ILB App Service Ortamınızı Azure Application Gateway ile Tümleştirme

  • Makale
  • Okumak için 6 dakika

App Service ortamı , bir müşterinin Azure sanal ağının alt ağında Azure App Service bir dağıtımdır. Uygulama erişimi için bir dış veya iç uç nokta ile dağıtılabilir. App Service ortamının iç uç noktayla dağıtımına iç yük dengeleyici (ıLB) App Service ortamı (Ao) denir.

web uygulaması güvenlik duvarları, gelen web trafiğini SQL, siteler arası komut dosyalarını engellemek için, kötü amaçlı yazılım yükleme & uygulama ddos ve diğer saldırıları inceleyerek web uygulamalarınızın güvenliğini sağlamaya yardımcı olur. Azure Marketi 'nden bir WAF cihazı alabilir veya azure Application Gatewaykullanabilirsiniz.

Azure Application Gateway, katman 7 Yük Dengeleme, TLS/SSL boşaltma ve Web uygulaması güvenlik duvarı (WAF) koruması sağlayan bir sanal gereç. Genel bir IP adresini dinleyebilir ve trafiği uygulama uç noktanıza yönlendirebilir. Aşağıdaki bilgiler, bir ıLB App Service ortamındaki bir uygulamayla WAF tarafından yapılandırılmış bir uygulama ağ geçidinin nasıl tümleştirileceğini açıklar.

ILB App Service ortamı ile uygulama ağ geçidinin tümleştirilmesi uygulama düzeyindedir. Uygulama ağ geçidini ıLB App Service ortamınız ile yapılandırdığınızda, bunu ıLB App Service ortamınızdaki belirli uygulamalar için yaprsınız. Bu teknik, tek bir ıLB App Service ortamında güvenli çok kiracılı uygulamaların barındırılmasına izin verebilir.

Üst düzey tümleştirme diyagramının ekran görüntüsü

Bu bölümde şunları yapacaksınız:

  • Azure Application Gateway oluşturun.
  • Uygulama ağ geçidini, ıLB App Service ortamınızdaki bir uygulamayı işaret etmek üzere yapılandırın.
  • Uygulama ağ geçidinize işaret eden genel DNS ana bilgisayar adını düzenleyin.

Önkoşullar

Uygulama ağ geçidinizi ıLB App Service ortamınızla tümleştirmek için şunlar gerekir:

  • ILB App Service ortamı.
  • ILB App Service ortamı için özel bir DNS bölgesi.
  • ILB App Service ortamında çalışan bir uygulama.
  • Daha sonra uygulama ağ geçidinizi işaret etmek için kullanılan genel bir DNS adı.
  • Application Gateway 'de TLS/SSL şifrelemesi kullanmanız gerekiyorsa, uygulama ağ geçidize bağlamak için kullanılan geçerli bir ortak sertifika gereklidir.

ILB App Service ortamı

ILB App Service ortamının nasıl oluşturulacağı hakkında daha fazla bilgi için, bkz. Azure Portal BIR AME oluşturma ve ARM ile akoli oluşturma.

  • ILB Ao oluşturulduktan sonra varsayılan etki alanı olur <YourAseName>.appserviceenvironment.net .

    ILB ATıCı genel bakış ekran görüntüsü

  • Gelen erişim için bir iç yük dengeleyici sağlandı. ao Ayarlar altındaki ıp adreslerinde gelen adresi kontrol edebilirsiniz. Daha sonra bu IP adresiyle eşlenmiş özel bir DNS bölgesi oluşturabilirsiniz.

    ILB Ao IP adresi ayarlarından gelen adresi alma ekran görüntüsü.

Özel bir DNS bölgesi

İç ad çözümlemesi için Özel BIR DNS bölgesine ihtiyacınız vardır. Aşağıdaki tabloda gösterilen kayıt kümelerini kullanarak ATıCı adını kullanarak oluşturun (yönergeler için bkz. hızlı başlangıç-Azure Portal kullanarak Azure özel DNS bölgesi oluşturma).

Ad Tür Değer
* A ATıCı gelen adresi
@ A ATıCı gelen adresi
@ SOA ATıCı DNS adı
*. SCM A ATıCı gelen adresi

ILB Ao 'da App Service

ILB AŞIRINIZDEKI bir App Service planı ve bir uygulama oluşturmanız gerekir. Uygulamayı portalda oluştururken bölge olarak ıLB atıcı ' i seçin.

Application Gateway 'e genel bir DNS adı

Internet 'ten uygulama ağ geçidine bağlanmak için yönlendirilebilir bir etki alanı adına ihtiyacınız vardır. Bu durumda, yönlendirilebilir bir etki alanı adı kullandım asabuludemo.com ve bu etki alanı adıyla bir App Service bağlanmayı planlıyorum app.asabuludemo.com . Bu uygulama etki alanı adına eşlenen IP adreslerinin, uygulama ağ geçidi oluşturulduktan sonra genel IP 'ye ayarlanması gerekir. Uygulama ağ geçidine eşlenmiş ortak bir etki alanı ile App Service özel bir etki alanı yapılandırmanız gerekmez. App Service etki alanlarıylaözel bir etki alanı adı satın alabilirsiniz.

Geçerli bir genel sertifika

Güvenlik geliştirmesi için, oturum şifreleme için TLS/SSL sertifikası bağlamanız önerilir. TLS/SSL sertifikasını uygulama ağ geçidine bağlamak için aşağıdaki bilgileri içeren geçerli bir ortak sertifika gereklidir. App Service sertifikalarla, bir TLS/SSL sertifikası satın alabilir ve. pfx biçiminde dışarı aktarabilirsiniz.

Name Değer Açıklama
Ortak ad <yourappname>.<yourdomainname>, örneğin: app.asabuludemo.com
ya *.<yourdomainname> da, örneğin: *.asabuludemo.com		 Uygulama ağ geçidi için standart bir sertifika veya bir Joker sertifika
Konu Diğer Adı <yourappname>.scm.<yourdomainname>, örneğin: app.scm.asabuludemo.com
ya *.scm.<yourdomainname> da, örneğin: *.scm.asabuludemo.com		 App Service kudu hizmetine bağlanmasına izin veren SAN. App Service kudu hizmetini Internet 'e yayımlamak istemiyorsanız, bu isteğe bağlı bir ayardır.

Sertifika dosyası özel bir anahtara sahip olmalı ve. pfx biçiminde kaydedilecek, uygulama ağ geçidine daha sonra içeri aktarılacaktır.

Uygulama ağ geçidi oluşturma

Temel uygulama ağ geçidi oluşturma için öğreticiye bakın: Azure Portal kullanarak Web uygulaması güvenlik duvarı ile uygulama ağ geçidi oluşturma.

Bu öğreticide, ıLB App Service ortamıyla bir uygulama ağ geçidi oluşturmak için Azure portal kullanacağız.

Azure Portal > > bir uygulama ağ geçidi oluşturmak için yeni ağ Application Gateway ' yi seçin.

  1. Temel bilgiler ayarı

    Katman açılan listesinde, uygulama ağ geçidinde WAF özelliğini etkinleştirmek Için Standart v2 veya WAF v2 seçeneğini belirleyebilirsiniz.

  2. Ön uçlar ayarı

    Ön uç IP adresi türünü genel, özel veya her ikisine birden seçin. Özel veya her ikisine de ayarlarsanız, uygulama ağ geçidi alt ağ aralığında statik bir IP adresi atamanız gerekir. Bu durumda, yalnızca genel uç nokta için genel IP olarak ayarlandık.

    • Genel IP adresi-uygulama ağ geçidi genel erişimi için genel bir IP adresi ilişkilendirmeniz gerekir. Bu IP adresini kaydedin, daha sonra DNS hizmetinize bir kayıt eklemeniz gerekir.

      Application Gateway ön uçlar ayarından genel IP adresi alma ekranının ekran görüntüsü.

  3. Backends ayarı

    Bir arka uç havuzu adı girin ve uygulama hizmetlerini veya IP adresini ya da hedef türünde FQDN 'yi seçin. Bu durumda, uygulama hizmetleri ' ne ayarlanır ve hedef açılır listesinden App Service adı ' nı seçin.

    Arka uçları ayarında bir arka uç havuzu adı eklemenin ekran görüntüsü.

  4. Yapılandırma ayarı

    Yapılandırma ayarında, yönlendirme kuralı ekle simgesine tıklayarak bir yönlendirme kuralı eklemeniz gerekir.

    Yapılandırma ayarında yönlendirme kuralı ekleme ekranının ekran görüntüsü.

    Yönlendirme kuralında bir dinleyici ve arka uç hedefleri yapılandırmanız gerekir. Kavram kanıtı dağıtımı için bir HTTP dinleyicisi ekleyebilir veya güvenlik geliştirmesi için bir HTTPS dinleyicisi ekleyebilirsiniz.

    • HTTP protokolüyle uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz,

      Parametre Değer Açıklama
      Kural adı Örnek: http-routingrule Yönlendirme adı
      Dinleyici adı Örnek: http-listener Dinleyici adı
      Ön uç IP adresi Genel İnternet erişimi için genel ' e ayarlayın
      Protokol HTTP TLS/SSL şifrelemesi kullanma
      Bağlantı noktası 80 Varsayılan HTTP bağlantı noktası
      Dinleyici türü Çoklu site Uygulama ağ geçidinde çoklu siteleri dinlemeye izin ver
      Ana bilgisayar türü Çoklu/joker karakter Dinleyici türü çoklu siteler olarak ayarlandıysa birden çok veya joker Web sitesi adı olarak ayarlayın.
      Konak adı Örneğin: app.asabuludemo.com App Service için yönlendirilebilir bir etki alanı adına ayarlayın

      Uygulama ağ geçidi yönlendirme kuralının HTTP dinleyicisinin ekran görüntüsü.

    • TLS/SSL şifrelemesi ile uygulama ağ geçidine bağlanmak için aşağıdaki ayarlarla bir dinleyici oluşturabilirsiniz,

      Parametre Değer Açıklama
      Kural adı Örnek: https-routingrule Yönlendirme adı
      Dinleyici adı Örnek: https-listener Dinleyici adı
      Ön uç IP adresi Genel İnternet erişimi için genel ' e ayarlayın
      Protokol HTTPS TLS/SSL şifrelemesini kullanma
      Bağlantı noktası 443 Varsayılan HTTPS bağlantı noktası
      Https Ayarlar sertifika Upload bir sertifika Upload CN ve özel anahtarı. pfx biçiminde içerir.
      Dinleyici türü Çoklu site Uygulama ağ geçidinde çoklu siteleri dinlemeye izin ver
      Ana bilgisayar türü Çoklu/joker karakter Dinleyici türü çoklu siteler olarak ayarlandıysa birden çok veya joker Web sitesi adı olarak ayarlayın.
      Konak adı Örneğin: app.asabuludemo.com App Service için yönlendirilebilir bir etki alanı adına ayarlayın

      Uygulama ağ geçidi yönlendirme kuralı için H t T a d S dinleyicisi.

    • Arka uç hedefleri Için bir arka uç havuzu ve http ayarı yapılandırmanız gerekir. Arka uç havuzu, daha önce adımlarda yapılandırıldı. HTTP ayarı eklemek için Yeni bağlantı ekle ' ye tıklayın.

      H t P ayarı eklemek için yeni bağlantı ekleme ekranının ekran görüntüsü.

    • HTTP ayarları aşağıda verilmiştir:

      Parametre Değer Açıklama
      HTTP ayar adı Örnek: https-setting HTTP ayar adı
      Arka uç Protokolü HTTPS TLS/SSL şifrelemesini kullanma
      Arka uç bağlantı noktası 443 Varsayılan HTTPS bağlantı noktası
      İyi bilinen CA sertifikası kullan Yes ILB Ao 'nun varsayılan etki alanı adı, .appserviceenvironment.net Bu etki alanının sertifikası ortak bir güvenilen kök yetkili tarafından verilir. Güvenilen kök sertifika ayarında, iyi BILINEN CA güvenilen kök sertifikayı kullanmak için ayarlayabilirsiniz.
      Yeni ana bilgisayar adıyla geçersiz kıl Yes ILB Ao 'da uygulamaya bağlanılırken ana bilgisayar adı üst bilgisi üzerine yazılacaktır
      Ana bilgisayar adı geçersiz kılma Uç hedefin konak adını seçin Arka uç havuzunu App Service olarak ayarlarken, arka uç hedefinden konak seçebilirsiniz
      Özel yoklamalar oluşturma No Varsayılan sistem durumu araştırmasını kullan

      * * Bir H T P ayarı Ekle * * iletişim kutusunun ekran görüntüsü.

ILB Ao ile uygulama ağ geçidi tümleştirmesi yapılandırma

Uygulama ağ geçidinden ıLB Ao 'ya erişmek için, bir sanal ağın özel DNS bölgesine bağlantı olup olmadığını denetlemeniz gerekir. Uygulama ağ geçidinizin VNet 'e bağlı bir sanal ağ yoksa, aşağıdaki adımlarla bir sanal ağ bağlantısı ekleyin.

  • Özel DNS bölgesi ile sanal ağ bağlantısını yapılandırmak için özel DNS bölgesi yapılandırma düzlemine gidin. Sanal ağ bağlantılarını > Ekle ' yi seçin

Özel DNS bölgesine bir sanal ağ bağlantısı ekleyin.

  • Bağlantı adını girin ve uygulama ağ geçidinin bulunduğu ilgili abonelik ve sanal ağı seçin.

Özel DNS bölgesindeki sanal ağ bağlantıları ayarına giriş bağlantısı adı ayrıntılarının ekran görüntüsü.

  • Uygulama ağ geçidi düzleindeki arka uç sistem durumu durumunu doğrulayabilirsiniz.

Arka uç sistem durumunun arka uç durumunu onaylama ekran görüntüsü.

Ortak DNS kaydı ekleme

Internet 'ten uygulama ağ geçidine erişim için uygun bir DNS eşlemesi yapılandırmanız gerekir.

  • Uygulama ağ geçidinin genel IP adresi, uygulama ağ geçidi düzleindeki ön uç IP yapılandırmalarında bulunabilir.

Application Gateway ön uç IP adresi, ön uç IP yapılandırmasında bulunabilir.

  • Azure DNS hizmetini örnek olarak kullanın, uygulama etki alanı adını uygulama ağ geçidinin genel IP adresine eşlemek için bir kayıt kümesi ekleyebilirsiniz.

Uygulama etki alanı adını uygulama ağ geçidinin genel IP adresine eşlemek için bir kayıt kümesi ekleme ekranının ekran görüntüsü.

Bağlantıyı doğrula

  • Internet 'ten bir makine erişiminde, uygulama etki alanı adı için ad çözümlemesini Application Gateway genel IP adresine doğrulayabilirsiniz.

ad çözümlemesini bir komut isteminden doğrulayın.

  • Internet 'ten bir makine erişiminde, Web erişimini bir tarayıcıdan test edin.

Tarayıcı açma, Web 'e erişim ekran görüntüsü.