki alanı soneki kullanmak üzere değiştirilmiştir. ILB ASE davranışı değişikliği yalnızca Mayıs 2019'dan sonra yapılan ILB ASE'leri etkiler. Önceden var olan ILB ASE'ler yine de ASE'nin varsayılan sertifikasını ve BUNLARıN DNS yapılandırmasını yönetebeblir.

ILB ASE ile yayımlama

Oluşturulan her uygulama için iki uç nokta vardır. ILB ASE'de uygulama adınız < > var. < ILB ASE > Etki Alanı < ve uygulama adı > .scm. < ILB ASE > Etki Alanı.

SCM site adı sizi Azure portalı içinde Gelişmiş portal olarak adlandırılan Kudu konsoluna götürür. Kudu konsolunu kullanarak ortam değişkenlerini görüntüleyebilir, diski keşfedebilir, bir konsolu kullanabilir ve daha fazlasını yapabilirsiniz. Daha fazla bilgi için bkz. Azure App Service için Kudu konsolu.

GitHub ve Azure DevOps gibi İnternet tabanlı CI sistemleri, derleme aracısına İnternet’ten erişilebiliyorsa ve aracı ILB ASE ile aynı ağdaysa ILB ASE ile çalışmaya devam eder. Bu nedenle, Azure DevOps örneğinde derleme aracısı ILB ASE ile aynı sanal ağda (alt ağın farklı olması sorun yaratmaz) oluşturulursa Azure DevOps git’ten kod çekip ILB ASE’ye dağıtabilir. Kendi derleme aracınızı oluşturmak istemiyorsanız çekme modeli kullanan bir CI sistemi (Dropbox gibi) kullanmanız gerekir.

Bir ILB ASE’deki uygulamalar için yayımlama uç noktaları, ILB ASE oluşturulurken kullanılan etki alanını kullanır. Bu etki alanı, uygulamanın yayımlama profilinde ve uygulamanın portal dikey penceresinde görünür (Genel Bakış > Temel Bilgileri ve özellikler). Etki alanı soneki ASE adı .appserviceenvironment.net olan bir ILB < ASE'niz > ve mytest adlı bir uygulamanız varsa mytest kullanın. < MSDeploy > dağıtımı appserviceenvironment.net FTP ve mytest.scm.contoso.net ASE adı.

WAF cihazıyla ILB ASE yapılandırma

Web uygulaması güvenlik duvarı (WAF) cihazınızı ILB ASE'niz ile birleştirebilir, yalnızca internete istediğiniz uygulamaları ortaya çıkarabilirsiniz ve kalanları yalnızca sanal ağdan erişilebilir durumda tutabilirsiniz. Bu, diğer şeylerin arasında güvenli çok katmanlı uygulamalar derlemeye olanak sağlar.

ILB ASE'nizi bir WAF cihazıyla yapılandırma hakkında daha fazla bilgi edinmek için bkz. Web uygulaması güvenlik duvarını App Service yapılandırma. Bu makalede, bir Barracuda sanal gerecinin ASE’nizle nasıl kullanılacağı gösterilir. Bir diğer seçenek ise Azure Application Gateway’in kullanılmasıdır. Application Gateway, arkasına yerleştirilmiş uygulamaların güvenliğini sağlamak için OWASP temel kurallarını kullanır. Application Gateway hakkında daha fazla bilgi için bkz. Azure web uygulaması güvenlik duvarına giriş.

Mayıs 2019'dan önce yapılan ILB ASE'ler

Mayıs 2019'dan önce yapılan ILB ASE'ler, ASE oluşturma sırasında etki alanı soneki ayarlamanız gerektirmektedir. Ayrıca bu etki alanı soneki temel alan bir varsayılan sertifikayı karşıya yüklemenizi de gerektirdi. Ayrıca, eski bir ILB ASE ile Kudu konsolunda ILB ASE'de uygulamalarla çoklu oturum açma gerçekleştiresiniz. Eski bir ILB ASE için DNS'yi yapılandırırken, etki alanı soneki ile eşleşen bir bölgede joker karakter A kaydını ayarlamanız gerekir.

başlarken